Informatyka śledcza i odzyskiwanie danych

Informatyka śledcza to nauka zajmująca się dochodzeniami w sprawach związanych z nośnikami komputerowymi, natomiast odzyskiwanie danych to technika zajmująca się przywracaniem danych z uszkodzonych nośników.  W celu przeprowadzenia kompleksowego dochodzenia, w większości przypadków będziesz korzystać z obu tych technik. Techniki odzyskiwania danych mają na celu odzyskanie krytycznych danych z nośnika docelowego, a następnie przy użyciu metodologii kryminalistycznych, dane mogą zostać poddane analizie.

Inżynierowie i konsultanci Ontrack z powodzeniem pomogli setkom organów ścigania, agencjom rządowym, kancelariom prawnym i korporacjom odzyskać dane dowodowe, które miały kluczowe znaczenie dla ich sprawy - od laptopów znajdujących się w rzece po dyski twarde, które zostały uszkodzone i zniszczone, w trakcie próby zniszczenia wszelkich dowodów niewłaściwego postępowania.  W wielu przypadkach nośniki znajdujące się w centrum śledztwa, czy to jako narzędzie użyte do popełnienia przestępstwa, czy też jako repozytorium dowodów przestępstwa, mogą ulec uszkodzeniu lub być nieczytelne z przyczyn takich jak celowe uszkodzenie, awaria techniczna, pożar lub zalanie wodą i wiele innych.

Celowe czy przypadkowe?

Firma Ontrack brała udział w wielu dochodzeniach na przestrzeni ostatnich dwóch dekad, w których nośniki uległy poważnym uszkodzeniom. Niedawnym sprawdzianem naszych umiejętności było zlecenie odzyskania danych z dysku twardego komputera, który uległ uszkodzeniu w wyniku pożaru po eksplozji w budynku mieszkalnym.  Dysk dotarł do naszej placówki w bardzo złym stanie. Górna pokrywa dysku była zniszczona i po wstępnym badaniu stwierdzono, że oryginalna elektronika ulega uszkodzeniu, a dysk wewnętrznej awarii mechanicznej.

Dysk twardy został otwarty w laboratorium cleanroom firmy Ontrack.Usterki zostały usunięte i wykonano obraz (kopię dysku sektor po sektorze).  Obraz ten został przeanalizowany zarówno w naszych laboratoriach odzyskiwania danych, jak i laboratoriach kryminalistycznych w celu ustalenia, czy dane logiczne zostały w jakikolwiek sposób uszkodzone.

W tym przypadku wszystkie dane zostały odzyskane i przekazane władzom, aby mogły one dokonać dalszej analizy i przeprowadzić dochodzenie na dowodach z oryginalnego dysku.

Postępowanie zgodnie z odpowiednią procedurą

Jest to typowy przykład, w którym świat odzyskiwania danych i informatyki śledczej spotykają się i ze sobą współpracują.  Zastosowano techniki odzyskiwania danych i usuwania awarii na uszkodzonych nośnikach, zachowując jednocześnie wszystkie odpowiednie protokoły dotyczące postępowania z nośnikami zawierającymi dowody.  Właściwe obchodzenie się z nośnikami jest równie ważne jak fizyczne odzyskiwanie danych i wysiłki śledcze, ponieważ nośniki, z którymi obchodzono się w niewłaściwy sposób, mogą zagrozić dopuszczalności dowodów.

Ogólnie przyjęte protokoły stosowane przez specjalistów od informatyki śledczej w Wielkiej Brytanii zostały zaczerpnięte z wytycznych ACPO (The Association of Chief Police Officers).  Wytyczne praktyki dla dowodów opartych na komputerach oferują dobre i solidne porady, jak postępować z mediami od ich przejęcia, poprzez obróbkę, kopiowanie, przetwarzanie i ostateczną analizę.

Jedną z tych przyjętych wytycznych jest to, że dane przechowywane na komputerze nie powinny być zmieniane w żadnym kształcie ani formie.  Inną z nich jest konieczność prowadzenia właściwej dokumentacji i łańcucha dowodowego. Dokumentacja ta wyjaśnia procedury tak, aby inny ekspert był w stanie odtworzyć te same wyniki.

W każdym przypadku ważne jest, aby te wytyczne i protokoły były przestrzegane.  Istotne jest również, aby ekspert analizujący nośniki posiadał umiejętności i doświadczenie wymagane do obsługi i analizy elektronicznych urządzeń do przechowywania danych.

Informatyka śledcza i odzyskiwanie danych w śledztwie w sprawie morderstwa

Inna sprawa prowadzona przez Ontrack dotyczyła dysku twardego, który był używany do zapisu obrazów z telewizji przemysłowej.  Przechwycony materiał filmowy mógł zawierać dowody popełnienia morderstwa.  Niestety dla lokalnego zespołu dochodzeniowego dysk był niesprawny i wezwano na pomoc naszych ekspertów.

Uszkodzony dysk został przywieziony do Londynu pod eskortą i po pobieżnym zbadaniu nośnik wydawał się mieć uszkodzoną elektronikę.  Dalsze badania wykazały, że dysk był również uszkodzony fizycznie.  W takich przypadkach wina leży po stronie urządzenia pamięci masowej, a nie wirusa lub systemu operacyjnego.  W wielu przypadkach nadpisywane są nie tylko dane, ale również informacje niskiego poziomu, które mają kluczowe znaczenie dla podstawowej pracy dysku twardego.

Pomimo takiego poziomu uszkodzenia, firmie Ontrack udało się skopiować 99% danych. Niestety, struktury danych zostały uszkodzone, co oznaczało, że aby całkowicie odzyskać pliki, potrzebna jest ich naprawa.  Jak to często bywa w przypadku systemów CCTV, system operacyjny jest zastrzeżony.  Jednak firma Ontrack była w stanie obejść uszkodzone struktury i odzyskać pliki obrazów, które mogły być wykorzystane przez sąd.

Ogólnie rzecz biorąc, masz jedną szansę na odzyskanie danych z uszkodzonego nośnika, dlatego tak ważne jest, aby skorzystać z pomocy ekspertów o odpowiednim poziomie kompetencji, kwalifikacji i doświadczenia.