Metadane

Metadane czyli po angielsku “metadata”, to kolejny istotny element informatyki śledczej. Metadane to dane które opisują inne dane. Metadane to dane o danych. Prosta koncepcja ale nie obędzie się bez kilku przykładów:

  • Dokumenty Microsoft office posiadają takie metadane jak: autor, całkowity czas edycji, czas ostatniej modyfikacji, czas ostatniego wydruku itd.
  • Pliki graficzne mogą zawierać EXIF metadata opisujące takie dane jak rodzaj aparatu z którego zrobiono zdjęcie, znaczniki czasowe, ustawienia aparatu.
  • Pliki PDF zawierają dane podobne do MS Office – znaczniki czasowe, autor, tytuł itp
  • Emaile zawierają czas wysłania, nadawcę, odbiorcę, tytuł itp.
  • Strony internetowe posiadają sekcję Meta, zawierającą tytuł, słowa kluczowe, opis,

Metadane mogą być zawarte w samych danych, czyli być częścią pliku, mogą być też przechowywane zewnętrznie. Na przykład te same pliki, opisane powyżej, będą posiadały dodatkowy zestaw metadanych przechowywanych na systemie plików gdzie się znajdują. Systemy plików na przykład FAT32 lub NTFS będą zawierać takie informacje jak czas modyfikacji, utworzenia lub dostępu, wielkość pliku, jego nazwę i ścieżkę dostępu.

Przykładem metadanych ze świata realnego, będą dane opisujące książkę – tytuł autor, wydawnictwo. Dane te zawarte są w samej książce, na okładce i pierwszych kilku stronach. Jeżeli książka znajduje się w bibliotece, część tych danych znajdzie się również na medium zewnętrznym – w katalogu.

Metadane nie dotyczą tylko plików. Mogą też opisywać pakiety TCP/IP, połączenia internetowe, połączenia telefoniczne.

Metadane nie muszą powstać razem z danymi. Można je stworzyć później poprzez proces katalogowania danych. Data mining polega właśnie na przetworzeniu ogromnej ilości danych źródłowych w celu utworzenia metadanych. To metadane są z kolei poddawane analizie w celu odnalezienia nieznanych wcześniej zależności. Google jest tutaj niekwestionowanym liderem.

Metadane są ostatnio gorącym tematem. Zgodnie z oświadczeniami administracji USA, systemy podsłuchu internetu zbierają “jedynie” metadane. “Jedynie” w cudzysłowiu, gdyż jak oświadczył były szef CIA/NSA ludzie są zabijani w oparciu o metadane.

W informatyce śledczej metadane będą często kluczowym elementem sprawy. Często dane będą filtrowane w oparciu o metadane takie jak znaczniki czasowe, nadawcę, odbiorcę itd.

Oprogramowanie digital forensics zwykle odnajdzie metadane i przedstawi je w mniej lub bardziej dogodny sposób.

Metadane wypakowane z systemu plików, będą zwykle przedstawione w głównej tabeli interfejsu.

Metadane wypakowane z konkretnych plików, będą dostępne w trakcie przeglądania tego pliku, lub w przypadku Xways Forensics  także jako dodatkowa kolumna w głównej tabeli.

Metadane można przeglądać również bezpośrednio w środowisku Windows, poprzez właściwości pliku lub poprzez dodanie dodatkowych kolumn w Eksploratorze Windows. Nie wszystkie metadane będą jednak dostępne. Czasami jednak warto sprawdzić również tutaj w celu weryfikacji wyników lub w trakcie testowania.

Czasami warto również porównać wyniki z aplikacjami stworzonymi do wypakowywania metadanych takimi jak Metadataminer lub Metadata Assistant (Payne).

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *