Odzyskiwanie utraconych danych z wszelkiego rodzaju nośników audio, video, komputerów, smartphonów i kart pamięci.

Dosyć trudno jest zdefiniować informatykę śledczą. Trochę dlatego, że samo pojęcie nie zostało nazwane w języku polskim zbyt szczęśliwie. Śledztwo jest terminem ściśle związane z procesem karnym, natomiast informatyka śledcza dotyczy dużo szerszego zakresu postępowań – cywilnego, administracyjnego, dyscyplinarnego, audytu wewnętrznego. Wszędzie tam gdzie chcielibyśmy skorzystać z dowodów zawartych na nośnikach cyfrowych w celu potwierdzenie jakiejś tezy będziemy korzystać z informatyki śledczej.

 

Informatyka śledcza (z ang. computer forensics) jest silnie powiązana z bezpieczeństwem systemów informatycznych oraz wiedzą z zakresu prawa, które nakierunkowane są na dostarczanie cyfrowych dowodów popełnienia przestępstwa lub też nadużycia. Stosuje się ją również w celu ustalenia motywów sprawcy lub ofiary.

 

Przestępstwa komputerowe definiuje konwencja Rady Europy ETS 185, gdzie wskazuje się następujące ich grupy:

Przestępstwa przeciw poufności (ang. confidentiality), integralności (ang. integrity) i dostępności (ang. availability) danych (tzw. przestępstwa CIA). Obejmują one między innymi: nielegalny dostęp do systemów przez hacking, podsłuch czy oszukiwanie uprawnionych użytkowników (powszechnie znany „phishing”), szpiegostwo komputerowe (włączając w to trojany i inne techniki), sabotaż i wymuszenia komputerowe (wirusy, ataki DDoS, spam),

  • Powiązane z komputerami (sieciami) przestępstwa tradycyjne, zaczynając od oszustw (od klasycznych, czyli manipulacji fakturami czy kontami firmowymi, do manipulacji on-line – oszukańczych aukcji czy nielegalnego używania kart kredytowych), poprzez komputerowe podróbki, aż do ataków na ludzkie życie przez np. manipulowanie systemami szpitalnymi czy systemami kontroli ruchu powietrznego,
  • Przestępstwa dotyczące zawartości (treści). Należą do nich na przykład: dziecięca pornografia, dostarczanie instrukcji przestępczych, a także samo oferowanie popełniania przestępstw. Ta kategoria obejmuje także molestowanie i mobbing poprzez sieć, rozpowszechnianie fałszywych informacji (np. czarny PR, schematy „pump and dump”) oraz internetowy hazard,
    Przestępstwa powiązane z naruszeniem prawa autorskiego i praw pokrewnych, takie jak nieautoryzowane kopiowane i rozpowszechnianie programów komputerowych. Do tej kategorii zalicza się także nieautoryzowane użycie baz danych.

Do najczęstszych przypadków zastosowania informatyki śledczej w Polsce należą:

  • W sferze biznesowej – kradzież danych przez zwalnianych lub nielojalnych pracowników oraz sabotaż, w tym usuwanie albo kradzież danych firm lub instytucji publicznych, mające na celu m.in. osłabienie ich pozycji konkurencyjnej lub pozyskanie know-how,
  • W sferze prywatnej – ustalanie motywów ucieczek nieletnich, zaginięć osób, a także niewyjaśnionych zgonów poprzez ustalenie, czy osobę nakłaniano do samobójstwa, czy też dokonano morderstwa.

Co to jest dowód elektroniczny w informatyce śledczej?

 

Dowodem elektronicznym pozyskanym przez informatyka śledczego są pliki, które zostały odzyskane z nośnika cyfrowego, a noszą znamiona czynu zabronionego lub zwierają treści, które wg informatyki śledczej są istotne z punktu widzenia prowadzonego postępowania – np. pornografia dziecięca, ale również cyberstalking.

Do najczęstszych dowodów w informatyce śledczej zalicza się:

  • historię połączeń telefonicznych i korespondencji przy użyciu komunikatorów internetowych,
  • wiadomości sms i mms,
  • wiadomości e-mail i zawartość programów pocztowych,
  • fotografie oraz nagrania video,
  • historia przeglądarki oraz zawartość danych na dysku,
  • inne możliwe do odzyskania treści wcześniej usunięte z nośnika.

Nośniki, z których mogą pochodzić dowody elektroniczne pozyskiwane w informatyce śledczej:

  • komputerowe dyski twarde oraz dyski ssd,
  • telefony komórkowe starej generacji, smart fony oraz nośniki pracujące w urządzenia mobilnych,
  • karty pamięci oraz pendrive’y,
  • dyktafony oraz rejestratory w monitoringu i telewizji przemysłowej,
  • wszelkie inne cyfrowe nośniki danych.

Można wyróżnić następujące fazy informatyki Śledczej:

zabezpieczenie dowodu – kopiowanie nośników.
przetwarzanie danych – przygotowywanie danych do przeglądu i analizy. Tutaj właśnie przynależy odzyskiwanie danych, a ponadto łamanie haseł, wypakowywanie archiwów, ujednolicanie formatu dokumentów. Wszelkie czynności zmierzające do rozpoznania i przekazania do analizy możliwie wszystkich danych zawartych na nośniku.

Tutaj też dokonujemy filtrowania danych w celu eliminacji niepotrzebnego materiału lub w celu skupienia analizy na materiale najbardziej wartościowym.

  • przegląd danych – dokumentów, często zdjęć.
  • analiza danych – to tutaj dochodzi do głosu nauka.
  • analiza danych cyfrowych w różnorodnych formatach, często szesnastkowym. zwykle należy połączyć dane z różnych źródeł w celu wysnucia oraz obrony postawionej tezy.
  • raport – finalnym etapem informatyki śledczej jest raport – zawsze dostosowany do rodzaju postępowania którego dotyczy.

Detektyw Łódź Banaszewski - Kontakt