Śledczy komputerowy

Computer forensics to termin, który będzie nabierał coraz większego znaczenia - jest szczególnie ważny dla prawników i audytorów bezpieczeństwa IT.

Computer forensics to termin, który będzie nabierał coraz większego znaczenia - jest szczególnie ważny dla prawników i audytorów bezpieczeństwa IT.

Audytorzy proszeni o przeprowadzanie audytów systemów teleinformatycznych mogą niekiedy natknąć się na ślady nielegalnej działalności czy też inne zjawiska, wymagające przeprowadzenia szczegółowego śledztwa. Mogą to być np. szczątkowe informacje dotyczące wątpliwych transakcji, poszlaki mogące wskazywać na wykorzystywanie komputerów do nielegalnej działalności (paserstwo, handel narkotykami) czy masa innego rodzaju aktywności, opisanych w kolejnych artykułach Kodeksu karnego. Co należy robić w takiej sytuacji? Jak odnaleźć potrzebne informacje wiedząc, że wiedza przestępców na temat funkcjonowania systemów teleinformatycznych stale rośnie i mogą oni próbować wymazać ślady swej działalności?

Od pewnego czasu, w specjalistycznych pismach czy na branżowych konferencjach zaczął gościć termin computer forensics. Kolejne afery, w których wykorzystywano elektroniczne dowody, sprawiły, że w świadomości społecznej utrwalił się obraz elektronicznych detektywów potrafiących odtwarzać dane ze zniszczonych nośników, analizować ukryte dla niewprawnego oka informacje zaszyte w elektronicznych dokumentach. Komputerowi detektywi są w stanie odtworzyć i - co ważne - przedstawić dowody dotyczące tego, kto, co i kiedy robił ze swoim komputerem.

Od początku lat 70. computer forensics zajmuje się lokalizowaniem oraz analizowaniem danych, które w formie elektronicznej przetwarzane były na różnego rodzaju nośnikach. Wyniki analiz mogą następnie być przedstawiane jako dowody - czy to do wykazania komuś niewłaściwości postępowania, czy nawet przed sądem w trakcie procesu. Niektórzy autorzy porównują computer forensics z autopsją dysku twardego komputera - odtwarzaniem danych, których nie sposób zauważyć "gołym okiem". Celem tej działalności jest identyfikacja, zachowanie oraz analiza dowodów komputerowych w taki sposób, by mogły zostać dopuszczone jako dowody w rozumieniu prawa i przebiegu procesu sądowego.

Winni i niewinni

Geneza computer forensics jest związana z coraz powszechniejszym odzyskiwaniem danych. Firmy, które zajmowały się tego rodzaju działalnością, zauważyły, że wraz z coraz częstszymi przypadkami nadużyć, szczególnie w biznesie, pojawił się popyt na specjalistów znających dogłębnie sposoby przechowywania danych na nośnikach elektronicznych. Możliwość odtworzenia pierwotnej formy danych - także celowo zniszczonych - oraz udowodnienia czynności związanych z usuwaniem tych danych, wykonanych przez konkretne osoby, staje się typową usługą w ofertach kolejnych firm informatycznych.

Badania przeprowadzone w ub.r. przez PricewaterhouseCoopers pokazują, że ponad połowa polskich przedsiębiorstw doświadczyła strat powstałych wskutek różnego rodzaju nadużyć. Średnia wielkość szkód jest oceniana na 460 tys. USD. Około 60% firm nie jest przy tym w stanie odzyskać utraconych aktywów. Widać więc, że możliwość skutecznego odtworzenia przebiegu pewnych czynności może mieć bardzo wymierną wartość. Te same badania pokazują, że ok. 30% wszystkich przypadków defraudacji jest powodowanych przez byłych i obecnych pracowników oraz współpracowników - czyli osoby posiadające dostęp do systemów, znające jego słabe strony i potrafiące ukrywać swą działalność (niektóre źródła zaznaczają jednak, że podana wartość jest zdecydowanie zaniżona i osoby z wewnątrz organizacji są odpowiedzialne za ponad 90% wszelkiego rodzaju nadużyć). Z kolei w swoich badaniach wskazuje, że działania pracowników stanowią główne zagrożenie dla bezpieczeństwa informacji.

Firma KrollOntrack na podstawie analizy wpływających zgłoszeń wskazuje na najczęściej popełniane przestępstwa z użyciem komputerów: kradzież danych, sabotaż (ujawnienie tajemnicy handlowej, celowe niszczenia danych, szpiegostwo przemysłowe), defraudacja środków finansowych, łamanie prawa pracy i praw autorskich, kradzież i nielegalne wykorzystanie danych osobowych, sprawy kryminalne (handel narkotykami, terroryzm, morderstwa, samobójstwa, zorganizowana przestępczość, pedofilia).

W Stanach Zjednoczonych specjaliści od computer forensics są na co dzień angażowani do spraw dotyczących szerokiego spektrum tematów - od molestowania seksualnego, aż po walkę z międzynarodowym terroryzmem. Można nawet zaryzykować stwierdzenie, że komputerowi detektywi mogą być pomocni podczas procesu zbierania dowodów w trakcie śledztwa dotyczącego dowolnego przestępstwa, które w jakiejś formie angażowało komputery.

W zależności od sytuacji analiza danych może przebiegać w sposób jawny - nawet w obecności zainteresowanego - lub po kryjomu (niekiedy konieczne jest skopiowanie danych w mniej przyjemnych okolicznościach - w nocy czy w trakcie weekendu). Zdarzają się sytuacje, na przykład gdy podejrzany posiada szczególnie potrzebną wiedzę, że władze firmy decydują się na tolerowanie zachowań podejrzanego, aż do momentu zatrudnienia lub wyszkolenia jego zastępcy. W tym czasie można wysłać podejrzanego pracownika na urlop, szkolenie czy czasowo przenieść do innych zadań.

W pewnych przypadkach, poza udowadnianiem, że podejrzana osoba wykonała określone czynności, analiza danych pozwala na uzyskanie dowodów jej niewinności. Niebezpieczeństwa związane z kradzieżą tożsamości sprawiają, że bez wiedzy ofiary jej dane czy też zasoby mogą zostać użyte przez nieuprawnione osoby - co może zarówno przynieść bezpośrednie straty, jak i stać się narzędziem do popełniania kolejnych przestępstw.

W stogu siana

By przeprowadzane czynności mogły później mieć moc dowodową, trzeba zadbać o to, by nie dało się później zaprzeczyć rzetelności całego procesu zbierania informacji. Proces analizy danych musi zapewnić, że wyniki są oczywiste i nie pozostawiają wątpliwości. Ponadto konieczne jest zapewnienie możliwości ewentualnego powtórzenia analizy - na przykład przez inną, niezależną firmę. Dowody komputerowe, tak jak wszystkie inne dowody, powinny być: autentyczne, dokładne, kompletne, przekonujące oraz zdobyte w sposób zgodny z prawem. Z tego powodu pierwszą czynnością, jaką należy wykonać, jest przygotowanie dokładnej kopii analizowanego dysku. Nie chodzi tu bynajmniej o przegranie wszystkich danych, lecz o przygotowanie obrazu zawierającego wszelkie informacje, jakie znajdują się na dysku, czyli m.in. ślady po skasowanych plikach czy dawne partycje.

Można wskazać kilka kardynalnych reguł, których w tym procesie należy koniecznie przestrzegać. Przede wszystkim istotne jest dopilnowanie, by żadne dowody nie zostały uszkodzone, zniszczone czy też, by w żaden inny sposób nie została podważona ich wiarygodność ze względu na procedury przeprowadzane w trakcie śledztwa. Nie wolno pracować na oryginalnych danych. Należy zapewnić bezpieczeństwo i integralność łańcucha kolejnych wykonywanych czynności oraz ich wyników, a także dokumentować prace (zapisywanie kto, co, gdzie, kiedy, dlaczego i jak zrobił w badanej sprawie).

W chwili, gdy zabezpieczone zostają oryginalne dane, należy przystąpić do ich analizy. Należy skoncentrować się na trzech grupach: danych jawnych, danych ukrytych oraz otoczeniu komputera.

W pierwszej kolejności przeszukuje się nośnik pod kątem danych jawnych - nieskasowanych. Szuka się słów kluczowych, plików tworzonych lub modyfikowanych w zadanym okresie. Do uzyskania potrzebnych informacji można analizować różne rodzaje plików (zwykłe, tymczasowe, znajdujące się w koszu, ostatnio otwierane, pliki wymiany, pliki tymczasowe przeglądarki, kolejkowania wydruku, cookies, kopie plików), a także logi i rejestry.

Analiza powinna uwzględniać sprawdzenie, czy wszystkie pliki są w rzeczywistości plikami tego typu, na który wyglądają. Jednym z najprostszych sposobów na oszukanie osób starających się odnaleźć dane jest zamiana rozszerzeń ważnych plików na pliki w formatach używanych do innych celów, np. *. dat. Nowoczesne oprogramowanie do analizowania danych potrafi błyskawicznie dokonać takiej weryfikacji. Odnalezienie w trakcie przeprowadzanej analizy jakichkolwiek zaszyfrowanych plików powinno zakończyć się odzyskaniem haseł i przełamaniem zabezpieczeń - trzeba pamiętać, że dane mało istotne zazwyczaj nie są szyfrowane.

Po przeprowadzeniu analizy danych jawnych należy przystąpić do analizy danych ukrytych. Są nimi metadane dołączane do wielu rodzajów plików, steganografia, skasowane dane, stare partycje, slack space. Wiedza wraz z odpowiednimi programami narzędziowymi umożliwia odzyskanie znacznej ilości danych, które próbowano ukryć. Niestety trzeba pamiętać, że istnieją również sposoby trwałego usunięcia takich danych. Niekiedy na przykład, gdy ma się do czynienia z zaawansowanym technologicznie przeciwnikiem lub gdy się pracuje na fizycznie uszkodzonych nośnikach, może się okazać, że poszukiwanych danych nie uda się znaleźć.

W takiej sytuacji należy przystąpić do analizy otoczenia badanego nośnika polegającej na przeszukiwaniu danych, które znajdują się na innych urządzeniach, przez które mogły być one przesłane w kopiach zapasowych lub innych powiązanych nośnikach. Na przykład list elektroniczny poza programem pocztowym odbiorcy, może się znajdować u nadawcy, na serwerze odbiorcy, serwerze nadawcy i innych serwerach, które mogły być wykorzystane w trakcie przesyłania poczty. Mówi się, że to praca z dyskami, lecz analiza to przede wszystkim praca z serwerami.

Możliwości computer forensics są znaczne, lecz by zwiększyć szanse powodzenia prowadzonych prac, warto wcześniej się do nich przygotować. Przede wszystkim należy możliwie utrudnić dokonanie defraudacji przez nieuczciwą osobę. Właściwe przydzielanie uprawnień, przestrzeganie poufności danych wykorzystywanych do uwierzytelniania, stosowanie oprogramowania zabezpieczającego, przygotowanie i egzekwowanie stosowania odpowiednich zasad postępowania (w tym korzystania z komunikatorów internetowych czy pamięci przenośnych), poparte podpisywaniem przez pracowników zobowiązania przestrzegania zasad obowiązujących w firmie - to wszystko może pomóc w zapobieganiu niepożądanym zdarzeniom. Odpowiednio zdefiniowane reguły polityki i procedury potrafią, jeżeli nie uniemożliwić, to na pewno znacznie utrudnić niewłaściwe wykorzystywanie zasobów teleinformatycznych firmy. Na pewno przyspieszą również chwilę wykrycia takiej działalności.

Dobrą praktyką, również ze względu na możliwości śledzenia aktywności podejrzanych użytkowników, jest regularne przygotowywanie kopii zapasowych najcenniejszych danych oraz logów, by w razie potrzeby można było odtworzyć potrzebne dane nawet sprzed wielu miesięcy. Również i z tego powodu coraz częściej praktykuje się tworzenie dokładnego obrazu dysku odchodzącego pracownika oraz zabezpieczanie plików, nad którymi pracował. W przypadku gdy w firmie praktykuje się szyfrowanie danych, należy upewnić się, że istnieje możliwość wglądu do plików przez upoważnionych administratorów.

Umocowania prawne

Aspekt niszczenia, nieautoryzowanego modyfikowania lub nieuprawnionego wykorzystywania informacji został dostrzeżony przez polskich prawodawców. Artykuł 268 i 268a Kodeksu karnego wyraźnie zwraca uwagę na "nieuprawnione niszczenie, uszkadzanie, usuwanie lub zmienianie istotnych zapisów informacji lub udaremnianie lub w znacznym stopniu utrudnianie osobie uprawnionej zapoznania się z nią". Dodatkowo art. 287 KK zwraca uwagę na aspekt osiągania korzyści majątkowych poprzez "wpływanie na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych lub zmienianie, usuwanie lub wprowadzanie nowych zapisów danych informatycznych".

Ustawa o zwalczaniu nieuczciwej konkurencji artykułem 23 sankcjonuje czyn nieuczciwej konkurencji, który zdefiniowany w artykule 11 określa się jako "przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy". Ustawa definiuje też tajemnicę przedsiębiorstwa jako "nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności".

Przeszukanie polskich zasobów internetowych wskazuje, że już kilka firm ma w swojej ofercie profesjonalne usługi związane z tym zagadnieniem. Podczas wyboru właściwej należy przede wszystkim kierować się wiarygodnością oraz profesjonalizmem - efekty ich pracy mogą stać się celem ataku adwokatów oskarżonego pracownika, a sam materiał dowodowy może zostać uszkodzony przez nieupoważnioną osobę. W przypadku gdy informacje na dyskach posiadają znaczną wartość i istnieje obawa, że ich ujawnienie konkurencji lub szerszej opinii publicznej może przynieść znaczne szkody, należy upewnić się, że firma odzyskująca dane daje gwarancje na lojalną i dyskretną pracę swych pracowników. Minimum, którego należy żądać, to potwierdzenie poufności wystawione przez kierownictwo.

W niedługim czasie należy się spodziewać, że Agencja Bezpieczeństwa Wewnętrznego zacznie wydawać firmom zajmującym się odzyskiwaniem danych oraz computer forensisc certyfikaty poufności przemysłowej zgodne z Ustawą o ochronie informacji niejawnych, które byłyby potwierdzeniem poufności przeprowadzanych czynności.

Dodatkowym potwierdzeniem kwalifikacji pracowników zajmujących się analizą danych mogą być certyfikaty wystawiane przez takie organizacje, jak Information Systems Audit & Control Association (ISACA), High Technology Crime Investigation Association (HTCIA), Institute of Internal Auditors (IIA), Association of Certified Fraud Examiners (ACFE), Information Systems Security Association (ISSA), International Information Systems Security Certification Consortium (ISC), Council for the Registration of Forensics Practicioners (CRFP). Oczywiście liczą się również certyfikaty wystawiane przez producentów specjalistycznego oprogramowania. Poza potwierdzeniem kompetencji z zakresu audytu i przeprowadzania postępowania dochodzeniowego czy kompetencji technicznych niektóre certyfikaty, jak np. Certified Information System Auditor (CISA), wymagają przestrzegania ustalonych norm etycznych.

Dane przechowywane w systemach komputerowych są coraz częściej dowodami w sprawach. Komputery służą jako bazy danych popełnionych przestępstw lub też same są wykorzystywane do ich popełniania. Dokładna analiza zawartości ich dysków potrafi przynieść wiele odpowiedzi, mimo iż może się wydawać, że wszelkie dane zostały nieodwracalnie usunięte. Po raz kolejny okazuje się, że diabeł tkwi w szczegółach...

Jakub A. Syta jest administratorem ds. bezpieczeństwa sieci i systemów w Biurze Informatyki i Telekomunikacji w Polskim Radiu SA.


TOP 200