W prezentacji zawarto ogólne zagadnienia związane z wykorzystaniem informatyki śledczej w procesie ujawniania, zabezpieczania oraz analizy zawartości cyfrowych nośników informacji dla potrzeb postępowania karnego. Przedstawiono metody oraz narzędzia sprzętowo-programowe wykorzystywane w kryminalistycznych badaniach dowodowych nośników informacji. Zaprezentowano również kilka zagadnień praktycznych (analiza przypadku).
1. Informatyka śledcza
języczkiem u wagi Temidy
Marek Liszkiewicz
Laboratorium Kryminalistyczne
Komendy Wojewódzkiej Policji w Krakowie
2. Klasyfikacja przestępstw komputerowych
Przestępstwa komputerowe przeciwko ochronie informacji
– Hacking komputerowy,
– Podsłuch komputerowy,
– Bezprawne niszczenie informacji,
– Sabotaż komputerowy.
Przestępstwa komputerowe przeciwko mieniu
–Nielegalne uzyskanie programu komputerowego,
–Paserstwo programu komputerowego,
–Oszustwo komputerowe,
–Oszustwo telekomunikacyjne,
–Kradzież karty uprawniającej do podjęcia pieniędzy z automatu bankowego.
Przestępstwa komputerowe przeciwko bezpieczeństwu powszechnemu
– Sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób albo mienia w znacznych
rozmiarach,
– Nieumyślne zakłócenie automatycznego przetwarzania informacji związane za publikowanie
chronionego prawnie programu komputerowego itp.,
– Zamach terrorystyczny na statek morski lub powietrzny.
Przestępstwa komputerowe przeciwko wiarygodności dokument ów
– Fałszerstwo komputerowe
Inne
– Inne rodzaje przestępstw takie jak np. nielegalne kopiowanie, rozpowszechnianie lub publikowanie
prawnie chronionego programu komputerowego itp.
3. WYBRANE PRZESTĘPSTWA PRZECIWKO OCHRONIE INFORMACJI (Kodeks Karny)
-Hacking:
Art. 267. § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną , otwierając zamknięte pismo, podłączając się do przewodu
służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie ,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
-Nielegalny podsłuch i inwigilacja:
Art. 267. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem
podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
Art. 267. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
-Naruszenie integralności komputerowego zapisu informacji:
Art. 268. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób
udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
Art. 268. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
-Fałszerstwo komputerowego zapisu informacji stanowiącego dokument:
Art. 270. § 1. Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5.
-Fałszerstwo kart płatniczych:
Art. 310. § 1. Kto podrabia albo przerabia polski albo obcy pieniądz, inny środek płatniczy albo dokument uprawniający do
otrzymania sumy pieniężnej albo zawierający obowiązek wypłaty kapitału, odsetek, udziału w zyskach albo stwierdzenie uczestnictwa w spółce lub
z pieniędzy, innego środka płatniczego albo z takiego dokumentu usuwa oznakę umorzenia,
podlega karze pozbawienia wolności na czas nie krótszy od lat 5 albo karze 25 lat pozbawienia wolności.
§ 4. Kto czyni przygotowania do popełnienia przestępstwa określonego w § 1 lub 2,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
-Oszustwo komputerowe:
Art. 287. § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne
przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym
nośniku informacji,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
4. Laboratorium Kryminalistyczne – rodzaje badań i śladów:
– daktyloskopijne (m.in. odbitki linii papilarnych),
– traseologiczne (ślady butów, opon),
– mechanoskopijne (ślady narzędzi, zamki, numery identyfikacyjne pojazdów),
– badania dokumentów (rękopisy, podpisy, urządzenia drukujące),
– badania broni i balistyki,
– chemiczne (środki odurzające, zawartość alkoholu we krwi, materiały wybuchowe),
– biologiczne (badania DNA),
– osmologiczne (badania śladów zapachowych),
– badania zapisów wizyjnych i fotografia,
– badania mikrośladów,
– fonoskopijne (zapisy dźwiękowe),
– rysownicy („portret pamięciowy”, progresja wiekowa),
– badania sprzętu komputerowego i cyfrowych nośników informacji.
12. Sony Memory Sticks
64 MB może zawierać
67,000,000 znaków
Co stanowi:
2,25 m
Based on a normal 12 font word document printed single-sided
13. Płyty Compact Discs
Pojemność 650Mb lub 700 Mb
Zawiera 682,000,000 lub
734,000,000 znaków
Co stanowi:
24,5 m
Based on a normal 12 font word document printed single-sided
14. Pendrive
Dla przykładu 1GB
Zawiera około 1,074,000,000
znaków
Co stanowi:
35,7 m
Based on a normal 12 font word document printed single-sided
15. Hard drives
Dysk 80GB
Do 86,000,000,000 znaków
Co stanowi:
2 km 866 m
Based on a normal 12 font word document printed single-sided
16. Zabezpieczanie nośników informatycznych:
1. Procesowe:
–opis
nośnika
w
dokumentach
oraz dokumentacja fotograficzna.
procesowych:
protokołach,
notatkach
2. Techniczne:
–wykonanie kopii binarnej całego obszaru danych nośnika,
–selektywne zabezpieczenie danych,
–zabezpieczenie nośnika w taki sposób, który zapewni jego ochronę przed
uszkodzeniem fizycznym oraz uniemożliwi zmianę jego zawartości poprzez działanie
celowe lub przypadek.
21. Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
- Zabezpieczenie zawartości pamięci ulotnej RAM.
Zawartość takiej pamięci ulega zanikowi po odcięciu zasilania.
22. Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
Wartość dowodową ma zazwyczaj informacja zapisana na nośniku (a nie sam
nośnik jako urządzenie). Z uwagi na specyfikę informacji w postaci cyfrowej,
możliwe jest jej bezstratne powielanie, kopiowanie na inne nośniki.
Kopia binarna.
23. Kopia binarna – przykładowy raport
Evidence Number “flop001” Alias “flop001”
File "C:dataGasflopp001.E01" was acquired by pjr at 28/10/01 18:46:19.
The computer system clock read: 28/10/01 18:46:58.
Evidence acquired under Windows 98 using version 3.11.
Acquisition Notes:
disk from drawer in Stotts desk.
File Integrity:
Completely Verified, 0 Errors.
Acquisition Hash: E62F78CD12DCDAA9E7C21CD781387671
Verification Hash: E62F78CD12DCDAA9E7C21CD781387671
Drive Geometry:
Total Size
1.4MB (2,880 sectors)
Volume “flop001” Parameters
File System:
FAT12
Sectors Per Cluster: 1
Total Sectors:
2,880
Total Clusters:
2,847
Free Clusters:
1,196
Volume Name:
OEM Version:
**nrIIHC
Heads:
2
Unused Sectors:
0
Sectors Per FAT:
9
Drive Type:
Bytes Per Sector:
Total Capacity:
Unallocated:
Allocated:
Volume Offset:
Volume Serial #:
Sectors Per Track:
Number of FATs:
Boot Sectors:
Removable
512
1,457,664 bytes (1.4MB)
612,352 bytes (598.0KB)
845,312 bytes (825.5KB)
0
0000-0000
18
2
1
25. Analiza obszaru danych dysku twardego:
−Pliki jawne, ukryte, systemowe: odczyt zawartości jawnej, atrybuty, rozkład
entropii (dane zaszyfrowane),
−Pliki usunięte: odzyskiwanie zapisów na podstawie analizy „tablic alokacji”
oraz „sygnatur” plików,
−Obszary „slack space”, „volume slack”, „interpartition space”,
−Weryfikacja sygnatur plików,
−Wyszukiwanie plików „zagnieżdżonych”,
−Analiza rejestru systemowego,
−Obliczanie wartości funkcji skrótu (hash) i porównywanie z dowolną bazą
hash’y,
−Analiza obrazów np. „skin detection”, ekstrakcja obrazów z plików wideo,
−Analiza aplikacji komunikatorów, klientów pocztowych, przeglądarek stron
WWW, programów p2p, aplikacji księgowych, itp.
−Wyszukiwanie słów kluczowych (logiczne i fizyczne), tworzenie indeksu,
−…… wiele innych aspektów w zależności od charakteru postępowania.
26. Narzędzia programowe:
1.„komercyjne”:
−„EnCase Forensic” firmy „Guidance Software”,
−„X-Ways Forensics” firmy „X-Ways Software Technology AG”,
−„FTK – Forensic Toolkit” firmy „AccessData”.
2.oparte na „wolnej” licencji:
−„The Sleuth Kit”,
−„Helix”,
−„DFF - Digital Forensics Framework”,
−„SANS Investigative Forensics Toolkit - SIFT”,
−„The Coroner's Toolkit”,
−„CAINE”.
28. Wybrane funkcjonalności oprogramowania „X-Ways Forensics”:
–domyślny tryb pracy w trybie „read-only”, celem dodatkowego (oprócz np. blokera sprzętowego) zapewnienia
integralności danych,
–powielanie (klonowanie) i obrazowanie nośników danych, również w systemie DOS (za pomocą „X-Ways
Replica”), z uwzględnieniem obszaru HPA,
–wewnętrzne procedury obsługi systemów plików FAT, NTFS, Ext2/3, CDFS, UDF, HFS+ (Apple), ReiserFS
oraz Reiser4 (Linux),
–wbudowane mechanizmy interpretacji systemów RAID (RAID 0 i RAID 5) oraz dysków dynamicznych
o rozmiarach większych od 2 TB,
–podgląd oraz „zrzucanie” zawartości fizycznej pamięci RAM oraz wirtualnej pamięci uruchomionych procesów,
–zróżnicowane techniki odzyskiwania danych, możliwość definiowania nowych oraz edycji sygnatur plików,
–gromadzenie (jako jednego obiektu) z badanych nośników i obrazów tzw. „slack space”, „free space”
oraz przestrzeni między partycjami,
–wykrywanie i dostęp do alternatywnych strumieni danych NTFS (ADS),
–wbudowany przeglądarka plików graficznych (obsługuje formaty: JPEG, JPEG 2000, GIF, TIFF, Bitmap, PNG,
TGA, PCX, WMF, EMF, MNG, oraz JBG),
–zaawansowane mechanizmy wyszukiwania ciągów znakowych oraz indeksowania ich, możliwość stosowania
wyrażeń regularnych,
–weryfikacja sygnatur plików,
–możliwość logowania wykonywanych czynności badawczych,
–tworzenie raportów w formacie HTML,
–przeglądarka rejestru systemów Windows,
–automatyczna dekompresja skompresowanych plików systemu NTFS, archiwów ZIP, RAR, itd.,
–obliczanie sum kontrolnych oraz zintegrowana baza porównywania „hash’y”.
32. Nośniki informacji w telefonów komórkowych:
-Karta/karty SIM,
-Karta pamięci,
-Pamięć wewnętrzna telefonu.
33. Karta SIM identyfikowana jest poprzez numery:
-ICCID wydrukowany na powierzchni karty oraz zapisany w jej pamięci;
19 cyfrowy numer zawierający informację o kraju i operatorze sieci,
-IMSI zapisany w pamięci karty; 16 cyfrowy numer zawierający informację o kraju,
sieci oraz abonencie.
Zabezpieczenia karty SIM:
-Kod PIN (zmienny),
-Kod PUK (stały).
34. Zapisy pamięci karty SIM:
- lista kontaktów
- lista ostatnio wybieranych numerów telefonów,
- wiadomości tekstowe SMS,
- numer własny abonenta (może być dowolnie edytowany),
- niekiedy informacja o ostatniej lokalizacji w sieci GSM,
- parametry techniczne.
35. W obszarze danych kart pamięci mogą być zapisane:
- pliki multimedialne (zdjęcia, wideo, dźwięk),
- pliki aplikacji systemu operacyjnego telefonu (np. nawigacji),
- kopie danych z pamięci wewnętrznej telefonu (np. lista kontaktów).
36. W obszarze pamięci wewnętrznej telefonu mogą być zapisane:
- lista kontaktów,
- rejestry połączeń (połączenia nieodebrane/odebrane/wychodzące/adresaci
i nadawcy wiadomości SMS i MMS/połączenia pakietowe),
- wiadomości tekstowe SMS, multimedialne MMS, raporty doręczeń,
- zapisy kalendarza, organizera, listy spraw,
- aplikacje systemu operacyjnego telefonu… nieograniczone możliwości, łącznie
ze złośliwym oprogramowaniem (wirusami)
38. Zabezpieczanie urządzeń do pozyskiwania sygnału telewizyjnego
Ustawa z dn. 5.07.2002 r.
o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub
polegających na dostępie warunkowym
Art. 6:
„1. Kto w celu użycia w obrocie, wytwarza urządzenia niedozwolone lub
wprowadza je do obrotu, podlega karze pozbawienie wolności do lat 3.
2. Tej samej karze podlega , kto świadczy usługi niedozwolone.”
Art. 7:
„1. Kto w celu osiągnięcia korzyści majątkowej, posiada lub używa urządzenia
niedozwolone, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
2. Jeżeli sprawca używa urządzenia niedozwolonego wyłącznie na własne
potrzeby, podlega grzywnie.”
39. Pozyskiwanie sygnału telewizyjnego
Sharing - technologia umożliwiająca zdalne udostępnianie karty abonenckiej
(przeważnie płatnych platform cyfrowych) przy użyciu sieci lokalnej lub
Internetu. W Polsce udostępnianie karty osobom nieopłacającym abonamentu
jest nielegalne, jednakże należy zauważyć, że technologia ta może być
wykorzystana również legalnie do przekazywania uprawnień do odbioru
programów telewizji satelitarnej w obrębie jednego gospodarstwa domowego.
Dostęp taki może być realizowany poprzez dedykowany serwer lub przy użyciu
tunerów opartych o linuksowy system operacyjny.
Źródło: Wikipedia
40. Pozyskiwanie sygnału telewizyjnego
Odbiór legalny
Legalny odbiór telewizji
kodowanej
Sygnał
kodowany
Słowo
kontrolne
zakodowane
Sygnał telewizyjny
Słowo
kontrolne
odkodowane