Informatyka śledcza
Informatyka śledcza (ang. computer forensics) – obszar informatyki powiązany z naukami o bezpieczeństwie i naukami prawnymi, którego celem jest dostarczanie cyfrowych środków dowodowych. Często w sprawach popełnionych przestępstw lub nadużyć, ale także w celu odtworzenia stanu pierwotnego przy ustalaniu motywów działania sprawcy lub ofiary. Jej zadaniami są: zbieranie, odzyskiwanie, analiza i prezentacja (w formie specjalistycznego raportu) cyfrowych danych, znajdujących się na różnego rodzaju nośnikach (dyski twarde komputerów, dyskietki, płyty CD, pamięci przenośne, serwery, telefony komórkowe itp.), oraz w coraz popularniejszych ostatnio systemach i serwisach zdalnego gromadzenia, przechowywania i przetwarzania danych, takich jak: (serwisy społecznościowe, przestrzeń dyskowa w chmurze czy wyszukiwarki internetowe)[1]. Efektem działań informatyków śledczych są cyfrowe materiały dowodowe, przygotowane zgodnie z duchem dochodzeniowo-śledczym (ang. forensically sound)[2].
Zastosowanie
Do najczęstszych przypadków zastosowania informatyki śledczej w Polsce należą:
- W sferze biznesowej – kradzież danych przez zwalnianych lub nielojalnych pracowników oraz sabotaż (usuwanie lub kradzież danych firm lub instytucji publicznych mające na celu m.in. osłabienie ich pozycji konkurencyjnej lub pozyskanie know-how),
- W sferze prywatnej – ustalanie motywów ucieczek nieletnich, zaginięć osób a także niewyjaśnionych zgonów (ustalenie czy osobę nakłaniano do samobójstwa lub czy dokonano morderstwa)[3].
Dowód elektroniczny i przestępstwa komputerowe
Dowód elektroniczny (ang. digital evidence) jest dopuszczalny zarówno w procesie cywilnym jak i karnym. Jest to typ dowodu naukowego, spełniającego bardzo rygorystyczne wymagania amerykańskiego standardu Dauberta, zgodnie z którym metoda lub teoria naukowa, aby stać się dowodem, musi:
- Sama w sobie być sprawdzalna i zostać już poddana kontroli;
- Być opisana i oceniona w literaturze fachowej;
- Mieć znany lub przewidywany poziom błędów uzyskiwanych przy stosowaniu tej metody;
- Uzyskać powszechną akceptację (ang. general acceptance) specjalistów w danej dziedzinie.
Wymóg powszechnej akceptacji jest ważnym czynnikiem decydującym o dopuszczeniu konkretnego dowodu, jednak nie stanowi warunku koniecznego. Polskie prawo również – co do zasady – przyjmuje, że dowody elektroniczne mogą być wykorzystane w postępowaniu przed sądem. Dowód elektroniczny musi być pozyskany, potwierdzony (poddany procesowi uwierzytelniania), zabezpieczony i zanalizowany w sposób, który uniemożliwi obronie podniesienie zarzutu manipulacji dowodem czy fałszerstwa.
Przestępstwa komputerowe definiuje konwencja Rady Europy ETS 185, gdzie wskazuje się następujące ich grupy:
- Przestępstwa przeciw poufności (ang. confidentiality), integralności (ang. integrity) i dostępności (ang. availability) danych (tzw. przestępstwa CIA). Obejmują one między innymi: nielegalny dostęp do systemów przez hacking, podsłuch czy oszukiwanie uprawnionych użytkowników (powszechnie znany „phishing”), szpiegostwo komputerowe (włączając trojany i inne techniki), sabotaż i wymuszenia komputerowe (wirusy, ataki DDoS, spam) .
- Powiązane z komputerami (sieciami) przestępstwa tradycyjne, zaczynając od oszustw (od klasycznych, czyli manipulacji fakturami czy kontami firmowymi, do manipulacji on-line – oszukańczych aukcji czy nielegalnego używania kart kredytowych), poprzez komputerowe podróbki, aż do ataków na ludzkie życie przez np. manipulowanie systemami szpitalnymi czy systemami kontroli ruchu powietrznego.
- Przestępstwa dotyczące zawartości (treści). Ta kategoria obejmuje na przykład dziecięcą pornografię, dostarczanie instrukcji przestępczych, a także samo oferowanie popełniania przestępstw. Ta kategoria obejmuje także molestowanie i mobbing poprzez sieć, rozpowszechnianie fałszywych informacji (np. czarny PR, schematy „pump and dump”) oraz internetowy hazard.
- Przestępstwa powiązane z naruszeniem prawa autorskiego i praw pokrewnych, takie jak nieautoryzowane kopiowane i rozpowszechnianie programów komputerowych. Do tej kategorii zalicza się także nieautoryzowane użycie baz danych.
Należy podkreślić, że dziedzina dostarczania elektronicznych środków dowodowych wybiega znacznie poza przestępstwa komputerowe i ma zastosowanie przy każdym przestępstwie czy nadużyciu, gdzie urządzenia elektroniczne miały zastosowanie jako nośnik danych. Podsumowanie przestępczości komputerowej w USA zawiera doroczny „Computer Crime Survey” dostępny na www.gocsi.com. Ponadto, co warto zauważyć, zebrany materiał niekwalifikujący się dowodowo potrafi często naprowadzić śledczych na właściwy tor postępowania lub ewidentnie wskazać, wobec sprzecznego materiału dowodowego, prawdopodobny przebieg zdarzeń[4].
Procedura analizy dochodzeniowo-śledczej nośników danych
- Sprawdzenie poprawności zabezpieczenia materiału dowodowego - na przykład poprzez sprawdzenie plomb na obudowie komputera jak i portów.
- Utworzenie protokołu dostarczenia nośników danych oraz potwierdzenie zabezpieczonych dowodów najlepiej wartością funkcji skrótu. Sprawdzenie zgodności opisu ich marki, modelu, pojemności i numerów seryjnych. W razie nieprzestrzegania procedury przy zabezpieczaniu urządzenia dowód takowy traci na wiarygodności w postępowaniu sądowym.
- Wykonanie kopii binarnej lub obrazu dysku z użyciem blokera zapisów. Bloker chroni zabezpieczany dysk przed zapisaniem na nim jakichkolwiek danych. Gdyby po dacie zabezpieczenia dysku twardego, doszło do zapisania na nim jakichkolwiek danych (np. daty zmiany metadanych w systemie plików), spowoduje to utratę jego wartości dowodowej w postępowaniu sądowym. Należy pamiętać, że każde uruchomienie systemu operacyjnego na komputerze powoduje modyfikacje na jego dysku twardym.
- Przeprowadzenie na kopii danych szczegółowej analizy zgodnie z zapytaniem zleceniodawcy stosując w tym celu specjalistyczne urządzenia i programy, które uniemożliwiają modyfikację wykonanej kopii. Analiza danych musi zostać przeprowadzona z dużą rzetelnością, starannością przy zachowaniu zasad, procedur stosowanych zgodnie z zasadami informatyki śledczej oraz łańcuchem dowodowym, który ma swój początek w momencie zabezpieczania urządzenia, a kończy się w chwili gdy biegły obroni swoją opinię na rozprawie sądowej.
- Opisanie z wysoką starannością całej procedury wykonania i analizy kopii danych z zabezpieczonego urządzenia.
- Sporządzenie rzetelnej ekspertyzy wraz z pełnym opisem jej przebiegu i wyniku wyeksportowanego do danej postaci pliku oraz z przedstawieniem pełnych raportów analizy nośników danych z naznaczeniem pozycji i ujawnionych informacji z nośnika danych, które stanowią materiał dowodowy do wydania opinii służącej w procesie sądowym. Oznaczenie dat utworzenia, modyfikacji jak i ostatniego dostępu do danych stanowiących materiał dowodowy (tam, gdzie możliwe jest ich odczytanie). Należy wyszczególnić dane, które zostały odzyskane po skasowaniu czy sformatowaniu dysku twardego komputera.
- Wystawienie opinii zgodnej z zapytaniem zlecającego z przytoczeniem metody i sposobu przeprowadzenia analizy kopii komputerowego, cyfrowego czy elektronicznego nośnika danych.
Zadania specjalistów informatyki śledczej
- ustalanie zakresu analizy dowodów elektronicznych oraz przedmiotu poszukiwania
- właściwe zabezpieczenie kopii danych
- szczegółowa analiza śladów elektronicznych
- sporządzenie raportu dotyczącego analizowanych danych
Informatycy śledczy wykorzystywani są najczęściej w przypadkach
- defraudacji środków finansowych
- łamania prawa pracy
- kradzieży danych
- szpiegostwa przemysłowego
- łamania praw autorskich
- ujawnienia tajemnicy handlowej
- kradzieży i użycia danych osobowych
- spraw kryminalnych (handel narkotykami, terroryzm, morderstwa, samobójstwa, przestępczość zorganizowana, pedofilia).
Gdzie specjaliści informatyki śledczej szukają informacji?
Dane zawarte w systemie | Dane ukryte | Otoczenie komputera | Zasoby internetowe |
|
|
|
|
Uwarunkowania prawne w Polsce dotyczące dowodów w postaci elektronicznej
- Kodeks pracy: Art.52.§1-3 Art.114 Art.115 Art.116 Art.119 Art.114. Art.122 Art.267.§1-4 Art.268.§1-4 Art.268a.§1-3 Art.287.§1-3
- Ustawa o zwalczaniu nieuczciwej konkurencji
- Kodeks postępowania cywilnego: Art.227 Art.278 Art.305 Art.227 Art.307.§1-3 Art.308.§1-2 Art.309.
Przypisy
- ↑ Jakub Dzikowski, Uniwersytet Ekonomiczny w Poznaniu: Wyszukiwanie danych osobowych w Internecie dla celów Informatyki Śledczej
- ↑ Rodney McKemmish , When is Digital Evidence Forencically Sound?, „Advances in digital forensics IV. Selected papers based on the presentations at the 4th annual IFIP WG 11.9 conference on digital forensics”, Kyoto, Japonia 2008 .
- ↑ W Polityce - Informatyka Śledcza w rozkwicie
- ↑ Fakt.pl Co jeszcze ukrywają rodzice Madzi? Ktoś sczyścił dane z komputera rodziców Madzi
Linki zewnętrzne
- „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” książka poświęcona informatyce śledczej
- Computer Forensics World (ang.)
- The International Association of Computer Investigative Specialists