Wyzwania w Live Forensic

Live Forensic, jest obszarem informatyki śledczej, który zawsze był owiany tajemnicą… Właściwie, ową tajemniczość wytworzył brak wiedzy i niepewność.

Live Forensic nigdy nie było ważniejsze, niż w dzisiejszych czasach. Nasze domy, miejsca pracy, a także całe nasze życie codzienne, wypełnione są urządzeniami, które pozwalają na nieprzerwane, ciągłe połączenie z Internetem, który dla wielu ludzi stanowi kamień węgielny nowoczesnego społeczeństwa. To złożone środowisko nakłada na nas, jako na śledczych, a zwłaszcza specjalistów informatyki śledczej, wymagania większe, niż kiedykolwiek wcześniej.

Idąc z duchem czasu

Laptopy, tablety, telefony komórkowe tworzą ogromną ilość możliwości połączenia mobilnego. Jednocześnie coraz bardziej przejmują rolę, wcześniej przypisaną „tradycyjnemu”, domowemu urządzeniu gospodarującemu dane, czyli komputerowi. Odbija się to na zmniejszającym się, kruszącym rynku PC, ponieważ ludzie zaczynają porzucać komputery stacjonarne. Tak samo jak urządzenia mobilne wypierają komputery stacjonarne, połączenie za pomocą stałego łącza jest wypierane przez rozwiązania bezprzewodowe. Punkty Wi-Fi są dostępne w kawiarniach, restauracjach i innych miejscach przestrzeni publicznej. Możliwość łączenia się za pomocą Wi-Fi nigdy nie była tak wielka.

Stajemy się coraz bardziej mobilni, niemal zawsze połączeni z Internetem, a przy tym polegamy na coraz to mniejszych urządzeniach, by wykonać naszą pracę, a także by pomagały w naszym życiu codziennym, gospodarowaniu czasu wolnego i kontaktach społecznych. Potrzeba ochrony naszych informacji stale wzrasta. Przechowujemy prywatne dane na urządzeniu, które jest zawsze przy nas i zapisuje więcej, na nasz temat, niż byśmy chcieli. Przez to jesteśmy coraz bardziej narażeni na próby kradzieży informacji.

Wymagania dotyczące ochrony danych były brane pod uwagę przez przemysł, przez co szyfrowanie ich jest obecnie łatwiejsze, niż było dotychczas. To, co było zarezerwowane dla osób posiadających duże umiejętności w sferze IT, w dniu dzisiejszym jest możliwe poprzez kilka naciśnięć klawiszy, dla osoby, która nie posiada choćby małej wiedzy w tej materii. Obecny sposób szyfrowania jest niezauważalny, jest wbudowaną cechą integralną, dostępną także dla użytkowników, którzy nigdy nie wpisywali trudnych haseł, czy kluczy sprzętowych. Wraz ze zwiększoną mobilnością i bezpiecznym sposobem magazynowania danych, wzrasta także pojemność dostępnej przestrzeni, a ogrom jej wzrostu jest trudny do przewidzenia. Małe, przenośne urządzenia mogą obecnie przechowywać porównywalną ilość danych, którą w nieodległej przeszłości posiadały duże serwerownie. Nasza sieć domowa staje się coraz bardziej rozwinięta, a już w jej obrębie urządzenia mogą się komunikować ze sobą.

Rozwój sam w sobie jest zjawiskiem pozytywnym, zwłaszcza patrząc przez pryzmat wygody. Nasze życia, zarówno te prywatne, jak i profesjonalne, nie są już powiązane. Informacje osobiste są na ogół chronione przed kradzieżą. Przynajmniej można tak powiedzieć o informacjach, które sami przechowujemy, a mamy możliwość przechowywania ogromnej ilości danych. Tak, to jest pozytywne zjawisko, a rozwój stale się dokonuje.

Plamą na obrazie jasnej przyszłości, jest fakt, że także przestępcy mogą się cieszyć swobodą, a ochrona, dostarcza im świetne narzędzia do kontynuowania ich procederu.

Oznacza to, że specjaliści informatyki śledczej, których zadaniem jest zabezpieczanie, analizowanie urządzeń przenoszących dane, które należą do podejrzanych osób, mają przed sobą ogromne wyzwania. To, co kiedyś można było rzadko spotkać na swojej drodze, dla dzisiejszych specjalistów informatyki śledczej stało się właściwie codziennością. Czym jest zatem Live Forensics? Można pokusić się o tradycyjną definicję, mówiącą o zabezpieczaniu informacji z systemu, który jest „live”, np. pracuje. Znaczyło to, że system był badany poprzez różne narzędzia, często w celu zebrania danych, które były „live” w systemie. Na to mogły się składać wszelakie niezapisane dokumenty, trwające czaty, czy też przeglądanie stron internetowych. To, jakie narzędzia specjalista informatyki śledczej wykorzystywał, było jego osobistym wyborem, opartym na badaniach i doświadczeniu.

Ilość narzędzi zależała od poziomu kompetencji specjalisty informatyki śledczej, a ich liczba wzrastała wraz z rozwojem środowisk IT. Zwiększona mobilność postawiła nowe wyzwania specjalistom informatyki śledczej, zmieniając to, co znaczy Live Forensic. Oznacza to, że koncepcja zawiera obecnie także informacje, które są przesyłane bezprzewodowo, informacje o urządzeniach oraz na temat ich interaktywnej komunikacji. Live Forensic nie może już być czymś, co będzie robione w wolnej chwili.

Musi być integralną częścią procesu informatyki śledczej, które są warte swej nazwy. Ryzyko tego, że przechwycone dane nie będą mogły być zanalizowane ze względu na zaszyfrowanie, jest dzisiaj największe w dziejach. Ze względu na to systemy muszą być badane „live”, zanim zostaną poddane dalszej analizie. Ponieważ alternatywą jest potrzeba otwarcia zaszyfrowanego dysku twardego, która często jest krokiem daremnym. Live Forensic już dłużej nie może być procesem na wyłączność dla specjalistów informatyki śledczej mających wysokie umiejętności, ponieważ musi być dokonywany przez wszystkich, którzy wchodzą w kontakt ze środowiskami IT. Duża część specjalistów informatyki śledczej traci swój cenny czas na podróżowaniu na i z miejsca zbrodni, zamiast aktywnie dokonywać analizy dowodów przestępstwa.

Środowiska IT można znaleźć wszędzie, w domach, miejscach pracy, a także w przestrzeni publicznej. Poleganie na małej, ograniczonej liczebnie grupie specjalistów informatyki śledczej, by tylko oni zajmowali się zebranymi informacjami, przeszukiwaniem domów, oraz innymi procesami, które mają potencjalny związek z IT jest fizycznie niemożliwe. Ze względu na zwiększającą się liczbę dochodzeń, specjaliści informatyki śledczej będą zmuszeni do wcielenia się w rolę konsultancką, skupioną na analizie, natomiast w kwestii zbierania materiałów będą potrzebowali wsparcia innego personelu. Tak jak dzisiejsi oficerowie policji są często zmuszeni do zbierania odcisków palców i dowodów DNA, zbieranie materiałów w Live Forensic będzie musiało być przeprowadzone w podobny sposób.

The Information Collection Tool (ICT)

Luka znajduje się pomiędzy kompetencjami i narzędziami. The Information Collection Tool (ICT) jest narzędziem, które przeobraża kilka różnych metod zbierania w małe, przenośne i proste narzędzie. Prostota oraz mobilność to filary, na których opiera się ICT.

Prostota pozwala osobie nie będącej specjalistą informatyki śledczej, aby po krótkim treningu, dokonywać złożonych procesów zbierania danych. Informacje te są zapisywane w zaszyfrowanych plikach, które później przekazane do analizy specjalistów informatyki śledczej.

ICT może również zbierać informacje ze środowisk Wi-Fi, a także Ethernet’u, które w innym przypadku byłyby utracone. ICT zezwala na dostęp do komputerów poprzez metodę obchodzenie blokady ekranu. To daje specjaliście zbierającemu informacje możliwość zabezpieczenia danych, które byłyby ukryte za szyfrowaniem przy wyłączeniu. ICT tworzy także ważne, często niezauważane połączenie między komputerem śledczym, a monitoringiem. Wzrost mobilności tworzy świetną okazję na dokonanie monitoringu technicznego, w którym podejrzani oraz dane, które transmitują dają śledczym nowe możliwości powstrzymywania zbrodni.

Nadszedł czas, by dać Live Forensic uwagę, na którą zasługują poprzez rozwiązywanie przestępstw. Nadszedł czas, by uświadomić sobie, że informatyka śledcza to coś więcej, niż tylko dublowanie twardych dysków, czy pendrive’ów. Informatyka śledcza jako dziedzina, także powinna zostać usankcjonowana, a specjaliści w tej dziedzinie, muszą być gotowi na to, by zebrane informacje przekazać, między innymi oficerom Policji, oficerom zajmującym się monitoringiem, technikom kryminalnym, a samemu skupić się na wzrastającej liczbie skomplikowanych analiz.

Aby zmaksymalizować skuteczność, oficer, który pojawi się na miejscu zbrodni jako pierwszy, powinien być wyposażony w sprzęt niezbędny do zebrania informacji.