Informatyka śledcza ma na celu odszukanie, zabezpieczenie i dostarczenie elektronicznego materiału dowodowego, świadczącego o popełnionym przestępstwie, nadużyciu, czy zaistniałym incydencie. Tradycyjnie informatycy śledczy zabezpieczają nośnik, którego kopia binarna poddawana jest następnie szczegółowej analizie (tzw. model post mortem). Jednak dziś, kiedy odchodzi się od tradycyjnych nośników danych zainstalowanych w urządzeniach na rzecz chmury obliczeniowej, a także kiedy wiele informacji dostarczają dane ulotne, coraz większe znaczenie odgrywa informatyka śledcza w modelu live forensic.

Na pierwszy rzut oka model ten „gryzie się” z podstawową zasadą tradycyjnej informatyki śledczej – „widzę wszystko, nie zmieniam nic” i pracy na kopii – zapewniających pełną integralność materiału dowodowego oraz rozliczalność działań podjętych przez informatyka śledczego. 

Zatem, czy materiał dowodowy zgromadzony metoda live forensic może zostać wykorzystany przed sądem?

Jednym z najczęściej podnoszonych w praktyce zarzutów wobec elektronicznego materiału dowodowego polega na wskazaniu, że osoba zabezpieczająca ten materiał dokonała jego modyfikacji, przez co przestaje on być wiarygodny. Z tego właśnie względu informatycy śledczy nie ingerowali w oryginalny nośnik, który zabezpieczali w sposób uniemożliwiający dokonywanie jakichkolwiek modyfikacji, natomiast analizy dokonywali na kopii binarnej. Z reguły wyłączali urządzenie i zabierali je celem sporządzenia kopii i przeprowadzenia analizy (analiza post mortem). 

Dziś dane, które mogą mieć znaczenie dla rozstrzygnięcia sprawy, a więc które mogą stanowić dowód w postępowaniu przed sądem, nie znajdują się często na urządzeniu, ale na wirtualnym dysku (w chmurze), z którym urządzenie łączy się poprzez mobilny internet. Z drugiej strony, nawet jeśli mamy do czynienia z „tradycyjnym” urządzeniem wyposażonym we własny dysk to po pierwsze, mając na uwadze często gigantyczną pojemności takich dysków nie warto zabezpieczać ich w całości, ale dokonać pewnej selekcji (tzw. TRIAGE), a po drugie nie można ignorować informacji gromadzonych na nośnikach danych ulotnych np. w pamięci RAM, która obecnie może mieć 8 GB (i więcej) pojemności. I w końcu warto pamiętać, że wyłączenie urządzenia może być nieodwracalne i w przypadku skutecznego szyfrowania utraci się dostęp do danych.

Rozwiązaniem wskazanych wyżej problemów, a przede wszystkim pisze tu o danych ulotnych i wszystkich procesach i informacjach, które tracimy wyłączając urządzenie, zdaje się być przeprowadzanie „operacji na żywym organizmie”, a więc na uruchomionym urządzeniu i jego oryginalnych nośnikach (trwałych i ulotnych), przy otwartym dostępie do aktualnie uruchominonych procesów i np. danych znajdujących się w chmurze (problematyka możliwosci analizy i zabezpieczenia danych w chmurze doczeka się odrębnego wpisu). Poprzez odpowiednie narzędzia informatyk śledczy podłącza się do działającego systemu i dokonuje zabezpieczenia danych (po ich wcześniejszej ocenie i selekcji), które następnie analizuje. 

Jednak z modelem live forensic wiąże się klika poważnych problemów.

Pierwszy dotyczy nieuniknionego pozostawianie śladów działalności informatyka śledczego w analizowanym systemie i na badanych nośnikach, a więc może naruszać integralność. Z technicznego punktu widzenia nie da się bowiem ingerować w system (używać go) bez pozostawiania śladów tej ingerencji, np. w pamieci RAM, na której akrat nam zależy. To zaś naraża na zarzut, o którym wspominałem wyżej, który może skłonić sąd do uznania dowodów za niewiarygodne (skoro zabezpieczający i analizujący dowód mógł wpłynąć na jego treść). 

Drugi dotyczy wątpliwości, czy dokonujący zabezpieczenia informatyk śledczy, działający nawet na zlecenie organów ścigania w ramach postępowania przygotowawczego, jest uprawniony do zabezpieczenia i analizy danych znajdujących się na wirtualnym dysku (w chmurze), dostępnych za pośrednictwem badanego sprzętu (systemu). Czy organy ścigania nie powinny jednak zwrócić się o udostępnienie tych danych do podmiotu świadczącego usługę w chmurze na rzecz osoby, której sprzęt jest analizowany? Tak jak pisałem wyżej, to temat na odrębny wpis.

Analiza sprzętu komputerowego (zasobów systemu informatycznego) w ramach postępowania karnego to nic innego jak instytucja przeszukania (patrz art. 236a kpk), dokonywana w celu znalezienia rzeczy (informacji) mogących stanowić dowód w sprawie. Należy pamiętać, że podstawą przeszukania jest uzasadnione podejrzenie, że poszukiwane rzeczy, a w naszym przypadku dane informatyczne, znajdują się tam, gdzie są poszukiwane, a więc na danym urządzeniu/systemie. W przypadku danych w chmurze, informacje znajdują się gdzieś na serwerze podmiotu świadczącego usługi cloudcomputingu. Jeśli poprzez badany sprzęt brak jest dostępu do danych w chmurze np. ze względu na konieczność podania loginu i hasła, nie pozostaje nic innego jak zwrócić się do usługodawcy o udostępnienie znajdujących się w chmurze danych.

Co jednak w przypadku, kiedy dostęp przy pomocy badanego sprzętu jest możliwy? Czy można takie dane zabezpieczyć? To kolejna zajawka następnego wpisu 🙂

Jeśli chodzi o zabezpieczenie się przed ewentualnym zarzutem naruszenia integralności zabezpieczanego materiału dowodowego, zabezpieczenie powinno odbywać się z poszanowaniem dobrych praktyk, tj.:

  • precyzyjne dokumentowanie każdej czynności – protokół – pomocnym rozwiązaniem może być protokołowanie również za pomocą urządzenia rejestrującego obraz i dźwięk,
  • udział w czynnościach kliku osób, sporządzających własne notatki ze wszystkich dokonywanych czynności i  ich rezultatów,
  • używanie uruchomionego systemu w minimalnym, niezbędnym zakresie (bez otwierania niepotrzebnych okien i programów; bez niepotrzebnego zamykania już uruchomionych, itd.)
  • używanie odpowiednich narzędzi informatyki śledczej, dedykowanych dla metody live forensic, podłączanych przez zewnętrzne porty (bez instalacji na badanym systemie),
  • znajomość narzędzi, których się używa – wiedza o tym, jakie ślady narzędzia te pozostawią w badanym systemie.

Celem stosowania się do wyżej wskazanych przykładowych dobrych praktyk (przepisów nigdzie nie znajdziemy, orzecznictwa również jak na lekarstwo) jest zapewnienie pełnej rozliczalności z czynności dokonanych przy zabezpieczeniu oraz możliwość odparcia zarzutu o naruszenie integralności poprzez dokładne wskazanie w jakim zakresie nastąpiła ingerencja w system, na którym dokonano zabezpieczenia danych.

Podsumowując, w mojej ocenie materiał dowodowy zgromadzony i zabezpieczony w modelu live forensic, na skutek pracy informatyka śledczego „na żywym organizmie”, może zostać wykorzystany przed sądem w każdym rodzaju postępowania. Poprzez zastosowanie się do dobrych praktyk unikniemy zarzutów w zakresie naruszenia cudzych praw, czy „zanieczyszczenia” materiału dowodowego.