Firmy coraz częściej wykorzystują narzędzia informatyki śledczej
Rośnie popyt na usługi związane z informatyką śledczą wśród polskich firm. Urządzenia mobilne stają się podręcznym komputerem, przechodzi przez nie coraz więcej danych, a informacje zawarte w pamięci mogą być warte miliony złotych. Przedsiębiorcy coraz częściej chcą mieć możliwość odzyskania danych zawartych na urządzeniach – wiadomości tekstowych i mailowych czy historii połączeń telefonicznych.
– Obecnie najczęściej odzyskujemy SMS-y oraz informacje zapisane na urządzeniach mobilnych, a także historie połączeń internetowych czy komunikację z czatów zapisywanych na urządzeniach mobilnych – wskazuje w rozmowie z agencją Newseria Biznes Piotr Rzuchowski, analityk śledczy w MiP Data Recovery, firmie zajmującej się odzyskiwaniem danych.
Choć obecnie większość zleceń pochodzi od osób prywatnych, to rośnie popyt na takie usługi wśród polskich przedsiębiorstw. Dla przykładu, laboratorium informatyki śledczej Mediarecovery zanotowało w ubiegłym roku 7-proc. wzrost zleceń od firm, łącznie stanowiły one 22 proc. wszystkich spraw. Na Zachodzie narzędzia informatyki śledczej są od lat wykorzystywane przez przedsiębiorców. W Polsce już coraz częściej firmy zauważają możliwości, jakie daje odzyskiwanie danych. Jak wskazuje Rzuchowski, zainteresowanie wykazują przede wszystkim mniejsze firmy z różnych regionów kraju.
– Obserwujemy zainteresowanie wśród firm związanych z handlem. Chcą wiedzieć, co dokładnie robili z telefonem handlowcy, którzy porzucili prace, do kogo wysyłali SMS-y, komu przekazywali informacje – mówi ekspert MiP Data Recovery.
Klienci są zainteresowani historią rozmów i połączeń telefonicznych. Jeśli był obsługiwany komunikator internetowy, odzyskiwane są również i te informacje. Analityk śledczy przekonuje, że liczba zleceń od przedsiębiorców będzie rosła.
– Ten rynek dopiero się otwiera i w niedługim czasie będzie największy boom. Urządzenie mobilne staje się komputerem osobistym. Już nie musimy chodzić z laptopem, wszystkie dane będą przechodziły przez smartfona. Dlatego coraz więcej osób będzie próbowało odzyskiwać różne dane – ocenia Rzuchowski.
Większość firm nie stosuje żadnych narzędzi ochrony urządzeń mobilnych swoich pracowników. Z badań przeprowadzonych przez F-Secure wynika, że tylko co trzecia firma stosuje takie środki, zaś 40 proc. wdrożyło programy, które umożliwiają zarządzanie urządzeniami przez działy IT. Tymczasem informacje zawarte w pamięci smartfonów czy tabletów mogą być istotne z punktu widzenia interesów firmy, mogą też pełnić charakter dowodowy w toczących się sprawach.
– Niekiedy są to informacje warte miliony złotych. Jeśli ktoś był na szczeblach władzy, miał dostęp do kluczowych informacji. Można więc powiedzieć, że pozyskanie takich danych z urządzeń jest cenniejsze niż cokolwiek innego – przekonuje ekspert MiP Data Recovery.
Rośnie też zainteresowanie włączeniem informatyki śledczej w systemy bezpieczeństwa IT. Zwłaszcza że dzięki urządzeniom mobilnym można odzyskać także dane zamieszczone w chmurze.
– Mamy możliwość odzyskania haseł z urządzenia mobilnego. Mając to urządzenie, mamy dostęp do różnych haseł, możemy nie tyle bezpośrednio tam wejść, ale mamy do tego dostęp – wskazuje Rzuchowski.
Laboratoria informatyki śledczej dysponują kilkoma sposobami na odzyskanie danych z urządzeń mobilnych. Różnią się efektywnością pozyskanych informacji czy stopniem ingerencji w urządzenie.
– Pierwszą metodą jest modyfikacja systemu. W systemie Android zrobienie roota daje możliwość wykonania pełnego obrazu poprzez komendę dd całej pamięci fizycznej. Druga metodą jest Direct MMC, która umożliwia wykonanie pamięci fizycznej poprzez odpowiednie PIN-y znajdujące się na płycie telefonu. JTAG to natomiast specjalny interfejs, poprzez który wlutujemy się boksem serwisowym do płyty głównej i sczytujemy pamięć fizyczną – tłumaczy Rzuchowski.
Najdelikatniejszą, ale i najbardziej efektywną metodą jest chip-off, polegająca na wylutowaniu kości pamięci. Jest rzadko stosowana, ale w niektórych przypadkach jest jedyną opcją. Wiąże się z bezpośrednią ingerencją w strukturę nośnika. Szansę, że urządzenie pozostanie potem sprawne, ekspert ocenia na 30 proc. Dlatego chip-off jest wykorzystywana wtedy, gdy wartość danych przekracza wartość sprzętu.
Źródło: Newseria