Postępowanie dochodzeniowe Informatyka śledcza

DORADZTWO BIZNESOWE
ERNST & YOUNG
Informatyka śledcza
V Międzynarodowy Kongres Audytu, Kontroli Wewnętrznej oraz
procedur zwalczania oszustw i korupcji
Kraków, 21 września 2006
Informatyka śledcza – co to jest?
1. Rola informatyki śledczej
2. Informatyka śledcza - źródła danych
3. Możliwości informatyki śledczej
4. Etapy pracy śledczego
5. Informatyka śledcza - mity i fakty
1
Postępowanie dochodzeniowe
Rola informatyki śledczej (1)
Informacyjna – wskazówki, pomocne
w prowadzeniu dochodzenia
Dowodowa – dowody popełnienia
określonych czynów
2
Postępowanie dochodzeniowe
Rola informatyki śledczej (2)
• Informacyjna – dostarcza wskazówki i ślady, które
umożliwiają dalsze zgłębianie poszczególnych
zagadnień lub rozszerzenie dochodzenia na nowe wątki
• Dowodowa – umożliwia niepodważalne dowiedzenie
popełnienia określonych czynów i/lub posiadania
określonych danych i/lub informacji.
3
Postępowanie dochodzeniowe
Informatyka śledcza – źródła danych
• Palmtop
• Komputer osobisty
(stacjonarny lub
przenośny)
• Serwer pocztowy
• Serwer plików
• System
Finansowo/Księgowy
4
Postępowanie dochodzeniowe
Możliwości informatyki śledczej
• Pozwala na poznanie i/lub odtworzenie zawartości
usuniętych plików
• Umożliwia odtworzenie historii wizyt na stronach
internetowych
• Pozwala na dotarcie do wysłanych/otrzymanych listów
elektronicznych
• Umożliwia zabezpieczenie elektronicznych dowodów w
niezaprzeczalny i niepodważalny sposób
5
Postępowanie dochodzeniowe
Praca śledczego – główne kroki (1)
•
Rekonesans – od 1 godziny…
•
Planowanie – od 1 godziny…
•
Zabezpieczenie – od 4 godzin…
•
Analiza – od 1 dnia…
•
Dokumentacja – od 2 dni…
6
Postępowanie dochodzeniowe
Praca śledczego – główne kroki (2)
• Rekonesans – zebranie informacji o systemie
(systemach) informatycznych, z którymi
będziemy mieli do czynienia
• Planowanie – przygotowanie odpowiednich
narzędzi, stosownie do systemów i posiadanego
czasu
• Zabezpieczenie – zabezpieczenie danych oraz
dokumentacja wykonywanych prac
7
Postępowanie dochodzeniowe
Praca śledczego – główne kroki (3)
• Analiza – przeglądanie zabezpieczonego
materiału, przeszukiwanie wg słów kluczowych,
ew. odtworzenie danych
• Dokumentacja – sporządzenie szczegółowej
dokumentacji, zawierającej opis wszystkich
wykonanych czynności, zastosowanych narzędzi
oraz wyników prac
8
Postępowanie dochodzeniowe
Metryka dysku (1)
Metryka zabezpieczenia dysku twardego
Dysk źródłowy
Producent Hitachi
Identyfikator A_1
Typ dysku Travelstar HTS548080M9AT00
Numer seryjny IBM P/N: 13N6798 HITACHI P/N: 08K0848
MLC: DA1053
Interfejs PATA
Pojemność (wg opisu producenta)
Pojemność
80 GB
16
Głowice
16383
Cylindry
Sektory 63 SEC/T
Tablica Partycji
Początek
Koniec
Aktywna
1
X
63
147011759
HPFS/NTFS
2
¨
147011760
156295439
Compaq diagnostics
3
¨
0
0
Empty
4
¨
0
0
Empty
5
¨
n/d
n/d
Suma Kontrolna MD5: e7873a0634cdbee0eee3f8e24b1be46e
9
Typ
Numer
n/d
Postępowanie dochodzeniowe
Metryka dysku (2)
Dysk - obraz
Producent Seagate
Identyfikator Obraz_A_1
Typ dysku Barracuda 7200.9 ST3120813AS
Numer seryjny S/N: 5LS0TSQA
Interfejs Serial ATA
Pojemność (wg opisu producenta)
Pojemność
120 GB
Cylindry b/d
Głowice
b/d
Sektory b/d
Tablica Partycji
Numer
Aktywna
Początek
1
X
63
147011759
HPFS/NTFS
2
¨
147011760
156295439
Compaq diagnostics
3
¨
0
0
Empty
4
¨
0
0
Empty
5
¨
n/d
Koniec
n/d
Suma Kontrolna MD5: e7873a0634cdbee0eee3f8e24b1be46e -
10
Typ
n/d
Postępowanie dochodzeniowe
Praca śledczego – na co zwrócić uwagę (1)
Dane elektroniczne będą posiadały
wartość dowodową wtedy, gdy będziemy
potrafili dowieść, że są identyczne z
oryginałem i nie zostały zmienione
11
Postępowanie dochodzeniowe
Praca śledczego – na co zwrócić uwagę (2)
• Zasada nr 1 – otrzymać pełnomocnictwo do wykonania
prac
• Zasada nr 2 – pracę wykonywać w obecności
reprezentanta pełnomocnika
• Zasada nr 3 – odseparować użytkownika i nie pozwolić na
modyfikację danych
• Zasada nr 4 – nie analizować danych w systemie
źródłowym
12
Postępowanie dochodzeniowe
Praca śledczego – na co zwrócić uwagę (3)
• Zasada nr 5 – zapewnić możliwość prześledzenia, co
działo się z danymi od momentu rozpoczęcia prac aż do
zabezpieczenia (ang. „chain of custody”)
• Zasada nr 6 – udowodnić, że skopiowane dane są
identyczne względem danych źródłowych
• Zasada nr 7 – dane analizować wyłącznie na kopii
• Zasada nr 8 – przed rozpoczęciem prac wykonać kopię
zapasową kopii danych
13
Informatyka śledcza – mity i fakty
Mit nr 1 – Dane zostały skasowane
• System informatyczny jest zbudowany jak encyklopedia
• Posiada indeks (odnośnik do danych z numerem strony)
oraz właściwe informacje w postaci notki
• Usunięcie pliku = wyrwanie strony z indeksem. Strona z
informacjami pozostaje nienaruszona
14
Informatyka śledcza – mity i fakty
Mit nr 2 – Wszystkie dane można odtworzyć
• Można odtworzyć wszystkie skasowane dane – to
twierdzenie NIE JEST prawdziwe
– Dane mogą zostać nadpisane (przypadkowo bądź
celowo)
– Nośnik danych został fachowo zniszczony
• Dane można zniszczyć logicznie – poprzez
(wielokrotne) nadpisanie innymi danymi
• Bądź fizycznie – poprzez np. zniszczenie dysku CDROM w niszczarce do dysków
15
Informatyka śledcza – mity i fakty
Mit nr 3 – Internet jest anonimowy
• Internet NIE JEST anonimowy!
• Informacje o odwiedzanych witrynach można ustalić z wielu
źródeł:
– Komputera użytkownika (np. rejestr Windows
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\TypedURLs)
– Logów serwera obsługującego połączenia internetowe
– Logów firewall’a („zapory ogniowej”)
• Praktycznie NIE JEST możliwe zniszczenie wszystkich
danych o wykonanych połączeniach internetowych
16
Informatyka śledcza – mity i fakty
Mit nr 4 – Skasowany email nie istnieje
• Poczta elektroniczna ZAZWYCZAJ jest przechowywana na
serwerze
• Usunięcie listu ze skrzynki nie musi oznaczać usunięcia
listu z serwera – list jest tylko oznaczany jako usunięty
• Serwery pocztowe prawie ZAWSZE są objęte procedurą
wykonywania kopii zapasowych
17
Kontakt
Tomasz Dyrda, GIAC CFA, CISA, CIA, PMP
Menedżer w Dziale Usług Dochodzeniowych
Ernst & Young
e-mail:
Tel.:
Fax:
18
[email protected]
+48 22 557 87 46
+48 22 557 70 01