~~NOTOC~~ ====== O nás ====== Forenzní laboratoř FLAB byla založena v červnu 2011 jako podpůrné pracoviště bezpečnostního týmu [[https://csirt.cesnet.cz/|CESNET-CERTS]]. Původním cílem bylo umožnit podrobnou analýzu závažných bezpečnostních incidentů v síti CESNET2. Rozsah činnosti se postupně rozšiřoval dle aktuálních potřeb a v současné době je poskytováno širší portfolium služeb, a to nejen zákazníkům ze sítě CESNET2. ===== Lidé ===== V současné době ve forenzní laboratoři pracují * **Ing. Aleš Padrta, Ph.D.** * [[http://cz.linkedin.com/in/apadrta|Profil na LinkedIn]] * kontakt: * **Ing. Radoslav Bodó** * [[http://cz.linkedin.com/pub/radoslav-bod%C3%B3/68/773/600|Profil na LinkedIn]] * kontakt: * **Ing. Michal Kostěnec** * [[https://www.linkedin.com/pub/michal-kost%C4%9Bnec/9a/34a/630|Profil na LinkedIn]] * kontakt: * **Ing. Radomír Orkáč** * [[https://www.linkedin.com/in/radom%C3%ADr-ork%C3%A1%C4%8D-48771129/|Profil na LinkedIn]] * kontakt: * **Ing. Martin Šebela** * [[https://www.linkedin.com/in/martin-sebela/|Profil na LinkedIn]] * kontakt: * **Nicole Kellnerová** * kontakt: ===== Historie ===== První myšlenky na vybudování forenzní laboratoře CESNET vznikly už v roce **2007**, během návštěvy odborného pracoviště University of Leeds. Totéž pracoviště bylo navštíveno opět v roce **2009** pro získání praktických zkušeností a pozorování přínosů forenzní analýzy při řešení bezpečnostních incidentů. V červnu **2011** sdružení CESNET zahájilo budování forenzní laboratoře FLAB (zkratka z "Forenzní LABoratoř") jakožto podpůrného pracoviště [[https://csirt.cesnet.cz/|CESNET-CERTS]]. Primární náplní nového pracovního týmu byla analýza závažných bezpečnostních incidentů za účelem získání informací, které pomohou při reakci na incident. Probíhá tedy pořizování potřebného vybavení a školení zaměstnanců. Během roku **2012** je zahájen pilotní provoz a schopnosti forenzní laboratoře jsou využity při řešení dvanácti závažných bezpečnostních incidentů. Nejnáročnějším a současně nejzajímavějším případem byla reverzní analýza malware "Ransomware PČR", o které byl publikován článek na root.cz [[http://www.root.cz/clanky/ransomware-policejni-virus-na-pitevnim-stole/|Ransomware – „policejní virus“ na pitevním stole]]. V roce **2013** dochází k ukončení pilotního provozu a zahájení provozu běžného. Kromě běžné asistence při řešení bezpečnostních incidentů forenzní laboratoř také prvně řeší analýzu technologie, konkrétně chování SSD. Výsledky jsou následně prezentovány forenzní komunitě mimo jiné i na [[http://www.sans.org/event-downloads/31140/agenda.pdf|summitu DFIR2013]] a na [[http://europen.cz/Anot/43/eo-2-13.pdf|konferenci Europen]]. Rok **2014** přináší rozšíření služeb forenzní laboratoře, respektive nadřazeného bezpečnostního týmu CESNET-CERTS, na preventivní zvyšování bezpečnosti. Výsledkem je zařazení nové služby - penetrační a zátěžové testy. Hned v první roce je tato služba využita ve dvou rozsáhlých sítích. Asistence při řešení bezpečnostních incidentů je nadále hojně využívána. V roce **2015** jsou běžně využívány všechny nabízené služby. Vzhledem k časté asistenci při řešení incidentů s malware doručovaným elektronickou poštou, kdy je důležitá zejména rychlost provedené analýzy, je připravována služba "rychlá analýza malware". V roce **2016** jsou běžně využívány všechny nabízené služby. Vzhledem k navyšujícímu se počtu zakázek dochází k rozšíření pracovnímu týmu na dvojnásobek. V roce **2017** jsou běžně využívány všechny nabízené služby. V roce **2018** došlo na základě poptávky zákazníků k rozšíření portfolia služeb o [[cs:sluzby:testy-socialniho-inzenyrstvi|Testy sociálního inženýrství]]. V roce **2019** jsou běžně využívány všechny nabízené služby a došlo rozšíření pracovního týmu. V roce **2020** jsou běžně využívány všechny nabízené služby. V roce **2021** bylo do portfolia služeb přidáno školení [[cs:skoleni-forenzni-trenink-2-sit|Forenzní trénink 2: Síť]] a došlo k dalšímu rozšíření pracovního týmu. V roce **2022** bylo do portfolia služeb přidáno přepracované školení [[cs:skoleni-forenzni-trenink-1-uvod|Forenzní trénink 1: Úvod do forenzní analýzy]] V roce **2023** jsou běžně využívány všechny nabízené služby. ===== Čím jsme se zabývali ===== * **Tvorba nástrojů** * Scanner zranitelnosti Shellshock * Scanner zranitelnosti Heartbleed * **Analýza bezpečnostních incidentů** * Zjištění vektoru útoku * Zjištění činnosti uživatele * Analýza činnosti nalezeného malware * **Data recovery** * Obnova vybraných souborů * Data carving (obnova klíčových dat bez znalosti souborové struktury) * **Školení a semináře** * Možnosti forenzní analýzy * Jak spolupracovat s forenzní laboratoří * [[https://services-numeriques.unistra.fr/index.php?id=1653|Security Training Program in Strasbourg]] * **Analýza vnitřního fungování SSD** * [[http://www.sans.org/event-downloads/31140/agenda.pdf|SSD Storage & Forensics Analysis]], přednáška, Forensics Prague 2013 * [[http://europen.cz/Anot/43/eo-2-13.pdf|Uchovávání dat v SSD]], článek a přednáška, konference !EurOpen * [[http://fit.cvut.cz/fakulta/pravidelne-akce/informaticke-vecery/2013-11-04|Tajemství SSD – aneb co se děje s mými daty?]], přednáška, Informatické večery FIT * **Analýza ransomware** * [[http://www.hpsolutions.cz/clanky/ales-padrta-ransomware-policejni-virus-na-pitevnim-stole/|Ransomware „policejní virus“ na pitevním stole]], článek, HP Solution * [[http://www.root.cz/clanky/ransomware-policejni-virus-na-pitevnim-stole|Ransomware – „policejní virus“ na pitevním stole]], článek, root.cz * [[http://download.zcu.cz/public/Prezentace/seminare_CIV_2013/seminar-civ_ransomware.pdf|Ransomware PČR zaplaťte a bude vám odpuštěno]], přednáška, Západočeská univerzita v Plzni * [[http://www.root.cz/clanky/analyza-crypto-ransomware-linux-encoder-1/|Analýza crypto-ransomware Linux.Encoder.1]], článek, root.cz