Podstawy informatyki śledczej
1. Wprowadzenie do informatyki śledczej
1.2. Aplikacja informatyki śledczej
Obszary działania informatyki śledczej są coraz bardziej wszechstronne, gdzie wcześniej analizowane byłyby tylko dyski twarde i inne nośniki służące do przechowywania informacji, teraz konieczne może być zbieranie i analizowanie danych w pamięciach lotnych (performance w live-data forensics) czy nawet danych o ruchu sieciowym (network forensics), danych przechowywanych na urządzeniach mobilnych (mobile forensics), danych przechowywanych w systemach rozproszonych w chmurach w Internecie, wśród wielu innych.
Edmond Locard (Figure 1), stwierdził, że:
"niemożliwe jest, aby przestępca działał, zwłaszcza biorąc pod uwagę intensywność przestępstwa, bez pozostawienia śladów tej obecności"
W przestępstwach, które w jakiś sposób wiążą się z komponentem cyfrowym, przestępstwach cyberinstrumentalnych i cyberzależnych (R.Bravo) i zgodnie z wypowiedzią Edmonda Locarda, istnieje większa możliwość pozostawienia dowodów cyfrowych, związanych z wykorzystaniem środków cyfrowych.
Rysunek 1 - Schemat Edmonda Locarda
Źródło: https://www.crimemuseum.org/crime-library/forensic-investigation/edmond-locard
Cyfrowa kryminalistyka nie jest uważana za naukę ścisłą i możliwe jest, że ten sam raport z informatyki śledczej analizowany przez różne osoby może być różnie rozumiany, dlatego zasadnicze znaczenie ma zapewnienie podstawowych zasad bezpieczeństwa informacji (rys. 2), poufności, integralności i niezaprzeczalności. W ten sposób informatyka śledcza będzie z konieczności:
PRAWNIE DOPUSZCZALNA I TECHNICZNIE NIEPODWAŻALNA
Stosowanie powszechnie akceptowanych technik, przestrzeganie przepisów prawa krajowego w dążeniu do udzielenia na każde badane pytanie jak najpełniejszej odpowiedzi, przy czym 7 powodów jest najpełniejszą formą odpowiedzi:
"Co? Gdzie?, Kiedy?, Jak?, Kto?, Dlaczego? i Ile?".
Inspektor-koordynator Rogério Bravo - policja sądowa
Rysunek 2 - Bezpieczeństwo informacji
Źródło: John McCumber
Poufność
Do czasu rozstrzygnięcia przez sąd osoby zamieszane w sprawę są i muszą pozostać niewinne, a dostęp do ich danych jest całkowicie ograniczony do samego biegłego, który nie może ich udostępnić osobom trzecim.
Autentyczność
Dowody muszą być autentyczne. Wytworzony przez osoby, które mogą o nim odpowiedzieć. W przeciwnym razie dowód jest uznawany w sądzie za nieistotny.
Integralność
Informacje zawarte w urządzeniach muszą być za wszelką cenę zachowane w stanie pierwotnym. Ekspert jest odpowiedzialny za stosowanie technik zmieniających integralność informacji.
Brak odmowy
Jeśli chodzi o sprawowanie funkcji eksperckich, "nierepublikowanie" odpowiada stosowaniu powszechnie akceptowanych technik, umożliwiając wykorzystanie kontrekspertyzy w celu uzyskania tych samych rezultatów.