Podstawy informatyki śledczej

Obszary działania informatyki śledczej są coraz bardziej wszechstronne, gdzie wcześniej analizowane byłyby tylko dyski twarde i inne nośniki służące do przechowywania informacji, teraz konieczne może być zbieranie i analizowanie danych w pamięciach lotnych (performance w live-data forensics) czy nawet danych o ruchu sieciowym (network forensics), danych przechowywanych na urządzeniach mobilnych (mobile forensics), danych przechowywanych w systemach rozproszonych w chmurach w Internecie, wśród wielu innych.

 

Edmond Locard (Figure 1), stwierdził, że:

"niemożliwe jest, aby przestępca działał, zwłaszcza biorąc pod uwagę intensywność przestępstwa, bez pozostawienia śladów tej obecności"

W przestępstwach, które w jakiś sposób wiążą się z komponentem cyfrowym, przestępstwach cyberinstrumentalnych i cyberzależnych (R.Bravo) i zgodnie z wypowiedzią Edmonda Locarda, istnieje większa możliwość pozostawienia dowodów cyfrowych, związanych z wykorzystaniem środków cyfrowych.

Rysunek 1 - Schemat Edmonda Locarda

Źródło: https://www.crimemuseum.org/crime-library/forensic-investigation/edmond-locard

 

Cyfrowa kryminalistyka nie jest uważana za naukę ścisłą i możliwe jest, że ten sam raport z informatyki śledczej analizowany przez różne osoby może być różnie rozumiany, dlatego zasadnicze znaczenie ma zapewnienie podstawowych zasad bezpieczeństwa informacji (rys. 2), poufności, integralności i niezaprzeczalności. W ten sposób informatyka śledcza będzie z konieczności:

Stosowanie powszechnie akceptowanych technik, przestrzeganie przepisów prawa krajowego w dążeniu do udzielenia na każde badane pytanie jak najpełniejszej odpowiedzi, przy czym 7 powodów jest najpełniejszą formą odpowiedzi:

 

Rysunek 2 - Bezpieczeństwo informacji

Źródło: John McCumber

 

Poufność

Do czasu rozstrzygnięcia przez sąd osoby zamieszane w sprawę są i muszą pozostać niewinne, a dostęp do ich danych jest całkowicie ograniczony do samego biegłego, który nie może ich udostępnić osobom trzecim.

 

Autentyczność

Dowody muszą być autentyczne. Wytworzony przez osoby, które mogą o nim odpowiedzieć. W przeciwnym razie dowód jest uznawany w sądzie za nieistotny.

 

Integralność

Informacje zawarte w urządzeniach muszą być za wszelką cenę zachowane w stanie pierwotnym. Ekspert jest odpowiedzialny za stosowanie technik zmieniających integralność informacji.

 

Brak odmowy

Jeśli chodzi o sprawowanie funkcji eksperckich, "nierepublikowanie" odpowiada stosowaniu powszechnie akceptowanych technik, umożliwiając wykorzystanie kontrekspertyzy w celu uzyskania tych samych rezultatów.