Informatyka śledcza

Określenie informatyka śledcza nie jest dokładnym tłumaczeniem pierwotnego angielskiego wyrażenia computer forensic lecz w odpowiedni sposób oddaje znaczenie tego pojęcia. W dużym uproszczeniu informatyka śledcza polega na poszukiwaniu elektronicznych materiałów dowodowych. Specjaliści informatyki śledczej w gąszczu zer i jedynek poszukują informacji lub ich fragmentów i starają się złożyć z nich "elektroniczny odcisk palca".
Wbrew powszechnym przekonaniom informatyka śledcza nie sprowadza się jedynie do poszukiwana dowodów przestępstw komputerowych opisanych w kodeksie karnym ale wykorzystywana jest w przypadku tradycyjnych śledztw podczas których zachodzą okoliczności mogące wskazywać, że pewne poszlaki lub dowody mogą znajdować się na cyfrowych nośnikach danych.
Informatyka śledcza nie sprowadza się bowiem jedynie do komputera rozumianego jako domowy PC. Specjaliści informatyki śledczej poszukują informacji zapisanych w telefonach komórkowych, przenośnych pamięciach, aparatach fotograficznych, a nawet w całych sieciach komputerowych. Każdy nośnik cyfrowy skrywać może potrzebne informacje.
Jak podają specjaliści z Mediarecovery w jednym z wywiadów prasowych na informatykę śledczą składają się 3 wzajemnie uzupełniające się elementy:

• sprzęt,

• oprogramowanie oraz

• wiedza.

Sprzęt (hardware) używany przez informatyków śledczych

Podstawowym narzędziem, które nieodzowne jest w pracy specjalisty informatyki śledczej jest tzw. bloker. Urządzenie to podłączone do badanego nośnika danych pozwala na wykonanie jego kopii binarnej, lub zwykły odczyt blokując jednocześnie możliwość jakiejkolwiek ingerencji. Kopia binarna jest odtworzeniem oryginału bit po bicie. Różni się zatem od kopii wykonanej w tradycyjny sposób.

Z uwagi na dużą ilość różnego rodzaju portów i złączy w pracy specjalisty informatyki śledczej niezbędne są tzw. adaptery.

Zdjęcie nr 2 - adapter

Do kategorii sprzętu można zaliczyć również tak zwane zestawy przenośne wykorzystywane podczas pracy w terenie. Pozwalają one zabezpieczyć dowody elektroniczne bez zabezpieczenia, zajęcia komputera i przenoszenia go do laboratorium.

Zdjęcie 3 - zestaw przenośny

Do analizy telefonów komórkowych w większości laboratoriów zarówno komercyjnych jak i policyjnych stosuje się urządzenia rodem z Szwecji. Jak widać Skandynawowie technologie telefonii komórkowej mają we krwi w przeróżnych aspektach.

Zdjęcie 4 - zestaw do analizy telefonów komórkowych

Oprogramowanie używane przez informatyków śledczych

Na rynku funkcjonuje wiele różnego rodzaju programów computer forensic, zarówno komercyjnych, jak i open source. Profesjonalne firmy i osoby specjalizujące się w informatyce śledczej stosują programy komercyjne. Trudno bowiem posługiwać się rozwiązaniami informatycznymi niewiadomego autorstwa i pochodzenia w przypadku kiedy chce się obronić zdobyte dowody elektroniczne. Wprawny adwokat może próbować je podważyć.
Powszechnie stosowane są przede wszystkim produkty amerykańskie: EnCase autorstwa firmy Guidance Software oraz Forensic Toolkit autorstwa Access Data. Obydwa programy stosowane są przez organa ścigania oraz różnego rodzaju agencje zapewniające zachowanie bezpieczeństwa i porządku publicznego na całym świecie.

Wiedza

Umiejętne wykorzystanie sprzętu i oprogramowania dedykowanego poszukiwaniu dowodów elektronicznych nie jest możliwe bez odpowiedniej wiedzy. Firmy produkujące narzędzia computer forensic dbają zwykle o dobre wyszkolenie użytkowników. Dostęp do fachowej wiedzy nie jest jednak tani. Dlatego też biegli sądowi z zakresu informatyki nie mają szans zdobycia takich umiejętności jak pracownicy wyspecjalizowanych firm.

Producenci narzędzi wydają własne certyfikaty potwierdzające wysoką wiedzę z zakresu informatyki śledczej.
EnCE - certyfikat wydawany przez Guidance Software. W Polsce posiadają go jedynie dwie osoby zatrudnione w laboratorium Mediarecovery.
ACE - certyfikat wydawany przez AccessData.

Dowód elektroniczny

Według najprostszej definicji dowód elektroniczny jest informacją w formie elektronicznej mogącą mieć znaczenie dowodowe. Istniejący "sam w sobie" w postaci informacji zapisanej na nośniku, gdzie sam nośnik nie jest dowodem. Dowodem rzeczowym będzie informacja stanowiąca właściwość nośnika.
Dowód elektroniczny charakteryzuje się następującymi cechami:

• jest łatwy do modyfikacji

• wymaga szczególnych środków technicznych do jego zabezpieczenia

• ma poszlakowy charakter

• kopia (binarna) równa jest oryginałowi

Posiada cechy poszlaki. Dopiero w zestawieniu z innymi faktami, może wskazywać na sprawcę przestępstwa. Należy mieć na uwadze, iż cyberprzestrzeń daje możliwości łatwego podszywania się pod inną osobę. Analiza zgromadzonego materiału wykaże jedynie przykładowo numery IP, czy MAC, które będą wskazywały na użytkownika, a nie na rzeczywistego sprawcę. Dopiero w zestawieniu z przykładowo przesłuchaniami, monitoringiem, można określić sprawcę.

Dowód elektroniczny wprowadza się zarówno do procesu karnego, cywilnego, jak i administracyjnego. W prawie karnym dowód elektroniczny traktowany jest jako dowód rzeczowy, lub jako dokument. W Kodeksie Postępowania Karnego brak jest definicji legalnej dowodu elektronicznego. Definicję dokumentu natomiast przewiduje Kodeks Karny w art. 115. Jednakże dla celów procesowych nie powinno się uwzględniać prawno materialnej definicji dokumentu.

Dowód elektroniczny mimo traktowania go w sposób tradycyjny, posiada charakterystyczne cechy, i jako taki musi być odpowiednio przygotowany.

Dowód elektroniczny można łatwo spreparować, zmodyfikować, a nawet zniszczyć. Aby dowód elektroniczny mógł w ogóle być traktowany jako dowód (nosił wartość dowodową), musi być odpowiednio zabezpieczony, uwierzytelniony, a następnie przeanalizowany przez specjalistów.

Co ważne aby dowód elektroniczny nie został podważony, podobnie jak inne dowody rzeczowe być autentyczny, wierny, kompletny i przystępny.
Wierności i autentyczności służą suma kontrolna oraz łańcuch dowodowy.

Suma kontrolna jest swoistym "odciskiem palca" zbioru informacji znajdujących się na nośniku. Specjalista przy użyciu odpowiedniego sprzętu i oprogramowania musi wygenerować sumę kontrolną dla zabezpieczanych informacji. Jeżeli po zabezpieczeniu, nastąpi jakakolwiek ingerencja w informacje zabezpieczone, suma kontrolna ponownie wygenerowana, będzie się różniła od sumy wpisanej do protokołu zabezpieczenia.

Suma kontrolna przyjmuje postać ciągu 32 znaków alfanumerycznych. Można ją wygenerować na każdym etapie pracy nad materiałem dowodowym.

Łańcuch dowodowy wpływa w sposób bezpośredni na wartość dowodu. Łańcuch dowodowy, który można podważyć, prowadzić może na obalenie dowodu. Najprościej rzecz ujmując powinien on, poprzez dokumentację materialną (jak protokół), gwarantować przejrzystość zabezpieczenia, badania i prezentacji dowodu tak, aby zawsze istniała pewność, iż dowód, ze względu na swoje cechy, nie został w jakikolwiek sposób zmieniony. Łańcuch dowodowy służy kontroli dowodu pod kątem wiarygodności w trakcie procesu analizy. Ważne jest przy tym, aby łańcuch był maksymalnie krótki, tj. aby ilość osób zaangażowanych w postępowanie była jak najmniejsza, a każda zmiana osoby i ewentualnie wykonywana operacja była odnotowana w odpowiednim protokole. Łańcuch nie może posiadać żadnych luk. Luką może być np. przesłanie nośnika z dowodem pocztą lub oprogramowanie użyte do zabezpieczania nieposiadające cech wiarygodności, a nawet użyte bez odpowiedniej licencji. Każda osoba pracująca nad dowodem musi wpisać dokładny czas kiedy miała z nim styczność, jak również wygenerować sumę kontrolną w celu uwierzytelnienia. Te dane umieszcza się dokumencie stanowiącym łańcuch dowodowy.

Podczas opracowywania tekstu korzystaliśmy m.in. z informacji zawartych na następujących witrynach internetowych:

www.mediarecovery.pl - największa polska firma computer forensics.
www.forensictools.pl - jedyny polski sklep on-line z ofertą dla specjalistów computer forensic.
www.accesdata.com - producent oprogramowania computer forensic
www.guidancesoftware.com - producent oprogramowania computer forensic
www.msab.com/en/ - producent sprzętu i oprogramowania do analiz telefonów GSM.

Marek Chromik
Zbigniew Engiel

---