Computerworld.pl
 
  1. Strona główna
  2. CIO Executive
  3. Niezbite cyfrowe dowody

Niezbite cyfrowe dowody

Przestępstwa, jakie obejmują dochodzenia informatyki śledczej:
  1. Przestępstwa przeciw poufności, integralności i dostępności danych (tzw. przestępstwa CIA). Do tych przestępstw zaliczamy głównie nielegalny dostęp do systemów poprzez hacking, podsłuch i oszukiwanie uprawnionych pracowników, szpiegostwa komputerowe, sabotaż i wymuszenia komputerowe (wirusy, ataki DOS, DDOS, spam).
  2. Powiązane z komputerami przestępstwa tradycyjne, takie jak oszustwa (od klasycznych oszustw manipulacji fakturami lub kontami firmowymi, do manipulacji online - oszukańczych aukcji czy nielegalnego używania kart kredytowych). Przestępstwa obejmują również komputerowe podróbki, molestowanie dzieci, aż do ataków na życie ludzkie, np przez manipulowanie systemami szpitalnymi lub kontroli ruchu powietrznego.
  3. Przestępstwa "contentowe" (dotyczące zawartości). Ta kategoria obejmuje na przykład dziecięcą pornografię, dostarczanie instrukcji przestępczych, oferty popełniania przestępstw. Do kategorii zaliczamy także molestowanie i lobbing poprzez sieć, rozpowszechnianie fałszywych informacji (np. czarny PR, schematy "pump-and-dump") oraz internetowy hazard.
  4. Przestępstwa powiązane z naruszeniem prawa autorskiego i praw pokrewnych, takie jak nieautoryzowane kopiowanie i rozpowszechnianie programów komputerowych, nieautoryzowane użycie baz danych.
  5. Klasyczne przestępstwa, których ślady pozostają w systemach komputerowych - kradzieże, korupcja, oszustwa, defraudacje.
(Źródło: Media Recovery)

Czas na elektronicznych detektywów

Najczęściej powodem, dla którego firmy sięgają po usługi elektronicznych detektywów, są podejrzenia o nieuczciwość pracowników (60% zleceń) lub zarządów (12% zleceń). W Polsce do najczęstszych przypadków zastosowania computer forensics należą sprawy o kradzież danych przez zwalnianych lub nielojalnych pracowników oraz sabotaż (usuwanie lub kradzież danych firm lub instytucji publicznych mające na celu m.in. osłabienie ich pozycji konkurencyjnej lub pozyskanie know how). Drugim, niemal równie częstym powodem zleceń jest wynoszenie z firm przez handlowców baz danych. Są one najczęściej przekazywane konkurencji w celu uzyskania zatrudnienia bądź korzyści majątkowych. W tym ostatnim przypadku już nawet na polskim rynku może chodzić o spore pieniądze - jak podaje Manager Magazine, rozmowy o informatycznym szpiegostwie na rzecz konkurencji zaczynają się od kwoty 100 tys. zł. Najmniejszą liczbę zleceń firmy CF otrzymują od osób prywatnych, np. w przypadku rozwodów, ale ten stan rzeczy powoli się zmienia; elektroniczne dowody zdrady odgrywają coraz większą rolę w procesach cywilnych, zwłaszcza gwiazd i gwiazdek - celebrities. Ustalone procedury pozyskiwania i składowania danych zapewniają, że na nośnikach znajdują się wyłącznie oryginalne i niezmodyfikowane informacje. Laboratoria computer forensic dobrze radzą sobie z zachowaniem integralności zawartej w dowodach elektronicznych treści. Uwierzytelnianie dowodów powierza się tylko ekspertom - ze względu na posiadaną przez nich wiedzę zarówno o samych dowodach, jak i o koniecznym do zabezpieczenia sprzęcie oraz oprogramowaniu. Badania odbywają się na kopiach oryginalnych dowodów, co ma je uchronić przez nieumyślnym zniszczeniem lub modyfikacją. Oryginalne dane ekspert zabezpiecza sumą kontrolną - jest ona, jak zwykle w przypadku tej metody, unikatowa dla każdego pliku danych. Każda najdrobniejsza ingerencja w zabezpieczone dane musi ją zmienić. Firmy zasadniczo nie mogą same zabezpieczyć dowodów elektronicznych; wyjątkiem są organizacje posiadające dział incident response - reakcji na incydenty. Przedsiębiorstw takich jest jednak w naszym kraju niewiele. W Polsce działy incident response posiadają głównie firmy z branż internetowej i finansowej. "W Polsce istnieje wąska grupa firm, których specjalistyczne działy mogłyby po wykryciu incydentu samodzielnie zabezpieczyć dane. Paradoksalnie jednak posiadanie własnego działu incident response nie ułatwia firmom samodzielnego zebrania i analizy, a następnie prezentacji w sądzie elektronicznych środków dowodowych. Problemem jest niska wiarygodność takich działań, gdyż stroną w prowadzonej sprawie jest zazwyczaj sama firma. Bez względu na zastosowaną technologię stronie przeciwnej łatwiej jest podważyć obiektywizm wewnętrznego działu firmy - strony w postępowaniu" - twierdzi Paweł Odor z Ontrack.

Siła sumy kontrolnej

Paweł Odor, główny specjalista, Ontrack Odzyskiwanie Danych

Notujemy rocznie 50-proc. wzrost liczby spraw związanych z dostarczaniem elektronicznych środków dowodowych. Mamy do czynienia z setkami nośników analizowanych pod kątem computer forensics. W procesie dostarczania elektronicznych środków dowodowych obowiązują określone procedury. Procedura zabezpieczania dowodów rozpoczyna się przygotowaniem dwóch kopii binarnych nośnika, np. dysku twardego. Dla bezpieczeństwa eksperci pracują na kopii, nie na oryginale danych. Wykonanie kopii należy przeprowadzać przy pomocy specjalnego oprogramowania, często koniecznie jest wykorzystanie urządzeń zwanych blockerami, które chronią dysk źródłowy przed modyfikacją danych. Dla kopii wyliczone zostają tzw. sumy kontrolne, pozwalające na określenie, czy zawartość pliku, dysku, porcji danych od czasu jej wygenerowania nie zmieniła się. Do jej stworzenia wykorzystywany jest specjalny algorytm matematyczny (SHA, MD5), który powoduje, że korzystając z obecnie dostępnej technologii, nie da się zmienić zawartości pliku w taki sposób, żeby uzyskać żądaną sumę. Następnie specjaliści computer forensics odfiltrowują dane nieistotne dla procesu, np. pliki należące do systemu lub powtarzające się. Pozostałe dane poddane są analizie pod kątem prowadzonej sprawy. Na podstawie analizy eksperci opracowują raport podsumowujący wyniki ich prac. O tym, czy środek dowodowy stanie się dowodem, decyduje sąd.

Badania dowodów cyfrowych muszą opierać się na informacjach uzyskanych w trakcie "klasycznego" dochodzenia. Trudno jest bowiem przeskanować każdy plik na komputerze czy wydrukować wszystkie zawarte tam informacje. Dla przykładu 12 GB wydrukowanego tekstu stworzyłoby plik papieru o wysokości 24 pięter. Z doświadczeń branżowych wynika, że przeciętne śledztwo elektroniczne obejmuje obecnie ok. 10 mln różnego rodzaju plików. Za kilka lat ta liczba sięgnie 100 mln. Dowód elektroniczny musi być pozyskany, potwierdzony (poddany procesowi uwierzytelniania), zabezpieczony i zanalizowany w sposób, który uniemożliwi obronie podniesienie zarzutu manipulacji dowodem czy fałszerstwa. Używane są w tym celu specjalne oprogramowanie i sprzęt - tzw. narzędzia CF. Obejmują one hardware (np. blokery) i software, czyli specjalne narzędzia programowe. Warto jednak dodać, że łatwiej akceptowane w postępowaniach sądowych są rezultaty uzyskane za pomocą standardowych, wielokrotnie sprawdzonych narzędzi służących przeszukiwaniu nośników, odzyskiwaniu danych oraz analizie i raportowaniu.

Zobacz również:

  • 9 cech wielkich liderów IT
  • CIO "bumerangi": liderzy IT awansują, powracając
  • 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas