Analiza powiązań - Opowieść ze świata dowodów cyfrowych

Analiza powiązań to jeden z kluczowych procesów każdej realizowanej sprawy z wykorzystaniem urządzeń cyfrowych. Najważniejszym jej elementem jest pokazanie „opowieści dowodowej” – jak dany plik znalazł się na komputerze podejrzanego – przez kogo został wysłany i jakie były jego kolejne losy.

Analiza powiązań – co to jest?

Analiza powiązań między danymi nie jest nową koncepcją w informatyce śledczej. Jednakże, często skupia się na tradycyjnej analizie wymiany informacji, a nie na artefaktach, które zostały utworzone. Tytułowa analiza pozwala odkryć więcej, niż tylko ścieżkę powiązań między dwoma osobami podejrzanymi w sprawie. Dzięki niej powiązane zostają dane plików i systemu operacyjnego, które pomagają śledczemu zwizualizować „relacje” między elementami zebranego materiału dowodowego z różnych źródeł (komputery, urządzenia mobilne oraz przestrzeń w chmurze).

Śledząc przenoszenie / przemieszanie plików między systemami i urządzeniami, śledczy jest w stanie zbudować historię dotyczącą pochodzenia dowodu, wliczając w to gdzie aktualnie się on znajduje, jakim sposobem był udostępniony i komu. Ręczne budowanie powiązań jest czasochłonne i wymaga dużego nakładu zasobów, dlatego tak istotne jest zastosowanie automatyzacji, na którą pozwala oprogramowanie Magnet AXIOM.

Dzięki temu rozwiązaniu śledczy może wykorzystać zdefiniowaną wcześniej zasadę automatyzacji, w każdej z prowadzonych spraw. Przewagą AXIOM jest zdolność do wyciągania danych z chmury, informacji ze smartfonów i komputerów do jednego pliku sprawy. Dzięki temu, „funkcja Connections” pozwala śledczym podążać za kluczowymi dowodami i powiązać je z urządzeniami, podejrzanymi osobami i innymi składowymi sprawy.

Jak działa automatyczna analiza powiązań pomiędzy artefaktami?

Powyższa funkcjonalność jest istotnym elementem analizy spraw dotyczących przestępstw z wykorzystywaniem dzieci, terroryzmu i kradzieży własności intelektualnej oraz w przypadkach kiedy podejrzany zaprzecza, że wie cokolwiek na temat ujawnionych danych. Zasadniczy proces zaczyna się od uporządkowanych danych pozyskanych z urządzeń mobilnych, komputerów, pamięci przenośnych i chmury zawierających informacje o tym kiedy, w jaki sposób i jak często pliki były przenoszone i przez kogo.

Te informacje pozwalają określić kiedy pliki zostały utworzone i zmodyfikowane. Analiza śledcza to proces, w trakcie którego śledczy bada czym dany plik jest, jaka jest historia jego pobierania, kim był pierwotny autor i kolejni modyfikujący, w jaki jeszcze sposób plik był przeglądany oraz poznać inne zdarzenia z jego „cyfrowego życia”. Od tego momentu istnieje możliwość dodania kontekstu, nie tylko związanego z metadanymi plików, ale również z przetwarzaną zawartością.

Grupowanie danych po takich samych właściwościach np. nazwa, ścieżka dostępu pozwala określić istotne powiązania z innymi artefaktami. Powiazania mogą być także utworzone poprzez kategorie artefaktów, takie jak załączniki wymieniane między aplikacjami. Pozyskane w ten sposób informacje o pliku zyskują na znaczeniu kiedy powiążemy je z elementami systemu operacyjnego, które pomagają zidentyfikować gdzie plik był przechowywany, czy był otwarty i czy utworzono do niego skrót.

Te dodatkowe informacje są istotne, kiedy podejrzany twierdzi, że ktoś inny mający dostęp do komputera pobrał nielegalne treści. W takim przypadku, filtr czasu zastosowany w odniesieniu do daty eksploracji, zawartej w kluczach rejestru (shellbags) plików, pozwala zobaczyć inne artefakty utworzone w tym samym czasie np. dane logowania czy aktywności w Internecie. Widząc inne ściągane lub otwierane pliki, dane o komunikacji czy nawet dane logowania do innych kont, śledczy może zbudować linię czasu aktywności użytkownika która potwierdza lub zaprzecza linii obrony podejrzanego.

Podsumowanie

Biorąc pod uwagę wszystkie omówione rzeczy, możemy wyciągnąć wniosek, iż artefakty posiadają informacje, których nie widać gołym okiem, a które mogą być kluczowym elementem sprawy. Dlatego analiza powiązań ejst tak ważna – stosując ją w odniesieniu wszystkich artefaktów w danym systemie lub urządzeniu, informatycy śledczy mogą zaoszczędzić sporo czasu i wysiłku w szybkim znalezieniu wzajemnych „relacji” – tak aby uzyskane informacje stworzyły historię, ukazały zamiary i przypisały dowód właściwemu podejrzanemu.