Pozyskiwanie dowodów cyfrowych na potrzeby prowadzonych śledztw, może kojarzyć się z pracą agentów specjalnych, posiadających dostęp do niezwykle skutecznych technologii, które umożliwiają chociażby stworzenie obrazu w jakości HD z wątpliwej jakości nagrania wykonanego przez kamerę przemysłową. W praktyce wygląda to zupełnie inaczej i nie ma nic wspólnego z pracą postaci przedstawianych w telewizyjnych serialach.

Dowód cyfrowy to informacja zapisana lub transmitowana w formie cyfrowej, uznana przez sąd właśnie jako dowód. Innymi słowy jest to po prostu plik lub pliki pozyskane z internetu, laptopów, backupów lub nawet układów scalonych. Od jakiegoś czasu dowodami cyfrowymi najczęściej stają się dane pozyskane z telefonów komórkowych, takie jak SMS-y lub zapis rozmów prowadzonych przez komunikatory. Obecnie stanowią one aż 97% materiałów cyfrowych przedstawianych w sądach jako dowody. W trakcie swojego wystąpienia na konferencji Semafor 2017, Marcin Kaczmarek dodał, że taki materiał musi posiadać szereg konkretnych cech, takich jak:

• Dopuszczalność – plik lub pliki muszą zostać dopuszczone jako materiał dowodowy przez sąd;
• Autentyczność – plik lub pliki muszą posiadać jasny związek ze źródłem;
• Kompletność informacji – niekompletne informacje zawsze zostaną podważone przez adwokata;
• Wiarygodność – dowód musi być akceptowalny i niepodważalny;
• Zasadność – dowód musi być jasny, zrozumiały i uznawalny przez sąd.

Proces akwizycji dowodu cyfrowego polega na tworzeniu kopii oryginalnych danych i pozyskiwaniu z nich potrzebnych informacji. Wszystkie wykonywane w nim czynności muszą być rejestrowane i nie mogą mieć żadnego wpływu na oryginalne dane. Dowody pozyskuje się więc poprzez wykonanie zrzutu pamięci (RAM dump), zrzutu transmisji sieciowej (tcpdump) czy snapshot systemu. Kaczmarek dodaje, że do niedawna największym wyzwaniem było zdobycie danych z telefonów komórkowych. Wymagało ono bowiem wykonania jailbrake’a lub roota telefonu. To zaś dopuszczalne jest dopiero od jakiegoś czasu i jedynie w uzasadnionych przypadkach po uzyskaniu zgody sądu. Ekspert dodaje również, że kolejny duży problem w jego pracy wynika z przewlekłości prowadzonych postępowań sądowych. Zanim wydana zostanie zgoda na pozyskanie danych, ich źródło w wielu przypadkach przestało już istnieć. Przytacza przy tym anegdotę o tym, jak przyniesiono mu dwa monitory z prośbą o odtworzenie ostatnich wyświetlanych na nich obrazów. To rzecz jasna nie było możliwe. Nie jesteśmy CSI, nie jesteśmy w stanie zrobić cudów – wyjaśnia Kaczmarek.