single-post.php
Posts

Blog

DSC08110-770x310 CZY ODZYSKIWANIE DANYCH I INFORMATYKA ŚLEDCZA TO TA SAMA USŁUGA?

CZY ODZYSKIWANIE DANYCH I INFORMATYKA ŚLEDCZA TO TA SAMA USŁUGA?

Wraz ze wzrostem roli technologii cyfrowych rośnie również zapotrzebowanie na usługi odzyskiwania danych i informatyki śledczej. I choć wiele osób myli te specjalności, uznając je za jedną usługę, to tak naprawdę więcej je dzieli niż łączy.

 

SPECYFIKA USŁUGI ODZYSKIWANIA DANYCH I INFORMATYKI ŚLEDCZEJ

Wykorzystywanie przez społeczeństwa coraz większej ilości urządzeń wyposażonych w elektroniczne nośniki danych sprawia, że rośnie również znaczenie samych danych. Dziś informacja stanowi podstawę funkcjonowania praktycznie każdej firmy i organizacji, instytucje publiczne udostępniają obywatelom coraz więcej usług cyfrowych z łatwym dostępem online, zaś użytkownicy domowi korzystają ze zdobyczy techniki zarówno w celach rozrywkowych, jak również do prowadzenia swoich codziennych spraw.

Pomimo, że bez danych i narzędzi nowych technologii ciężko dziś funkcjonować, nie wszyscy zdają sobie sprawę, że każda informacja cyfrowa, a także każda czynność zrealizowana przy użyciu komputera, czy smartfona, pozostawia w pamięci nośnika jakiś ślad. W efekcie, otwiera to ogromne możliwości w sytuacjach, w których zachodzi potrzeba przywrócenia dostępu do danych, bądź też uzyskania informacji o operacjach na plikach, czy aktywności użytkownika w sieci.

I choć wydawać by się mogło, że odzyskiwanie danych i dokonywanie ustaleń w zakresie zawartości nośników elektronicznych to tożsama czynność (w obu przypadkach przedmiotem „obróki” są dane cyfrowe), to tak naprawdę data recovery i computer forensic stanowią dwie różne specjalizacje.

 

CO RÓŻNI ODZYSKIWANIE DANYCH OD COMPUTER FORENSIC?

Proces odzyskiwania danych ma na celu przywrócenie dostępu do informacji, których utrata mogła nastąpić z wielu różnych przyczyn, w tym samoistnych awarii nośników, zużycia się sprzętu, wypadków losowych, czy błędów użytkowników.

Przebieg procesu może być różny w zależności od typu przypadku – w odniesieniu do usterek logicznych do których zalicza się np. usunięcie danych, czy sformatowanie nośnika wystarczające zazwyczaj będzie użycie profesjonalnego oprogramowania. Z kolei w przypadku awarii fizycznych dysków twardych konieczna jest zwykle wymiana uszkodzonych podzespołów na sprawne, pochodzące z nośnika o identycznych parametrach jak ten uszkodzony (dysku donora), a także podjęcie adekwatnej do sytuacji, akcji serwisowej. Oczywiście wszystkie prace muszą być prowadzone przy użyciu narzędzi programowo – sprzętowych dedykowanych pracy z wybranym typem nośnika, przy zachowaniu standardów bezpieczeństwa nośników i danych, a także przez wykwalifikowany zespół, posiadający niezbędną wiedzę i doświadczenie. Wszelkie samodzielne próby odzyskiwania danych przez użytkowników (zwłaszcza w odniesieniu do nośników uszkodzonych mechanicznie) kończą się najczęściej pogłębieniem usterki, dodatkową degradacją podzespołów i zwiększeniem poziomu trudności prac, a niekiedy całkowitym brakiem możliwości odzyskania danych także przez profesjonalny serwis.

 

Z kolei informatyka śledcza sprowadza się do badania zawartości nośnika elektronicznego pod kątem występowania w nim określonych treści, np. wiadomości mail wysyłanych do konkretnego odbiorcy, czy plików o określonym charakterze, np. fotografii noszących znamiona treści pedofilskich. Ekspert z zakresu informatyki śledczej może mieć również za zadanie ustalenie czasu i charakteru operacji jakie dokonywane były na plikach (np. kopiowanie, czy usuwanie). Poza tym, częstym przedmiotem badań są ustalenia odnoszące się do aktywności użytkownika w sieci, np. jakie strony internetowe przeglądał, z kim i za pomocą jakich narzędzi komunikacji elektronicznej się komunikował, czy jakie treści zamieszczał, bądź ściągał z sieci.

Działania te odbywają się najczęściej na sprawnych nośnikach, dostarczanych do laboratorium przez właścicieli (np. firmy podejrzewające pracowników o kradzież danych, czy organy ścigania zbierające materiał dowodowy w prowadzonych postępowaniach).

Niemniej jednak, czasami zdarza się, że biegły informatyk śledczy otrzymuje nośnik uszkodzony (np. przez osobę podejrzaną w celu zatarcia śladów i zniszczenia dowodów) – w takiej sytuacji w pierwszej kolejności niezbędne staje się przywrócenie dostępu do danych, a dopiero później podejmowane jest badanie zapisów ujawnionych na nośniku. Sytuacja taka stanowi chyba jedyny punkt styczny pomiędzy odzyskiwaniem danych i informatyką śledczą. Reszta działań w obu dziedzinach jest rozbieżna, różnią się także narzędzi wykorzystywane w obu specjalizacjach. Co więcej, obie dziedziny są na tyle wąskie i specyficzne, że bardzo często eksperci specjalizują się tylko w jednej z nich, w związku z czym biegły z zakresu informatyki śledczej nie musi znać się na odzyskiwaniu danych i odwrotnie.

 

Jeszcze kilkanaście lat temu za informatyka uznawano osobę, która potrafiła złożyć i naprawić komputer, podłączyć drukarkę i myszkę. Dziś nawet jedna konkretna dziedzina informatyki zawiera wąskie specjalizacje, które wymagają unikalnej wiedzy i umiejętności. Tak właśnie jest z odzyskiwaniem danych i informatyką śledczą.