Informatyczny przybornik śledczego

Śledczy lub zespół bezpieczeństwa, którego zadaniem jest zbadanie określonego incydentu, napotyka na wiele problemów związanych zarówno z pozyskaniem, jak i właściwą analizą informacji. Wyzwanie w dalszym ciągu stanowią platformy mobilne, jak i etap zrządzania oraz analizowania materiału dowodowego. Postaramy się podpowiedzieć, z jakich narzędzi można skorzystać, w celu z jednej strony - ułatwienia pracy, a z drugiej - szybszego osiągnięcia oczekiwanych rezultatów we wskazanych powyżej obszarach.

Jednym z pierwszych problemów, przed którymi stają śledczy jest szybkie zabezpieczenie materiału dowodowego. Z jednej strony, na miejscu zdarzenia powinniśmy postępować zgodnie z tradycyjnie rozumianymi najlepszymi praktykami, z drugiej - współczesne miejsce informatycznej zbrodni nie pozwala na zbyt długie zastanawianie się nad kolejnymi działaniami czy oczekiwanie na doświadczonych techników. Nie zawsze też opłacalne jest zwlekanie z zabezpieczeniem z uwagi na dynamikę zmian zachodzących w informacji w cyfrowej i podatność na modyfikacje. Czasami również nie ma możliwości przeprowadzenia rzeczowego klasyfikowania/priorytetyzacji działań w laboratorium (np. kilkanaście komputerów, urządzeń mobilnych) - trzeba to zrobić na miejscu zdarzenia.

Odpowiedzią na tego rodzaju wyzwanie jest przyjęta na dobre już w praktyce kryminalistyki informatycznej strategia Triage. W sferze czysto technicznej polega ona na możliwie szybkiej ocenie źródeł dowodowych pod kątem przydatności materiałów w nich zgromadzonych. Następnie na pozyskaniu go w sposób szybki, ale jednocześnie zgodny z zasadami rządzącymi procesem zabezpieczania. Przy tym proces ten powinien wymagać od śledczego wiedzy eksperckiej. Istotą Triage jest wykonanie wstępnej analizy. Przed rozpoczęciem pracy z jakimkolwiek narzędziem warto zapoznać się z ciekawym opracowaniem - Computer Forensics Field Triage Process Model, które porządkuje metodologicznie proces Triage.

Patrząc na Triage od strony narzędzi, możemy tutaj znaleźć proste typu "all in one" z jednym przyciskiem "start". Są też narzędzia nakierowane na określony rodzaj materiału dowodowego, znajdziemy również bardziej złożone systemy.

Informatyczny przybornik śledczego

Tradycyjne (po lewej) oraz oparte na Triage (po prawej) podejście do kryminalistyki informatycznej

Jednym z popularnych narzędzi ukierunkowanych na konkretny typ materiału jest Internet Evidence Finder autorstwa Magnet Forensics. Występuje w postaci "kluczyka" USB z oprogramowaniem, które w sposób dość kompleksowy wyszukuje dokładnie to, co sugeruje nazwa. Pozwala więc przeszukać komputer lub obraz nośnika pod kątem aktywności internetowej. Pod lupę mogą być brane, oprócz standardowych lokalizacji, także: plik stronicowania, hiberfil.sys, przestrzeń niezaalokowana czy tzw. slack space. Możliwe jest wyławianie, jak twierdzi producent, ponad 200 artefaktów, w tym śladów aktywności w Skype, World of Warcraft, dyskach w chmurze (np. Dropbox, Google Drive), portalach społecznościowych (brak NK), webmaili, przeglądarek (włącznie z trybami prywatnymi). Można też przeszukiwać kopie zapasowe telefonów, ujawniać lokalizacje wyszukiwane w mapach Google. Bardzo przydatną funkcją jest możliwość wyeksportowania raportu w formacie narzędzia IEF i przekazanie wraz z dedykowaną przeglądarką innemu śledczemu.

Przykładem narzędzia rozbudowanego może być platforma Spektor firmy EvidenceTalks. Może ona gromadzić materiał dowodowy z wielu źródeł jednocześnie (telefony, komputery) i zapisywać w powszechnie wykorzystywanych formatach, np. EnCase, FTK, dd. Jednocześnie prezentuje i poddaje wstępnej ocenie gromadzony materiał. Wśród szczególnie interesujących cech platformy warto wskazać umiejętność wykrywania stosowania szyfrowania (np. za pomocą PGP, TrueCrypt) czy technik steganografii. Posiada ona też wbudowane słowniki, które mogą być wykorzystane do przeczesywania historii przeglądarek, komunikatorów, e-maili. Cały proces Triage realizowany jest przy tym w bardzo intuicyjny sposób.


TOP 200