Platforma analityczna: wyższy poziom informatyki śledczej

Rewolucja technologiczna odciska swoje piętno na każdym aspekcie rzeczywistości. Jest to mocno zauważalne również w obszarze informatyki śledczej. Prawdopodobnie przeżywamy właśnie schyłek epoki analiz pojedynczych nośników danych. Tego typu działania choć nadal ważne, w sytuacji, w której podejrzani korzystają z wielu urządzeń elektronicznych stają się mało efektywne. Rozwiązaniem wydaje się platforma analityczna dla informatyki śledczej.

Większość z nas pamięta, wcale nieodległe, czasy, w których zabezpieczenie i późniejsza analiza komputera dawała nam całościowy obraz życia i działania podejrzanego. Komputer był oknem na świat. Później w grę weszły jeszcze telefony komórkowe, które zostały zastąpione przez smartfony, kamery cyfrowe, nawigacje GPS, pendrive, tablety, tablety… Dołożyć do tego trzeba również coraz większą ilość dostępnych dla każdego sposobów komunikacji i przesyłu danych: e-maile, wirtualne dyski, media społecznościowe, serwisy shareingowe, dziesiątki lepszych i słabszych komunikatorów. Całość okrasza niezliczona ilość urządzeń IoT. W tym układzie klasyczne podejście do analiz śledczych w najlepszym przypadku nie da nam pełnego obrazu badanego problemu. W najgorszym zakończy się nieznalezieniem kluczowych informacji, powiązań i nierozwiązaniem sprawy. W obu zajmie ogromną ilość czasu.

Klasyczny i nowy model analiz śledczych

Zacznijmy od odrobiny teorii. W klasycznej analizie śledczej, gdzie badamy z osobna każde źródło danych, korelacja informacji jest bardzo kłopotliwa. W pewnym uproszczeniu wygląda to tak:

Z przyczyn, o których pisaliśmy na wstępie, specjaliści informatyki śledczej byli zmuszeni opracować inny, nowy model prowadzenia analiz śledczych. W pewnym stopniu wykorzystano w nim ideę  używanego w korporacjach modelu EDRM, czyli Electronic Discovery Reference Model. E-Discovery to również praca na dużych ilościach danych pochodzących z wielu nośników, pozwalająca na skuteczne radzenie sobie z tym wyzwaniem. Oczywiście, z uwagi na różnicę celów w e-Discovery i informatyce śledczej nie można było tego modelu przełożyć 1:1. Chcieliśmy jedynie zasygnalizować, że takie podobieństwo występuje. W nowym modelu analiz śledczych zakładamy, że wykonanie kopii binarnej nie zawsze jest konieczne. Proces pozyskiwania danych do badania może być równie dobrze wykonany poprzez triage, o którym więcej pisaliśmy tutaj. Dzięki temu oszczędzamy czas i ograniczamy ilość nieistotnych dla danej sprawy danych. W uproszczeniu nowy model analiz wygląda tak:

Jak widać na powyższym szkicu nowe podejście w informatyce śledczej pozwala na bardziej efektywną pracę specjalistów. Za cenę zmniejszenia objętości danych (dzięki triage), zyskujemy większą ich wartość i znaczenie dla badanej sprawy. Co więcej, zmniejszamy znacząco czas potrzebny na analizę z tego względu, że nie przeglądamy każdego z nośników z osobna. Czegokolwiek byśmy nie szukali dzieje się to jednocześnie na wszystkich źródłach danych. Dodatkowo na koniec generujemy tylko jeden raport zawierający wszystkie istotne informacje i powiązania między nimi. Według klasycznego podejścia śledczy zmuszony jest przeczytać raport z każdego z nośników osobno, zastanowić się i „na piechotę” znaleźć powiązania. Ostatni aspekt na plus nowej metody to znacząca redukcja błędów ludzkich, z uwagi na automatyzację procesu i pomoc platformy analitycznej w wykrywaniu powiązań. Sytuacja win-win gdzie po obu stronach jest specjalista informatyki śledczej. Ten właśnie model był punktem wyjścia dla platformy analitycznej.

Platforma analityczna – na przykładzie Intella

Intella, nowość na polskim rynku, jest jedną z najbardziej rozwiniętych platform analitycznych do pracy z tzw. Big Data. Stanowi praktyczne połączenie wspominanego wcześniej EDRM i informatyki śledczej. W tym artykule będą nas interesować oczywiście przede wszystkim jej możliwości śledcze. Rozwiązanie umożliwia jednoczesną analizę danych pochodzących z wielu różnych źródeł: komputerów, telefonów, nośników zewnętrznych, lokalizacji sieciowych i chmury. Zasada działania Intelli opiera się na indeksacji wszystkich zaimportowanych danych, jednak sam proces jest wydajniejszy niż w innych rozwiązaniach. Możliwości analityczne Intelli nie ograniczają się wyłącznie do analizy dokumentów i komunikacji, gdyż funkcja analizy Insight pokazuje najważniejsze artefakty rejestru, użytkownika, systemu i Internetu, umożliwiając znalezienie informacji np. o podłączonych do komputera nośnikach zewnętrznych czy sieciach, z którymi łączył się użytkownik.

Okno główne programu

Intella może być zasilana danymi z różnych źródeł i w różnych formatach, np. plikami folderami, obrazami dysków w formatach e01, l01, ex01, lx01, s01,DD, ad1, vmdk, vhd, Load File z Concordance, Relativity i CSV, raportami Cellebrite , XRY Oxygen, archiwami MS Exchange EDB oraz  danymi z chmury i lokalizacji sieciowych: kont IMAP, Gmail, Dropbox, iTunes, iCloud, SharePoint i Office 365. W kolejnym etapie dane zostają przetworzone i zindeksowane, aby możliwe było ich swobodne przeglądanie, przeszukiwanie i analiza. Najważniejszą funkcjonalnością Intelli jest możliwość szczegółowej analizy komunikacji email, z uwzględnieniem wszystkich osób/firm uczestniczących w niej(w postaci całych domen lub pojedynczych użytkowników) i przesyłanych załączników. Intella oferuje także standardowe funkcje przydatne w analizie wiadomości email i dokumentów, takie jak pasek wyszukiwania słów kluczowych i fraz z uwzględnieniem zapytań złożonych z operatorami logicznymi, filtry, zakresy dat, wyrażenia regularne, które można rozszerzać samodzielnie o nowe pozycje specyficzne do danej sprawy, oraz wyszukiwarkę plików po sumie kontrolnej MD5.

Wizualizacja analizy komunikacji mailowej
Wizualizacja komunikacji mailowej na osi

W analizie dokumentów szczególnie przydatny jest wbudowany moduł OCR oraz Redaction Editor, czyli funkcja do anonimizacji, poprzez zaczernianie wybranych fragmentów tekstu. Ponadto istnieje możliwość wyszukiwania plików identycznych lub bardzo podobnych, a następnie porównywanie treści tych dokumentów i znajdowanie różnic. W razie natrafienia na pliki zaszyfrowane, istnieje możliwość automatycznej próby odszyfrowania tych plików, umieszczając w Intelli listę słów (może być ona wcześniej utworzona ze wszystkich słów znajdujących się w analizowanym materiale dowodowym) i re-indeksując dane. Analiza komunikacji nie jest ograniczona wyłącznie do wiadomości email. W ten sam sposób mogą być analizowane połączenia telefoniczne, wiadomości SMS i MMS, oraz wiadomości czatów, np. ze Skype. W analizie komunikacji niewątpliwie pomaga funkcja umożliwiająca tworzenie tzw. tożsamości, gdzie analityk może przypisać wiele adresów email, numerów telefonów czy loginów czatów do konkretnych osób i analizować te dane łącznie.

Wizualizacja komunikacji telefonicznej

Intella oferuje wiele możliwości wizualizacji wyszukiwania i analizy: mapę klastrów, widok mapy geolokalizacji, wykres społecznościowy (Social Graph), oś czasu i Email Thread. Takie wizualizacje można eksportować z programu w formie raportów graficznych w formacie .png. Ponadto do dyspozycji są raporty tekstowe w formatach PDF, RTF, CSV i HTML oraz eksport natywnych wersji plików.

Wizualizacja komunikacji mailowej na Social Graph z wykorzystaniem tożsamości

Powyższe omówienie to jedynie wstęp do możliwości i korzyści związanych z zastosowanie platform analitycznych. Wydaje się, że w praktyce analiz śledczych dużych ilości źródeł cyfrowych i zapisanych w nich danych nie uciekniemy przez zastosowaniem tego typu rozwiązań. Wszystko wskazuje na to, że ilość danych nadal będzie rosnąć, podobnie jak ilość urządzeń je przechowujących, a co za tym idzie kombinacja szlaków komunikacyjnych między nimi również będzie wzrastać. Im wcześniej zastosujemy w praktyce platformy analityczne tym większą skuteczność będziemy mogli uzyskać.

Platforma analityczna – chcesz taką u siebie?

Jeśli zainteresował Cię temat platform analitycznych i ich wykorzystania w informatyce śledczej chętnie umówimy się na spotkanie i opowiemy o tym więcej. Wystarczy, że się z nami skontaktujesz.