Czym zajmuje się informatyka śledcza?
Cyberprzestrzeń to środowisko podatne na działanie przestępców. Duża anonimowość, potencjalna nieuchwytność i powszechna niewiedza części społeczeństwa zachęca oszustów do przestępczych działań w sieci. Nie sposób jednak, w ramach istniejącego porządku prawnego, skazać kogokolwiek na podstawie wyłącznie domysłów. Dowody, które będą zaświadczać o popełnieniu czynów nielegalnych, muszą zostać odpowiednio przetworzone i zwięźle przedstawione przez zespół analityków dochodzeniowo-śledczych. Tylko wtedy mogą być brane za coś wiarygodnego i zostać dopuszczone jako pewnik w sądowych procesach cywilnych i karnych. Obszarem informatyki specjalizującej się wyodrębnianiu cyfrowych środków dowodowych jest informatyka śledcza.
Czym dokładnie zajmuje się informatyka śledcza? Na czym polega łańcuch dowodowy i zbieranie dowodów? Czy informatyk śledczy może skutecznie zabezpieczyć interesy przedsiębiorstw? W niniejszym artykule zapoznaję czytelników z tymi zagadnieniami i odpowiadam na powyższe pytania.
Definicja informatyki śledczej – wprowadzenie
Informatyka śledcza to termin przetłumaczony z języka angielskiego (computer forensics), który oznacza dziedzinę nauki, zajmującą się dostarczaniem cyfrowych dowodów przestępstw, wykroczeń i nadużyć. Niekiedy obszar ten zaliczany do gałęzi nauk sądowych, powiązanych z obszarem nauk społecznych i prawnych. Jest to bardzo szeroki obszar informatyki, wykorzystywany zarówno w kontekście działania przedsiębiorstw, jak i w sferze osobistej. Informatyka śledcza pozwala dostarczyć wiarygodny materiał dowodowy, który może być rozpatrywany w procesie sądowym. Krótko mówiąc, computer forensics przyczynia się do poprawienia bezpieczeństwa w cyfrowym świecie, dostarczając niezbitych dowodów na podstawie informatycznych śladów pozostawionych przez przestępcę.
Działania z zakresu informatyki śledczej
Informatyka śledcza stanowi zespół usystematyzowanych działań, których realizatorami są eksperci-informatycy. Dzięki ich wytężonej pracy, dysk twardy czy pendrive może stać się rzeczywistym dowodem, mającym kluczowe znaczenie w postępowaniu sądowym. Informatycy śledczy współpracują z organami ścigania, wykonując analizę danych komputerowych, np. znajdujących się na dysku bądź innym nośniku danych. Materiał dowodowy, gromadzony przez specjalistów informatyki śledczej, wymaga podejmowania systemowych czynności. Eksperci wykonują działania z zakresu:
- pozyskiwania informacji z plików komputerowych, w tym także tych umieszczonych w chmurze, w serwisach społecznościowych i w innych miejscach;
- odzyskiwania, przy użyciu specjalistycznych programów, usuniętych danych przez przestępcę, które mogą mieć znaczenie w sprawie;
- profesjonalnej analizy wyodrębnionych przez specjalistów danych – pod kątem wartości dowodowej;
- tworzenia prezentacji z wynikami, które stanowią kompleksowe opracowanie dowodu zgodnie z zasadami prawnymi.
Materiał dowodowy, a największe wyzwania informatyki śledczej
Ilość informacji przetwarzanych przez systemy komputerowe jest imponująco duża. Dane informatyczne rosną w tempie niemalże geometrycznym, w związku z czym ich zabezpieczanie stanowi coraz to większe wyzwanie. Z drugiej zaś strony nowoczesne oprogramowanie i szybkie komponenty komputerowe pozwalają skopiować pliki w błyskawicznym tempie. Szacuje się, że wykonanie kradzieży całej bazy danych przedsiębiorstwa może trwać zaledwie kilkanaście minut. Kilkanaście sekund zajmuje zaś wysłanie wiadomości z tajnymi danymi know-how przedsiębiorstwa, np. przez nielojalnych pracowników chcących zemścić się na szefie. Współczesna analiza danych komputerowych wymaga zaangażowania większej ilości osób zajmujących się bezpieczeństwem sieci. Przetwarzanie dowodów, znajdujących się w rozsianych systemach zdalnych (chmurach), jest jednym z największych wyzwań współczesnej informatyki śledczej. Wymaga to bowiem „łączenia kropek” z często szczątkowych danych, znajdujących się w skrajnie położonych lokalizacjach.
Profil specjalisty ds. odzyskiwania danych computer forensics
Ekspert do spraw zabezpieczania cyfrowych środków dowodowych musi posiadać specjalistyczną wiedzę z zakresu technologii informatycznych. Powinien on w sprawny i szybki sposób analizować zawartość poszczególnych plików w poszukiwaniu poszlak. Niektórzy specjaliści posiadają także uprawnienia biegłych sądowych, a większość z nich nieustannie współpracuje z organami ścigania. Audytorzy IT łączą w sobie umiejętności śledcze i informatyczne, pozwalające na wyodrębnienie rzeczowego łańcucha dowodowego. Specjaliści analizują systemy plików, w specjalnie przeznaczonych do tego miejscach, określanych laboratoriami informatyki śledczej. Eksperci informatyczni pracują nad systemami w celu wyodrębnienia danych, przy zachowaniu ich pełnej integralności. Naruszony lub zmieniony dowód staje się bezużyteczny w postępowaniu sądowym. Do zadań informatyka śledczego należy także:
- wykonywanie kopii danych bezpieczeństwa,
- analiza powłamaniowa,
- analiza urządzeń przenośnych,
- przygotowanie raportu końcowego,
- odzyskiwanie usuniętych danych,
- zabezpieczenie dysku i danych,
- identyfikacja poszlak na drodze analizy,
- wykrywanie oszustw na podstawie pozyskanych informacji.
Etapy zbierania danych dowodowych – jakie wyróżnia się fazy?
Dowód cyfrowy, aby stał się pełnoprawnym dowodem w sprawie, musi spełnić szereg rygorystycznych warunków. Przede wszystkim teoria musi być możliwa do zweryfikowania i przekazana do kontroli. Dane dowodowe muszą posiadać weryfikowalny poziom błędów, który jest możliwy do sprawdzenia. Informatyka śledcza wyodrębnia dowody, które mogą być wykorzystane przed sądem. Aby tak się jednak stało, proces ich zbierania nie może być realizowany chaotycznie. Wyróżnia się podstawowe cztery etapy działania informatyki śledczej, które pozwolą na przedstawienie pełnego łańcucha dowodowego.
- Zabezpieczenie dysku lub innego nośnika, na którym mogą znajdować się dowody – pliki zostają w bezpieczny sposób skopiowane. Oryginalny nośnik musi pozostać w stanie nienaruszonym, aby nie zachodziło podejrzenie fabrykacji dowodów.
- Przetwarzanie danych z dysku, które pozwoli przeprowadzić rzeczową analizę. Na tym etapie specjaliści przywracają pakiety usuniętych danych, są w stanie łamać hasła i szczegółowo sprawdzać urządzenia. W tej fazie dochodzi również do konwertowania plików – dane są zmieniane na jednolite formaty, występuje także odseparowanie plików niepotrzebnych od tych najbardziej istotnych, następnie przekazanie ich do analizy.
- Sprawdzanie poszczególnych danych przy zachowaniu wszelkich zasad i wymaganych procedur. Następuje przegląd, analiza i weryfikacja danych. Wykonuje się opisanie pełnej procedury kopiowania dysku lub innego nośnika, wraz ze stworzeniem karty opisu całej ekspertyzy.
- Specjaliści tworzą specjalistyczną prezentację na podstawie dokonanej analizy. Łańcuch dowodowy kończy się na rozprawie w sądzie.
Jakie urządzenia, pliki i dane mogą stanowić źródło informacji analitycznych?
Informatyka śledcza zajmuje się badaniem dokumentów, plików, metadanych czy wiadomości zawartych w systemie informatycznym. Specjaliści przeszukują zarówno przestrzeń jawną, jak i wnikają do prywatnych danych i wiadomości pozostawionych przez przestępcę. Wśród urządzeń weryfikowanych przez informatyków śledczych wyróżnia się m.in.: telefony komórkowe, dyski twarde, tablety, karty pamięci i inne nośniki, na których mogą być zawarte istotne dane. Śledczy przeszukują także dane ukryte, które mogły zostać przez przestępcę celowo usunięte lub zmodyfikowane, np. w celu zatarcia śladów lub wprowadzenia w błąd. Ważnym elementem analizy jest sprawdzenie plików zapisanych w systemie. Weryfikowane są: pliki wideo, zdjęcia, programy, pliki tymczasowe, historia przeglądarki, logi, rejestry, pliki cookies, wiadomości elektroniczne, informacje zapisane w chmurze, historia połączeń sieciowych i wiele innych. Można zatem stwierdzić, że spece zaglądają wyjątkowo głęboko do różnorakich systemów.
Szkolenia i poszerzanie wiedzy dot. informatyki śledczej
Analitycy zawartości systemów informatycznych korzystają z eksperckich programów komputerowych opartych zarówno na otwartym, jak i zamkniętym kodzie źródłowym. Szkolenia specjalistyczne, pomagające nabyć wiedzę z zakresu cyber-security, są powszechnie dostępne w Internecie. Istnieje także bogata literatura poradnikowa, pozwalająca zapoznać się ze specyfiką pracy informatyka śledczego. Pozwala ona m.in.: przygotować odpowiednie miejsce badawcze, nauczyć się pracy na różnych systemach plików, poznać funkcjonalności popularnych programów analitycznych opartych na systemie Linux (np. Deft Linux czy Kali Linux).
Cyberzagrożenia i dbałość o politykę prywatności
Pęd technologiczny zmienił uwarunkowania dzisiejszego świata. Współcześnie praktycznie nie da się prowadzić dużego biznesu bez zaistnienia w cyberprzestrzeni. Wraz z rozwojem technologii zmienia się także charakterystyka niebezpieczeństw biznesowych. Dziś, w zaledwie kilka minut, tajemnica przedsiębiorstwa może przeniknąć do Internetu, niwecząc cały trud włożony w budowanie pozycji rynkowej. Działania przestępcze mogą być realizowane przez zwalnianych pracowników, którzy postanowili się zemścić. Jest to także domena konkurencyjnych sabotażystów, chcących wpłynąć na rentowność drugiej firmy. Kompromitujące zdjęcia, wrażliwe dane i inne tajne informacje mogą, niestety w błyskawiczny sposób, przeniknąć do internetowego środowiska. Rodzi to potrzebę korzystania z usług ekspertów, pracujących zgodnie z prawem, nad systemami, komputerami i innymi aspektami w celu przygotowania cyfrowych materiałów dowodowych.
Krótkie podsumowanie
Liczba cyberataków na systemy i urządzenia podłączone do Internetu stale rośnie, co słusznie skłania wiele osób do zabezpieczenia swoich interesów. Przykładowo: telefony komórkowe mogą być prawdziwą skarbnicą dla cyberprzestępców – szczególnie, gdy urządzenia wykorzystywane są zarówno do celów biznesowych, jak i pozabiznesowych. Celem informatyki śledczej jest wyodrębnienie i przedstawienie niezbitych materiałów dowodowych w danej sprawie.