Informatyka śledcza

W dzisiejszych czasach już niemal 90% informacji wytwarzanych jest i archiwizowanych w postaci cyfrowej. Wraz z rozwojem technologicznym, z każdym dniem przybywa także urządzeń, przy użyciu których realizowane są operacje elektroniczne – przeglądane zasoby internetu, dokonywane płatności w sieci, czy chociażby wysyłana jest korespondencja mailowa.

Wszystko to sprawia, że wiele niepożądanych incydentów i czynów zabronionych popełnianych jest obecnie przy wykorzystaniu nowych metod, nieznanych w rzeczywistości analogowej. Podstawowym narzędziem współczesnego przestępcy nie jest zatem łom i wytrych, ale narzędzia nowych technologii.

Nie wszyscy zdają sobie jednak sprawę, że wszystkie działania przy użyciu komputera, czy smartfona pozostawiają  w ich pamięci swoisty cyfrowy odcisk palca, zaś aktywność użytkownika w sieci nie jest anonimowa. Dzięki narzędziom stosowanym w informatyce śledczej możliwe jest odtworzenie ścieżki, która podążał użytkownik sprzętu komputerowego, czy telefonu komórkowego. Możliwe jest zatem ustalenie daty utworzenia, modyfikacji, czy ostatniego dostępu do pliku (nawet w przypadku jego usunięcia), kopiowania na inny nośnik, czy przesyłania droga elektroniczną.

CZYM JEST INFORMATYKA ŚLEDCZA?

Informatyka śledcza to zespół czynności, realizowanych z wykorzystaniem rozwiązań programowo – sprzętowych, zmierzających do ujawniania, pozyskiwania oraz analizy materiałów pochodzących z pamięci cyfrowych nośników danych. Podczas prac analitycznych eksperci z zakresu informatyki śledczej przeszukują pamięć nośnika oraz sektory opróżnione na skutek usunięcia danych, czy sformatowania nośnika, pod kątem występowania określonych treści, np. w celu ujawnienia fotografii noszących znamiona pedofilii. Tak zgromadzony materiał stanowi tzw. dowód elektroniczny, tj. dowód pozyskiwany z elektronicznego nośnika informacji, zapisany w postaci cyfrowej. Dla porównania innymi dowodami mogą być zeznania świadka, wyjaśnienia oskarżonego, czy dokumenty w postaci papierowej.

CO MOŻE STANOWIĆ DOWÓD ELEKTRONICZNY

Dowód elektroniczny mogą stanowić wszelkiego rodzaju pliki ujawnione na nośniku cyfrowym, noszące znamiona czynu zabronionego (np. pornografia dziecięca), bądź zawierające treści stanowiące okoliczności istotne z punktu widzenia prowadzonego postępowania (np. wiadomości sms zawierające groźby kierowane przez podejrzanego do ofiary).

Dowodem elektronicznym mogą być także wszelkie ustalenia wskazujące na popełnienie przez sprawcę czynu zabronionego przez internet, np. cyberstalkingu, oszustwa internetowego, włamania do bankowości elektronicznej.

JAKIE DANE MOGĄ BYĆ UZNANE ZA DOWÓD ELEKTRONICZNY?

Dowodem elektronicznym mogą być wszelkie dane pozyskane z nośnika cyfrowego, wskazujące na popełnienie czynu zabronionego, w szczególności:

1. Historia połączeń telefonicznych
2. Lista kontaktów
3. Wiadomości sms
4. Wiadomości mms
5. Historia korespondencji prowadzonej z użyciem różnego rodzaju komunikatorów internetowych, np. whatsApp, viber, messenger, skype.
6. Maile oraz zawartość programów pocztowych
7. Fotografie ujawnione w pamięciach nośników
8. Zawartość baz danych i programów zainstalowanych na dysku
9. Historia działań użytkownika w sieci – przeglądane strony i portale internetowe
10. Wszelkie możliwe do odzyskania treści usunięte uprzednio z nośnika

JAKIE NOŚNIKI MOGĄ BYĆ PRZEDMIOTEM BADANIA BIEGŁYCH Z ZAKRESU INFORMATYKI ŚLEDCZEJ

Cyfrowe materiały dowodowe mogą pochodzić z wszelkich elektronicznych nośników danych, w szczególności:

1. Komputerowe dyski twarde
2. Dyski SSD
3. Telefony komórkowe starej generacji
4. Smartfony
5. Karty pamięci
6. Pendrive
7. Dyktafony
8. Rejestratory wykorzystywane w monitoringu i telewizji przemysłowej
9. Wielodyskowe macierze RAID różnych konfiguracji instalowane na serwerach
10. Nośniki pracujące w urządzeniach mobilnych, np. tabletach
11. Pamięci instalowane w dronach
12. Wszelkie inne cyfrowe nośniki danych instalowane w różnego rodzaju urządzeniach

CZY INFORMATYKA ŚLEDCZA DOTYCZY WYŁĄCZNIE SPRAWNYCH NOŚNIKÓW?

Czynnościami z zakresu informatyki śledczej mogą być objęte zarówno nośniki sprawne, jak również uszkodzone. W przypadku nośników uszkodzonych fizycznie, bądź takich, z których dane zostały usunięte, czy wykasowane przez użytkownika, w pierwszej kolejności realizowany jest proces odzyskiwania danych, a następnie analiza w ramach computer forensic.

ODZYSKIWANIE DANYCH METODĄ CHIP OFF

W przypadku urządzeń wyposażonych w pamięci oparte na technologii NAND (telefony komórkowe, smartfony, karty pamięci), w celu uzyskania dostępu do danych z nośnika stosowane są autorskie rozwiązania badawcze laboratorium MiP Data & Forensic, pozwalające na wyczytywane danych bezpośrednio z kości pamięci (CHIP OFF). Metoda pozwala na odczyt informacji z pominięciem kontrolera urządzenia i jest niezwykle skuteczna we wszystkich tych przypadkach, w których zawodzą standardowe metody programowe.

DO KOGO SKIEROWANA JEST INFORMATYKA ŚLEDCZA?

W dobie rozwoju technologicznego, każdy może potrzebować skorzystać z usług informatyki śledczej. W szczególności computer forensic kierowana jest do:

1. Organów ścigania (policji, prokuratury, sądów, różnego rodzaju służb) na potrzeby prowadzonych przez nie postępowań
2. Środowiska prawniczego oraz klientów kancelarii adwokackich i radcowskich, w ramach prowadzonych spraw
3. Detektywów i biur detektywistycznych, w ramach uzupełnienia świadczonych przez nich usług detektywistycznych
4. Klientów biznesowych – przedstawicieli korporacji oraz małych i średnich przedsiębiorstw, w szczególności w przypadkach kradzieży danych firmowych
5. Osób fizycznych, w celu pozyskiwania materiałów w sprawach rozwodowych, alimentacyjnych, spadkowych

PRZYKŁADY SPRAW, W KTÓRYCH MOŻE BYĆ WYKORZYSTYWANA INFORMATYKA ŚLEDCZA:

1. Sprawy karne – pedofilia, pornografia dziecięca, zabójstwa, niedopełnienie obowiązków, błędy lekarskie, cyberprzestępczość, cyberstalking, oszustwa internetowe, kradzież tożsamości w sieci
2. Sprawy cywilne – sprawy rozwodowe, alimentacyjne
3. Gospodarcze – kradzież danych przez konkurencję, szpiegostwo przemysłowe, inwigilacja przez osoby trzecie, ukrywanie majątku
4. Pracownicze – wykorzystywanie przez pracowników poczty służbowej do celów prywatnych, bezpodstawny monitoring dokonywany przez pracodawcę w odniesieniu do służbowej skrzynki mailowej pracownika,  kradzież danych stanowiących tajemnicę przedsiębiorstwa
5. Sprawy prywatne – ujawnianie niewierności partnera

BIAŁY WYWIAD UZUPEŁNIENIEM DZIAŁAŃ Z ZAKRESU INFORMATYKI ŚLEDCZEJ

Uzupełnieniem czynności realizowanych w ramach informatyki śledczej może być biały wywiad (z ang. OSINT – open source inteligence investigation) polegający na pozyskiwaniu informacji z ogólnodostępnych źródeł.

Więcej na temat białego wywiadu tutaj.

RAPORT BIEGŁEGO

Zwieńczeniem prac eksperta z zakresu informatyki śledczej jest opracowanie raportu zawierającego ujawnione dowody, poczynione ustalenia oraz wnioski. Raport biegłego powinien odpowiadać na pytania postawione przez organ w postanowieniu o powołaniu biegłego, być jasny i czytelny, zrozumiały dla wszystkich stron postępowania.

Jeśli treść raportu jest nieczytelna, niezrozumiała, bądź pozostawia jakiekolwiek wątpliwości, organ może wezwać biegłego do uzupełnienia opinii. Często zdarza się również, że biegły wzywany jest na etapie postępowania sądowego, w celu udzielenia odpowiedzi na dodatkowe pytania sądu, oskarżyciela, bądź pełnomocników stron.

PRZYSZŁOŚĆ INFORMATYKI ŚLEDCZEJ

Każdy dzień przynosi informatyce śledczej nowe wyzwania. Na rynku nieustannie pojawiają się bowiem nowe nośniki pamięci masowych oraz urządzenia wyposażone w pamięć cyfrową. Wszystko to sprawia, że katalog urządzeń, w oparciu o które prowadzone są działania z zakresu informatyki śledczej nie jest zamknięty.

Coraz częstsze są przypadki odzyskiwania danych oraz analizy zapisów zawartych w pamięciach inteligentnych urządzeń wykorzystywanych w smart domach. W trakcie włamań i innych incydentów sprawcy niszczą bowiem rejestratory, przekonani, że uchroni ich to przed zdemaskowaniem i odpowiedzialnością.

Wiele zapytań do ekspertów z zakresu informatyki śledczej dotyczy również crash recovery, czyli analizy danych z pamięci komputerów samochodowych. Usługą zainteresowane są w szczególności towarzystwa ubezpieczeniowe, kwestionujące zasadność wypłaty odszkodowania. Z drugiej strony, to właściciele aut muszą niejednokrotnie przed sądem dochodzić swych praw w sporze z drugim uczestnikiem kolizji, czy firmą ubezpieczeniową, odmawiającą wypłaty należności.

Specjalizujemy się w obszarach związanych z: