Czym Jest Informatyka Śledcza?

Dosyć trudno jest zdefiniować informatykę śledczą. Trochę dlatego, że samo pojęcie nie zostało nazwane w języku polskim zbyt szczęśliwie. Śledztwo jest terminem ściśle związane z procesem karnym, natomiast informatyka śledcza dotyczy dużo szerszego zakresu postępowań – cywilnego, administracyjnego, dyscyplinarnego, audytu wewnętrznego. Wszędzie tam gdzie chcielibyśmy skorzystać z dowodów zawartych na nośnikach cyfrowych w celu potwierdzenie jakiejś tezy będziemy korzystać z informatyki śledczej. W związku z tym że samemu nie jest mi łatwo znaleźć lepszego terminu, będę się nim nadal posługiwał, ale może ktoś ma lepsze pomysły?
Nie wdając się w więcej dywagacji, które spokojnie mogą wywołać wojnę na forum powiedzmy, że:
Informatyka śledcza jest nauką zajmującą się zabezpieczaniem i analizą dowodów zawartych na nośnikach cyfrowych.
Obalić więc należy w miarę powszechne przekonanie, że informatyka śledcza jest odzyskiwaniem danych. Odzyskiwanie danych jest jednym ze wczesnych etapów pracy informatyka śledczego ale nie jest sednem tego zawodu. W przypadku nośników uszkodzonych fizycznie, informatyk śledczy zwykle odda go tak naprawdę w ręce specjalisty odzyskiwania danych, a sam zajmie się dopiero kolejnymi etapami analizy. W tradycyjnym wyposażeniu informatyka śledczego nie ma i nie musi być sterylnej komory ze sprzętem do analizy magnetycznej.
Rozwijając definicję można uznać, że IŚ:

  • Jest nauką i wymaga metod naukowych.
  • Zajmuje się metodami zabezpieczeniem dowodów w taki sposób aby sposób ich zabezpieczenia nie był powodem ich obalenia.
  • Zajmuję się analizą dowodów cyfrowych.

Dowody znajdują się na nośnikach cyfrowych. Dane cyfrowe mogą mieć trzy podstawowe charakterystyki – mogą być przechowywane, transferowane lub przetwarzane. Informatyka śledcza zajmuję się danych przechowywanymi. Danymi transferowanymi zajmują się między innymi specjaliści bezpieczeństwa IT (IT security) oraz reakcji na zagrożenia (incident response). Z kolei danymi przetwarzanymi, czyli tymi, które znajdują się w pamięci i są przetwarzane w danej chwili przez procesor zajmują się na przykład specjaliści analizy szkodliwego kodu. Informatyka śledcza jest więc nauką raczej statyczną – dowód zostaje zabezpieczony i ulega swoistemu zamrożeniu.
W mojej definicji pomijam wzmiankę o postępowaniu sądowym. Uważam informatykę śledczą za naukę a nie składnik postępowania sądowego. Można stosować ją zarówno w sądzie, jak i w wielu innych mniej lub bardziej formalnych postępowaniach.
Można wyróżnić następujące fazy IŚ:

  • Zabezpieczenie dowodu – kopiowanie nośników.
  • Przetwarzanie danych – przygotowywanie danych do przeglądu i analizy. Tutaj właśnie przynależy odzyskiwanie danych, a ponadto łamanie haseł, wypakowywanie archiwów, ujednolicanie formatu dokumentów. Wszelkie czynności zmierzające do rozpoznania i przekazania do analizy możliwie wszystkich danych zawartych na nośniku. Tutaj też dokonujemy filtrowania danych w celu eliminacji niepotrzebnego materiału lub w celu skupienia analizy na materiale najbardziej wartościowym.
  • Przegląd danych – dokumentów, często zdjęć.
  • Analiza danych – to tutaj dochodzi do głosu nauka. Analiza danych cyfrowych w różnorodnych formatach, często szesnastkowym. Zwykle należy połączyć dane z różnych źródeł w celu wysnucia oraz obrony postawionej tezy.
  • Raport – finalnym etapem informatyki śledczej jest raport – zawsze dostosowany do rodzaju postępowania którego dotyczy.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *