Rola biegłego z zakresu informatyki śledczej w procesie dowodowym jest nieoceniona. Od jego kompetencji i umiejętności, a także skuteczności użytych narzędzi zależy w dużej mierze wynik postępowania. Jednakże eksperci computer forensic borykają się z wieloma trudnościami wpływającymi na efektywność ich działań.
ORGANY ŚCIGANIA CORAZ CZĘŚCIEJ SIĘGAJĄ PO CYFROWE ŹRÓDŁA DOWODOWE
Niedawno pisaliśmy o tym, że policyjni eksperci zajmujący się analizą zawartości nośników elektronicznych i pozyskiwaniem dowodów cyfrowych na potrzeby wydawanych opinii są przeładowani pracą. Jak wynika z raportu firmy Cellebrite – 2020 Digital Intelligence Industry Benchmark Report. The top trends redefining Law Enforcement – w chwili obecnej już w 97% spraw w charakterze źródła dowodowego pojawia się smartfon, zaś w 53% komputer.
Niezależnie jednak od przeciążenia biegli muszą wykonywać swą pracę bez nadmiernego pośpiechu – rzetelnie i z zachowaniem łańcucha dowodowego, tak by ich uwadze nie umknął żaden szczegół, a opracowana opinia oddawała rzeczywisty stan faktyczny. Wiele czynności biegli wykonują w sposób manualny, ich pracę wspierają także specjalistyczne narzędzia diagnostyczne.
WYZWANIA TECHNOLOGICZE, Z KTÓRYMI MUSZĄ MIERZYĆ SIĘ BIEGLI Z ZAKRESU INFORMATYKI ŚLEDCZEJ
Największym wrogiem biegłych z zakresu informatyki śledczej (a także wszystkich specjalistów od odzyskiwania danych) jest technologia. Producenci stosują coraz więcej zabezpieczeń fabrycznych mających na celu zapewnienie wysokiego poziomu ochrony przechowywanych na nich danych, co jest zrozumiałe, zwłaszcza, że użytkownicy z każdym rokiem generują coraz większe ilości cyfrowych informacji. Jednak zabiegi te zdecydowanie utrudniają, a niekiedy wręcz uniemożliwiają uzyskanie dostępu do informacji nawet przy użyciu profesjonalnych narzędzi.
Do największych wyzwań w tym zakresie należy problem szyfrowania oraz blokowania urządzeń. Raport Cellebrite nie pozostawia w tym zakresie złudzeń – specjaliści przyznają, iż 58% urządzeń, które stanowiły przedmiot ich badań w ostatnich trzech miesiącach było zablokowanych. Wśród badanych w tym czasie telefonów aż 45% stanowiły urządzenia z systemem iOS, w których producent fabrycznie szyfruje dane.
Poza kwestią zablokowanych urządzeń, biegli muszą mierzyć się także z innymi problemami, które utrudniają im pracę – do największych wyzwań zaliczają oni:
– szyfrowanie aplikacji zainstalowanych na urządzeniu – 77%
– ekstrakcję danych – 65%
– brak możliwości odszyfrowania artefaktów – 49%
– zwiększające się pojemności telefonów – 47%
– uszkodzenia urządzeń – 39%
– opracowanie raportu – 33%
DUŻE POJEMNOŚCI NOŚNIKÓW I RÓŻNORODNOŚĆ DANYCH
Jeszcze kilka lat temu w mniej zaawansowanych technologicznie telefonach analizie poddawane były głównie wiadomości sms oraz multimedia – zdjęcia i filmy. Sortowanie, przeglądanie i analiza danych mogła być zatem realizowana przez specjalistów ręcznie. Dziś pojemności nowoczesnych smartfonów sięgają nawet 1TB. Wszystko to sprawia, że obsługa każdego urządzenia wymaga użycia specjalistycznych aplikacji umożliwiających automatyczne przetwarzanie badanych danych, a także posiadania strategii prowadzenia cyfrowego śledztwa. W ramach czynności computer forensic biegli informatycy analizują najczęściej:
– wiadomości tekstowe – 80%
– zdjęcia – 75%
– pliki video – 62%
– kontakty – 53%
– historię lokalizacji – 47% –
– wiadomości email – 34%
– pliki CDRs (CorelDRAW) – 17%
Praca biegłego z zakresu informatyki śledczej pełna jest wyzwań, co z jednej strony wpływa na skuteczność pozyskiwania dowodów cyfrowych, z drugiej zaś sprawia, że nie ma w niej czasu na rutynę, każdy przypadek stanowi bowiem odrębny obiekt badawczy.