Jak z jajkiem

Computer forensics to poszukiwanie dowodów nadużyć i przestępstw dokonanych z wykorzystaniem komputera bądź innych urządzeń elektronicznych, jak np. PDA, telefon komórkowy czy cyfrowy aparat fotograficzny. Procedura ta najczęściej związana jest z odtworzeniem i umiejscowieniem w czasie pewnych wydarzeń noszących znamiona przestępstwa, odzyskaniem usuniętych danych czy wyszukiwaniem innych, ukrytych i niedostępnych wprost informacji. W wyniku tego procesu powstaje obszerny dokument - raport, który może stanowić materiał dowodowy w sądzie lub dla pracodawcy. Opisuje on nie tylko uzyskane dowody, ale całą drogę ich pozyskania. Co ciekawe, statystyki podają, że tylko 20% spraw computer forensics znajduje swój finał w sądzie.

Połowa przyjmowanych przez nas zleceń pochodzi bezpośrednio od firm prywatnych, a połowa od takich instytucji, jak policja czy ABW - mówi Jarosław Kubica, dyrektor ds. rozwoju w MBM Ontrack. - Firma, która chce skorzystać z usług computer forensics, może skorzystać z obu tych dróg, przy czym jeśli chce uniknąć rozgłosu, powinna skontaktować się bezpośrednio z nami. Natomiast w niektórych przypadkach droga przez policję czy ABW może być korzystna o tyle, że gdy dojdzie do późniejszego procesu sądowego, to za naszą usługę zapłaci ten, kto proces przegra.

Cała sztuka w stworzeniu wiarygodnego i rzetelnego raportu polega na tym, że z analizowanymi danymi trzeba postępować nadzwyczaj ostrożnie. Jeden błędny ruch może przekreślić szansę na uzyskanie informacji o popełnionym przestępstwie. Dlatego firmy zajmujące się świadczeniem usług computer forensics mają bardzo sztywne i rygorystyczne procedury, których muszą się trzymać. Zawsze pracują na kopiach otrzymanych danych, które wykonują na poziomie sprzętowym, a przede wszystkim bez uruchamiania systemu operacyjnego na komputerze, z którego analizowane są dane (podczas każdego uruchomienia komputera część danych, np. data ostatniego uruchomienia, jest bezpowrotnie zmieniana).

Jak wynika z danych Kroll Ontrack istnieje kilka typowych kategorii przypadków, w których wykorzystywane są działania mające na celu dostarczenie dowodów przestępstw popełnionych z użyciem komputera. Należą do nich przypadki oszustwa, fałszerstwa komputerowego, niszczenia danych lub programów komputerowych, włamania do systemu, jak również sabotażu komputerowego. Dość częstymi przypadkami są też przestępstwa związane z pornografią dziecięcą.

Wiele osób, które stan swojej wiedzy na temat informatyki oceniają jako ponadprzeciętny, może stwierdzić, że wiarygodność wszystkich takich dowodów stoi pod dużym znakiem zapytania, a ich podrobienie jest nadzwyczaj łatwe (można przecież przeedytować logi z serwera, a ustawienie ciągu wydarzeń w porządku chronologicznym zaburzyć może przestawienie zegara w komputerze). Teoretycznie mają rację. Ale, jak twierdzą przedstawiciele firm zajmujących się computer forensics, także fakt wykonania takich czynności jest łatwy do udowodnienia. Porządek chronologiczny bez problemu można zsynchronizować z zapisami na innych komputerach czy serwerach, z którymi podejrzany komputer się kontaktował.