Live Forensic – kontrowersje prawne związane z materiałem dowodowym

forensictools.pl 1 dekada temu

Informatyka śledcza ma na celu odszukanie, zabezpieczenie i dostarczenie elektronicznego materiału dowodowego, świadczącego o popełnionym przestępstwie, nadużyciu, czy zaistniałym incydencie. Tradycyjnie, informatycy śledczy zabezpieczają nośnik, którego kopia binarna poddawana jest następnie szczegółowej analizie (tzw. model post mortem). Jednak dziś, kiedy odchodzi się od tradycyjnych nośników danych zainstalowanych w urządzeniach na rzecz chmury obliczeniowej, a także kiedy wiele informacji dostarczają dane ulotne, coraz większe znaczenie odgrywa informatyka śledcza w modelu live forensic.

Na pierwszy rzut oka model ten „gryzie się” z podstawową zasadą informatyki śledczej – „widzę wszystko, nie zmieniam nic” i pracy na kopii – zapewniających podjętych przez informatyka śledczego. Zatem, czy materiał dowodowy zgromadzony metoda live forensic może zostać wykorzystany przed sądem? Jeden z najczęściej podnoszonych w praktyce zarzutów wobec elektronicznego materiału dowodowego polega na wskazaniu, iż osoba zabezpieczająca ten materiał dokonała jego modyfikacji, przez co przestaje on być wiarygodny. Z tego właśnie względu informatycy śledczy nie ingerowali w oryginalny nośnik, który zabezpieczali w sposób uniemożliwiający dokonywanie jakichkolwiek modyfikacji, natomiast analizy dokonywali na kopii binarnej. Z reguły wyłączali urządzenie i zabierali je celem sporządzenia kopii i przeprowadzenia analizy.

Dziś dane, które mogą mieć znaczenie dla rozstrzygnięcia sprawy, a więc które mogą stanowić dowód w postępowaniu przed sądem, nie znajdują się często na urządzeniu, ale na wirtualnym dysku (w chmurze), z którym urządzenie łączy się poprzez mobilny Internet. Z drugiej strony, choćby jeżeli mamy do czynienia z „tradycyjnym” urządzeniem wyposażonym we własny dysk to po pierwsze, mając na uwadze często gigantyczną pojemności takich dysków nie warto zabezpieczać ich w całości, ale dokonać pewnej selekcji, a po drugie nie można ignorować informacji gromadzonych w pamięci RAM, która w tej chwili może mieć 8 GB (i więcej) pojemności. I w końcu warto pamiętać, iż wyłączenie urządzenia może być nieodwracalne i w przypadku skutecznego szyfrowania utraci się dostęp do danych.

Live forensic

Rozwiązaniem wskazanych wyżej problemów zdaje się być przeprowadzanie „operacji na żywym organizmie”, a więc na uruchomionym urządzeniu i jego oryginalnych nośnikach (trwałych i ulotnych), przy otwartym dostępie do danych znajdujących się w chmurze. Poprzez odpowiednie narzędzia informatyk śledczy podłącza się do działającego systemu i dokonuje zabezpieczenia danych (po ich wcześniejszej ocenie i selekcji), które następnie analizuje. Jednak z modelem live forensic wiąże się klika poważnych problemów. Pierwszy dotyczy nieuniknionego pozostawiania śladów działalności informatyka śledczego w analizowanym systemie i na badanych nośnikach, a więc może naruszać integralność. Z technicznego punktu widzenia nie da się bowiem ingerować w system (używać go) bez pozostawiania śladów tej ingerencji. To zaś naraża na zarzut, o którym wspominałem wyżej, który może skłonić sąd do uznania dowodów za niewiarygodne (skoro zabezpieczający i analizujący dowód mógł wpłynąć na jego treść).

Drugi dotyczy wątpliwości, czy dokonujący zabezpieczenia informatyk śledczy, działający choćby na zlecenie organów ścigania w ramach postępowania przygotowawczego, jest uprawniony do zabezpieczenia i analizy danych znajdujących się na wirtualnym dysku (w chmurze), dostępnych za pośrednictwem badanego sprzętu (systemu). Czy organy ścigania nie powinny jednak zwrócić się o udostępnienie tych danych do podmiotu świadczącego usługę w chmurze na rzecz osoby, której sprzęt jest analizowany?

A jak to wygląda w sądzie?

Analiza sprzętu komputerowego (zasobów systemu informatycznego) w ramach postępowania karnego to nic innego jak instytucja przeszukania, dokonywana w celu znalezienia rzeczy (informacji) mogących stanowić dowód w sprawie. Należy pamiętać, iż podstawą przeszukania jest uzasadnione podejrzenie, iż poszukiwane rzeczy, a w naszym przypadku dane informatyczne, znajdują się tam, gdzie są poszukiwane, a więc na danym urządzeniu. W przypadku danych w chmurze, informacje znajdują się gdzieś na serwerze podmiotu świadczącego usługi cloud computingu. jeżeli poprzez badany sprzęt brak jest dostępu do danych w chmurze np. ze względu na konieczność podania loginu i hasła, nie pozostaje nic innego jak zwrócić się do usługodawcy o udostępnienie znajdujących się w chmurze danych. Co jednak w przypadku, kiedy dostęp przy pomocy badanego sprzętu jest możliwy?

W mojej ocenie, jeżeli zachodzi uzasadnione podejrzenie, iż na wirtualnym dysku, do którego dostęp jest możliwy bez przełamywania zabezpieczeń (dostęp nie jest zabezpieczony, albo użytkownik nie wylogował się), znajdują się informacje mogące stanowić dowód w sprawie, należy dokonać ich oględzin, przeszukania ewentualnie zabezpieczenia. Pomóc nam w tym może rozwiązanie XRY Cloud. jeżeli natomiast chodzi o zabezpieczenie się przed ewentualnym zarzutem naruszenia integralności zabezpieczanego materiału dowodowego, zabezpieczenie powinno odbywać się z poszanowaniem dobrych praktyk, tj.:

  • precyzyjne dokumentowanie każdej czynności – protokół – pomocnym rozwiązaniem
  • może być protokołowanie również dzięki urządzenia rejestrującego obraz i dźwięk,
  • udział w czynnościach kliku osób, sporządzających własne notatki ze wszystkich dokonywanych czynności i ich rezultatów,
  • używanie uruchomionego systemu w minimalnym, niezbędnym zakresie (bez otwierania n i e potrzebnych okien i programów; bez niepotrzebnego zamykania już uruchomionych, itd.)
  • używanie odpowiednich narzędzi informatyki śledczej, dedykowanych dla metody live forensic, podłączanych przez zewnętrzne porty (bez instalacji na badanym systemie),
  • znajomość narzędzi, których się używa – wiedza o tym, jakie ślady narzędzia te pozostawią w badanym systemie.

Celem stosowania się do wyżej wskazanych, przykładowych dobrych praktyk (przepisów nigdzie nie znajdziemy, orzecznictwa również brak) jest zapewnienie pełnej rozliczalności z czynności dokonanych przy zabezpieczeniu oraz możliwość odparcia zarzutu o naruszenie integralności poprzez dokładne wskazanie w jakim zakresie nastąpiła ingerencja w system, na którym dokonano zabezpieczenia danych.

Podsumowując, w mojej ocenie materiał dowodowy zgromadzony i zabezpieczony w modelu live forensic, na skutek pracy informatyka śledczego „na żywym organizmie”, może zostać wykorzystany przed sądem w każdym rodzaju postępowania. Poprzez zastosowanie się do dobrych praktyk unikniemy zarzutów w zakresie naruszenia cudzych praw, czy „zanieczyszczenia” materiału dowodowego.

Idź do oryginalnego materiału