Menite, da vas nadzorujejo? Brez panike! Smo pod 0221 64306610 dosegljiv.
Povejte nam, kaj sumite!
Preverjanje mobilnih groženj in zlonamerne programske opreme
Imate kakšna vprašanja? Ali imate poseben sum?
Menite, da vas nadzorujejo? Brez panike! Lahko nas pokličete na 0221 64306610.
Preverjanje pametnega telefona za vohunsko in zalezovalno programsko opremo ter zlonamerno programsko opremo
Če obstaja sum, da je bila ogrožena naprava iPhone ali Android, je pomembna predvsem ena stvar: hitra in razumljiva ocena. Mobilne naprave testiramo z najnovejšo tehnologijo in rezultate dokumentiramo na strukturiran način - za organe, podjetja in zasebnike.
Kratka razlaga: Kaj preverjamo?
V pametnih telefonih preverimo tipične opozorilne znake in tehnične sledi, ki lahko kažejo na nadzor, zlonamerno programsko opremo ali nepooblaščeno uhajanje podatkov. Odvisno od primera kombiniramo več pristopov: Preverjanje na podlagi artefaktov in IOC (Indicators of Compromise), analize omrežja/komunikacij in dodatna preverjanja zlonamerne programske opreme.
Preverjanje kompromisa
Prepoznavanje znakov vohunske, zalezovalne ali zlonamerne programske opreme - sledljivo in dokumentirano.
Analiza na podlagi IOC/podpisov
primerjava z znanimi kazalniki (npr. iz virov, združljivih z MVT) za prepoznavanje tipičnih vzorcev napadov.
Iskanje zlonamerne programske opreme na podlagi YARA
Dodatno preverjanje s pravili YARA in drugimi postopki za prepoznavanje sumljivih datotek/artefaktov.
Tveganja v zvezi s prenosom in odlivom podatkov
Vrednotenje očitne komunikacije in možnih odtokov podatkov glede na scenarij preiskave.
Poročilo in priporočilo za ukrepanje
razumljiv povzetek, tehnični dokazi in konkretna priporočila za nadaljnje ukrepanje.
Tehnologija in metodologija - trenutno stanje tehnike
Dokazano uporabljamo sodobne postopke in orodja ter nenehno posodabljamo svojo metodologijo. Uporabljena orodja in koraki so odvisni od naročila, naprave (iOS/Android), različice, razpoložljivosti podatkov in pravne podlage.
Primeri uporabljene tehnologije (izbor):
- Mobilni sistemi za odkrivanje groženj (vključno z M3-PRO podjetja MEFF Production) za strukturirane preglede in poročanje.
- testi IOC, združljivi z MVT (Mobile Verification Toolkit), z dokumentiranimi kazalniki, ki so jih med drugim objavili Amnesty International in raziskovalne skupine.
- Odkrivanje na podlagi YARA: primerjanje s pravili/podpisi za prepoznavanje znanih vzorcev zlonamerne programske opreme (skupaj z drugimi forenzičnimi mehanizmi preverjanja).
- Analiza omrežja/komunikacij za odkrivanje vidnih povezav, domen ali Server destinacij.
- Dodatna forenzična orodja za potrjevanje, preverjanje verodostojnosti in dokumentiranje (odvisno od primera).
Opomba o razlagi rezultatov: Prefinjena vohunska programska oprema je zasnovana tako, da čim bolj zmanjša sledi. Strokovni test zato zagotavlja bodisi zanesljive dokaze bodisi dobro utemeljeno potrdilo "all-clear" z jasno dokumentiranimi mejami izjave.
Področja uporabe (moduli ciljnih skupin)
Organi
- Predhodni tehnični pregled v primeru suma usmerjenega nadzora ali vohunske programske opreme.
- prednostno razvrščanje primerov na podlagi razumljivih kazalnikov.
- Dokumentacija za datoteke in notranje procese.
Družba
- Odzivanje na incidente: Preverite, ali je mobilna naprava del varnostnega incidenta.
- Zaščita občutljivih vlog (npr. vodstvo, administratorji, kadrovska služba, prodaja).
- Rezultati za IT, upravljanje, skladnost in zaščito podatkov, o katerih je mogoče poročati.
Zasebniki
- Pojasnila v primeru suma, da gre za programsko opremo za zalezovanje ali nepooblaščeno spremljanje.
- Ocenjevanje očitnih simptomov in nepravilnosti v računu/komunikaciji.
- Posebna priporočila za zaščito (računi, nastavitev naprave, načrt obnovitve).
Postopek preskusa (korak za korakom)
- Prvi sprejem:
Kratek opis suma, vrste naprave, nujnosti in cilja pregleda. - Izbira metode:
določitev ustrezne strategije preverjanja (npr. preverjanje IOC/artefaktov, analiza prometa, dodatno preverjanje zlonamerne programske opreme). - Tehnična analiza:
Izvajanje preizkusa z uporabo najnovejše tehnologije in dokumentirane metodologije. - Ugotovitve in vrednotenje:
Razvrstitev rezultatov: indikacije, ocena tveganja, omejitve izjave. - Poročilo in priporočila:
Strukturirano poročilo z jasnim povzetkom in akcijskim načrtom.
Zaupnost in varstvo podatkov
Odvisno od primera lahko preskus ustvari tehnične podatke o napravi, ki so potrebni za analizo.
Vse informacije obravnavamo zaupno, delamo z določenim namenom in rezultate dokumentiramo na razumljiv način.
Preverjanje se opravi le z dovoljenjem/soglasjem pooblaščenega organa.
Podrobnosti o obdelavi podatkov so urejene v pravilniku o zasebnosti ali v dokumentu naročila.
F.A.Q.
Kaj točno je preverjeno?
V napravah iOS in Android preverjamo znake kompromitiranja. To vključuje primerjavo IOC/podpisov, preverjanje artefaktov, oceno očitne komunikacije in - odvisno od primera - dodatno preverjanje zlonamerne programske opreme (npr. na podlagi programa YARA).
Ali morate prebrati vso zasebno vsebino?
Ne. Delamo čim bolj učinkovito s podatki. Kateri podatki so tehnično potrebni, je odvisno od naprave in cilja preskusa. Postopek vnaprej uskladimo in dokumentiramo, katere vrste podatkov so vključene v analizo.
Ali je mogoče vohunsko programsko opremo vedno zanesljivo odkriti?
Ne vedno. Prefinjena vohunska programska oprema se poskuša izogniti sledovom. Strokovno preverjanje zagotavlja bodisi zanesljive dokaze bodisi dobro utemeljeno potrdilo z jasno dokumentiranimi omejitvami.
Ali bom prejel poročilo?
Da, prejeli boste razumljiv povzetek, najpomembnejše tehnične dokaze in konkretna priporočila za ukrepanje. Na zahtevo lahko rezultate pripravimo tako, da jih je mogoče uporabiti tudi v uradnih ali notranjih postopkih.
Kaj se zgodi, ko najdemo sledi?
Nato vam priporočimo ustrezen postopek, npr. okrepitev računa, zaprtje ogroženih dostopnih točk, nadzorovano ponovno namestitev in po potrebi nadaljnje forenzične ukrepe.