Cyberbezpieczeństwo

Gromadzenie i zabezpieczanie materiału dowodowego w zakresie przestępstw komputerowych

W naturalny sposób wraz z rozwojem technologii informatycznych, w tym wykorzystania Internetu, pojawił się problem niewłaściwego stosowania osiągnięć elektronicznego przetwarzania danych. Rozwój technologii informatycznych sprawił, że metody włamań do systemów komputerowych przybierają różne formy. Począwszy od ataków poprzez sieć, gdzie z zacisza swoich „garaży” potencjalni przestępcy przedzierają się przez kolejne poziomy zabezpieczeń, a skończywszy na atakach wewnętrznych wykonywanych, np. przez niezadowolonych lub skorumpowanych przez konkurencję pracowników.

Zdarza się, że udaje się przekupić administratorów systemu komputerowego, którzy kierując się chęcią np. łatwego zarobku lub niezadowoleniem z powodu zbyt niskich zarobków przekazują w niepowołane ręce informacje o znaczeniu biznesowym, np. kopie planów marketingowych. Wszystkie te okoliczności przyczyniły się to do wykreowania nowych form przestępczości (zwanych często cyber-przestępstwami), a także coraz powszechniejszego wykorzystywania Internetu w popełnianiu pospolitych przestępstw.

Skala tego zjawiska powoduje, że istotnym elementem staje się ścisła współpraca organów ścigania na całym świecie w zakresie metod i procedur gromadzenia oraz ujawniania materiału dowodowego, który jako elektroniczny zapis informacji, ze względu na nietrwałą naturę i podatność na manipulacje, jest rodzajem dowodu, który wymaga stosowania szczególnych środków oraz procedur umożliwiających jego procesowe wykorzystanie. W związku z tym, wypracowanie i stosowanie przez organy ścigania w miarę jednolitych metod oraz procedur gromadzenia informacji, w sposób umożliwiający potraktowanie zebranego materiału jako materiał dowodowy, jest niezwykle istotne w procesie walki z przestępczością komputerową.

Wykorzystywanie przez organy ścigania na całym świecie standardowych metod i procedur gromadzenia oraz zabezpieczania materiału dowodowego znacznie ułatwiłoby wymianę informacji dotyczących przestępstw komputerowych o zasięgu międzynarodowym. Pomimo, że potraktowanie zebranych informacji jako materiału dowodowego jest uzależnione od ustawodawstwa obowiązującego w danym kraju, to jednak opieranie się na pewnych wypracowanych wytycznych dotyczących prowadzenia spraw związanych z przestępstwami komputerowymi niejednokrotnie przyczynia się do uniknięcia ewentualnych skutków ubocznych, np. w postaci zatarcia lub zmiany śladów materiału dowodowego (np. w postaci plików tymczasowych wygenerowanych przez aplikację), czy też nieumyślnego pominięcia pewnych istotnych dla danej sprawy okoliczności.

Ogólne zasady dotyczące gromadzenia i zabezpieczania dowodów

Gromadzenie i zabezpieczanie materiału dowodowego związanego z danym przestępstwem komputerowym wymaga olbrzymiej dyscypliny oraz organizacji działań. Sprowadza się to do badania miejsca zdarzenia, czyli wykonania powiązanych działań prowadzących do wyjaśnienia okoliczności zdarzenia i wykrycia sprawców. Należy jednak pamiętać, że w przypadku przestępstw popełnianych w sieciach komputerowych, podjęte czynności powinny doprowadzić do identyfikacji komputera, który dopiero należy powiązać z konkretną osobą, czyli potencjalnym sprawcą przestępstwa. W przypadku zidentyfikowania przestępstwa komputerowego (np. włamania do systemu) należy wykonać szereg czynności, których głównym celem jest uzyskanie jak największej ilości informacji o zdarzeniu, a także zabezpieczenie wszelkich śladów [1] mających związek z popełnionym przestępstwem oraz rzeczowych źródeł dowodowych.

Podczas przebiegu postępowania, w celu uzyskania jak największej ilości informacji o zdarzeniu, należy zebrać jak najwięcej danych zarówno z samego systemu stanowiącego przedmiot przestępstwa, jak i od dostawców usług (internetowych, telekomunikacyjnych) oraz od ewentualnych świadków zdarzenia. W takcie gromadzenia informacji od pracowników należy sprawdzić, czy czasami nieświadomie nie przekazali oni jakichś istotnych danych niepowołanej osobie i w ten sposób przyczynili się do utraty pewnych informacji lub ułatwili włamanie do systemu.

Wszystkie osoby biorące udział w poszukiwaniu dowodów powinny dokładnie wiedzieć, które pomieszczenia mają zostać przeszukane, pod jakim względem i w jakim zakresie. Osoby te muszą wiedzieć czego konkretnie poszukują i co ma zostać zabezpieczone, a także gdzie ewentualnie może znajdować się materiał dowodowy. Pomimo rozpoznania i zaplanowania działań, należy przewidzieć, że dopiero w momencie wizji lokalnej będzie można jednoznacznie określić, czy przedmiotem działań będzie pojedyncza stacja robocza zlokalizowana w jednym pomieszczeniu, czy też będzie to cała sieć komputerowa składająca się z kilku serwerów i kilkuset stacji roboczych.

Osoby biorące udział w postępowaniu powinny posiadać gruntowną znajomość przepisów krajowego prawa karnego w zakresie przestępstw komputerowych i zdawać sobie sprawę, że ustawodawstwo różnych krajów w zakresie przestępstw komputerowych może znacznie się różnić.

Przykładowo, w Polsce czynnikiem ograniczającym karalność hackingu (art. 267 §1 k.k.) jest uzależnienie odpowiedzialności sprawcy od pokonania przez niego zabezpieczeń broniących dostępu do systemu komputerowego i zapoznania się z treścią przechowywanej w tym systemie informacji (np. cudzej korespondencji lub planów biznesowych konkurencyjnego przedsiębiorstwa). Podobne rozwiązania prawne zostały przyjęte w ustawodawstwie, takich krajów jak: Holandia, Niemcy oraz Norwegia. Znajomość przepisów prawa jest o tyle istotna, że w sprawach dotyczących przestępstw komputerowych o zasięgu międzynarodowym materiał dowodowy zebrany w jednym kraju może być prezentowany przed sądem w innym kraju [4,5,20,21].

Istotnym elementem jest również fakt, że w zależności od przepisów prawa obowiązujących w danym kraju, organy procesowe prowadzą postępowanie i dokonują czynności z urzędu lub na wniosek określonej osoby, instytucji lub organu. Przykładowo, w polskim prawie karnym do grupy przestępstw komputerowych ściganych na wniosek pokrzywdzonego zalicza się hacking (267 § 1 k.k.) oraz naruszenie integralności komputerowego zapisu informacji (art. 268 § 2 k.k.).

W pierwszym przypadku działanie sprawcy polega na uzyskaniu dostępu do cudzego systemu, po uprzednim pokonaniu zabezpieczeń, a następnie uzyskaniu z niego informacji, zaś w drugim działanie sprawcy polega na manipulacji danymi, oprogramowaniem, rekonfiguracją systemu lub wprowadzeniem „konia trojańskiego” bez posiadania odpowiednich uprawnień.

W przypadku naruszenia integralności komputerowego zapisu informacji nie ma znaczenia, czy sprawca dokonał włamania, czy też jest jednym z użytkowników systemu komputerowego.

Do przestępstw ściganych z urzędu zalicza się z kolei np. bezprawne zwielokrotnienie programu komputerowego (art. 278 § 2 k.k.), w celu osiągnięcia korzyści majątkowej lub paserstwo programu komputerowego (art. 293 § 1 k.k.).

Biorąc pod uwagę nietrwałą naturę i podatność na manipulacje elektronicznego zapisu informacji w trakcie całego postępowania należy m.in.:

• szczegółowo odnotowywać każdą wykonaną czynność i podjęte działania związane z analizą zebranego materiału dowodowego,
• nie dopuścić do jakichkolwiek zmian zawartości komputerowych nośników informacji, które stanowią źródło dowodowe,
• umożliwić dostęp do materiałów dowodowych wyłącznie osobom uprawnionym,
• rozważyć, czy korzystniejsze jest wyłączenie czy pozostawienie włączonego komputera w przypadku, kiedy po wejściu do siedziby firmy okaże się, że system jest włączony i są uruchomione aplikacje,
• nadać etykiety (sporządzić metryczkę) dla wszystkich zebranych materiałów (dyski twarde, dyskietki oraz inne nośniki), zgodnie ze sporządzoną dokumentacją, w której powinny znaleźć się odnośniki do naniesionych etykiet.

Niezależnie od wykonywanych czynności związanych z przedmiotem działań, należy pamiętać o zapewnieniu, że zgromadzone informacje nie zostały w żaden sposób zmienione lub część z nich nie została usunięta. Dlatego też podstawowym zadaniem osób biorących udział w procesie gromadzenia materiału dowodowego jest staranne udokumentowanie zarówno miejsca zdarzenia, jak i wszystkich wykonanych czynności.

Analogiczna sytuacja zachodzi w trakcie procesu analizy zebranego materiału dowodowego, gdzie także konieczne jest precyzyjne, tzn. krok po kroku, odnotowanie wszystkich wykonanych czynności. W odróżnieniu od tradycyjnych materiałów dowodowych, nieuprawnione zmiany dokonane na elektronicznych danych są trudne do wykrycia, dlatego też należy zadbać o to, aby sąd nie miał wątpliwości, co do autentyczności zebranego materiału. Wynika to z faktu, że niedające się usunąć wątpliwości najczęściej, tj. zależnie od ustawodawstwa danego kraju, rozstrzyga się na korzyść oskarżonego. Dlatego też niezwykle istotne jest staranne i bardzo dokładne zebranie i zabezpieczenie materiału dowodowego, w tym precyzyjne jego opisanie.

Do najczęściej stosowanych metod, których głównym celem jest wyeliminowanie wątpliwości, co do autentyczności zebranego materiału dowodowego należą m.in.:

• dokonanie sprawdzenia, po zabezpieczeniu materiału dowodowego, wykonanej pełnej fizycznej kopii poprzez szczegółowe porównanie z oryginałem informacji o strukturze katalogów i zawartych w nich plikach (operacja ta powinna zakończyć się udokumentowaniem zawartości kopii i oryginału),
• obliczenie dla każdego pliku lub grupy plików funkcji skrótu (digital fingerprint), np. MD5, SHA-1, czy RIPMED-160,
• zgromadzenie szczegółowej dokumentacji z całego postępowania, w której krok po kroku zostały opisane wszystkie wykonane czynności.

Etapy wykonywanych czynności na miejscu zdarzenia

Niezależnie od kwalifikacji prawnej danego przestępstwa oraz metody jego ścigania, określonej w przepisach prawa danego kraju, sposób postępowania związanego z przestępstwem komputerowym jest praktycznie zbliżony i składa się z 6. etapów, których zasadniczym celem jest wyjaśnienie wszystkich okoliczności zdarzenia oraz wykrycie sprawców przestępstwa.

Poniżej przedstawiono zalecenia MOPK-INTERPOL w zakresie czynności wykonywanych na miejscu zdarzenia, w przypadku zidentyfikowania przestępstwa komputerowego.

[Etap I] Rozpoznanie i zaplanowanie działań

Postępowanie w sprawie przestępstwa komputerowego, którego głównym celem jest wykrycie sprawcy przestępstwa oraz pociągnięcie go do odpowiedzialności karnej, rozpoczyna się od dokonania rozpoznania i zaplanowania działań. We wstępnej fazie postępowania, należy uściślić obszar związany z przedmiotem oględzin, zlokalizować miejsca, w których mogą znajdować się ślady i dowody, a także określić wstępną wersję przebiegu działań. Dokładne rozpoznanie przedmiotu przestępstwa komputerowego, jego otoczenia i właściwości jest istotnym czynnikiem powodzenia całego przedsięwzięcia, którego głównym celem jest umożliwienie zebrania materiału dowodowego w najlepszy możliwy sposób, tzn. ograniczający ryzyko związane ze zniszczeniem, modyfikacją lub uszkodzeniem danych istotnych dla sprawy, a także eliminujący przypadek, w którym zostaną pominięte działania, w wyniku których nie zostaną zebrane i zabezpieczone informacje istotne dla sprawy.

W związku z tym, przed przystąpieniem do jakichkolwiek działań należy dokładnie rozpoznać przedmiot przestępstwa, jego otoczenie i właściwości. Istotne jest, czy środowisko, w jakim dokonywane będą czynności składa się z pojedynczej stacji roboczej, czy też jest to sieć komputerowa, składająca się z kilku serwerów i kilkudziesięciu stacji roboczych. Ponadto, ważną informacją jest rodzaj sieci komputerowej, np. czy jest to sieć oparta na środowisku Windows, czy też na platformie Novell lub Unix. Może się zdarzyć, że będzie to sieć heterogeniczna, oparta zarówno na platformie Windows, jak i Unix. Zakres rozpoznania będzie również uzależniony od tego, czy komputer lub sieć komputerowa jest materiałem dowodowym, czy też narzędziem przestępstwa. Wszystkie te okoliczności wpływają zasadniczo na zaplanowanie kolejnych działań. W zależności od rozpoznania otoczenia i okoliczności przestępstwa należy zaplanować zarówno rodzaj czynności, jak i ich zakres oraz przebieg, w tym m.in. należy:

• przygotować odpowiednie narzędzia zarówno informatyczne, jak i narzędzia niezbędne do demontażu sprzętu komputerowego,
• skompletować odpowiednie druki niezbędne do oględzin miejsca zdarzenia, a także rejestracji stanu faktycznego oraz zabezpieczenia materiału dowodowego,
• zapewnić udział niezbędnej ilości osób, w tym posiadających specjalistyczną wiedzę informatyczną adekwatną do sytuacji,
• zapewnić środki transportu, w przypadku zabezpieczania całego sprzętu komputerowego, o ile przepisy prawa na to zezwalają,
• przygotować wniosek o wzajemną pomoc prawną w zakresie środków tymczasowych w przypadku, kiedy konieczne jest do sprawy uzyskanie materiału dowodowego zlokalizowanego na terytorium innego państwa.

Na etapie rozpoznania i planowania działań, w miarę możliwości, należy również określić, czy w postępowaniu niezbędna będzie współpraca z podmiotami zewnętrznymi (np. dostawcami usług telekomunikacyjnych lub internetowych), z innymi organami ścigania danego kraju, czy też konieczne będzie nawiązanie kontaktu z organami ścigania lub wymiarem sprawiedliwości z innego państwa. Informacje te są potrzebne do zaplanowania działań w taki sposób, aby wszystkie podjęte czynności były zgodne z procedurami, dotyczącymi prowadzenia postępowania procesowego, które obowiązują w danym kraju. W Polsce przebieg postępowania karnego w sprawach należących do właściwości sądów reguluje Ustawa z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555). Warto tutaj podkreślić, że współpracę międzynarodową pomiędzy organami ścigania regulują międzynarodowe porozumienia, traktaty oraz umowy pomiędzy poszczególnymi państwami, które umożliwiają składanie wniosków o wzajemną pomoc prawną. Rozwiązanie takie pozwala pośrednio organom ścigania z jednego kraju wykonać określone działania, w tym zgromadzić materiał dowodowy znajdujący się na serwerach zlokalizowanych na terytorium innego państwa.

Innym czynnikiem, który wymaga rozpoznania jest określenie, w których pomieszczeniach jest zlokalizowany sprzęt zawierający istotne dla sprawy informacje, co pozwoli na określenie, w jakich miejscach i w jaki sposób mogą zostać dokonane największe zniszczenia, w celu zatarcia śladów przestępstwa. Podejście takie pozwoli na przedsięwzięcie szczególnych środków ostrożności, mających na celu niedopuszczenie do sytuacji, w której sprzęt komputerowy przechowujący informacje istotne dla sprawy zostałby zniszczony. Przed podjęciem konkretnych czynności należy również dokonać rozpoznania i identyfikacji wszystkich łączy telekomunikacyjnych łączących sprzęt, związany ze sprawą, ze światem zewnętrznym. Należy zaznaczyć, że część danych może mieć powiązania ze światem zewnętrznym, w tym nawet może odnosić się do systemów zlokalizowanych w innym kraju, co będzie wymagało podjęcia współpracy z organami ścigania z innego państwa, w celu zabezpieczenia i ujawnienia materiału dowodowego.

[Etap II] Czynności wstępne na miejscu zdarzenia

Do pierwszych czynności na miejscu zdarzenia należy zabezpieczenie miejsca popełnienia przestępstwa przed zmianami, poprzez tzw. „zamrożenie sytuacji”, które polega na:

• fizycznym oddzieleniu osób od sprzętu komputerowego oraz od wszelkich innych elementów systemu,
• uniemożliwieniu uzgodnienia zeznań świadkom i ustalenie, czy materiał dowodowy nie jest niszczony.

W praktyce, w przypadku, kiedy nie ma możliwości ograniczenia pracownikom dostępu do sprzętu lub istnieje uzasadnione podejrzenie próby modyfikacji danych przechowywanych w systemie, bardzo często wyłącza się główne zasilanie, o ile nie zabrania tego obowiązujące prawo. Podejście takie, co prawda powoduje utratę danych przechowywanych w pamięci ulotnej, a także zagrożenie utraty plików tymczasowych i powstania błędów w pamięci dysków twardych (zależnych od rodzaju i wersji systemu operacyjnego), to jednak jest mniejszym złem, gdyż zabezpiecza system przed kolejnymi zmianami dokonywanymi przez potencjalnego sprawcę. W naturalny sposób rozwiązanie to nie odniesie zamierzonego skutku, jeśli w firmie będą stosowane rozwiązania podtrzymujące zasilanie.

Kolejnym krokiem jest oddzielenie miejsca czynności od możliwości ingerencji zarówno z wewnątrz, jak i z zewnątrz poprzez zabezpieczenie:

• central telefonicznych i sieciowych punktów dystrybucyjnych, w których zlokalizowane są urządzenia sieciowe (routery, switche),
• centrów komputerowych lub pomieszczeń, w których zlokalizowany jest sprzęt (serwery, terminale, stacje robocze, firewalle, systemy wykrywania włamań itd.).

Sprowadza się to najczęściej do odłączenia od sieci urządzeń sieciowych, modemów oraz wszelkich innych połączeń internetowych. Należy jednak pamiętać, że dowody przestępstwa mogą również znajdować się w nietrwałej pamięci urządzeń, takich jak: faxy, telefony, czy też modemy z pamięcią. Dlatego też nie można dopuścić do stanu, w którym zostanie odłączone zasilanie od tych urządzeń. Podejście to ma celu niedopuszczenie do sytuacji, w której sprawca mógłby usunąć lub zmienić w systemie informacje stanowiące materiał dowodowy. Poza zabezpieczeniem miejsca zdarzenia istotnym elementem, w drugiej fazie postępowania, jest ustalenie wszystkich innych okoliczności, które mogą być przydatne w sprawie. Przykładowo, ustalenie osób odpowiedzialnych za administrację systemem może być pomocne w procesie zabezpieczania i analizy materiału dowodowego, ponieważ mogą oni udostępnić nazwy kont użytkowników i odpowiadających im haseł.

W przypadku, kiedy osoby podejrzewane o związek z daną sprawą są na miejscu zdarzenia, należy niezwłocznie dokonać ich przeszukania, w celu uniemożliwienia zniszczenia informacji istotnych dla sprawy, przechowywanych np. na dyskietkach, CD-ROMach itp. Ponadto, jeśli zachodzi jakakolwiek wątpliwość co do związku użytkowników systemu (np. administratora sieci) z przestępstwem, należy unikać korzystania z jego pomocy, z uwagi na zagrożenie uruchomienia przez niego programu niszczącego dowody.

[Etap III] Oględziny miejsca zdarzenia

Kolejnym etapem postępowania są oględziny miejsca zdarzenia, czyli uzyskanie jak największej ilości informacji o zdarzeniu, poprzez badanie kolejnych fragmentów danego obszaru, przedmiotów, poszukiwanie oraz ujawnianie, a także dokumentowanie i zabezpieczanie śladów. W pierwszej kolejności należy sfotografować lub utrwalić kamerą wideo ogólny wygląd miejsca zdarzenia, w celu udokumentowania rozmieszczenia sprzętu i jego konfiguracji, jak również miejsca, gdzie znajdują się instrukcje obsługi oraz inne dokumenty mogące mieć związek ze sprawą. Kolejno, przed dokonaniem ingerencji w zastaną konfigurację sprzętu komputerowego należy utrwalić dane wyświetlane na monitorach. Następnie można przystąpić do szczegółowej inwentaryzacji kolejnych fragmentów danego obszaru i występujących w nim przedmiotów.

Do grupy informacji, które powinny znaleźć się w protokole oględzin należy pełny opis miejsca zdarzenia uwzględniający m.in.:

• szczegółową lokalizację pomieszczenia, w tym rozmieszczenie w nim poszczególnych elementów systemu,
• szkice określające wymiary obszaru, przedmiotów oraz śladów i ich wzajemne ułożenie lub, jeśli w inny sposób nie da się przedstawić obrazu sytuacji należy sporządzić:
• szkic ogólny [1:200, 1:100],
• szkic szczegółowy [1:50], [1:10, 1:1],
• szkic specjalny dokumentujący istotne fragmenty obszaru lub obraz śladów, nawet w skali [5:1],
• liczbę i rodzaj wykorzystywanego sprzętu komputerowego i peryferyjnego, w tym urządzeń sieciowych,
• schemat topologii sieci w przypadku, kiedy w zainteresowaniu pozostaje cała sieć, a nie tylko pojedyncza stacja robocza
• rodzaj nośników pamięci oraz inne dane dotyczące pozostałych mediów,
• tytuły podręczników znalezionych w pobliżu danego sprzętu (tytuł, autor, wydawca, liczba stron).

Do najważniejszych informacji, które powinny znaleźć się w dokumentacji dotyczącej oględzin sprzętu i oprogramowania zalicza się:

• rodzaj i nazwa sprzętu, w tym nazwa producenta, numery seryjne, rok produkcji, marka i numery identyfikacyjne poszczególnych komponentów oraz parametry techniczne,
• dane dotyczące daty i czasu wskazywane przez system i zegar BIOS oraz rzeczywisty czas wykonywania czynności dla każdego z systemów (serwerów, stacji roboczych, urządzeń sieciowych wyposażonych w układowe systemy operacyjne),
• wykorzystywane oprogramowanie systemowe i aplikacyjne (rodzaj, nazwa, wersja oraz numer licencji),
• nazwy i wielkość plików oraz zajmowany przez nie obszar, w tym data utworzenia pliku i data ostatniej modyfikacji (dopuszczalne jest obliczenie dla pojedynczego pliku lub grupy plików sumy kontrolnej lub funkcji skrótu),
• nazwy ukrytych plików i katalogów, ich wielkość oraz daty utworzenia i ostatniej modyfikacji,
• nazwy i struktura katalogów wraz z informacjami nt. wielkości oraz atrybutów powiązanych plików.

W przypadku podjęcia decyzji o zamknięciu systemów, bezwzględnie należy sfotografować lub utrwalić kamerą wideo kolejne obrazy pojawiające się na ekranach monitorów. Warto jednak wspomnieć, że w przypadku wątpliwości co do skutków normalnej procedury zamykania systemu lub gdy istnieje prawdopodobieństwo, że uruchomiono procesy destrukcyjne, należy niezwłocznie wyłączyć zasilanie.

Ostateczny protokół oględzin powinien zawierać dane uzyskane w wyniku przeprowadzonej inwentaryzacji, jak również pełny opis miejsca zdarzenia, w tym dokumentację techniczną, tj. fotograficzną i wykonane szkice.

[Etap IV] Poszukiwanie i gromadzenie materiału dowodowego

Poszukiwanie i gromadzenie materiału dowodowego związanego z danym przestępstwem komputerowym sprowadza się do uzyskania jak największej ilości danych związanych ze zdarzeniem. Pod uwagę należy wziąć praktycznie wszystkie możliwe źródła informacji o zdarzeniu, które w jakikolwiek sposób mogą przyczynić się do wyjaśnienia okoliczności przestępstwa i wykrycia sprawców.

Niewątpliwie najważniejszym źródłem informacji w sprawie przestępstwa komputerowego będą logi (pliki rejestrów) przechowywane praktycznie w każdym komputerze oraz urządzeniu sieciowym. Logi te mogą być gromadzone zarówno na poziomie systemu operacyjnego, jak i bazy danych, czy nawet na poziomie aplikacji. Przy gromadzeniu materiału dowodowego związanego z logami należy pamiętać, że często możliwość rejestracji zdarzeń występuje także na poziomie sprzętu sieciowego. W związku z tym, że rodzaj rejestrowanych informacji dotyczących zdarzeń zachodzących w systemie, jak i ich szczegółowość są z reguły uzależnione od konkretnego systemu (jego konfiguracji), istotnym elementem w procesie gromadzenia dowodów jest uzyskanie informacji, jakiego rodzaju logi są przechowywane w danym systemie. Z praktycznego punktu widzenia, najlepszym rozwiązaniem jest zebranie logów z wielu źródeł, np. z poziomu systemu operacyjnego (w tym urządzeń sieciowych), logów rozliczeniowych (systemy kontroli dostępu), aplikacyjnych, czy też z bazy danych.

Ważnym źródłem informacji jest również uzyskanie z baz danych prowadzonych np. przez Policję informacji o osobach i instytucjach związanych w jakikolwiek sposób z daną sprawą. Istotne jest także zebranie wyjaśnień lub zeznań zarówno od ewentualnych świadków zdarzenia, jak i ofiar, w celu uzyskania jak największej ilości informacji o zdarzeniu. Ponadto, w procesie gromadzenia materiału związanego z danym zdarzeniem należy wziąć pod uwagę również bilingi rozmów telefonicznych, dzienniki pracy np. administratorów systemu, dane o klientach firmy oraz inną prowadzoną przez daną firmę dokumentację zależną od profilu działalności. Podczas analizy zebranego materiału należy jednak mieć na uwadze fakt, że co prawda wszystkie zebrane informacje mogą mieć związek ze sprawą, to jednak nie wszystkie dane muszą być w pełni wiarygodne. Przykładowo, część zgromadzonych informacji może pochodzić od osób podejrzewanych o związek ze sprawą, co może mieć wpływ na wiarygodność zebranych danych. Ponadto, w wyniku analizy informacji przechowywanych na komputerach mogą zostać ujawnione nowe okoliczności wskazujące zarówno na kolejne osoby, jak i instytucje mogące mieć związek ze sprawą.

Ze względu na szeroko rozpowszechnione techniki zabezpieczeń, w tym narzędzia kryptograficzne, przy gromadzeniu i zabezpieczaniu materiału dowodowego przechowywanego na nośnikach elektronicznych (np. dyski twarde, dyskietki, CD-ROMy), należy mieć na uwadze, że zgromadzone tam dane mogą być zaszyfrowane lub ukryte. Także sam komputer, tj. sprzęt i/lub system operacyjny mogą być zabezpieczone hasłem. W związku z tym, w celu wyeliminowania zagrożenia związanego z niemożliwością odczytu zgromadzonych danych na nośnikach lub co najmniej pewnymi trudnościami, należy m.in. podjąć następujące działania:

• spróbować uzyskać od użytkowników informacje dotyczące sposobu przechowywania danych [2], organizacji pamięci masowych oraz wykonywania i przechowywania kopii zapasowych, a także identyfikatorów i haseł użytkowników oraz innych istotnych dla sprawy słów kluczowych,
• przeszukać wszystkie dostępne miejsca, w celu określenia ww. informacji, w tym kosze n śmieci, meble znajdujące się w pomieszczeniu, notesy, zajrzeć pod klawiaturę itd. Każde skojarzenie słowa kluczowego z potencjalnym hasłem do komputera i systemu powinno zostać odnotowane.

Wbrew pozorom, ważnym etapem gromadzenia materiału dowodowego jest również stworzenie możliwości wypowiedzenia się przez osoby podejrzewane o związek z danym zdarzeniem, np. w sprawie bezpiecznego sposobu zamknięcia systemu. Wszelkie wypowiedzi i komentarze takich osób powinny zostać spisane bez względu na to, czy ich wyjaśnienia zostaną wzięte pod uwagę, czy też nie. Podejście takie pozwoli na obalenie komentarzy, takich jak „powinniście się przecież mnie spytać, co i jak należy zrobić, aby system prawidłowo został zamknięty”.

Do podstawowych źródeł informacji zalicza się m.in.:

• logi systemowe,
• dane przechowywane na zabezpieczonych nośnikach informacji, tj. na dyskach twardych zabezpieczonych komputerów, w pamięciach urządzeń sieciowych i telekomunikacyjnych,
• dane przechowywane na kopiach zapasowych,
• zeznania świadków,
• informacje zapisane w dziennikach prowadzonych przez administratorów, służby ochrony obiektu itp.,
• dokumentację powstałą w wyniku oględzin miejsca zdarzenia, rzeczy zabezpieczone w wyniku przeszukania pomieszczeń i osób,
• informacje uzyskane, np. z policyjnych baz danych, o osobach i instytucjach związanych z daną sprawą, a także procedury obowiązujące w poszkodowanej instytucji w zakresie ochrony informacji.

Na etapie gromadzenia materiału dowodowego warto również porozmawiać z ofiarą przestępstwa, być może będzie ona w stanie odpowiedzieć na pytanie, co jej zdaniem było przedmiotem przestępstwa, jakiego typu informacje oraz w jaki inny sposób mogłyby one dostać się w niepowołane ręce. Należy pamiętać, że z przeprowadzonej rozmowy należy sporządzić stosowną dokumentację.

[Etap V] Zabezpieczenie materiału dowodowego

Prawidłowe zabezpieczenie wszelkich śladów i rzeczowych źródeł dowodowych związanych z przestępstwami komputerowymi jest niezwykle istotne, z uwagi na nietrwałą naturę i podatność na manipulacje elektronicznego zapisu informacji. Dlatego też przykłada się dużą wagę do starannego zabezpieczenia materiału dowodowego, w tym precyzyjnego jego opisania. Warto w tym miejscu podkreślić, że problem zabezpieczenia całego sprzętu, czy też wybranych jego elementów (np. dysków twardych) jest ściśle uzależniony od ustawodawstwa obowiązującego w danym kraju. Przykładowo, można praktycznie wstrzymać działalność firmy poprzez zabezpieczenie całego sprzętu komputerowego, o ile przepisy prawa zezwalają na podjęcie takich działań. Jeśli jednak nie jest to możliwe, wówczas można albo zabezpieczyć dyski twarde oraz nośniki komputerowe, albo wykonać tylko pełną fizyczną kopię („mirror-image”) wszystkich lub wybranych elementów systemu przechowujących dane. Pełna fizyczna kopia dysku stanowi obraz plików lub całego dysku twardego, uzyskiwany poprzez skopiowanie wszystkich informacji bit po bicie. Podejście takie pozwala na zachowanie struktury danych wraz z informacjami o ich rozmieszczeniu, a także umożliwia odzyskiwanie skasowanych informacji. W praktyce, jeśli nie jest możliwe wykonanie pełnej fizycznej kopii, można wykonać standardową kopię zapasową całego systemu i następnie przenieść cały system na nowy dysk, w celu wyłączenia oryginalnego dysku z dalszego użytkowania. Rozwiązanie takie umożliwia zabezpieczenie materiału dowodowego w postaci oryginalnego dysku twardego i tym samym zapewnia ciągłość funkcjonowania firmy.

W przypadku nie zabezpieczania całego sprzętu lub nie wykonywania pełnej fizycznej kopii dysków, można wykonać kopię wybranych plików (file by file back-up), jednak w takim wypadku nie zostaną zabezpieczone dane przechowywane w wolnych obszarach dysku, a także pliki ukryte i oznaczone w systemie jako usunięte. Warto pamiętać również o tym, że wykonanie kopii wyłącznie wybranych plików może uniemożliwić odczytanie ich bez posiadania aplikacji, która najprawdopodobniej byłaby dostępna w przypadku wykonania pełnej fizycznej kopii. Powodów, dla których może być niemożliwe zabezpieczenie całego sprzętu stanowiącego dowód w sprawie może być wiele. Przykładowo, mogą nie zezwalać na to przepisy prawa lub procedury postępowania, czy też zajęcie całego sprzętu mogłaby znacznie wpłynąć na straty finansowe firmy w stosunku do szkodliwości społecznej popełnionego czynu przy użyciu zajmowanego sprzętu (tzw. społeczna szkodliwość czynu jest znikoma).

Inną okolicznością uniemożliwiającą zajęcie całego sprzętu jest najczęściej fakt, że sprzęt nie jest własnością podejrzewanego, ale firmy trzeciej, która jest zupełnie niezależna i niezwiązana ze sprawą. Ograniczeniem w zajmowaniu całego sprzętu jest również wielkość systemu, w którego skład wchodzi bardzo duża ilość urządzeń różnego typu (serwery, stacje robocze, pamięci masowe itd.). Godne uwagi jest, że aktualnie polskie prawo procesowe nie zezwala na zatrzymanie danych komputerowych przez ich skopiowanie, pomimo, że „zatrzymanie przez skopiowanie” zostało uznane za standard międzynarodowy przez Konwencję Rady Europy w sprawie cyber-przestępczości. Ratyfikacja tej konwencji przez Polskę będzie wymagała dostosowania prawa polskiego do jej postanowień.

W procesie zabezpieczania materiału dowodowego należy przestrzegać następujących zasad:

• cały sprzęt powinien zostać zabezpieczony w sposób uniemożliwiający jego uruchomienie przez osoby postronne bez pozostawienia jakiegoś widocznego śladu, np. na plombach,
• poszczególne przyciski, gniazda, łącza, otwory stacji dyskietek itd. powinny być zabezpieczone opieczętowaną taśmą samoprzylepną,
• w przypadku, zabezpieczania całego sprzętu i transportowania go w inne miejsce należy zadbać o to, aby sprzęt był zapakowany w sposób chroniący go przed uszkodzeniami mechanicznymi i zawilgoceniem,
• wszystkie przedmioty stanowiące materiał dowodowy (np. dyski twarde, dyskietki, taśmy streamera), należy zapakować w sposób uniemożliwiający zarówno dostęp do nośników osobom postronnym, jak i ingerencję w zapis po ich zabezpieczeniu,
• opakowanie zewnętrzne tych przedmiotów powinno być trwałe oraz jednorazowe, a także powinno ochraniać cechy identyfikacyjne materiału dowodowego przed wpływem czynników zewnętrznych,
• każdy przedmiot stanowiący materiał dowodowy musi posiadać metryczkę jednoznacznie go identyfikującą i opisującą jego właściwości,
• fakt zapakowania i oznaczenia danego przedmiotu należy udokumentować, co pozwoli uniknąć ewentualnych wątpliwości, np. co do naniesienia zapisu po zabezpieczeniu nośników,
• w przypadku konieczności zabezpieczenia wyłącznie samych nośników, należy wykonać pełną fizyczną kopię danego nośnika, co pozwoli zachować strukturę danych wraz z informacjami o ich rozmieszczeniu,
• można rozważyć zabezpieczenie kopii zapasowych wykonanych przed zdarzeniem, które mogą być przydatne do porównania z kopią wykonaną przez osoby prowadzące postępowanie, co umożliwi uzyskanie informacji o pierwszej fazie włamania i dokonanych modyfikacjach.

[Etap VI] Analiza zebranego materiału dowodowego

Analiza zebranego materiału dowodowego związanego z danym przestępstwem komputerowym ma na celu wyjaśnienie okoliczności zdarzenia i wykrycie sprawców przestępstwa. W procesie analizy należy wziąć pod uwagę wszystkie zebrane informacje i rzeczowe źródła dowodowe. Analiza tych danych może pokazać kiedy, gdzie oraz jak doszło do zdarzenia.

W celu ułatwienia przeprowadzenia analizy logów, wskazane jest utworzenie bazy powiązań zawierającej dla każdego z połączeń następujące informacje:

• data i czas rozpoczęcia oraz zakończenia połączenia,
• rodzaj połączenia (w sieci lokalnej, z/do sieci rozległej),
• wywoływane/ wywołane adresy sieciowe,
• wykorzystane usługi i konta użytkowników,
• przesłane i odebrane bajty lub pakiety i ich długość,
• naruszenia, czyli zapisy określające wykonanie danego działania zakończone sukcesem lub porażką,
• różnice w stosunku do czasu lokalnego (określenie strefy czasowej), w tym wyróżnienie czasu systemowego oraz czasu rzeczywistego,
• inne informacje związane z przychodzącymi i wychodzącymi połączeniami.

Analiza zestawionych logów może bezpośrednio wskazywać na niektóre konta użytkowników, stacje robocze, określone adresy sieciowe, a także na pewne nazwy i aliasy, które dopiero w dalszej fazie postępowania dowodowego, będą mogły być powiązane z konkretną osobą.

W rezultacie przeprowadzonej analizy i dokonanej syntezy uzyskanych wyników powinien zostać sporządzony raport zawierający następujące informacje:

• listę i opis wykorzystanych źródeł informacji o zdarzeniu,
• sposób przeprowadzenia analizy zebranego materiału i dokonania syntezy uzyskanychwyników,
• modus operandi sprawcy, w tym wykorzystane przez sprawcę usługi sieciowe i narzędzia, rodzaj zastosowanego połączenia sieciowego, wykonane działania i uzyskane rezultaty, a także wykorzystane inne źródła informacji, które umożliwiły sprawcy dokonanie włamania,
• wyniki przeprowadzonej analizy,
• podsumowanie wyników i sformułowanie wniosków.

WSPÓŁPRACA MIĘDZYNARODOWA

Współpraca międzynarodowa w zakresie przeciwdziałania i walki z przestępczością komputerową w naturalny sposób związana jest z Internetem, ponieważ tego rodzaju przestępstwa komputerowe mogą wykraczać poza obszar jednego kraju i tym samym wywoływać skutki na terytorium wielu państw jednocześnie. Natura Internetu i jego usług sprawia, że praktycznie każdy użytkownik sieci, bez stosowania specjalnego oprogramowania do ukrywania tożsamości, może korzystać z usług anonimowo. Wynika to z tego, że pojedyncza sesja użytkownika może być realizowana poprzez łącza zarządzane przez wielu dostawców usług (Internet Service Providers), znajdujące się na terenie kilku krajów i realizowane w różnych technologiach (np. łącza światłowodowe, satelitarne, bezprzewodowe itd.).

Pomimo, że z technicznego punktu widzenia istnieje możliwość identyfikacji i zlokalizowania określonej stacji użytkownika, to jednak w praktyce zadanie to okazuje się stosunkowo trudne, z uwagi na międzynarodowy charakter sprawy. W związku z tym, w celu efektywnego zwalczania przestępczości internetowej współpraca międzynarodowa organów ścigania oraz innych podmiotów wydaje się niezbędna. Może ona przybierać różne formy. Przykładowo, może dotyczyć konieczności niezwłocznego zabezpieczenia określonych danych informatycznych, w tym także danych dotyczących ruchu [3], przechowywanych w systemach komputerowych na terytorium innego państwa, czy też zabezpieczenia i zachowania całości danych informatycznych przez okres tak długi, jak będzie to konieczne, aby umożliwić właściwym organom podjęcie starań o ich ujawnienie. Współpraca ta może także wiązać się z koniecznością niezwłocznego zabezpieczenia danych dotyczących ruchu, niezależnie od tego, czy tylko jeden czy też więcej dostawców usług uczestniczyło w przekazywaniu takich informacji oraz zapewnienia niezwłocznego ujawnienia właściwemu organowi dostatecznej ilości danych dotyczących ruchu, aby umożliwić identyfikację dostawców usług i kanałów, jakimi nastąpił przekaz.

Do istotnych problemów w zakresie międzynarodowej współpracy organów ścigania należą uwarunkowania prawne w poszczególnych krajach dotyczące przestępczości komputerowej. To co w jednym kraju jest przestępstwem w innym tylko wykroczeniem, czy też w ogóle nie jest regulowane przez prawo. Pomimo tego, różnica pomiędzy ustawodawstwami różnych krajów, dotycząca przestępczości komputerowej, nie przeszkodziła w podjęciu, już kilkanaście lat temu, pierwszych prób rozwiązania globalnego problemu walki z cyber-przestępczością. W 1985 r. pracę nad prawnymi aspektami przestępstw komputerowych rozpoczęła specjalna grupa ekspertów Rady Europy, która w 1989 r. przedstawiła Europejskiej Komisji ds. Problemów Przestępczości projekt zaleceń dotyczących przestępstw dokonywanych przy użyciu komputera [4]. Rządy krajów członkowskich Rady Europy zostały na jego mocy zobowiązane do uwzględnienia, w trakcie prowadzonych prac legislacyjnych, zaleceń komisji ekspertów dotyczących kryminalizacji nadużyć popełnianych z wykorzystaniem nowoczesnych technologii przetwarzania informacji.

Pierwszym międzynarodowym traktatem dotyczącym cyber-przestępczości, ukierunkowanym zarówno na aspekty prawne, jak i proceduralne, jest jednak „Konwencja o cyber-przestępczości” Rady Europy z 23 listopada 2001 r., zgodnie z którą strony świadczą sobie możliwie jak najdalej idącą pomoc wzajemną dla celów prowadzenia czynności śledczych lub postępowań odnoszących się do przestępstw związanych z systemami i danymi informatycznymi, lub w celu gromadzenia dowodów w postaci elektronicznej, odnoszących się do przestępstw. Współpraca ta jest realizowana wg postanowień Konwencji oraz z zastosowaniem właściwych instrumentów dotyczących międzynarodowej współpracy w sprawach karnych, porozumień uzgodnionych na podstawie jednolitego lub wzajemnego ustawodawstwa oraz prawa krajowego stron.

W praktyce, w przypadku, kiedy zaistnieje konieczność niezwłocznego zabezpieczenia danych przechowywanych w systemie komputerowym zlokalizowanym na terenie innego kraju lub przeszukania, zajęcia lub ujawnienia danych zabezpieczonych przez uprawnione organy innego państwa, stosuje się zasady współpracy zgodne z postanowieniami rozdziału III „Konwencji o cyber-przestępczości”, na podstawie których można sporządzić wniosek o pomoc wzajemną przy pomocy środków szybkiego komunikowania się, w tym faksu lub poczty elektronicznej, o ile środki te zapewniają odpowiedni poziom bezpieczeństwa i gwarancją autentyczność przekazu. Warto również wspomnieć, że w pilnych przypadkach, w celu zabezpieczenia lub przeszukania, zajęcia lub ujawnienia danych przechowywanych w systemie komputerowym zlokalizowanym na terenie innego kraju, wnioski o pomoc wzajemną mogą być przekazywane za pośrednictwem MOPK-INTERPOL. Należy jednak pamiętać, że wzajemna pomoc prawna podlega przede wszystkim warunkom określonym w prawie krajowym danego organu lub w obowiązujących traktach o wzajemnej pomocy prawnej, co dotyczy także przyczyn, dla których można odmówić współpracy.

PODSUMOWANIE

Internet staje się powoli częścią życia codziennego niemal każdego człowieka. Pozwala na dokonywanie zakupów, umożliwia dostęp do wielu informacji, do których w normalny sposób najprawdopodobniej nikt by nie sięgał. Wiele instytucji coraz częściej udostępnia swoje zasoby poprzez Internet, który doprowadził niewątpliwie nie tyle do zwiększenia wydajności przetwarzania różnego rodzaju informacji, co do pojawienia się nowego instrumentu do prowadzenia nielegalnej działalności i pozostającego w zainteresowaniu grup przestępczych.

Większość istotnych informacji, np. stanowiących niekiedy tajemnicę handlową firmy, jest przechowywana w postaci elektronicznej. Dane te niejednokrotnie mogą być bardzo atrakcyjne dla konkurencyjnej firmy, a także dla innych podmiotów potrafiących niezgodnie z prawem (np. w celu osiągnięcia korzyści majątkowej) wykorzystać zdobyte informacje.

Mimo, iż w Polsce nie odnotowano dotychczas przypadków wykorzystania Internetu do prania pieniędzy, to jednak ten wirtualny świat jest niezwykle atrakcyjnym narzędziem dla tego rodzaju przestępczości. Pozwala on na dokonywanie, w krótkim czasie, bardzo wielu transakcji z różnych części świata. Ponadto, operacje te mogą być całkowicie anonimowe. Wszystkie te elementy sprawiają, że ta wielka infrastruktura staje się również olbrzymim narzędziem w rękach grup przestępczych, które w stosunkowo łatwy sposób mogą zalegalizować nielegalnie uzyskane dochody. Ze względu na brak ograniczeń terytorialnych, a także skalę zjawiska zwalczanie tego rodzaju przestępczości nie jest proste i wymaga współpracy organów ścigania na całym świecie.

---

Artykuł o podobnej treści ukazał się w :

A. Machnacz, Współpraca organów ścigania w zakresie gromadzenia i zabezpieczania materiału dowodowego z przestępstw komputerowych realizowanych za pośrednictwem sieci, Księga pamiątkowa ofiarowana Profesorowi Stefanowi Lelentalowi pod redakcją naukową P. Bogdalskiego, W. Pływaczewskiego, I. Nowickiej - lus est ars boni et eaqui , str. 53-67, Szczytno 2008.

A. Machnacz, Metody i procedury gromadzenia materiału dowodowego w zakresie informacji przetwarzanych w systemach informatycznych, Współczesne Problemy Sieci Komputerowych - Zastosowanie i Bezpieczeństwo, Praca zbiorowa pod red. A. Kwietnia, A. Grzywaka, Gliwice, str. 217-232, WNT 2004, Materiały konferencyjne XI Konferencji SIECI KOMPUTEROWE‘2004, Zakopane, 23-25 czerwiec 2004 r.

A. Machnacz, Gromadzenie i zabezpieczanie materiału dowodowego w zakresie przestępstw komputerowych, Przestępczość teleinformatyczna - Materiały seminaryjne pod red. J. Kosińskiego - Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT-7), str. 159-181, Szczytno 2004, 8-9 czerwiec 2004 r.

A. Machnacz, Metody i procedury gromadzenia materiału dowodowego w zakresie informacji przetwarzanych w systemach informatycznych, Materiały konferencyjne ENIGMA 2004, VIII Krajowa Konferencja Zastosowań Kryptografii , str. 57-71, Warszawa, 11-13 maj 2004 r.

A. Machnacz, Wykorzystanie informacji przetwarzanych w systemach informatycznych jako materiału dowodowego, Materiały konferencyjne ENIGMA 2003, VII Krajowa Konferencja Zastosowań Kryptografii - Tutorial III , str. 27-34, Warszawa, 14 maj 2003 r.