Przegląd źródeł dowodowych
Źródeł dowodowych w informatyce śledczej nie brakuje. Postaram się przedstawić te najważniejsze. Cześć będzie uniwersalna a część z nich będzie miała zastosowanie tylko w przypadku dochodzenia w organizacji. Zawsze na samym początku postępowania należy dokładnie przemyśleć i zaplanować, które źródła dowodów są istotne dla dochodzenia i wymagają zabezpieczenia. W toku postępowania należy te plany weryfikować – dodając źródła, lub czasami je ograniczając.
Oto podstawowe źródła dowodowe, zostaną szerzej opisane w dalszych artykułach:
- Komputer osobisty – laptop lub desktop to niekwestionowany król dowodów cyfrowych. Od tego wszystko się zaczęło.
- Nośniki zewnętrzne – CD-romy, DVD-romy, dyski USB, inne urządzenia USB pracujące jako pamięć masowa.
- Telefony komórkowe – zwłaszcza smartfony, ale także te prostsze. Ciekawym faktem jest to, że w świecie przestępczym, tradycyjne proste telefony za kilka złotych są ciągle bardzo popularne. Związane jest to z faktem, że tanie telefony na kartę można zmieniać bardzo często, dzięki czemu ślady działalności zostają zatarte.
- Serwery plików – wchodzimy na grunt organizacji, serwery plików to tradycyjne miejsce w którym wszyscy zapisują produkty swojej pracy.
- Serwery pocztowe – najczęściej Microsoft Exchange a czasami IBM Domino lub serwery bazujące na Linuksie. Całą dostępna komunikacja poczty elektronicznej jest zwykle przechowywana na serwerach.
- Systemy księgowe – na przykład SAP, mogą również zawierać interesujące dowody, jeżeli śledztwo podąża w kierunku malwersacji finansowych.
- Wewnętrzne systemy bazodanowe – systemy do zarządzania dokumentami takie jak SharePoint oraz wszystkie inne systemy wewnętrzne, których w dużych organizacjach jest sporo.
Oprócz powyższego istnieje wiele innych peryferyjnych źródeł dowodowych. Każde urządzenie posiadające pamięć zapisu i odczytu jest potencjalnym źródłem. Do kategorii tej wchodzą GPS-y, smartwatch’e, czytniki e-booków a nawet współczesne samochody, telewizory czy drony. Tanie procesory ARM oraz pamięć sprawiają że micro-computer może kryć się wszędzie, Zwykle analiza śledcza nie będzie wymagana, ale nie można jej wykluczyć.