Informatyka śledcza

Odzyskiwanie utraconych danych z wszelkiego rodzaju nośników audio, video, komputerów, smartphonów i kart pamięci.

Dosyć trudno jest zdefiniować informatykę śledczą. Trochę dlatego, że samo pojęcie nie zostało nazwane w języku polskim zbyt szczęśliwie. Śledztwo jest terminem ściśle związane z procesem karnym, natomiast informatyka śledcza dotyczy dużo szerszego zakresu postępowań – cywilnego, administracyjnego, dyscyplinarnego, audytu wewnętrznego. Wszędzie tam gdzie chcielibyśmy skorzystać z dowodów zawartych na nośnikach cyfrowych w celu potwierdzenie jakiejś tezy będziemy korzystać z informatyki śledczej.

Informatyka śledcza (z ang. computer forensics) jest silnie powiązana z bezpieczeństwem systemów informatycznych oraz wiedzą z zakresu prawa, które nakierunkowane są na dostarczanie cyfrowych dowodów popełnienia przestępstwa lub też nadużycia. Stosuje się ją również w celu ustalenia motywów sprawcy lub ofiary.

Przestępstwa komputerowe definiuje konwencja Rady Europy ETS 185, gdzie wskazuje się następujące ich grupy:

Przestępstwa przeciw poufności (ang. confidentiality), integralności (ang. integrity) i dostępności (ang. availability) danych (tzw. przestępstwa CIA). Obejmują one między innymi: nielegalny dostęp do systemów przez hacking, podsłuch czy oszukiwanie uprawnionych użytkowników (powszechnie znany „phishing”), szpiegostwo komputerowe (włączając w to trojany i inne techniki), sabotaż i wymuszenia komputerowe (wirusy, ataki DDoS, spam),

• Powiązane z komputerami (sieciami) przestępstwa tradycyjne, zaczynając od oszustw (od klasycznych, czyli manipulacji fakturami czy kontami firmowymi, do manipulacji on-line – oszukańczych aukcji czy nielegalnego używania kart kredytowych), poprzez komputerowe podróbki, aż do ataków na ludzkie życie przez np. manipulowanie systemami szpitalnymi czy systemami kontroli ruchu powietrznego,
• Przestępstwa dotyczące zawartości (treści). Należą do nich na przykład: dziecięca pornografia, dostarczanie instrukcji przestępczych, a także samo oferowanie popełniania przestępstw. Ta kategoria obejmuje także molestowanie i mobbing poprzez sieć, rozpowszechnianie fałszywych informacji (np. czarny PR, schematy „pump and dump”) oraz internetowy hazard,
  Przestępstwa powiązane z naruszeniem prawa autorskiego i praw pokrewnych, takie jak nieautoryzowane kopiowane i rozpowszechnianie programów komputerowych. Do tej kategorii zalicza się także nieautoryzowane użycie baz danych.

Do najczęstszych przypadków zastosowania informatyki śledczej w Polsce należą:

• W sferze biznesowej – kradzież danych przez zwalnianych lub nielojalnych pracowników oraz sabotaż, w tym usuwanie albo kradzież danych firm lub instytucji publicznych, mające na celu m.in. osłabienie ich pozycji konkurencyjnej lub pozyskanie know-how,
• W sferze prywatnej – ustalanie motywów ucieczek nieletnich, zaginięć osób, a także niewyjaśnionych zgonów poprzez ustalenie, czy osobę nakłaniano do samobójstwa, czy też dokonano morderstwa.

Co to jest dowód elektroniczny w informatyce śledczej?

Dowodem elektronicznym pozyskanym przez informatyka śledczego są pliki, które zostały odzyskane z nośnika cyfrowego, a noszą znamiona czynu zabronionego lub zwierają treści, które wg informatyki śledczej są istotne z punktu widzenia prowadzonego postępowania – np. pornografia dziecięca, ale również cyberstalking.

Do najczęstszych dowodów w informatyce śledczej zalicza się:

• historię połączeń telefonicznych i korespondencji przy użyciu komunikatorów internetowych,
• wiadomości sms i mms,
• wiadomości e-mail i zawartość programów pocztowych,
• fotografie oraz nagrania video,
• historia przeglądarki oraz zawartość danych na dysku,
• inne możliwe do odzyskania treści wcześniej usunięte z nośnika.

Nośniki, z których mogą pochodzić dowody elektroniczne pozyskiwane w informatyce śledczej:

• komputerowe dyski twarde oraz dyski ssd,
• telefony komórkowe starej generacji, smart fony oraz nośniki pracujące w urządzenia mobilnych,
• karty pamięci oraz pendrive’y,
• dyktafony oraz rejestratory w monitoringu i telewizji przemysłowej,
• wszelkie inne cyfrowe nośniki danych.

Można wyróżnić następujące fazy informatyki Śledczej:

zabezpieczenie dowodu – kopiowanie nośników.
przetwarzanie danych – przygotowywanie danych do przeglądu i analizy. Tutaj właśnie przynależy odzyskiwanie danych, a ponadto łamanie haseł, wypakowywanie archiwów, ujednolicanie formatu dokumentów. Wszelkie czynności zmierzające do rozpoznania i przekazania do analizy możliwie wszystkich danych zawartych na nośniku.

Tutaj też dokonujemy filtrowania danych w celu eliminacji niepotrzebnego materiału lub w celu skupienia analizy na materiale najbardziej wartościowym.

• przegląd danych – dokumentów, często zdjęć.
• analiza danych – to tutaj dochodzi do głosu nauka.
• analiza danych cyfrowych w różnorodnych formatach, często szesnastkowym. zwykle należy połączyć dane z różnych źródeł w celu wysnucia oraz obrony postawionej tezy.
• raport – finalnym etapem informatyki śledczej jest raport – zawsze dostosowany do rodzaju postępowania którego dotyczy.