Gdy dowodem są dane – czyli prawdy i mity związane z pozyskiwaniem dowodów cyfrowych

Informatyka kryminalistyczna

Odpowiednie wykonanie czynności oględzinowych jest ważne dla każdego rodzaju śladów, a dowody cyfrowe nie są wyjątkiem. Ich zabezpieczenia należy dokonać zgodnie ze wskazaniami nauki, tak aby uniknąć ich modyfikacji. Dane informatyczne z łatwością poddają się modyfikacjom – przypadkowym lub celowym, lecz zawsze niepożądanym z punktu widzenia wartości dowodowej takich materiałów. Wypracowaniem odpowiednich metod zajmuje się informatyka kryminalistyczna, jedna z najmłodszych dziedzin kryminalistyki¹⁶. Jej znaczenie zauważył już Sąd Najwyższy, który wskazał, że organy ścigania są zobligowane do stosowania „jak najdoskonalszych metod zabezpieczania dowodów w sprawie”¹⁷.

Podstawy obchodzenia się ze sprzętem komputerowym można przedstawić w stosunkowo prosty sposób. Istotne znaczenie dla przebiegu tych czynności ma to, czy sprzęt komputerowy jest uruchomiony w momencie rozpoczęcia czynności procesowych. Zabezpieczenie dowodów z komputera wyłączonego (dodajmy: co do którego istnieje pewność, że jest wyłączony) jest stosunkowo proste, a ryzyko modyfikacji dowodów – niskie. Należy wówczas postępować podobnie jak w innych przypadkach oględzin: przejąć kontrolę nad miejscem, sporządzić fotograficzną dokumentację sposobu podłączenia komputera, odciąć go od źródła zasilania, odłączyć urządzenia peryferyjne, a następnie zabezpieczyć dane lub interesujące nas elementy sprzętu¹⁸.

Natomiast gdy komputer jest uruchomiony, należy zachować szczególną ostrożność. Każde użycie komputera (otwarcie lub zamknięcie programu, dokumentu itp.) prowadzi do modyfikacji danych. Uruchamianie komputera znalezionego w miejscu oględzin czy nawet przeglądanie zawartości uruchomionego już sprzętu jest całkowicie niedopuszczalne. Co więcej, każda kolejna minuta pracy komputera może oznaczać zmianę danych – np. w wyniku zaplanowanych wcześniej operacji uruchamianych automatycznie. Przyjąwszy założenie, że należy za wszelką cenę uniknąć modyfikacji potencjalnych dowodów, należałoby uruchomiony komputer natychmiast odłączyć od zasilania – i to „na twardo”, odłączając kabel zasilający¹⁹. Takie rozwiązanie nie wymaga od członków zespołu oględzinowego szczegółowej wiedzy informatycznej i w zasadzie gwarantuje wiarygodność i autentyczność uzyskanych materiałów.

Jednak istnieje cały szereg możliwych do uzyskania danych, które giną wraz z odłączeniem komputera od zasilania. Mowa o danych znajdujących się w tzw. pamięci ulotnej komputera²⁰. Można w niej odnaleźć dane dotyczące bieżących procesów zachodzących w komputerze, aktywnych połączeń sieciowych, adresów IP, historii wprowadzanych poleceń oraz wiele innych potencjalnie przydatnych dla toczącego się postępowania²¹. Zanikanie tych danych wynika z zastosowanej technologii – praktycznie nie można mu zapobiec i jest ono procesem nieodwracalnym. Można jednak, stosując odpowiednie techniki, zabezpieczyć zawartość pamięci ulotnej przed odłączeniem zasilania, co niesłusznie jest postrzegane przez wielu praktyków jako „coś ekstra”. W przeszłości kluczowe dowody rzeczywiście znajdowały się przede wszystkim w pamięci trwałej (w wielu przypadkach jest tak nadal), jednak ewolucja przestępstw komputerowych i metod wykorzystywanych przez sprawców powodują, że nieprzemyślana decyzja o wyłączeniu komputera może przynieść szkodę postępowaniu²².

Jakakolwiek modyfikacja materiału cyfrowego zagraża jego wartości dowodowej. Prawdą jest przy tym, że odłączenie zabezpieczanego komputera od zasilania co do zasady pozwoli zachować zastane dane pamięci trwałej w niezmienionej postaci. Mitem jest jednak, że należy tak postąpić w każdym przypadku uruchomionego sprzętu – zamyka to bowiem możliwość zabezpieczenia tzw. danych ulotnych, mających niekiedy dużą wartość w postępowaniu.

Zabezpieczenie ulotnych danych informatycznych może być dokonane tylko wraz z częściową modyfikacją pierwotnych danych. Jest to czynność skomplikowana, wymagająca specjalistycznej wiedzy – nieumiejętnie przeprowadzona może spowodować usunięcie, nadpisanie czy uszkodzenie niektórych plików. Jednak prawidłowo zastosowane i odpowiednio dobrane narzędzia informatyki kryminalistycznej wprowadzają jedynie niewielkie i dające się dobrze udokumentować zmiany w materiale cyfrowym²³. Zabezpieczenie danych ulotnych odbywa się więc na zasadzie „coś za coś”. Należy, mając na uwadze cele postępowania, rozsądnie ocenić, kiedy warto tę czynność przeprowadzić, a kiedy od niej odstąpić.

Jednym z najpoważniejszych argumentów przemawiających za zabezpieczeniem ulotnych danych informatycznych jest możliwość stosowania szyfrowania danych przez sprawcę. Ten sposób zapewnienia bezpieczeństwa przechowywanym danym staje się coraz bardziej popularny zarówno wśród przedsiębiorców, jak i osób fizycznych chcących chronić swoje tajemnice. Oprogramowanie, które to umożliwia, jest powszechnie dostępne w internecie – legalnie i nieodpłatnie. Coraz częściej jest też integralnym elementem systemów operacyjnych komputerów²⁴. Wydawać by się mogło, że rozszyfrowanie takich danych jest dla policji co najwyżej zadaniem trudnym. Należy jednak wyraźnie podkreślić: organy ścigania nie dysponują w pełni skutecznymi narzędziami przełamania prawidłowo zastosowanych zabezpieczeń tego typu²⁵.

Mitem jest, że policja czy biegły informatyk są w stanie w rozsądnym czasie uzyskać dostęp do danych na zaszyfrowanych nośnikach. Dokonywane metodą brute force (czyli poprzez „zgadywanie” – sprawdzanie wszystkich możliwych kombinacji hasła) łamanie nowoczesnego szyfrowania całkowicie przekracza ich możliwości. Prawdą jest jednak, że nieumiejętnie zastosowane oprogramowanie szyfrujące nie daje tej gwarancji – techniki uzyskiwania dostępu do zaszyfrowanych informacji często bazują na błędach popełnionych przez sprawców.

Wyobraźmy sobie sytuację, w której sprawca przestępstwa wie o tym, że szyfrując dane, pozostaje bezkarny. Dysk w jego laptopie jest zaszyfrowany, a hasło zna tylko on. Jednak w momencie zatrzymania przez policję spokojnie sprawdzał e-maile w kawiarni – oczywiście na swoim laptopie, którego zawartość w tym momencie była odkodowana. W takim wypadku niewył?czenie komputera i?wykonanie kopii danych bezpo?rednio z?niego mo?e by? jedynym sposobem, by zapozna? si? z?ich tre?ci?, gdyby sprawca nie zdecydowa? si? na podanie hase? dost?pu w?p??niejszych etapach post?powaniaączenie komputera i wykonanie kopii danych bezpośrednio z niego może być jedynym sposobem, by zapoznać się z ich treścią, gdyby sprawca nie zdecydował się na podanie haseł dostępu w późniejszych etapach postępowania²⁶.

Poszukiwanie dowodów cyfrowych

Oczywiście zabezpieczanie danych mogących stanowić dowód w sprawie nie jest samo w sobie celem prowadzonych czynności. Będąc w posiadaniu uwierzytelnionej kopii zabezpieczonych nośników, można przystąpić do ich analizy. Warto wiedzieć, że kopię danych należy wykonać zawsze, nawet gdy fizyczny sprzęt komputerowy został zatrzymany. Bezpośrednie badanie plików zawsze doprowadzi do ich modyfikacji – dokonane na ich jedynej kopii pozbawi zgromadzony materiał wartości dowodowej²⁷.

Cele analizy zgromadzonego materiału należy zdefiniować w kontekście prowadzonego postępowania – przybiorą one formę odpowiednio zredagowanych pytań do biegłego informatyka. Należy określić, jakich informacji, wziąwszy pod uwagę charakter danego czynu zabronionego, powinien on poszukiwać. Innymi słowy: czy poszukiwane są zdjęcia, tajne dokumenty, nielegalne oprogramowanie, a może istnieje potrzeba ustalenia historii wyszukiwań internetowych użytkownika? Należy wyznaczyć te cele, bo choć z jednej strony rzeczywiście w komputerze nic się nie ukryje, to z drugiej ilość obecnie przechowywanych w nich danych uniemożliwia szczegółową analizę ich wszystkich. Zwykle zresztą nie ma takiej potrzeby. Chodzi przecież o to, by odnaleźć i udokumentować dane mające znaczenie dla prowadzonego postępowania (czyli: dowody cyfrowe)²⁸.

Dysponując uwierzytelnioną kopią zabezpieczonych danych, można przystąpić do ich analizy. Mitem jest jednak, że można szczegółowo przebadać wszystkie dane pochodzące z zabezpieczonego komputera. Prawdą natomiast, że można wybrać spośród nich te informacje, które mogą mieć znaczenie dla prowadzonego postępowania.

Dowody cyfrowe rzeczywiście mogą mieć formę zdjęć, plików tekstowych, programów obecnych w komputerze i innych widocznych gołym okiem elementów. Czasem jednak należy poszukać ich wśród rejestrów systemowych, metadanych (czyli „danych o danych” – określających np. czas powstania konkretnego pliku), w historii poleceń, wydruków… System operacyjny komputera przechowuje wiele z pozoru nieprzydatnych informacji mogących dostarczyć kompleksowej wiedzy na temat sposobu jego użytkowania²⁹. Tego rodzaju dane mogą mieć zarówno charakter obciążający, jak i przeciwnie – swoistym rodzajem cyfrowego alibi może być sytuacja, gdy dane interesujące prowadzącego postępowanie powstały pod nieobecność podejrzewanego.

Zacieranie cyfrowych dowodów przestępstwa

Jak wskazano – dysk komputerowy zawiera cały szereg danych mogących stanowić dowody cyfrowe w postępowaniu karnym. Sprawca przestępstwa obawiający się wykrycia może rzecz jasna próbować je usunąć. Należy więc zadać kolejne istotne pytanie: Czy możliwe jest zniszczenie, skasowanie dowodów cyfrowych bez jednoczesnego zniszczenia całego nośnika?

Użytkownik, usuwając wybrany przez siebie plik, spodziewa się zazwyczaj, że jego odzyskanie jest niemożliwe albo przynajmniej bardzo trudne. Tymczasem w takiej sytuacji system oznacza jedynie wybrane pliki jako „usunięte”. Usunięte są one tylko teoretycznie, gdyż faktycznie nadal znajdują się na dysku – są jednak niewidzialne dla użytkownika. Przywrócenie skasowanych w ten sposób plików jest możliwe z wykorzystaniem odpowiedniego oprogramowania i zasadniczo nie stanowi poważnego wyzwania dla biegłego³⁰. Wiedza o tym powszechnieje m.in. dzięki pojawiającym się co jakiś czas doniesieniom medialnym dotyczącym kolejnego przypadku „odzyskania danych przez policję”³¹.

Odzyskanie danych skasowanych jest możliwe tak długo, jak długo one istnieją – czyli do czasu ich nadpisania nowymi danymi (celowo lub automatycznie, w drodze zwykłego użytkowania sprzętu). Bez wdawania się w zbyt szczegółowe kwestie techniczne: odzyskanie danych z twardego dysku po ich, choćby jednokrotnym, nadpisaniu nie jest obecnie możliwe. W każdym razie nie leży to w zasięgu zwykłych organów ścigania ani też żadne komercyjne laboratorium informatyki kryminalistycznej nie oferuje tego typu usług³², chociaż niewykluczone, że było to możliwe w przeszłości (w wypadku starszych generacji magnetycznych twardych dysków).

To prawda, że standardowe kasowanie plików tak naprawdę nie usuwa ich z dysku komputera. Wielokrotnie można dzięki temu odzyskać cyfrowe dowody przestępstw pomimo prób ich zatarcia. Mitem jest jednak, że możliwe jest skuteczne odzyskiwanie kolejnych warstw danych usuniętych, w których miejscu zapisano nowe pliki.

Zakończenie

Dowody cyfrowe stają się coraz częstszym elementem prowadzonych postępowań. Sukcesem nigdy nie jest samo „zabezpieczenie trzynastu laptopów” w sprawie. Jest to dopiero początek żmudnego procesu pozyskiwania dowodu cyfrowego: od zabezpieczenia sprzętu lub danych, poprzez ich analizę, aż do jego prezentacji wymagana jest specjalistyczna wiedza i rzetelne podejście. Zasady przeprowadzania tych czynności i ograniczenia z tym związane powinni znać także praktycy prawa – zaniedbanie naukowych wytycznych dotyczących ich przeprowadzania prowadzi zwykle do utraty przez dane cyfrowe przymiotów wiarygodności i autentyczności, a w konsekwencji do utraty ich wartości dowodowej. Techniki informatyki kryminalistycznej służą właśnie zapewnieniu dowodom cyfrowym skuteczności prawnej poprzez umożliwienie ich prawidłowego zabezpieczenia.

Streszczenie

Wraz z rozwojem przestępczości komputerowej coraz częściej w postępowaniach karnych pojawiają się dowody mające postać danych pochodzących np. z komputera osoby podejrzanej. Zatrzymanie podejrzanego o przestępstwo komputerowe i zabezpieczenie jego komputera nie świadczy jeszcze o sukcesie organów ścigania, a jest tylko początkiem skomplikowanego procesu pozyskiwania dowodu cyfrowego. Aby dowody takie miały wartość procesową, konieczne jest przestrzeganie rygorystycznych zasad przy ich zabezpieczaniu i analizie. Nawet wówczas jednak uzyskanie przydatnego procesowo materiału może się okazać niemożliwe z innych powodów. Praktycy prawa powinni więc znać podstawowe prawdy i mity związane z dowodami cyfrowymi.

Słowa kluczowe:

dowód cyfrowy, informatyka kryminalistyczna, przestępczość komputerowa

Digital data as evidence – truths and myths about digital evidence acquisition

Summary:

Along with the increase in computer crime, evidence in form of digital data are more likely to occur during a criminal investigation. Making an arrest or seizing a computer containing digital evidence are only the beginning of a difficult process of digital evidence acquisition. Legal validity of such evidence depends on strict adherence to the rules of computer forensic science. But even if the rules were strictly followed, some data may remain inaccessible to the law enforcement due to various reasons. It is believed that this type of evidence will be increasingly important in future legal proceedings, so law practitioners should know the basic truths and myths about digital evidence.

Keywords:

digital evidence, digital forensics, computer crime

---

* Autor jest doktorantem w Katedrze Kryminalistyki Instytutu Prawa Karnego na WPiA Uniwersytetu Warszawskiego.

¹ Informacje o zatrzymaniach tego rodzaju podaje zwykle sama policja. Np. w kwietniu 2014 r. w siedzibie jednego z krakowskich przedsiębiorców budowlanych, w związku z podejrzeniem posługiwania się nielegalnym oprogramowaniem, zabezpieczono aż 13 laptopów. Zob.www.policja.pl/pol/aktualnosci/97590,Policjanci-zabezpieczyli-nielegalne-oprogramowanie-warte-blisko-100-tys-zl.html, dostęp: 24.10.2014 r.

² Pojęcia „cyberprzestępstwo” oraz „przestępstwo komputerowe” mogą być wykorzystywane zamiennie. Warto jednak odnotować, że w niektórych opracowaniach przyjmuje się, że ich zakresy nie są tożsame. Zob. A. Lach, Dowody elektroniczne w postępowaniu karnym, Toruń 2004, s. 12, za: E. Casey, Digital Evidence and Computer Crime: forensic science, computers and the internet, Academic Press 2000, s. 8–9.

³ D. Parker, Computer Crime – Criminal justice resource manual, US Depart­ment of Justice, August 1989, https://www.ncjrs.gov/pdffiles1/Digitization/118214NCJRS.pdf, dostęp: 15.12.2014 r., s. 2.

⁴ W głośnej sprawie Katarzyny Waśniewskiej, skazanej za zabójstwo córki, istotną poszlakę stanowiły właśnie dane pochodzące z jej komputera, dotyczące historii wyszukiwanych przez oskarżoną treści. Zob. www.tvp.info/17279244/katarzyna-wasniewska-prawomocnie-skazana-na-25-lat-wiezienia-za-zabicie-corki, dostęp: 24.10.2014 r.

⁵ Por. definicje przestępczości komputerowej w sensie materialnym i procesowym w: A. Adamski, Prawo karne komputerowe, Warszawa 2000, s. 30–34.

⁶ J. DeGaine, Digital Evidence, The Army Lawyer, May 2013, s. 8.

⁷ Zob. B. Perrin, M. Remy, R. Rouloaty, Electronic evidence in Swiss criminal procedure, Digital Evidence and Electronic Signature Law Review 2011, vol. 8, s. 72. Stwierdzenie to pada tam w kontekście szwajcarskiej procedury karnej, jednak jest ono równie odpowiednie w odniesieniu do polskiego postępowania karnego.

⁸ M.B. Mukasey, J.L. Sedgwick, D.W. Hagy, Electronic Crime Scene Investigation: a guide for first responders, U.S. Department of Justice Office of Justice Programs 2008, s. IX.

⁹ M. Grabowski, A. Zając, Dane, informacja, wiedza – próba definicji, Katedra Informatyki Akademii Ekonomicznej w Krakowie,www.uci.agh.edu.pl/uczelnia/tad/APSI/cwiczenia/Dane_informacje_wiedza.pdf, dostęp: 29.10.2014 r.

¹⁰ E. Casey, Digital evidence and computer crime: forensic science, computers and the internet, Academic Press 2000, s. 1.

¹¹ M. Szmit, Specyfika informatyki sądowej. Uwagi terminologiczne i metodologiczne, [w:] M. Szmit (red.), Elementy informatyki sądowej, Polskie Towarzystwo Informatyczne 2011, s. 29.

¹² P. Krawczyk, Zdrowy rozsądek a zabezpieczanie sprzętu komputerowego, WinSecurity Magazine 2001, Nr 11, s. 35–37.

¹³ Jeden z opisywanych przypadków odnosi się do przedsiębiorstwa oferującego usługi internetowe, którego klient (!) był podejrzanym w sprawie. Zob. ibidem.

¹⁴ S. Bui, M. Enyeart, J. Luong, Issues In Computer Forensics, 2003, s. 5,www.cse.scu.edu/~jholliday/COEN150sp03/projects/Forensic%20Investigation.pdf, dostęp: 24.10.2014 r.

¹⁵ R.B. Adams, The Advanced Data Acquisition Model (ADAM): A Process Model for Digital Forensic Practice, Murdoch University 2012, s. 234.

¹⁶ Zob. G.L. Palmer, A road map for digital forensic research, Technical Report DTR–T0010–01 for the First Digital Forensic Research Workshop 2001.

¹⁷ Sąd Najwyższy wypowiedział się co do znaczenia informatyki kryminalistycznej w wyroku z 20.6.2013 r. (III KK 12/13, KZS 2013, z. 11, poz. 36).

¹⁸ Zob. m.in. J. Williams, ACPO Good practice guide for digital evidence, Association of Chief Police Officers, March 2012.

¹⁹ Ibidem, s. 32.

²⁰ J. Woodcock (red.), Microsoft: encyklopedia komputerowa, Warszawa 2002, s. 548.

²¹ Zob. A. Walters, N.L. Petroni, Volatools: integrating volatile memory forensics into digital investigation process, Black Hat DC Conference 2007, www.blackhat.com/presentations/bh-dc-07/Walters/Paper/bh-dc-07-Walters-WP.pdf, dostęp: 29.10.2014 r., s. 7–8.

²² M. Riggins, Evolving data acquisition techniques, ECCU 502 Final Project, August 2013,www.academia.edu/4269111/Evolving_Data_Acquisition_Techniques, dostęp: 29.10.2014 r.

²³ T.G. Shipley, H.R. Reeve, Collecting evidence from a running computer: a technical and legal primer for justice community, SEARCH: The National Consortium for Justice Information and Statistics, 2006, www.search.org/files/pdf/collectevidenceruncomputer.pdf, dostęp: 29.10.2014 r., s. 9.

²⁴ Zob. Ponemon Institute, 2010 Annual Study: UK Enterprise Encryption Trends,www.symantec.com/content/en/us/about/media/pdfs/Symc_Ponemon_Encryption_Trends_report_Nov2010.pdf, dostęp: 29.10.2014 r.

²⁵ Zob. m.in. S. Lowman, The effect of file and disc encryption on computer forensics, 2010,lowmanio.co.uk/share/The%20Effect%20of%20File%20and%20Disk%20Encryption%20on%20Computer%20Forensics.pdf, dostęp: 29.10.2014 r., s. 5.

²⁶ W ten sposób, in flagranti, został zatrzymany Ross Ulbricht (założyciel i administrator największego internetowego portalu umożliwiającego czarnorynkowy handel). W chwili zatrzymania „pracował” on w publicznej bibliotece w San Francisco. Ponieważ jego laptop był wówczas uruchomiony, możliwe było zabezpieczenie jego zawartości bez znajomości haseł dostępu. Zob. zaufanatrzeciastrona.pl/post/nowe-bardzo-mocne-dowody-w-sprawie-zalozyciela-silk-road/, dostęp: 28.10.2014 r.

²⁷ Por. A. Lach, op.cit., s. 115.

²⁸ J. Williams, op.cit., s. 10.

²⁹ J.R. Mallery, Secure deletion – fact or fiction, SANS Institute 2006, www.sans.org/reading-room/whitepapers/incident/secure-file-deletion-fact-fiction-631, dostęp: 21.2.2014 r., p. 1–3.

³⁰ P. Odor, Kasowanie danych jako element polityki bezpieczeństwa, [w:] J. Kosiński (red.), VIII Seminarium Naukowe „Przestępczość teleinformatyczna”, Szczytno 2005, s. 136.

³¹ Zob. m.in. TVN Warszawa, Policjantom nie udało się zniszczyć dowodów swojej winy dzięki poznańskiej firmie data recovery, tvnwarszawa.tvn24.pl/material/policjantom-nie-udalo-sie-zniszczyc-dowodow-swojej-winy-dzieki-poznanskiej-firmie-data-recovery,1741229,918974,0.html, dostęp: 29.10.2014 r.

³² Na przykład na stronie internetowej polskiego przedsiębiorstwa odzyskującego dane VS DATA można odnaleźć informację, że: „przekonanie, że nadpisane dane można odzyskać, jest mitem wyssanym z palca”. Zob. VS Data, Mit nadpisanych danych,www.odzyskiwaniedanych.info/index.php/component/content/article/3/70-mit-nadpisanych-danych, dostęp: 29.10.2014 r.