NEXT 4/2009 - Cyfrowy dowód

Pecet to narzędzie używane nie tylko przez praworządnych obywateli, ale także pedofilów, oszustów gangsterów i szpiegów przemysłowych. Aby udowodnić im winę, często trzeba korzystać z pomocy informatyków śledczych, którzy z danych w PC podejrzanego potrafią zdobyć wartościowy dowód dla sądu.

Zdaniem eksperta

Tony Dearsley Manager. Ontrack Forensics U.K. Są trzy zasady postępowania przy zdobywaniu dowodów z systemów komputerowych, których przestrzeganie pozwala na użycie znalezionych informacji w procesie sądowym. 1. Nie wolno w żaden sposób modyfikować analizowanego systemu. Od momentu zabezpieczenia go jako dowodu nie może być w nim zmieniony nawet jeden bit informacji. 2. Wszystkie operacje należy przeprowadzić wyłącznie na pliku-obrazie dysku twardego zabezpieczonym przed zapisem. 3. Trzeba prowadzić dokładną ewidencję wszystkich czynności, tak by inny specjalista mógł powtórzyć analizę i sprawdzić poprawność wniosków. Zabezpieczonego komputera nie można nawet uruchomić, bo podczas samego startu Windows modyfikuje zawartość około 1200 różnych plików, w tym cennych logów systemowych. W kontrolowanym środowisku zachowane zostają oryginalne daty modyfikacji plików, co jest istotne, gdy przedmiotem analizy jest np. obieg dokumentu.

Z informatyką śledczą jest jak z działalnością wywiadowczą. Im bardziej spektakularny sukces, tym mniejsze prawdopodobieństwo, że sprawa ujrzy światło dzienne. Dzięki rozmowom przeprowadzonym z ekspertami z tej dziedziny możemy pokusić się o zrekonstruowanie kilku wydarzeń, w których informatycy pomogli udowodnić winę kryminalistom.

Scenariusz nr 1: komórka gangstera

Współczesne telefony komórkowe mają pojemną pamięć flash, w której można przechowywać zdjęcia, filmy oraz informacje kontaktowe. Jeśli policja podejrzewa, że w komórce mogą być interesujące informacje, oddaje ją do ekspertyzy specjalistom od informatyki śledczej. Ci podłączają ją do komputera za pomocą urządzenia, które pozwala na dostęp do wbudowanej pamięci z pominięciem systemu operacyjnego telefonu, i kopiują wszystkie dane. Następnie poddają je analizie, by odzyskać z niej wszystkie informacje, nawet te, które właściciel wcześniej skasował. Ekspertyza pomaga w ustaleniu sieci kontaktów podejrzanego, a w efekcie pozwala na wyłapanie pozostałych członków gangu.

Scenariusz nr 2: pedofil

Informatyk śledczy często uczestniczy w zbieraniu dowodów w mieszkaniu takiego przestępcy. Jego obecność jest niezbędna przy zabezpieczaniu dysków, które prawdopodobnie są pełne zdjęć i filmów pornograficznych z udziałem dzieci, śladów, które pomogą policji dotrzeć do ofiar, a także informacji, dzięki którym można odnaleźć kolegów pedofila (mógł na przykład wymieniać się z nimi plikami). Następnie specjaliści od informatyki śledczej analizują dane, sporządzają listę nielegalnych materiałów oraz informacji, które mogą pomóc w dalszym śledztwie. Podczas analizy bazują nie tylko na otwartych plikach, ale także łamią hasła do zabezpieczonych zbiorów oraz odzyskują skasowane wcześniej pliki lub ich fragmenty zachowane na dysku i badają w celu pozyskania dowodów, które mogą obciążyć podejrzanego w sądzie.

Scenariusz nr 3: przeciek w firmie

Od pewnego czasu firma systematycznie przegrywa przetargi z konkurentem. Ten za każdym razem przedstawia bliźniaczą ofertę, tyle że o kilka procent tańszą. Szef zaczyna podejrzewać, że jeden z jego podwładnych przekazuje poufne informacje handlowe konkurencji. Nie wie, kim może być zdrajca, więc decyduje się na zatrudnienie specjalistów. Ci po wstępnej ocenie infrastruktury informatycznej instalują program, który indeksuje zawartość wszystkich komputerów w sieci, a także informacje przesyłane do internetu. Następnie przeszukuje je pod kątem zadanych słów kluczowych. Szybko okazuje się, że z komputera jednego z pracowników wysyłane są informacje o treści odpowiadającej dokumentom przetargowym.

Jeden ze handlowców, chcąc zaszkodzić wynikom sprzedaży kolegów, przekazywał przygotowane przez nich oferty konkurencji. Robił to, korzystając z interfejsu komunikacyjnego gry sieciowej, który, o czym podejrzany nie wiedział, wysyłał dane otwartym tekstem. Dzięki temu łatwo było je wykryć za pomocą sieciowego sniffera. Po namierzeniu sprawcy w jego PC umieszczono program monitorujący każdy ruch w systemie. A na potrzeby śledztwa został skopiowany obraz dysku twardego. Te czynności dostarczyły firmie niezbitych dowodów winy i pozwoliły zwolnić nieuczciwego pracownika.

To tylko wybrane scenariusze wydarzeń, w których uczestniczą informatycy śledczy. Jak przekonuje Sebastian Małycha, szef Mediarecovery, firmy oferującej tego typu usługi, specjaliści od odnajdywania cyfrowych dowodów biorą udział we wszystkich rodzajach dochodzeń. Zarówno tych, w których komputer był narzędziem przestępstwa, jak i tych, w których poszlaki zachowane są na urządzeniach czy nośnikach cyfrowych. Bo gdzie łatwiej znaleźć dziś poszlaki przestępczej działalności niż w pamięci telefonu czy skrzynce pocztowej?

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Cyfrowy zamiast papierowego »
  raport: IT w MSP cyfrowy obieg dokumentów w firmie
• Zielona rewolucja w IT »
  raport: IT w MSP Green IT
• Do domu i do firmy »
  zestawienia produktów
• Po ścieżce do węzła »
  nawigacja w drzewie DOM: XPath
• Muzyka z głośnika »
  ASUS XONAR D2