W poprzednim odcinku dowiedzieliśmy się, czym jest kryminalistyka informatyczna, jakimi zagadnieniami się zajmuje i kto jest w nią "zamieszany". Czas teraz przyjrzeć się bardziej użytecznym dla nas aspektom tej dziedziny. Spróbujmy spojrzeć na computer forensics jak na instrument, za pomocą którego możemy dochodzić lub bronić praw swoich czy swojej firmy. Instrument, który pozwoli uzyskać nam coś, co określa się mianem niezbitego dowodu.

Zacznijmy zatem od samego początku. To, co może zaoferować kryminalistyka, zależy od tego, z jakim rodzajem "występku" mamy do czynienia. Myliłby się ten, kto uważa, że pomoc computer forensics zaczyna się i kończy na odzyskiwaniu danych lub analizie śladów włamania komputerowego. Obecnie - zwłaszcza w świecie biznesu, ale nie tylko - wszystkie ważniejsze sprawy załatwia się za pośrednictwem lub przy wykorzystaniu komputera. Dlatego też wszędzie tam, gdzie istnieje choć bit cyfrowej wiedzy, możemy zaprzęgać do pracy kryminalistykę. Nie ma większego znaczenia, czy chcemy się rozwieść, rozbić szajkę rabusiów, doprowadzić włamywacza komputerowego przed oblicze wymiaru sprawiedliwości, czy też wytropić nieuczciwego pracownika, albo ujawnić aferę korupcyjną. W większości przypadków bowiem nieocenione usługi mogą oddać ślady zgromadzone przez technika kryminalistycznego.

Trochę teorii

Aby zrozumieć, co i w jaki sposób będzie można wykorzystać, trzeba liznąć odrobinę wiedzy - w większości prawniczej. Jeżeli zajdzie kiedykolwiek potrzeba przedstawienia śladów przed sądem, musimy wiedzieć, co jest śladem elektronicznym i jak z nim postępować, aby mógł być uznany za dowód w chwili "ostatecznej próby". Czym więc jest ślad elektroniczny, a mówiąc precyzyjnie ślad cyfrowy?

W dużym uproszczeniu można stwierdzić, że jest to każda informacja w postaci binarnej. Takim zapisem może być e-mail, plik logów, zapis ruchu sieciowego, fragment programu komputerowego lub choćby zapis z kamer monitoringu itp. Idąc dalej, dowód elektroniczny to taki ślad elektroniczny, który może potwierdzić lub uprawdopodobnić fakt popełnienia czynu bądź umożliwić wykrycie powiązania pomiędzy sprawcą a czynem lub czynem i jego ofiarą. Jakie czynniki będą decydować, czy ten lub inny ślad zostanie przez sąd zakwalifikowany jako dowód?

Po pierwsze, w Polsce obowiązuje zasada swobodnej oceny materiału dowodowego. W związku z tym to do sądu należy ostateczna decyzja, czy dany ślad zostanie wzięty pod uwagę w sprawie. Jako ciekawostkę można wspomnieć, że całkiem odmiennie postępują sądy amerykańskie. Tam zgodnie z Federal Rules of Evidence ślad, aby mógł stać się dowodem, musi spełniać wiele ściśle określonych kryteriów.

Po drugie, skoro ocena należy do sądu, trzeba postarać się rozwiać wszelkie wątpliwości co do zgromadzonego materiału, jakie mogą pojawić się w trakcie postępowania.

Po trzecie, w usuwaniu wszelkich wątpliwości wielce użyteczny jest biegły sądowy, którego sąd obowiązkowo w takich przypadkach musi powołać. Warto tu zwrócić uwagę na dwa paradoksy. Pierwszym jest sam biegły. Biegłym w zakresie informatyki może zostać każdy, kto wylegitymuje się dowolnym dokumentem potwierdzającym ową "biegłość". To oczywiście stawia niektóre wydane opinie pod znakiem zapytania. Drugim paradoksem wydaje się osoba sędziego. Jeżeli nawet ma on pozazawodowe zainteresowania informatyczne i jego wiedza jest większa niż biegłego, to i tak musi go powołać.

Po czwarte, należy zdawać sobie sprawę, że dowody elektroniczne będą w sporej części dowodami tzw. poszlakowymi. Oznacza to, że będą świadczyły o zaistnieniu jakichś faktów ubocznych, ale nie o samym przestępstwie. Niemniej jednak połączenie kilku takich faktów ubocznych może spowodować, że nie będzie wątpliwości co do samego przestępstwa i jego sprawcy. A zatem tym ważniejsze jest, aby dowody elektroniczne były solidne jak skała.

Przyjrzyjmy się teraz bliżej "usuwaniu wątpliwości". To, co może spowodować negatywną ocenę śladu (czyli ślad zostanie zakwestionowany jako dowód), to sytuacje wynikające ze specyfiki samego śladu elektronicznego. Czyli jest łatwo modyfikowalny, łatwo uszkadzalny i stosunkowo nietrwały. Ponadto, aby został poprawnie pobrany, wymagane są specjalne środki techniczne.

Mówiąc prościej, można podważyć zasadność śladu jako dowodu stwierdzając, że ślad został pobrany nieprawidłowo, co doprowadziło do jego uszkodzenia (zatracenia cech indywidualnych) i co eliminuje go z postępowania dowodowego. Dla przykładu, biegły może zaopiniować, że wykonanie kopii dysku przy użyciu oprogramowania typu Norton Ghost nie jest wiernym odwzorowaniem oryginału, a zatem mogło zostać zafałszowane. Mało tego, często kwestionowany jest sam system, z którego pobrano ślady. Na przykład jeżeli okaże się, że system, z którego pobraliśmy ślady, jest istną dżunglą trojanów, keyloggerów i innych podobnych śmieci, a przy tym zawiesza się co kilkanaście minut, to wartość uzyskanych z niego informacji może być mocno wątpliwa. No i nie można zapomnieć o innej przykrej cesze komputerów w takich miejscach, jak kawiarnie internetowe czy stanowiska ogólnodostępne. Niezwykle trudno jest wskazać na konkretnego sprawcę - wystarczy tylko skoczyć po kawę do automatu, a w tym czasie ktoś może wysłać e-maila z naszego konta i klapa.

Czyli wskazówka dla nas jest następująca: zanim zabierzemy się do zabezpieczania śladów dla przyszłych celów procesowych, zastanówmy się, jak to zrobić.

One way or another, I'm gonna get ya, get ya, get ya... (Blondie)

Dalsze działania zależą w zasadzie przede wszystkim od poziomu naszej wiedzy i wiary w umiejętności. Bezsprzecznie fakt zaistnienia takiego zdarzenia powinniśmy gdzieś zgłosić.

Jeżeli pracujemy w dużej korporacji, to jest szansa, że w jej ramach funkcjonuje komórka odpowiedzialna za rozwiązywanie takich problemów, blisko współpracująca z działem prawnym.

Jeżeli pracujemy w instytucji finansowej o dużej renomie, to w 90% przypadków rozwiązuje się je "we własnym zakresie". Ujawnienie włamania komukolwiek z zewnątrz mogłoby się bowiem negatywnie odbić na wizerunku i spowodować utratę zaufania klientów, a w konsekwencji straty finansowe. Na porządku dziennym są sytuacje, kiedy bank po wykryciu włamania np. na internetowe konta swoich klientów, nie zawiadamia nawet posiadaczy konta i z własnych środków uzupełnia straty.

Jeżeli jednak nie posiadamy wyspecjalizowanej komórki albo dopiero ją tworzymy, warto zwrócić się o pomoc do specjalistów. Tymi mogą być bądź organy ścigania (policja - przy każdej komendzie wojewódzkiej funkcjonuje odpowiednia jednostka, prokuratura), bądź organizacje pozarządowe i firmy prywatne.

Z uwagi na bliskie związki z NASK-iem, a co za tym idzie na wgląd w ciemne zakamarki krajowej infrastruktury informatycznej, godną polecenia organizacją jest CERT Polska (Computer Emegency Response Team) -http://www.cert.pl .

Warto pamiętać, że funkcjonują także firmy komercyjne, których jednak w Polsce nie ma zbyt wiele. Spowodowane jest to stosunkowo małą jeszcze wiedzą o potencjale drzemiącym w kryminalistyce informatycznej.

Najbardziej doświadczoną (ponad 700 zakończonych postępowań) jest firma MediaRecovery z Katowic -http://www.mediarecovery.pl , która może się poszczycić m.in. rozwiązaniem spraw, o których w dalszej części.

Jeżeli więc obiektywnie przyznamy, że własną działalnością możemy naszym śladom przynieść więcej szkody niż pożytku, działalność tę ograniczmy do poproszenia o pomoc specjalistów.