Informatyka śledcza
Z zagadnieniami takimi jak prawo, bezpieczeństwo i anonimowość w Sieci związana jest ściśle informatyka śledcza (ang. computer forensics), czyli szereg operacyjnych metod, które pozwalają udowodnić popełnienie przestępstwa w cyberświecie. Zwykle informatyka śledcza dostarcza dowodów przestępstwa na podstawie analizy zawartości dysków twardych komputerów, płyt CD/DVD, nawet jeśli zostały celowo uszkodzone, telefonów komórkowych, GPS-ów i tabletów itp. Dzięki informatyce śledczej można odtworzyć kolejność działań jakie przeprowadzane były przez użytkownika na komputerze lub innym urządzeniu elektronicznym – czyli, kto, co robił na danym komputerze, gdzie, kiedy i w jaki sposób. Informacje te zbierane są na podstawie informacji zapisywanych przez programy i system operacyjny w trakcie korzystania z komputera i mogą one być niedostępne w normalny sposób, ani dla użytkowników, ani dla administratorów systemu – np. po skasowaniu danych lub sformatowaniu dysku. Informatyka śledcza jest wykorzystywana wszędzie tam, gdzie w ramach czynności zabezpieczany jest sprzęt komputerowy. Jego niewłaściwe zabezpieczenie może grozić bowiem utratą wartości dowodowej zgromadzonych na dysku twardym dokumentów.
Z usług informatyki śledczej, oprócz instytucji związanych organami ścigania i agencjami rządowymi, korzystają kancelarie prawne, działy prawne firm i korporacji, firmy ubezpieczeniowe, banki i instytucje finansowe, a także instytucje związane z ochroną własności intelektualnej i ochroną praw autorskich. W firmach zebrane dowody służą często do udowodnienia działania nieuczciwych pracowników na szkodę firmy związane na przykład z przekazywaniem poufnych informacji konkurencji. Takie dowody mogą posłużyć następnie przed sądem do udowodnienia, że zwolnienie dyscyplinarne danego pracownika było w pełni uzasadnione. Zbiera się tutaj dowody w postaci wysłanych e-maili, wiadomości z komunikatorów internetowych, czy informacji jakie pliki zostały przez pracownika skopiowane na zewnętrzną pamięć czy nagrane na płytę DVD. W ten sam sposób można zebrać dowody, pokazujące kiedy i z jakich stron WWW czy forów dyskusyjnych korzysta użytkownik oraz jakie pliki i z wykorzystaniem jakich programów zostały pobrane z Internetu.
W informatyce śledczej, zgromadzenie dowodów polega na zabezpieczeniu nośników danych, które np. przekazała do analizy policja po kontroli związanej z kontrolą legalności zawartości komputera. Każdy zabezpieczany nośnik danych jest dwukrotnie kopiowany binarnie – bit po bicie. Jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych danych dowodowych, drugi obraz nośnika zostaje zabezpieczony. W wypadku znalezienia poszukiwanych danych, np. nielegalnych programów, stanowi on materiał dowodowy. Każdy z etapów pracy w informatyce śledczej musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej. Aby materiał zachował wartość dowodową oznacza się go unikalną sumą kontrolną, która gwarantuje, że materiał źródłowy i jego kopie są identyczne, odnalezione w ten sposób elektroniczne dowody przestępczości mogą być wykorzystane jako materiały dowodowe w sądzie.
Metody informatyki śledczej najczęściej stosuje się żeby zdobyć elektroniczne dowody dotyczące defraudacji środków finansowych, łamania prawa pracy, kradzieży danych, celowego niszczenia danych, spraw związanych ze szpiegostwem przemysłowym, łamania praw autorskich oraz spraw kryminalnych związanych z handlem narkotykami, terroryzmem, morderstwami, zorganizowaną przestępczością i pedofilią.
Narzędzia informatyki śledczej
W informatyce śledczej wykorzystuje się zarówno narzędzia sprzętowe, jak i programowe. Pozwalają one nie tylko skopiować binarnie dane, ale odzyskać skasowane i często napisane innymi danymi pliki. Wiele firm wyspecjalizowało się w dostarczaniu tego typu narzędzi – jak np. Belkasoft, Guidance Software, Oxygen Software czy Paraben. Dostępne są także systemy, jak EnCase Enterprise, które pozwalają nie tylko na zapewnienie globalnego bezpieczeństwa w firmie, ale również na prowadzenie śledztw dotyczących nadużyć i podejrzanych aktywności z centralnej lokalizacji firmy, niezależnie w którym oddziale nastąpiło naruszenie.
Oprogramowanie dla informatyki śledczej to swego rodzaju bardzo specyficzne wielozadaniowe kombajny. Przykładem zaawansowanych możliwości jest jeden z najbardziej popularnych programów do informatyki śledczej – EnCase Forensic firmy Guidance Software. Obsługuje on dowolny system plików (również wykorzystywane na płytach CD/DVD/Blu-ray i pamięciach flash), w tym umożliwia przeszukiwanie niezalokowanej przestrzeni dyskowej i przestrzeni slack space (resztki niewykorzystanych klastrów). Pozwala też na odzyskiwanie skasowanych lub sformatowanych plików. Wprowadzono w nim mechanizmy ułatwiające analizę dat utworzenia plików, ich modyfikacji i ostatniego dostępu do danych. Program pozwala zautomatyzować poszukiwania i analizę danych. Zawiera mechanizmy umożliwiające sortowanie danych, stosowanie filtrów, zapytań, słów kluczowych, analizę systemu w tym rejestru oraz moduł bardzo szybkiego przeglądania zdjęć i ich analizy. Dostępne są funkcje przeszukiwania poczty, analizy wykorzystania komunikatorów internetowych i korzystania z Internetu – w tym zawartości plików tymczasowych.
Ważnym elementem oprogramowania dla informatyki śledczej jest możliwość tworzenia binarnych kopii zabezpieczonych danych. Istotny jest tutaj mechanizm blokera, który umożliwi podłączenie dysków lub innych urządzeń USB czy FireWire bez obawy, że materiał dowodowy zostanie w jakikolwiek sposób zmodyfikowany np. przypadkowym zapisem danych. Istotne jest też, aby system wyposażony był w moduły deszyfrujące, które pomogą w dostępie do zaszyfrowanych zasobów i plików chronionych hasłami. Praktycznie każdy program dla informatyki śledczej dysponuje tego typu narzędziami.
Aby wspomóc działanie oprogramowania i przyspieszyć działania operacyjne stosuje się sprzętowe blokery i akceleratory deszyfrujące. Sprzętowy bloker pozwala na szybkie i pewne binarne skopiowanie zabezpieczonego w śledztwie dysku, w celu późniejszej analizy danych. Z kolei akceleratory deszyfrujące takie jak Tableau TACC1441 są w stanie kilkadziesiąt razy przyspieszyć szybkość odzyskiwania haseł do zabezpieczonych danych.
Wspomniany akcelerator wspiera rozszyfrowywanie takich formatów zabezpieczeń danych jak Ashampoo, EFS, Ghost, MS Office, Open Office, PGP Disk v4, PGP Disk v6 (AES256), PGP Disk v6 (Cast128), PGP Message (Secret Key Ring), PGP SDA, Roboform, Safehouse (v3+), Steganos, TrueCrypt (SHA-1), WinRAR, WinZip9, a więc praktycznie wszystkich najważniejszych. Pojedynczy akcelerator przyspiesza proces rozszyfrowywania nawet trzydziestokrotnie w stosunku do rozszyfrowywania z użyciem klastra komputerów PC. Co więcej akceleratory rozszyfrowujące mogą być łączone również w klastry, gdzie wydajność rozszyfrowywania wzrasta wówczas wielokrotnie. Pojedynczy akcelerator Tableau TACC1441 ma wydajność 250000 sprawdzanych kombinacji haseł na sekundę, przy wykorzystaniu kilku maszyn, szybkość ta wzrasta proporcjonalnie. W praktyce dostęp do dysku zaszyfrowanego bardzo silnym i długim hasłem za pomocą takiego programu jak TrueCrypt uzyskuje się najpóźniej po kilku-kilkunastu godzinach pracy akceleratora. Oczywiście zdążają się sytuacje, choć nie są one częste, że hasła nawet przy użyciu akceleratorów nie da się odczytać.
- Zobacz więcej artykułów z cyklu bezpieczeństwo i anonimowość w sieci
- Strefa bezpieczeństwo – Najświeższe informacje na temat oprogramowania zabezpieczającego. Alerty i wykryte zagrożenia – trojany, wirusy, programy szpiegujące, poważne luki w oprogramowaniu.
