ELÉRHETŐSÉGEINK
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetben működő Biztonsági Elemző Szakterület célja, hogy az állami informatikai rendszerekben és munkaállomásokon bekövetkezett biztonsági eseményeket hiteles módon, az időrendiség betartása mellett rekonstruálja és felderítse. Továbbá fontos feladata, hogy a biztonsági incidensek kivizsgálása során feltárt releváns bizonyítékokat összegyűjtse, és ezeket a későbbiekben – nyomozati és igazságszolgáltatási tevékenységekhez – megossza a társszervekkel. Azt tapasztaljuk, hogy egyre több biztonsági eseményhez köthető bejelentés érkezik szervezetünkhöz amelyek kivizsgálása jellemzően utólagos – post mortem – forensic elemzésekkel valósul meg. A computer forensic tevékenységünk során, olyan bizonyító erejű rendszereket, szoftvereket, eszközöket és eljárásokat alkalmazunk, amelyeket nemcsak a hazai, hanem az európai és az amerikai igazságszolgáltatás is elfogad és alkalmaz, továbbá jelentős figyelmet fordítunk szakembereink folyamatos továbbképzésére is. A Biztonsági Elemző Szakterület stabil hátteret biztosít az állami partnerek számára mind a bekövetkezett események kivizsgálásában és a rendszerek auditálásában, mind pedig az informatikai rendszerekhez kapcsolódó tanácsadói megoldásokban.
STATISZTIKÁINK
Az állami és önkormányzati informatikai rendszerek biztonsági eseményeinek vizsgálata során a Biztonsági Elemző Szakterület kollégái által feltárt események statisztikai kimutatásai
Phishing weboldalak
Malware családok
FORENSIC TEVÉKENYSÉGEINK
Adattárolók hiteles kezelése, másolása, klónozása, törlése
Számítógépek (asztali, hordozható valamint szerverek) vizsgálata
Munkaállomásokon bekövetkezett események kivizsgálása
Hálózati kommunikáció- és adatforgalom-elemzése
Törölt állományok helyreállítása, visszaállítása
Memóriaelemzés (online/offline dumpok alapján)
Mobile Forensics (okostelefonok, táblagépek vizsgálata)
Rosszindulatú szoftverek elemzése
MALWARE ELEMZÉS
Kártékony vagy rosszindulatú szoftvernek (malware) nevezünk minden olyan számítógépes programot, amelynek célja a károkozás. Leismertebb típusai közé a zsarolóvírusok, trójai programok, vírusok, banki kártevők és férgek tartoznak. Az ilyen rosszindulatú programok funkcionalitásának, eredetének és lehetséges hatásainak meghatározására irányuló elemzési folyamatot nevezzük malware elemzésnek.
A rosszindulatú szoftverek vizsgálatának főbb szakaszai:
➤ Automatizált kódelemzés
➤ Interaktív viselkedéselemzés
➤ Statikus tulajdonságok elemzése
➤ Manuális kódelemzés
Az IDA Pro egy dissassembler, azaz gépi kódot értelmező szoftver. A program vizualizációs képességeinek köszönhetően áttekinthetővé válik a vizsgált alkalmazást alkotó utasítások végrehajtási logikája, abban az esetben is, ha a forráskód nem áll rendelkezésre. A statikus kódelemzés szinte elengedhetetlen kelléke.
A Forensic Toolkit (FTK) egy széles körben alkalmazott szoftvercsomag digitális eszközök nyomelemzéséhez, vizsgálatához. Az FTK részét képezi az FTK Imager standalone disk imaging program is, amely segítségével például az adott háttértároló bitazonos másolatát egy fájlba lehet menteni, az aktuális állapot hiteles megőrzése és későbbi elemzése céljából. A szoftvercsomag számos hasznos modult tartalmaz, így lehetőség nyílik pl. törölt állományok helyreállítására és a felhasználói tevékenységet azonosító adatok visszamenőleges feltérképezésére is.
Az Autopsy hatékony és sokoldalú eszköz, amely felhasználóbarát, grafikus felületet biztosít a vizsgált digitális eszközön történt események rekonstruálásához. Moduljaival lehetőség nyílik többek között ún. idővonal-készítésre vagy fájlrendszeren történő kulcsszavas keresésre.
Az OSForensics biztosítja az egyik leggyorsabb és leghatékonyabb módot a fájlok lokalizálására a Microsoft Windows rendszereken. Segítségével fájlnév, méret, dátum, illetve egyéb kritériumok alapján lehet a különböző állományokra rákeresni, melynek eredményei számos formátumban megjeleníthetők. Tartalmaz továbbá egy olyan idővonal nézetet, amely lehetővé teszi a minták, valamint a hasonlóságok kivizsgálását a különböző rendszereken időrendben végzett felhasználói tevékenységekről.
A Maltego nyílt forrásokból elérhető információkat összegyűjtő és elemző (OSINT) szoftver. Segítségével könnyedén szemléltethetőek az összegyűjtött adatok kapcsolódási pontjai gráfok, hálózati diagramok formájában.
A Ghidra egy nyílt forráskódú reverse engineering eszköz. AZ IDA Pro remek ingyenes alternatívája. Moduljaival lehetőség nyílik a futtatható állományok, binárisok mélyreható elemzésére és a gépi kód magas szintű programnyelven (pseudo C) történő rekonstruálására egyaránt.
A REMnux – az IT biztonsági körökben jól ismert – Lenny Zeltser által fejlesztett, malware elemzés céljára létrehozott Linux disztribúció. Számos hasznos, előretelepített és konfigurált alkalmazást tartalmaz a káros szoftverek elemzésének minden szakaszához.
A Wireshark világelső hálózati protokoll elemző software, segítségével lehetőség van a hálózati forgalom rögzítésére, interaktív böngészésre és elemzésére. Használata általánossá vált computer forensics és malware elemzés során is, továbbá hálózati problémák, biztonsági rések felderítésére, tesztelésre, interfészekre érkező adatcsomagok elkapására is alkalmas.
A Cellebrite vállalat forensics eszközöket biztosít a digitális adatok gyűjtéséhez, elemzéséhez és kezeléséhez. Szolgáltatásai közé tartozik a szelektív kivonatolás, hashing, hardverhasználati adatok, az adatokhoz való hozzáférési engedélyek, valamint a digitális adatok felhasználási módját meghatározó ellenőrzés.
