614373548

Wybrane zagadnienia opiniowania sgdowo-informatycznego - Opiniodawcza rola informatyki

należy zdecydować o odłączeniu urządzeń od sieci komputerowych¹⁰⁷) i o konieczności dokumentowania zastanego stanu (np. jakie urządzenie w jaki sposób było połączone z innymi, włącznie z wykonaniem fotografii) i podjętych działań. Warto zaznaczać, że podstawową zasadą jest wykonanie kopii binarnej nośnika i prowadzenie badań na niej¹⁰⁸, co - w przypadku współczesnych dysków twardych o pojemnościach rzędu terabajtów - może trwać nawet kilkanaście godzin¹⁰⁹. Z tego powodu w miarę możliwości nie powinno się prowadzić analizy sprzętu komputerowego „na miejscu", ale zlecać wydanie opinii pisemnej wraz z analizą zabezpieczonego materiału dowodowego¹¹⁰. Oczywiście w sytuacji, gdy mowa jest o zawartości maszyn,

¹⁰⁷    Chodzi zarówno o kwestie takie jak uniemożliwienie ewentualnego zdalnego dostępu,

0    wpływ odłączenia od sieci na działające programy, jak i wreszcie o tryb synchronizacji zegarów systemowych z czasem sieciowym: weryfikacja zgodności czasu wskazywanego przez urządzenie z czasem rzeczywistym ma bowiem kluczowe znaczenie w przypadku analizy metadanych obejmujących czasy ostatniej modyfikacji, ostatniego dostępu do pliku

1    jego utworzenia (tzw. czasy MAC, ang. Modification, Access, Creation).

¹⁰⁸    Nieco inne postępowanie może mieć miejsce w przypadkach, gdy obiektem badanym jest komputer, który musi, z takich czy innych względów, cały czas pracować (np. serwer obsługujący procesy technologiczne), bądź działania prowadzone w czasie, gdy maszyna została zdalnie przejęta przez napastnika, mające na celu jego identyfikację in flagrnnte delicto (wówczas stosuje się metody z grupy tzw. live forensic). W inny sposób bada się również urządzenia takie jak smartfony czy tablety, których nie da się badać bez ich włączenia.

¹⁰⁹    Można rozważać, czy w sytuacjach granicznych (kiedy np. istotne jest odszukanie na dysku pojedynczego pliku, co do którego wiadomo, że nie jest w żaden sposób ukryty ani zaszyfrowany) dopuszczalna byłaby praca na oryginalnym materiale dowodowym (mniejsze jest prawdopodobieństwo choćby uszkodzenia dysku w czasie pojedynczego przeszukiwania niż w czasie robienia pełnej kopii, również czasochłonność, a co za tym idzie i koszty standardowego postępowania byłyby wyższe), niemniej, jak wskazuje praktyka, posiadanie kopii bitowej dysku jest niemal zawsze wskazane (oryginalny nośnik może ulec zniszczeniu związanemu z np. niewłaściwym magazynowaniem, mogą pojawić się dodatkowe pytania odnośnie do zawartości nośnika itd.). Jak się zatem wydaje, na takie „nieformalne" postępowanie z nośnikami można sobie pozwolić wyłącznie przy okazji działań pozasądowych, a i to tylko tych mniej istotnych, czy wymagających bardzo krótkiego czasu wykonania ekspertyzy. Oczywiście zawsze (a już szczególnie w sytuacji, która wymaga pośpiechu) należy stosować blokery zapisu.

f

¹¹⁰    Stowarzyszenie Instytut Informatyki Śledczej (http://www.siis.org.pl/najlepsze-praktyki/ zabezpieczanie.html) podaje następujące dobre praktyki związane z zabezpieczaniem dowodów elektronicznych:

49