Wraz z powszechną cyfryzacją funkcjonowania praktycznie wszelkich obszarów życia, także proces dowodowy prowadzony przez organy wymiaru sprawiedliwości – sądy i prokuratury korzysta ze źródeł dowodowych opartych na nośnikach i danych elektronicznych.
Nowe typy źródeł dowodowych
Rozwój technologiczny sprawił, że rozszerzył się katalog źródeł dowodowych – obok źródeł osobowych i rzeczowych w postaci np. dokumentów analogowych, ważne miejsce zajmują dziś dowody w postaci cyfrowych danych przetwarzanych przy pomocy nośników elektronicznych. A ponieważ stale przybywa sprzętów wyposażonych w dyski twarde oraz innego typu pamięci, dowody elektroniczne można pozyskać dziś z wielu urządzeń.
Nośniki i urządzenia, z których najczęściej pozyskiwane są dowody cyfrowe:
- Dysk twardy
Dysk twardy to jeden z najpopularniejszych nośników cyfrowych wykorzystywany do wytwarzania i archiwizacji danych, instalowany w większości komputerów stacjonarnych oraz laptopów. Biorąc pod uwagę coraz większe pojemności dysków HDD, znajduje się w nich wiele treści, które mogą być wykorzystane w prowadzonym postepowaniu, po zatrzymaniu sprzętu komputerowego.
- Dysk SSD
Dyski SSD są coraz powszechniej wykorzystywane z uwagi na swe cechy, górujące nad tradycyjnymi dyskami HDD – przede wszystkim szybką oraz niemal bezgłośną pracę. Dyski te coraz częściej montowane są fabrycznie w nowych laptopach, dlatego równie często stają się przedmiotem badań ekspertów z zakresu informatyki śledczej, co dyski talerzowe. Jedynie w przypadku awarii dysku SSD, proces odzyskiwania danych bywa niekiedy nieco bardziej uciążliwy niż w przypadku dysków z układem mechanicznym. Wynika to głównie z technologii produkcji dysków SSD, co z kolei sprawia, że producenci urządzeń wykorzystywanych w procesie data recovery nie nadążają z aktualizacjami swoich narzędzi, by doścignąć zmiany konstrukcyjne zachodzące nieustannie w dyskach SSD.
- Dysk zewnętrzny
Dysk USB to nic innego, jak dysk HDD lub SSD, zamknięty w obudowie, umożliwiającej przenoszenie nośnika i pracę na zapisanych na nim danych przy użyciu wielu urządzeń. Właśnie ze względu na mobilność oraz przystępne ceny dyski zewnętrzne wykorzystywane są dziś masowo do celów archiwizacyjnych.
- Karta pamięci
Karty pamięci oparte są na technologii produkcji zbliżonej do tej stosowanej w dyskach SSD. Nośniki te mają niezwykle szerokie zastosowanie – wykorzystywane są w wielu urządzeniach cyfrowych, na których zapisywane są dane, bądź stanowią rozszerzenie pamięci fabrycznej urządzenia. Karty pamięci stosuje się zatem w aparatach fotograficznych, telefonach komórkowych i smartfonach, czy różnego rodzaju bankach pamięci. Wśród materiałów, które mogą być wykorzystywane jako dowody z kart pamięci, najpopularniejsze są pliki multimedialne – filmy, zdjęcia oraz różnego rodzaju nagrania audio, a także wiadomości sms i mms, lista kontaktów oraz inne dane, generowane przy użyciu telefonu.
- Pendrive
Pendrive, podobnie jak dyski zewnętrzne i karty pamięci wykorzystywane są gównie jako mobilne nośniki zewnętrzne, wykorzystywane w celu zabezpieczenia na nich najważniejszych danych. Z uwagi na stosunkowo małe pojemności (w porównaniu z dyskami twardymi) nie są dedykowane do przechowywania dużych ilości danych. W ramach czynności z zakresu kryminalistyki komputerowej, na pendrive zazwyczaj analizowane są treści pakietu office, pliki baz danych oraz multimedia.
- Telefon i smartfon
Specjaliści z zakresu informatyki śledczej telefony badają najczęściej pod kątem występowania w nich treści świadczących o popełnieniu czynu zabronionego – zdjęć z miejsca zdarzenia, czy komunikacji świadczącej o przestępczej działalności użytkownika, np. sms z komunikacją pomiędzy sprawcami, gróźb kierowanych w stronę ofiary, czy aktów cyberstalkingu.
- Dyktafon
Urządzenia do nagrywania dźwięku zawierają zwykle treści obciążające sprawcę czynu zabronionego, bądź przeciwnika w procesie cywilnym. I choć najczęściej zapis realizowany jest bez zgody, a nawet wiedzy osoby nagrywanej, co budzi oczywistą wątpliwość jeśli chodzi o dopuszczalność takiego dowodu, to organy ścigania pozwalają zwykle na ich wykorzystanie.
- Komputer stacjonarny
Komputer stacjonarny, to urządzenie wyposażona najczęściej w dysk twardy, a pozyskiwanie z niego dowodów cyfrowych polega w dużej mierze na analizie całej zawartości nośnika i poszukiwania treści przydatnych pod kątem prowadzonego postępowania. W przypadku, kiedy nośnik kierowany do laboratorium computer forensic jest uszkodzony, w pierwszej kolejności przeprowadzić należy proces odzyskiwania danych, a dopiero w dalszych krokach podejmować prace badawcze.
- Komputer osobisty – laptop, notebook
Policja dokonująca przeszukania miejsca zdarzenia, bądź pomieszczeń, dokonuje zwykle zatrzymania całych komputerów, bez demontowania z nich dysków twardych. Bliższe prace nad sprzętem prowadzone są dopiero w kryminalistycznym laboratorium cyfrowym przez specjalistów z zakresu computer forensic. Na dyskach laptopów ujawniane są dane wszelkiego typu i formatów, a opinia biegłego obejmuje wnioski z przeprowadzonych badań.
- Macierz RAID
Macierz RAID to zaawansowane rozwiązania do przechowywania danych, wykorzystywane głównie w większych organizacjach. W związku z tym macierze poddawane są analizie najczęściej pod kątem aktów sabotażu, szpiegostwa przemysłowego, czy działania na szkodę instytucji przez pracowników, w tym osoby piastujące wysokie stanowiska menedżerskie.
- Serwer plików
Serwery plików jako rozwiązania półprofesjonalne używane są najczęściej przez małe i średnie przedsiębiorstwa, a niekiedy także przez użytkowników domowych. Zawierają zwykle kilka dysków twardych, z których buduje się RAIDA, by zwiększyć przestrzeń do zapisu danych i umożliwić dostęp do zasobów większej ilości użytkowników. Podobnie jak w przypadku macierzy RAID, serwery plików stanowią dowody w sprawach cywilnych i gospodarczych, w przypadku wykasowania plików przez osoby do tego nieupoważnione, bądź kradzieży danych stanowiących tajemnicę przedsiębiorstwa.
Rodzaje danych stanowiących dowód elektroniczny
Dane cyfrowe, w zależności od systemu operacyjnego, systemu plików oraz specyfiki zapisu informacji przez poszczególne urządzenia, zapisują się zwykle w postaci plików dostępnych z poziomu obsługującego je oprogramowania. I tak, wśród plików najczęściej poddawanych procesowi computer forensic znajdują się:
- Pliki pakietu office
- Pliki bazodanowe
- Poczta elektroniczna
- Bazy programów księgowych
- Pliki objęte przedmiotem praw autorskich
Badania z zakresu informatyki śledczej stanowią zwykle żmudny i czasochłonny proces pozyskiwania oraz analizy cyfrowego materiału. Nie wszystkie pliki i dane zdobyte przez eksperta w toku czynności kryminalistycznych mogą zostać wykorzystane w procesie – nie każdy z nich będzie bowiem przydatny w charakterze dowodu. Wśród danych pozyskanych w procesie przeszukiwania zasobów nośnika, tylko część ma znaczenie na potrzeby prowadzonej sprawy, zaś znaczna ilość zgromadzonego materiału zupełnie nie jest związana z prowadzonymi czynnościami. Rolą informatyka śledczego jest zatem weryfikacja pozyskanych danych i taka ich selekcja, by z jednej strony nie pominąć dokumentów mających znaczenie, z drugiej zaś nie zaśmiecić ekspertyzy, nic nie znaczącymi informacjami. W tym celu pomocne są pytania, bądź tezy stawiane przez organ – biegły informatyk śledczy porusza się w granicach zakreślonych w postanowieniu o powołaniu biegłego.
Wskazana wyżej lista zawiera tylko część nośników, najpopularniejszych ze względu na ich uniwersalny charakter. W dzisiejszych czasach technologia rozwija się jednak niezwykle szybko, a wraz z nią rynek pamięci masowych, że już wkrótce w powszechnym użyciu dostępne być mogą nowe, dziś jeszcze nieznane nośniki.