Jak zabezpieczyć komputer, żeby dane z jego twardego dysku stanowiły wiarygodny dowód?
- Trzeba to zrobić tak, aby wykluczyć posądzenie o ingerencję w treść danych. Służą do tego specjalne narzędzia sprzętowe lub programowe pozwalające na stworzenie obrazu dysku źródłowego bez zapisywania na nim jakichkolwiek danych. Osoba zabezpieczająca dane powinna mieć certyfikat wydawany przez uznanego producenta takich narzędzi, na przykład amerykańską firmę Guidance Software, producenta programu EnCase.
Z punktu widzenia wiarygodności uzyskanych danych absolutnie niedopuszczalne jest włączenie komputera źródłowego i przeglądanie zawartości jego dysku, jak działo się to w czasie konfliktu między akcjonariuszami pewnej spółki internetowej. Powoduje to bezpośrednią ingerencję w treść danych, czyli modyfikację (choćby nawet nieświadomą) pierwotnej informacji. To zaś zdecydowanie umniejsza wartość tak zdobytego dowodu.
O przyjęciu bądź odrzuceniu dowodu decydują sędziowie. Ponieważ wiedza o powyższych metodach jest niestety wciąż niewystarczająca, sądy mogą nieświadomie dopuszczać jako materiał dowodowy informację celowo zmanipulowaną w trakcie jej uzyskiwania.
Jakie dane można znaleźć na twardym dysku?
- Podstawowe typy elektronicznego materiału dowodowego to dokumenty zawierające tekst lub dane liczbowe oraz korespondencja e-mailowa. Zależnie od celu przeglądania zawartości dysku twardego można badać, jakie oprogramowanie zostało zainstalowane lub stworzone na komputerze (np. kwestia legalności oprogramowania, tworzenie złośliwego oprogramowania) albo jakie zdjęcia znajdują się na twardym dysku (np. kwestia pornografii dziecięcej). Najlepszym źródłem interesujących informacji są zwykle e-maile.
Użytkownik może nie być świadomy istnienia powyższych danych. Często są one zapisywane na dysku automatycznie, bez wiedzy użytkownika, a nawet po ich skasowaniu, kiedy przestają być widoczne i dostępne dla użytkownika, nie zostają fizycznie usunięte z dysku. W większości wypadków możliwe jest przynajmniej częściowe odzyskanie danych skasowanych nawet wiele miesięcy wcześniej.
Zależnie od potrzeby można kontynuować analizę zawartości twardego dysku, sprawdzając zawartość danych systemowych — np. kiedy komputer był używany, jakie operacje były na nim wykonywane, jakie strony internetowe odwiedzał użytkownik lub jakie dokumenty drukował.
Dariusz Cypcer, wicedyrektor w zespole ds. śledztw i ekspertyz gospodarczych PricewaterhouseCoopers