13 tysięcy zdjęć to i tak mało, biorąc pod uwagę, że na zabezpieczonym dysku było prawie dwa miliony plików. Jeszcze niedawno wszystkie trzeba było przeglądać ręcznie. Na szczęście specjaliści z Zakładu Badań Dokumentów i Technik Audiowizualnych CLKP zautomatyzowali ten proces. Zanim zdradzimy, o co chodzi, warto zaznaczyć jedną rzecz. Analiza zespołów czy nośnika nie polega na przeglądaniu katalogu za katalogiem, pliku za plikiem i sprawdzaniu ich zawartości. To tak nie działa. Po pierwsze, na zabezpieczonym materiale dowodowym biegli muszą odszukać też te informacje, które zostały z nośnika usunięte. Po drugie, każdemu plikowi cyfrowemu można przypisać określoną wartość, coś w rodzaju sygnatury, identyfikatora pliku, który jest ciągiem liter i cyfr o stałej długości. Są to tzw. hasze, czyli, mówiąc najprościej, cyfrowe odciski palców plików komputerowych. I tu dochodzimy do sedna. Dwa lata temu biegli z CLKP wpadli na pomysł stworzenia centralnego serwera, który gromadziłby hasze plików – tych, które zostały już sklasyfikowane przez policyjnych biegłych jako pliki związane z działalnością przestępczą, oraz te, które nie zawierają żadnych istotnych danych z punktu widzenia informatyki śledczej. Po roku przygotowań projekt został zgłoszony w Komendzie Głównej Policji, a następnie ze środków z Funduszu Bezpieczeństwa Wewnętrznego został zakupiony sprzęt – specjalistyczne oprogramowanie oraz wysokowydajne stacje robocze. Co więcej, teraz projekt został dostrzeżony i zatwierdzony przez Komisję Europejską jako projekt flagowy UE. I chociaż jego realizacja zakończy się dopiero w przyszłym roku, biegli z CLKP już zaczęli pracować, analizując z jego pomocą bieżące sprawy.
IDENTYFIKACJA PLIKÓW
– To, z czym borykamy się na co dzień, to bardzo duża liczba danych do analizy. Na jednym nośniku znajdują się setki tysięcy albo miliony plików – tłumaczy Artur Bujak. – Dzięki temu projektowi możemy od razu identyfikować te, które wcześniej sklasyfikowaliśmy jako przestępcze. Nie będzie powtarzalności, przeglądania po raz kolejny tych samych zdjęć. Bez konieczności przeprowadzania czasochłonnej analizy zostaną usunięte z analizy też te dane, które nie mają znaczenia, bo nie są związane z działalnością przestępczą.
Ta druga baza, zwana białą, będzie prawdopodobnie większa niż ta zawierająca pliki zabronione. I wbrew pozorom będzie tak samo cenna. Są to przede wszystkim pliki systemowe, pochodzące z komunikatów czy pobrane z internetu, które nie mają w danym przypadku żadnego znaczenia. Ich błyskawiczna identyfikacja przez system oznacza mniej pracy dla biegłych.
– Lista plików, które trzeba będzie przejrzeć, skróci się znacząco, nawet o 20 albo 30 procent – mówi Krystian Wiciarz. – Dla nas to bardzo dużo. Oczywiście dalej specjaliści będą musieli przeglądnąć mnóstwo danych, być może dziesiątki tysięcy plików, ale przy tak dużych rozmiarach nośników i tak dużych ilościach plików jest to olbrzymie odciążenie.
Już teraz udało im się zgromadzić 50 milionów rekordów, na razie lokalnie, własnymi siłami. Ale gdy zostanie uruchomiony serwer, do którego zostaną podłączone wszystkie laboratoria kryminalistyczne w kraju, ta liczba będzie rosnąć. Bazę haszy będą budować wszyscy, zasilając ją swoją codzienną pracą. A w przyszłości jest szansa na wymianę międzynarodową, dostęp do części baz Europolu i Interpolu.
– W dalszej perspektywie, wspólnie z Interpolem, chcielibyśmy stworzyć bazę, która pozwoliłaby na jednoznaczne klasyfikowanie zdjęć, na przykład o charakterze pedofilskim – mówi Artur Bujak. – W tym momencie nie zajmujemy się charakterystyką zdjęć, nie mamy takich uprawnień. Nasza praca polega tylko na segregowaniu nagich ciał.
ZŁAMAĆ SZYFR
Nowy sprzęt – stacje robocze skonstruowane na potrzeby projektu budowy centralnego systemu informacji o plikach związanych z działalnością przestępczą, został wykorzystany do jeszcze jednej rzeczy. Na jego bazie biegli badań informatycznych zbudowali system, dzięki któremu w Policji będzie można przełamywać zabezpieczenia zaszyfrowanych plików. To element projektu, który też jest bardzo ważny. Wiadomo, bardzo duża część danych jest przez przestępców ukrywana, a szyfrowanie jest w zasadzie wszechobecne. Do tej pory, z uwagi na wysoki koszt prób przełamywania takich zabezpieczeń, czasochłonność i potrzebę posiadania specjalistycznej wiedzy, takie badania nie były w Policji praktycznie wykonywane.
– Brakowało sprzętu i technologii. Ale teraz możemy powiedzieć, że jesteśmy unikalni nie tylko jeśli chodzi o jednostkę Policji, ale i rynek prywatny – mówi Krystian Wiciarz i przytacza sprawę sprzed kilku miesięcy. Na nośniku, który analizowali, nie mogli znaleźć materiału, który świadczyłby o popełnionym przestępstwie, ale znaleźli zaszyfrowany kontener, czyli zaszyfrowany zbiór plików. – Policzyliśmy, że próba przełamania tego zaszyfrowanego kontenera zajęłaby 7 lat pracy naszego ówczesnego sprzętu, ale też bez gwarancji sukcesu. Obecny system zrobiłby to w ciągu miesiąca. To tylko obrazuje, jaki sprzęt teraz mamy. I jakie możliwości.
NIEPOZORNY PENDRIVE
Brzmi innowacyjnie? Owszem, ale to nie koniec. Od roku specjaliści z Zakładu Badań Dokumentów i Technik Audiowizualnych CLKP rozwijają drugi projekt, którego celem jest stworzenie i udostępnienie organom Policji nowego narzędzia, pozwalającego na zabezpieczanie szerokiego spektrum danych cyfrowych, w tym tzw. danych ulotnych.
– Dzisiaj sprzęt zabezpieczany jest różnie. W większości wypadków odbywa się to przez wyłączenie systemu i jego późniejszą analizę przez specjalistów albo biegłych w laboratorium kryminalistycznym – mówi Artur Bujak. – Brakowało narzędzia, które pozwoliłoby osobom nieposiadającym zaawansowanej wiedzy informatycznej na takie zabezpieczanie sprzętu, żeby nie tracić danych ulotnych, czyli tych, które bezpowrotnie znikają po tym, jak wyłączymy dany system informatyczny. Z naszego punktu widzenia są to dane bardzo cenne, bo zawierają na przykład ślady pamięci operacyjnej komputera, klucze szyfrujące, fragmenty komunikacji prowadzonej przez komunikatory.
Narzędzie ma być proste w użyciu, wyglądem przypominać pendrive’a, a przyjazny interfejs krok po kroku będzie instruował policjanta, co robić. Na miejscu zdarzenia wystarczy podpiąć urządzenie do komputera. Ale to nie koniec. Niepozorne narzędzie ma posiadać bardzo dużo funkcjonalności.
– Wykorzystując unikatowe algorytmy, stworzymy oprogramowanie pozwalające na wykonanie szybszej kopii binarnej – opowiada Artur Bujak. – Po podłączeniu program sam oszacuje i określi te obszary zabezpieczanego dysku czy nośnika, które będą miały znaczenie do dalszego procesu dowodowego. Taką kopię można byłoby wykonać od 3 do 13 razy szybciej. Nawet trzykrotne przyspieszenie jest znaczące.
Kolejna przydatna funkcja to ocena, czy komputer, system informatyczny, z którego zabezpieczony jest materiał, posiada programy szyfrujące albo narzędzia, które mogłyby utrudnić pracę biegłym.
– Taka informacja już na samym początku procesu jest istotna, bo przed przystąpieniem do analizy będziemy wiedzieć więcej – tłumaczy Bujak.
Projekt również finansowany jest z Funduszu Bezpieczeństwa Wewnętrznego. To też pierwszy projekt w Policji, realizowany w ramach partnerstwa innowacyjnego. Właśnie trwają negocjacje z wykonawcą. Plan jest taki, że w przyszłym roku, po zakończeniu projektu, do każdej jednostki w Polsce trafi specjalistyczny sprzęt.
ANNA KRAWCZYŃSKA
zdj. CLKP