Komputerowy kryminał cz.1

Śpiewać każdy może?

Pamiętamy słowa piosenki śpiewanej przez Jerzego Stuhra: "Jak człowiek wierzy w siebie, cała reszta to betka, nie ma takiej rury na świecie, której nie można odetkać".

Mniej więcej tak samo przedstawia się sytuacja z włamywaczami komputerowymi. Wychodzą z założenia, że przy odpowiednim nakładzie sił i środków każde zabezpieczenie można zdemolować i niestety to właśnie oni nadają ton. To oni wymyślają nowe sposoby wykorzystywania techniki do swoich celów, to oni coraz lepiej się maskują. Najciekawsze jest to, że tam, gdzie podstawowym narzędziem jest informatyka, przestępców od śledczych dzieli bardzo niewielki dystans. Są tego dwie przyczyny.

Po pierwsze to, że ludzie zajmujący się ściganiem to prawdziwi pasjonaci - doskonale znają najnowsze trendy, posiadają rozległą wiedzę. Zdziwiłby się ten, kto z góry uznałby, że są to sami informatycy. Ludzie ci wywodzą się z różnych kręgów. Znajdziemy wśród nich prawników, elektroników, fizyków, matematyków, ekonomistów. Bardzo często są samoukami, a dzięki swojej determinacji w tym co robią są naprawdę dobrzy.

Po drugie, sprzęt niezbędny do tropienia przestępców nie jest specjalnie drogi. Jasne, że dla zwykłego śmiertelnika i organizacji detektywistycznej pojęcie "drogi" może znaczyć zupełnie co innego. Wydatki na wyposażenie śledczego, który zostanie wysłany do walki w "polu" w skrajnym przypadku mogą sięgnąć ok. 50 tys. zł. Nie jest to dużo zważywszy na wagę informacji, z którymi przyjdzie mu się spotkać. W przypadku, kiedy zostanie wysłany np. do banku lub dużej spółki giełdowej, koszt jego "gadżetów" stanowić będzie promil wartości danych, które mogły paść ofiarą włamywacza.

A skoro mowa o sprzęcie...

Zabawki dla dorosłych

Co jest podstawowym wyposażeniem śledczego? Przede wszystkim komputer. Fachowcy mówią, że najlepszym przyjacielem cyberkryminalistyka jest laptop. Skoro laptop, to z odpowiednim oprogramowaniem. To może być bardzo zróżnicowane - od superdrogich (od 2400 do 6500 USD) superkombajnów w rodzaju EnCase Forensics (http://www.encase.com ), poprzez bardziej dostępne (ok. 410 euro) X-Ways Forensics (http://www.x-ways.com ), aż do narzędzi darmowych w rodzaju The Coroner's Toolkit, Sleuthkit wraz z Autopsy (http://www.sleuthkit.org ). Dochodzą do tego wszelkiego rodzaju dystrybucje typu live Linuxa, np. Helix (http://www.e-fense.com/helix/ ), Fire (http://fire.dmzs.com ), Plac (http://sourceforge.net/projects/plac/ ). W Belgii powstała również oparta na Knoppixie i używana przez Belgijską Federalną Jednostkę Zwalczania Przestępczości Komputerowej (Belgian Federal Computer Crime Unit) specjalnie przygotowana dystrybucja o nazwie FCCU GNU/Linux (http://www.lnx4n6.be ).

Jak wiemy, siła takich dystrybucji polega na tym, że wszelkie uruchamiane z nich programy (z racji nośnika) są z góry odporne na modyfikacje. Komputer i oprogramowanie to już jakiś początek. Przydałoby się jednak kilka dodatkowych "zabawek". Jedną z nich może być write blocker (urządzenie pozwalające na wykonanie kopii binarnych - 1:1 - nośników danych). Do tego dochodzą wszelkiego rodzaju czytniki, przelotki, kable - słowem, wszystko to, co może być przydatne do podłączenia dodatkowych urządzeń.

Przybywając na miejsce zdarzenia śledczy nie może być zaskoczony i nieprzygotowany technicznie. Inwestycja w sam sprzęt to jednak nie wszystko. Nawet najnowsze zdobycze techniki będą bezużyteczne, jeżeli śledczy nie będzie potrafił wykorzystać ich możliwości lub nie będzie miał pojęcia o tym, czego powinien szukać i jak postępować. Dlatego kluczowe jest ciągłe kształcenie poprzez warsztaty, sympozja, specjalistyczne centra szkoleniowe. Nieocenionym źródłem informacji są konferencje branżowe podczas których eksperci z całego świata mogą wymieniać się doświadczeniami. Najwięcej takich wydarzeń odbywa się w Stanach Zjednoczonych. Wśród najbardziej wartościowych możemy wymienić: American Society for Industrial Security Conference (http://www.asisonline.org ) - w tym roku odbędzie się ona również w Europie w dniach 23-26 kwietnia w Nicei (Francja) czy Computer Security Institute Annual Security Conference (http://www.gocsi.com ). Śledczych na pewno nie powinno zabraknąć także na konferencjach i warsztatach BlackHat (http://www.blackhat.com ).

No pain no gain, czyli bez pracy nie ma kołaczy

Komputerowy kryminał cz.1

Laboratorium kryminalistyki informatycznej: stanowisko do bezpyłowego badania dysków

Wiemy już mniej więcej czym jest computer forensics, kim są "zamieszani" w ten fach śledczy i co może stanowić ich podstawowe wyposażenie. A jak wygląda praca tych ludzi? Nie są to na pewno pełne dramaturgii pościgi rodem z filmu "Takedown" (polowanie na Kevina Mitnicka). Wręcz przeciwnie, praca ta ma zdecydowanie bardziej statyczny charakter, wymaga determinacji, skrupulatności i chorobliwej wręcz "dłubaniny", po której nie bolą nogi od biegania, tylko oczy i palce. I to bardzo...

Każde działanie rozpoczyna się przeważnie od roboty papierkowej - jest to zdobycie odpowiednich zezwoleń, wypełnienie protokołów, ustalenie stanu faktycznego itp. Na samym początku ustala się także osoby kontaktowe ze strony poszkodowanego i organu śledczego. Wszystko w trosce o poufność i bezpieczeństwo kontaktów. Często, zwłaszcza wtedy kiedy postępowanie prowadzi firma prywatna, osoby takie dostają telefony komórkowe wyłącznie na potrzeby porozumiewania się w danym śledztwie. Ciąg dalszy zależy od tego, z jaką sprawą mamy do czynienia.

Inaczej będzie wyglądała sprawa włamania do serwera, a inaczej odtworzenie zawartości posiadanego dysku twardego. W przypadku tej pierwszej konieczny będzie pośpiech, być może uda się złapać sprawcę na gorącym uczynku. W drugiej nie trzeba się aż tak spieszyć - dane nigdzie nie uciekną.

Kolejnym etapem jest rozpoznanie terenu działania i zlokalizowanie potencjalnych źródeł śladów. Te mogą być różne. Począwszy od rozrzuconych na biurku dyskietek, płyt CD, kart pamięci flash, poprzez telefony komórkowe, palmtopy, odtwarzacze mp3, a skończywszy na samym komputerze i jego zawartości.

W przypadku komputera sprawa nieco się komplikuje. Dlaczego? Ponieważ nie można ot tak go wyłączyć i zabrać. Trzeba zdawać sobie sprawę z różnorakiego charakteru znajdujących się tam "magazynów" śladów. Mogą to być źródła trwałe, np. część katalogów na dysku, lub nietrwałe (pamięć operacyjna, pliki wymiany itp.). A zatem wszelkie działania muszą być starannie przemyślane i, co bardzo istotne, dokładnie dokumentowane.

Prowadzenie rzetelnej dokumentacji jest jednym z najważniejszych elementów postępowania. Bez niej przedstawienie zebranych śladów w sądzie będzie bezcelowe. Trzeba zachować tzw. chain of custody, czyli nierozerwalny łańcuch następujących po sobie kroków, tak aby nie było możliwe podważenie autentyczności i integralności zebranych dowodów.

Komputerowy kryminał cz.1

Cechy dobrego śledczego

Wszystkie te czynności określa się ładnie brzmiącym terminem "zabezpieczenie śladów". W 90% przypadków kolejnym krokiem będzie poddanie zabezpieczonego materiału odpowiedniej analizie, którą przeprowadza się w laboratorium, w odpowiednich warunkach. Jest to najbardziej żmudna i pracochłonna część postępowania.

Przy okazji musimy wspomnieć o jeszcze jednej ważnej zasadzie, którą rządzi się kryminalistyka informatyczna: NIGDY NIE PRACUJ NA ORYGINALE. A zatem wszelkie badania i analizy muszą być prowadzone na kopiach, a to dlatego, że w przypadku materiału cyfrowego bardzo łatwo o pomyłkę, której skutków często nie da się cofnąć. Warto więc mieć pod ręką to, z czego da się odtworzyć stan sprzed błędu. Co więcej, przeważnie wykonywane są dwie lub więcej kopii - tak na wszelki wypadek.

Kolejnym etapem pracy jest sporządzenie raportu z przeprowadzonych badań. Powinien on być możliwie pełny, logiczny i zakończony klarownymi wnioskami. Dalej przebieg postępowania zależy już wyłącznie od charakteru sprawy i ofiary. Może zakończyć się na wyciągnięciu konsekwencji wewnątrz organizacji, a może trafić na wokandę.

Jakie sprawy trafiają do sądu? Jakie przepisy regulują kwestie cyberprzestępczości? O roli kryminalistyki informatycznej w sprawie Grupy Trzymającej Władzę, w orzekaniu rozwodów, w wyjaśnieniu tragedii w Katowicach i o rozbijaniu gangów pedofilskich, a także w wielu innych - już za miesiąc. A ponadto wskazówki, jakie prawa ma zwykły użytkownik, jak może się chronić, u kogo szukać pomocy i wreszcie - ile to wszystko kosztuje?

CDN


TOP 200