Postępowanie dochodzeniowe Informatyka śledcza
Transkrypt
Postępowanie dochodzeniowe Informatyka śledcza
DORADZTWO BIZNESOWE ERNST & YOUNG Informatyka śledcza V Międzynarodowy Kongres Audytu, Kontroli Wewnętrznej oraz procedur zwalczania oszustw i korupcji Kraków, 21 września 2006 Informatyka śledcza – co to jest? 1. Rola informatyki śledczej 2. Informatyka śledcza - źródła danych 3. Możliwości informatyki śledczej 4. Etapy pracy śledczego 5. Informatyka śledcza - mity i fakty 1 Postępowanie dochodzeniowe Rola informatyki śledczej (1) Informacyjna – wskazówki, pomocne w prowadzeniu dochodzenia Dowodowa – dowody popełnienia określonych czynów 2 Postępowanie dochodzeniowe Rola informatyki śledczej (2) • Informacyjna – dostarcza wskazówki i ślady, które umożliwiają dalsze zgłębianie poszczególnych zagadnień lub rozszerzenie dochodzenia na nowe wątki • Dowodowa – umożliwia niepodważalne dowiedzenie popełnienia określonych czynów i/lub posiadania określonych danych i/lub informacji. 3 Postępowanie dochodzeniowe Informatyka śledcza – źródła danych • Palmtop • Komputer osobisty (stacjonarny lub przenośny) • Serwer pocztowy • Serwer plików • System Finansowo/Księgowy 4 Postępowanie dochodzeniowe Możliwości informatyki śledczej • Pozwala na poznanie i/lub odtworzenie zawartości usuniętych plików • Umożliwia odtworzenie historii wizyt na stronach internetowych • Pozwala na dotarcie do wysłanych/otrzymanych listów elektronicznych • Umożliwia zabezpieczenie elektronicznych dowodów w niezaprzeczalny i niepodważalny sposób 5 Postępowanie dochodzeniowe Praca śledczego – główne kroki (1) • Rekonesans – od 1 godziny… • Planowanie – od 1 godziny… • Zabezpieczenie – od 4 godzin… • Analiza – od 1 dnia… • Dokumentacja – od 2 dni… 6 Postępowanie dochodzeniowe Praca śledczego – główne kroki (2) • Rekonesans – zebranie informacji o systemie (systemach) informatycznych, z którymi będziemy mieli do czynienia • Planowanie – przygotowanie odpowiednich narzędzi, stosownie do systemów i posiadanego czasu • Zabezpieczenie – zabezpieczenie danych oraz dokumentacja wykonywanych prac 7 Postępowanie dochodzeniowe Praca śledczego – główne kroki (3) • Analiza – przeglądanie zabezpieczonego materiału, przeszukiwanie wg słów kluczowych, ew. odtworzenie danych • Dokumentacja – sporządzenie szczegółowej dokumentacji, zawierającej opis wszystkich wykonanych czynności, zastosowanych narzędzi oraz wyników prac 8 Postępowanie dochodzeniowe Metryka dysku (1) Metryka zabezpieczenia dysku twardego Dysk źródłowy Producent Hitachi Identyfikator A_1 Typ dysku Travelstar HTS548080M9AT00 Numer seryjny IBM P/N: 13N6798 HITACHI P/N: 08K0848 MLC: DA1053 Interfejs PATA Pojemność (wg opisu producenta) Pojemność 80 GB 16 Głowice 16383 Cylindry Sektory 63 SEC/T Tablica Partycji Początek Koniec Aktywna 1 X 63 147011759 HPFS/NTFS 2 ¨ 147011760 156295439 Compaq diagnostics 3 ¨ 0 0 Empty 4 ¨ 0 0 Empty 5 ¨ n/d n/d Suma Kontrolna MD5: e7873a0634cdbee0eee3f8e24b1be46e 9 Typ Numer n/d Postępowanie dochodzeniowe Metryka dysku (2) Dysk - obraz Producent Seagate Identyfikator Obraz_A_1 Typ dysku Barracuda 7200.9 ST3120813AS Numer seryjny S/N: 5LS0TSQA Interfejs Serial ATA Pojemność (wg opisu producenta) Pojemność 120 GB Cylindry b/d Głowice b/d Sektory b/d Tablica Partycji Numer Aktywna Początek 1 X 63 147011759 HPFS/NTFS 2 ¨ 147011760 156295439 Compaq diagnostics 3 ¨ 0 0 Empty 4 ¨ 0 0 Empty 5 ¨ n/d Koniec n/d Suma Kontrolna MD5: e7873a0634cdbee0eee3f8e24b1be46e - 10 Typ n/d Postępowanie dochodzeniowe Praca śledczego – na co zwrócić uwagę (1) Dane elektroniczne będą posiadały wartość dowodową wtedy, gdy będziemy potrafili dowieść, że są identyczne z oryginałem i nie zostały zmienione 11 Postępowanie dochodzeniowe Praca śledczego – na co zwrócić uwagę (2) • Zasada nr 1 – otrzymać pełnomocnictwo do wykonania prac • Zasada nr 2 – pracę wykonywać w obecności reprezentanta pełnomocnika • Zasada nr 3 – odseparować użytkownika i nie pozwolić na modyfikację danych • Zasada nr 4 – nie analizować danych w systemie źródłowym 12 Postępowanie dochodzeniowe Praca śledczego – na co zwrócić uwagę (3) • Zasada nr 5 – zapewnić możliwość prześledzenia, co działo się z danymi od momentu rozpoczęcia prac aż do zabezpieczenia (ang. „chain of custody”) • Zasada nr 6 – udowodnić, że skopiowane dane są identyczne względem danych źródłowych • Zasada nr 7 – dane analizować wyłącznie na kopii • Zasada nr 8 – przed rozpoczęciem prac wykonać kopię zapasową kopii danych 13 Informatyka śledcza – mity i fakty Mit nr 1 – Dane zostały skasowane • System informatyczny jest zbudowany jak encyklopedia • Posiada indeks (odnośnik do danych z numerem strony) oraz właściwe informacje w postaci notki • Usunięcie pliku = wyrwanie strony z indeksem. Strona z informacjami pozostaje nienaruszona 14 Informatyka śledcza – mity i fakty Mit nr 2 – Wszystkie dane można odtworzyć • Można odtworzyć wszystkie skasowane dane – to twierdzenie NIE JEST prawdziwe – Dane mogą zostać nadpisane (przypadkowo bądź celowo) – Nośnik danych został fachowo zniszczony • Dane można zniszczyć logicznie – poprzez (wielokrotne) nadpisanie innymi danymi • Bądź fizycznie – poprzez np. zniszczenie dysku CDROM w niszczarce do dysków 15 Informatyka śledcza – mity i fakty Mit nr 3 – Internet jest anonimowy • Internet NIE JEST anonimowy! • Informacje o odwiedzanych witrynach można ustalić z wielu źródeł: – Komputera użytkownika (np. rejestr Windows HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs) – Logów serwera obsługującego połączenia internetowe – Logów firewall’a („zapory ogniowej”) • Praktycznie NIE JEST możliwe zniszczenie wszystkich danych o wykonanych połączeniach internetowych 16 Informatyka śledcza – mity i fakty Mit nr 4 – Skasowany email nie istnieje • Poczta elektroniczna ZAZWYCZAJ jest przechowywana na serwerze • Usunięcie listu ze skrzynki nie musi oznaczać usunięcia listu z serwera – list jest tylko oznaczany jako usunięty • Serwery pocztowe prawie ZAWSZE są objęte procedurą wykonywania kopii zapasowych 17 Kontakt Tomasz Dyrda, GIAC CFA, CISA, CIA, PMP Menedżer w Dziale Usług Dochodzeniowych Ernst & Young e-mail: Tel.: Fax: 18 [email protected] +48 22 557 87 46 +48 22 557 70 01