Informatyczny przybornik śledczego

Znacznie bardziej rozbudowanym i zaawansowanym rozwiązaniem jest Lima (również autorstwa IntaForensics). Sercem narzędzia jest system zarządzania cyklem życia materiału dowodowego od chwili jego akwizycji, poprzez przekazywanie kolejnym osobom (zespołom) do analiz, aż do jego archiwizacji. Możliwości Limy są jednak znacznie większe - można ją traktować jako narzędzie do wspomagania organizacji pracy laboratorium, np. przydzielania określonych zadań członkom zespołu (wraz z określeniem dat ich realizacji i kamieni milowych w całym projekcie), ewidencjonować czas spędzony nad analizą materiału, zarządzać wykorzystaniem oprogramowania i sprzętu. Lima wspomaga też utrzymanie zgodności z ISO 17025 - standardem zarządzania jakością dla laboratoriów badawczych. Warto zaznaczyć, że narzędzie to wcale nie musi być wykorzystywane przez duże jednostki. Istnieje wersja Lite przeznaczona dla samodzielnych śledczych lub niewielkich zespołów.

Wyciągnąć więcej

Informatyczny przybornik śledczego

Katalogowanie prowadzonych spraw – InfaForensics Lima Case

Zabezpieczając następne nośniki dochodzimy do momentu, w którym kolekcja zabezpieczonych dokumentów elektronicznych staje się dość pokaźna. Bardzo często nazwy plików niewiele mówią, a jeśli mamy do czynienia z plikami odzyskanymi, nazwą w ogóle nie można się sugerować. W takich sytuacjach przydaje się narzędzie, które byłoby w stanie "przeczesać" zbiory, wydobyć z nich metadane i pomóc w budowaniu korelacji. Takie możliwości daje narzędzie o wdzięcznej nazwie Forensic FOCA. Potrafi ono pozyskać metadane z dokumentów MS Office, Open Office, PDF, WordPerfect czy plików JPG, SVG, InDesign.

Z plików tych Foca jest w stanie wyodrębnić takie informacje jak: autor, daty i rodzaj operacji na plikach, oprogramowanie tworzące pliki, system operacyjny. Co ciekawe, możemy też dowiedzieć się o komputerach, które brały udział w tworzeniu dokumentów czy podłączonych drukarkach (na podstawie metadanych wskazujących na wydrukowanie dokumentu). Taka wiedza pozwala na budowanie całkiem sensownych analiz.

Informacje te można następnie wyeksportować np. do postaci XML i wykorzystać w innych platformach śledczych - choćby w Maltego, CaseFile czy ProDiscover.

Wywiad i analityka

Niezwykle istotnym elementem w pracy śledczego jest prowadzenie w ramach prac analitycznych działań quasi-wywiadowczych. W zależności od fazy badań albo dopiero gromadzimy materiał mając jakieś punkty zaczepienia, albo mamy już dużo informacji, które do tego zostały dobrze zorganizowane. W każdym z przypadków trzeba wykonać najważniejszą dla ostatecznego efektu cześć pracy, czyli to wszystko poddać analizie. Z reguły stajemy przed dwoma typowymi problemami - spojrzeniem na zebrane informacje "z lotu ptaka" i uzupełnieniem brakujących elementów układanki. Czasem jeden wiąże się z drugim i potrzebne jest stanięcie trochę z boku, w celu dostrzeżenia związków pomiędzy elementami, które już posiadamy.

Informatyczny przybornik śledczego

Forensic Foca – dane w dokumencie

Przykład pierwszego problemu. Mamy imię, nazwisko i kilka dodatkowych informacji o panu X. Chcielibyśmy pozyskać więcej danych, np. adresy e-mail, z których może korzystać, sprawdzić obecność na portalach społecznościowych, blogach i witrynach internetowych. Robiąc to ręcznie poświęcilibyśmy na to zadanie bardzo dużo czasu.

Przykład drugiego problemu. Analizujemy zgromadzony materiał i w miarę postępu prac ujawniamy kolejne szczegóły wypływające chociażby z badania historii przeglądarki i komunikacji e-mailowej. Okazuje się, że mamy kilkaset adresów e-mailowych, numerów telefonów, SMS-ów, billingów, kilkadziesiąt witryn. Pojawia się problem wizualizacji tego typu informacji i dostrzeżenia oczywistych, a umykających powiązań.


TOP 200