#CyberMagazyn: Kiedy dane mówią prawdę - wyzwania informatyki śledczej

Naszymi rozmówcami są Michał Tatar (Mobile Forensics Expert, Mediarecovery) oraz Marcin Kulawik (Computer Forensics Expert, Mediarecovery).

Zapraszamy do zapoznania się z pierwszą częścią wywiadu: Informatyka śledcza od kuchni. Znaczenie w sprawach karnych i cywilnych.

Wyzwania informatyki śledczej

Oskar Klimczuk, CyberDefence24: Jakie są najważniejsze wyzwania informatyki śledczej?

Marcin Kulawik: Szeroko pojęte zabezpieczanie danych, przede wszystkim odszyfrowywanie.  

Michał Tatar: Co wiąże się poniekąd z możliwościami przełamywania nieznanych zabezpieczeń, które są oferowane przez producentów komputerów czy telefonów…

M. K.: …bo nie zawsze można z miejsca przełamać zabezpieczenia. Raczej jest to możliwe, ale może wymagać więcej czasu lub nakładów pracy.  

M. T.: Natomiast wyzwaniem mogą być sprawy, w których zmagamy się z rzeczami wytworzonymi przez sztuczną inteligencję. W analizie multimediów coraz częściej mamy do czynienia z deepfake’ami i stajemy przed koniecznością oceny tego, czy dany materiał został faktycznie wygenerowany za pomocą soczewki aparatu umieszczonego w telefonie komórkowym lub zdjęcie zostało rzeczywiście wykonane w tym, a nie innym miejscu. Później możemy dochodzić do sytuacji, w której będziemy starać się udowodnić, czy dany materiał multimedialny został wygenerowany przez algorytm sztucznej inteligencji, czy faktycznie powstał za pomocą samego sprzętu użytkownika.

Mówicie o wyzwaniach technicznych, co jest zrozumiałe. A co z emocjami?

M. K.: Bywają problemy, np. w sprawach związanych z przemocą wobec dzieci. Jednak w naszej pracy musimy kierować się profesjonalizmem i próbować oddzielić emocje od zadań.  

M. T.: Można na to spojrzeć z innej strony. Przykładowo, jeśli mamy sprawę istotną z punktu widzenia państwa, czy jesteśmy poruszeni krzywdą osób, które zostały poszkodowane, to czasem emocje powodują, że staramy się wykorzystać absolutnie wszystkie możliwości, aby dokończyć tą sprawę.  

M. K.: Najgorsze właśnie w tym wszystkim jest to, że jeśli podczas analizy nie znajdujemy niczego na potwierdzenie postawionej na początku tezy, zaczynamy zastanawiać się, czy gdzieś po drodze popełniliśmy błąd, czy faktycznie zrobiliśmy wszystko, co było możliwe.  

M. T.: Oprogramowanie również ma ograniczenia, jeśli chodzi o możliwości automatycznego analizowania czy wyszukiwania.  

M. K.:. Staramy się nawet po przetwarzaniu automatycznym przejrzeć analizę, żeby mieć pewność, że proces przebiegł tak jak powinien.   

M. T.: Pojawia się tutaj kolejne wyzwanie, czyli czas. Im więcej danych, tym więcej czasu jest potrzebne do przeprowadzenia analizy. Dlatego w praktyce w możliwie największym stopniu używamy wszelkiego rodzaju mechanizmów, które pozwolą na jak najszybsze zakończenie analizy.  

M. K.: Kolejnym aspektem są wymagania prawne. Jeżeli mamy śledztwo wewnątrz firmy, która pozwala użytkownikom na wykorzystywanie urządzeń do celów prywatnych albo nie monitoruje tego, co użytkownicy posiadają na swoich komputerach i są tam dane prywatne, to w trakcie przeprowadzania takich analiz wewnętrznych ten informatyk śledczy nie powinien zaglądać do danych prywatnych, na przykład poczty. Wymagana jest tutaj szczególna etyka pracy. 

Pozyskiwanie informacji oraz zgoda na działanie

Jakie informacje są najczęściej pozyskiwane w toku działań specjalistów?

M. K. i M.T: Wszystko zależy od sprawy. 

M. K.: Można przyjąć tzw. klasykę, czyli po prostu robimy kopię binarną danych które następnie analizujemy. Można też podejść wybiórczo – wybierać tylko te dane, które chcemy poznać: skrzynki, dokumenty, pocztę, logi systemowe potrzebne do określenia danych dotyczących na przykład ataku hakerskiego albo ataku ransomware.

Określenie, jakie dane są w danej sprawie potrzebne wynika z samego charakteru sprawy, którą może być np. odtworzenie jakiegoś kierunku ataku lub ustalenia, co się wydarzyło w trakcie tego ataku. Odtwarzamy linię czasu od momentu, kiedy coś się pojawia oraz coś się wydarzyło, na przykład od otworzenia załącznika do momentu zaszyfrowania danych i uzyskania innych informacji, czyli np. eksfiltracji danych. Może to być inne wypłynięcie danych poza infrastrukturę firmową, co może być istotne z punktu widzenia wymogów prawnych i ustalenia, kto odpowiada np. za to zdarzenie.   

Ale może dojść do takiej sytuacji, że uzyskamy informację, iż dane wyciekły, bo dany proces został zaklasyfikowany jako użycie złośliwego oprogramowania, ale nie do końca wiadomo jakie to były dane. Możemy dowiedzieć się tego dopiero wtedy, gdy pojawią się do kupienia w dark webie.

Jak wygląda zgoda na działania z użyciem narzędzi informatyki śledczej?

M. T.: Jeżeli chodzi o urządzenia mobilne, przede wszystkim pytanie jest takie, czy prokurator bądź też ktoś, kto zlecił sprawę, zgadza się na tak zwane otwarcie urządzenia, czyli de facto inwazyjne działanie w materiał dowodowy. Potrzebna jest zgoda na otwarcie urządzenia, czyli połączenia się z kością pamięci, bądź też z procesorem i prowadzenie działań poza systemem operacyjnym, który jest zainstalowany na konkretnym urządzeniu mobilnym. Bez takiej zgody, kończymy działania na możliwościach, jakie daje połączenie kablowe.  

M. K.: Prawdę mówiąc nie spotkałem się z sytuacją, kiedy w ważnej sprawie nie wydano zgody na czynności związane z informatyką śledczą.

Jak różni się odzyskiwanie danych w zależności od systemu operacyjnego?

M. T.: Różnice dotyczą przede wszystkim obszaru mobile. Znaczenie ma również to, czy pracujemy w terenie, czy w laboratorium. W przypadku mobile forensics wszystko zależy od tego, jaki typ ekstrakcji podejmiemy: czy będzie to ekstrakcja systemu plików, czy ekstrakcja fizyczna. Jeżeli ekstrakcja fizyczna, to jakie jest szyfrowanie: szyfrowanie plików czy całego dysku?

Podejście w odzyskiwaniu danych w zależności od systemu operacyjnego różni się przede wszystkim tym, w jaki sposób jesteśmy w stanie zabezpieczyć dane.  

M. K,: Ja bym natomiast powiedział, że te różnice nie są bezpośrednio związane z systemem operacyjnym, a z zastosowanymi w nich systemami plików. Nie wchodząc w jakieś szczegóły techniczne – dla nas najważniejsze jest odzyskanie danych, bez względu na rodzaj systemu operacyjnego.

Dziękuję za rozmowę.

Pierwsza część wywiadu dostępna jest na naszym portalu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].