Gdzie szukać?

Najczęstszymi nośnikami informacji, które analizowane są w procedurach computer forensics, są twarde dyski z komputerów osobistych (ponad 60% wszystkich nośników). Co piąty dysk trafia z serwera. Ciekawostką jest na przykład, że co czterdziestym nośnikiem jest telefon komórkowy (wykasowane SMS-y, podobnie jak pliki z dysku, nie znikają definitywnie). Natomiast bardzo rzadko są już wykorzystywane dyskietki.

Z każdym nośnikiem specjaliści od computer forensics postępują w inny sposób. Z twardych dysków wykonywane są dwie kopie bez ingerencji w oryginał - jedna trafia wraz z oryginalnym twardym dyskiem do zleceniodawcy, na drugiej pracują specjaliści. Wykonanie każdej kopii zakończone jest wyliczeniem sumy kontrolnej, która gwarantuje zgodność z oryginałem.

Poszukiwanie dowodów popełnienia przestępstwa na komputerze to trochę jak szukanie igły w stogu siana. Chociaż firmy wyposażone są w specjalistyczne oprogramowanie wyszukujące informacje we wszystkich zakamarkach dysku, to nie są w stanie pracować przynajmniej bez dostarczenia przez klienta podstawowych informacji o rodzaju poszukiwanych danych. Wzajemna współpraca jest tu kluczem do sukcesu.

W procesie computer forensics analizowane są nie tylko zapisane na dysku pliki. Bardzo często pole do popisu mają specjaliści od odzyskiwania danych. Wiele ciekawych informacji znaleźć można w tzw. slack space - sektorach i klastrach resztkowych. Podczas nadpisywania usuniętych wcześniej danych sektory dysków nie są w pełni zapisywane - w sektorze mieszczącym końcówkę nowego pliku zawsze zostaje trochę informacji, wielokrotnie bardzo cennych dla komputerowych detektywów.

Proces analizy danych najczęściej obejmuje:

• odtwarzanie istotnych zdarzeń z uwzględnieniem ich chronologii (wizyty na stronach internetowych, komunikacja pocztą elektroniczną, zmiany dokumentów, kasowanie danych itp.);
• poszukiwanie dokumentów zawierające słowa kluczowe związane ze sprawą, a wskazywane najczęściej przez organa śledcze;
• poszukiwanie kopii istotnych dokumentów oraz ich wcześniejszych wersji;
• sprawdzanie istnienia na nośniku i zaistnienia operacji z wykorzystaniem programów kasujących dane;
• analizę autentyczności danych oraz znaczników czasowych.

Oprogramowanie w computer forensics

Ogromną rolę w poszukiwaniu dowodów przestępstw pełni oprogramowanie. Bez jego funkcji wyszukiwawczych i analitycznych niemożliwe byłoby przeszukanie milionów plików (dokumenty, grafika, e-maile), które są potencjalnymi nośnikami informacji w sprawie.

Obecnie najpopularniejszym i najefektywniejszym narzędziem na świecie wykorzystywanym przez specjalistów computer forensics (także w Polsce) jest wspomniana już aplikacja EnCase firmy Guidance Software. Rozwiązanie to, oprócz opcji odzyskiwania skasowanych danych i jednoczesnej ich analizy, ma unikatową w tej branży funkcjonalność: pozwala na bieżące monitorowanie każdego komputera w sieci rozległej niezależnie od liczby stanowisk oraz lokalizacji komputerów. Narzędzie umożliwia pozyskiwanie materiałów dowodowych w systemach operacyjnych Windows, Unix, Linux, Mac oraz systemów Palm OS zainstalowanych w urządzeniach PDA.

EnCase pozwala na śledzenie zmian wprowadzanych do monitorowanych jednostek i raportowanie niezgodności działań podejmowanych na poszczególnych komputerach z tymi, do których użytkownik danej maszyny ma uprawnienia. W przypadku ich stwierdzenia zawartość danego komputera jest automatycznie kopiowana, a wprowadzone zmiany analizowane pod kątem popełnienia lub próby popełnienia przestępstwa.