„Must have” w dzisiejszej pracy operacyjnej informatyka śledczego

Jak wiadomo, komputer nie jest jedynym narzędziem, którym posługuje się w swojej codziennej pracy informatyk śledczy. Do profesjonalnego i efektywnego wykonywania swoich obowiązków, potrzebuje on całego zestawu rozwiązań, zarówno po stronie oprogramowania jak i narzędzi.

Części składowe takiego zestawu uzależnione są od zakresu wykonywanych obowiązków oraz specjalizacji danego profesjonalisty. Dla przykładu inaczej będzie wyglądać wyposażenie specjalisty z zakresu Mobile Forensics, a zdecydowanie inaczej informatyka śledczego. Jedno jest pewne – raz skompletowany zestaw powinien być poddawany okresowej inspekcji oraz aktualizowany o rozwiązania, które będą dostosowane do najnowszych rozwiązań IT, z którymi dany specjalista może się spotkać podczas wykonywania czynności operacyjnych.

Obowiązki informatyka śledczego pod kątem wymaganego zestawu narzędzi można podzielić na:

  • Zabezpieczanie materiału dowodowego, gdzie większość czynności wykonywana jest w oparciu o narzędzia fizyczne.
  • Analiza materiału dowodowego, w przypadku której, główną rolę odgrywa oprogramowanie.

Podstawową czynnością wykonywaną przez informatyka śledczego w ramach swoich obowiązków jest zabezpieczanie materiału dowodowego, zgodnie z najlepszymi praktykami informatyki śledczej. Te zaś mówią o potrzebie wykonania kopii binarnej z oryginalnego nośnika w celu zagwarantowania jego integralności na potrzeby dalszej analizy następnie zabezpieczenia miejsca działań, spisania protokołów oraz zagwarantowanie bezpiecznego transportu materiału dowodowego. By wykonać wszystkie te zadania z należytą starannością, należy przede wszystkim pamiętać o procedurach oraz wykonywaniu ich w sposób świadomy i odpowiedzialny. Wszystkie wyżej opisane czynności wymagają posiadania odpowiedniego poziomu wiedzy i kompetencji oraz zastosowania specjalistycznych rozwiązań, bez których informatyk śledczy jest niczym chirurg bez skalpela. Do podstawowych narzędzi pracy możemy zaliczyć:

  • Aparat/kamera – dokumentowanie szczegółów zabezpieczenia w formie zdjęć i/lub nagrania video
  • Komputer przenośny wraz z drukarką – opisanie szczegółów zabezpieczenia w formie protokołów
  • Protokoły
  • Blokery/duplikatory – tworzenie kopii binarnej. W tym miejscu warto wspomnieć o różnorodności, jaką mogą cechować się nośniki. Wymusza to posiadanie różnego rodzaju końcówek, kabli i innego sprzętu umożliwiającego wykonanie kopii binarnych zarówno ze starych dysków typu IDE, SCSi, SAS, najpopularniejszych typu SATA jak również najnowszych dysków SSD ze złączem mSATA czy uSATA oraz USB.
  • Narzędzia typu Triage – w razie potrzeby wykonania kopii binarnej dysku twardego włączonego komputera
  • Systemy typu Live CD – na wypadek działań Live Forensics
  • Śrubokręty płaskie, krzyżakowe, torx, torx tr, imbus, pentalobe 1,2 i 0,8
  • Zewnętrzny napęd DVD
  • Drukarka do etykiet – poprawne oznaczenie materiału dowodowego
  • Dyski twarde przeznaczone na kopie binarne
  • Opakowania ochronne na materiał dowodowy
  • Folie antystatyczne na twarde dyski i/lub plomby
  • Latarka, szczypce, kable sieciowe, nożyczki
  • Już sama ta lista może przyprawić o lekki zawrót głowy, a skompletowanie jej i utrzymywanie w gotowości w razie nagłego wyjazdu wymaga dużych nakładów czasowych jak i finansowych.

Z kolei do celów analizy materiału dowodowego wymagany będzie inny zestaw rozwiązań. Z tym wyjątkiem, że tutaj większość jego elementów stanowić będzie oprogramowanie. Nie będę skupiał się na wskazaniu przykładowego rozwiązania używanego w tym procesie, chciałbym natomiast wymienić najważniejsze elementy analizy:

  • Tworzenie i weryfikacja kopii binarnej
  • Odzyskiwanie danych
  • Tworzenie indeksu w sprawie
  • Analiza artefaktów systemowych i użytkownika
  • Analiza artefaktów mailowych oraz internetowych
  • Analiza aplikacji trzecich w systemach mobilnych
  • Wyodrębnianie danych
  • Tworzenie raportów

Najważniejszym pozostaje fakt, iż wszystkie narzędzia pozostaną nieprzydatne bez podnoszenia poziomu wiedzy i poszerzania kompetencji specjalisty. Pamiętajmy o ciągłym rozwoju, który jest niezbędny, szczególnie w przypadku osób związanych z informatyką śledczą i bezpieczeństwem IT.

Polski duplikator – nowość na rynku informatyki śledczej

W kontekście zestawu narzędzi informatyka śledczego, z przyjemnością chciałbym ogłosić, iż firma Mediarecovery ukończyła prace nad projektem koncepcyjnym pierwszego, polskiego duplikatora Mediaimager GM4 posiadającego najnowsze rozwiązanie techniczne, które umożliwiają sprawne i dynamiczne działanie podczas zabezpieczania materiału dowodowego. Produkt obecnie znajduje się na etapie końcowych testów i w najbliższym czasie zostanie wprowadzony do sprzedaży.

Mobilna kopiarka dysków twardych oparta jest na oprogramowaniu Mediarecovery MediaImager. Posiada funkcję tworzenia obrazów nośników informatycznych, całościowo lub wybiórczo. Ponadto pozwala na jednoczesne tworzenie kopii jeden-do-wielu z maksymalną prędkością SATA-3 (6Gb/s). Kopiarka wyposażona jest w funkcję szyfrowania danych binarnych „w locie” algorytmem AES-128 (do 6 GB/min). Urządzenie posiada również wbudowany port Gigabit Ethernet umożliwiający pracę na odległość oraz opcję dołączenia modułów zewnętrznych m.in. zwielokratniających liczbę jednocześnie obrazowanych nośników. Całość opakowana jest w mobile etui z ekranem dotykowym i przyjaznym interfejsem użytkownika.

Podstawowe cechy funkcjonalne oraz techniczne duplikatora Mediaiamger GM4:

  • wysoka wydajność: osiągane prędkości do 6GB/min
  • pełne bezpieczeństwo wykonywania kopii źródła (MediaBlocker)
  • opcjonalne moduły (dyski IDE, mSATA, SCSI, pamięci FLASH )
  • jednoczesne tworzenie wielu kopii tego samego dysku równocześnie
  • całość oparta o system Microsoft Windows 8
  • opcja tworzenia zaszyfrowanego obrazu dysku (AES-128)
  • mechanizmy weryfikacji akwizycji (MD5, SHA1, SHA2)
  • podgląd struktur danych i systemu plików „na żywo” – najpopularniejsze formaty plików NTFS, FAT
  • wysoka mobilność ze względu na minimalne rozmiary urządzenia
  • intuicyjny interfejs dotykowy użytkownika, dający pełną kontrolę nad procesem zabezpieczania dysków
  • redundantne zasilanie