Dowody z komputera

Zbieranie materiałów dowodowych dotyczących przestępstw komputerowych jest dość skomplikowane i zawiera wiele pułapek. Nawet niewielkie przeoczenie może sprawić, że wartość zebranych materiałów będzie bardzo niska.

Przy dokumentowaniu śladów przestępstwa związanego z technologią komputerową, należy zachować uznane standardy. Nawet jeśli zebrane materiały nie będą bezpośrednio używane w sądzie, mogą posłużyć na przykład do wewnętrznego dochodzenia albo pomogą w pracy organom ścigania. Niekiedy materiał ten może być użyty w obronie pracownika lub firmy. Może to mieć miejsce w przypadku przestępstw wykonanych przez osoby trzecie przy użyciu złośliwego oprogramowania instalowanego na stacjach roboczych.

Ślady zbierane z systemów komputerowych są "trudnym materiałem", gdyż są łatwo modyfikowalne, można je łatwo spreparować i są łatwe do zniszczenia. Dlatego ich zabezpieczenie wymaga odpowiednich narzędzi oraz wiedzy.

Aby zebrany materiał był dowodem, musi być wierny, autentyczny, obiektywny i kompletny. Wierność oznacza, że wszelkie dostępne informacje zostały przekazane bez przekłamań (celowych lub przypadkowych). Autentyczność oznacza, że materiał przekazany dalszym organom (na przykład specjalistom policyjnym) jest dokładnie tym, który powstał w wyniku profesjonalnego zabezpieczenia śladów. Materiał musi być obiektywny - analizy mogą prowadzić różni eksperci na podstawie tych samych zebranych informacji. Aby materiał był kompletny, musi objąć wszystkie aspekty technologii przetwarzania danych, w tym także urządzenia peryferyjne, sposób komunikacji, połączenia kablowe i bezprzewodowe oraz wszystkie nośniki, w tym także przenośne pamięci.

Procedura pobierania materiału musi przy tym zakładać, że będzie on zachowany w taki sposób, by proces jego analizy był powtarzalny i kompletny. Należy zwrócić szczególną uwagę na obiekty znajdujące się w bezpośredniej bliskości badanego komputera, gdyż czasami użytecznym dowodem może być dopiero komplet danych zawartych w pamięci i na dyskach wraz z informacjami pozyskanymi z nośnika wymiennego.

Złote zasady

Ogólne zasady zbierania materiałów dowodowych określa dokument RFC3227:

- Współpracować z organami ścigania, zgłaszać incydenty naruszenia bezpieczeństwa, zachowując politykę bezpieczeństwa w danej organizacji.

- Zebrać tak dokładny obraz systemu, jak to jest tylko możliwe.

- Zanotować różnicę między zegarem w systemie a czasem GMT. Każde oznaczenie czasu powinno zawierać informację o tym, czy jest to czas zegara lokalnego w komputerze, czy uniwersalny GMT.

- Wykonywać szczegółowe notatki zawierające daty i godziny. Jeśli korzysta się z narzędzi skryptowych, wynik ich pracy nie może być zapisywany na badanym medium.

- Notatki i wydruki należy opisać, oznaczyć datą i godziną oraz podpisać.

- Przygotować się do późniejszego opisania wszystkich wykonywanych czynności - notatki bardzo w tym pomogą.

- Minimalizować zmiany wprowadzane do systemu podczas zbierania danych. Dotyczy to nie tylko zmian w zawartości, ale także znaczników ostatniego dostępu do pliku lub katalogu.

- Usunąć osoby postronne, zapewnić obecność świadka.

- W przypadku konieczności wyboru między analizą i rejestracją, w pierwszej kolejności należy dane zebrać, a dopiero potem analizować.

- Dane należy zbierać w odpowiedniej kolejności, najpierw te najbardziej ulotne.

- Wykonać dokładną kopię (bit po bicie) nośników danego komputera. Jeśli to tylko możliwe, nie pracować na oryginalnym materiale, ale w bezpieczny sposób na jego kopii, gdyż każdy dostęp modyfikuje znaczniki czasu dostępu do obiektów w systemie plików. Bardzo użytecznym narzędziem jest automat kopiujący dyski (taki jak Imagemasster Solo) oraz write blocker (np. Ultrablock), który zapobiega zmianom w kopii.

- Wszystkie wykonane kopie cyfrowe muszą być opisane w protokole razem ze skrótami kryptograficznymi zawartości.

- Wszystkie procedury powinny być dobrze zaimplementowane, przetestowane i zautomatyzowane tak, jak to jest tylko możliwe.

Aby proces zabezpieczenia danych był w pełni profesjonalny, należy bardzo dokładnie udokumentować zastany stan stacji roboczej, w tym połączenia przewodów do poszczególnych gniazd i wygląd otoczenia. Oględziny należy protokołować i wykonać dokumentację fotograficzną. Jest to szczególnie ważne w przypadku połączeń sieciowych - gdyby zapomnieć o zaprotokołowaniu i dokumentacji stanu przewodów sieciowych lub sygnalizacji włączenia modułu Wi-Fi, dowód taki mógłby mieć wątpliwą wiarygodność. Wynika to stąd, że komputer odłączony od sieci lokalnej ma zupełnie inny wpływ na pracę środowiska IT niż wtedy, gdy jest z nią połączony.


TOP 200