Informatyka śledcza. Część 8 Bezpieczeństwo

Informatyka śledcza. Część 8

opublikowano przez Marcin Bienkowski w dniu 2013-03-12

Ósma część cyklu poświęconego Bezpieczeństwu w Sieci, w której opisujemy metody i narzędzia stosowane przez informatykę śledczą.

Z zagadnieniami takimi jak prawo, bezpieczeństwo i anonimowość w Sieci związana jest ściśle informatyka śledcza (ang. computer forensics), czyli szereg operacyjnych metod, które pozwalają udowodnić popełnienie przestępstwa w cyberświecie. Zwykle informatyka śledcza dostarcza dowodów przestępstwa na podstawie analizy zawartości dysków twardych komputerów, płyt CD/DVD, nawet jeśli zostały celowo uszkodzone, telefonów komórkowych, GPS-ów i tabletów itp. Dzięki informatyce śledczej można odtworzyć kolejność działań jakie przeprowadzane były przez użytkownika na komputerze lub innym urządzeniu elektronicznym – czyli, kto, co robił na danym komputerze, gdzie, kiedy i w jaki sposób. Informacje te zbierane są na podstawie informacji zapisywanych przez programy i system operacyjny w trakcie korzystania z komputera i mogą one być niedostępne w normalny sposób, ani dla użytkowników, ani dla administratorów systemu – np. po skasowaniu danych lub sformatowaniu dysku. Informatyka śledcza jest wykorzystywana wszędzie tam, gdzie w ramach czynności zabezpieczany jest sprzęt komputerowy. Jego niewłaściwe zabezpieczenie może grozić bowiem utratą wartości dowodowej zgromadzonych na dysku twardym dokumentów.

Z usług informatyki śledczej, oprócz instytucji związanych organami ścigania i agencjami rządowymi, korzystają kancelarie prawne, działy prawne firm i korporacji, firmy ubezpieczeniowe, banki i instytucje finansowe, a także instytucje związane z ochroną własności intelektualnej i ochroną praw autorskich. W firmach zebrane dowody służą często do udowodnienia działania nieuczciwych pracowników na szkodę firmy związane na przykład z przekazywaniem poufnych informacji konkurencji. Takie dowody mogą posłużyć następnie przed sądem do udowodnienia, że zwolnienie dyscyplinarne danego pracownika było w pełni uzasadnione. Zbiera się tutaj dowody w postaci wysłanych e-maili, wiadomości z komunikatorów internetowych, czy informacji jakie pliki zostały przez pracownika skopiowane na zewnętrzną pamięć czy nagrane na płytę DVD. W ten sam sposób można zebrać dowody, pokazujące kiedy i z jakich stron WWW czy forów dyskusyjnych korzysta użytkownik oraz jakie pliki i z wykorzystaniem jakich programów zostały pobrane z Internetu.

Informatyka śledcza

W informatyce śledczej, zgromadzenie dowodów polega na zabezpieczeniu nośników danych, które np. przekazała do analizy policja po kontroli związanej z kontrolą legalności zawartości komputera. Każdy zabezpieczany nośnik danych jest dwukrotnie kopiowany binarnie – bit po bicie. Jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych danych dowodowych, drugi obraz nośnika zostaje zabezpieczony. W wypadku znalezienia poszukiwanych danych, np. nielegalnych programów, stanowi on materiał dowodowy. Każdy z etapów pracy w informatyce śledczej musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej. Aby materiał zachował wartość dowodową oznacza się go unikalną sumą kontrolną, która gwarantuje, że materiał źródłowy i jego kopie są identyczne, odnalezione w ten sposób elektroniczne dowody przestępczości mogą być wykorzystane jako materiały dowodowe w sądzie.

Metody informatyki śledczej najczęściej stosuje się żeby zdobyć elektroniczne dowody dotyczące defraudacji środków finansowych, łamania prawa pracy, kradzieży danych, celowego niszczenia danych, spraw związanych ze szpiegostwem przemysłowym, łamania praw autorskich oraz spraw kryminalnych związanych z handlem narkotykami, terroryzmem, morderstwami, zorganizowaną przestępczością i pedofilią.