Computer forensics - Informatyka śledcza

10.10.2022 • Karina Pohoska

Informatyka śledcza (gdzieniegdzie można spotkać nazwę informatyka kryminalistyczna) to dziedzina, która wykorzystuje techniki śledcze do identyfikacji i pozyskiwania dowodów z urządzeń komputerowych, serwerów, dyskietek, płyt CD, pamięci przenośnych. Informatykę śledczą często wykorzystuje się do odkrywania dowodów, które można wykorzystać w sądzie. Obejmuje również obszary poza dochodzeniami. Czasami profesjonaliści w tej dziedzinie mogą np. zostać wezwani do odzyskania utraconych danych z uszkodzonych dysków, serwerów, które uległy awarii.

Foto: Kevin Ku on pexels.com

Na stronie Centralnego Laboratorium Kryminalistycznego Policji czytamy:

Podstawową zasadą informatyki śledczej, stosowaną w policyjnych laboratoriach kryminalistycznych, jest zasada „widzę wszystko, nie zmieniam niczego”. Pozwala to zachować zabezpieczony w postępowaniu karnym materiał dowodowy w niezmienionej postaci. Policyjni biegli pracują na cyfrowych kopiach nośników dowodowych, które są wykonane przy użyciu dedykowanych do tego narzędzi informatyki śledczej. Następnie przy użyciu specjalistycznego oprogramowania dokonywane są czasochłonne analizy pozwalające na ujawnienie informacji liczonych obecnie (z uwagi na stale rosnąca pojemność cyfrowych nośników danych) w tysiącach, a nawet milionach rekordów. W dalszej kolejności dane te muszą zostać przeszukane i przeanalizowane przez biegłych pod kątem przydatności w postępowaniu karnym. Nie można w tym miejscu zapomnieć, że z uwagi na nieustający i niezwykle dynamiczny rozwój informatyki i jej znaczenie w każdym elemencie życia codziennego (od użytkowej telefonii komórkowej po zarządzanie systemami obronności państwa), ilość koniecznych do przeanalizowania danych wrasta w sposób niemal wykładniczy. Szybki przyrost informacji przechowywanych i przetwarzanych na cyfrowych nośnikach danych, a także różnorodne formy ograniczania dostępu do tychże nośników i ich zasobów (szyfrowanie, niszczenie, cloud computing) stanowią w chwili obecnej dwa podstawowe wyzwania informatyki śledczej. Policyjne laboratoria kryminalistyczne w Polsce – m.in. dzięki licznym projektom badawczym oraz współpracy międzynarodowej – z powodzeniem radzą sobie z tymi ograniczeniami.

Dochodzenia i śledztwa

Informatyka śledcza może być istotnym aspektem współczesnych dochodzeń. Po popełnieniu przestępstwa i wszczęciu postępowania jednym z najczęstszych miejsc, w których należy szukać wskazówek, jest komputer lub telefon komórkowy podejrzanego. W tym momencie do akcji wkraczają specjaliści od informatyki śledczej. Kiedy osoba zostanie zidentyfikowana jako podejrzana, a jej komputer lub telefon komórkowy wykorzystany jako dowód, specjaliści od informatyki śledczej szukają danych, które są istotne dla śledztwa. Podczas poszukiwania informacji, muszą być ostrożni, aby postępować zgodnie ze szczegółowymi procedurami, które pozwalają na wykorzystanie ich wyników jako dowodów w sprawie. Odkrywane przez nich informacje, dokumenty, historia przeglądania czy nawet metadane (dane o danych), mogą być następnie wykorzystane przez prokuraturę do dalszych czynności.

Odzyskiwanie danych

Oprócz pracy związanej ze zbieraniem dowodów, specjaliści informatyki śledczej mogą również pracować przy odzyskiwaniu danych. Uszkodzone lub zhakowane dyski twarde, serwery i inne urządzenia mogą zostać przez nich uratowane, a dane, które zostały wcześniej utracone lub specjalnie wykasowane, w celu zatarcia śladów, całkowicie odzyskane. O ile działalność taka jest cenna dla firm, które faktycznie utraciły dane z przyczyn czysto technicznych, o tyle dla przestępców, wiadomo, już nie jest.

Procedura analizy dochodzeniowo-śledczej nośników danych

1. Sprawdzenie poprawności zabezpieczenia materiału dowodowego – na przykład poprzez sprawdzenie plomb na obudowie komputera jak i portów.

2. Utworzenie protokołu dostarczenia nośników danych oraz potwierdzenie zabezpieczonych dowodów, najlepiej wartością funkcji skrótu. Sprawdzenie zgodności opisu ich marki, modelu, pojemności i numerów seryjnych. W razie nieprzestrzegania procedury przy zabezpieczaniu urządzenia dowód taki traci na wiarygodności w postępowaniu sądowym.

3. Wykonanie kopii binarnej lub obrazu dysku z użyciem blokera zapisów. Bloker chroni zabezpieczany dysk przed zapisaniem na nim jakichkolwiek danych. Gdyby po dacie zabezpieczenia dysku twardego, doszło do zapisania na nim jakichkolwiek danych (np. daty zmiany metadanych w systemie plików), spowoduje to utratę jego wartości dowodowej w postępowaniu sądowym. Należy pamiętać, że każde uruchomienie systemu operacyjnego na komputerze powoduje modyfikacje na jego dysku twardym.

4. Przeprowadzenie na kopii danych szczegółowej analizy zgodnie z zapytaniem zleceniodawcy stosując w tym celu specjalistyczne urządzenia i programy, które uniemożliwiają modyfikację wykonanej kopii. Analiza danych musi zostać przeprowadzona z dużą rzetelnością, starannością przy zachowaniu zasad, procedur stosowanych zgodnie z zasadami informatyki śledczej oraz łańcuchem dowodowym, który ma swój początek w momencie zabezpieczania urządzenia, a kończy się w chwili gdy biegły obroni swoją opinię na rozprawie sądowej.

5. Opisanie z wysoką starannością całej procedury wykonania i analizy kopii danych z zabezpieczonego urządzenia.

6. Sporządzenie rzetelnej ekspertyzy wraz z pełnym opisem jej przebiegu i wyniku wyeksportowanego do danej postaci pliku oraz z przedstawieniem pełnych raportów analizy nośników danych z naznaczeniem pozycji i ujawnionych informacji z nośnika danych, które stanowią materiał dowodowy do wydania opinii służącej w procesie sądowym. Oznaczenie dat utworzenia, modyfikacji jak i ostatniego dostępu do danych stanowiących materiał dowodowy (tam, gdzie możliwe jest ich odczytanie). Należy wyszczególnić dane, które zostały odzyskane po skasowaniu czy sformatowaniu dysku twardego komputera.

7. Wystawienie opinii zgodnej z zapytaniem zlecającego z przytoczeniem metody i sposobu przeprowadzenia analizy kopii komputerowego, cyfrowego czy elektronicznego nośnika danych.

Informatyka śledcza a cyberbezpieczeństwo

Dla osób spoza zawodu, informatyka śledcza i cyberbezpieczeństwo mogą wydawać się dość podobne. Co prawda mają do czynienia z przestępcami i komputerami, ale pomimo tego początkowego podobieństwa, funkcja każdej praktyki bardzo się różni.

Podsumowując, informatyka śledcza koncentruje się głównie na odzyskiwaniu danych. Odzyskane dane są często wykorzystywane jako dowód w procesach karnych, ale czasami są odzyskiwane również dla różnych firm po incydencie związanym np. z awarią serwera. Ponadto przestępcy, których sprawdzają specjaliści od informatyki śledczej, nie zawsze są cyberprzestępcami. Jednak ponieważ prawie każdy korzysta z komputera, na jego urządzeniu osobistym często znajdują się cenne informacje, które mogą być punktem zwrotnym postępowania.

Z drugiej strony cyberbezpieczeństwo jest bardziej związane z ochroną. Specjaliści z tego zakresu pracują w różnych zawodach, ale prawie wszyscy z nich pracują nad tworzeniem sieci i systemów, które są zabezpieczone przed potencjalnymi napastnikami. Czasami używają hakowania, aby przetestować własne sieci lub sieci klienta, w celu znalezienia słabych punktów danego obszaru, by móc go jak najlepiej wzmocnić przed różnego typu cyberatakami.

Zadania specjalistów informatyki śledczej

• ustalanie zakresu analizy dowodów elektronicznych oraz przedmiotu poszukiwania,
• właściwe zabezpieczenie kopii danych, • szczegółowa analiza śladów elektronicznych,
• sporządzenie raportu dotyczącego analizowanych danych. Informatycy śledczy wykorzystywani są najczęściej w przypadkach
• defraudacji środków finansowych,
• łamania prawa pracy,
• kradzieży danych,
• szpiegostwa przemysłowego,
• łamania praw autorskich,
• ujawnienia tajemnicy handlowej,
• kradzieży i użycia danych osobowych,
• spraw kryminalnych (handel narkotykami, terroryzm, morderstwa, samobójstwa, przestępczość zorganizowana, pedofilia).

Jakich umiejętności potrzeba do pracy w informatyce śledczej?

Gdy szkolisz się do pracy w tym zakresie musisz posiąść kilka istotnych umiejętności, a mianowicie:

1. Programowanie: Znajomość języków programowania jest niezbędna do zagłębienia się w struktury urządzenia, w celu odzyskania trudnych do znalezienia, utraconych lub zaszyfrowanych danych.
2. Normy ISO: Normy ISO to zbiór zasad i protokołów dyktujących najlepszy sposób wykonania zadania. Informatyka śledcza wykorzystuje te standardy, co czyni je niezbędnymi do zrozumienia ogółu zagadnienia.
3. Systemy operacyjne: Systemy operacyjne umożliwiają urządzeniom wykonywanie ich podstawowego zestawu funkcji. Ponieważ specjaliści od informatyki śledczej często pracują z uszkodzonymi lub zhakowanymi urządzeniami, muszą znać systemy operacyjne, aby odzyskać te dane.
4. Sprzęt i oprogramowanie komputerowe: Eksperci informatyki śledczej muszą mieć wiedzę, jak działa oprogramowanie i poszczególne elementy sprzętowe komputera, aby wiedzieć, jakie wykonywać kolejne ruchy w celu wyszukiwania danych. Jest to również przydatne w przypadku konieczności wykonania naprawy dysku, serwera itd.
5. Organizacja: Posiadanie silnego poczucia organizacji ma kluczowe znaczenie dla osób wykonujących zawód informatyka śledczego. Ludzie w tej dziedzinie przeczesują dane i potrzebują umiejętności organizacyjnych, które pomogą im oddzielić nieistotne dane od naprawdę ważnych informacji.
6. Standardy cyberbezpieczeństwa: Ekspert informatyki śledczej powinien dobrze znać standardy stosowane w branży informatycznej.
7. Możliwości analityczne: Ekspert informatyki śledczej musi być w stanie przeanalizować dane, które odkryje. Może to pomóc zidentyfikować to, co jest wartościowe dla postępowania.

Historia informatyki śledczej

Zapotrzebowanie na kryminalistycznych analityków komputerowych pojawiło się po raz pierwszy wraz z pojawieniem się nowych osobistych urządzeń elektronicznych. Wydobycie dowodów z tych urządzeń wymagało ekspertów, którzy wiedzieli, jak poruszać się po zawiłych technologiach. Tak więc w 1984 roku FBI wraz z innymi organami ścigania, rozpoczęły opracowywanie programów do oceny i badań dowodów komputerowych.

Aby właściwie sprostać rosnącym wymaganiom śledczych i prokuratorów w kwestii pozyskania skutecznego materiału dowodowego, FBI powołało Zespół ds. Analizy Komputerowej i Reagowania (Computer Analysis and Response Team - CART) i powierzyło mu kompetencje w zakresie analiz komputerowych. Chociaż CART jest jedyny w swoim rodzaju, jego funkcje i ogólna organizacja są powielane w wielu innych organach ścigania nie tylko w USA, ale też w innych krajach.

W ostatnich dziesięcioleciach postęp w informatyce śledczej usprawnił prowadzenie postępowań dotyczących spraw kryminalnych i dostarczył przekonujących zeznań w wielu procesach. W miarę, jak analitycy kryminalistyki komputerowej stają się bardziej wyspecjalizowani, mogą wywierać trwały wpływ na każdy proces śledczy.

Opracowano na podstawie materiałów:
- www.devry.edu (What is computer forensics?)
- www.cyberdegrees.org (Computer forensics)
- archives.fbi.gov (Recovering and Examining Computer Forensic Evidence)
- clkp.policja.pl (Zakres badań informatycznych) - Wikipedia/informatyka śledcza.