Komputerowi agenci specjalni

O pracy informatyka śledczego opowiada Zbigniew Engiel z firmy Mediarecovery.

Przemek Muszyński: Informatyka śledcza... To określenie kojarzy się najbardziej ze służbami śledczymi. Czy słusznie?

Zbigniew Engiel: - Z możliwości, jakie oferuje informatyka śledcza, korzystają szeroko rozumiane organa ścigania, ale również przedsiębiorcy. Pracujemy zarówno na zlecenie prokuratorów prowadzących dochodzenia, w których pojawia się konieczność zabezpieczenia i analizy danych w postaci cyfrowej, jak i na zlecenie szefów firm podejrzewających "wyciek" informacji, nieetyczne zachowania pracowników, nadużycia czy defraudacje.

- W dzisiejszym świecie ponad 90 proc. informacji przekazywana jest drogą elektroniczną, dlatego przy prowadzeniu śledztwa czy wewnątrzfirmowego postępowania lub kontroli bierze się pod uwagę informacje w postaci cyfrowej. Jeszcze 5 lat temu przytłaczającą ilość zleceń otrzymywaliśmy ze strony organów ścigania, dziś proporcje te zaczynają się wyrównywać, choć zlecenia służb nadal stanowią większość. Od 2005 roku zrealizowaliśmy ponad 3500 ekspertyz.

Mimo to jest to dość tajemnicza gałąź informatyki. Na czym ona polega?

- Informatyka śledcza to - w dużym uproszczeniu - poszukiwanie, analiza i prezentacja danych w formie cyfrowej. Różni się jednak od zwyczajnego przeglądania danych, ponieważ wszystkie czynności muszą odbywać się na zasadzie "widzę wszystko, nie zmieniam nic". Informacje elektroniczne są bardzo podatne na manipulacje, więc informatycy śledczy muszą postępować zgodnie z tzw. najlepszymi praktykami, tak by informacje mogły zostać wykorzystane w sądzie lub wewnątrzkorporacyjnym procesie wyjaśniającym.

Brzmi to odrobinę nudno. Naprawdę tak to wygląda? A co z tym, co widać na filmach: ze strzelaninami, pościgami, wybuchami?

- Aby pracować jako informatyk śledczy, trzeba posiadać zdolności analityczne, sporo samodyscypliny, mieć dogłębną wiedzę informatyczną oraz zamiłowanie do rozwiązywanie łamigłówek logicznych. Niezbędną cechą jest również wysoki poziom odporności psychicznej.

- Duża część pracy informatyka śledczego nie jest widowiskowa, polega na wielogodzinnej żmudnej analizie wyników, odpowiednim "odpytywaniu" specjalistycznego oprogramowania oraz składaniu w całość fragmentów informacji.

- Nasza firma wykorzystywana jest dość często przez polskie organa ścigania. Nasi specjaliści mogą wówczas przeżyć sytuacje jak w filmie sensacyjnym. W przypadku poważnych podejrzeń, na przykład przekrętów finansowych, wynoszenia patentów, sekretów produkcyjnych i technologicznych, projektów urządzeń i tym podobnych nie poszukuje się dowodów elektronicznych w laboratorium. Zazwyczaj taką akcję przeprowadza się w siedzibie firmy, po godzinach pracy, czasem nocą. Wie o niej zwykle szef firmy i ewentualnie jedna, dwie osoby, by ograniczyć możliwość zaalarmowania podejrzanych.

Mógłby pan podać przykłady kilku akcji z udziałem informatyków śledczych?

- W jednej z dużych firm IT kierownictwo zaczęło zauważać częste przypadki zwalniania się najlepszych przedstawicieli handlowych. Po przeprowadzeniu analizy informacji zawartych na firmowych komputerach udało się ustalić, że jeden z pracowników administracji firmy przekazywał wyniki finansowe, jakie uzyskiwali najlepsi handlowcy konkurencji. W odpowiedzi konkurencja prowadziła rozmowy w celu zwerbowania najlepszych do siebie. W kilku przypadkach się to udało.

- Zastosowanie informatyki śledczej pozwoliło w dyskretny sposób odnaleźć nielojalnego pracownika. W efekcie został on zwolniony, a firma poważnie rozważa zastosowanie rozwiązań sprzętowo-programowych w celu lepszej kontroli szczelności informacji.

- Firma branży spożywczej przegrywa kolejne przetargi w różnych częściach kraju, zawsze z tym samym konkurentem. Różnica w cenach ofert jest niewielka. Kierownictwo firmy zaczyna podejrzewać przeciek. Analiza zabezpieczonych twardych dysków prowadzona była przez informatyków śledczych m.in. za pomocą wyszukiwania słów kluczowych przez platformę EnCase. Ręczne przejrzenie dziesiątków tysięcy plików zapisanych na jednym tylko komputerowym dysku zajęłoby lata, wymagałoby armii ludzi, a większość informacji byłaby i tak nieczytelna bez odpowiednich narzędzi.

- Użycie EnCase pozwoliło stwierdzić, że wskazane słowa kluczowe występują między innymi w plikach HTML. Tutaj małe wyjaśnienie techniczne: strony www wykonane w HTML cashowane są w odpowiednim katalogu przeglądarki internetowej. Zapis na twardym dysku w postaci statycznych stron HTML pozwala na ich odczyt przy technologii informatyki śledczej. Przy jej wykorzystaniu można złożyć w całość odwiedzane w przeszłości strony internetowe z setek rozrzuconych fragmentów danych. Pozwala to zapoznać się z treścią i zawartością takiej strony.

- Tak też zrobiono i w tym przypadku, a EnCase wyświetlił informatykom śledczym dowody nieuczciwości. Nielojalny pracownik wykazał dużo sprytu. Przekazywał informacje o kwotach ofert przetargowych za pomocą popularnej gry on-line "OGame". Jest w niej opcja wysyłania wiadomości do innych graczy i to właśnie w ten sposób wyciekały z firmy informacje. Proces autentyfikacji i dokumentacji znalezionych dowodów nie byłby możliwy bez użycia narzędzi informatyki śledczej. Dzięki nim pracodawca otrzymał niepodważalny dowód elektroniczny na nieuczciwość swojego pracownika.

- W jeszcze jednej firmie, tym razem z branży ogrodniczej "wykradziono" całą bazę klientów. Przekazano ją prawdopodobnie konkurencyjnemu przedsiębiorstwu o podobnej nazwie. Naszym specjalistom postawiono zadanie odnalezienia winnego w sposób nie alarmujący pracowników. O sprawie wiedział jedynie szef. Po tygodniu udało się ustalić na jakim stanowisku roboczym doszło do przegrania na płytę CD całej bazy klientów. Stwierdzono również, który użytkownik był zalogowany w trakcie tego wydarzenia. Na jego komputerze znaleziono również pokaźną kolekcję zdjęć i filmów dla dorosłych.

- Niestety nie pomogło to w odbudowaniu strat, jakie zleceniodawca zdążył ponieść do czasu interwencji. Firma wdrożyła jednak rozwiązania z wykorzystaniem oprogramowania komputerowego pozwalające na lepszą kontrolę zawartości komputerów, czynności wykonywanych przez pracowników oraz zwiększające bezpieczeństwo na wypadek intruzów zewnętrznych. Daje to pewność, że w przyszłości podobne nieetyczne zachowania będą maksymalnie utrudnione, da się je szybciej wykryć i zadziałać zanim powstanie szkoda.

- W firmie branży informatycznej doszło do "wycieku danych". Przeprowadzono analizę firmowej sieci komputerowej z wykorzystaniem narzędzi informatyki śledczej. Poza ścisłym kierownictwem nikt nie wiedział o przeprowadzanej kontroli. Specjaliści ustalili, że dane wyciekały z komputera prezesa. Kopiowano je na zewnętrzny nośnik. Stwierdzono, że informacje kopiowano poza standardowymi godzinami pracy w firmie. Kontrola w systemie HR pozwoliła wytypować osobę, której przyjścia i wyjścia do pracy w 100 proc. pokrywały się z godzinami, w których dochodziło do wycieku. Zręcznym hackerem okazała się sprzątaczka.

- Firma zaostrzyła zasady dostępu do pomieszczeń. Przekonfigurowano zupełnie zabezpieczenia informatyczne, wdrażając narzędzie informatyki śledczej. Pozwoli to działowi Security IT reagować błyskawicznie na wszelkiego rodzaju incydenty.

- Oprócz metody "na sprzątaczkę" popularna jest również metoda kradzieży danych "na ochroniarza". Z takim przypadkiem miał do czynienia w 2008 roku Urząd Miasta w Siemianowicach Śląskich. Ochroniarz podczas nocnej zmiany wyniósł komputer z wydziału komunikacji i więcej się nie pojawił. Szczęśliwie komputery urzędników obsługujących petentów to były jedynie końcówki robocze, a wszystkie dane kierowców przechowywane były w dobrze strzeżonej serwerowni. W tym przypadku informatycy śledczy nie prowadzili żadnych analiz, podaję to jedynie jako ciekawy przykład szpiegostwa.

- W kilku firmach z różnych branż wykonywane przez księgowość przelewy nie trafiały na konta kontrahentów. Informatycy śledczy stwierdzili włamanie do systemu. Sprytni hakerzy zmieniali dane dotyczące adresata przelewu po zatwierdzeniu płatności przez księgową, zanim polecenie transakcji wychodziło do banku. Taktykę tę stosowano w kilku firmach naraz. Ekspertyza wykonana przez informatyków śledczych wykazała to jednoznacznie. Sprawa zakończyła się dochodzeniem policyjnym i procesem sądowym. Ważnym elementem były dowody elektroniczne przedłożone przez informatyków śledczych.

Jak podejrzewam, do tego typu działań używa się wyspecjalizowanego oprogramowania?

- Do analiz śledczych wykorzystuje się specjalistyczny sprzęt i oprogramowanie. Niezbędnym i pierwszym narzędziem informatyka śledczego będzie z pewnością bloker uniemożliwiający jakąkolwiek ingerencję w badany nośnik, np. Tableu TK35es.

- Jeśli chodzi o oprogramowanie, to do analiz śledczych wykorzystywany jest najczęściej EnCase Fornesic używany przez policję i informatyków śledczych z całego świata. Można powiedzieć, że EnCase Forensic kreuje rynek i do niego starają się dopasować pozostali producenci.

Przemysław Muszyński