Informatyka śledcza

Informatyka śledcza Informatyka śledcza (ang. Computer Forensics) to proces dostarczania elektronicznych środków dowodowych, czyli zespół działań i czynności, które polegają na zabezpieczeniu, przeszukiwaniu i wykrywaniu dowodów nadużyć i przestępstw dokonanych z użyciem komputera lub innych urządzeń elektronicznych.

Informatyka śledcza Dzięki informatyce śledczej można odtworzyć kolejność zdarzeń użytkownika urządzenia elektronicznego w czasie (Kto? Co? Gdzie? Kiedy? Jak?), na podstawie informacji niedostępnych dla użytkowników i administratorów systemu. Ważne jest aby procedura ta była przeprowadzona w odpowiedni sposób, zgodny z wymogami prawa.

Rola informatyki śledczej Informacyjna - dostarcza wskazówki i ślady, które umożliwiają dalsze zagłębianie poszczególnych zagadnień lub rozszerzenie dochodzenia o nowe wątki, Dowodowa - umożliwia niepodważalne dowiedzenie popełnienia określonych czynów lub posiadania określonych danych lub informacji.

Źródło danych w informatyce śledczej Palm top Komputer osobisty (stacjonarny lub przenośny) Serwer pocztowy Serwer plików System finansowo-księgowy

Możliwości w informatyce śledczej Pozwala na poznanie lub odtworzenie zawartości usuniętych plików Umożliwia odtworzenie historii wizyt na stronach internetowych Pozwala na dotarcie do wysłanych i otrzymanych listów elektronicznych Umożliwia zabezpieczenie elektronicznych dowodów w niezaprzeczalny i niepowtarzalny sposób

Zagrożenia dla informacji Szpiegostwo przemysłowe Złośliwe oprogramowanie Przestępczość zorganizowana Ataki z zewnątrz Działania konkurencji Oszustwa

Zagrożenia dla informacji Błędy ludzkie Wycieki danych Przypadkowe zniszczenia Kradzież własności intelektualnej Inne zagrożenia wewnętrzne

Główne kroki pracy śledczego Rekonesans - zebranie informacji o systemach informatycznych, z którymi będziemy mieć do czynienia Planowanie - przygotowanie odpowiednich narzędzi stosownie do systemów i posiadanego czasu Zabezpieczenie - zabezpieczenie danych oraz dokumentacja wykonywanych prac Analiza - przeglądanie zabezpieczonego materiału, przeszukiwanie wg słów kluczowych, ewentualne odtworzenie danych Dokumentacja - sporządzenie szczegółowej dokumentacji zawierającej opis wszystkich wykonanych czynności, zastosowanych narzędzi oraz wyników prac

Zasady, których musi przestrzegać śledczy Zasada nr 1: otrzymać pełnomocnictwo do wykonania prac Zasada nr 2: pracę wykonywać w obecności reprezentanta pełnomocnika Zasada nr 3: odseparować użytkownika i nie pozwolić na modyfikacje danych Zasada nr 4: nie analizować danych w systemie źródłowym

Zasady, których musi przestrzegać śledczy Zasada nr 5: zapewnić możliwość prześledzenia, co działo się z danymi od momentu rozpoczęcia prac aż do zabezpieczenia Zasada nr 6: udowodnić, że skopiowanie dane są identyczne względem danych źródłowych Zasada nr 7: dane analizować wyłącznie na kopii Zasada nr 8: przed rozpoczęciem prac wykonać kopię zapasową kopii danych

Computer Forensics w Polsce Wiadomość pocztowa wysłana przez Minister Jakubowską, która została odzyskana ze sformatowanego dysku twardego pozwoliła na ustalenie przebiegu wydarzeń w jednym z wątków afery korupcyjnej. Biorąc pod uwagę, że większość opublikowanych danych pochodziła z poczty elektronicznej dziwi fakt, że nie zabezpieczono kopii serwera pocztowego Ministerstwa. Pomimo stosowania komputera osobistego - poczta jest również przechowywana w innych miejscach.

Dyski wykradzione z Ministerstwa Spraw Zagranicznych Brak zabezpieczenia zużytych nośników i monitorowania dostępności do nich mógł doprowadzić do pogorszenia stosunków międzynarodowych.

Computer Forensics na świecie Podczas wyborów prezydenckich w Stanach Zjednoczonych w 2000 roku konsorcjum utworzone przez największe amerykańskie media zleciło firmie Kroll Ontrack weryfikację wyników wyborów na Florydzie (USA). Specjaliści Kroll Ontrack stworzyli kopie czterech twardych dysków znajdujących się w biurze Katherine Harris - ówczesnego Sekretarza Stanu na Florydzie. Istniało podejrzenie, że Republikanie użyli komputerów rządowych do prowadzenia kampanii wyborczej. Przeanalizowano dostępne i odzyskane dane pod kątem 91 słów kluczowych. Firma Kroll Ontrack po około 20 godzinach dostarczyła konsorcjum kompletny raport z działań Computer Forensics.

„Bomba zegarowa” Sprawa wytoczona została pracownikowi dużej korporacji w Stanach Zjednoczonych. Pracownik został oskarżony o umyślne spowodowanie utraty strategicznych danych korporacji co spowodowało znaczne straty firmy, a w efekcie zwolnienie 100 pracowników. Po analizie wszystkich danych znajdujących się na serwerach pocztowych oraz koncie pocztowym podejrzanego pracownika specjaliści Kroll Ontrack dostarczyli dowodów winy. Okazało się, że pracownik, jeszcze przed zwolnieniem opracował program komputerowy, który niszczył dane elektroniczne.

„Bomba zegarowa” Program umieścił na serwerze firmowym. Narzędzie działało na zasadzie bomby zegarowej. „Bombę” aktywował nieświadomie jeden z pracowników logując się po określonym czasie na serwerze firmowym. Specjaliści wykazali winę zwolnionego pracownika obalając główny argument obrony, jakoby dane firmowe zostały skasowane przypadkowo. Wykazali dodatkowo, że na prywatnym komputerze oskarżonego znajdowały się dane identyczne z tymi, które posłużyły do stworzenia groźnego programu. Pracownicy Kroll Ontrack przedstawili materiał dowodowy w sądzie.