Informatyka śledcza w praktyce

Informatyka śledcza to złożona dziedzina informatyki, obejmująca głównie zabezpieczenia oraz pogłębioną analizę postępowań i dowodów, które zostały zawarte na nośnikach cyfrowych. Specjalista w tej dziedzinie zajmuje się analizą dowodów cyfrowych i przygotowywaniem metod zabezpieczania dowodów. Istotne jest to, aby sposób, w jaki dowody zostały zabezpieczone, nie był powodem, przez który zostaną one obalone.

Informatyka śledcza w praktyce

Wbrew obiegowej opinii, informatyka śledcza nie skupia się jedynie na odzyskiwaniu danych. W przypadku, gdy do rąk informatyka trafia uszkodzony nośnik, to zgodnie z procedurami powinien on przekazać taki nośnik do specjalisty, który dane te odzyska. Informatyka śledcza jest powiązana z bezpieczeństwem i prawem.

Nośniki cyfrowe zawierają dowody – dane cyfrowe. Do nośników analizowanych przez specjalistę należą: dyski twarde komputerów, dyskietki, płyty CD, nośniki pamięci przenośnej, telefony komórkowe oraz serwery. Dane analizowane mogą pochodzić także z serwisów społecznościowych i danych zawartych w chmurze czy wyszukiwarkach internetowych. Dane te można przechowywać, przetwarzać i transferować. Informatyka śledcza dotyczy tych danych, które są przechowywane. Dane przetwarzane, które znajdują się w pamięci i mogą być w każdej chwili przetworzone, są delegowane do specjalisty zajmującego się analizą szkodliwego kodu. Dane transferowe leżą w obszarze działań specjalisty bezpieczeństwa IT.

W Polsce informatyka śledcza najczęściej jest stosowana w sprawach dotyczących kradzieży danych, przestępstw popełnianych przez zwalnianych lub nielojalnych pracowników, usuwania lub kradzieży danych firmowych. Jest również wykorzystywana przez organy ścigania, gdy poszukują dowodów w prowadzonych sprawach.

Fazy informatyki śledczej:

1. Dowód musi zostać zabezpieczony poprzez kopiowanie nośników z zapisanymi danymi.

2. Dane muszą zostać przetworzone – należy przygotować je do analizy. Na tym etapie może zajść konieczność odzyskiwania danych, dokonywania operacji na hasłach dostępowych – np. łamanie ich, przetwarzanie archiwów oraz doprowadzanie do jednolitych formatów dokumentów. Specjalista dokonuje także przefiltrowania danych, rozpoznania, aby do analizy posłużyły jedynie wartościowe materiały.

3. Dane cyfrowe muszą zostać poddane przeglądowi.

4. Dane cyfrowe muszą zostać przeanalizowane, także w różnych formatach.

5. Zwieńczeniem procesu jest raport odnoszący się do dowodów, tez i postępowania wyłonionego w czasie analizy.

Postępowania wykonywane w ramach informatyki śledczej mają charakter statyczny. Oczywiście może ona posłużyć jako element formalnego postępowania w sądzie.

Szkolenia przygotowujące z ogólnej wiedzy dotyczącej informatyki śledczej (computer forensics) to:

https://cts.com.pl/szkolenia/informatyka-sledcza-computer-forensics-zabezpieczenie-materialu-cyfrowego/

Dostępne są również narzędzia wspomagające pracę śledczych. Najbardziej popularne to: Kali Linux, Deft Linux i X-Ways Forensics.

Kali Linux jest to system operacyjny wydany przez Linuksa. To kontrowersyjna dystrybucja, ale niezwykle przydatna w profesjonalnym użytku. System wzbudza wiele emocji i można długo o nim dyskutować. Należy jednak pamiętać, że nie został on wydany w celu hakowania. Owszem, można dzięki niemu łamać hasła i pozyskiwać dane, ale nadrzędnym jego celem jest wykonywanie testów penetracyjnych, za pomocą których znajduje się luki w systemach. Pamiętajmy więc, że używanie systemu Kali Linux jest legalne do momentu, kiedy działamy w obrębie sieci, której jesteśmy administratorem, co pozwoli nam skutecznie sprawdzić jakość naszych zabezpieczeń. Systemu używa się również w ramach testów penetracyjnych i tzw. „ethical hacker”, do czego jednak niezbędna jest pisemna zgoda właściciela sieci poddawanej testom.

Wersja „hakerska” Linuksa została po raz pierwszy wydana 13 marca 2013 roku. Była to nowsza wersja BackTrack Linux, który nie był pozbawiony błędów. Obecnie Kali zawiera ponad 600 aplikacji, które wspierają testy penetracyjne. Szczegółową ich listę można znaleźć w Kali Tools. Mnogość funkcji wymaga wnikliwego zapoznania się z systemem i wielogodzinnej praktyki, która pozwoli w pełni wykorzystać jego potencjał. Co ważne, system jest bezpłatny. W dodatku ma przyjazny dla użytkownika interfejs, a jego instalacja jest banalnie prosta. Ze względu na jego globalne wykorzystanie wsparcie oprogramowania jest dostępne w wielu językach. A najlepsze jest to, że Kali można także dostosowywać do indywidualnych upodobań. Linux dopasowuje się do oczekiwań współczesnych użytkowników. Nie można jednak oczekiwać, że losowo dodawane repozytoria i pakiety, które są poza standardowymi źródłami oprogramowania, będą działać prawidłowo. Na pewno każda zmiana wymaga nieco kombinacji i wysiłku ze strony zainteresowanego wprowadzeniem własnej zmiany. Mimo to użytkownicy niezwykle cenią sobie pewną dozę elastyczności, na którą mogą sobie pozwolić w ramach użytkowania tego systemu.

Warto wspomnieć, że Kali jest dystrybucją, która działa według idei „ofensywnego bezpieczeństwa” (Offensive Security), i to czyni ją jednym z ważniejszych systemów Linuksa. Zabezpieczanie oprogramowania w tym ujęciu polega na dokonywaniu systematycznych prób obejścia zabezpieczeń i dostania się do środka. A to z kolei pozwala na wzmocnienie słabych punktów i usunięcie luk, które mogłyby uskutecznić zewnętrzny atak hakerski.

Deft Linux jest kolejną dystrybucją Linuksa, której celem jest przeprowadzanie analiz zawartości systemów operacyjnych i programów. Ze względu na swoje funkcje przeznaczona jest do działań z zakresu informatyki śledczej. Praktyczne aspekty tego oprogramowania docenią specjaliści zajmujący się wykonywaniem testów penetracyjnych i działaniami z zakresu Ethical Hacker.

Jeżeli chodzi o działanie systemu, to Deft może być używany w trybie Live poprzez DVD-ROM lub USB pendrive. Jego instalacja nie jest trudna, poza tym system został wyposażony w przyjazny panel do zarządzania aplikacjami. Dystrybucja pozwala na otwieranie zaszyfrowanych plików, doskonale sprawdza się także przy odzyskiwaniu usuniętych danych.

Kolejną funkcją, którą udostępnia system, jest klonowanie maszyn. DEFT jest wyposażony również w DART, czyli Digital Advanced Response Toolkit, niezwykle ważną aplikację, która pozwala gromadzić i porządkować dane, a także sterować oprogramowaniem w trybie awaryjnym. Służy to głównie sprawdzaniu integralności innych programów i stwarza środowisko bezpieczne dla audytora, który może wówczas uruchomić własne narzędzia. Warto wspomnieć, że DART nie ma odpowiednika w świecie Unixa, jest więc aplikacją unikatową.

DEFT Linux to obecnie najlepsze narzędzie użytkowane przez organy ścigania, doskonale sprawdza się w dochodzeniach kryminalistycznych. Poza funkcją ingerencji w systemy komputerowe deft może także analizować urządzenia mobilne.

Z dystrybucji DEFT Linux korzystają m.in.:

• wojsko

• urzędnicy państwowi

• policja

• detektywi

• audytorzy IT

• oraz wybrane osoby fizyczne.

Wszelkie informacje dotyczące Kali Linux i DEFT Linux można uzyskać na szkoleniach:

https://cts.com.pl/szkolenia/linux-wykorzystanie-narzedzi-w-informatyce-sledczej-computer-forensics/

https://cts.com.pl/szkolenia/analiza-powlamaniowa-i-analiza-ruchu-sieciowego-computer-forensics/

X-Ways Forensics to zintegrowane oprogramowanie firmy X- Ways Software Technology AG. Skierowane jest do specjalistów działających w obrębie informatyki śledczej – ekspertów sądowych i policyjnych – a także do innych specjalistów, którzy zajmują się zbieraniem, ewidencjonowaniem i analizą elektronicznych dowodów, wskazujących nadużycia i przestępstwa.

X-Ways Forensics to system bardzo szybki w działaniu i wydajny. Jednym z jego zastosowań jest możliwość odnalezienia usuniętych plików oraz wyników wyszukiwania. Specjaliści, którzy na nim pracują, mogą się również dzielić z innymi wynikami pracy za pomocą X-Ways Investigator.

Najważniejsze funkcjonalności, jakie oferuje oprogramowanie, to:

• klonowanie i obrazowanie dysku za pomocą X-Ways Replica; funkcjonuje to także w systemie DOS;

• sprawdzanie struktury katalogów z wcześniejszych wyników obrazowania dysków, także w sytuacji podziału obrazu na wiele segmentów;

• współpraca z FAT, NTFS, Ext2/3, CDFS, UDF, ReiserFS;

• odzyskiwanie i identyfikacja usuniętych plików;

• interpretacja systemów RAID oraz dynamicznych dysków;

• wyszukiwanie obrazów i dysków łańcuchów znajomych oraz ukrytych (dane, które są niewidoczne z poziomu systemu operacyjnego);

• umożliwienie odczytu plików EnCase;

• porządkowanie i katalogowanie plików oraz folderów;

• przeglądanie wszystkich rodzajów zdjęć;

• gwarancja autentyczności danych;

• możliwość chronologicznego przeglądania plików;

• wykrywanie niezgodności nazw czy plików;

• przygotowanie raportów do dalszego użycia;

• gromadzenie „zatrzymanej przestrzeni”, czyli slack space oraz wolnego miejsca między częściami dysku;

• czyszczenie twardego dysku i przygotowywanie go do pracy informatyków śledczych;

• możliwość rejestracji i przeglądania wszystkich plików Windows.

Nie są to oczywiście wszystkie funkcje, zestawienie pokazuje jednak potężny potencjał oprogramowania. Niemiecki produkt jest bezkonkurencyjny na rynku. Dodatkowo jest to rozwiązanie niskokosztowe. Podkreślenia wymaga też fakt jego niewielkich wymagań sprzętowych.

Szkolenie X-Ways Forensics:

https://cts.com.pl/szkolenia/x-ways-forensics-warsztat-praktyczny/

A oto szkolenia z grupy etycznego hakingu (ethical hacking):

https://cts.com.pl/szkolenia/certified-ethical-hacker-ceh-v-10/

https://cts.com.pl/szkolenia/ec-council-certified-security-analyst-v-10-ecsa/

Każdy specjalista ds. bezpieczeństwa cybernetycznego znajdzie w ofercie szkoleń CTS temat dla siebie. Oferujemy szkolenia autoryzowane (akredytowane) z możliwością uzyskania międzynarodowych certyfikatów zawodowych, szkolenia wprowadzające w zaawansowane tajniki utrzymania bezpieczeństwa oraz warsztatowe zajęcia praktyczne, z nauką łamania zabezpieczeń i szukania śladów oraz słabych punktów po zdarzeniu. Szczególnie szkolenia warsztatowe (analiza powłamaniowa, analiza ruchu sieciowego) cieszą się ogromną popularnością. Tematy są bardzo ciekawe dla uczestników szkoleń, praktyczne, przekrojowo uczą prowadzenia testów penetracyjnych, wykorzystania narzędzi informatyki śledczej, szukania słabych punktów systemów.

Zapraszamy do kontaktu: +48 22 208 28 61, [email protected]

Autorem opracowania jest ekspert CTS Customized Training Solutions