Urządzenia cyfrowe stanowią nieodłączny element naszego życia, zaś dowody cyfrowe pozyskiwane z nośników elektronicznych są coraz częściej wykorzystywane przez organy ścigania oraz w dochodzeniach inicjowanych przez korporacje i podmioty gospodarcze.
ZAPEWNIENIE NIEZMIENNOŚCI CYFROWEGO MATERIAŁU DOWODOWEGO – NAJWAŻNIEJSZY ELEMENT PRACY BIEGŁEGO Z ZAKRESU INFORMATYKI ŚLEDCZEJ
Istotą dowodów cyfrowych jest łatwość ich uszkodzenia, modyfikacji, czy całkowitego zniszczenia. Dzieje się to zwykle z powodu braku niezbędnej wiedzy i umiejętności personelu technicznego zabezpieczającego nośniki cyfrowe w celu przekazania ich do badań, a także na skutek użycia niewłaściwych narzędzi programowo – sprzętowych. Często zniszczenie zapisów pochodzących z nośnika elektronicznego następuje w sposób niezamierzony, na przykład, kiedy osoby odpowiedzialne za prawidłowe działanie systemów informatycznych w organizacji próbują przywrócić dostęp do danych po incydencie skutkującym awarią. W takich sytuacjach administratorzy IT w pierwszej kolejności skupiają się na uzyskaniu dostępu do danych i zapewnieniu ciągłości pracy systemów, nie myślą zupełnie o następstwach ewentualnych błędów. Dopiero w trakcie interwencji okazuje się, iż problem jest poważniejszy niż zakładali, zaś ich kolejne działania doprowadziły do nieodwracalnych zmian w strukturach logicznych danych.
Podobnie jest w przypadku stwierdzenia kradzieży danych firmowych, stanowiących tajemnicę przedsiębiorstwa, czy podłączania niedozwolonych nośników zewnętrznych i kopiowania na nie danych. Zdarza się, iż kierownictwo przedsiębiorstwa przed przekazaniem dowodów odpowiednim organom, bądź podmiotom świadczącym usługi z zakresu informatyki śledczej, najpierw wielokrotnie samo podłącza ujawnione nośniki i analizuje ich zawartość, a następnie we własnym zakresie próbuje odtworzyć działania sprawcy. W efekcie dochodzi do zamazania informacji istotnych z punktu widzenia cyfrowego śledztwa – daty ostatnich dostępów do danych, czy osobę realizującą ostatnie operacje na danych.
CO NALEŻY ZATEM ZROBIĆ, BY NIE DOSZŁO DO MODYFIKACJI ZAPISÓW I DOWODY CYFROWE NIE UTRACIŁY SWOJEJ MOCY?
Laboratoria informatyki śledczej przy badaniu nośników w procesie poszukiwania elektronicznych materiałów dowodowych stosują procedury bezpieczeństwa, mające na celu ochronę zapisów przed zniekształceniem. W związku z tym stosują narzędzia programowo – sprzętowe zabezpieczające dane oraz tzw. łańcuch dowodowy i krok po kroku dokumentują swoje poczynania na nośniku, zaś wszelkie prace rozpoczynają od wykonania wiernej kopii danych z zastosowaniem blokera sprzętowego. W efekcie żadne operacje na danych nie zmieniają ich struktury.
Łańcuch dowodowy ma także na celu zapewnienie możliwości ponownego odtworzenia kroków podejmowanych przez eksperta, a także osiągnięcie tego samego wyniku badań przy ponownym wykonaniu tych samych czynności i zastosowaniu tych samych narzędzi. Jeśli zatem jakieś dowody są zapisane na nośniku, to ponowna analiza i przeszukanie dysku powinno doprowadzić biegłego do tych samych (a nie innych!) efektów.
Proces poszukiwania dowodów cyfrowych czasami nie jest jednak tak oczywisty jak mogłoby się wydawać, zaś tradycyjne rozwiązania bywają zawodne, tzn. nie pozwalają na odnalezienie informacji będących przedmiotem postępowania. Często w procesie przywracania dostępu do danych konieczne jest zatem użycie wielu narzędzi, ponieważ praktycznie każda z aplikacji ma swoje ograniczenia i dedykowana jest innego typu usterkom. W efekcie, eksperci muszą niejednokrotnie stosować niestandardowe działania, które mogą przybliżyć ich do ustalenia stanu faktycznego.
Kopia nośnika źródłowego może być wykonana na dwa sposoby:
- Obraz logiczny, co oznacza, że kopiowane są pliki zawierające dane dostępne dla użytkownika
- Obraz fizyczny, na który składają się dodatkowo informacje niedostępne dla użytkownika, zapisane poza strefą użytkową nośnika, w której mogą znajdować się informacje dotyczące poszczególnych plików, mające znaczenie dla postępowania.
Informatyka śledcza, której podstawowe zadanie sprowadza się do poszukiwania oraz analizy dowodów cyfrowych z elektronicznych nośników danych wiąże się z dużą odpowiedzialnością za efekty podejmowanych przez biegłego działań. Wystarczy bowiem jeden błędny ruch, by pozyskany przez niego materiał dowodowy został podważony przez przeciwnika procesowego i stracił swą moc dowodową. Jeśli zatem istnieje podejrzenie, że incydent powstał na skutek włamania, sabotażu, kradzieży danych, czy innego działania niezgodnego z prawem, warto od razu zwrócić się o pomoc do laboratorium informatyki śledczej, by nie popełnić znamiennych w skutkach błędów.