Na pierwszy rzut oka model ten „gryzie się” z podstawową zasadą tradycyjnej informatyki śledczej – „widzę wszystko, nie zmieniam nic” i pracy na kopii – zapewniających pełną integralność materiału dowodowego oraz rozliczalność działań podjętych przez informatyka śledczego.
Zatem, czy materiał dowodowy zgromadzony metoda live forensic może zostać wykorzystany przed sądem?
Jednym z najczęściej podnoszonych w praktyce zarzutów wobec elektronicznego materiału dowodowego polega na wskazaniu, że osoba zabezpieczająca ten materiał dokonała jego modyfikacji, przez co przestaje on być wiarygodny. Z tego właśnie względu informatycy śledczy nie ingerowali w oryginalny nośnik, który zabezpieczali w sposób uniemożliwiający dokonywanie jakichkolwiek modyfikacji, natomiast analizy dokonywali na kopii binarnej. Z reguły wyłączali urządzenie i zabierali je celem sporządzenia kopii i przeprowadzenia analizy (analiza post mortem).
Dziś dane, które mogą mieć znaczenie dla rozstrzygnięcia sprawy, a więc które mogą stanowić dowód w postępowaniu przed sądem, nie znajdują się często na urządzeniu, ale na wirtualnym dysku (w chmurze), z którym urządzenie łączy się poprzez mobilny Internet. Z drugiej strony, nawet jeśli mamy do czynienia z „tradycyjnym” urządzeniem wyposażonym we własny dysk to po pierwsze, mając na uwadze często gigantyczną pojemności takich dysków nie warto zabezpieczać ich w całości, ale dokonać pewnej selekcji (tzw. TRIAGE), a po drugie nie można ignorować informacji gromadzonych na nośnikach danych ulotnych np. w pamięci RAM, która obecnie może mieć 8 GB (i więcej) pojemności. I w końcu warto pamiętać, że wyłączenie urządzenia może być nieodwracalne i w przypadku skutecznego szyfrowania utraci się dostęp do danych.
Rozwiązaniem wskazanych wyżej problemów, a przede wszystkim pisze tu o danych ulotnych i wszystkich procesach i informacjach, które tracimy wyłączając urządzenie, zdaje się być przeprowadzanie „operacji na żywym organizmie”, a więc na uruchomionym urządzeniu i jego oryginalnych nośnikach (trwałych i ulotnych), przy otwartym dostępie do aktualnie uruchomionych procesów i np. danych znajdujących się w chmurze (problematyka możliwości analizy i zabezpieczenia danych w chmurze doczeka się odrębnego wpisu). Poprzez odpowiednie narzędzia informatyk śledczy podłącza się do działającego systemu i dokonuje zabezpieczenia danych (po ich wcześniejszej ocenie i selekcji), które następnie analizuje.
Jednak z modelem live forensic wiąże się klika poważnych problemów.
Pierwszy dotyczy nieuniknionego pozostawianie śladów działalności informatyka śledczego w analizowanym systemie i na badanych nośnikach, a więc może naruszać integralność. Z technicznego punktu widzenia nie da się bowiem ingerować w system (używać go) bez pozostawiania śladów tej ingerencji, np. w pamięci RAM, na której akurat nam zależy. To zaś naraża na zarzut, o którym wspominałem wyżej, który może skłonić sąd do uznania dowodów za niewiarygodne (skoro zabezpieczający i analizujący dowód mógł wpłynąć na jego treść).
Drugi dotyczy wątpliwości, czy dokonujący zabezpieczenia informatyk śledczy, działający nawet na zlecenie organów ścigania w ramach postępowania przygotowawczego, jest uprawniony do zabezpieczenia i analizy danych znajdujących się na wirtualnym dysku (w chmurze), dostępnych za pośrednictwem badanego sprzętu (systemu). Czy organy ścigania nie powinny jednak zwrócić się o udostępnienie tych danych do podmiotu świadczącego usługę w chmurze na rzecz osoby, której sprzęt jest analizowany? Tak jak pisałem wyżej, to temat na odrębny wpis.
Analiza sprzętu komputerowego (zasobów systemu informatycznego) w ramach postępowania karnego to nic innego jak instytucja przeszukania (patrz art. 236a kpk), dokonywana w celu znalezienia rzeczy (informacji) mogących stanowić dowód w sprawie. Należy pamiętać, że podstawą przeszukania jest uzasadnione podejrzenie, że poszukiwane rzeczy, a w naszym przypadku dane informatyczne, znajdują się tam, gdzie są poszukiwane, a więc na danym urządzeniu/systemie. W przypadku danych w chmurze, informacje znajdują się gdzieś na serwerze podmiotu świadczącego usługi cloudcomputingu. Jeśli poprzez badany sprzęt brak jest dostępu do danych w chmurze np. ze względu na konieczność podania loginu i hasła, nie pozostaje nic innego jak zwrócić się do usługodawcy o udostępnienie znajdujących się w chmurze danych.
Jeśli chodzi o zabezpieczenie się przed ewentualnym zarzutem naruszenia integralności zabezpieczanego materiału dowodowego, zabezpieczenie powinno odbywać się z poszanowaniem dobrych praktyk, tj.:
• precyzyjne dokumentowanie każdej czynności – protokół – pomocnym rozwiązaniem może być protokołowanie również za pomocą urządzenia rejestrującego obraz i dźwięk,
• udział w czynnościach kliku osób, sporządzających własne notatki ze wszystkich dokonywanych czynności i ich rezultatów,
• używanie uruchomionego systemu w minimalnym, niezbędnym zakresie (bez otwierania niepotrzebnych okien i programów; bez niepotrzebnego zamykania już uruchomionych, itd.)
• używanie odpowiednich narzędzi informatyki śledczej, dedykowanych dla metody live forensic, podłączanych przez zewnętrzne porty (bez instalacji na badanym systemie),
• znajomość narzędzi, których się używa – wiedza o tym, jakie ślady narzędzia te pozostawią w badanym systemie.
Celem stosowania się do wyżej wskazanych przykładowych dobrych praktyk (przepisów nigdzie nie znajdziemy, orzecznictwa również jak na lekarstwo) jest zapewnienie pełnej rozliczalności z czynności dokonanych przy zabezpieczeniu oraz możliwość odparcia zarzutu o naruszenie integralności poprzez dokładne wskazanie w jakim zakresie nastąpiła ingerencja w system, na którym dokonano zabezpieczenia danych.
Podsumowując, w mojej ocenie materiał dowodowy zgromadzony i zabezpieczony w modelu live forensic, na skutek pracy informatyka śledczego „na żywym organizmie”, może zostać wykorzystany przed sądem w każdym rodzaju postępowania. Poprzez zastosowanie się do dobrych praktyk unikniemy zarzutów w zakresie naruszenia cudzych praw, czy „zanieczyszczenia” materiału dowodowego.
Jarosław Góra – Prawnik
