614373545

Maciej Szmit

względu, w przypadku analizy sądowo-informatycznej informatycznych nośników danych niezbędne jest korzystanie z mechanizmów sprzętowych lub programowych, zabezpieczających badany nośnik przed modyfikacją (tzw. blokerów zapisu). W przypadku standardowych dysków stosuje się zazwyczaj blokery sprzętowe, a w przypadku dysków z niestandardowymi interfejsami (np. dysków SSD wlutowanych w płytę komputera) - blokery programowe. Prawidłowy sposób procesowego zabezpieczenia cyfrowych nośników informacji oraz prowadzenia ich analizy wykracza poza tematykę tej monografii¹⁰⁵. Na pewno należy pamiętać o odpowiednim zaplanowaniu czynności (włącznie z oszacowaniem ile i jakiego rodzaju urządzeń będzie w czasie zabezpieczenia potrzebnych¹⁰⁶, jaki może być szacunkowy czas trwania czynności, czy i kiedy w trakcie zabezpieczenia programy. Efektem tych działań było oczywiście zamazanie części historii użytkowania komputera, zmiany czasów MAC, zawartości pamięci wirtualnej itd. W tej sytuacji wydanie opinii było niemożliwe z powodu zerwania ciągłości łańcucha dowodowego przez nieudokumentowane operacje na nośniku, wprowadzenie szeregu zmian danych zapisanych na nośniku i znaczne zanieczyszczenie materiał badawczego. Dodatkowo osoba prowadząca oględziny wykazała się nie tylko skrajnym brakiem wiedzy, ale i prawdopodobnie dopuściła się czynów karalnych, fałszując dokumenty śledztwa (w protokole oględzin podano nieprawdziwe informacje na temat czasu i liczby uruchomień komputera). Wobec tego nie można było w sposób uzasadniony przypuszczać, że pozostałe znajdujące się na nośniku treści są tożsame z treściami znajdującymi się na nim w chwili zabezpieczenia materiału dowodowego. Stan materiału dowodowego przekazanego do badań uniemożliwiał wydanie opinii, zadaniem biegłego nie jest bowiem dywagowanie na temat ewentualnych możliwych sytuacji, ale poinformowanie gospodarza postępowania o istniejącym stanie rzeczy.

¹⁰⁵    W załączniku zamieszczono rekomendacje dotyczące zabezpieczenia dysków twardych opracowane przez Sekcję Informatyki Sądowej Polskiego Towarzystwa Informatycznego w 2009 r. Warto również zapoznać się z normą [ISO/IEC 27037:2012], przy czym należy pamiętać, że systemy prawne poszczególnych krajów mogą implikować tryb postępowania z materiałem dowodowym. Zob. też: J. Meteńko: Moznosti A Vi/uzivanie KAI technologii Pri Kontrole Zauaznej Kriminality, „Securitologia" Nr 6/2007, s. 112-118; J. Meteńko: Kriminalisticke metody a moznosti kontroli/ sofistikounnej kriminaliti/, Akademia PZ, Bratislava 2(X)5.

¹⁰⁶    Na przykład jeśli badanie ma być prowadzone w trybie live trzeba zapewnić odpowiednią ilość nośników, na których zostaną zapisane wyniki (ewentualnie, na które będzie wykonana kopia nośników oryginalnych), jeśli w czasie badania grozić będzie utrata zasilania (a więc związane z tym konsekwencje w postaci wyłączenia i unieruchomienia sprzętu), należy zadbać o odpowiednie zasilanie awaryjne itd.

48