Informatyka śledcza jest gałęzią nauk sądowych, której celem jest dostarczanie elektronicznych materiałów dowodowych popełnionych przestępstw lub nadużyć prawnych.
W dzisiejszym świecie, w wieku informacji i cyfryzacji, prawie wszystko jest przechowywane jako dane elektroniczne w systemie komputerowym. Dzięki informatyce śledczej można odtworzyć kolejność działań jakie przeprowadzane były przez użytkownika na komputerze lub innym urządzeniu elektronicznym – czyli, kto, co robił na danym komputerze, gdzie, kiedy i w jaki sposób. Informacje te zbierane są na podstawie informacji zapisywanych przez programy i system operacyjny w trakcie korzystania z komputera i mogą one być niedostępne w normalny sposób, ani dla użytkowników, ani dla administratorów systemu – np. po skasowaniu danych lub sformatowaniu dysku. Informatyka śledcza jest wykorzystywana wszędzie tam, gdzie w ramach czynności zabezpieczany jest sprzęt komputerowy. Jego niewłaściwe zabezpieczenie może grozić bowiem utratą wartości dowodowej zgromadzonych na dysku twardym dokumentów.
W informatyce śledczej, zgromadzenie dowodów polega na zabezpieczeniu nośników danych, które np. przekazała do analizy policja po kontroli związanej z kontrolą legalności zawartości komputera. Każdy zabezpieczany nośnik danych jest dwukrotnie kopiowany binarnie – bit po bicie. Jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych danych dowodowych, drugi obraz nośnika zostaje zabezpieczony. W wypadku znalezienia poszukiwanych danych, np. nielegalnych programów, stanowi on materiał dowodowy. Każdy z etapów pracy w informatyce śledczej musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej. Aby materiał zachował wartość dowodową oznacza się go unikalną sumą kontrolną, która gwarantuje, że materiał źródłowy i jego kopie są identyczne, odnalezione w ten sposób elektroniczne dowody przestępczości mogą być wykorzystane jako materiały dowodowe w sądzie.
Wykorzystywane są do tego nośniki danych zamontowane między innymi w urządzeniach:
komputerach stacjonarnych
notebookach, netbookach
serwerach
urządzeniach RAID
zewnętrznych dyskach twardych,
pamięciach USB,
telefonach komórkowych.
Identyfikacja dowodów
Pierwszym etapem jest identyfikacja potencjalnych źródeł danych elektronicznych. Nasi eksperci podadzą wytyczne specyficzne dla konkretnej sprawy. Najważniejszą sprawą jest aby zrozumieć, gdzie mogą lub nie mogą być przechowywane informację mogące stanowić istotny dowód.
Zabezpieczanie dowodów
Dowody zostają zabezpieczone zgodnie z najlepszymi praktykami informatyki śledczej. Nasi eksperci mogą zabezpieczyć dowody z wszelkiego rodzaju urządzeń, w tym:
-Komputery stacjonarne,
-Laptopy,
-Serwery,
-Urządzenia RAID,
-Zewnętrzne dyski twarde,
-Pamięci USB,
-Telefony komórkowe,
-Przenośne urządzenia (iPod, iPhone, iPad, itp.),
Szczegółowa analiza
Proces zabezpieczania dowodu może zostać wykonany w miejscu instalacji sprzętu (posiadamy urządzenia przenośne do wykonywania kopii binarnych nośników danych). Możemy zabezpieczyć każdy system operacyjny (Windows, Linux, Mac) bez względu na rodzaj zamontowanego nośnika danych.
Analiza dowodów elektronicznych może się koncentrować na udzielenie odpowiedzi na wiele różnych pytań:
Wyszukiwanie dowodów kradzieży własności intelektualnej,
Wyszukiwanie dowodów włamaniami do systemów komputerowych
Dotarcia do źródła i autentyczności wiadomości e-mail
Wykrycie celowego ukrywania danych
Odzyskiwanie usuniętych plików
Wykrywanie fałszowania danych
Udostępniania zawartości plików zabezpieczonych hasłem
Wykorzystywania komputera do przestępstw o charakterze (seksualnym, zabójstwa, porwania, handel narkotykami, przestępczość zorganizowana, pedofilia)
Raport zawartości
Z przeprowadzonych wyników analiz powierzonego materiału dowodowego tworzy przejrzysty raport. Zawiera on odpowiedzi na poszukiwane pytanie "kto", "co", "kiedy", "gdzie" i "dlaczego".
Możemy podać szczegóły dotyczące:
Jakie działania miały miejsce.
Jakie dane są zapisane, zostały skopiowane lub usunięte.
Historię pracy użytkownika na urządzeniu.
Gzie pliki są przechowywane lub gdzie zostały przeniesione?
Potwierdzić, lub wykluczyć czy dane urządzenie zawierało informacje związane ze sprawą.
>