Podstawy informatyki śledczej

Każdy śledczy ma swoją własną metodę i metodykę pracy w trakcie przeprowadzania analizy kryminalistycznej, nie ma też standardowego modelu dla każdego rodzaju śledztwa, który zazwyczaj kieruje się dotychczasowym doświadczeniem każdego śledczego.

Z biegiem czasu pojawiły się różne metodologie, które określają potrzebę sekwencji ogólnych kroków w dochodzeniu kryminalistycznym, zwykle definiowanych jako "zbieranie dowodów, zabezpieczenie lub badanie, analiza".

Zaproponowano kilka modeli dochodzeniowych, zwanych również " Digital Forensics Investigation Frameworks "(Rysunek 4), przy czym te są jednymi z najbardziej popularnych:

·       Model DFRWS - Digital Forensic Research Workshop (Palmer et al. 2001)

·       ADFM - Abstract digital forensics model (Reith et al. 2002)

·       IDIP - Integrated Digital Investigation Process (Carrier et al. 2003)

·       EIDIP - Enhanced Integrated Digital Investigation Process (Baryamureeba & Tushabe 2004).

·       CFFTPM - Computer Forensics Field Triage Process Model (Rogers et al. 2006)

·       SRDFIM - Systematic Digital Forensic Investigation Model (Agarwal et al. 2011)

·       IDFPM - Integrated Digital Forensic Process Model (Kohn et al. 2013)

·       EDRM - Electronic Discovery Reference Model (https://edrm.net, 2014)

 

Rysunek 4 - Ramy dochodzenia w dziedzinie informatyki śledczej

Źródło: Rysunek 2 z artykułu https://arxiv.org/ftp/arxiv/papers/1708/1708.01730.pdf

 

W 2001 roku w badaniach wynikających z Warsztatów Badań Cyfrowych zaproponowano 6-stopniową ramę, przedstawioną na rysunku 5.

Rysunek 5 - Ramy DFRWS

Jest to do dziś jedna z głównych metodologii cyfrowego śledztwa kryminalistycznego i ta, którą będziemy się kierować. Każdy z etapów został opisany poniżej:

Identyfikacja - kiedy badacz musi zidentyfikować wszystkie istotne informacje i określić strategię ich pozyskania. Badacz może mieć do czynienia z typowym urządzeniem pamięci masowej, takim jak dysk twardy, karta pamięci, lub inaczej dane cyfrowe mogą wymagać zebrania z danych o ruchu sieciowym, danych lotnych, takich jak dane pamięciowe, urządzeń mobilnych lub IoT, lub jakichkolwiek innych urządzeń do przechowywania danych cyfrowych. Na tym etapie, przygotowanie przed użyciem technik i narzędzi, jest niezwykle ważne, aby zapewnić autentyczność, integralność i niezaprzeczalność wszystkich dowodów w sądzie.

Zachowanie - jest to etap, który ma na celu realizację takich zadań, jak ustanowienie właściwego zarządzania sprawami i zapewnienie akceptowalnego łańcucha dowodowego w sądzie. Ten etap jest kluczowy dla zapewnienia, że dane są zbierane bez żadnych zewnętrznych zanieczyszczeń i analizowane prawidłowo.

Zbieranie - Ten etap odnosi się do pozyskania dowodów cyfrowych i tradycyjnie może być dokonany poprzez klonowanie lub kryminalistyczne obrazowanie urządzenia pamięci masowej. Pozyskanie danych zmiennych lub innych istotnych i zmiennych danych może mieć decydujące znaczenie dla etapu dochodzenia, zwłaszcza gdy dane związane z pozyskaną pamięcią masową są zaszyfrowane. Zebrane na tym etapie dane stanowią dane wejściowe lub źródło danych dla etapu analizy.

Badanie - Jest to faza poszukiwania pożądanych danych, obejmująca m.in. techniki wyszukiwania, odzyskiwania usuniętych danych, deszyfrowania danych, łamania haseł, analizy złośliwego oprogramowania, analizy wzorców. Faza ta jest powiązana z fazą analizy, gdyż np. po identyfikacji dokumentów konieczna będzie ich analiza, uwzględniająca odpowiedź na żądane pytania.

Analiza - analiza wszystkich zebranych danych. Jest to najbardziej czasochłonna faza, ze względu na konieczność przeprowadzenia dokładnego wyszukiwania i identyfikacji wszystkich istotnych artefaktów. W większości przypadków zdarza się, że zebrane dane występują w postaci danych nieustrukturyzowanych, co wymaga zastosowania specjalnych narzędzi i bardziej czasochłonnej analizy w celu zidentyfikowania potencjalnych cyfrowych danych dowodowych, gdzie w grę wchodzą dane ustrukturyzowane, takie jak zapisy, bazy danych, pliki danych, pliki systemowe, strony internetowe i inne.

Prezentacja - Jest to ostatnia faza procesu cyfrowej analizy kryminalistycznej, w której należy przedstawić sędziemu raport końcowy ze wszystkimi istotnymi danymi. Raport ten powinien być złożony w formie papierowej, ze wszystkimi artefaktami uznanymi za istotne. W przypadku wątpliwości dotyczących informacji presente w złożonym raporcie, wymagane jest zeznanie eksperta w sądzie w celu dostarczenia odpowiednich wyjaśnień .