←  Blog Pasjonata

Forumprawnicze.info

»

Blog Pasjonata

Procedura badań kryminalistycznych nośników danych 11 luty 2018

Procedura badań kryminalistycznych nośników danych

1. Sporządzenie protokołu dostarczenia nośników danych z dokładnym sprawdzeniem właściwego zabezpieczenia materiału dowodowego poprzez ich właściwe zaplombowanie (np. obudowy komputera jak i portów) oraz ewentualne uwierzytelnienie zabezpieczonych dowodów najlepiej sumą kontrolną (cyfrowy podpis danych, który potwierdza nienaruszalność integralności nośnika danych) jak również ewentualne sprawdzenie zgodności opisu ich marki, numerów seryjnych oraz dostarczonej ilości. W przypadku nie zachowania odpowiedniej procedury przy zabezpieczaniu urządzenia dowód takowy traci walor wiarygodności i nie stanowi pełnoprawnego dowodu w postępowaniu sądowy;

2. Podłączenie blokera tj. urządzenia w celu umożliwienia odczytania danych z zabezpieczonego dysku twardego komputera w bezpieczny sposób bez możliwości zmiany jego stanu danych, gwarantujący nienaruszalność nośnika źródłowego. Aby zarekwirowany dysk twardy został uznany za dowód w sprawie sądowej nie można dopuścić aby doszło do zapisania na nim jakiejkolwiek informacji po dacie jego zabezpieczenia dlatego też wszelakich operacji na dysku twardym trzeba dokonywać za pomocą blokera. Bloker zabezpiecza zarekwirowany dysk twardy przed zapisem na nim jakiegokolwiek nośnika danych- informacji w trakcie kopiowania z niego nośników danych oraz podczas jego analizy oraz również zabezpiecza przed zmodyfikowaniem podczas kopiowania daty powstania plików- innymi słowy wszelkie komendy zapisu są automatycznie zablokowane. Gdyby nawet przypadkowo po dacie zabezpieczenia dysku twardego komputera doszło do zmodyfikowania daty powstania jakiegokolwiek pliku to wartość takowego dowodu jak i jego wiarygodność jest przekreślona. Należy również pamiętać, że każde uruchomienie komputera powoduje powstanie śladów, które wskazują na niepodważalny fakt, że doszło do modyfikacji- zmiany i naruszenia integralności zabezpieczonego dysku twardego komputera z ewentualnym materiałem dowodowym i wówczas przeprowadzona analiza nie może już w ogóle stanowić pełnoprawnego dowodu w postępowaniu sądowym co ma w sposób oczywisty głębokie uzasadnienie- takowy dowód jest wówczas nieodwracalnie przekreślony i nie ma waloru wiarygodności;

3. Sklonowanie wszelkich nośników informacji z dysku twardego komputera metodą programową lub sprzętową. Klonowanie danych metodą programową wymusza stosowanie blokera w celu zabezpieczenia danych na nich się znajdujących. Należy pamiętać, że uruchomienie komputera bez użycia blokera powoduje naruszenie integralności zabezpieczonego urządzenia i jego zmodyfikowanie. Sprzętowe blokady dysków wymuszają pracę dysku twardego w trybie read only i tym samym uniemożliwiają zapis jakichkolwiek danych na zabezpieczonym do analizy dysku twardym;

4. Wykonanie na klonie danych- kopii nośnika danych uzyskanych wedle ścisłej procedury ich dokładnej analizy zgodnie z zapytaniem zlecającego używając do tego celu specjalistycznych urządzeń (takich jak zestaw ImageMASSter stanowiący zabudowany wydajny komputer z monitorem wraz z kompletnym zestawem interfejsów zintegrowanych z blokerami, który pozwala na wykonywanie kopii binarnych nośników danych, które następnie poddawane są analizie) i programów licencjonowanych o bardzo wysokiej jakości (takich jak EnCase Forensic (EF) firmy Guidance Software), które uniemożliwiają nawet przypadkową modyfikację danych na zabezpieczonym do analizy nośniku źródłowym danych. Analiza danych musi zostać przeprowadzono na licencjonowanym oprogramowaniu z niezwykłą rzetelnością, starannością przy zachowaniu wszystkich zasad, procedur stosowanych w kryminalistyce oraz metodyki zgodnej z zasadami informatyki śledczej oraz łańcuchem dowodowym, który ma swój początek w chwili zabezpieczania urządzenia z ewentualnym materiałem dowodowym na miejscu popełnienia przestępstwa, a kończy się w momencie gdy biegły musi obronić swoją opinię na sali sądowej podczas rozprawy. Opinie z przeprowadzonej analizy uzyskane przy użyciu programu pirackiego czy też z naruszeniem licencji muszą w konsekwencji zostać uznane za irrelewantne. Zapisanie na zarekwirowanym dysku twardym komputera po dacie jego zabezpieczenia nawet pojedynczego bitu informacji lub nawet przypadkowa modyfikacja daty pojedynczego pliku danych na zabezpieczonym do analizy komputerowym, cyfrowym czy elektronicznego nośniku dyskwalifikuje takową analizę jako wiarygodny dowód w postępowaniu sądowym jak również zabezpieczony materiał dowodowy do analizy nie może podlegać innej analizie będąc tym samym nieodwracalnie zdyskwalifikowanym jako wiarygodny dowód w procesie sądowym z uwagi na dokonaną wadliwą czynność procesową;

5. Opisanie z należytą starannością pełnej procedury klonowania jak i pełnej analizy kopii komputerowego, cyfrowego czy elektronicznego nośnika danych uzyskanych z zarekwirowanego urządzenia zawierającego ewentualny materiał dowodowy oraz umieszczenie pod przedmiotową kartą opisu odpowiednich podpisów i pieczęci- w przypadku braku należytego, rzetelnego czy pełnego opisu procedury klonowania czy analizy kopia nośnika danych jest bezwartościowa jako dowód w postępowaniu sądowym;

6. Sporządzenie z należytą starannością i rzetelnością ekspertyzy wraz z pełnym opisem jej przebiegu i wyniku wyeksportowanego do danej postaci pliku oraz z przedstawieniem pełnych raportów analizy nośników danych z zaznaczeniem pozycji i ujawnionych informacji z nośnika danych, które stanowią materiał dowodowy do wydania opinii służącej w procesie sądowym przy równoczesnym oznaczeniu dat utworzenia, modyfikacji jak i ostatniego dostępu do danych stanowiących materiał dowodowy. Należy wyszczególnić dane, które zostały odzyskane po skasowaniu czy sformatowaniu dysku twardego komputera;

7. Sporządzenie z należytą starannością opinii zgodnej z zapytaniem zlecającego z przytoczeniem metody i sposobu przeprowadzenia analizy kopii komputerowego, cyfrowego czy elektronicznego nośnika danych;

Przedmiotowa opinia prawna nie stanowiła i nie stanowi dokumentu urzędowego w rozumieniu art. 4 pkt 2 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst. jedn. Dz. U. z 2017 poz. 880 ze zm.) wobec tego na mocy samego prawa posiadam do niej wyłączne prawa osobiste i majątkowe i nie można tegoż utworu powielać i rozpowszechniać na żadnym polu eksploatacji bez mojej wyraźnej zgody udzielonej na piśmie (tj. udzielenia 5 letniej licencji wyłącznej lub niewyłącznej odpłatnie lub nieodpłatnie na korzystanie z utworu na określonym polu eksploatacji lub przeniesienia praw majątkowych do utworu odpłatnie lub nieodpłatnie na wymienionych w umowie polach eksploatacji z określeniem zakresu, miejsca i czasu tego korzystania) pod rygorem nieważności zgodnie z art. 53 wzmiankowanej ustawy i poniesienia odpowiedzialności karnoprawnej oraz cywilnoprawnej.

Komentarze