08.09.06 Nr 210
   INFORMATYKA
SPECJALIŚCI OD INFORMATYKI ŚLEDCZEJ CZĘSTO MAJĄ DO CZYNIENIA Z SABOTAŻEM I KRADZIEŻĄ DANYCH PRZEZ ZWALNIANYCH ORAZ NIELOJALNYCH PRACOWNIKÓW
Sherlock Holmes w firmowych komputerach

Elektroniczne dane coraz częściej bywają dowodami w sprawach sądowych. Dowody takie zbierają zarówno organy ścigania, jak i firmy, które podejrzewają, że za pośrednictwem urządzeń cyfrowych ktoś z pracowników działa niezgodnie z prawem. W Sądzie Okręgowym w Warszawie elektroniczny dowód - najczęściej SMS, e-mail lub wydruk ze strony www - pojawia się raz na 30 spraw

Papierowe dokumenty odchodzą do historii. Tegoroczny sondaż w Wielkiej Brytanii pokazał, że tylko 5 proc. młodych ludzi w wieku od 15 do 24 lat porozumiewa się pisemnie. Cała reszta używa do tego celu SMS-ów i e-maili. W 47 proc. polskich firm pracuje się niemal wyłącznie na dokumentach elektronicznych. Według specjalistów ponad 80 proc. dokumentów używanych w przedsiębiorstwach ma postać elektroniczną i prawdopodobnie nigdy nie zostaną wydrukowane.

Trudno wyobrazić sobie działalność gospodarczą bez dostępu do Internetu i telefonu komórkowego. Coraz powszechniej i w różnych celach używa się przenośnych pamięci, które są tak pojemne, że można na nich zmieścić nawet 6 GB danych oraz płyt CD/DVD. Każdy pracownik mający skrzynkę poczty elektronicznej otrzymuje codziennie od 60 do 200 wiadomości.

Rośnie też przestępczość z udziałem technologii IT. Jak wynika z raportu Ernst & Young "Fraud - The Unmanaged Risk", w 2004 roku przestępstwa takie stanowiły 20 proc. ogółu.

Elektroniczne dane coraz częściej są dowodami w sprawach sądowych. 100 spośród 1000 firm z rankingu magazynu "Fortune" musiało korzystać z elektronicznych materiałów dowodowych. Coraz częściej robią to też mniejsze przedsiębiorstwa, również polskie.

Sieć teleinformatyczna w firmie może być nie tylko źródłem zagrożeń zewnętrznych. Mogą ją także wykorzystywać pracownicy sprzecznie z obowiązującym prawem. Jak pokazują badania przeprowadzone w ubiegłym roku przez PricewatherhouseCoopers, ponad połowa polskich przedsiębiorstw poniosła straty z powodu różnego typu nadużyć. Średnią wielkość szkód oceniono na 460 tys. dolarów. Około 60 proc. przedsiębiorstw nie jest w stanie odzyskać utraconych aktywów. To samo badanie wykazało, że ok. 30 proc. wszystkich przypadków defraudacji spowodowanych jest przez byłych i obecnych pracowników, czyli osoby mające łatwiejszy niż inni dostęp do systemów informatycznych w firmie.

100 tys. zł dla szpiega

O szpiegostwie gospodarczym realizowanym przy użyciu sieci IT w polskich firmach mało się mówi. Jednak nie znaczy to, że w ogóle taki problem nie istnieje. Bardzo wiele danych - z różnych zresztą pobudek - jest przekazywanych firmom konkurencyjnym przez nieuczciwych pracowników.

Zdaniem ekspertów problem ten dotyczy wszystkich przedsiębiorstw, niezależnie od branży i wielkości. Nielegalne pozyskanie danych jest w Polsce po prostu kwestią ceny. Jak podaje "Manager Magazine", stawka, jaka pada w rozmowach dotyczących ewentualnego szpiegowania na rzecz konkurencji, zaczyna się w Polsce od 100 tys. zł.

Rzecz jasna nie wszyscy potrafią się takiej pokusie oprzeć. Wykrycie szpiega konkurencji we własnej firmie rzadko jednak jest podawane do publicznej wiadomości. W wielu wypadkach na jego trop naprowadzają zastanawiające podobieństwa w produktach dwóch różnych firm wprowadzonych niemal jednocześnie na rynek. Problem ten dotyczy wszystkich, także firm małych i średnich.

Tropiciele twardych dysków

Odnalezienie i odpowiednie zabezpieczenie śladów przestępstwa na potrzeby śledztwa można zlecić firmie świadczącej usługi informatyki śledczej (computer forensics). W Polsce usługi takie oferują między innymi Ontrack (należąca do działającego globalnie KrollOntrack) oraz polska firma Media Recovery. Często usługi te świadczą też pojedynczy biegli sądowi oraz małe firmy odzyskiwania danych.

Ale tylko Ontrack i Media Recovery mają specjalistyczne laboratoria (oba w Katowicach). Analizy prowadzą także (głównie na potrzeby procesów karnych) np. Instytut Ekspertyz Sądowych w Krakowie czy Centralne Laboratorium Policji, gdzie funkcjonuje dział high-tech.

Według firm zajmujących się odzyskiwaniem danych najczęściej popełniane przestępstwa z użyciem komputerów to: kradzież danych, sabotaż (ujawnienie tajemnicy handlowej, celowe niszczenie danych, szpiegostwo przemysłowe), defraudacja środków finansowych, łamanie praw pracy i praw autorskich, kradzież i nielegalne wykorzystywanie danych osobowych, sprawy kryminalne (handel narkotykami, terroryzm, morderstwa, samobójstwa, zorganizowana przestępczość, pedofilia).

Aby zebrane dane miały moc dowodową, trzeba zadbać, żeby nie można było później zaprzeczyć rzetelności procesu zbierania informacji. Specjaliści wiedzą, jak to robić.

Niełatwo wymazać

Dane nie są tak łatwe do zniszczenia, jak się pozornie wydaje. Większość z nich udaje się odzyskać i wydobyć. Jak twierdzą eksperci z firm zajmujących się odzyskiwaniem danych, istnieją tylko trzy sposoby bezpowrotnego usunięcia danych z dysku twardego: zmiażdżenie go specjalną prasą, poddanie silnemu impulsowi elektromagnetycznemu lub usunięcie danych za pomocą specjalnego oprogramowania.

Jednak mało firm usuwa dane ze starych dysków w sposób profesjonalny. Jak wynika z badania przeprowadzonego przez PAN, tylko 3 proc. pierwotnych właścicieli usuwa dane za pomocą programu do ich zamazywania, 60 proc. wystarcza kasowanie danych, a 34,6 proc. formatuje dysk. Obie ostatnie metody są całkowicie nieskuteczne. W ten sposób usunięte dane można bez problemu odzyskać.

Ważne jest, że w sieci i na nośnikach danych można odnaleźć ślady przestępczej działalności i doprowadzić w ten sposób do ukarania winnych. Firma może dzięki temu dochodzić swoich praw w sądzie. W Polsce bardzo często specjaliści od informatyki śledczej mają do czynienia z kradzieżą danych przez zwalnianych i nielojalnych pracowników oraz z sabotażem.

Wśród właścicieli firm świadomość istnienia informatyki śledczej i jej możliwości jest nikła. Dlatego też większość zleceń pochodzi od organów ścigania (ok. 94 proc.). Proporcje te z czasem będą się zapewne zmieniać. Zlecenia komercyjne w większości przypadków dotyczą nieuczciwości pracowników (60 proc.) lub zarządów (12 proc.).

W USA wiele regulacji stanowych i federalnych nakłada na firmy obowiązek takiego dostosowania sieci komputerowej, by możliwe było przeszukiwanie ich pod kątem śladów przestępczości. Przedsiębiorstwa, które nie podporządkują się przepisom, mogą ponieść karę w wysokości nawet do 5 milionów dolarów albo do 20 lat więzienia dla przedstawicieli kierownictwa.

Oprogramowanie w walce z przestępcami

W pozyskiwaniu dowodów elektronicznych należy wyróżnić trzy etapy: pozyskiwanie danych, analizę i raportowanie. Najczęściej szuka się informacji na dyskach twardych, kluczach USB, dyskietkach i płytach CD/DVD. Prawie każde działanie na komputerze pozostawia po sobie ślady.

Do odzyskiwania danych w celu zgromadzenia materiałów dowodowych służą specjalne programy, np. EnCase (producent: Guidance Software), WinHex (producent: Software Technology AG). Z oprogramowaniem WinHex został zintegrowany inny produkt Software Technology, X-Ways Forensics, służący do zbierania i ewidencjonowania elektronicznych dowodów przestępstw.

Istnieją też programy bezpłatne Open Source: Knoppix-STD i Penguin Sleuth Kit. Jednak, jak twierdzą specjaliści zajmujący się odzyskiwaniem danych, ich możliwości nie są tak duże. Programów kryminalistycznych nie da się oszukać, nawet jeśli podejrzany zniszczy dysk lub użyje innego specjalistycznego oprogramowania (programy typu scrubber do wymazywania danych), które całkowicie wyczyści dysk z danych.

Typowym programem do pozyskiwania dowodów jest Encase. Program ten czyta różne typy plików: windosowe, linuksowe, uniksowe, pliki Macintosha i systemów operacyjnych dla PDA. Wszystkie analizy można wykonywać z poziomu Windows. EnCase tworzy na swoje potrzeby dokładne kopie pliku. Oryginalne pliki są w zabezpieczonym sejfie z dowodami przestępstw.

Istnieją także urządzenia sprzętowe pozwalające na przeniesienie zawartości dysku twardego na komputer, na którym będzie się poszukiwać śladów przestępstwa. Takim urządzeniem jest np. FastBlock firmy Guidance Software. Dodatkowo urządzenie zapobiega zapisywaniu informacji na dysku, co jest bardzo istotne, ponieważ w czasie uruchamiania typowego systemu Windows zmienia się od 400 do 1000 plików. Stąd też biorą się zalecenia, by wyłączać komputer w określony sposób, jeśli ma on być badany pod kątem poszukiwania cyfrowych dowodów.

BARBARA MEJSSNER

Zasady zabezpieczenia dowodów
  • > Dowód może być zapisany na nośniku innego urządzenia lub urządzeniu przenośnym, a nie na tym, na którym - jak się przypuszcza - popełniono przestępstwo.
  • > Dowód powinien być zachowany w takim stanie, w jakim był w chwili zabezpieczenia.
  • > Badania powinny być prowadzone na wiernej kopii tak, aby nie naruszyć oryginału.
  • > Kopie powinny być tworzone na sterylnych nośnikach (bez innych danych i błędów) na zasadach kopii binarnych.
  • > Dowody powinny być prawidłowo oznakowane i opisane, a łańcuch dowodowy powinien być szczegółowo udokumentowany (dziury w łańcuchu mogą być podstawą podważenia wartości dowodowej, na przykład jeśli nośnik zostanie przekazany do analizy pocztą).

Źródło: Media Recovery


Zdaniem fachowców : Jak przekazać komputer nowemu pracownikowi
Monika Ścianek, Ontrack Odzyskiwanie Danych

Ontrack koncentruje się głównie na dostarczaniu elektronicznych środków dowodowych w sprawach związanych z nadużyciami i przestępstwami popełnianymi na dużą skalę. Czasami wykorzystanie danych przez nielojalnych pracowników lub nieuczciwych kontrahentów może stać się przyczyną strat sięgających milionów złotych. Pracujemy przy sprawach dotyczących defraudacji, kradzieży lub celowego niszczenia danych, szpiegostwa przemysłowego i ujawniania tajemnicy handlowej, kradzieży i niezgodnego z prawem wykorzystywania danych osobowych.

Znaczna liczba przestępstw popełnianych z użyciem komputera dotyczy rozpowszechniania w Internecie niedozwolonych treści erotycznych, w tym pedofilii. Jeśli informacje elektroniczne mają mieć wartość dowodową, trzeba powstrzymać się od jakiekolwiek ingerencji w nie. Wystarczy np. włączyć komputer, który został zabezpieczony, i już po wszystkim. Ta prosta operacja zmienia wiele informacji na dysku. A to powoduje, że oskarżony może zarzucić celową modyfikację elektronicznych środków dowodowych, które go obciążają. Koszt naszych usług rozpoczyna się od 3,5 tys. zł i rośnie w zależności od stopnia komplikacji i złożoności sprawy. Duże firmy zazwyczaj mają działy bezpieczeństwa teleinformatycznego, które mogłyby się podjąć takiej analizy. Jeśli jest ona wykonywana na potrzeby wewnętrzne, zazwyczaj nie trzeba angażować osób z zewnątrz. Jeśli jednak jej wyniki mają posłużyć jako dowód dla sądu, lepiej skorzystać z pomocy specjalistów zewnętrznych, ponieważ są obiektywni, a przez to bardziej wiarygodni dla sądu.

W ocenie wiarygodności każdego dowodu bardzo istotny jest tzw. chain of custody, czyli dokument śledzący drogę, jaką przebywa dany dowód. Jeżeli nie jesteśmy w stanie udokumentować przed sądem, co i kiedy dokładnie działo się z dowodem, stronie przeciwnej będzie bardzo łatwo go zakwestionować (sugerując na przykład, że ktoś mógł zmodyfikować dane na niekorzyść oskarżonego).

Jeśli podejrzewamy naszego pracownika o działanie na rzecz konkurencji, najlepiej wykonać kopię jego dysku w obecności pracownika i świadków. Kopia taka powinna zawierać tzw. sumę kontrolną, która jednoznacznie będzie identyfikować dane znajdujące się na dysku. Jakakolwiek ingerencja w dane spowoduje zmianę sumy kontrolnej w sposób niemożliwy do przewidzenia.

Wobec pracowników, którzy odchodzą z firmy, bardzo pomocna może być właściwa polityka bezpieczeństwa. Często sprzęt komputerowy po odejściu pracownika jest wykorzystywany przez jego następcę. Dobrą praktyką w takiej sytuacji jest wykonanie sumy kontrolnej w obecności pracownika opuszczającego firmę, a nowemu pracownikowi przekazuje się nieużywany nośnik (najczęściej dysk twardy). Jeżeli nie wiemy, jak wykonać sumę kontrolną nośnika, warto sięgnąć po poradę u specjalistów.

Zdaniem fachowców: Jak szuka się śladów przestępstwa
Piotr Dzik, dyrektor marketingu w Media Recovery

Jeśli chodzi o pozyskiwanie elektronicznych dowodów, to obecnie mamy do czynienia z kilkudziesięcioma sprawami rocznie. Ale nie wszystkie dowody nadające się do przedstawienia w sądzie są wykorzystywane w rozprawach. Często bowiem takie sprawy załatwia się dyskretnie w postępowaniu wewnętrznym. W prawie polskim dowód elektroniczny jest traktowany tak samo jak rzeczowy (rozdział 25 kodeksu postępowania karnego). Dowody elektroniczne różnią się od zwykłych tym, że muszą być pozyskane, przechowywane i badane w specjalny sposób, który nie narusza ich integralności. Polska nie różni się pod tym względem od reszty świata. W sposób nielegalny pozyskiwane są bazy danych, własność intelektualna, informacje przetargowe. Poza tym ślady w komputerach pozostawiają także przestępstwa tradycyjne, takie jak choćby defraudacje.

Pierwszym etapem śledztwa jest określenie, gdzie (na których maszynach w sieci) mogą się znaleźć ślady przestępstwa. Po namierzeniu nie wolno włączać takiej maszyny. W innych sytuacjach procedury zależą od okoliczności. Im wcześniej wkroczy fachowiec przygotowany do odzyskania danych, tym lepiej. Dowody podlegają procedurze autentyfikacji (zabezpiecza się je elektroniczną pieczęcią, czyli sumą kontrolną). Następnie wykonuje się binarną kopię danych za pośrednictwem blokera (jest to sprzęt lub program, który pozwala tak kopiować dane, że na nośniku oryginalnym nic się nie zmienia). Oryginał zabezpiecza się, a wszelkie analizy wykonuje na kopii. Wiarygodność danych zapewnia: procedura pozyskania i autentyfikacji, użycie odpowiedniego sprzętu i oprogramowania śledczego oraz przede wszystkim praca fachowców, inżynierów informatyki śledczej.

Koszt pozyskiwania i zabezpieczania danych, które będą wykorzystywane jako dowody w śledztwie, jest bardzo różny, zależy od skali sprawy. W prostych koszty mogą wynieść 1,5 tys. zł, w bardzo trudnych są znacznie wyższe. Dane zawsze pozyskuje się w miejscu zamontowania maszyny (siedzibie klienta). Warto jednak wiedzieć, że niezbędna jest specjalna procedura potwierdzająca, że zabezpieczono ten właśnie, a nie inny komputer (tzw. chain of custody). Nigdy nie działamy sami, zawsze jest obecny przedstawiciel klienta. A najlepiej, jeśli w pozyskaniu danych uczestniczy strona trzecia (np. niezależny prawnik). Analizy powinny być prowadzone w specjalistycznym laboratorium (zewnętrznym lub, jeśli wielka firma takie ma - wewnętrznym). Amatorskie próby mogą się skończyć naruszeniem integralności oryginalnych danych, co może pozbawić je wartości dowodowej. Firma może sama dokonać analizy danych za pomocą specjalistycznego oprogramowania, choć jest to bardzo trudne. Trzeba mieć odpowiednie oprogramowanie, sprzęt, wyszkolonych inżynierów bezpieczeństwa IT, przestrzegać procedur pozyskania i zabezpieczenia takich dowodów. Mogą sobie na to pozwolić największe firmy.

Służy do kontroli

Suma kontrolna (ang. checksum) to liczba uzyskana w wyniku dodawania lub wykonania innych operacji matematycznych na danych, przesłana razem z danymi i służąca do sprawdzania poprawności przetwarzanych danych. Komputer wysyłający dane liczy sumę kontrolną i dołącza ją do pakietu danych. Komputer odbierający dane liczy również sumę kontrolną i sprawdza, czy zgadza się ona z sumą odebraną z pakietem. Jeśli nie, to znaczy, że dane uległy przekłamaniu.


Co to jest

Informatyka śledcza (computer forensics) polega na dostarczaniu elektronicznych środków dowodowych popełnionych przestępstw i nadużyć; są to dane w wersji elektronicznej, które zgodnie z naszym prawodawstwem są równoważne z dowodami w formie materialnej. Proces obejmuje zebranie, odzyskanie, analizę oraz prezentację danych elektronicznych w formie specjalistycznego raportu. Analizowane są dane znajdujące się na wszystkich rodzajach nośników (dyski twarde komputerów, dyskietki, płyty CD, pamięci przenośne, serwery firmowe itp). Efektem działań specjalistów są dane elektroniczne przygotowane w taki sposób, by zostały spełnione kryteria dowodowe zgodnie z obowiązującymi regulacjami prawnymi. Źródło: Wikipedia


Metody wyłączenia komputera

Jeśli komputer, na którym mogą się znajdować istotne informacje, działa, należy go wyłączyć w taki sposób, aby nie spowodować zmiany w danych znajdujących się aktualnie w jego pamięci oraz na twardym dysku. Do tak zabezpieczonego komputera można już wezwać specjalistę od informatyki śledczej.

  • System operacyjny DOS - wyłączyć z sieci
  • Windows 3.1 - wyłączyć z sieci
  • Windows 95 - zamknąć system, wyłączyć z sieci
  • Windows 98 - zamknąć system, wyłączyć z sieci
  • Windows NT - zamknąć system, wyłączyć z sieci
  • Windows NT Server - zamknąć system, wyłączyć z sieci
  • Windows 2000 - zamknąć system, wyłączyć z sieci
  • Windows 2000 Server - zamknąć system, wyłączyć z sieci
  • Windows XP - zamknąć system, wyłączyć z sieci
  • Windows 2003 - zamknąć system, wyłączyć z sieci
  • Linux - zamknąć system, wyłączyć z sieci
  • Unix - zamknąć system, wyłączyć z sieci
  • Macintosh OS 9 i starszy - wyłączyć z sieci
  • Macintosh OS X - zamknąć system, wyłączyć z sieci


Przestępstwa komputerowe: liczba odnotowanych w 2005 roku

Oszustwo komputerowe :568

Kodeks karny art. 287 § 1 - 2

Uzyskanie informacji: 260

Kodeks karny art. 267 § 103

Zniszczenie lub zmiana istotnej informacji: 98

Kodeks karny art. 268 § 1 - 3 i 168a

Zniszczenie lub zmiana informacji: 3

Kodeks karny art. 269 § 1 - 2

Sabotaż komputerowy: 1

Kodeks karny art. 269a Według Komendy Głównej Policji przestępstwa te stanowią zaledwie 9 proc. spraw, przy których mogły mieć zastosowanie elektroniczne środki dowodowe. Źródło: Ontrack


Rodzaje przestępstw komputerowych
Przestępstwa komputerowe są ujęte w kilku rozdziałach obowiązującego od 1998 roku kodeksu karnego:
  • - hacking (art. 267 § 1 k.k.)
  • - podsłuch (art. 267 § 2 k.k.)
  • - ujawnienie informacji (art. 266 k.k.)
  • - naruszenie integralności zapisu informacji (art. 268 k.k.)
  • - rozpowszechnianie złośliwych programów (art. 268 § 2 lub 269 k.k.)
  • - sabotaż komputerowy (art. 269 § 1 i §2 k.k.)
Przestępstwa przeciwko mieniu:
  • - kradzież programu (art. 278 § 2 k.k.)
  • - kradzież kart zabezpieczających (art. 278 § 5 k.k.)
  • - oszustwo telekomunikacyjne (art. 285 k.k.)
  • - oszustwo komputerowe (art. 287 k.k.)
  • - paserstwo programów (art. 291 i 292 k.k.)
Przestępstwa przeciw Rzeczypospolitej Polskiej:
  • - szpiegostwo komputerowe (art. 130 § 3 k.k.)
  • - szpiegostwo komputerowe na szkodę państwa sojuszniczego (art. 138 § 2 k.k.) oraz
  • - inne, np. w związku z rozszerzeniem definicji dokumentu na "zapis na komputerowym nośniku informacji", pedofilia, pornografia.

Źródło: Media Recovery


Z jakich nośników najczęściej zbiera się dowody
  • > dyski twarde - 61,5 proc.
  • > serwery - 20 proc.
  • > płyty CD - 8,5 proc.
  • > PDA - 3 proc.
  • > telefony - 2,5 proc.
  • > pamięci flash - 2,5 proc.
  • > dyskietki - 2 proc.

Źródło: Ontrack





Drukuj artykuł Drukuj artykuł Wyślij artykuł Wyślij artykuł

 

| Bez polskich znaków |
| Rzeczpospolita | Archiwum | Serwis Ekonomiczny | Serwis Prawny | Cennik | Regulamin | Serwis WAP | Prenumerata
| Reklama | English/Deutsch | O nas | Praca i staże | Zgłaszanie uwag | Kontakt |
© Copyright by Presspublica Sp. z o.o.