W poprzednich artykułach cyklu omówiliśmy procedury postępowania patroli interwencyjnych w sytuacjach nieoczekiwanego pojawienia się wątku CSAM, czyli związanego z seksualnym wykorzystaniem dzieci oraz ich krzywdzeniem. Omówiliśmy także zasady zabezpieczania dowodów – od identyfikacji urządzeń, przez metody uwierzytelniania, po racjonalną selekcję materiału. W bieżącej części koncentrujemy się na etapie następującym po fizycznym zabezpieczeniu sprzętu: uzyskaniu dostępu do danych zapisanych na różnego rodzaju nośnikach oraz ich przygotowaniu do dalszej analizy. Zakres działań obejmuje zarówno nośniki mobilne, jak i stacjonarne, przy czym każda z tych grup wymaga innego podejścia do identyfikacji źródeł danych, rozwiązywania problemów technicznych oraz minimalizacji ryzyka utraty lub modyfikacji materiału dowodowego. W niniejszym tekście skupiliśmy się na grupie nośników danych z wyłączeniem urządzeń mobilnych, takich jak telefony, tablety czy zegarki.
PŁYTY CD, DVD I BLU-RAY
Nośniki optyczne (CD, DVD, Blu-ray) wciąż pojawiają się w sprawach karnych jako archiwalne nośniki danych, a głównym wyzwaniem przy ich zabezpieczaniu są uszkodzenia mechaniczne i biologiczne powierzchni. Odczyt prowadzi się sekwencyjnie, przy użyciu starszych napędów z rozbudowanymi algorytmami korekcji błędów oraz oprogramowania umożliwiającego sektorowe tworzenie kopii obrazu płyty (np. w formacie ISO) z rejestracją błędów odczytu. W przypadku silnych zarysowań skuteczne bywa kontrolowane polerowanie powierzchni poliwęglanowej, przywracające przejrzystość optyczną nośnika. W najtrudniejszych sytuacjach specjaliści sięgają po zaawansowane metody manipulacji napędem optycznym polegające m.in. na uniemożliwieniu automatycznego wyrzucenia płyty po błędzie odczytu, a w skrajnych przypadkach stosują techniki mikroskopowego odczytu danych bezpośrednio z powierzchni dysku. Dane na płytach optycznych nie są natywnie szyfrowane, więc po skutecznym odczycie dostęp do treści jest zasadniczo bezpośredni, a uzyskana kopia stanowi pełnowartościowy materiał dowodowy możliwy do analizy w postępowaniu karnym.
Tak przygotowana kopia wraz z raportem pozwala analizować zawartość nośnika w sposób zrozumiały, powtarzalny i możliwy do obrony w postępowaniu karnym.
DYSKI HDD I SSD
Dyski twarde (HDD) i dyski półprzewodnikowe (SSD) pozostają najczęściej zabezpieczanym typem nośników w sprawach karnych, oferując znaczną pojemność i przechowując obszerne archiwa plików, w tym danych usuniętych, które często stanowią kluczowy materiał dowodowy. Podstawową zasadą informatyki śledczej jest stosowanie blokera zapisu podczas odczytu, a samo zabezpieczenie danych polega najczęściej na wykonaniu kopii binarnej całego nośnika lub – gdy działa szyfrowanie – kopii logicznej bezpośrednio z działającego systemu. Nośniki pozornie uszkodzone i nieczytelne dla użytkownika nie powinny być pomijane podczas przeszukań. Wręcz przeciwnie, ich awaria oznacza często, że dane nie zostały usunięte, a laboratoryjne metody odzyskiwania (wymiana podzespołów w przypadku HDD, specjalistyczny odczyt układów w przypadku SSD) pozwalają uzyskać choćby część materiału. Proces kończy się sporządzeniem szczegółowego raportu wskazującego, które fragmenty danych odczytano bezbłędnie, które są prawdopodobnie poprawne, a których nie udało się odtworzyć. Rzetelna dokumentacja przeprowadzonego procesu ma kluczowe znaczenie dla późniejszego postępowania dowodowego.
PENDRIVE’Y, PAMIĘCI USB, KARTY PAMIĘCI I KAMERY SAMOCHODOWE
Pendrive’y, karty pamięci oraz inne nośniki flash występujące niekiedy w formie ukrytej w przedmiotach codziennego użytku (breloki, zegarki, długopisy), stanowią częste i cenne źródło materiału dowodowego, które łatwo przeoczyć podczas przeszukania. Podobnie jak w przypadku dysków SSD, odczyt wymaga zastosowania blokera zapisu, a ze względu na specyfikę pamięci NAND flash odzyskanie skasowanych danych bywa niemożliwe lub wymaga zaawansowanych technik, w tym ekstrakcji chip-off przy uszkodzonym kontrolerze czy dostępu przez złącza igłowe do ukrytych punktów kontrolnych układu. Żaden uszkodzony nośnik nie powinien być pomijany podczas zabezpieczenia – o możliwości odczytu decyduje specjalista, a nie ocena dokonana na miejscu zdarzenia. Osobną kategorię stanowią kamery samochodowe, które mogą rejestrować zdarzenia istotne dowodowo również w trybie parkingowym, a zapisane przez nie materiały zawierają metadane z lokalizacją GPS oraz precyzyjnym znacznikiem czasu synchronizowanym z systemami satelitarnymi, co istotnie podnosi ich wartość dowodową.
URZĄDZENIA Z PAMIĘCIĄ WBUDOWANĄ (EMBEDDED)
Urządzenia z trwale zintegrowaną pamięcią (lutowane kości eMMC/UFS), takie jak aparaty cyfrowe, dyktafony, tablety czy chromebooki, stanowią szczególne wyzwanie dla informatyki śledczej, ponieważ fizyczne wyjęcie nośnika bez destrukcji urządzenia jest w praktyce niemożliwe. Ekstrakcja danych wymaga uruchomienia urządzenia w trybie specjalnym i przeprowadzenia akwizycji logicznej, co każdorazowo musi być szczegółowo udokumentowane (niekiedy w formie zapisu wideo) ze względu na wbudowane procedury ochrony danych przy nieautoryzowanym dostępie. Chromebooki stanowią przypadek szczególny: dysponują niewielką pamięcią wewnętrzną i są ściśle powiązane z usługami chmurowymi, co oznacza, że zabezpieczone na urządzeniu dane dostępowe do konta mogą umożliwić, przy użyciu odpowiednich narzędzi śledczych, akwizycję znacznie obszerniejszych zasobów przechowywanych w chmurze.
REJESTRATORY MONITORINGU (DVR/NVR)
Rejestratory monitoringu (DVR/NVR) mogą stanowić kluczowy materiał dowodowy, gdy przestępstwo popełniono w zasięgu kamer. Dotyczy to zarówno monitoringów domowych, jak i systemów w obiektach komercyjnych czy placówkach oświatowych. Dane zapisywane są na wbudowanych dyskach twardych w niestandardowych systemach plików, dlatego pierwszym i bezwzględnie wymaganym krokiem jest wykonanie kopii binarnej dysku przez bloker zapisu. Podłączenie rejestratora do zasilania bez dezaktywacji funkcji nagrywania grozi nadpisaniem poszukiwanego materiału. Dysk z rejestratora podłączony do komputera badawczego nie ujawni nagrań w postaci plików multimedialnych i może zostać błędnie rozpoznany jako pusty nośnik, ponieważ ekstrakcja właściwych materiałów wymaga specjalistycznego oprogramowania. Nawet w przypadku zniszczonego rejestratora utrata danych nie jest przesądzona: sprawny dysk wewnętrzny pozwala na odzyskanie nagrań metodami inżynierii wstecznej, nierzadko z zachowaniem informacji o numerze kamery, dacie i chronologii zdarzeń. Ze względu na cykliczne nadpisywanie danych czas retencji wynosi zaledwie od kilku dni do kilku miesięcy, dlatego szybkość zabezpieczenia ma tu znaczenie krytyczne.
TELEWIZORY I ELEMENTY INFRASTRUKTURY TV
Telewizory Smart TV (Android TV, Tizen, webOS) oraz urządzenia streamingowe mogą stanowić źródło materiału dowodowego – przechowują historię wyszukiwań, dane logowania i pliki tymczasowe, a ich funkcjonalność zbliżona jest do komputerów osobistych. Szczególną uwagę należy zwracać na niewielkie adaptery HDMI (tzw. media sticki, np. Amazon Fire TV Stick czy ich chińskie odpowiedniki), które łatwo zabrać i ukryć, a które umożliwiają dostęp do treści z alternatywnych sklepów z aplikacjami o ograniczonej weryfikacji. Ekstrakcja danych z tych urządzeń jest utrudniona ze względu na lutowane pamięci i brak standardowych interfejsów diagnostycznych – w przypadku braku szyfrowania najskuteczniejsza jest fizyczna ekstrakcja pamięci przy użyciu programatorów, natomiast w przypadku szyfrowania możliwe jest wykorzystanie interfejsu ADB, dostępnego w urządzeniach opartych na systemie Android. W każdym przypadku wskazana jest weryfikacja kompletności odczytu przez uruchomienie urządzenia i sprawdzenie jego zawartości z poziomu interfejsu użytkownika.
KONSOLE DO GIER
Konsole do gier, takie jak PlayStation, Xbox, Nintendo Switch czy Steam Deck są podczas przeszukań nagminnie pomijane, ponieważ postrzega się je wyłącznie jako sprzęt rozrywkowy. Tymczasem mogą stanowić istotne źródło materiału dowodowego, szczególnie w sprawach dotyczących groomingu. Wbudowane komunikatory głosowe i tekstowe umożliwiają bowiem kontakt z małoletnimi, a same urządzenia przechowują pliki multimedialne, historię przeglądania internetu oraz zrzuty ekranu i nagrania wideo z rozgrywki.
Odczyt danych z konsol jest trudniejszy niż w przypadku telewizorów Smart TV, ponieważ producenci stosują szyfrowanie i dodatkowe warstwy zabezpieczeń. Najszerzej dostępną metodą analizy pozostaje live forensics, czyli badanie urządzenia z poziomu interfejsu użytkownika. Dostępne narzędzia wspierające akwizycję danych opierają się w większości na podatnościach systemowych. Do analizy artefaktów wykorzystuje się komercyjne rozwiązania, takie jak Oxygen Forensic Detective czy Magnet AXIOM. Wyjątkiem jest Steam Deck firmy Valve z systemem SteamOS, który można analizować przy użyciu bezpłatnej aplikacji Autopsy z dedykowanymi wtyczkami.
Warto pamiętać, że dane z konsol są coraz częściej synchronizowane z kontami w chmurze. W takich przypadkach kluczowym elementem zabezpieczenia dowodów staje się pozyskanie danych właśnie z tych usług, co stanowi odrębne zagadnienie procesowe.
DANE W CHMURZE
Coraz większą część materiału dowodowego w sprawach o wykorzystywanie seksualne dzieci stanowią dane przechowywane w usługach chmurowych – od popularnych platform komercyjnych (Google Drive, OneDrive, iCloud) przez serwisy lokalne (Chomikuj.pl), aż po rozwiązania prywatne i narzędzia wymiany plików bezpośrednio między urządzeniami (np. Resilio Sync). Szczególne wyzwanie procesowe stanowią platformy MEGA oraz Yandex.Disk – pierwsza ze względu na jurysdykcję nowozelandzką i brak proaktywnego skanowania treści wynikający ze stosowanego szyfrowania, druga z powodu podlegania prawu rosyjskiemu i ograniczonej współpracy z polskimi organami ścigania. Kluczową kwestią prawną jest to, że analiza zasobów chmurowych wykracza poza zakres postanowienia dotyczącego konkretnego urządzenia i nawet jeśli na zabezpieczonym sprzęcie znajdują się dane logowania do chmury, ich wykorzystanie wymaga odrębnego postanowienia. Skuteczne zabezpieczenie danych chmurowych wymaga ponadto szybkiego działania, ponieważ tokeny sesji wygasają, linki do plików stają się nieaktywne, a dane po usunięciu są przechowywane przez dostawców przez ograniczony czas. Problematyka dostępu do danych chmurowych ma również istotny wymiar formalny i procesowy, który wykracza poza ramy niniejszego artykułu. Warto jednak mieć świadomość, że dane chmurowe istnieją i mogą stanowić kluczowy element materiału dowodowego – ich pominięcie w procesie zabezpieczania może skutkować utratą cennych śladów.
ROZWIĄZANIA SERWEROWE I URZĄDZENIA SIECIOWE
W trakcie przeszukań w sprawach o przestępstwa przeciwko dzieciom coraz częściej ujawniane są zaawansowane rozwiązania serwerowe – urządzenia NAS (Synology, QNAP, TrueNAS), routery z pamięcią masową oraz mikrokomputery (np. Raspberry Pi) – które mogą przechowywać kluczowy materiał dowodowy, w tym pliki pobrane za pośrednictwem sieci P2P, logi transferów i konfiguracje udostępnianych zasobów. Analiza samego komputera podejrzanego dostarcza w takich przypadkach jedynie poszlak – historii przeglądarki, zapisanych haseł czy adresów paneli administracyjnych – natomiast rzeczywiste dane znajdują się fizycznie na dyskach urządzenia sieciowego. Urządzenia te należy bezwzględnie zabezpieczać już podczas pierwszego przeszukania, ponieważ podejrzani mający świadomość toczącego się postępowania mogą je usunąć, ukryć lub zniszczyć przed kolejnymi czynnościami. Dodatkowe wyzwanie stanowi szyfrowanie wolumenów danych (np. AES-256 w urządzeniach NAS, LUKS w systemach Linux), które po wyłączeniu urządzenia lub odłączeniu zewnętrznego klucza może uniemożliwić dostęp do zgromadzonych treści – dlatego w miarę możliwości wskazane jest zabezpieczenie urządzenia w stanie włączonym, po konsultacji ze specjalistą z zakresu informatyki śledczej.
LOGICZNE ODZYSKIWANIE DANYCH I DESZYFRACJA
Polski system prawny nie określa, jakie oprogramowanie powinien stosować biegły z zakresu informatyki śledczej – wybór narzędzi należy wyłącznie do niego i nie determinuje wartości dowodowej opinii. W praktyce powszechnie wykorzystuje się sprawdzone rozwiązania komercyjne (Cellebrite UFED, Magnet AXIOM, X-Ways Forensics, EnCase, Oxygen Forensic Detective), które zapewniają powtarzalność wyników, standaryzację raportów i budzą zaufanie procesowe. Analizę można przeprowadzić również przy użyciu bezpłatnych narzędzi open source, takich jak Autopsy czy Sleuth Kit, natomiast nie posiadają one tak szerokich możliwości analitycznych jak te komercyjne. Po fizycznym zabezpieczeniu kopii binarnej nośnika następuje etap odzyskiwania logicznego obejmujący rekonstrukcję systemu plików, odzyskiwanie skasowanych danych oraz, w razie potrzeby, deszyfrowanie zabezpieczonych woluminów. Warto pamiętać, że poprawnie wykonana kopia binarna zabezpiecza dane niezależnie od możliwości ich natychmiastowego odczytania. Zaszyfrowane dane mogą zostać poddane analizie w późniejszym terminie, wraz z rozwojem narzędzi i technik deszyfracji, a sam fakt stosowania zaawansowanego szyfrowania może stanowić istotny element materiału dowodowego w sprawie.
Zabezpieczanie danych cyfrowych w sprawach o wykorzystywanie seksualne dzieci wymaga znajomości szerokiego spektrum nośników – od płyt optycznych, przez dyski i karty pamięci, aż po telewizory Smart TV, konsole do gier, urządzenia sieciowe i zasoby chmurowe. Każda kategoria stawia odrębne wyzwania: uszkodzone nośniki wymagają specjalistycznych metod odczytu, urządzenia sieciowe należy zabezpieczać już podczas pierwszego przeszukania, a dostęp do danych w chmurze wymaga odrębnego postanowienia i szybkiego działania. Kluczem do skutecznego postępowania jest świadomość, że materiał dowodowy kryje się w miejscach nieoczywistych, a jego pominięcie może bezpowrotnie zamknąć drogę do ustalenia prawdy.
st. asp. Kamil Bucior
Centralne Biuro Zwalczania Cyberprzestępczości Zarząd w Lublinie
Bartosz Kowalski
informatyk śledczy z Instytutu Ekspertyz Sądowych im. prof. dra Jana Sehna w Krakowie
Tomasz Sidor
biegły sądowy z zakresu informatyki śledczej, Instytut Antrotech
zdj. z archiwum autorów