Metody záchrany dat při forenzním auditu

18. 7. 2006

Sdílet

Záchrana dat jako služba má z mnoha úhlů pohledu velmi široký záběr. Předmětem záchrany může být (a v poslední době rozhodně je) jakýkoli nosič dat, od velkých diskových polí přes disky a flashové paměti až po vypalovací média.

Formát, organizace a kontext dat na nosičích se liší podle použitého souborového a operačního systému, a pokud postoupíme o stupínek výše, tak i podle aplikace, která pro uložení svých dat služby souborového a operačního systému využila.
Základním předpokladem pro úspěšnou záchranu dat je hluboká interní znalost techniky zařízení/nosiče, souborového systému, operačního systému a aplikace, a to nikoliv z pohledu aplikačního programátora nebo technika, ale spíše z pohledu konstruktéra nebo tvůrce či vývojáře. Záchrana dat se používá vždy, když některá informace chybí (oblast SW problémů), nebo je nečitelná (oblast HW problémů). Interní znalosti jsou pak nutné k tomu, abychom mohli zařízení alespoň v laboratorních podmínkách zprovoznit nebo chybějící informace odvodit či vhodně nahradit a dosáhnout tak cíle - obnovení maximálního možného množství dat.
V reálném světě ovšem ke ztrátám dat nedochází jen z důvodu zásahu vyšší moci, opotřebení či neúmyslného omylu. Forenzní audit se zaměřuje na odhalení nebo prokázání účetních podvodů, zpronevěr a podobných protiprávních stavů a jednání, což se v dnešní době téměř výhradně děje za plné nebo alespoň částečné podpory počítačů. Navíc se může jednat přímo o zneužití (vynesení, znehodnocení) počítačových dat, které nemá přímou nebo žádnou souvislost s účetní, skladovou, logistickou apod. operací.
Osoba, která se takového jednání dopouští, si je velmi často vědoma toho, že použitím počítače zanechává stopy, a proto se je snaží zahladit. Zejména v situacích, kdy na počítači dojde přímo k provedení operace nebo operací, méně pak v situaci, kdy je počítač použit ke komunikaci (elektronická pošta, dokument, tabulka, vyplnění formuláře na webovém serveru apod). Způsob, jaký uživatel pro zahlazení stop zvolí, odpovídá míře znalostí výpočetní techniky a podle zkušeností, které jsme získali za mnoho let práce, obsáhne skoro vše - od smazání a vyčištění dat přes rozbití disku sekerou až po úmyslné založení požáru. Úplná likvidace dat, která by zároveň hned neodhalila původce, je ale velmi obtížná a bez speciálního vybavení v podstatě nemožná. Při použití běžných programových prostředků může dojít k situaci jako na obrázku.
Vzhledem ke způsobu dělení prostoru na bloky (clustery) nemusí vždy dojít ke spolehlivému přepsání všech informací. Skenování disku, které "rozumí" formátům používaným aplikacemi jako jsou textové a tabulkové procesory, naznačený zbytek nalezne a extrahuje. Bloky mají podle kapacity zařízení až desítky kB a lze takto objevit třeba nějakou verzi dopisu, e-mailu nebo dat, která byla při procesu tisku uložena ve vyrovnávací frontě.
Při záchraně dat je vždy cílem v maximální možné míře obnovit obsah, formát i kontext dat. Při forenzním auditu ale často postačí prokázat nebo nalézt pouze kontext, kontext a fragmenty obsahu nebo pouze fragmenty obsahu. Podobá se to policejní práci, kdy podezřelý může jen obtížně tvrdit, že oběť neznal, když má ve svém mobilu uložené její číslo a v kalendáři záznam o schůzce. Obdobně při počítačovém forenzním auditu hledáme, zda se na počítači nebo jiném zařízení pro zpracování dat vyskytl nějaký dokument, byla vytištěna, exportována, odeslána nebo přijata nějaká data, a to například s ohledem na výskyt textu, který prošetřované podezření charakterizuje.
Při komplexním auditu je postup obecnější a metody záchrany dat představují jednu z několika cest, jak data shromáždit, protože (jak je naznačeno na dalším obrázku) se pracuje i s daty, která nijak skryta nebo poškozena nejsou, analyzují se a skenují papírové dokumenty, zálohy, archivy atd. Shromážděná data jsou vyčištěna a indexována, což umožňuje jejich důkladné zkoumání a nalezení skutečně všeho, co se týká třeba konkrétního obchodního případu. Tyto služby jsou poskytovány auditorským firmám, kriminalistům i vlastníkům dat. Metodu ale lze s výhodou uplatnit i tehdy, kdy k žádnému zločinu nedošlo - například při fúzi firem HP a Compaq byla tímto způsobem sjednocena dokumentace zejména v oblasti obchodních, marketingových a právních dokumentů. Různorodost dat by ani jiný způsob reálně neumožnila. Například firma Novell Inc. při konsolidaci informačních systémů zjistila, že důležitá data se vyskytují ve 160 (!) různých systémech, od textových procesorů a tabulek až po personální systém a účetnictví.
Technické možnosti laboratoře pro záchranu dat jsou v některých ohledech stejně šokující jako schopnosti lékařské vědy. Sama možnost nalezení nebo prokázání dat naznačeným způsobem ale neznamená záruku, že výsledky auditu budou správné a objektivní. Proto je technická a zejména právní konzultace na prvním, nikoliv na posledním místě.

Autor pracuje ve společnosti TDP-Ontrack.

Autor článku