iRecovery | Esempio di un Caso Reale di Spionaggio Industriale

Quella che segue è la disamina di un caso reale, nel quale si è verificato un caso di spionaggio industriale. E’ stato necessario decidere cosa analizzare e cosa no, capire di che materiale informatico si stava effettuando la ricerca, e collaborare con CED e Direzione per acquisire i dati necessari.

choose-irecovery

Raccolta dati iniziale

  • Quale è il motivo della chiamata? Temiamo che un dipendente abbia trafugato dati aziendali riservati

    • Cosa è uscito che non doveva uscire? Alcuni disegni in cad sono finiti in mano a una azienda concorrente.

    • Come lo avete scoperto? Non ne siamo certi, ma parlando con un nostro cliente ci hanno riferito dettagli su un progetto di un macchinario che non avrebbero dovuto conoscere, a loro detta riferiti da una nostra concorrente.

    • Sospettate di qualcuno in particolare? Temiamo che sia coinvolto Pietro, la persona che ha supervisionato e personalmente sviluppato il progetto negli aspetti principali.

    • Che altri soggetti possono essere coinvolti? Forse nessuno, forse qualcun altro. Non lo sappiamo, ma a questo punto tutto è possibile, di Pietro noi ci fidavamo come di tutti gli altri.

    • Che valore ha ciò che è uscito x l’azienda? E’ un prodotto rivoluzionario che potrebbe sconvolgere il mercato a nostro favore.

    • Che conseguenze vi possono essere? Molto pesanti. Se aziende nostre rivali conoscessero i prodotti nei dettagli potrebbero rubarci tutti i clienti.

    • Dove erano memorizzati i dati? Nel server aziendale. Utilizziamo delle risorse condivise sul server ove sono conservati tutti i dati.

    • Come ritenete siano usciti? Non ne abbiamo idea! Forse tramite e-mail, oppure trafugati con chiavette USB…

Ora, ottenute queste domande, abbiamo un primo contesto sul quale lavorare. Vediamo di completare l’analisi della situazione informandoci sul numero dipendenti, sulla gerarchia aziendale, sulle mansioni dei dipendenti, sulla situazione generale in essere compreso il clima aziendale.

Dobbiamo successivamente raccogliere informazioni sulla rete informatica aziendale, per capire 1) in che formato potrebbero essere i dati usciti dall’azienda, 2) quali possibilità di fuga possono essersi palesate.

La cosa migliore è coinvolgere l’amministratore del sistema informatico (sysadmin), se presente, o in subordine l’azienda responsabile della manutenzione della rete informatica.

Sulla base di ciò che abbiamo raccolto,cercheremo il file rubato o comunicazioni in merito in:

  • Mail aziendali

  • Mail personali

  • Chiavette usb dell’ufficio

Mediante coinvolgimento dell’amministratore di sistema, si dovrà a questo punto capire:

  • Come lavorano gli utenti?

    • In locale (pc)

    • In terminal (servizi terminal su windows server)

    • In altri ambienti terminal (citrix? Xterm?)

  • Dove sono ospitate le mail aziendali? Che sistema si utilizza?

    • Exchange?

    • Configurate sui pc o su ambiente terminal?

    • In cloud?

  • E’ possibile connettersi dall’esterno? Come?

    • VPN

    • Mediante IP in servizi terminal

Ipotizziamo che dal confronto con il responsabile della rete informatica si ottengano queste informazioni:

  • Gli utenti lavorano in servizi terminal per usare word/excel/mail aziendale che è su exchange, chi disegna in cad lo fa in locale e poi i documenti vengono salvati in una cartella condivisa sul medesimo server. Non vi sono accessi possibili dall’esterno, abbiamo una normale ADSL. L’azienda non ha mai acquistato pendrive per uso aziendale, se vengono usate esse sono di proprietà dei singoli utilizzatori.

Nel caso specifico quindi, si dovrà esaminare:

  • Pc fisso del sospettato (1 HDD da 120GB, Windows 7): ricerchiamo artefatti dell’uso del documento diffuso illecitamente, della spedizione dello stesso o di parte dello stesso a terzi mediante e-mail in locale, e artefatti dell’uso di dispositivi USB; il tutto ipotizzando un determinato periodo di tempo nel quale si sospetta sia stato commesso l’illecito.

  • Pc fisso di altri due potenziali sospettati (ognuno 1 HDD da 120GB, Windows 7): quanto sopra.

  • Server terminal/exchange/archivio dati (3 HDD RAID5 SCSI 146GB, spazio 292GB, Windows 2003 server): analizziamo l’uso delle condivisioni, gli utenti che hanno avuto accesso a quel particolare documento, le mail contenute nel server exchange, artefatti di utilizzo di quel file nell’ambiente terminal, artefatti della spedizione dello stesso o di parte dello stesso a terzi mediante e-mail web in ambiente terminal.

Dovremo poi prendere in esame, collaborando con il responsabile della rete informatica, se sia possibile connettersi in wifi alla rete aziendale, e se siano presenti altre policy di sicurezza.

Per l’estrazione dati si sono ottenute le immagini dei 3 dischi dei pc fissi (3x120GB) e del server (3x146GB).

Nel caso specifico, i risultati sono stati:

  • Si sono trovate nell’account terminal del sospettato due e-mail spedite a un amico, rivelatosi poi essere coinvolto nella situazione seppur in modo accidentale, contenenti un paio di file in formato CAD proprio con i disegni e le informazioni in possesso del cliente.

  • Non sono stati trovati artefatti di alcun genere utili alla disamina della situazione nel pc fisso in uso al sospettato

  • Non sono stati trovati artefatti di alcun genere utili alla disamina della situazione negli altri due pc esaminati

A seguito dell’indagine, vi è stato solamente un richiamo formale per l’incauto dipendente poiché, dopo una analisi attenta, il disegno è risultato essere un bozzetto incompleto e tra l’altro presentava errori che lo rendevano non funzionale, riducendo di molto il rischio di danno aziendale.