Firmy coraz częściej wykorzystują narzędzia informatyki śledczej
Rośnie popyt na usługi związane z informatyką śledczą wśród polskich firm. Urządzenia mobilne stają się podręcznym komputerem, przechodzi przez nie coraz więcej danych, a informacje zawarte w pamięci mogą być warte miliony złotych. Przedsiębiorcy coraz częściej chcą mieć możliwość odzyskania danych zawartych na urządzeniach – wiadomości tekstowych i mailowych czy historii połączeń telefonicznych.
– Obecnie najczęściej odzyskujemy SMS-y oraz informacje zapisane na urządzeniach mobilnych, a także historie połączeń internetowych czy komunikację z czatów zapisywanych na urządzeniach mobilnych – wskazuje w rozmowie z agencją Newseria Biznes Piotr Rzuchowski, analityk śledczy w MiP Data & Forensic, firmie zajmującej się odzyskiwaniem danych.
Choć obecnie większość zleceń pochodzi od osób prywatnych, to rośnie popyt na takie usługi wśród polskich przedsiębiorstw. Dla przykładu, laboratorium informatyki śledczej Mediarecovery zanotowało w ubiegłym roku 7-proc. wzrost zleceń od firm, łącznie stanowiły one 22 proc. wszystkich spraw. Na Zachodzie narzędzia informatyki śledczej są od lat wykorzystywane przez przedsiębiorców. W Polsce już coraz częściej firmy zauważają możliwości, jakie daje odzyskiwanie danych. Jak wskazuje Rzuchowski, zainteresowanie wykazują przede wszystkim mniejsze firmy z różnych regionów kraju.
– Obserwujemy zainteresowanie wśród firm związanych z handlem. Chcą wiedzieć, co dokładnie robili z telefonem handlowcy, którzy porzucili prace, do kogo wysyłali SMS-y, komu przekazywali informacje – mówi ekspert MiP Data & Forensic.
Klienci są zainteresowani historią rozmów i połączeń telefonicznych. Jeśli był obsługiwany komunikator internetowy, odzyskiwane są również i te informacje. Analityk śledczy przekonuje, że liczba zleceń od przedsiębiorców będzie rosła.
– Ten rynek dopiero się otwiera i w niedługim czasie będzie największy boom. Urządzenie mobilne staje się komputerem osobistym. Już nie musimy chodzić z laptopem, wszystkie dane będą przechodziły przez smartfona. Dlatego coraz więcej osób będzie próbowało odzyskiwać różne dane – ocenia Rzuchowski.
Większość firm nie stosuje żadnych narzędzi ochrony urządzeń mobilnych swoich pracowników. Z badań przeprowadzonych przez F-Secure wynika, że tylko co trzecia firma stosuje takie środki, zaś 40 proc. wdrożyło programy, które umożliwiają zarządzanie urządzeniami przez działy IT. Tymczasem informacje zawarte w pamięci smartfonów czy tabletów mogą być istotne z punktu widzenia interesów firmy, mogą też pełnić charakter dowodowy w toczących się sprawach.
– Niekiedy są to informacje warte miliony złotych. Jeśli ktoś był na szczeblach władzy, miał dostęp do kluczowych informacji. Można więc powiedzieć, że pozyskanie takich danych z urządzeń jest cenniejsze niż cokolwiek innego – przekonuje ekspert MiP Data & Forensic.
Rośnie też zainteresowanie włączeniem informatyki śledczej w systemy bezpieczeństwa IT. Zwłaszcza że dzięki urządzeniom mobilnym można odzyskać także dane zamieszczone w chmurze.
– Mamy możliwość odzyskania haseł z urządzenia mobilnego. Mając to urządzenie, mamy dostęp do różnych haseł, możemy nie tyle bezpośrednio tam wejść, ale mamy do tego dostęp – wskazuje Rzuchowski.
Laboratoria informatyki śledczej dysponują kilkoma sposobami na odzyskanie danych z urządzeń mobilnych. Różnią się efektywnością pozyskanych informacji czy stopniem ingerencji w urządzenie.
– Pierwszą metodą jest modyfikacja systemu. W systemie Android zrobienie roota daje możliwość wykonania pełnego obrazu poprzez komendę dd całej pamięci fizycznej. Druga metodą jest Direct MMC, która umożliwia wykonanie pamięci fizycznej poprzez odpowiednie PIN-y znajdujące się na płycie telefonu. JTAG to natomiast specjalny interfejs, poprzez który wlutujemy się boksem serwisowym do płyty głównej i sczytujemy pamięć fizyczną – tłumaczy Rzuchowski.
Najdelikatniejszą, ale i najbardziej efektywną metodą jest chip-off, polegająca na wylutowaniu kości pamięci. Jest rzadko stosowana, ale w niektórych przypadkach jest jedyną opcją. Wiąże się z bezpośrednią ingerencją w strukturę nośnika. Szansę, że urządzenie pozostanie potem sprawne, ekspert ocenia na 30 proc. Dlatego chip-off jest wykorzystywana wtedy, gdy wartość danych przekracza wartość sprzętu.
Źródło: Newseria