Informatyka śledcza - znane przypadki (część II)

1. Dostarczenie elektronicznych środków dowodowych do trzech krajów jednocześnie

Eksperci działu Ontrack Forensics otrzymali zlecenie tzw. akwizycji danych polegającej na skopiowaniu informacji elektronicznych w taki sposób, aby nie straciły one wartości dowodowej (narzędzia wykorzystywane przez Kroll Ontrack pozwalają na zachowanie tzw. sumy kontrolnej. Jej niezmieniona wartość gwarantuje brak ingerencji w zawartość zabezpieczanych plików elektronicznych). Identyczną operację przeprowadzili w tym samym czasie specjaliści Kroll Ontrack w Niemczech i we Francji. Zleceniodawcą był zarząd francuskiej firmy farmaceutycznej.

Powodem do zatrudnienia „elektronicznych detektywów” było podejrzenie o malwersacje finansowe zarządu polskiego oddziału firmy, którego członkowie otworzyli firmę pośredniczącą w zakupach dla koncernu oferując towary po cenach nierynkowych i powodując w ten sposób powstanie wymiernych strat dla firmy.

Operacja zebrania materiałów dowodowych przeprowadzana w każdym z trzech krajów tej samej nocy odbyła się w obecności prawnika, notariusza i służby ochrony mienia. Specjaliści Kroll Ontrack skopiowali dane z każdego komputera w firmie oraz z urządzeń służących do archiwizacji danych firmowych. Każde z miejsc pracy zostało sfotografowane.

Dane z Niemiec i Polski trafiły następnie do Francji. Podobnie jak dane z siedziby głównej koncernu, zostały poddane analizie. Wynikało z niej, że przypuszczenie działania na szkodę koncernu przez zarząd polskiego oddziału firmy jest prawdziwe.

Po analizie wyników analizy zarząd francuskiego koncernu zdecydował się na zmianę całego personelu polskiego oddziału (zarządu i pracowników). Nie wiadomo, czy członkom zarządu wytoczono procesy.

2. Kradzież i wykorzystanie danych przez konkurencję

Udostępnianie danych osobom, które przeprowadzają dla danej firmy określone projekty może niekiedy okazać się niezwykle ryzykowne. Doświadczyło tego jedno z największych biur projektowych, które na potrzeby realizacji jednego ze swych zleceń postanowiło podjąć współpracę z inną firmą. Miała ona wesprzeć działania biura i wraz z jego pracownikami utworzyć zespół zajmujący się projektem przez następne czternaście miesięcy.

Powołany zespół pracował w siedzibie biura projektowego (zleceniodawcy). Dzięki temu pracownicy firmy wspomagającej biuro mieli potencjalną szansę na bezprawny dostęp do wszelkich danych znajdujących się na komputerach ich zleceniodawcy.

W trakcie realizacji projektu pracownicy biura przypadkowo odkryli, iż na rynku pojawiły się produkty bazujące na rozwiązaniach technologicznych stworzonych przez nich samych. W tej sytuacji, obawiając się przecieku, przeprowadzono analizę komputerów pracowników, serwerów danych oraz przesyłanych dokumentów. Pozwoliło to na ustalenie źródła przecieku, którym okazał się zespół projektowy, a dokładnie jeden z pracowników firmy zatrudnionej przez biuro. Ustalono, że kilkakrotnie włamywał się on na serwery, gdzie przechowywane były dane pochodzące z innych projektów, po czym przesyłał je na serwery swej macierzystej firmy.

Odkrycie tych działań nie byłoby możliwe bez szczegółowej analizy komputerów biura projektowego, dokonanej przez specjalistów i poprawnego zabezpieczenia elektronicznych środków dowodowych, które mogły być użyte w sądzie. Zarazem przypadek ten pokazuje, jak istotne jest zabezpieczenie danych firmy, których wykorzystanie może być w przyszłości przyczyną jej poważnych problemów.

3. Komputer wyrzucony z okna

Dane z odzysku mogą być i bywają dowodami przestępstw. Osoby, które łamią prawo pilnie strzegą informacji mogących je pogrążyć.

Ponieważ wiele takich danych jest archiwizowanych na komputerach (często przenośnych) jedną z metod oskarżenia przestępcy jest zgromadzenie elektronicznych dowodów łamania prawa, czyli danych zapisanych w formie elektronicznej.

Przestępcy najczęściej korzystają z komputerów przenośnych. Pozwala im to na ciągły nadzór nad ważnymi danymi.

W razie potrzeby jest też łatwiej pozbyć się notebook’a niż setek lub tysięcy kartek papieru. Tak przynajmniej sądził ścigany przez policję przestępca. Księgowy jednej z dużych grup przestępczych. Uciekając po schodach budynku, dotarł na dach i zrzucił z niego komputer przenośny z obciążającymi go danymi.

Ponieważ informacje te mogły być decydujące w śledztwie do odzyskania danych zatrudniono Kroll Ontrack. Cały komputer po upadku był mocno zniszczony. Jednak z uszkodzonego dysku udało się odzyskać ok. 7 proc. danych. Taka ilość informacji wystarczyła do obciążenia podejrzanego.

4. Elektroniczne dowody fałszerstw

Do firmy Kroll Ontrack trafiło zgłoszenie przesłane przez prokuraturę prowadzącą śledztwo w sprawie fałszowania dokumentów.

Podczas przesłuchań trzy zatrzymane osoby posługujące się sfałszowanymi dokumentami przyznały się do winy. Jednocześnie w czasie przesłuchań okazało się, że współpracował z nimi informatyk, który przygotowywał w wersji elektronicznej kopie dokumentów tożsamości, zaświadczeń o zatrudnieniu i pieczątek.

Po tym zeznaniu prokuratura wydała nakaz aresztowania podejrzanego o fałszerstwo oraz nakazała zarekwirowanie sprzętu komputerowego z użyciem którego dokonywano fałszerstw.

Na porę zatrzymania podejrzanego wybrano wieczór. W czasie interwencji funkcjonariuszy fałszerz dokumentów próbował zniszczyć komputer uderzając nim o ziemię. Jego działania odniosły skutek ponieważ dysk twardy, który znajdował się w jego laptopie uległ uszkodzeniu fizycznemu – jego elementy mechaniczne zostały uszkodzone.

W takim przypadku jedynym możliwym sposobem odzyskania danych jest otwarcie nośnika w laboratoryjnych warunkach oraz wykorzystanie technologii umożliwiającej odtworzenie danych bezpośrednio z otwartego nośnika.

W przypadku fałszerza specjaliści katowickiego laboratorium Kroll Ontrack odzyskali 74 pliki zawierające wzorce spreparowanych dokumentów. Informacje te posłużyły jako materiał dowodowy w prowadzonym przez prokuraturę dochodzeniu.

5. Była pracownica oskarżona o przyczynienie się do upadku firmy

Pracownica jednej z katowickich firm założyła podczas trwania stosunku pracy własną firmę. Bankrutujący pracodawca obwinił ją o problemy swojej firmy, które miały być spowodowane tym, iż pracownica w czasie pracy wykonywała czynności związane z jej prywatną firmą zaniedbując obowiązki służbowe.

Pracownica twierdziła, że wszystkie czynności związane ze swoją firmą wykonywała po pracy. Jako dowód zleciła analizę operacji wykonywanych z użyciem komputera „elektronicznym detektywom” - specjalistom Kroll Ontrack, którzy przeanalizowali dane znajdujące się w komputerze pracownicy. Okazało się, że kobieta wykonywała wszystkie czynności związane z prowadzeniem własnej firmy po godzinach pracy. Pracodawca odstąpił od skierowania sprawy do sądu.