Wstęp do informatyki śledczej

Paź 01
2010

kłódkaInformatyka śledcza, nazywana także informatyką sądową, jest coraz częściej stosowana w procesach karnych przeciw przestępcom. Zalicza się do nich m.in. piratów komputerowych, pedofilów oraz przestępczość zorganizowaną. Ponadto (jak niewielu wiadomo) przeciw mordercom, w sprawach związanych z samobójstwami (w celu ich potwierdzenia i wykluczeniu udziału osób trzecich w zdarzeniu) oraz wszędzie tam, gdzie przydatne są elektroniczne i cyfrowe materiały dowodowe.

Z powodu braku odpowiednio wykwalifikowanych osób na rynku informatyk śledczy, pełniący często także rolę biegłego sądowego, to dziś bardzo poszukiwany zawód pracy. Częściowo może to być spowodowane wysokimi kosztami związanymi z szkoleniami, gdyż osoba pełniąca tę funkcję musi się nieustannie kształcić oraz rozwijać swoje umiejętności. Osoba ubiegająca się o ten tytuł musi przejść kilkunastogodzinne szkolenie i uczestniczyć w wykładach związanych z:

  • prawem komputerowym
  • odzyskiwaniem danych
  • zabezpieczaniem danych
  • weryfikacją dowodów za pomocą sum kontrolnych
  • tworzeniem łańcucha dowodowego
  • budową i działaniem nośników danych
  • wykorzystywaniem odpowiednich technik i narzędzi
  • tworzeniem szczegółowych raportów

Koszty uczestnictwa na tego typu szkoleniach organizowanych przez stowarzyszenie CIS dla osób indywidualnych to rząd nawet kilku tysięcy złotych. W związku z postępem technologicznym jaki następuje nawet po zdobyciu certyfikatu ukończenia szkolenia oraz potwierdzenia zdobytych kwalifikacji należy go odnawiać co 5 lat, gdyż po tym czasie zostanie on unieważniony.

Praca informatyków śledczych

Metodologia działania informatyków śledczych jest bardzo ścisła i musi być wykonywana z należytą dokładnością, aby to co zebrali było wiarygodnym dowodem w postępowaniu sądowym.

W pierwszej fazie zatrzymania podejrzanego, jeśli jest to możliwe, czyli jeśli komputer jest włączony wykonuje się zrzut pamięci RAM (RAM dump), gdzie mogą się znajdować dane takie jak hasła, części dokumentów, które zostały już zamknięte, obrazy oglądane przez użytkownika, przeglądane strony internetowe, hasła do zaszyfrowanych partycji przy pomocy takich programów jak np. TrueCrypt. Tutaj można by wymieniać dużo rzeczy, które znajdują się w pamięci. Warte do zaznaczenia jest to, że w pamięci występują one w ciągłych blokach, w przeciwieństwie do zapisu na dysku, gdzie są pofragmentowane i mogą znajdować się w różnych miejscach.

Bez względu na to, czy wykonano zrzut pamięci, czy też nie, należy wykonać kopię binarną (nie mylić z kopią logiczną) danych znajdujących się na dysku twardym. Z pomocą przychodzi tutaj specjalne narzędzie nazywane „blokerem”, które uniemożliwia zapisanie jakiegokolwiek bitu danych, a pozwala jedynie na ich odczyt. Podłącza się go pomiędzy HDD, a komputer z którego wykonuje się kopie danych zawartych na dysku. Wiąże się to z tym, że nie możemy pozwolić sobie na jakiekolwiek zmiany na oryginalnym nośniku. Dodatkowo przed jakąkolwiek „zabawą” z danymi należy wykonać sumę kontrolną dysku, aby móc porównać ją z sumą kontrolną kopii binarnej. Musi być ona identyczna. Jeśli suma (np. MD5, SHA1) dysku nie będzie się zgadzać z kopią, to oznacza to tyle, że jakieś dane na dysku zostały zmienione. Może to być zmiana nawet jednego bitu, lecz suma kontrolna będzie zupełnie inna, w rezultacie czego materiał ten traci wiarygodność w postępowaniu sądowym. Za każdym włączeniem komputera zapisywane są dane na dysku. Dzięki urządzeniu typu bloker możliwe jest bezpieczne utworzenie kopii danych znajdujących się na dysku i przeanalizowanie ich. Sam dysk po procesie kopiowania danych zabezpiecza się i nie wykonuje na nich żadnych operacji.

Zaraz po czynności zabezpieczenia dowodów rozpoczyna się sporządzanie ekspertyzy z dokładnymi informacjami na temat przebiegu procesu zabezpieczania nośników oraz spisania ich danych wraz z numerami seryjnymi i sumą kontrolną danych. Bardzo ważne jest tutaj zapisanie dat utworzenia, modyfikacji i ostatniego dostępu do plików. Należy także wyszczególnić te dane, które zostały usunięte jeszcze przed skonfiskowaniem komputera, a odzyskane w laboratorium.

Jakie informacje mogą być interesujące?

Poza zapisanymi hasłami do zaszyfrowanych plików i partycji dostępnych w pamięci operacyjnej informatyk śledczy ma jeszcze dużo miejsc i plików do przeanalizowania znajdujących się na kopii danych z dysku twardego.

Aby móc zalogować się do systemu przeważnie jesteśmy proszeni o wpisanie nazwy użytkownika oraz jego hasła. Nawet w przypadku braku tych danych możliwe jest przeszukanie wszystkich plików znajdujących się na niezaszyfrowanych partycjach chociażby przy pomocy płyty LiveCD z jakąś dystrybucją systemu Linux.

Pierwszą rzeczą, którą wykonuje informatyk śledczy po uzyskaniu dostępu do systemu to odzyskanie skasowanych plików. To z nich właśnie można uzyskać najwięcej informacji, gdyż niewygodne dane są najczęściej usuwane. Systemy plików NTFS, czy też FAT32 posiadają tablicę alokacji plików znajdujące się na partycjach. Tablicę alokacji można przyrównać do spisu treści w książce. Usuwając jakiś plik (nawet z kosza) jest on usuwany tylko z tablicy alokacji, czyli jest wymazywany z spisu treści (a dokładniej mówiąc tylko 2 pierwsze bajty tego wpisu), natomiast plik na dysku zostaje, tak jak strona w książce. Podobnie sprawa wygląda z formatowaniem. Ono także nie usuwa plików znajdujących się na dysku, a jedynie wymazuje tablicę alokacji. W sieci można znaleźć wiele darmowych programów w polskiej wersji językowej służących do odzyskiwania usuniętych plików. Jednym z takich programów jest Data Disc Recovery dostępny na licencji freeware. Należy jednak pamiętać, że śledczy korzystają z bardziej zaawansowanego oprogramowania.

Drugim miejscem, gdzie można znaleźć ciekawe z prokuratorskiego punktu widzenia informacje to pliki tymczasowe oraz pliki wymiany. Za każdym włączeniem np. edytora Word i modyfikowaniem zawartości dokumentu system tworzy jego kopię zapasową trzymaną w folderze temp. Kopia ta jest wykorzystywana przede wszystkim do cofania ostatnio wykonanej operacji. Jeśli program Word zostanie zamknięty nieprawidłowo to pliki te nie ulegną usunięciu i będzie można je bez problemu podejrzeć. Kopie zapasowe tworzone są także w folderze aktualnie modyfikowanego pliku. Oznaczane one są prefiksem w postaci tyldy (~) i kropki na początku.

Idąc dalej informatyk śledczy z pewnością zajrzy do logów systemowych oraz rejestru systemowego. Znaleźć tam można wiele ciekawych informacji takich jak przedziały czasowe, w których komputer był włączony oraz nazwy wszystkich urządzeń podłączanych za pośrednictwem portu USB wraz z jego numerem seryjnym. Dobrym przykładem jest tutaj udowadnianie prokuratorze swojego alibi. Dzięki logom systemowym możliwe jest wykazanie, że danego dnia o danej godzinie pracowaliśmy na komputerze i nie mogliśmy być na miejscu przestępstwa (gorzej dla nas, jeśli chodzi o przestępstwo komputerowe). Do logów komputerowych można także zaliczyć historię przeglądarek internetowych, historię drukowanych plików, „ostatnio uruchamiane/otwierane programy/dokumenty” oraz programy pocztowe z nieusuniętymi wiadomościami.

Aby przyśpieszyć analizę i zbieranie logów wykorzystuje się niedostępny publicznie program o nazwie COFEE. Został on stworzony za porozumieniem firmy Microsoft i Policji. Po włożeniu specjalnego pendrivera do komputera skrypt na nim zawarty dokonuje zebrania dowodów elektronicznych w postaci wyżej wymienionych logów i kilku innych ciekawych plików konfiguracyjnych.

Profesjonalne firmy i biegli korzystają jednak z drogich środowisk typu Forensic Toolkit (FTK), bądź Enacse.

Ostatnim i według mnie najciekawszym miejscem do analizy to pliki graficzne. Wszelkiego rodzaju obrazki mają automatycznie tworzone miniaturki w ukrytym pliku thumb.db, które są wyświetlane podczas przeglądania katalogów z zdjęciami. Ciekawe jest to, że po usunięciu zdjęć, miniaturki pozostają nienaruszone. Najnowsze dziecko Microsoftu – Windows 7 posiada opcję zapisującą wszystkie miniaturki zdjęć, także z pendirverów podłączanych za pomocą USB do centrum sterowania. Opcji tej nie można wyłączyć. Poza plikiem thumb.db miniaturki zapisywane są w metadanych Exif (jako ficzer, a nie standard). Exif to zbiór informacji, które zapisywane są w plikach graficznych. W sieci są dostępne informacje na temat pewnego „wypadku” związanego z miniaturką w Exif’ie. Pewna osoba wykonała zdjęcie i zamazała swoją twarz czarnym prostokątem w programie graficznym, który nie obsługiwał metadanych. Twarz tej osoby co prawda była zamazana, lecz na miniaturce wciąż widniała. W Exifie zapisywane są także takie informacje jak data i model aparatu, jakim zdjęcie zostało zrobione. Do najciekawszego wpisu należy jednak linijka z geolokalizacją GPS. Telefony komórkowe (jak iPhone) zapisują w zdjęciu lokalizacje jego wykonania, co z detektywistycznego punktu widzenia ma wielką wagę.

FAQ

  • Zacznijmy od tego, że zatrzymany nie ma obowiązku podawania żadnych haseł dostępu do systemu, zaszyfrowanych partycji czy też poczty internetowej. Oczywiście nie jest to także zabronione, lecz znacząco wydłuża to czas śledztwa. W zależności od sytuacji możemy być także osądzeni o utrudnianie przebiegu śledztwa.
  • Usunięte pliki można przywrócić, lecz nie można odzyskać danych zamazanych zerami, jedynkami, bądź nadpisanych losowymi danymi (zwłaszcza kilka razy). Jest to możliwe w bardzo specjalistycznych laboratoriach, lecz trwa to długo, jest drogie i technika ta nie jest stosowana przez Polską Policje. Do sprawnego zamazania danych można wykorzystać darmowy program działający pod kontrolą systemu Linux jak dban, bądź shred.
  • Posiadanie plików dźwiękowych (*.mp3) objętych prawami autorskimi jest nielegalne, lecz nie jest też karalne jak najbardziej legalne i dozwolone. Problem pojawia się dopiero, gdy pliki te publikujemy rozpowszechniamy innym (jest to karalne na wniosek pokrzywdzonego). Ściągając je z sieci typu p2p automatycznie wysyłamy je także do reszty użytkowników.
  • To, czy zostanie nam zarekwirowany sprzęt komputerowy zależy od charakteru sprawy i dobrej woli sędziego. W praktyce wystarcza jedynie dysk twardy.
  • Śledztwa tego typu toczą się latami z powodu długich kolejek i wielu spraw sądowych.

Jak zabezpieczyć się na dobre?

Bezpieczeństwo to nie stan, tylko proces. Jeśli popełniliśmy jakieś przestępstwo, jesteśmy tego świadomi i chcemy zatrzeć ślady zamazując dysk, reinstalując system, szyfrując najcenniejsze pliki i zachowamy wszelkie zasady bezpieczeństwa w ustawianiu haseł to nadal jesteśmy podatni na jeden rodzaj ataku. Atak wymierzony w naszą psychikę. Siedząc w więzieniu, będąc pod presją zmiany otoczenia i trybu życia jesteśmy w dodatkowym stresie związanym z prośbą prokuratora o podanie naszego hasła w zamian za zastosowanie okoliczności łagodzących przy ogłaszaniu wyroku. Ale zaraz, nasze pliki są zaszyfrowane, a hasło jest nie do złamania w rozsądnym czasie, więc po co je podawać? W takiej sytuacji jest to chyba wydanie wyroku na siebie samego. Należy pamiętać o tym, że nawet najlepszy informatyk śledczy nie jest w stanie nam nic udowodnić bez podania dowodów. Zabezpieczenie samego siebie oraz domowego systemu w profesjonalny sposób to naprawdę nie lada wyzwanie. Wszystko zależy tak naprawdę tylko od nas i naszej wiedzy oraz umiejętności.

Bibliografia

3 komentarze w “Wstęp do informatyki śledczej”

  1. Melouber napisał/a:

    Artykuł już czytałem, ale muszę to tu napisać:
    Jest świetny! (ten tekst)
    Gratulacje.

  2. Nism0 napisał/a:

    Komeq szalejesz xD

  3. Thelleo napisał/a:

    Bardzo ciekawy wpis 😉

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *