24 maja 2019
Biegły informatyk a zabezpieczenie materiału dowodowego
Rozwój technologii sprawia, że sędziowie coraz częściej zmuszeni są powoływać biegłych z zakresu informatyki. Specjaliści odpowiadają wtedy jednak nie tylko za przygotowanie opinii, ale wielokrotnie również za odpowiednie zabezpieczenie dowodów.
O specyfice pracy biegłych informatyków pisaliśmy już w jednym z odcinków cyklu „Specjalizacje”. Przybliżyliśmy wtedy pojęcie informatyki śledczej, która – przypomnijmy - jest poszukiwaniem elektronicznych materiałów dowodowych przy użyciu specjalistycznego oprogramowania czy sprzętu takiego jak blokery, adaptery, zestawy do analizy telefonów komórkowych itd. Biegli tej specjalizacji zajmują się m.in. analizą kodów źródłowych, weryfikacją legalności oprogramowania, odzyskiwaniem informacji zawartych na nośnikach cyfrowych czy oceną systemów bezpieczeństwa.
Warto jednak przyjrzeć się innym czynnościom biegłych sądowych informatyków, ponieważ ich praca sprowadza się nie tylko do sporządzenia ekspertyzy.
Biegły odgrywa bardzo ważną rolę chociażby już na etapie zabezpieczenia sprzętu, ponieważ powinno odbywać się to w obecności specjalisty. Wynika to z nietrwałości dowód elektronicznych, o czym szeroko pisze m.in. Maciej Szmit w swojej książce „Wybrane zagadnienia opiniowania sądowo-informatycznego”:
- Niewłaściwe postępowanie z materiałem badawczym może prowadzić do jego „zanieczyszczenia”, w szczególności do zmiany zapisów umieszczonych na dysku, w tym zarówno treści dokumentów, jak i metadanych. Już samo włączenie komputera powoduje zmiany w logach systemowych, a zatem narusza integralność zapisanych w nich informacji, co uznaje się za „zanieczyszczenie” dowodów, niekiedy tak znaczne, że uniemożliwiające wydawanie na jego podstawie opinii. Z tego względu niezbędne jest korzystanie z mechanizmów sprzętowych lub programowych zabezpieczających nośnik przed modyfikacją (tzw. blokery zapisu).
Mówiąc inaczej, zapis z jakim mamy do czynienia w systemach komputerowych, umożliwia manipulację w taki sposób, że nie będzie możliwe stwierdzenie, czy i kiedy te zmiany nastąpiły. A to może być kluczowe w badanej sprawie.
- Urządzeń wyłączonych nie należy włączać. W przypadku włączonych urządzeń i komputerów, należy dokonać oględzin w celu oceny przyłączonych zasobów sieciowych, urządzeń i programów szyfrujących. Wszystkie czynności należy odnotować w protokole, a ekrany sfotografować – podkreślają Małgorzata Niebrzydowska i Radosław Kotowicz, autorzy opracowania „Wstęp do informatyki śledczej”.
Jak dodają, nośniki oraz urządzenia wymagają przechowywania w bezpiecznych warunkach, a więc z dala od źródeł ciepła i promieniowania, pól elektromagnetycznych, wilgoci, wibracji, wstrząsów i uderzeń mechanicznych.
Oprócz tego, na etapie zabezpieczenia materiału dowodowego, ważne jest również:
- dokumentowanie zastanego stanu sprzętu i danych,
- zabezpieczany sprzęt i nośniki powinny być prawidłowo oznakowane, opisane i ewentualnie oplombowane,
- wykonanie kopii binarnej nośnika,
- informacje cyfrowe zabezpiecza się w kolejności od najbardziej ulotnych do najmniej ulotnych,
- przeprowadzanie analiz informacji cyfrowych odbywa się zawsze na kopii binarnej zweryfikowanej wcześniej za pomocą sumy kontrolnej.