Informatyka śledcza dla niewtajemniczonych

Z komputerów korzystamy niemal wszyscy, na każdym kroku – w domu, w pracy, wypłacając pieniądze z bankomatów czy używając nawigacji w samochodzie. W dzisiejszych czasach prawie 95% dokumentów tworzonych jest za pomocą komputera, a aż 90% informacji przekazywanych jest drogą elektroniczną! Możecie zatem sobie wyobrazić, jak wielką kopalnią wiedzy na temat nasz, naszej pracy czy ludzi z którymi się kontaktujemy są komputery oraz inne nośniki danych.

Na co dzień nie zdajemy sobie sprawy z tego, że wszystkie nasze działania pozostawiają po sobie ślady. Wydaje Ci się, że po wciśnięciu klawisza delete usunąłeś z komputera wszystkie „niewygodne” pliki i już nikt nigdy ich nie zobaczy? Nic bardziej mylnego. Eksperci odzyskiwania danych są w stanie je odzyskać i wyciągnąć z nich ciekawe wnioski... Warto w tym miejscu przypomnieć, iż jedynym skutecznym sposobem na zniszczenie danych jest ich pełne nadpisanie.

Informatyka śledcza – brzmi nieco tajemniczo i ciekawie. Ale jeszcze ciekawiej wygląda od strony praktycznej. Pisaliśmy już na naszym blogu o sprawie tajemniczej śmierci żony pastora z Nebraski, w której dowody elektroniczne pozwoliły na rozwiązanie zagadki. Przyjrzyjmy się zatem pracy informatyka śledczego od kuchni.

Na początku może wyjaśnijmy, czym tak właściwie jest informatyka śledcza (ang. computer forensics). Najprościej mówiąc jest to nauka, której celem jest zabezpieczenie i analiza środków dowodowych zawartych na nośnikach cyfrowych. Warto w tym miejscu zwrócić uwagę na fakt, iż informatyka śledcza nie jest samym odzyskiwaniem danych, jest to jedynie jeden ze wczesnych etapów całego procesu.

Wciąż zostawiasz ślady

Proces informatyki śledczej można opisać trafnym cytatem, który mówi, że jest to „odzyskiwanie ciasteczek z okruszków”. Z dziesiątek, setek czy tysięcy plików informatyk śledczy musi odnaleźć to, co będzie istotnym dowodem w sprawie, a następnie wszystko ułożyć w logiczną całość. A co może być tym dowodem? Każda informacja w formie elektronicznej, która może mieć znaczenie dowodowe. Ale uwaga! Dowodem elektronicznym nie są same nośniki danych, a jedynie to, co w sobie kryją – ich zapis.

Dowody zbierane i analizowane w procesie informatyki śledczej można podzielić na trzy grupy:

• dane zawarte w samym systemie,
• dane ukryte,
• dane, które można zebrać z otoczenia komputera.

Informatyka śledcza znajduje zastosowanie m.in. w wykrywaniu przestępstw gospodarczych, jak na przykład kradzież danych przez odchodzących pracowników, przekazywanie poufnych informacji konkurencji czy działanie pracowników na niekorzyść firmy.

Poczta elektroniczna może być doskonałym miejscem na poszukiwanie dowodów. Ludzie wysyłając maile często są mało ostrożni. Nierozważni pracownicy korzystając ze swojej skrzynki służbowej wysyłają nieformalne wiadomości, w których może dochodzić np. do przekazywania tajemnic służbowych. Dostęp do poczty elektronicznej podejrzanego bardzo często pozwala na zebranie istotnych informacji na temat popełnionego przestępstwa.

Poczta elektroniczna prawdę Ci powie

Tak właśnie było w przypadku wykrycia w czerwcu 2007 roku afery szpiegowskiej w Formule 1. Pewnego dnia do lokalnego punktu ksero przyszła niejaka Trudy – żona Mike’a Coughlana, głównego designera bolidów McLarena. Zleciła ona skopiowanie 780 stron dokumentu, który – jak się okazało – zawierał szczegóły techniczne najnowszego bolida Ferrari. Gdy sprawa wyszła na jaw, zabezpieczono komputery podejrzanych, w pierwszej kolejności te należące do Mike’a Coughlana z McLarena. Znaleziona tam korespondencja elektroniczna zaprowadziła śledczych do kierownika zespołu technicznego Ferrari, a ślady odkryte w kolejnych etapach śledztwa poważnie obciążyły największe gwiazdy Formuły 1, w tym Fernando Alonso i Pedro de La Rosę.

Nie musimy z resztą daleko szukać – w naszym kraju również dowody w postaci poczty elektronicznej przyczyniły się do rozwiązania niejednej afery. Jako przykład śmiało możemy wskazać aferę Rywina i toczące się w jej sprawie od 2002 roku śledztwo. Jednym z kluczowych dla sprawy działań było odzyskanie wiadomości pocztowych ze sformatowanego dysku minister Aleksandry Jakubowskiej. Znajdowały się na nim dowody pozwalające prokuraturze na ustalenie przebiegu wydarzeń w jednym z wątków afery korupcyjnej.

O innych przypadkach zastosowań informatyki śledczej na polskim rynku możesz przeczytać tutaj.

Czego jeszcze szuka informatyk śledczy?

Wszystkiego, co może wnieść do sprawy istotne informacje. Podstawowym źródłem dowodowym może być oczywiście komputer osobisty, ale także telefon komórkowy i inne urządzenia mobilne, nośniki zewnętrzne, systemy księgowe, wewnętrzne bazy danych i serwery.

Informatyk śledczy jest w stanie znaleźć dowód popełnienia przestępstwa w najdrobniejszym elemencie. Poza wspomnianą pocztą elektroniczną mogą to być dokumenty elektroniczne i ich metadane, pliki wymiany, pliki tymczasowe, logi, rejestry, dane przeglądarki, historia przeglądarki czy nawet pliki kolejkowania wydruku. Śladów, które mogą naprowadzić śledczego na właściwy trop należy szukać wszędzie. Tzw. cyfrowe cienie zostawiamy na każdym kroku, nawet o tym nie myśląc... 

Uważaj, co piszesz!

O ogromnej wadze dowodów elektronicznych z pewnością świadczy fakt nowelizacji Kodeksu Postępowania Cywilnego. Polskie sądy zrobiły kolejny duży krok w kierunku informatyzacji. Od 8 września dowody cyfrowe, takie jak maile, sms-y czy nagrania są traktowane jako pełnoprawne dowody w sprawie – zrównane zostały z tzw. dowodem papierowym.