Embed Size (px)
DESCRIPTION
W prezentacji zawarto ogólne zagadnienia związane z wykorzystaniem informatyki śledczej w procesie ujawniania, zabezpieczania oraz analizy zawartości cyfrowych nośników informacji dla potrzeb postępowania karnego. Przedstawiono metody oraz narzędzia sprzętowo-programowe wykorzystywane w kryminalistycznych badaniach dowodowych nośników informacji. Zaprezentowano również kilka zagadnień praktycznych (analiza przypadku).
Citation preview
Marek Liszkiewicz
Laboratorium Kryminalistyczne
Komendy Wojewódzkiej Policji w Krakowie
Informatyka śledczajęzyczkiem u wagi Temidy
Klasyfikacja przestępstw komputerowych
Przestępstwa komputerowe przeciwko ochronie informacji
– Hacking komputerowy,
– Podsłuch komputerowy,
– Bezprawne niszczenie informacji,
– Sabotaż komputerowy.
Przestępstwa komputerowe przeciwko mieniu
–Nielegalne uzyskanie programu komputerowego,
–Paserstwo programu komputerowego,
–Oszustwo komputerowe,
–Oszustwo telekomunikacyjne,
–Kradzież karty uprawniającej do podjęcia pieniędzy z automatu bankowego.
Przestępstwa komputerowe przeciwko bezpieczeństwu powszechnemu
– Sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób albo mienia w
znacznych rozmiarach,
– Nieumyślne zakłócenie automatycznego przetwarzania informacji związane za
publikowanie chronionego prawnie programu komputerowego itp.,
– Zamach terrorystyczny na statek morski lub powietrzny.
Przestępstwa komputerowe przeciwko wiarygodności dokumentów
– Fałszerstwo komputerowe
Inne
– Inne rodzaje przestępstw takie jak np. nielegalne kopiowanie, rozpowszechnianie lub
publikowanie prawnie chronionego programu komputerowego itp.
WYBRANE PRZESTĘPSTWA PRZECIWKO OCHRONIE INFORMACJI (Kodeks Karny)
-Hacking:
Art. 267. § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się
do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej
zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
-Nielegalny podsłuch i inwigilacja:
Art. 267. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się
urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
Art. 267. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
-Naruszenie integralności komputerowego zapisu informacji:
Art. 268. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny
sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do
lat 3.
Art. 268. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
-Fałszerstwo komputerowego zapisu informacji stanowiącego dokument:
Art. 270. § 1. Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego
używa,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5.
-Fałszerstwo kart płatniczych:
Art. 310. § 1. Kto podrabia albo przerabia polski albo obcy pieniądz, inny środek płatniczy albo dokument uprawniający
do otrzymania sumy pieniężnej albo zawierający obowiązek wypłaty kapitału, odsetek, udziału w zyskach albo stwierdzenie
uczestnictwa w spółce lub z pieniędzy, innego środka płatniczego albo z takiego dokumentu usuwa oznakę umorzenia,
podlega karze pozbawienia wolności na czas nie krótszy od lat 5 albo karze 25 lat pozbawienia wolności.
§ 4. Kto czyni przygotowania do popełnienia przestępstwa określonego w § 1 lub 2,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
-Oszustwo komputerowe:
Art. 287. § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na
automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis
na komputerowym nośniku informacji,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Laboratorium Kryminalistyczne – rodzaje badań i śladów:
– daktyloskopijne (m.in. odbitki linii papilarnych),
– traseologiczne (ślady butów, opon),
– mechanoskopijne (ślady narzędzi, zamki, numery identyfikacyjne pojazdów),
– badania dokumentów (rękopisy, podpisy, urządzenia drukujące),
– badania broni i balistyki,
– chemiczne (środki odurzające, zawartość alkoholu we krwi, materiały wybuchowe),
– biologiczne (badania DNA),
– osmologiczne (badania śladów zapachowych),
– badania zapisów wizyjnych i fotografia,
– badania mikrośladów,
– fonoskopijne (zapisy dźwiękowe),
– rysownicy („portret pamięciowy”, progresja wiekowa),
– badania sprzętu komputerowego i cyfrowych nośników informacji.
Rodzaje cyfrowych nośników informacji.
Rodzaje cyfrowych nośników informacji.
Rodzaje cyfrowych nośników informacji.
Rodzaje cyfrowych nośników informacji.
Rodzaje cyfrowych nośników informacji.
Rodzaje cyfrowych nośników informacji.
Pojemność 1.44Mb
Co stanowi:
Zawiera 1,500,000 znaków
0,6 m
Based on a normal 12 font word document printed single-sided
Based on a normal 12 font word document printed single-sided
64 MB może zawierać 67,000,000 znaków
Co stanowi:
2,25 m
Sony Memory Sticks
Based on a normal 12 font word document printed single-sided
Pojemność 650Mb lub 700 Mb
Zawiera 682,000,000 lub 734,000,000 znaków
24,5 m
Co stanowi:
Płyty Compact Discs
Based on a normal 12 font word document printed single-sided
Dla przykładu 1GB
Zawiera około 1,074,000,000 znaków
Co stanowi:
35,7 m
Pendrive
Based on a normal 12 font word document printed single-sided
Dysk 80GB
Do 86,000,000,000 znaków
Co stanowi:
2 km 866 m
Hard drivesHard drives
Zabezpieczanie nośników informatycznych:
1. Procesowe:–opis nośnika w dokumentach procesowych: protokołach, notatkachoraz dokumentacja fotograficzna.
2. Techniczne:–wykonanie kopii binarnej całego obszaru danych nośnika,–selektywne zabezpieczenie danych,–zabezpieczenie nośnika w taki sposób, który zapewni jego ochronę przed uszkodzeniem fizycznym oraz uniemożliwi zmianę jego zawartości poprzez działanie celowe lub przypadek.
Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
Bądź przygotowany na najgorsze
Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
Bądź przygotowany na najgorsze
Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
Bądź przygotowany na najgorsze
Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
Ludzka kreatywność nie zna granic
Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
- Zabezpieczenie zawartości pamięci ulotnej RAM.
Zawartość takiej pamięci ulega zanikowi po odcięciu zasilania.
Zabezpieczanie „klasycznych” komputerów stacjonarnych lub przenośnych c.d.
Wartość dowodową ma zazwyczaj informacja zapisana na nośniku (a nie sam nośnik jako urządzenie). Z uwagi na specyfikę informacji w postaci cyfrowej, możliwe jest jej bezstratne powielanie, kopiowanie na inne nośniki.
Kopia binarna.
Kopia binarna – przykładowy raport
Evidence Number “flop001” Alias “flop001” File "C:\data\Gas\flopp001.E01" was acquired by pjr at 28/10/01 18:46:19. The computer system clock read: 28/10/01 18:46:58. Evidence acquired under Windows 98 using version 3.11. Acquisition Notes: disk from drawer in Stotts desk. File Integrity: Completely Verified, 0 Errors. Acquisition Hash: E62F78CD12DCDAA9E7C21CD781387671 Verification Hash: E62F78CD12DCDAA9E7C21CD781387671 Drive Geometry: Total Size 1.4MB (2,880 sectors) Volume “flop001” Parameters File System: FAT12 Drive Type: Removable Sectors Per Cluster: 1 Bytes Per Sector: 512 Total Sectors: 2,880 Total Capacity: 1,457,664 bytes (1.4MB) Total Clusters: 2,847 Unallocated: 612,352 bytes (598.0KB) Free Clusters: 1,196 Allocated: 845,312 bytes (825.5KB) Volume Name: Volume Offset: 0 OEM Version: **nrIIHC Volume Serial #: 0000-0000 Heads: 2 Sectors Per Track: 18 Unused Sectors: 0 Number of FATs: 2 Sectors Per FAT: 9 Boot Sectors: 1
Sprzętowe „blokery” zapisu (write-blockers)
Analiza obszaru danych dysku twardego:
−Pliki jawne, ukryte, systemowe: odczyt zawartości jawnej,
atrybuty, rozkład entropii (dane zaszyfrowane),−Pliki usunięte: odzyskiwanie zapisów na podstawie analizy „tablic
alokacji” oraz „sygnatur” plików,−Obszary „slack space”, „volume slack”, „interpartition space”,−Weryfikacja sygnatur plików,−Wyszukiwanie plików „zagnieżdżonych”,−Analiza rejestru systemowego,−Obliczanie wartości funkcji skrótu (hash) i porównywanie z
dowolną bazą hash’y,−Analiza obrazów np. „skin detection”, ekstrakcja obrazów z
plików wideo,−Analiza aplikacji komunikatorów, klientów pocztowych,
przeglądarek stron WWW, programów p2p, aplikacji księgowych,
itp.−Wyszukiwanie słów kluczowych (logiczne i fizyczne), tworzenie
indeksu,−…… wiele innych aspektów w zależności od charakteru
postępowania.
Narzędzia programowe:
1.„komercyjne”:−„EnCase Forensic” firmy „Guidance Software”,−„X-Ways Forensics” firmy „X-Ways Software Technology AG”,−„FTK – Forensic Toolkit” firmy „AccessData”.
2.oparte na „wolnej” licencji:−„The Sleuth Kit”,−„Helix”,−„DFF - Digital Forensics Framework”,−„SANS Investigative Forensics Toolkit - SIFT”,−„The Coroner's Toolkit”,−„CAINE”.
Oprogramowanie „X-Ways Forensics/WinHex”:
Wybrane funkcjonalności oprogramowania „X-Ways Forensics”:
–domyślny tryb pracy w trybie „read-only”, celem dodatkowego (oprócz np. blokera sprzętowego) zapewnienia integralności danych,–powielanie (klonowanie) i obrazowanie nośników danych, również w systemie DOS (za pomocą „X-Ways Replica”), z uwzględnieniem obszaru HPA,–wewnętrzne procedury obsługi systemów plików FAT, NTFS, Ext2/3, CDFS, UDF, HFS+ (Apple), ReiserFSoraz Reiser4 (Linux),–wbudowane mechanizmy interpretacji systemów RAID (RAID 0 i RAID 5) oraz dysków dynamicznycho rozmiarach większych od 2 TB,–podgląd oraz „zrzucanie” zawartości fizycznej pamięci RAM oraz wirtualnej pamięci uruchomionych procesów,–zróżnicowane techniki odzyskiwania danych, możliwość definiowania nowych oraz edycji sygnatur plików,–gromadzenie (jako jednego obiektu) z badanych nośników i obrazów tzw. „slack space”, „free space”
oraz przestrzeni między partycjami,–wykrywanie i dostęp do alternatywnych strumieni danych NTFS (ADS), –wbudowany przeglądarka plików graficznych (obsługuje formaty: JPEG, JPEG 2000, GIF, TIFF, Bitmap, PNG, TGA, PCX, WMF, EMF, MNG, oraz JBG),–zaawansowane mechanizmy wyszukiwania ciągów znakowych oraz indeksowania ich, możliwość stosowania wyrażeń regularnych,–weryfikacja sygnatur plików,–możliwość logowania wykonywanych czynności badawczych,–tworzenie raportów w formacie HTML,–przeglądarka rejestru systemów Windows,–automatyczna dekompresja skompresowanych plików systemu NTFS, archiwów ZIP, RAR, itd.,–obliczanie sum kontrolnych oraz zintegrowana baza porównywania „hash’y”.
Przykład (analiza entropii plików):
Przykład (analiza entropii plików):
obraz JPG
kontener TC
Telefony komórkowe
Nośniki informacji w telefonów komórkowych:
-Karta/karty SIM,-Karta pamięci,-Pamięć wewnętrzna telefonu.
Karta SIM identyfikowana jest poprzez numery:
-ICCID wydrukowany na powierzchni karty oraz zapisany w jej pamięci; 19 cyfrowy numer zawierający informację o kraju i operatorze sieci,
-IMSI zapisany w pamięci karty; 16 cyfrowy numer zawierający informację o kraju, sieci oraz abonencie.
Zabezpieczenia karty SIM:
-Kod PIN (zmienny),
-Kod PUK (stały).
Zapisy pamięci karty SIM:
- lista kontaktów- lista ostatnio wybieranych numerów telefonów,- wiadomości tekstowe SMS,- numer własny abonenta (może być dowolnie edytowany),- niekiedy informacja o ostatniej lokalizacji w sieci GSM,- parametry techniczne.
W obszarze danych kart pamięci mogą być zapisane:
- pliki multimedialne (zdjęcia, wideo, dźwięk),- pliki aplikacji systemu operacyjnego telefonu (np. nawigacji),- kopie danych z pamięci wewnętrznej telefonu (np. lista kontaktów).
W obszarze pamięci wewnętrznej telefonu mogą być zapisane:
- lista kontaktów,- rejestry połączeń (połączenia nieodebrane/odebrane/wychodzące/adresaci i nadawcy wiadomości SMS i MMS/połączenia pakietowe),- wiadomości tekstowe SMS, multimedialne MMS, raporty doręczeń,- zapisy kalendarza, organizera, listy spraw,- aplikacje systemu operacyjnego telefonu… nieograniczone możliwości, łącznie ze złośliwym oprogramowaniem (wirusami)
Urządzenia do pozyskiwania sygnału telewizyjnegoz pominięciem systemów dostępu warunkowego (sharing)
Zabezpieczanie urządzeń do pozyskiwania sygnału telewizyjnego
Ustawa z dn. 5.07.2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym
Art. 6: „1. Kto w celu użycia w obrocie, wytwarza urządzenia niedozwolone lub wprowadza je do obrotu, podlega karze pozbawienie wolności do lat 3. 2. Tej samej karze podlega , kto świadczy usługi niedozwolone.”
Art. 7:„1. Kto w celu osiągnięcia korzyści majątkowej, posiada lub używa urządzenia niedozwolone, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.2. Jeżeli sprawca używa urządzenia niedozwolonego wyłącznie na własne potrzeby, podlega grzywnie.”
Pozyskiwanie sygnału telewizyjnego
Sharing - technologia umożliwiająca zdalne udostępnianie karty
abonenckiej (przeważnie płatnych platform cyfrowych) przy użyciu sieci
lokalnej lub Internetu. W Polsce udostępnianie karty osobom
nieopłacającym abonamentu jest nielegalne, jednakże należy zauważyć,
że technologia ta może być wykorzystana również legalnie do
przekazywania uprawnień do odbioru programów telewizji satelitarnej w
obrębie jednego gospodarstwa domowego. Dostęp taki może być
realizowany poprzez dedykowany serwer lub przy użyciu tunerów
opartych o linuksowy system operacyjny.
Źródło: Wikipedia
Pozyskiwanie sygnału telewizyjnego
Odbiór legalny
Legalny odbiór telewizji kodowanej
Sygnał telewizyjnySłowo
kontrolne odkodowane
Słowo kontrolne
zakodowane
Sygnał kodowany
Pozyskiwanie sygnału telewizyjnego
Urządzenia niedozwolone - sprzęt zaprojektowany
• SPLITTER – zasada działania
SPLITTER
Pozyskiwanie sygnału telewizyjnego
• SHARING = splitter internetowy
SERWER
SHARINGUINTERNE
T
Pozyskiwanie sygnału telewizyjnego
Urządzenia dostępu warunkowego dotyczącePlatform Cyfrowych - przykłady
• DEKODERY WYNAJMOWANE LUB SPRZEDAWANE
• KARTYZAWSZE WYNAJMOWANE
Nietypowe nośniki informacji – podsłuch GSM
Nietypowe nośniki informacji – skimmery
Nietypowe nośniki informacji – skimmery
Cyfrowe rejestratory wideo DVR
Dziękuję za wytrwanie do końca prezentacji
Pytania ?
