Odzyskiwanie danych jako element informatyki śledczej
Czym jest informatyka śledcza?
Informatyka śledcza to dziedzina obejmująca swym zakresem zespół czynności śledczych składających się na poszukiwanie oraz analizowanie materiałów zapisanych na elektronicznych nośnikach danych.
Odzyskiwanie danych w służbie informatyki śledczej
Przeszukanie nośnika pod kątem określonych treści wymaga niekiedy przeprowadzenia procesu odzyskiwania danych. Urządzenia będące dowodami w sprawie bywają uszkodzone fizycznie, a w przypadku sprawnych nośników, pliki mogą zostać usunięte. Działania informatyków śledczych zostają zwieńczone raportem, dokumentem mogącym stanowić dowód w prowadzonym postępowaniu lub podstawę do wszczęcia stosownych działań (akt oskarżenia). W tym kontekście działania przebiegające w laboratoriach prowadzących procesy odzysku posiadają szczególne znaczenie - ich efektem mogą być elektroniczne dowody czynów zabronionych, bądź zawierających nielegalne treści. Prowadzone działania data recovery muszą przebiegać w warunkach daleko posuniętej ostrożności, bardzo łatwo można bowiem bezpowrotnie stracić dowód na skutek nieumiejętnego bądź niewłaściwego podejścia. Dlatego tak istotną kwestią jest korzystanie z usług wyspecjalizowanych laboratoriów, zapewniających gwarancję bezpiecznego i skutecznego podejścia. Zabezpieczenie pamięci i wykonanie kopii posektorowej jest punktem wyjścia do odczytania zawartości nośnika, która ujęta w formie raportu zostaje przekazana zainteresowanym stronom.
Postępowanie śledcze w przypadku uszkodzonego nośnika bądź skasowania danych zamyka się w kilku podstawowych etapach:
- Zabezpieczenie nośników i wykonanie kopii binarnej zawartości pamięci.
- Przeszukanie odzyskanej zawartości pod kątem określonych treści.
- Analiza uzyskanych treści w kontekście prowadzonego postępowania.
- Sporządzenie i przedstawienie wniosków w postaci stosownego raportu.
Rodzaje dowodów i typy nośników będących przedmiotem analizy śledczej
Dowodami tego rodzaju mogą być wszelkiego rodzaju dane odzyskane z nośnika będącego przedmiotem zainteresowania, w tym: wiadomości sms, mms, listy kontaktów, historie połączeń telefonicznych bądź prowadzonych za pomocą różnego rodzaju komunikatorów, treść korespondencji elektronicznej, fotografie, filmy, bazy danych przechowywane na różnego rodzaju nośnikach, ślady obecności i działań w sieci (historie przeglądanych stron internetowych).
Obiektem postępowania może być praktycznie każdy rodzaj nośnika: dyski twarde, SSD, karty pamięci, pendrive'y, pamięci wewnętrzne smartfonów, tabletów, rejestratorów wizyjnych, dronów, dyski w konfiguracjach RAID, dyski sieciowe NAS.
Możliwość wykorzystania analizy śledczej i narzędzi z dziedziny odzyskiwania danych Informatyka śledcza może mieć zastosowanie w przypadku spraw sądowych karnych, cywilnych (rozwodowych, alimentacyjnych), przestępstw gospodarczych, rozstrzygających spory na linii pracodawca pracownik czy dochodzeń prywatnych. Ponieważ bardzo duża liczba dokumentów ma obecnie formę elektroniczną obszary zastosowania informatyki śledczej są niezwykle szerokie. A ponieważ przestępcy starają się zacierać ślady często dochodzi do uszkodzenia urządzeń lub celowego skasowania danych, co daje pole do działania dla specjalistycznych laboratoriów odzysku. Przykładem niech będą inteligentne urządzenia rejestrujące będące na wyposażeniu smart domów, celowo niszczone podczas włamania. Analiza zawartości samochodowych komputerów pokładowych uszkodzonych w trakcie wypadku jest także obszarem tego rodzaju czynności; odbiorcami raportów są na ogół towarzystwa ubezpieczeniowe, bądź właściciele pojazdów uwikłani w toczące się postępowanie. Zacieranie śladów nielegalnej działalności gospodarczej w postaci skasowanych plików danych, bądź nieuczciwości małżeńskiej w formie usuniętej korespondencji także stanowi pole dla tego typu działań.
Jak widać działania na polu informatyki śledczej na ogół skorelowane są z czynnościami związanymi z koniecznością wcześniejszego odzyskania danych, które bardzo często stanowią wręcz podstawę (warunek) ewentualnych działań śledczych.
Pavel Kroupka
