Název

Popis

Počítačová
forenzní věda

Počítačová forenzní věda (neboli počítačová forenzika) je v informatice odvětví digitální forenzní vědy týkající se hledání právních důkazů v počítačích a na datových médiích. Cílem je šetrným způsobem forenzně přečíst datové médium z důvodu identifikace, zachování, obnovení nebo analyzování dat k získání skutečností a posouzení digitální informace. Ačkoli je počítačová forenzika často spojována s vyšetřováním široké škály kybernetické kriminality, může být využita i v občanskoprávním řízení. Obor používá podobné techniky a principy také pro záchranu dat, ale s dodatečnými směrnicemi a postupy přikazující vést podrobnou dokumentaci. Důkazy z počítačových forenzních vyšetřování obvykle podléhají stejným postupům jako jakékoliv jiné digitální důkazy. Počítačová forenzika byla již využita ve spoustě známých procesů a stává se široce přijímaná jako spolehlivá ve Spojených státech i v evropských soudních systémech.

Použití jako důkaz

U soudu jsou důkazy získané počítačovou forenzikou brány jako běžné digitální důkazy. To znamená, že informace musí být autentické, nezfalšované a přípustné.[6] Různé země mají specifické pokyny a postupy pro extrakci důkazů. Ve Velké Británii se často řídí postupy podle Asociace policejních ředitelů (Association of Chief Police Officers), které pomáhají zajistit autenticitu a pravost získaných důkazů. Tento dobrovolný postup je u většiny britských soudů hojně využíván. Počítačová forenzika je v trestním právu využívána pro získávání důkazů od poloviny osmdesátých let dvacátého století. Zde jsou uvedené některé případy: Denis Rader (přezdívaný jako BTK Killer) byl odsouzený za sérii vražd, ke kterým došlo v průběhu 16 let. Ke konci tohoto období, Rader napsal zprávu na policii uloženou na disketě. Metadata v dokumentu obsahovala jméno autora „Denis“ a místo „Christ Lutheran Church“. Tyto důkazy napomohly dostat Radera do vězení.Joseph E. Duncan III: Z Ducanova počítače byl extrahován soubor tabulkového procesoru, který obsahoval data o jeho zločineckých plánech. Žalobci tohoto využili k dokázání úkladnosti jeho činů a zajistili mu tím trest smrti.Sharon Lopatka: Stovky e-mailů v jejím počítači dovedly vyšetřovatele k jejímu vrahovi Robertu Grassovi. Corcoran Group: Tento případ potvrzuje, že je povinností obou stran zachovat digitální důkazy, i když byl spor zahájen nebo hrozí jeho zahájení. Počítačový forenzní expert analyzoval pevné disky obžalovaných, avšak údajná elektronická pošta na nich nebyla nalezena. I když expert nenalezl žádný důkaz o jakémkoliv mazání na discích. Poté vyšlo najevo, že obžalovaní vědomě smazali e-maily a omylem tím znemožnili předložení materiálů soudu obsahující fakta o žalobcích.Dr. Conrad Murray, lékař zesnulého Michaela Jacksona, byl částečně odsouzený na základě digitálních důkazů na jeho počítači. Tyto důkazy obsahovaly lékařskou dokumentaci, která obsahovala smrtící množství propofolu.

Forenzní postupy

Počítačové forenzní vyšetřování se obvykle řídí následujícími standardními postupy: získávání a analýza dat a podání zprávy o výsledku šetření.Vyšetřovatelé častěji využívají práci s diskovými obrazy, než přímo s konkrétním diskem. Naproti tomu v začátcích forenzní praxe nedostatek specializovaných nástrojů vedl vyšetřovatele pracovat přímo na konkrétních discích.

Techniky
Během počítačového forenzního vyšetřování je využíváno vícero technik.

Cross-drive analýza
Je forenzní technika, která vyhledává informace najednou na více discích. Tato metoda je stále předmětem výzkumu a může být využita například pro identifikaci sociálních sítí a k provedení detekce anomálií.
Analýza za běhu
Je analýza počítačů k získání důkazů v rámci operačního systému pomocí vlastní forenziky nebo pomocí nástrojů systémového administrátora. Tato metoda je užitečná při práci s šifrovaným souborovým systémem. Například pro získání šifrovacích klíčů. V některých případech může být vytvořen obraz pevného disku ještě před vypnutím počítače.
Smazané soubory
Nejběžnější technikou používanou v počítačové forenzice je obnova smazaných dat. Moderní forenzní software mají svoje vlastní nástroje pro obnovu smazaných dat.Operační systémy a souborové systémy často fyzicky data neodstraní. Vyšetřovatelům toto umožňuje rekonstruovat data z fyzických diskových sektorů. Pro rekonstrukci smazaných dat uvnitř diskového obrazu se používá tzv. „File carving“, který hledá hlavičky známých souborů.
Stochastická forenzika
Je metoda využívající stochastické vlastnosti operačního systému počítače pro zkoumání činností postrádající digitální pozůstatky. Tato metoda se nejčastěji využívá pro vyšetřování krádeže dat.
Stenografie
Jedna z technik využívaná pro ukrývání dat je za pomoci stenografie. S její pomocí se dají data ukrýt uvnitř obrazového souboru. Takto může být ukrytá například dětská pornografie, nebo jiné ilegální materiály. Počítačoví forenzní profesionálové mohou odhalit pozměnění originálního obrázku pomocí porovnání jeho haše s hašem originálního obrázku (pokud je k dispozici). I když se modifikovaný obrázek zdá shodný s původním, jeho haš se razantně změní od původního s jakoukoliv nepatrnou změnou v obrázku
Volatilní data
Pokud je při získávání důkazů počítač stále zapnutý a nějaká informace je udržována pouze v paměti RAM a není získána před vypnutím počítače, může být navždy ztracena.[8] Pro získání dat z paměti RAM před vypnutím počítače se aplikuje tzv. „live“ analýza (tzn. analýza za běhu počítače) např. pomocí programů: Microsoft COFFEE, WinDD nebo WindowsSCOPE. Pro obejití přihlašování do zamčeného systému Windows se využívá zařízení s názvem CaptureGUARD Gateway. Po vypnutí napájení do paměti RAM mohou být data ještě chvíli čitelná, jelikož jednotlivým paměťovým buňkám chvíli trvá, než uloženou informaci ztratí. Časový úsek, než se data vytratí, lze prodloužit snížením teploty paměťových čipů a zvýšením napětí na paměťových buňkách. Udržením teploty čipů pod −60 °C umožní zachovat data čitelná ve velkém rozsahu po dlouhou dobu a zvýší šanci pro úspěšnou obnovu dat. Nicméně tato metoda může být velice nepraktická pro plošné zmrazování velkého množství čipů.Pro komplexní extrakci volatilních dat je potřeba, aby byl počítač ve forenzní laboratoři, jak k zachování legitimního postupu, tak k usnadnění práce na konkrétním počítači. Pokud je to nezbytné, tak právní předpisy přikazují přenést počítač za běhu. Počítač je při přenosu napájen z UPS, a aby nedošlo k nechtěnému odhlášení ze systému vlivem nečinnosti, je k počítači připojeno zařízení, které v krátkých intervalech prudce pohybuje myší. Nicméně jeden z nejjednodušších způsobů získání dat z paměti RAM je překopírovat jí na pevný disk. Různé žurnálovací souborové systémy (např. NTFS nebo ReiserFS) si při činnosti počítače stránkují data z paměti RAM na pevný disk. Po poskládání těchto stránkovacích souborů může být zjištěn aktuální obsah paměti RAM.

Nástroje pro analýzu

Pro forenzní analýzu existuje spousta komerčních i open source nástrojů. Typická forenzní analýza zahrnuje: manuální prohlížení média, prozkoumání podezřelých údajů ve Windows registrech, hledání a prolamování hesel, hledání klíčových slov typickych souvisejících se zločinem, získání e-mailů a obrazových souborů.