Co to jest informatyka śledcza? Jest to dziedzina kryminalistyki, która zajmuje się dostarczaniem i analizą dowodów znalezionych na komputerach, laptopach oraz cyfrowych nośnikach danych. Jej celem jest dostarczanie cyfrowych środków dowodowych w sprawach popełnionych przestępstw lub nadużyć. Informatyka śledcza ma zastosowanie nie tylko w przypadku przestępczości komputerowej, ale również może dostarczać dowodów w postępowaniu cywilnym.
Rozwój informatyki śledczej
Wraz ze wzrostem popularności komputerów, a potem również internetu, wzrosła liczba osób wykorzystujących je w celach działalności przestępczej. Oszustwa komputerowe, kradzież danych czy pieniędzy, pornografia dziecięca – to tylko początek długiej listy przestępstw popełnianych z użyciem komputerów. Równolegle do przestępczości komputerowej rozwijała się informatyka śledcza, której celem było odzyskiwanie danych oraz badanie cyfrowych dowodów, które następnie mogą być przedstawione w sądzie. Co ważne ten dział informatyki ma również zastosowanie podczas badania przestępstw niezwiązanych bezpośrednio ze stosowaniem nośników danych, tj. morderstw, gwałtów, oszustw czy porwań.
Informatyka śledcza: co to jest?
Większość danych w obecnych czasach ma postać cyfrową. Mogą być wytwarzane i gromadzone przez ludzi lub też automatycznie przechowywane w systemach (np. pliki cookie). Narzędzia informatyczne odgrywają ważną rolę w analizie nośników informacji oraz urządzeń jako „miejsc” popełnienia przestępstwa lub też jedynie jako narzędzi wspomagających działalność sprzeczną z prawem. Sama informatyka śledcza nie jest wymieniana w klasyfikacji dyscyplin naukowych, a wątpliwości budzi nawet jej nazwa (niektórzy mówią o informatyce sądowej, a nie śledczej).
Informatyka sądowa jest to dyscyplina pomostowa pomiędzy prawem a informatyką, zajmująca się opiniodawczą rolą informatyki, w szczególności
opiniowaniem sądowo-informatycznym. Ma ona charakter interdyscyplinarny, funkcjonując na pograniczu nauk społecznych, tj. prawa, nauk o bezpieczeństwie (w niektórych krajach, np. w Czechach, wyodrębnione są osobne nauki policyjne – por. np. L.F. Korzeniowski [2012]) i nauk o zarządzaniu oraz nauk technicznych (informatyki). – pisze Maciej Szmit w pracy „O standardach informatyki śledczej”.
Można próbować definiować ją jako zespół technik kryminalistycznych zajmujących się badaniem urządzeń oraz nośników danych na potrzeby postępowania sądowego. Informatyka śledcza łączy w sobie wiedzę z zakresu kryminalistyki z wiedzą ekspercką z różnych dziedzin informatyki. Zakres analizy może być bardzo różny: od wyszukania zawartych na nośniku informacji, przez odtworzenie danych po rekonstrukcję zdarzeń, które miały miejsce w świecie rzeczywistym. Oprócz oszustw oraz przestępstw komputerowych, a także poważnych przestępstw z zakresu prawa karnego, informatyka śledcza ma zastosowanie w sferze biznesowej, np. przy wyjaśnianiu sabotażu mającego na celu osłabienie pozycji firmy lub kradzieży danych. Jej specjaliści są pomocni podczas wyjaśniania motywów ucieczek osób nieletnich, zaginięć czy też powodów samobójstw.
Dowód elektroniczny
Informatyka śledcza dostarcza dowodów przestępstw od połowy lat 80. XX wieku, a zajmujący się nią specjaliści zobowiązani są dbać o to, by dostarczane przez nich informacje były autentyczne, rzetelne, a także pozyskane z poszanowaniem prawa. Wytyczne dotyczące pozyskiwania tego typu dowodów mogą się różnić w zależności od kraju.
Poszukując tego typu dowodów specjaliści mogą wykorzystywać różnego rodzaju narzędzia. Typowa analiza składa się z:
- analizy materiałów tekstowych, zdjęć oraz wideo zapisanych na komputerach lub nośnikach danych;
- przejrzenia rejestru systemu Windows w poszukiwaniu podejrzanych informacji;
- łamania haseł oraz dostawania się na różnego rodzaju konta prywatne, których zawartość może mieć związek z przestępstwem;
- wyodrębnienie wiadomości e-mail, które mogą mieć związek z przestępstwem i przejrzenie ich;
- sprawdzenie wyszukiwań w przeglądarce internetowej oraz wyodrębnienie fraz kluczowych, które mogłyby mieć związek z przestępstwem.
Zakres pracy specjalistów zależy od rodzaju przestępstwa. O tym, co to jest przestępczość komputerowa i jakie są jej rodzaje pisaliśmy TUTAJ.
Narzędzia Informatyki śledczej
W uproszczeniu można przyjąć, że informatyk śledczy zajmuje się analizą danych zawartych na różnego rodzaju nośnikach. W zależności od rodzaju popełnionego przestępstwa oraz typu nośnika, specjaliści posługują się następującymi narzędziami:
- Akwizycja danych
- Akwizycja danych
- Odzyskiwanie danych
- Analiza danych
- Blokowanie zapisu
- Analizy sieciowe
Zadaniem analizy nośników danych jest identyfikacja, przetwarzanie i analiza zawartości takich plików, jak również analiza samych systemów plików (ang. file systems), w których takie pliki są przechowywane. – czytamy w książce „Informatyka śledcza. Przewodnik po narzędziach open source”
Analiza składa się z kilku etapów. Na początku jest to identyfikacja, która pozwala na określenie, jakie pliki (zarówno istniejące, jak i skasowane) są lub były zapisane na danym nośniku. Dalszym etapem jest przetwarzanie danych, tj. sprawdzenie danych pod kątem tego, które z nich mają znaczenie dla bieżącej ekspertyzy. Ostatnim krokiem jest analiza, której celem jest powiązanie ze sobą poszczególnych danych tak, by udowodnić lub odrzucić założoną hipotezę.
Warto zaznaczyć, że choć informatyka śledcza jest bardzo dynamicznie rozwijającą się dziedziną, Polska ma w tym zakresie sporo do nadrobienia. Jednym z wiodących w tym zakresie krajów są niewątpliwie Stany Zjednoczone.
Źródła:
O standardach informatyki śledczej” Maciej Szmit
„Podstawy nauk o bezpieczeństwie” Korzeniowski L.F. (2012)
„Paradygmaty cyberprzestępczości” Kosiński J. (2015)
„Kryminalistyka. Wybrane zagadnienia” Kozdrowski S. (2012)
„Informatyka śledcza. Przewodnik po narzędziach open source” Cory Altheide, Harlan Carvey
„The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice” Adams, R.