|
|
 |
|
Kroll Ontrack > Technonews
|
Technonews |
|
|
Technonews vol.4
Zapraszamy do lektury najnowszego technonews'a.
Szczególnie polecamy poszukiwania zdradzonego meża oraz zrzucenie komputera z dachu 3-pietrowego budynku.
Zawartość technonewsa:
1. Computer Forensics - elektroniczne ślady i dowody przestępstw.
Większość osób uważa, że skasowanie pliku gwarantuje usunięcie kompromitującej informacji, formatowanie nośnika daje ich zdaniem 100% pewność bezpowrotnego usunięcia informacji. W środowisku specjalistów odzyskiwania danych formatowanie dysku przyrównuje się do wyrywania spisu treści z książki. Czytanie nadal jest możliwe, choć troszkę trudniej dotrzeć do konkretnej treści, ale to już zadanie dla specjalistów.
2. Odzyskiwanie danych bez utraty gwarancji dysków twardych.
Użytkownicy dysków marki Samsung nie tracą gwarancji w wyniku odzyskiwania danych w naszym laboratorium.
3. Program Partnerski - Nowy rodzaj Partnera.
Już ustna deklaracja chęci współpracy pozwoli firmom IT na korzystanie z logo "Partner MBM Ontrack" oraz możliwości naszej firmy w zakresie odzyskiwania danych - data recovery.
Życzymy miłego dnia,
Redakcja technonewsa
technonews@ontrack.pl
www.mbm.com.pl
www.ontrack.pl
COMPUTER FORENSICS ELEKTRONICZNE ŚLADY I DOWODY PRZESTĘPSTW
Jeszcze do niedawna większość dowodów w śledztwach i dochodzeniach miała postać papierowych dokumentów. Wraz z nastaniem ery komputerów, sytuacja ta uległa zmianie. Obecnie dowodami w sprawach sądowych, obok dokumentów papierowych, są dane elektroniczne. Oskarżonego można skazać na podstawie znaleznionych u niego dokumentów, lub np. udowadniając mu, że skasował, zmodyfikował czy nawet uzyskał dostęp do danych, do których nie miał prawa.
 Ogromne ilości dokumentów elektronicznych, stanowiących potencjalne dowody przestępstw, utrudniają lub wręcz uniemożliwiają ręczne wyszukanie konkretnych dowodów, ich selekcję, a często również ich odtworzenie. Bywa bowiem tak, że dokumenty zapisane w formie elektronicznej są usuwane, a nośniki na których były składowane niszczone w celu uniknięcia odpowiedzialności za popełnione przestępstwa.
 Computer Forensics obejmuje poszukiwanie dowodów przestępstw komputerowych często związanych z odtworzeniem zdarzeń w czasie, poszukiwaniem danych skasowanych czy wyszukiwaniem informacji niedostępnych dla typowego użytkownika, a nawet administratora systemu. Specjaliści Computer Forensics nie otrzymują dobrowolnie danych. Muszą do nich dotrzeć często bez wiedzy i zgody osób podejrzanych o przestępstwa. Zadaniem specjalistów jest między innymi obróbka danych w taki sposób, aby nie utraciły one wartości dowodowej w sądzie. Dodatkowo firma Kroll Ontrack jako lider w branży odzyskiwania danych, jest w stanie odzyskać celowo usunięte dane, nawet ze zniszczonych mechanicznie nośników (spalonych czy zalanych).
 Większość osób uważa, że skasowanie pliku gwarantuje usunięcie kompromitującej informacji, formatowanie nośnika daje ich zdaniem 100% pewność bezpowrotnego usunięcia informacji. W środowisku specjalistów odzyskiwania danych formatowanie dysku przyrównuje się do wyrywania spisu treści z książki. Czytanie nadal jest możliwe, choć troszkę trudniej dotrzeć do konkretnej treści, ale to już zadanie dla specjalistów.
Kroll Ontrack jest w stanie dostarczyć dowody nawet w przypadku prób nadpisania danych. Specjaliści są w stanie dotrzeć do niewielkich ilości danych pozostałych po nadpisaniu dysku twardego (czasem 1% danych wystarcza do dostarczenia dowodów przestępstw, jeżeli są to właściwe informacje) lub do prawie całej zawartości taśm.
Jednym z miejsc gdzie można szukać danych są Slack Space. Dane nadpisywane w nieumiejętny sposób lub w czasie "normalnej" eksploatacji pozostawiają tzw. Slack Space czyli resztki niewykorzystywanych klastrów (rysunek 1). Statystyczne każdy nadpisujący plik pozostawia 2KB danych pochodzących z poprzedniej zawartości dysku - są to czasem bardzo znaczące informacje. Zakładając, że nowy plik nie zmieni swego rozmiaru i nie zostanie przeniesiony w inne miejsce dysku, obszar "slack space" - zwierający 2KB danych ze starego pliku master.doc - może pozostawać na dysku przez lata.
Rys. 1: Sposób powstawania Slack Space
Proces Computer Forensics to cykl czynności, na który składają się: zebranie danych z dostępnych nośników, odfiltrowanie nieistotnych danych (pliki należące do systemu operacyjnego, typowych programów czy powtarzające się dane), analiza zebranych dowodów pod kątem prowadzonej sprawy, przedstawienie raportu, udostępnianie i prezenacja danych oraz opiniowanie w sprawie sądowej.
 Zgromadzenie dowodów polega m.in. na zabezpieczeniu nośników danych i stworzeniu dwóch obrazów każdego nośnika. Jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych z góry kryteriów, drugi obraz nośnika zostaje zabezpieczony. W przypadku wystąpienia poszukiwanych danych stanowi on materiał dowodowy. Każdy z etapów pracy musi być odpowiednio udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej. Jednym ze sposobów zachowania wartości dowodowej materiałów jest oznaczenie ich unikalną sumą kontrolną gwarantującą identyczność materiału źródłowego i kopii.
Raport stanowi podsumowanie i zestawienie znalezionych materiałów dowodowych. Odnalezione w ten sposób elektroniczne dowody przestępczości mogą być wykorzystane jako materiały dowodowe w sądzie.
Usługi Computer Forensics w typowych przypadkach dotyczą defraudacji, kradzieży elektronicznej lub szpiegostwa przemysłowego.
Polskie przypadki Computer Forensics
Największą popularnością Computer Forensic cieszy się w USA, gdzie wielkie firmy sądzą się o miliardowe odszkodowania. W Polsce również mamy do czynienia z tego typu przypadkami np. usunięciem informacji przez zwalnianego pracownika, przecieków informacji do konkurencji, czy zniszczenia dysku z kompromitującymi danymi. Problemem jest polskie prawo - nie ma zdefiniowanych procedur postępowania z elektronicznymi danymi, aby zachowywały one wartość dowodową. Wyjściem z sytuacji jest wykorzystanie instytucji biegłego sądowego, który opiniuje dostarczone dowody.
Zdrada
Spośród wielu przypadków Computer Forensic jakie analizowaliśmy w naszej firmie, jeden szczególnie zapadł w naszej pamięci. Przypadek ten dotyczył zdrady małżeńskiej. Wszystko zaczęło się od podejrzeń męża, którego żona coraz więcej czasu spędzała poza domem tłumacząc się natłokiem pracy. Będąc w domu natomiast, większość czasu spędzała przed komputerem korzystając z komunikatorów sieciowych (programów typu Gadu-Gadu). Podejrzenia męża wzbudziło przede wszystkim skrupulatne zacieranie przez nią wszelkich śladów tych działań. Nie pomogło zastawianie pułapek w postaci key logger'ów i innych "szpiegowskich" narzędzi - wiedzą informatyczną kobieta znacznie przewyższała swojego męża. Zdesperowany małżonek postanowił skorzystać z naszej pomocy aby wydobyć z twardego dysku dowody niewierności. Standardowe skanowanie dysku nie przyniosło rezultatów. Skasowana poczta elektroniczna i historia z komunikatora znajdowały się na partycji C: i w wyniku działania systemu operacyjnego (plik wymiany, pliki tymczasowe), w większości zostały już nadpisane. Po zastosowaniu specjalnych narzędzi, przeszukujących cały dysk, sektor po sektorze, w poszukiwaniu słów kluczowych, resztki danych, pochodzące głównie z tzw. slack space zostały przez naszych specjalistów odzyskane. Były to bardzo małe fragmenty rozmów i listów, jednak upewniły naszego klienta w jego przekonaniu i stały się dowodem pomocniczym w procesie rozwodowym.
Komputer z dachu
Dane z odzysku mogą być i bywają dowodami przestępstw. Osoby, które łamią prawo pilnie strzegą informacji mogących je pogrążyć. Przestępcy najczęściej korzystają z komputerów przenośnych. Pozwala to im na ciągły nadzór nad ważnymi danymi. W razie potrzeby jest też łatwiej pozbyć się notebook'a niż setek lub tysięcy kartek papieru. Tak przynajmniej sądził ścigany przez policję przestępca. Uciekając po schodach budynku, dotarł na dach i zrzucił z niego komputer przenośny z obciążającymi go danymi.
Ponieważ informacje te mogły być decydujące w śledztwie do odzyskania danych zatrudniono MBM Ontrack. Cały komputer po upadku był mocno zniszczony. Jednak z uszkodzonego nośnika udało się odzyskać ok. 16% danych. Taka ilość informacji wystarczyła do obciążenia podejrzanego. Obecnie odbywa on karę więzienia.
ODZYSKIWANIE DANYCH BEZ UTRATY GWARANCJI DYSKÓW TWARDYCH
Innowacja na rynku odzyskiwania danych! MBM Ontrack oraz Samsung Electronics zawarły umowę, na mocy której użytkownicy dysków marki Samsung nie tracą gwarancji w wyniku odzyskiwania danych w naszym laboratorium.
Dysk z naklejoną plombą gwarancyjną oraz dołączoną dokumentacją procesu odzyskiwania danych będzie podlegał wymianie na nowy w punktach zakupu lub w firmowych serwisach firmy Samsung.
Poniżej przedstawiamy wzór plomby gwarancyjnej:
Jest to pierwsze w Polsce porozumienie zawarte pomiędzy producentem dysków twardych, a firmą specjalizującą się w odzyskiwaniu danych. MBM Ontrack dąży do tego, aby użytkownicy komputerów niezależnie od marki posiadanego dysku twardego nie tracili gwarancji w wyniku odzyskiwania danych. Będzie to możliwe dzięki ratyfikacji umów zawartych pomiedzy KrollOntrack, a producentami dysków twardych na całym świecie. W tej chwili prowadzone są rozmowy z polskim przedstawicielem firmy Maxtor (Quantum).
PROGRAM PARTNERSKI - NA NOWO
Firma MBM Ontrack wychodząc naprzeciw oczekiwaniom Klientów rozwija swój Program Partnerski.
Wprowadzamy dwie bardzo istotne zmiany w Programie Partnerskim:
1. Nowe grupy partnerów:
- Partner
- Partner Akredytowany
- Partner Licencjowany
- Złoty Partner
2. Jeden cennik oprogramowania ? różne upusty w zależności od rodzaju partnera.
Jeśli chcesz otrzymać komplet informacji na temat nowego Programu Partnerskiego wyślij maila na adres partner@ontrack.pl wpisując w tytule PP lub Program Partnerski.
powrót
|
|
|
|
