Elektroniczne źródła dowodowe

Wraz z powszechną cyfryzacją funkcjonowania praktycznie wszelkich obszarów życia, także proces dowodowy prowadzony przez organy wymiaru sprawiedliwości – sądy i prokuratury korzysta ze źródeł dowodowych opartych na nośnikach i danych elektronicznych.

Nowe typy źródeł dowodowych

Rozwój technologiczny sprawił, że rozszerzył się katalog źródeł dowodowych – obok źródeł osobowych i rzeczowych w postaci np. dokumentów analogowych, ważne miejsce zajmują dziś dowody w postaci cyfrowych danych przetwarzanych przy pomocy nośników elektronicznych. A ponieważ stale przybywa sprzętów wyposażonych w dyski twarde oraz innego typu pamięci, dowody elektroniczne można pozyskać dziś z wielu urządzeń.

Nośniki i urządzenia, z których najczęściej pozyskiwane są dowody cyfrowe:

1. Dysk twardy

Dysk twardy to jeden z najpopularniejszych nośników cyfrowych wykorzystywany do wytwarzania i archiwizacji danych, instalowany w większości komputerów stacjonarnych oraz laptopów. Biorąc pod uwagę coraz większe pojemności dysków HDD, znajduje się w nich wiele treści, które mogą być wykorzystane w prowadzonym postepowaniu, po zatrzymaniu sprzętu komputerowego.

2. Dysk SSD

Dyski SSD są coraz powszechniej wykorzystywane z uwagi na swe cechy, górujące nad tradycyjnymi dyskami HDD – przede wszystkim szybką oraz niemal bezgłośną pracę. Dyski te coraz częściej montowane są fabrycznie w nowych laptopach, dlatego równie często stają się przedmiotem badań ekspertów z zakresu informatyki śledczej, co dyski talerzowe. Jedynie w przypadku awarii dysku SSD, proces odzyskiwania danych bywa niekiedy nieco bardziej uciążliwy niż w przypadku dysków z układem mechanicznym. Wynika to głównie z technologii produkcji dysków SSD, co z kolei sprawia, że producenci urządzeń wykorzystywanych w procesie data recovery nie nadążają z aktualizacjami swoich narzędzi, by doścignąć zmiany konstrukcyjne zachodzące nieustannie w dyskach SSD.

3. Dysk zewnętrzny

Dysk USB to nic innego, jak dysk HDD lub SSD, zamknięty w obudowie, umożliwiającej przenoszenie nośnika i pracę na zapisanych na nim danych przy użyciu wielu urządzeń. Właśnie ze względu na mobilność oraz przystępne ceny dyski zewnętrzne wykorzystywane są dziś masowo do celów archiwizacyjnych.

4. Karta pamięci

Karty pamięci oparte są na technologii produkcji zbliżonej do tej stosowanej w dyskach SSD. Nośniki te mają niezwykle szerokie zastosowanie – wykorzystywane są w wielu urządzeniach cyfrowych, na których zapisywane są dane, bądź stanowią rozszerzenie pamięci fabrycznej urządzenia. Karty pamięci stosuje się zatem w aparatach fotograficznych, telefonach komórkowych i smartfonach, czy różnego rodzaju bankach pamięci. Wśród materiałów, które mogą być wykorzystywane jako dowody z kart pamięci, najpopularniejsze są pliki multimedialne – filmy, zdjęcia oraz różnego rodzaju nagrania audio, a także wiadomości sms i mms, lista kontaktów oraz inne dane, generowane przy użyciu telefonu.

5. Pendrive

Pendrive, podobnie jak dyski zewnętrzne i karty pamięci wykorzystywane są gównie jako mobilne nośniki zewnętrzne, wykorzystywane w celu zabezpieczenia na nich najważniejszych danych. Z uwagi na stosunkowo małe pojemności (w porównaniu z dyskami twardymi) nie są dedykowane do przechowywania dużych ilości danych. W ramach czynności z zakresu kryminalistyki komputerowej, na pendrive zazwyczaj analizowane są treści pakietu office, pliki baz danych oraz multimedia.

6. Telefon i smartfon

Specjaliści z zakresu informatyki śledczej telefony badają najczęściej pod kątem występowania w nich treści świadczących o popełnieniu czynu zabronionego – zdjęć z miejsca zdarzenia, czy komunikacji świadczącej o przestępczej działalności użytkownika, np. sms z komunikacją pomiędzy sprawcami, gróźb kierowanych w stronę ofiary, czy aktów cyberstalkingu.

7. Dyktafon

Urządzenia do nagrywania dźwięku zawierają zwykle treści obciążające sprawcę czynu zabronionego, bądź przeciwnika w procesie cywilnym. I choć najczęściej zapis realizowany jest bez zgody, a nawet wiedzy osoby nagrywanej, co budzi oczywistą wątpliwość jeśli chodzi o dopuszczalność takiego dowodu, to organy ścigania pozwalają zwykle na ich wykorzystanie.

8. Komputer stacjonarny

Komputer stacjonarny, to urządzenie wyposażona najczęściej w dysk twardy, a pozyskiwanie z niego dowodów cyfrowych polega w dużej mierze na analizie całej zawartości nośnika i poszukiwania treści przydatnych pod kątem prowadzonego postępowania. W przypadku, kiedy nośnik kierowany do laboratorium computer forensic jest uszkodzony, w pierwszej kolejności przeprowadzić należy proces odzyskiwania danych, a dopiero w dalszych krokach podejmować prace badawcze.

9. Komputer osobisty – laptop, notebook

Policja dokonująca przeszukania miejsca zdarzenia, bądź pomieszczeń, dokonuje zwykle zatrzymania całych komputerów, bez demontowania z nich dysków twardych. Bliższe prace nad sprzętem prowadzone są dopiero w kryminalistycznym laboratorium cyfrowym przez specjalistów z zakresu computer forensic. Na dyskach laptopów ujawniane są dane wszelkiego typu i formatów, a opinia biegłego obejmuje wnioski z przeprowadzonych badań.

10. Macierz RAID

Macierz RAID to zaawansowane rozwiązania do przechowywania danych, wykorzystywane głównie w większych organizacjach. W związku z tym macierze poddawane są analizie najczęściej pod kątem aktów sabotażu, szpiegostwa przemysłowego, czy działania na szkodę instytucji przez pracowników, w tym osoby piastujące wysokie stanowiska menedżerskie.

11. Serwer plików

Serwery plików jako rozwiązania półprofesjonalne używane są najczęściej przez małe i średnie przedsiębiorstwa, a niekiedy także przez użytkowników domowych. Zawierają zwykle kilka dysków twardych, z których buduje się RAIDA, by zwiększyć przestrzeń do zapisu danych i umożliwić dostęp do zasobów większej ilości użytkowników. Podobnie jak w przypadku macierzy RAID, serwery plików stanowią dowody w sprawach cywilnych i gospodarczych, w przypadku wykasowania plików przez osoby do tego nieupoważnione, bądź kradzieży danych stanowiących tajemnicę przedsiębiorstwa.

Rodzaje danych stanowiących dowód elektroniczny

Dane cyfrowe, w zależności od systemu operacyjnego, systemu plików oraz specyfiki zapisu informacji przez poszczególne urządzenia, zapisują się zwykle w postaci plików dostępnych z poziomu obsługującego je oprogramowania. I tak, wśród plików najczęściej poddawanych procesowi computer forensic znajdują się:

1. Pliki pakietu office
2. Pliki bazodanowe
3. Poczta elektroniczna
4. Bazy programów księgowych
5. Pliki objęte przedmiotem praw autorskich

Badania z zakresu informatyki śledczej stanowią zwykle żmudny i czasochłonny proces pozyskiwania oraz analizy cyfrowego materiału. Nie wszystkie pliki i dane zdobyte przez eksperta w toku czynności kryminalistycznych mogą zostać wykorzystane w procesie – nie każdy z nich będzie bowiem przydatny w charakterze dowodu. Wśród danych pozyskanych w procesie przeszukiwania zasobów nośnika, tylko część ma znaczenie na potrzeby prowadzonej sprawy, zaś znaczna ilość zgromadzonego materiału zupełnie nie jest związana z prowadzonymi czynnościami. Rolą informatyka śledczego jest zatem weryfikacja pozyskanych danych i taka ich selekcja, by z jednej strony nie pominąć dokumentów mających znaczenie, z drugiej zaś nie zaśmiecić ekspertyzy, nic nie znaczącymi informacjami. W tym celu pomocne są pytania, bądź tezy stawiane przez organ – biegły informatyk śledczy porusza się w granicach zakreślonych w postanowieniu o powołaniu biegłego.

Wskazana wyżej lista zawiera tylko część nośników, najpopularniejszych ze względu na ich uniwersalny charakter. W dzisiejszych czasach technologia rozwija się jednak niezwykle szybko, a wraz z nią rynek pamięci masowych, że już wkrótce w powszechnym użyciu dostępne być mogą nowe, dziś jeszcze nieznane nośniki.