7/2010

30

PRAKTYKA

Informatyka śledcza

www.hakin9.org

31

W

edług danych gromadzonych globalnie przez

światowych pionierów w dziedzinie informaty-

ki śledczej, 43 procent firm na świecie padło

ofiarą nadużyć związanych z użyciem informacji elek-

tronicznej. Ponad połowa z nich poniosła przy tym nie-

odwracalne straty finansowe. Średnia wysokość nad-

użyć w zakresie przestępczości elektronicznej na świe-

cie to aż 1,74 mln $ na firmę, przy czym co trzecie z te-

go typu przestępstw popełnił pracownik firmy, która

ucierpiała na nielegalnych praktykach. Co sprawia, że

tak łatwo firmy i osoby prywatne tracą kluczowe dane?

Według informatyków śledczych kluczową rolę od-

grywa tutaj kwestia nieświadomego pozostawiania

przez nas informacji o samych sobie, dzięki otaczają-

cym nas z każdej strony technologiom i urządzeniom

gromadzącym wszelkiego rodzaju informacje. Można

podzielić je na trzy grupy. Do pierwszej z nich zaliczyć

można wszelkie rejestry komputerów i innych maszyn,

które magazynują dane dotyczące czasu pracy, otwie-

ranych programów, odwiedzanych stron internetowych

czy też wysłanych wiadomości mailowych. Do drugiej

grupy zaliczyć możemy informacje z różnego rodza-

ju monitoringów, aparatów cyfrowych czy też kamer.

Ostatnią, trzecią grupą są informacje, które użytkow-

nicy pozostawiają samodzielnie i świadomie, np. na

portalach społecznościowych, forach, blogach czy też

w komentarzach sieciowych.

Informatycy śledczy w Polsce i na świecie

W ciągu ostatnich kilkunastu lat dyski twarde (i inne

nośniki, takie jak pendrive’y czy telefony komórkowe),

stały się pierwszoplanowymi bohaterami spraw, które

przez tygodnie nie schodziły z pierwszych stron ga-

zet. Dotyczyły one zarówno najważniejszych polityków

w Państwie, jak i osób związanych ze środowiskami

biznesowymi. Wśród pierwszych, jedną z najbardziej

spektakularnych okazała się sprawa dysku Aleksandry

Jakubowskiej, która wyszła na światło dzienne w kon-

tekście afery Rywina. Jednym z kluczowych dla śledz-

twa działań było wtedy odzyskanie wiadomości pocz-

towej ze sformatowanego dysku Minister Jakubow-

skiej, na którym znajdowały się dowody pozwalające

prokuraturze na ustalenie przebiegu wydarzeń w jed-

nym z wątków afery korupcyjnej. Pozostałe przypadki,

jakie utkwiły w pamięci opinii publicznej dotyczyły m.in.

„utopionego” komputera posła Wassermanna czy słyn-

nego „gwoździa” posła Ziobry. Na świecie były to naj-

większe akcje przeprowadzane m.in. dla FBI i innych

służb panstwowych. Szczegółowe ich opisy znajdują

się m.in. poniżej, wśród najciekawszych case’ów.

Elektroniczni detektywi w akcji

Wiedza i umiejętności informatyków śledczych, także z Polski,

pomogły już rozwiązać tysiące spraw sądowych na całym świecie,

w tym tych najpoważniejszych, związanych między innymi z głośnymi

przestępstwami gospodarczymi, pedofilią bądź kradzieżą poufnych

danych. Wciąż jednak działania prowadzone w ramach informatyki

śledczej są niemalże obce nie tylko firmom tracącym przychody przez

oszustów komputerowych, ale nawet samej branży IT.

Piotr Dembiński, Paweł Odor

Dowiesz się:

• jak wygląda proces informatyki śledczej prowadzony w profe-

sjonalnym laboratorium

• jakie najciekawsze przypadki informatyki śledczej zdarzyły się

dotąd w Polsce i na świecie

• jakie straty mogą ponieść firmy nie korzystające z usług infor-

matyków śledczych

Powinieneś wiedzieć:

• że działania informatyków śledczych pozwalają uchronić firmy

przed bardzo poważnymi konsekwencjami finansowymi i wi-
zerunkowymi, sięgającymi nawet kilku milionów dolarów

• że informatycy śledczy są w stanie perfekcyjnie odtworzyć kolej-

ność zdarzeń, działając na podstawie informacji niedostępnych
dla użytkowników i administratorów poszczególnych systemów

• że większość polskich i światowych firm wciąż lekceważy za-

bezpieczanie swych zasobów cyfrowych.###

7/2010

30

PRAKTYKA

Informatyka śledcza

www.hakin9.org

31

kopii bezpieczeństwa. W zależności od typu postępo-

wania zabezpiecza się także dane z urządzeń prze-

nośnych PDA, telefonów i wszelkich pamięci przeno-

śnych. Po przygotowaniu dwóch kopii zapasowych

otrzymanego nośnika specjaliści zabezpieczają jed-

ną z nich w sposób identyczny do tego w jaki zabez-

pieczony został oryginalny nośnik. Wszelkie prace są

prowadzone na drugiej kopii. Każda operacja podjęta

przez specjalistów musi być szczegółowo udokumen-

towana, a każde udostępnienie nośnika lub informacji

musi być zarejestrowane.

Suma kontrolna

Na potrzeby postępowania dowodowego wykonuje się

kopie binarne zabezpieczone wyliczeniem sumy kon-

trolnej. W procesie informatyki śledczej każdy z nośni-

ków musi zostać zabezpieczony w sposób odpowiedni

do jego indywidualnych właściwości, np. w przypadku

dysków twardych odbywa się to za pomocą wygenero-

wanej podczas kopiowania sumy kontrolnej. Można na

jej podstawie określić czy opisywana przez nią struk-

tura była modyfikowana. Jeżeli zgadza się z pierwotną

wartością, oznacza to, że mamy do czynienia z orygi-

nalną wersją cyfrowego zapisu. W czasie tego proce-

su stosuje się specjalne urządzenia uniemożliwiające

jakikolwiek zapis na oryginalny nośnik.

Niezależnie jednak od sposobu zbierania informacji,

zasady zabezpieczania dowodów wymagają ochro-

ny oryginalnego nośnika oraz wykonania pełnej kopii

danych bez żadnej ingerencji w oryginał. Dodatkowo

konieczne jest zastosowanie metod gwarantujących

identyczność i autentyczność danych (np. przez wyko-

nanie wspomnianej wcześniej sumy kontrolnej). Jaki-

kolwiek błąd na tym etapie pracy może skutkować nie

tylko utratą krytycznych danych, ale również odrzuce-

niem środków dowodowych przez sąd.

W szczególnych przypadkach, kiedy dane zosta-

ją zabezpieczane w wielu lokalizacjach – specjali-

ści informatyki śledczej zwracają szczególną uwagę

na synchronizację czasową. W ten sposób udaje się

uniknąć manipulowania danymi mogącymi posłużyć

jako dowód w prowadzonym dochodzeniu.

Odtwarzanie i odzyskiwanie danych

Dane pobrane z nośników zawierają najczęściej

ogromną ilość informacji, z których część z punktu wi-

dzenia prowadzonego dochodzenia jest nieprzydat-

na. Wyłowienie interesujących danych jest w związku

z tym niestety wyjątkowo złożone i pracochłonne.

Spośród wszystkich danych znajdujących na nośni-

ku specjaliści wyodrębniają wiec te, które mają zna-

czenie dla prowadzonej sprawy. Konsultacja z klien-

tem (zdefiniowana hipoteza badawcza), którą kie-

rują się eksperci podczas badań ma kluczowe zna-

czenie dla sukcesu sprawy i wyciągnięcia odpowied-

Czym jest informatyka śledcza?

Informatyka śledcza (ang. Computer Forensics), to do-

starczanie elektronicznych środków dowodowych czy-

li zespół działań i czynności, które polegają na zabez-

pieczeniu, przeszukiwaniu i wykrywaniu dowodów nad-

użyć i przestępstw dokonanych z użyciem komputera

lub innych urządzeń elektronicznych. Poprzez Compu-

ter Forensics możemy więc odtworzyć kolejność zda-

rzeń użytkownika urządzenia elektronicznego w cza-

sie (i odpowiedzieć na pytania: kto? co? gdzie? kiedy?

jak?), działając na podstawie informacji niedostępnych

dla użytkowników i administratorów systemu.

Obecnie najpopularniejszymi nośnikami dowodów

elektronicznych trafiającymi do największych labora-

toriów odzyskiwania danych i informatyki śledczej są:

dyski twarde komputerów osobistych (61,5 procent),

serwery (20 procent - w tym serwery pocztowe – 7 pro-

cent oraz pozostałe serwery - np. zapisujące dane

z kamer monitorujących ulice – 13 procent), notatniki

elektroniczne (3 procent), pamięci przenośne (11 pro-

cent) oraz telefony (2,5 procent). Większość serwerów

trafia do ekspertyzy wraz z kopiami bezpieczeństwa.

Proces informatyki śledczej

Proces informatyki śledczej to zbiór następujących po

sobie czynności, których wykonanie gwarantuje do-

starczenie organom ścigania, a także osobom prowa-

dzącym dochodzenie danych o pełnej wartości dowo-

dowej. Na proces składają się: gromadzenie informa-

cji, odtwarzanie i odzyskiwanie danych oraz ich anali-

za. Wynikiem działania jest raport ekspertów. Rozpo-

częcie procesu computer forensics poprzedzone jest

dokładnym zapoznaniem się specjalistów ze sprawą.

Klient musi przekazać ekspertom możliwie dużo in-

formacji o prowadzonym postępowaniu tak aby moż-

liwe było podjęcie decyzji jakie nośniki mogą zawierać

istotne informacje.

Gromadzenie informacji

Podstawową zasadą na etapie gromadzenia informa-

cji jest zabezpieczenie oryginalnych nośników jak ty-

powych dowodów. Następnie wykonuje się co naj-

mniej dwie binarne kopie danych. Kopie powstają

bez uruchomienia systemu operacyjnego urządze-

nia, na którym mogą znajdować się potencjalne do-

wody. W niektórych sytuacjach jest to jednak niemoż-

liwe, procedura zabezpieczenia musi być zatem do-

kładnie udokumentowana. Wynika to z faktu, iż w mo-

mencie uruchomienia systemu operacyjnego orygi-

nalnego urządzenia zmienia się dotychczasowa za-

wartość danych znajdujących się na nośniku (dysku,

pamięci itp.).

Zabezpieczanie danych, jako dowodów dotyczy za-

równo komputerów osobistych, przenośnych jak i ser-

werów plików (poczty), baz danych oraz wszystkich

7/2010

32

PRAKTYKA

Informatyka śledcza

www.hakin9.org

33

nich wniosków. Sytuację może jednak skomplikować

fakt, że nośnik zawiera dużą ilość danych niewidocz-

nych dla użytkownika, a dostępnych dopiero w proce-

sie odtwarzania danych (np. skasowanych, ukrytych

lub zaszyfrowanych). Dzieje się tak często w momen-

cie, gdy oprócz celowo skasowanych danych nastąpi-

ło uszkodzenie logiczne bądź fizyczne nośnika. W ta-

kiej sytuacji nim informatycy śledczy przejdą do ana-

lizy danych znajdujących się na nośniku, muszą naj-

pierw odzyskać utracone wcześniej informacje. Spe-

cjaliści w procesie odtwarzania danych docierają rów-

nież do tzw. przestrzeni typu slack space (dotyczy to

najszerzej rozpowszechnionych systemów plików ty-

pu FAT i NTFS) – sektorów i klastrów resztkowych,

które mogą być nieocenionym zbiorem informacji dla

prowadzących śledztwa czy dochodzenia, szczegól-

nie w przypadkach, w których nastąpiło nadpisanie

danych dowodowych czyli zapisanie na nie nowych

informacji.

Oczywiście należy pamiętać, że wykorzystywane

mechanizmy, które pozwalają sprawdzić historię dzia-

łań użytkownika, zależą od używanego przez niego

oprogramowania i systemu operacyjnego.

Szczególnym przypadkiem odtwarzania danych mo-

że być odzyskiwanie danych z fizycznie uszkodzone-

go nośnika. Średnia światowa skuteczność odzyski-

wania danych w profesjonalnym laboratorium wyno-

si 76 procent. Składają się na nią również najcięższe

przypadki, w których nośniki zostały celowo zniszczo-

ne fizycznie, spalone czy zalane wodą. W większości

tego typu przypadków dane udaje się odzyskać niemal

w 100 procentach.

Analiza

Kolejnym krokiem po odtworzeniu danych w proce-

sie Computer Forensics jest ich analiza. Zostaje ona

przeprowadzona wg kryteriów, które ustalane są przez

elektronicznych detektywów w porozumieniu ze zlece-

niodawcą. Typowe poszukiwanie danych polega na

dostosowaniu wszystkich zebranych danych do for-

matu pozwalającego użytkownikowi na łatwy dostęp

do informacji (odszyfrowanie, pominięcie nietypowych

aplikacji, ujednolicenie formatu). Praca specjalisty na

etapie analizy danych polega na odpowiedzi na klu-

czowe pytania (kto?, co? i kiedy?) oraz na odtworze-

niu kolejności krytycznych zdarzeń.

Najczęstsze rodzaje danych analizowanych

w procesie informatyki śledczej

Dostarczając dowodów przestępczości elektronicz-

nej specjaliści informatyki śledczej najczęściej operu-

ją na: danych pocztowych (najczęstsza kategoria da-

nych, które stanowią materiały dowodowe w procesie

informatyki śledczej; w ich przypadku zabezpieczenie

dowodów polega prócz zabezpieczenia plików poczto-

wych na konkretnym komputerze, również zabezpie-

czeniu dostępu do serwerów poczty elektronicznej),

danych bieżących (np. dokumenty pakietu Office), da-

nych odtworzonych i odzyskanych (skasowanych lub

uszkodzonych wcześniej przez użytkownika), danych

zaszyfrowanych przez właściciela i udostępnionych po

złamaniu zabezpieczeń oraz danych zawartych w lo-

gach systemowych i metadanych.

Na tym etapie prac przydatne są narzędzia ułatwia-

jące konwersję danych. Aplikacje takie pozwalają mię-

dzy innymi na bardzo wygod-

ne wyszukiwanie informacji,

zaznaczanie i komentowanie

odnalezionych danych oraz

przygotowywanie szczegóło-

wych raportów z przeprowa-

dzonych prac.

Elementy procesu

analizy danych

Proces analizy danych jest

stosunkowo złożony i obej-

muje najczęściej pięć sta-

diów. Pierwsze z nich po-

lega na odtwarzaniu istot-

nych zdarzeń z uwzględnie-

niem ich chronologii (wizyty

na stronach internetowych,

komunikacja pocztą elektro-

niczną, zmiany dokumentów,

kasowanie danych, szczegó-

ły penetracji systemu itp.).

W drugim stadium poszu-

Rysunek 1. Spalony aparat z którego odzyskano zdjęcia w laboratorium Kroll Ontrack

7/2010

32

PRAKTYKA

Informatyka śledcza

www.hakin9.org

33

kiwane są dokumenty zawierające słowa kluczowe

związane ze sprawą, wskazywane najczęściej przez

organa śledcze. Trzecie stadium natomiast obejmu-

je poszukiwanie kopii istotnych dokumentów oraz ich

wcześniejszych wersji. Ostatnie dwie części procesu

dotyczą sprawdzanie istnienia na nośniku i zaistnienia

operacji z wykorzystaniem programów kasujących da-

ne oraz analizę autentyczności danych oraz znaczni-

ków czasowych.

Raport

Wynikiem pracy specjalistów Computer Forensics

jest szczegółowy raport zawierający informacje o od-

nalezionych danych istotnych dla prowadzonej spra-

wy. Elementem raportu powinno być także osadzenie

w czasie kluczowych zdarzeń.

Jako, że treść raportu musi być ściśle skorelowana

ze sprawą konieczna jest bliska współpraca specjali-

stów w laboratorium z osobami prowadzącymi sprawę.

Elementem współpracy laboratorium informatyki śled-

czej i klienta jest także przedstawianie wyników prac

w sądzie. Informatycy śledczy przywołani przez proku-

ratora i sądy dla wydania opinii prezentują materiał do-

wodowy jako tzw. biegli ad-hoc . Pomimo faktu, że nie

wszystkie sprawy trafiają na wokandę, wszystkie czyn-

ności w ramach procesu muszą być prowadzone w ta-

ki sposób, aby wartość dowodowa zgromadzonego

materiału była niepodważalna. Na świecie tylko około

20 procent spraw prowadzonych przez specjalistów in-

formatyki śledczej ma finał w sądzie. Często potrzeb-

ne są jedynie np. dowody winy pracownika pozwalają-

ce pracodawcy na uszczelnienie systemu dostępu do

informacji. Jak wspomniano wcześniej jedną z najczę-

ściej analizowanych kategorii danych w procesie in-

formatyki śledczej są pliki

poczty elektronicznej i wy-

daje się, że ta kategoria da-

nych nie ustąpi z pierwsze-

go miejsca w ciągu najbliż-

szych lat.

Na każdym z powyższych

etapów istnieje możliwość

wykorzystania danych z wia-

domości e-mail w procesie

dowodowym zmierzającym

do wykrycia „przecieku” in-

formacji, czy to poprzez od-

tworzenie treści podejrzanej

wiadomości, czasu jej wy-

słania czy też innych cech.

Korporacyjne

serwery

pocztowe przechowują wia-

domości wszystkich pra-

cowników, którzy korzysta-

ją z poczty elektronicznej.

Zgodnie z wymogami Disaster Recovery Plans spo-

rządzane i przechowywane są kopie zapasowe zaso-

bów gromadzonych na serwerach firmowych. Często

specjaliści informatyki śledczej stają przed konieczno-

ścią analizy wielu milionów informacji pocztowych nie-

jednokrotnie pochodzących z różnych serwerów (ich

kopii bezpieczeństwa).

Najciekawsze przypadki informatyki śledczej rozwią-

zane przez specjalistów informatyki śledczej w Polsce

i na świecie:

1. Sprawa gdańskiej gimnazjalistki

Działania związane z informatyką śledczą nie dotyczą

jedynie danych zamieszczonych na dyskach twardych

komputerów, ale również na takich urządzeniach, jak

pamięci flash, bądź telefony komórkowe.

W związku ze zwiększającą się liczbą funkcji i pojem-

ności telefonów komórkowych, dane z nich pochodzą-

ce mogą stać się cennym źródłem dowodowym, wyko-

rzystywanym w informatyce śledczej. Jednym z takich

przypadków była udana próba odzyskania filmu zapi-

sanego na telefonie komórkowym jednego z gdańskich

uczniów w roku 2006.

Film ten był zapisem napastowania jednej z gimna-

zjalistek przez grupę jej kolegów, w tym chłopca na-

grywającego to zdarzenie, podczas lekcji w szkole.

Nagranie to zostało następnie opublikowane w Inter-

necie, co mogło doprowadzić do samobójczej śmier-

ci dziewczynki.

Po tym zdarzeniu i rozgłosie, jaki został mu nadany

w mediach, chłopcy skasowali film. Telefon został jed-

nak zabezpieczony przez policję, której przedstawicie-

le w toku postępowania przekazali aparat do analizy

specjalistom informatyki śledczej. W laboratorium in-

Rysunek 2. Specjaliści Kroll Ontrack podczas odzyskiwania danych w laboratorium

7/2010

34

PRAKTYKA

Informatyka śledcza

www.hakin9.org

35

formatyki śledczej odzyskano wykasowaną zawartość

telefonu, w tym nagranie z lekcji. Film został wykorzy-

stany w sprawie.

2. Komputer prezesa portalu wp.pl

Sprawa komputera prezesa Wirtualnej Polskiej jest

przykładem straty jaką poniosła jedna ze stron z po-

wodu braku świadomości istnienia usług informatyki

śledczej w Polsce.

Większościowy udziałowiec portalu wp.pl zawarł

porozumienie z posiadaczami udziałów stanowiący-

mi mniejszość, w którym zobowiązał się do odkupie-

nia reszty udziałów po określonym czasie. Cena wy-

kupienia udziałów miała zależeć bezpośrednio od ilo-

ści użytkowników portalu.

Po upływie terminu, w którym miało nastąpić odku-

pienie udziałów okazało się, że mniejszościowy pakiet

udziałów był droższy niż łączna kapitalizacja dwóch

najbardziej konkurencyjnych portali.

Większościowy udziałowiec wycofał się z podjętego

zobowiązania. Podjęte zostały działania prowadzące

do pogorszenia kondycji finansowej portalu, a w kon-

sekwencji do doprowadzenia portalu do upadłości.

Mniejszościowi udziałowcy zdecydowali się na zwery-

fikowanie zawartości komputera przenośnego jedne-

go z managerów.

Komputer zawierający dane, które miały stanowić

materiał dowodowy w sprawie, zdeponowano u nota-

riusza. Zanim to jednak nastąpiło osoby te otwarły pliki,

w których znajdowały się strategiczne dla sprawy infor-

macje - materiały mające świadczyć o próbie doprowa-

dzenia portalu do upadłości. Niestety otwierając doku-

ment zmieniono jego atrybuty włącznie z datą utworze-

nia, pozbawiając dokument wartości dowodowej.

W przypadku zlecenia takich działań in-

formatykom śledczym, zabezpieczyliby oni

nośnik, wykonaliby kopię jego zawartości

bez uruchamiania plików oraz umożliwiliby

osobom prowadzącym dochodzenie wgląd

do zawartości plików. W ten sposób war-

tość dowodowa zgromadzonego materiału

zostałaby zachowana.

3. Informatycy śledczy dla FBI i

Prokuratora Generalnego USA

W Stanach Zjednoczonych pracownikowi

dużej korporacji została wytoczona sprawa

o umyślne spowodowanie utraty strategicz-

nych danych jego pracodawcy. Miało to do-

prowadzić do znacznych strat firmy, a w re-

zultacie do zwolnienia 100 jej pracowników.

W trakcie analizy dokonywanej przez

informatyków śledczych okazało się, że

pracując jeszcze w korporacji, pracownik

stworzył program komputerowy, który nisz-

czył dane. Program umieścił na serwerze

firmowym. Okazało się, że narzędzie dzia-

łało na zasadzie bomby zegarowej. "Bom-

bę" aktywował nieświadomie jeden z pra-

cowników, logując się po określonym cza-

sie na serwerze firmowym.

Specjaliści wykazali winę zwolnione-

go pracownika obalając główny argument

obrony, jakoby dane firmowe zostały ska-

sowane przypadkowo. Wykazali dodatko-

wo, że na prywatnym komputerze oskarżo-

nego znajdowały się dane identyczne z ty-

mi, które posłużyły do stworzenia groźnego

programu. Po analizie wszystkich danych

znajdujących się na serwerach poczto-

wych oraz koncie pocztowym podejrzane-

go pracownika informatycy śledczy przed-

Rysunek 3. Specjaliści odzyskiwania danych Kroll Ontrack podczas pracy w

laboratorium

7/2010

34

PRAKTYKA

Informatyka śledcza

www.hakin9.org

35

stawili materiał dowodowy w sądzie. Dopiero te działa-

nia umożliwiły udowodnienie winy pracownika.

4. Dysk Aleksandry Jakubowskiej i dyski

wykradzione z MSZ

Do końca lat dziewięćdziesiątych świadomość istnie-

nia informatyki śledczej była w Polsce niemalże ze-

rowa. Zmiany nastąpiły dopiero wtedy, gdy działania

związane z informatyką śledczą (ang. computer foren-

sics) stały się udziałem głośnych medialnie spraw, jak

np. afera Rywina czy wykradzenie dysków z Minister-

stwa Spraw Zagranicznych. Jednocześnie wydarzenia

te pokazały, jak istotna może okazać się praca specja-

listów informatyki śledczej.

W roku 2002 rozpoczęło się śledztwo związane

z tzw. aferą Rywina. Jednym z kluczowych dla śledz-

twa działań było odzyskanie wiadomości pocztowej ze

sformatowanego dysku Minister Aleksandry Jakubow-

skiej. Znajdowały się na nim dowody pozwalające pro-

kuraturze na ustalenie przebiegu wydarzeń w jednym

z wątków afery korupcyjnej.

Drugim wydarzeniem, które zwróciło uwagę opinii

publicznej na tematykę Computer Forensics było wy-

kradzenie dysków z Ministerstwa Spraw Zagranicz-

nych. Brak zabezpieczenia zużytych nośników i mo-

nitorowania dostępności do nich mógł, w najgorszym

wypadku, doprowadzić do pogorszenia stosunków

międzynarodowych między Polską a innymi krajami.

5. Nieuczciwi pracownicy

Coraz powszechniejszy staje się ostatnio problem nie-

uczciwych pracowników. Do najliczniejszych przypad-

ków, którymi zajmują się elektroniczni detektywi nale-

ży m.in. kradzież danych przez nieuczciwych pracow-

ników.

Przykładem takiej sytuacji jest jedna z firm informa-

tycznych, zajmująca się tworzeniem i wdrożeniami

aplikacji biznesowych. Zespół zatrudniony do obsługi

jednego z klientów firmy postanowił przejąć propono-

wane przez firmę rozwiązania (zespół przygotowywał

się do kradzieży kodu źródłowego informacji) i sprze-

dać je poza nią, po uprzednim zwolnieniu się poszcze-

gólnych osób z pracy. Ustalono nawet osobną pulę

pieniędzy, która miała być przeznaczona na ewentual-

ną karę nałożoną przez pracodawcę. Propozycję, któ-

ra miała być tańsza od oryginalnej, złożył jeden z han-

dlowców, będący w bezpośrednim kontakcie z klien-

tem. W wyniku tego klient postanowił zerwać umowę

z firmą i skorzystać z tańszej oferty złożonej przez nie-

uczciwych pracowników.

Zaniepokojony takim postępowaniem klienta zarząd

firmy postanowił przeanalizować zaistniałą sytuację

i w wyniku własnych ustaleń dotyczących handlowca

zdecydował się na dalsze kroki – zlecenie firmie zajmu-

jącej się informatyką śledczą analizy komputerów, urzą-

dzeń PDA oraz telefonów komórkowych należących do

zespołu. Podjęte przez specjalistów działania dały peł-

ny obraz nieuczciwych działań pracowników i pozwoli-

ły firmie na wyciągnięcie prawnych konsekwencji w sto-

sunku do zaangażowanych w to działanie osób.

6. Dostarczenie elektronicznych środków

dowodowych do trzech krajów jednocześnie

Eksperci największej firmy zajmującej się informaty-

ką śledczą na świecie otrzymali zlecenie tzw. akwizy-

cji danych polegającej na skopiowaniu informacji elek-

tronicznych w taki sposób, aby nie straciły one warto-

ści dowodowej (narzędzia wykorzystywane przez in-

formatyków śledczych pozwalają na zachowanie tzw.

sumy kontrolnej. Jej niezmieniona wartość gwarantuje

brak ingerencji w zawartość zabezpieczanych plików

elektronicznych). Identyczną operację przeprowadzili

w tym samym czasie specjaliści informatyki śledczej

z tej samej firmy w Niemczech i we Francji. Zlecenio-

dawcą był zarząd francuskiej firmy farmaceutycznej.

Powodem do zatrudnienia „elektronicznych detekty-

wów” było podejrzenie o malwersacje finansowe zarzą-

du polskiego oddziału firmy, którego członkowie otwo-

rzyli firmę pośredniczącą w zakupach dla koncernu

oferując towary po cenach nierynkowych i powodując

w ten sposób powstanie wymiernych strat dla firmy.

Operacja zebrania materiałów dowodowych prze-

prowadzana w każdym z trzech krajów tej samej no-

cy odbyła się w obecności prawnika, notariusza i służ-

by ochrony mienia. Informatycy śledczy skopiowa-

li dane z każdego komputera w firmie oraz z urządzeń

służących do archiwizacji danych firmowych. Każde

z miejsc pracy zostało sfotografowane.

Dane z Niemiec i Polski trafiły następnie do Francji.

Podobnie jak dane z siedziby głównej koncernu, zo-

stały poddane analizie. Wynikało z niej, że przypusz-

czenie działania na szkodę koncernu przez zarząd

polskiego oddziału firmy jest prawdziwe.

Po analizie wyników analizy zarząd francuskiego

koncernu zdecydował się na zmianę całego personelu

polskiego oddziału (zarządu i pracowników). Nie wia-

domo, czy członkom zarządu wytoczono procesy.

7. Kradzież i wykorzystanie danych przez

konkurencję

Udostępnianie danych osobom, które przeprowadzają

dla danej firmy określone projekty może niekiedy oka-

zać się niezwykle ryzykowne. Doświadczyło tego jed-

no z największych biur projektowych, które na potrzeby

realizacji jednego ze zleceń postanowiło podjąć współ-

pracę z inną firmą. Miała ona wesprzeć działania biura

i wraz z jego pracownikami utworzyć zespół zajmujący

się projektem przez następne czternaście miesięcy.

Powołany zespół pracował w siedzibie biura projek-

towego (zleceniodawcy). Dzięki temu pracownicy fir-

7/2010

36

PRAKTYKA

my wspomagającej biuro mieli potencjalną szansę na

bezprawny dostęp do wszelkich danych znajdujących

się na komputerach ich zleceniodawcy.

W trakcie realizacji projektu pracownicy biura przy-

padkowo odkryli, iż na rynku pojawiły się produkty ba-

zujące na rozwiązaniach technologicznych stworzo-

nych przez nich samych. W tej sytuacji, obawiając się

przecieku, przeprowadzono analizę komputerów pra-

cowników, serwerów danych oraz przesyłanych do-

kumentów. Pozwoliło to na ustalenie źródła przecie-

ku, którym okazał się zespół projektowy, a dokładnie

jeden z pracowników firmy zatrudnionej przez biuro.

Ustalono, że kilkakrotnie włamywał się on na serwe-

ry, gdzie przechowywane były dane pochodzące z in-

nych projektów, po czym przesyłał je na serwery swej

macierzystej firmy.

Odkrycie tych działań nie byłoby możliwe bez szcze-

gółowej analizy komputerów biura projektowego, do-

konanej przez specjalistów i poprawnego zabezpie-

czenia elektronicznych środków dowodowych, które

mogły być użyte w sądzie. Zarazem przypadek ten po-

kazuje, jak istotne jest zabezpieczenie danych firmy,

których wykorzystanie może być w przyszłości przy-

czyną jej poważnych problemów.

8. Komputer wyrzucony z okna

Dane z odzysku mogą być i bywają dowodami prze-

stępstw. Osoby, które łamią prawo pilnie strzegą infor-

macji mogących je pogrążyć.

Ponieważ wiele takich danych jest archiwizowanych

na komputerach (często przenośnych) jedną z metod

oskarżenia przestępcy jest zgromadzenie elektronicz-

nych dowodów łamania prawa, czyli danych zapisa-

nych w formie elektronicznej.

Przestępcy najczęściej korzystają z komputerów

przenośnych. Pozwala im to na ciągły nadzór nad

ważnymi danymi.

W razie potrzeby jest też łatwiej pozbyć się note-

book’a niż setek lub tysięcy kartek papieru. Tak przy-

najmniej sądził ścigany przez policję przestępca, księ-

gowy jednej z dużych grup przestępczych. Uciekając

po schodach budynku, dotarł na dach i zrzucił z niego

komputer przenośny z obciążającymi go danymi.

Ponieważ informacje te mogły być decydujące

w śledztwie do odzyskania danych zatrudniono fir-

mę specjalizującą się w informatyce śledczej. Cały

komputer po upadku był mocno zniszczony. Jednak

z uszkodzonego dysku udało się odzyskać ok. 7 proc.

danych. Taka ilość informacji wystarczyła do obciąże-

nia podejrzanego.

9. Elektroniczne dowody fałszerstw

Do firmy zajmującej się informatyką śledczą trafiło

zgłoszenie przesłane przez prokuraturę prowadzącą

śledztwo w sprawie fałszowania dokumentów.

Podczas przesłuchań trzy zatrzymane osoby posłu-

gujące się sfałszowanymi dokumentami przyznały się

do winy. Jednocześnie w czasie przesłuchań okaza-

ło się, że współpracował z nimi informatyk, który przy-

gotowywał w wersji elektronicznej kopie dokumentów

tożsamości, zaświadczeń o zatrudnieniu i pieczątek.

Po tym zeznaniu prokuratura wydała nakaz areszto-

wania podejrzanego o fałszerstwo oraz nakazała zare-

kwirowanie sprzętu komputerowego z użyciem które-

go dokonywano fałszerstw.

Na porę zatrzymania podejrzanego wybrano wie-

czór. W czasie interwencji funkcjonariuszy fałszerz

dokumentów próbował zniszczyć komputer uderzając

nim o ziemię. Jego działania odniosły skutek ponieważ

dysk twardy, który znajdował się w jego laptopie uległ

uszkodzeniu fizycznemu – jego elementy mechanicz-

ne zostały uszkodzone.

W takim przypadku jedynym możliwym sposobem

odzyskania danych jest otwarcie nośnika w labora-

toryjnych warunkach oraz wykorzystanie technolo-

gii umożliwiającej odtworzenie danych bezpośrednio

z otwartego nośnika.

W przypadku fałszerza informatycy śledczy odzyskali

74 pliki zawierające wzorce spreparowanych dokumen-

tów. Informacje te posłużyły jako materiał dowodowy

w prowadzonym przez prokuraturę dochodzeniu.

10. Była pracownica oskarżona o

przyczynienie się do upadku firmy

Pracownica jednej z katowickich firm założyła podczas

trwania stosunku pracy własną firmę. Bankrutujący

pracodawca obwinił ją o problemy swojej firmy, które

miały być spowodowane tym, iż pracownica w czasie

pracy wykonywała czynności związane z jej prywatną

firmą zaniedbując obowiązki służbowe.

Pracownica twierdziła, że wszystkie czynności zwią-

zane ze swoją firmą wykonywała po pracy. Jako do-

wód zleciła analizę operacji wykonywanych z użyciem

komputera „elektronicznym detektywom” – informaty-

kom śledczym, którzy przeanalizowali dane znajdujące

się w komputerze pracownicy. Okazało się, że kobieta

wykonywała wszystkie czynności związane z prowa-

dzeniem własnej firmy po godzinach pracy. Pracodaw-

ca odstąpił od skierowania sprawy do sądu.###

PIOTR DEMBIŃSKI

Imago PR
tel. (032) 608 29 85
gsm. 693 285 916
email: p.dembinski@imagopr.pl

PAWEŁ ODOR

Autor jest głównym specjalistą polskiego oddziału Kroll On-
track, największej �rmy z branży odzyskiwania danych i infor-
matyki śledczej na świecie.