in.

Anton SMOLISKI
Katedra Inynierii Oprogramowania, Wydzia Informatyki, Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Email: ansmolinski@wi.zut.edu.pl

Informatyka ledcza i Kryminalistyka Sdowa analiza porwnawcza metod wspierajcych bezpieczestwo

1 Wstp
W piramidzie potrzeb czowieka opracowanej przez Abrahama Maslowa potrzeba bezpieczestwa umieszczona jest tu nad potrzebami fizjologicznymi czowieka. Wskazuje to jak wane jest poczucie bezpieczestwa, wygoda, spokj, wolno od strachu. Jednak w miar rozwoju technologii, zmian ustrojw oraz degradacji wartoci spoecznych coraz czciej potrzeba ta bywa naruszana. Jednak technologie, pomimo e wykorzystywane bywaj w niecnych czynach w znaczcym stopniu potrafi zaspokoi ow potrzeb. Dziki wszechobecnej technologii i komputerom moliwe s dziaania profilaktyczne. Niestety powszechny monitoring oraz ciga analiza obrazw, dwikw, transmisji i innych bodcw uwaana jest, jako ograniczenie swobd, a nie jako rodek sucy poprawie bezpieczestwa. Jednak kwestia czy rodki tego typu su bardziej ochronie, czy jednak ograniczaj swobody obywateli jest dysput bardziej filozoficzn i odpowied w znacznym stopniu zaley od otoczenia, w ktrym badamy dan spraw. W niniejszym artykule skupimy si nie na rodkach zapobiegawczych wystpieniu naruszenia bezpieczestwa, lecz nowoczesnym technologiom pozwalajcym zagodzi skutki narusze, wykry sprawcw, a co za tym idzie wzmocni wiadomo spoeczn, e adna zbrodnia nie zdoa unikn kary.

2 Pojcia Informatyki ledczej i Kryminalistyki

Nie ma zbrodni doskonaych. Wprawdzie ledztwa take bywaj niedoskonae, ale na szczcie kady z nas pozostawia lady. Trzeba tylko znale je, rozpozna i odpowiednio zinterpretowa. A to ju caa sztuka...1 Liczca tysice lat ludzka tradycja wzajemnego umiercania si, daa specjalistom mnstwo okazji, by nauczyli si rozrnia uszkodzenia ciaa i na tej podstawie identyfikowa narzdzie zbrodni. Historia cyberprzestpstw nie jest tak rozbudowana i duga, jednake korzystajc z osigni konwencjonalnych metod badawczych dzisiejsi specjalici od zabezpiecze nie musz czeka tysicy lat by opracowa metody suce do identyfikacji sprawcw cyberprzestpstw.

Czwartki z Paragrafem spotkania kryminalistyki organizowane przez Polskie Stowarzyszenie Edukacji Prawnej (PSEP)

Kryminalistyka jest to nauka o taktycznych zasadach i sposobach oraz o technicznych metodach i rodkach rozpoznawania, a take wykrywania prawnie okrelonych, ujemnych zjawisk spoecznych, a w szczeglnoci przestpstw i ich sprawcw oraz udowadniania istnienia lub braku zwizku midzy osobami a zdarzeniami. Czyli w prostych sowach nauka o identyfikacji osb. Wrd specjalistw z tej dziedziny panuje take powiedzenie, i jest to sztuka znajdowania takich dowodw, ktrych obali nie umie adwokat podejrzanego2. Natomiast Informatyka ledcza mona powiedzie jest jedn z gazi kryminalistyki, jednak obszarem dziaa tej dziedziny jest wiat cyfrowy. W obydwu przypadkach jest to nauka, ktra pozwala odpowiedzie na pytania: Kto? Co? Kiedy? W jaki sposb? dokona przestpstwa lub naduycia. Esencj pracy jest dojcie do prawdy, a metody ktre do niej prowadz, cho na pozr wydaj si rne, w rzeczywistoci mona przeprowadzi pomidzy nimi prost analogi. Rozwj obydwu dziedzin nauki poprawia bezpieczestwo w spoeczestwie, pomimo i bezporednio nie przeciwdziaa popenianiu przestpstw. Pozwala jednak na wykrycie i ukaranie ich sprawcw. Jednak z racji cigej dynamiki i rozwoju wiata, technologii, wiedzy oraz wiadomoci spoecznej dziedziny te stale musz si rozwija i mog zdarzy si sytuacje, w ktrych wykrycie sprawcw nie jest moliwe. Gdzie mona znale sabe strony obecnie stosowanych metod? Czy w opracowywaniu narzdzi oraz postpowania z przestpstwami komputerowymi udao si zwikszy wskaniki rozwizanych spraw, czy moe przeciwnie, stosowane przy cyberprzestpstwach metody s cigle niedoskonae i w atwy sposb mona popeni przestpstwo?

3 Etapy pracy przy rekonstrukcji zdarze

Niezalenie, czy wykonywana jest analiza powamaniowa, czy biegli sdowi rozpoczynaj prac na miejscu zbrodni przed obydwoma grupami ekspertw klaruj si te same zadania: Identyfikacja Zbieranie danych Analiza zebranych danych Przedstawienie wynikw Etap identyfikacji polega na znalezieniu odpowiedzi na kilka pyta zanim eksperci przystpi do szukania pobierania pozostawionych przez przestpc ladw. W przypadku medycyny sdowej eksperci oceniaj pobienie scen przestpstwa spisujc oczywiste fakty, takie jak miejsce znalezienia ladw, czas- kiedy zostao dokonane przestpstwo, jakiego rodzaju przestpstwo miao miejsce i jakich narzdzi oraz metod naley uy do dalszej pracy. Na tym etapie wane jest take zabezpieczenie badanego miejsca zbrodni oraz utrwalenie jego stanu np. w formie zdj. W przypadku informatyki ledczej, miejsce zbrodni jest abstrakcyjne. Zbrodnia dotyczy danych znajdujcych si w jakim urzdzeniu. Dlatego zanim ekspert nie sprawdzi zawartoci urzdzenia, nie jest w stanie odpowiedzie na pytania co si wydarzyo i jakich narzdzi bdzie potrzebowa. Etap ten w gwnej mierze sprowadza si wic do zabezpieczenia dowodw. Zgodnie z polskim prawem, aby mc wykorzysta informacje elektroniczn jako dowd, informacja ta nie moe w aden sposb zosta zmodyfikowana 3. W tym celu dowody te s markowane
2 3

prof. Tadeusz Tomaszewski, Dziekan Wydziau Prawa i Administracji Uniwersytetu Warszawskiego Kodeks sarny art. 115

sprztowo lub programowo w trybie tylko do odczytu, i zerwanie takiego markera grozi zakwestionowaniem dowodu w postpowaniu karnym. Jednak caa praca zwizana z analiz powamaniow musi odbywa si na danym urzdzeniu, ktre zwizane jest z popenion zbrodni. W tym przypadku, by nie uszkodzi autentycznoci dowodu wykonywane s dokadne kopie danych (dyskw twardych, zrzutw pamici, stanu technicznego maszyny), na ktrych bdzie prowadzony proces analizy. Tworzenie tych kopii musi odby si w sposb, ktry nie nadpisze adnych danych na danym urzdzeniu, np. poprzez wykorzystanie systemu z przenonego dysku wykorzystywanego przez ekspertw ds. zabezpiecze. Zbieranie danych jak sama nazwa wskazuje polega na szukaniu wszystkich ladw (biologicznych bd elektronicznych) majcych zwizek z dokonanym naruszeniem. lady biologiczne, s ladami, ktre pochodz od ywych organizmw i w praktyce kryminalistycznej dzieli si je na trzy grupy: Tkanki (np. krew, wosy, naskrek, fragmenty rolin) Wydzieliny Wydaliny Poniewa bardzo atwo uszkodzi takie lady metody pobierania s rne w zalenoci od rodzaju oraz miejsca znalezienia ladu. Niekiedy gdy pobrania prbki ladu nie jest moliwe wycina si kawaek podoa, na ktrym j znaleziono. Kluczowe jest take przechowywanie oraz transport ladw, gdy zarwno temperatura, nasonecznienie czy drgania podczas transportu mog znaczco uszkodzi prbk. Badania nad ladami czsto s bardzo kosztowne, a ich wynik zaley gwnie od jakoci pobranego ladu. Informatycy prbujc dociec do tego, w jaki sposb i kto dokona zbrodni elektronicznej maj cikie zadanie dotarcia do danych, ktre przestpca usun, bd zmodyfikowa. Zabezpieczenia techniczne, a szczeglnie informatyczne nie stanowi tajemnicy dla wikszoci hakerw, czyli przestpcw, ktrych obszarem dziaania s systemy elektroniczne. Kada czynno wykonywana w systemie komputerowym pozostawia swj lad, jednake lady elektroniczne, jak take lady biologiczne mona za sob zatrze. Od specjalistw wymagana jest wiedza, w jaki sposb odkry czy lad istnia i go przywrci. W przypadku medycyny sdowej odzyskanie uszkodzonej prbki moe nie by moliwe, jednake dane cyfrowe mog by odtworzone. Uzyskane dane naley przetworzy. W wielu przypadkach ich ilo jest znaczca, ale tylko niektre ze znalezionych ladw odnosz si bezporednio do badanego zdarzenia. Aby wyselekcjonowa oraz wykorzysta otrzymane w wyniku skrupulatnego ledztwa dane naley przeprowadzi ich analiz. Prbka krwi, wosy czy odciski palca s nieprzydatne, jeli nie wprowadzi si ich do bazy danych zawierajcej prbki uzyskane w innych dochodzeniach i jeeli nie porwna si ich z prbkami uzyskanymi od podejrzanych. Nad prbkami pobranymi na miejscu zbrodni naley wykona wiele eksperymentw i analiz by okreli czy pobrane materiay maj miejsce ze zdarzeniem (np. czy lady liny czy krwi pochodz od czowieka). Grupa krwi oraz linie papilarne nie zmieniaj si przez cae ycie czowieka. Jednak w przypadku, gdy krew wydostanie si poza organizm to podoe, na ktrym powstaj plamy moe niszczy owy lad, zmieni jego wygld, bd wpyn na jego cechy gatunkowe czy grupowe. Zdarza si, e wynaczyniona krew zmienia swoj barw od jasnoczerwonej poprzez brunatn do zielonej, wsika w podoe, bd jej lady trudno odrni od zanieczyszcze w pobliu. Aby ujawni takie lady wykorzystuje si metody specyficzne i niespecyficzne. Do metody specyficznych nale prby mikrospektroposkopowe (wykrywajce hemoglobin w obrazie widma wiata widzianego), oraz testy

immunochromatograficzne (bazujce na reakcji barwnej). Do niespecyficznych metod wykrywania krwi mona sklasyfikowa: Luminol w jego obecnoci hemoglobina wykazuj luminescencj Testy kontaktowe kontakt gotowych papierkw testowych z badan plam informujc swoim zabarwieniem o jej zawartoci Ziele malachitowa wykorzystujc waciwoci peroksydaz, w obecnoci krwi zabarwia si na kolor niebieskozielony Test Kastle-Meyera fenoloftaleina poczona z H2O2 daje kolor czerwony Test Benzydynowy wycofany z powodu rakotwrczych waciwoci Test z wod utlenion Woda utleniona w kontakcie z krwi, mlekiem, lin, sokami rolinnymi i tlenkami metali zaczyna si pieni i na plamie powstaje biaa piana. W przypadku pozyskiwania ladw cyfrowych istniej gotowe, rozbudowane narzdzia, ktre analizuj, po czym zwracaj dokadne informacje o stanie badanej maszyny. Przykadem moe by np. narzdzie SleuthKit wraz z graficznym interfejsem Autopsy. Program ten przeszukuje dyski w poszukiwaniu skasowanych plikw oraz midzy innymi odszukuje dane w ukrytych obszarach ADS 4 wystpujcych w systemie plikw NTFS. Kady atakujcy stara zatrze lady swojej ingerencji, co ma uchroni przed konsekwencjami tego czynu i utrudni znalezienie sprawcy. Jednake nie kady haker usuwa takie lady w sposb, w ktry nie mona ich potem znale lub odtworzy. Najczciej aby zatrze swoje lady cyberprzestpcy stosuj rootkity, zmieniaj sumy kontrolne modyfikowanych plikw, kasuj logi systemowe, bd korzystaj z kont innych uytkownikw, do ktrych uzyskali wczeniej dostp (np. za pomoc przechwycenia loginu i hasa uytkownika). Zebranie wszystkich danych a nawet selekcja danych zwizanych z danym naruszeniem dla osoby bez specjalistycznej wiedzy bdzie niezrozumiaym zbiorem znakw. Otrzymane w wynikach badania krwi wykresy i wizualizacje nie bd miay znaczenia dla osb nieznajcych owego zagadnienia. Tak samo, jeli rzecz tyczy si logw systemowych oraz raportw z poszczeglnych programw do analizy powamaniowej. Dlatego wanym elementem pracy zespou specjalistw jest opracowanie wynikw pracy w taki sposb, by stanowiy one zrozumiay dowd dla sdziw, prokuratorw bd osb zlecajcych przeprowadzenie takiego dochodzenia. Dopiero kocowy raport moe by zaczony jako dowd naruszenia bezpieczestwa.

4 Przestpczo elektroniczna
wiadomo spoeczestwa na temat przestpstw konwencjonalnych nie budzi zastrzee. Nawet najmodszy obywatel wie, e morderstwa, kradziee, napady i wamania s powanymi naruszeniami prawa, s przez prawo karane i zagraaj naszemu bezpieczestwu. Niestety jeli chodzi o cyberprzestpstwa czsto dochodzi do powanych nieporozumie, co jest przestpstwem, a co dozwolonym dziaaniem. Czsto nie dostrzega si take zagroe, ktre si z takimi dziaaniami wi i jak powane mog by ich konsekwencje. Zgodnie z raportem CERT Polska za rok 20115 najczciej popenianymi przestpstwami byo oszustwa internetowe (50,74%), co stanowi do roku ubiegego wzrost wystpowanie tego incydentu a o 1/3. W skad tych oszustw wchodz
4 5

ang. Alternate Data Streams http://www.cert.pl/PDF/Raport_CERT_Polska_2011.pdf

zgoszenia dotyczce kradziey tosamoci, podszycia si oraz Phishing. Kolejnym zagroeniem, stanowicym 25.12% wszystkich incydentw byy obraliwe oraz nielegalne treci (m.in. spam). Na uwag zasuguj take nowe wirusy oraz trojany. Jednym z nich by trojan Morto, ktry pojawi si w sierpniu 2011roku. Jego zadaniem byo atakowanie portu RDP (pulpitu zdalnego) i poprzez zgadywanie loginu i hasa uytkownika przejmowania kontroli nad atakowanym systemem. Najpopularniejszymi metodami atakw s: zgadywanie hase, maskarada (spoofing) podszywanie si pod inn maszyn, podsuch (sniffing) monitorowanie ruchu w sieci, szukanie i wykorzystywanie luk w systemach i bezpieczestwie, blokowanie serwisw nadmierne obcianie serwerw ogromn liczn pakietw, ktre nie s w stanie obsuy, socjotechnika. Ataki te mona zaklasyfikowa do 2 grup: techniczne, czyli wykorzystujce wiedz informatyczn, oraz socjotechniczne czyli manipulacj pracownikami atakowanej firmy bd uytkownikami systemu.

5 Podsumowanie
Zbrodnia doskonaa nie jest moliwa. Takie pojcie utaro si w wiadomoci ludzi i dziki temu do przestpstw uciekaj si tylko nieliczne osoby margines spoeczestwa, lub osoby niemajce nic do stracenia. Takie przekonanie powodowane wynikami pracy specjalistw z dziedziny kryminologii wspiera poczucie bezpieczestwa. Jednak istniej przypadki, w ktrych konwencjonalna kryminalistyka zawodzi, gdy sprawdza nie pozostawi adnych ladw. Taka sytuacja miaa miejsce np. w 1962 roku w odzi6, gdzie przy zwokach nie znaleziono adnych ladw sprawcy. Z drugiej strony powszechne jest przekonanie, e w internecie mona zatrze swoje lady. Jednak ostatni przykad zatrzymania znanego hakera na podstawie tagw geolokalizacyjnych na pewnym zdjciu7 ukazuje, e jest to twierdzenie mylne.

Literatura
1. 2. Grzegorz Boski, Helix analiza powamaniowa, Hakin9, nr 2/2008 Mirosaw Parafiniuk, Wykorzystanie bada DNA do identyfikacji ladw biologicznych i badania pokrewiestw (kryminalistyka), Pomorski Uniwersystet Medyczny, 2011/2012 3. Micha Henzler, Nie ma zbrodni doskonaej, czyli wszyscy zostawiamy lady, PAP nauka w Polsce, 2005

6 7

http://lodz.gazeta.pl/lodz/1,35136,7604989,Dziewczyna_z_kwiatem.html http://niebezpiecznik.pl/post/hacked-by-cycki/

Streszczenie
Niniejszy artyku prbuje porwna metody stosowane przez kryminalistw na miejscu zbrodni z technikami uywanymi przez specjalistw od analizy powamaniowej (cyberprzestpstwa). Omwione zostay gwne etapy pracy obu grup, ktre staraj si znale odpowiedzi na te same pytania, jednak korzystajc z rnych rodkw i pracujc w rnych rodowiskach. Praca tych wysoce wykwalifikowanych ekspertw pozwala na wzrost poczucia bezpieczestwa wrd spoeczestwa, gdy dziki nim staje si prawdziwe stwierdzenie, e zbrodnia doskonaa nie jest moliwa.

Computer Forensics and Forensic Science comparative analysis of security method

Summary
Present article attempt compare methods used by forensic in crime scene with techniques used by analysis specialist after computer crime. Disertation describe main steps of forensic process. Computer and Medical experts try to find way to solve the same questions but they use different resources and they work in different areas. Recovered and analysed evidences may be use in court. People are feeling safety, because qualified experts proof, to them statment "the perfect crime" does not exist.