Informatyka Śledcza – czym się zajmuje?

Informatyka śledcza (computer forensic) jest to dosyć nowa, ale cały czas rozwijająca się specjalizacja na rynku usług odzyskiwania danych.

Czym jest informatyka śledcza?

Informatyka śledcza jest to szereg różnych czynności, które mają na celu poszukiwanie i analizowanie materiałów znajdujących się na elektronicznych nośnikach danych.

Śledztwo to określenie powiązane z procesem karnym, a informatyka śledcza obejmuje o wiele szerszy zakres postępowań (dyscyplinarne, administracyjne, cywilne, audyt wewnętrzny).

W każdej sytuacji, kiedy chcemy skorzystać z dowodów zapisanych na nośnikach cyfrowych, aby potwierdzić jakieś przypuszczenia, musimy skorzystać właśnie z informatyki śledczej.

Informatyka śledcza to nauka, która zajmuje się nie tylko analizą, ale i ochroną dowodów obecnych na nośnikach cyfrowych. Co ważne, samo odzyskiwanie danych jest jedynie jednym z wielu działań informatyka śledczego. Często zdarza się, że jeśli nośnik danych został uszkodzony, wówczas trafia on najpierw do specjalisty, który odzyska informacje, a następnie kolejne czynności podejmuje właśnie informatyk śledczy. A więc informatyka śledcza:

  • Zajmuje się odpowiednim zabezpieczeniem uzyskanych dowodów, aby nie były one obalone,
  • Jest nauką i wykorzystuje metody naukowe,
  • Przeprowadza analizę dowodów cyfrowych.

Dowody zapisane są na nośnikach cyfrowych. Mogą być one przechowywane, przetwarzane czy transferowane. Informatyka śledcza zajmuje się jedynie danymi przechowywanymi, a tymi transferowymi inni specjaliści bezpieczeństwa IT i reakcji na zagrożenia. Jeśli chodzi o dane przetwarzane, nimi akurat zajmują się między innymi specjaliści analizy szkodliwego kodu. Informatykę śledczą określa się jako naukę statyczną, gdyż dowód zostaje zabezpieczony, po czym ulega zamrożeniu. Wykorzystuje się ją w sądzie, jak i wielu innych postępowaniach. Informatyką śledzą, zajmują się też agencje detektywistyczne.

Rozwój informatyki śledczej

Prężny rozwój Internetu oraz komputerów spowodował to, że coraz więcej osób wykorzystuje sieć do celów przestępczych. Kradzież danych i oszustwa komputerowe są dziś codziennością. Przez takie szkodliwe działania w Internecie doszło również do prężnego rozwinięcia się informatyki śledczej. Jej zadaniem było odzyskiwanie danych i badanie cyfrowych dowodów, które mogły być później wykorzystane między innymi w sądzie. Ten dział informatyki sprawdza się też podczas badania przestępstw, które na pierwszy rzut oka nie są powiązane z używaniem nośników danych (porwania, morderstwa, oszustwa, gwałty).

Informatyka śledcza- fazy

Działania powiązane z informatyką śledzą można podzielić na kilka etapów.

  • Zabezpieczenie dowodu- czyli kopiowanie nośników,
  • Przetwarzanie informacji- przygotowanie danych do przeglądu oraz analizy (łamanie haseł, odzyskiwanie danych, ujednolicenie formatów dokumentów, wypakowywanie archiwów, filtrowanie danych), czyli wszystkie czynności mające na celu rozpoznanie i przekazane do analizy jak największej ilości informacji i pozbycie się zbędnych danych, dzięki czemu można zapoznać się jedynie z potrzebnym materiałem,
  • Analiza danych- przeprowadzana analiza danych cyfrowych w różnych formatach, najczęściej szesnastkowym. Przeważnie trzeba połączyć dane z wielu odmiennych źródeł, aby potwierdzić swoją tezę czy też móc ją postawić,
  • Przegląd danych- w formie zdjęć czy dokumentów,
  • Raport- czyli efekt wszystkim działań informatyki śledczej, bardzo ważny i dopasowany do rodzaju prowadzonego aktualnie postępowania.

Jakimi czynnościami zajmują się eksperci informatyki śledczej?

  • uzyskiwanie danych ze zniszczonych nośników elektronicznych, czyli nadpalonych komputerów, zalanych komórek, połamanych dysków twardych,
  • odzyskiwanie skasowanych e-mailów, smsów, zapisów i odtworzenie ich całej treści,
  • pozyskiwanie danych ukrytych w komputerze,
  • uzyskiwanie danych skasowanych z urządzenia,
  • ustalanie historii użytkowania przeglądarki internetowej, w celu zapoznania się z przeglądaną przez niego treścią,
  • analizowanie dokładnej pracy komputera i systemu komputerowego, a więc określenie wszelkich podejmowanych czynności na danym sprzęcie w kolejności,
  • poddawanie analizie programów komputerowych znajdujących się na komputerze, a więc np. określenie tego czy programy mają ważne licencje i do czego dokładnie są używane,
  • analizowanie poziomu zabezpieczenia komputerowego, które służy do ustalenia czy doszło do włamania na komputer z zewnątrz i do jakich działań wówczas doszło na przejętym przez osobę trzecią komputerze (np. kradzież poufnych danych).

Czym jest dowód elektroniczny w informatyce śledczej?

Dowodem elektronicznym uzyskanym przez specjalistę z tej dziedziny są pliki, które zostały wcześniej odzyskane z nośnika cyfrowego, które zawierają ważne treści jeśli chodzi o prowadzone postępowanie tudzież noszą znamiona czynu zabronionego. W informatyce śledczej zbiera się najczęściej takie dowody jak:

  • historia przeglądarki i treści znajdujące się na dyskach komputera,
  • fotografie i nagrania video,
  • wiadomości sms oraz mms czy nagrane rozmowy,
  • historia połączeń telefonicznych i wiadomości na komunikatorach internetowych,
  • wiadomości e-mail oraz informacje zawarte w programach pocztowych,
  • pozostałe treści, które można odzyskać z nośnika.

Z jakich nośników mogą pochodzić dowody elektroniczne uzyskane w informatyce śledczej:

  • karty pamięci,
  • pendrive’y,
  • dyski twarde i dyski ssd,
  • dyktafony,
  • rejestratory w monitoringu oraz telewizji przemysłowej,
  • telefony komórkowe, smartfony, nośniki działające na urządzeniach mobilnych,
  • pozostałe cyfrowe nośniki danych.

Informatyka śledcza w działalności agencji detektywistycznych

W pracy prywatnego detektywa wiele czynności bazuje na klasycznych metodach operacyjnych. Detektyw zajmuje się więc obserwacją i uzyskiwaniem informacji bezpośrednio od osób czy firm. Często jednak zdarza się, że musi on korzystać również z nowoczesnych metod uzyskiwania informacji. Aby specjalista mógł bez problemu odnaleźć się we współczesnym świecie cyfrowym, powinien znać się na nowych technologiach, także tych, których celem jest uzyskiwanie dowodów cyfrowych z elektronicznych nośników informacji. Wiele agencji detektywistycznych specjalizuje się właśnie w usługach z informatyki śledczej. Specjaliści prowadzą często sprawy, w których pojawiają się dowody cyfrowe, czy też ważnym elementem sprawy jest komputer, teflon czy inny sprzęt, na którym znajdują się istotne informacje dla całego postępowania. Dowody cyfrowe są używane często w przypadku uzyskiwania: dowodów zdrady (zwłaszcza w sprawach rozwodowych, ukrywaniu majątku i sprawowania opieki nad dziećmi), kradzieży tajemnic firmowych czy dowodów szpiegostwa przemysłowego. Specjaliści z tej dziedziny są w stanie odpowiednio zabezpieczyć dowody, aby mogły być później wykorzystane. Ponadto wiedzą jak je pozyskać i odnaleźć, czy też później przeanalizować wszelkie dane uzyskane z nośników cyfrowych. Odnajdą więc treści, które przydadzą się w toczonym postępowaniu.

W czym pomoże detektyw specjalizujący się w informatyce śledczej?

Niestety polskie firmy w swojej polityce bezpieczeństwa nie biorą pod uwagę procedur powiązanych z oszustwami oraz przestępcami komputerowymi. Dla innych krajów ważnym elementem Business Continuity Plan jest właśnie informatyka śledcza. Agencja detektywistyczna zajmująca się tą dziedziną obsługuje zarówno klientów indywidualnych, jak i firmy. Specjaliści są w stanie wykorzystać najnowsze zdobycze technologii IT i mają ogromną wiedzę w odzyskiwaniu danych z różnych źródeł. Istotne jest to, że agencja detektywistyczna zabezpieczana elektroniczne środki dowodowe w taki sposób, żeby było one w dalszym ciągu wiarygodne dla sądu. Firma specjalizująca się w informatyce śledczej jest w stanie pomóc w przypadku: dochodzenia w sprawie bankructwa, fałszerstwa, sporów pracowniczych, kradzieży danych, szpiegostwa przemysłowego, naruszenia tajemnicy przedsiębiorstwa, naruszenia tajemnicy handlowej, kradzieży własności intelektualnej, określenia zgodności używanych procedur w zakresie IT z przepisaniu, nieprawidłowego korzystania z poczty w miejscu pracy, dochodzenia w sprawie oszustw finansowych oraz nadużyć finansowych.

Adam Rangotis