Informatyka śledcza obejmuje zespół czynności mających na celu zbadanie zawartości nośnika cyfrowego pod kątem występowania na nim określonych treści. Biegły z zakresu computer forensic działa z zachowaniem łańcucha dowodowego, zaś niezbędne wsparcie zapewniają mu rozwiązania programowo – sprzętowe tworzone specjalnie na potrzeby pozyskiwania dowodów cyfrowych.
CZYNNOŚCI PODEJMOWANE PRZEZ BIEGŁEGO Z ZAKRESU INFORMATYKI ŚLEDCZEJ W RAMACH BADANIA NOŚNIKA ELEKTRONICZNEGO
Analiza zapisów dysku, telefonu, bądź innego elektronicznego nośnika danych realizowana jest zwykle na zlecenie przedstawicieli organów ścigania – policji, prokuratury oraz sądów, w ramach prowadzonych przez nie postępowań karnych, a także z inicjatywy firm, instytucji oraz osób fizycznych, na potrzeby spraw cywilnych, gospodarczych, rodzinnych i karnych, których są uczestnikami.
Dowody cyfrowe znajdujące się na nośnikach mogą obejmować w szczególności korespondencję mailową, realizowaną przy wykorzystaniu różnego rodzaju komunikatorów internetowych, czy zwykłych wiadomości sms, różnego formatu dokumenty, pliki multimedialne, czy bazy danych. Biegły przeszukuje zasoby nośnika pod kątem występowania treści będących prowadzonym postępowaniem, np. w sprawach szpiegostwa przemysłowego będącego efektem działalności kreta zatrudnionego w przedsiębiorstwie, poszukuje dowodów kradzieży przez niego danych stanowiących tajemnicę przedsiębiorstwa, ich kopiowania, w tym podłączania nośników zewnętrznych, czy też wysłania pocztą elektroniczną. Z kolei w sprawach pedofilii biegły ma za zadanie odnalezienie dowodów świadczących o przestępczej działalności osoby podejrzanej, obejmujących np. materiały multimedialne – zdjęcia i filmy, korespondencję prowadzoną z domniemanymi ofiarami, udział w grupach skupiających osoby o podobnych skłonnościach, czy aktywność na forach, bądź portalach internetowych obejmujących zakazaną tematykę. To oczywiście tylko przykłady, zaś każde cyfrowe śledztwo prowadzone jest z uwzględnieniem indywidualnych okoliczności towarzyszących sprawie.
Biegły informatyk śledczy bada aktualną zawartość nośnika, treści usunięte, a w przypadku fizycznej usterki nośnika, np. na skutek zniszczenia go przez osobę podejrzaną, bądź samoistnej awarii, w pierwszej kolejności podejmuje działania mające na celu przywrócenie nośnikowi sprawności na potrzeby realizacji procesu computer forensic.
PROFESJONALNE NARZĘDZIA WSPOMAGAJĄCE PRACĘ BIEGŁEGO Z ZAKRESU INFORMATYKI ŚLEDCZEJ
Biegły z zakresu informatyki śledczej nie realizuje jednak swych czynności wyłącznie manualnie, lecz korzysta z narzędzi programowo – sprzętowych będących na wyposażeniu laboratorium kryminalistyki komputerowej, stanowiących standard w pracy eksperta computer forensic. Umożliwiają one analizę logiczną nośnika oraz przeszukiwanie go z uwzględnieniem określonych słów kluczowych, czy też pod kątem wybranego rodzaju plików. W celu zabezpieczenia zawartości nośnika przez przypadkową modyfikacją w trakcie prac, na wstępie biegły korzysta z blokera sprzętowego, tak by zapewnić niezmienność zapisów.
Zwieńczeniem pracy biegłego jest opracowanie raportu, zawierającego opis przyjętych przez biegłego metod badawczych, a także wnioski z przeprowadzonych prac. Dokument taki z powodzeniem wykorzystywany jest w charakterze dowodu elektronicznego.
Na rynku dostępnych jest wiele narzędzi umożliwiających cyfrową analizę, zaś do najpopularniejszych należą:
- Magnet Axiom
Aplikacja firmy Magnet Forensics to zaawansowane narzędzie do prowadzenia badań cyfrowych oraz przetwarzania dowodów. Pozwala na wyszukiwanie i analizę zarówno artefaktów zapisanych aktualnie na nośniku, jak również tych usuniętych, z uwzględnieniem m.in. historii komunikacji pochodzącej ze skrzynek pocztowych, czatów internetowych i portali społecznościowych, danych zamieszczonych w chmurze, czy historii aktywności użytkownika badanego urządzenia w sieci, tj. historii przeglądarek internetowych.
- Oxygen Forensic
Platforma Qxygen Forensic to rozwiązane przeznaczone do kompleksowej analizy śledczej urządzeń mobilnych, w tym telefonów komórkowych i smartfonów, dronów oraz informacji zapisywanych w chmurze. Program obsługuje ponad 2500 modeli telefonów i pozwala na odczyt podstawowych informacji o telefonie i pracującej w nim karcie SIM, pozyskanie listy kontaktów, rejestru połączeń, wiadomości sms i mms, historii korespondencji email, danych pochodzących z dziennika zdarzeń obejmujących kalendarz, czy zadania do wykonania. Pozwala również na wyodrębnienie plików multimedialnych i nagrań rozmów.
Dla wygody pracy system pozwala na wyszukiwanie informacji na temat całej komunikacji realizowanej z wybranym numerem telefonu/użytkownikiem, zatem historii połączeń, wiadomości oraz zapisów w kalendarzu. Na zakończenie prac wyniki przedstawiane są w postaci raportu.
- Belkasoft
Narzędzie, którego twórcą jest firma rosyjska, stanowi zaawansowane, a jednocześnie uniwersalne rozwiązanie, pozwala bowiem na wyszukiwanie oraz analizę dowodów cyfrowych pochodzących zarówno z dysków twardych komputerów, jak również z urządzeń mobilnych.
Program może być wykorzystywany na wszystkich najpopularniejszych platformach systemowych i znajduje zastosowanie przy ekstrakcji wielu rodzajów plików, w tym pochodzących z pakietu office, plików video i graficznych (co czyni go użytecznym narzędziem np. w walce w pedofilią), a także historii komunikatorów internetowych i komunikacji realizowanej za pośrednictwem platform społecznościowych.
- UFED
UFED stanowi zaawansowaną linię produktów oferowanych przez izraelską firmę Cellebrite, która pozwala na pozyskiwanie, dekodowanie oraz analizę zapisów z różnych modeli urządzeń mobilnych, w tym telefonów komórkowych, smartfonów, tabletów oraz urządzeń GPS. Pozawala zatem na odczytywanie wiadomości sms i mms, historii czatów i komunikatorów, listy kontaktów, historii połączeń, zdjęć oraz danych z różnych aplikacji zainstalowanych na urządzeniu mobilnym.
W celu zwiększenia wygody pracy i podniesienia skuteczności działań informatyka śledczego urządzenie pozwala na wyszukiwanie kontekstowe, z uwzględnieniem określonych fraz, czy specyficznych parametrów danych. Zwieńczeniem prac analitycznych jest wygenerowanie raportu zawierającego podsumowanie dokonanych ustaleń.
Specjalistyczne narzędzia wykorzystywane w pracy laboratorium informatyki śledczej pozwalają na wysoką skuteczność działań i obsługę całego spektrum urządzeń zawierających dane cyfrowe. Wybór konkretnej platformy każdorazowo podyktowany musi być jej przeznaczeniem, z uwzględnieniem funkcjonalności, zakresu działania i obsługiwanych urządzeń. W związku z powyższym laboratorium informatyki śledczej powinno być wyposażone w możliwie wiele aplikacji, tak by zwiększyć efektywność swoich działań poprzez dostosowanie platformy do typu badanego urządzenia i rodzaju zapisanych na nim danych.