Anton SMOLIŃSKI

Anton SMOLIŃSKI
Katedra Inżynierii Oprogramowania, Wydział Informatyki,
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie
E–mail: [email protected]
Informatyka Śledcza i Kryminalistyka Sądowa –
analiza porównawcza metod
wspierających bezpieczeństwo
1. Wstęp
W piramidzie potrzeb człowieka opracowanej przez Abrahama Maslowa potrzeba bezpieczeństwa umieszczona jest tuż nad potrzebami fizjologicznymi człowieka. Wskazuje to
jak ważne jest poczucie bezpieczeństwa, wygoda, spokój, wolność od strachu. Jednak
w miarę rozwoju technologii, zmian ustrojów oraz degradacji wartości społecznych coraz
częściej potrzeba ta bywa naruszana. Jednak technologie, pomimo że wykorzystywane
bywają w niecnych czynach w znaczącym stopniu potrafią zaspokoić ową potrzebę.
Dzięki wszechobecnej technologii i komputerom możliwe są działania profilaktyczne.
Niestety powszechny monitoring oraz ciągła analiza obrazów, dźwięków, transmisji
i innych bodźców uważana jest, jako ograniczenie swobód, a nie jako środek służący
poprawie bezpieczeństwa.
Jednak kwestia czy środki tego typu służą bardziej ochronie, czy jednak ograniczają swobody obywateli jest dysputą bardziej filozoficzną i odpowiedź w znacznym stopniu zależy
od otoczenia, w którym badamy daną sprawę. W niniejszym artykule skupimy się nie na
środkach zapobiegawczych wystąpieniu naruszenia bezpieczeństwa, lecz nowoczesnym
technologiom pozwalającym złagodzić skutki naruszeń, wykryć sprawców, a co za tym
idzie wzmocnić świadomość społeczną, że żadna zbrodnia nie zdoła uniknąć kary.
2. Pojęcia Informatyki Śledczej i Kryminalistyki
„Nie ma zbrodni doskonałych. Wprawdzie śledztwa także bywają niedoskonałe, ale na
szczęście każdy z nas pozostawia ślady. Trzeba tylko znaleźć je, rozpoznać
i odpowiednio zinterpretować. A to już cała sztuka...”
Licząca tysiące lat ludzka tradycja wzajemnego uśmiercania się, dała specjalistom mnóstwo okazji, by nauczyli się rozróżniać uszkodzenia ciała i na tej podstawie identyfikować narzędzie zbrodni. Historia cyberprzestępstw nie jest tak rozbudowana i długa,
jednakże korzystając z osiągnięć konwencjonalnych metod badawczych dzisiejsi specjaliści od zabezpieczeń nie muszą czekać tysięcy lat by opracować metody służące do
identyfikacji sprawców cyberprzestępstw.
Kryminalistyka jest to nauka o taktycznych zasadach i sposobach oraz o technicznych
metodach i środkach rozpoznawania, a także wykrywania prawnie określonych, ujem-
Anton Smoliński
154
nych zjawisk społecznych, a w szczególności przestępstw i ich sprawców oraz udowadniania istnienia lub braku związku między osobami a zdarzeniami. Czyli w prostych
słowach nauka o identyfikacji osób. Wśród specjalistów z tej dziedziny panuje także
powiedzenie, iż jest to „sztuka znajdowania takich dowodów, których obalić nie umie
adwokat podejrzanego” .
Natomiast Informatyka Śledcza można powiedzieć jest jedną z gałęzi kryminalistyki,
jednak obszarem działań tej dziedziny jest świat cyfrowy. w obydwu przypadkach jest
to nauka, która pozwala odpowiedzieć na pytania: Kto? Co? Kiedy? w jaki sposób?
dokonał przestępstwa lub nadużycia. Esencją pracy jest dojście do prawdy, a metody
które do niej prowadzą, choć na pozór wydają się różne, w rzeczywistości można przeprowadzić pomiędzy nimi prostą analogię.
Rozwój obydwu dziedzin nauki poprawia bezpieczeństwo w społeczeństwie, pomimo iż
bezpośrednio nie przeciwdziała popełnianiu przestępstw. Pozwala jednak na wykrycie
i ukaranie ich sprawców. Jednak z racji ciągłej dynamiki i rozwoju świata, technologii,
wiedzy oraz świadomości społecznej dziedziny te stale muszą się rozwijać i mogą zdarzyć się sytuacje, w których wykrycie sprawców nie jest możliwe. Gdzie można znaleźć
słabe strony obecnie stosowanych metod? Czy w opracowywaniu narzędzi oraz postępowania z przestępstwami komputerowymi udało się zwiększyć wskaźniki rozwiązanych spraw, czy może przeciwnie, stosowane przy cyberprzestępstwach metody są
ciągle niedoskonałe i w łatwy sposób można popełnić przestępstwo?
3. Etapy pracy przy rekonstrukcji zdarzeń
Niezależnie, czy wykonywana jest analiza powłamaniowa, czy biegli sądowi rozpoczynają pracę na miejscu zbrodni przed obydwoma grupami ekspertów klarują się te
same zadania:
•
•
•
•
identyfikacja,
zbieranie danych,
analiza zebranych danych,
przedstawienie wyników.
Etap identyfikacji polega na znalezieniu odpowiedzi na kilka pytań zanim eksperci
przystąpią do szukania pobierania pozostawionych przez przestępcę śladów.
w przypadku medycyny sądowej eksperci oceniają pobieżnie scenę przestępstwa spisując oczywiste fakty, takie jak miejsce znalezienia śladów, czas- kiedy zostało dokonane
przestępstwo, jakiego rodzaju przestępstwo miało miejsce i jakich narzędzi oraz metod
należy użyć do dalszej pracy. Na tym etapie ważne jest także zabezpieczenie badanego
miejsca zbrodni oraz utrwalenie jego stanu np. w formie zdjęć.
W przypadku informatyki śledczej, miejsce zbrodni jest abstrakcyjne. Zbrodnia dotyczy
danych znajdujących się w jakimś urządzeniu. Dlatego zanim ekspert nie sprawdzi
zawartości urządzenia, nie jest w stanie odpowiedzieć na pytania co się wydarzyło
i jakich narzędzi będzie potrzebował. Etap ten w głównej mierze sprowadza się więc do
zabezpieczenia „dowodów”. Zgodnie z polskim prawem, aby móc wykorzystać informacje elektroniczną jako dowód, informacja ta nie może w żaden sposób zostać zmody-
Informatyka Śledcza i Kryminalistyka Sądowa…
155
fikowana. W tym celu dowody te są markowane sprzętowo lub programowo w trybie
„tylko do odczytu”, i zerwanie takiego markera grozi zakwestionowaniem dowodu
w postępowaniu karnym. Jednak cała praca związana z analizą powłamaniową musi
odbywać się na danym urządzeniu, które związane jest z popełnioną zbrodnią. w tym
przypadku, by nie uszkodzić autentyczności dowodu wykonywane są dokładne kopie
danych (dysków twardych, zrzutów pamięci, stanu technicznego maszyny), na których
będzie prowadzony proces analizy. Tworzenie tych kopii musi odbyć się w sposób,
który nie nadpisze żadnych danych na danym urządzeniu, np. poprzez wykorzystanie
systemu z przenośnego dysku wykorzystywanego przez ekspertów ds. zabezpieczeń.
Zbieranie danych jak sama nazwa wskazuje polega na szukaniu wszystkich śladów
(biologicznych bądź elektronicznych) mających związek z dokonanym naruszeniem.
Ślady biologiczne, są śladami, które pochodzą od żywych organizmów i w praktyce
kryminalistycznej dzieli się je na trzy grupy:
•
•
•
tkanki (np. krew, włosy, naskórek, fragmenty roślin),
wydzieliny,
wydaliny.
Ponieważ bardzo łatwo uszkodzić takie ślady metody pobierania są różne w zależności
od rodzaju oraz miejsca znalezienia śladu. Niekiedy gdy pobrania próbki śladu nie jest
możliwe wycina się kawałek podłoża, na którym ją znaleziono. Kluczowe jest także
przechowywanie oraz transport śladów, gdyż zarówno temperatura, nasłonecznienie czy
drgania podczas transportu mogą znacząco uszkodzić próbkę. Badania nad śladami
często są bardzo kosztowne, a ich wynik zależy głównie od jakości pobranego śladu.
Informatycy próbując dociec do tego, w jaki sposób i kto dokonał zbrodni elektronicznej mają ciężkie zadanie dotarcia do danych, które przestępca usunął, bądź zmodyfikował. Zabezpieczenia techniczne, a szczególnie informatyczne nie stanowią tajemnicy
dla większości hakerów, czyli przestępców, których obszarem działania są systemy
elektroniczne. Każda czynność wykonywana w systemie komputerowym pozostawia
swój ślad, jednakże ślady elektroniczne, jak także ślady biologiczne można za sobą
zatrzeć. Od specjalistów wymagana jest wiedza, w jaki sposób odkryć czy ślad istniał
i go przywrócić. W przypadku medycyny sądowej odzyskanie uszkodzonej próbki może
nie być możliwe, jednakże dane cyfrowe mogą być odtworzone.
Uzyskane dane należy przetworzyć. W wielu przypadkach ich ilość jest znacząca, ale
tylko niektóre ze znalezionych śladów odnoszą się bezpośrednio do badanego zdarzenia. Aby wyselekcjonować oraz wykorzystać otrzymane w wyniku skrupulatnego śledztwa dane należy przeprowadzić ich analizę. Próbka krwi, włosy czy odciski palca są
nieprzydatne, jeśli nie wprowadzi się ich do bazy danych zawierającej próbki uzyskane
w innych dochodzeniach i jeżeli nie porówna się ich z próbkami uzyskanymi od podejrzanych. Nad próbkami pobranymi na miejscu zbrodni należy wykonać wiele eksperymentów i analiz by określić czy pobrane materiały mają miejsce ze zdarzeniem (np. czy
ślady śliny czy krwi pochodzą od człowieka). Grupa krwi oraz linie papilarne nie zmieniają się przez całe życie człowieka. Jednak w przypadku, gdy krew wydostanie się
poza organizm to podłoże, na którym powstają plamy może niszczyć owy ślad, zmienić
jego wygląd, bądź wpłynąć na jego cechy gatunkowe czy grupowe. Zdarza się, że wy-
156
Anton Smoliński
naczyniona krew zmienia swoją barwę od jasnoczerwonej poprzez brunatną do zielonej,
wsiąka w podłoże, bądź jej ślady trudno odróżnić od zanieczyszczeń w pobliżu. Aby
ujawnić takie ślady wykorzystuje się metody specyficzne i niespecyficzne. Do metody
specyficznych należą próby mikrospektroposkopowe (wykrywające hemoglobinę
w obrazie widma światła widzianego), oraz testy immunochromatograficzne (bazujące
na reakcji barwnej). Do niespecyficznych metod wykrywania krwi można sklasyfikować:
•
•
•
•
•
•
luminol – w jego obecności hemoglobina wykazuję luminescencję,
testy kontaktowe – kontakt gotowych papierków testowych z badaną plamą informując swoim zabarwieniem o jej zawartości,
zieleń malachitowa – wykorzystując właściwości peroksydaz, w obecności krwi
zabarwia się na kolor niebieskozielony,
test Kastle-Meyera – fenoloftaleina połączona z H2O2 daje kolor czerwony,
test Benzydynowy – wycofany z powodu rakotwórczych właściwości,
test z wodą utlenioną – woda utleniona w kontakcie z krwią, mlekiem, śliną, sokami
roślinnymi i tlenkami metali zaczyna się pienić i na plamie powstaje biała piana.
W przypadku pozyskiwania śladów cyfrowych istnieją gotowe, rozbudowane narzędzia,
które analizują, po czym zwracają dokładne informacje o stanie badanej maszyny. Przykładem może być np. narzędzie SleuthKit wraz z graficznym interfejsem Autopsy. Program ten przeszukuje dyski w poszukiwaniu skasowanych plików oraz między innymi
odszukuje dane w ukrytych obszarach ADS występujących w systemie plików NTFS.
Każdy atakujący stara się zatrzeć ślady swojej ingerencji, co ma uchronić przed konsekwencjami tego czynu i utrudnić znalezienie sprawcy. Jednakże nie każdy haker usuwa
takie ślady w sposób, w który nie można ich potem znaleźć lub odtworzyć. Najczęściej
aby zatrzeć swoje ślady cyberprzestępcy stosują rootkity, zmieniają sumy kontrolne
modyfikowanych plików, kasują logi systemowe, bądź korzystają z kont innych użytkowników, do których uzyskali wcześniej dostęp (np. za pomocą przechwycenia loginu
i hasła użytkownika).
Zebranie wszystkich danych a nawet selekcja danych związanych z danym naruszeniem
dla osoby bez specjalistycznej wiedzy będzie niezrozumiałym zbiorem znaków. Otrzymane w wynikach badania krwi wykresy i wizualizacje nie będą miały znaczenia dla
osób nieznających owego zagadnienia. Tak samo, jeśli rzecz tyczy się logów systemowych oraz raportów z poszczególnych programów do analizy powłamaniowej. Dlatego
ważnym elementem pracy zespołu specjalistów jest opracowanie wyników pracy w taki
sposób, by stanowiły one zrozumiały dowód dla sędziów, prokuratorów bądź osób zlecających przeprowadzenie takiego dochodzenia. Dopiero końcowy raport może być
załączony jako dowód naruszenia bezpieczeństwa.
4. Przestępczość elektroniczna
Świadomość społeczeństwa na temat przestępstw konwencjonalnych nie budzi zastrzeżeń. Nawet najmłodszy obywatel wie, że morderstwa, kradzieże, napady i włamania są
poważnymi naruszeniami prawa, są przez prawo karane i zagrażają naszemu bezpieczeństwu. Niestety jeśli chodzi o cyberprzestępstwa często dochodzi do poważnych
Informatyka Śledcza i Kryminalistyka Sądowa…
157
nieporozumień, co jest przestępstwem, a co dozwolonym działaniem. Często nie dostrzega się także zagrożeń, które się z takimi działaniami wiążą i jak poważne mogą być
ich konsekwencje.
Zgodnie z raportem CERT Polska za rok 2011 najczęściej popełnianymi przestępstwami było oszustwa internetowe (50,74%), co stanowi do roku ubiegłego wzrost
występowanie tego incydentu aż o 1/3. W skład tych oszustw wchodzą zgłoszenia
dotyczące kradzieży tożsamości, podszycia się oraz Phishing. Kolejnym zagrożeniem, stanowiącym 25,12% wszystkich incydentów były obraźliwe oraz nielegalne
treści (m.in. spam).
Na uwagę zasługują także nowe wirusy oraz trojany. Jednym z nich był trojan Morto,
który pojawił się w sierpniu 2011 roku. Jego zadaniem było atakowanie portu RDP
(pulpitu zdalnego) i poprzez zgadywanie loginu i hasła użytkownika przejmowania
kontroli nad atakowanym systemem.
Najpopularniejszymi metodami ataków są:
•
•
•
•
•
•
zgadywanie haseł,
maskarada (spoofing) – podszywanie się pod inną maszynę,
podsłuch (sniffing) – monitorowanie ruchu w sieci,
szukanie i wykorzystywanie luk w systemach i bezpieczeństwie,
blokowanie serwisów – nadmierne obciążanie serwerów ogromną liczną pakietów,
które nie są w stanie obsłużyć,
socjotechnika.
Ataki te można zaklasyfikować do 2 grup: technicznych, czyli wykorzystujących wiedzę informatyczną, oraz socjotechnicznych – czyli manipulację pracownikami atakowanej firmy bądź użytkownikami systemu.
5. Podsumowanie
Zbrodnia doskonała nie jest możliwa. Takie pojęcie utarło się w świadomości ludzi
i dzięki temu do przestępstw uciekają się tylko nieliczne osoby – margines społeczeństwa, lub osoby niemające nic do stracenia. Takie przekonanie powodowane wynikami
pracy specjalistów z dziedziny kryminologii wspiera poczucie bezpieczeństwa.
Jednak istnieją przypadki, w których konwencjonalna kryminalistyka zawodzi, gdy
sprawdza nie pozostawił żadnych śladów. Taka sytuacja miała miejsce np. w 1962 roku
w Łodzi, gdzie przy zwłokach nie znaleziono żadnych śladów sprawcy.
Z drugiej strony powszechne jest przekonanie, że w internecie można zatrzeć swoje
ślady. Jednak ostatni przykład zatrzymania znanego hakera na podstawie tagów geolokalizacyjnych na pewnym zdjęciu ukazuje, że jest to twierdzenie mylne.
Anton Smoliński
158
Literatura
1.
2.
3.
Błoński G.: Helix – analiza powłamaniowa, Hakin9, nr 2/2008
Parafiniuk M.: Wykorzystanie badań DNA do identyfikacji śladów biologicznych
i badania pokrewieństw (kryminalistyka), Pomorski Uniwersystet Medyczny,
2011/2012
Henzler M.: Nie ma zbrodni doskonałej, czyli wszyscy zostawiamy ślady, PAP – nauka
w Polsce, 2005
Streszczenie
Niniejszy artykuł próbuje porównać metody stosowane przez kryminalistów na miejscu
zbrodni z technikami używanymi przez specjalistów od analizy powłamaniowej (cyberprzestępstwa). Omówione zostały główne etapy pracy obu grup, które starają się znaleźć odpowiedzi na te same pytania, jednak korzystając z różnych środków i pracując
w różnych środowiskach. Praca tych wysoce wykwalifikowanych ekspertów pozwala na
wzrost poczucia bezpieczeństwa wśród społeczeństwa, gdyż dzięki nim staje się prawdziwe stwierdzenie, że zbrodnia doskonała nie jest możliwa.
Computer Forensics and Forensic Science –
comparative analysis of security method
Summary
Present article attempt compare methods used by forensic in crime scene with techniques used by analysis specialist after computer crime. Disertation describe main steps
of forensic process. Computer and Medical experts try to find way to solve the same
questions but they use different resources and they work in different areas. Recovered
and analysed evidences may be use in court. People are feeling safety, because qualified
experts proof, to them statment "the perfect crime" does not exist.