Walizka cybergliny

Policjanci badający komputery zatrzymanych przestępców wykorzystują specjalny sprzęt i oprogramowanie. Dysponują m.in. narzędziami do kopiowania zabezpieczonych danych oraz monitorowania np. czatów internetowych

E-mail(patrz: ramka na dole), wysłany 18 lipca 2002 r. przez Aleksandrę Jakubowską, trzy dni po ofercie korupcyjnej Rywina, pogrążył wszystkich: autorkę, odbiorcę, osoby wymieniane w treści i wiele innych tam niewspomnianych. O jego znaczeniu zainteresowani wiedzieli i dlatego elektroniczny list skasowano, a dysk sformatowano. Zrobiono wszystko, by e-mail nigdy nie wpadł w niepowołane ręce. Czy na pewno wszystko?

Choćby spod ziemi

Współczesny Sherlock Holmes zaśmiałby się w głos. Sformatowanie dysku to przecież żadna przeszkoda dla kryminalistyka informatycznego. Żeby utrudnić specjaliście odczytanie danych, należałoby użyć specjalistycznego programu do wielokrotnego zamazywania danych, a i wtedy fachowiec ma szansę odzyskania użytecznych strzępków informacji.

Przypadków takich jak opisany powyżej jest wiele. Odzyskiwanie utraconych lub celowo usuniętych danych to tylko jeden z aspektów działalności śledczych informatycznych. Choć policyjni technicy odnoszą wielkie sukcesy i przyczyniają się do rozwiązania spraw z pierwszych stron gazet (jak odzyskanie informacji z połamanej karty SIM telefonu należącego do zastrzelonego ministra Jacka Dębskiego), to zwykle pozostają w cieniu. Do wiadomości publicznej trafiają tylko informacje typu: „operacji dokonano w Krakowskim Instytucie Ekspertyz Sądowych”. A szkoda, bo robota informatyka kryminalistycznego jest niezwykle interesująca i ważna. Przyjrzyjmy się więc od podszewki pracy fachowców określanych w krajach anglojęzycznych jako Computer Forensics Investigators. Na początek trochę historii.

Zaczęło się od gwizdka

Początki przestępczości elektronicznej sięgają wczesnych lat 70., kiedy to na szerokie wody wypłynął John T. Draper (znany później jako Cap’N’Crunch) ze słynnym Blue Boksem – urządzeniem do oszukiwania central telefonicznych. Kilka lat i aresztowań później bakcyla złapał Steve Wozniak, który częściowo dzięki pieniądzom uzyskanym ze sprzedaży Blue Boksów założył wspólnie ze Steve’em Jobsem niewielką firmę Apple Computer. Później wszystko potoczyło się już dość szybko. W latach 80. powstała słynna grupa hakerska Legion of Doom, a krótko potem ukazał się pierwszy numer magazynu „branżowego” – „2600”. Powoli zabawa przestała być zabawą i świat hakerów zaczął by postrzegany jako zagrożenie, gdy ofiarą ataków padały instytucje, głównie w USA.

W latach dziewięćdziesiątych ubiegłego stulecia pierwsi nieostrożni trafili za kraty: trio Masters of Deception za spowodowanie awarii systemu telefonicznego AT&T, Kevin Poulsen za kradzież dokumentów wojskowych, no i Kevin Mitnick po ubarwionej przez media zabawie w kotka i myszkę ze ścigającym go policjantem. Później przypadki aresztowań hakerów stały się niemal codziennością i nie jest już o nich aż tak głośno. Pojawiają się za to nowe sposoby uzyskiwania nieuprawnionego dostępu do cudzych zasobów. Popularne stały się wykorzystywanie luk w warstwie aplikacyjnej, inżynieria społeczna, phishing, pharming i inne, coraz bardziej wymyślne techniki.

Zachłystując się historiami o śmiałych poczynaniach genialnych włamywaczy, zapominamy jednak o tych, którzy stoją po drugiej stronie barykady – o dysponujących równie wysokimi kwalifikacjami, ale działających w imię prawa detektywach informatycznych.

Informatyka w służbie kryminalistyki

Wyobrażenie technika kryminalistyki jako fachowca z lupą i miotełką daktyloskopijną nie tyle się zdezaktualizowało, co jest dzisiaj zbytnio zawężone. Potrzeba jest matką wynalazku, więc wraz z pojawieniem się przestępców w białych kołnierzykach wystąpiło zapotrzebowanie na specjalistów potrafiących z nimi walczyć. Techniki i sprzęt będące na wyposażeniu fachowców do zwalczania przestępczości elektronicznej są odpowiedzią na tendencje panujące w podziemiu kryminalnym.

Oczywiście kryminalistyka zajmuje się badaniem miejsca zbrodni i pozostawionych tam śladów, a zatem reaguje na to, co już się wydarzyło. Dlatego często przestępcom wydaje się, że zawsze będą o krok przed śledczymi. W przypadku świata informatyki na szczęście jest to tylko kroczek. Nie jest tajemnicą, że środowisko hakerów jest dość dobrze infiltrowane i choć uczestnicy DefConu śmieją się z wszechobecnych tajniaków w ciemnych okularach, to w gruncie rzeczy pozostają niepewni, czy młodzieniec o wyglądzie rasowego geeka nie jest rzeczywistym agentem. Organizacje takie jak CERT (Computer Emergency Response Team, jego polski oddział działa przy NASK-u) czy SANS (SysAdmin, Audit, Network, Security) starają się na bieżąco monitorować działalność cyberprzestępców i nieść pomoc poszkodowanym. Można śmiało stwierdzić, że są to instytucje w dużej mierze kryminalistyczne. Sukcesy odnoszą też polska policja i Centralne Biuro Śledcze. Jednak do obrazków znanych z seriali amerykańskich – miniaturowych kamer, czujników biometrycznych w charakterze zamków i innych cudów techniki, będących powszechnym wyposażeniem telewizyjnych gliniarzy – bardzo daleka droga. Prawdziwym skarbem rodzimego wymiaru sprawiedliwości są ludzie. Polscy specjaliści również dysponują dobrym sprzętem i oprogramowaniem, ale ich najskuteczniejszą bronią jest wiedza. Są doskonale wyszkoleni i swymi umiejętnościami nie ustępują kolegom z innych krajów.

E-mail, wysłany 18 lipca 2002 r. przez Aleksandrę Jakubowską
„Przesyłam Ci wersję ostateczną zapisu o zakazie koncentracji w wykonaniu Agory i wersję ministerialno-uokikowsko-czarzastą, nad którą jeszcze Włodek pracuje, co byś był zorientowany przed jutrzejszym spotkaniem. Całuski Ola”

Sherlock Holmes XXI wieku

Śledczy zajmujący się kryminalistyką informatyczną (technik kryminalistyczny) to przeważnie tzw. „white hat” („biały kapelusz”), czyli haker wykorzystujący swoją wiedzę „ku chwale ojczyzny”. Co ciekawe, taki specjalista nie zawsze jest wychowankiem uczelni technicznych – częściej to hobbysta, traktujący swoją pracę jak pasję. Trudno bowiem wyobrazić sobie, żeby ktokolwiek dobrowolnie spędzał godziny nad analizą setek logów, binariów i innych źródeł informacji, nie lubiąc tego, co robi.

Praca technika wymaga skrupulatności, metodycznego działania i myślenia kilka kroków do przodu. Do jego zadań nie należy tylko zabezpieczanie dowodów. Przede wszystkim musi on znaleźć ślady, które pomogą w doprowadzeniu do ustalenia sprawcy oraz jego metod działania. Ponadto często natrafia na dowody, które zostały częściowo zniszczone, jak we wskazanym na początku artykułu przykładzie.

Mało kto wie, że do ich zadań należy ciągłe monitorowanie internetowej aktywności półświatka przestępczego. Bardzo często praca śledczych polega na przechwytywaniu informacji, np. poprzez sprawdzanie zawartości skrzynki pocztowej, do której hasło i login zostały znalezione podczas przeszukania komputera sprawcy przestępstwa.

Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.