Masz coś do ukrycia? Komputer cię zdradzi

Niewygodne dane usunięte z komputera są jak zwłoki wrzucone przez mordercę do rzeki. Można je wydobyć, a sprawcę postawić przed sądem
Piractwo, przestępstwa gospodarcze, pedofilia, fałszerstwa, zdrada małżeńska, sabotaż pracowników, włamania elektroniczne. Z czeluści komputera na światło dzienne potrafi wyjść niemało brudów. Dowody w tych sprawach często mają wyłącznie postać zapisu na nośniku elektromagnetycznym - na twardym dysku, serwerze, przenośnym pendrivie. Bardzo często są już wykasowane, usunięte, posprzątane. Niby od dawna ich tam nie ma, ale jednak są. Jeśli ktoś umie je wywołać - wracają z zaświatów jak duchy.

- Nasz pierwszy przypadek? To chyba była jakaś drobna sprawa sprzed wielu lat związana ze wdzwanianym dostępem do internetu - próbuje przypomnieć sobie Tomasz Zaborowski. Jako biegły sądowy oraz w swojej prywatnej katowickiej firmie Media Recovery zajmuje się, jak sam to nazywa, informatyką śledczą. - Kilkunastoosobowa hurtownia dostała fakturę z TP SA na kilkanaście tysięcy złotych. Jej szef się wściekł. Okazało się, że któryś z pracowników zwiedzał witryny porno i złapał na komputer tzw. dialera, czyli program, który nabił ogromny rachunek telefoniczny. Facet wyczyścił w przeglądarce historię odwiedzanych stron. Ale z innych miejsc na dysku wydobyliśmy komplet informacji, co, kto, gdzie i kiedy. Historyjka banalna, ale takie wtedy były czasy - wspomina Zaborowski.

Z roku na rok świat staje się coraz bardziej elektroniczny. Tegoroczny sondaż w Wielkiej Brytanii pokazał, że już tylko 5 proc. młodych ludzi (15-24 lata) porozumiewa się pisemnie, używając długopisu i papieru. Reszta - wyłącznie za pomocą e-maili i SMS-ów. Eksperci szacują, że na świecie 90 proc. dokumentów powstaje dzisiaj w wersji cyfrowej. Z tego aż 70 proc. nigdy nie trafi na drukarkę. Niektóre z tych dokumentów trafią za to do sądów. Zachowane e-maile, dane o połączeniach z internetem, elektroniczne zdjęcia - takie rzeczy coraz częściej decydują o wszczęciu i losach procesów karnych i cywilnych.

Dlatego coraz szersze pole do popisu mają fachowcy od odzyskiwania skasowanych danych elektronicznych i takiego ich zabezpieczania by mogły stanowić dowód "rzeczowy". - Dowody kryją się tam, gdzie mało kto się ich spodziewa. Ludzie patrzą zaskoczeni, co wydostajemy z ich komputerów. Zapis korespondencji na Gadu-Gadu z kochankiem? Skąd to wzięliście? Przecież to wszystko już dawno było skasowane - uśmiecha się Paweł Odor, ekspert z firmy Ontrack. Firma (również z Katowic), która jest częścią światowego koncernu Ontrack, zatrudnia w Polsce około 30 osób i mówi o sobie "elektroniczni detektywi".

Dysk w akwarium

Elektroniczne dane, pozornie ulotne, w istocie są bardzo wytrzymałe. Dla wielu pechowców to świetna wiadomość. Dzięki temu Krzysztof Wielicki, zdobywca korony Himalajów, odzyskał w 2004 r. cyfrowe zdjęcia z jednej ze swoich wypraw, po tym jak tragarz zniszczył jego photobank (specjalne urządzenie elektroniczne, na którym himalaista gromadził podczas wyprawy swoje ogromne galerie zdjęć). Chyba jeszcze większy horror przeżyła dziennikarka "Dziennika Zachodniego" Iza Kacprzak, gdy pewnego dnia wysiadł jej redakcyjny komputer. Wezwani na pomoc informatycy wydawnictwa stwierdzili nieodwracalne fizyczne uszkodzenie dysku twardego i rozłożyli ręce: - Przepadło.

- Omal nie osiwiałam. Był czwartek, a na komputerze miałam świeżo skończony tekst śledczy, który w sobotę musiał być czołówką gazety. Musiał, bo równolegle ten sam temat miał być w TVN "Uwaga" - wspomina Kacprzak. - W dodatku na komputerze miałam telefony, adresy, zdjęcia, kilka tysięcy artykułów, dorobek dziesięciu lat pracy. Strata nie do powetowania - mówi. Redakcja zgodziła się wyłożyć pieniądze i komputer trafił do laboratorium Ontracka. Udało się odzyskać niemal wszystko. Artykuł ukazał się planowo.

Firmy odzyskujące dane chwalą się przypadkami uratowania cennych materiałów elektronicznych z nośników spalonych, zgniecionych, zdemolowanych w katastrofach czy upranych w pralce. - Przyjechał do nas klient z czeskiej Pragi po wielkiej powodzi latem w 2002 r. Zalało mu komputer. Przez telefon powiedzieliśmy, żeby jadąc, nie osuszał dysku, niech pozostanie wilgotny. Klient na wszelki wypadek przywiózł całe akwarium z dyskiem pływającym w wodzie - opowiadają w Ontracku.

Czy warto strzelać do komputera?

Odporność danych na zniszczenie to zła wiadomość dla tych, którzy chcieliby zatrzeć za sobą elektroniczny ślad. Może się to okazać trudne, zwłaszcza gdy nie ma wiele czasu, bo do drzwi dobija się właśnie policja. - Wrzucanie laptopa do kominka czy mikrofalówki niewiele pomoże. Kiedyś odzyskaliśmy dane z komputerów po wielkim pożarze fabryki spowodowanym przez sabotażystę. Wszystko było zwęglone, ale obudowy uchroniły dyski twarde. Żeby je stopić, trzeba by palić w piecu w temperaturze 3 tys. st. C - mówi Paweł Odor.

A strzał z pistoletu w dysk twardy? - Raczej też niewiele da. Już lepiej byłoby wziąć wiertarkę i przewiercić dysk w kilku miejscach. Ale to z kolei długo trwa - mówi ekspert Ontracka. - Tak naprawdę jakiekolwiek wymyślne sposoby niszczenia danych to w Polsce rzadkość. Większości użytkowników komputerów wydaje się, że jak klikną na pececie komendę "usuń plik", a potem "opróżnij kosz" i wyczyszczą historię w przeglądarce internetowej, to już są nie do wyjęcia.

Tymczasem zwykłe skasowanie danych fachowcy porównują najwyżej do wyrwania z książki spisu treści. Mówiąc w uproszczeniu - efektem skasowania danych jest tylko to, że komputer już ich "nie widzi", traktując miejsce, gdzie były zapisane, jako wolne i gotowe do ponownego użycia. Ale te dane na dysku wciąż są nienaruszone, dopóki na ich miejscu nie zostaną zapisane nowe. A nawet jeśli stare dane zostaną częściowo nadpisane nowymi, to wciąż jeszcze wiele z nich można odtworzyć. Nawet sformatowanie dysku twardego nie daje gwarancji, że znajdujących się tam wcześniej informacji nie da się przynajmniej częściowo odczytać. Fachowcy poradzą sobie z tym bez większego problemu.

Według firm zajmujących się odzyskiwaniem danych są tylko trzy gwarantowane sposoby bezpowrotnego usunięcia danych z twardego dysku. Najpewniejszy - zmiażdżenie dysku specjalną prasą. Drugi to poddanie dysku pod silny impuls elektromagnetyczny, który niszczy urządzenie tak, że danych nie da się już odczytać. Trzeci sposób to ich usuwanie za pomocą specjalnych programów, swoistych elektronicznych niszczarek.

Jakubowska robi reklamę

Odzyskiwanie danych i zabezpieczanie elektronicznych dowodów nazywane jest na świecie z ang. computer forensics . Ta nazwa nie ma dobrego polskiego odpowiednika. Dwie główne firmy na krajowym rynku - Media Recovery i Ontrack - które dysponują specjalnymi laboratoriami pozwalającymi wydobywać dane ze zniszczonych nośników, różnie określają swą działalność. Pierwsza mówi o "informatyce śledczej", druga woli "zdobywanie elektronicznych środków dowodowych". Computer forensics zajmują się także fachowcy policyjni, biegli sądowi oraz specjaliści z największych firm audytorsko-doradczych - np. z firmy Ernst & Young. Zarządy lub rady nadzorcze dużych przedsiębiorstw zlecają jej specjalistom postępowania dochodzeniowe, kiedy podejrzewają u siebie nadużycia, działania na szkodę spółki, przecieki, kradzież.

- Na celowniku równie dobrze może się znaleźć szeregowy pracownik, jak i dyrektor czy prezes. Nasze dochodzenie standardowo obejmuje kontrolę komputera podejrzanej osoby przeprowadzaną tak, by w razie czego zabezpieczyć dowody winy. Wyciągamy także dane wykasowane, sprawdzamy, jak się zmieniały dokumenty - opowiada Tomasz Dyrda z Ernst & Young.

Sztukę computer forensics rozsławiła w Polsce po wybuchu afery Rywina Aleksandra Jakubowska i pamiętne śledztwo wokół powstawania ustawy medialnej. Aby ustalić, kiedy i w jaki sposób pojawiały się zapisy w ustawie, biegli poszukiwali właśnie śladów elektronicznych - skasowanej korespondencji e-mailowej Jakubowskiej, poprzednich wersji dokumentu itp. Prokuratura robiła to własnymi siłami, ale prywatni specjaliści od odzysku danych mieli w mediach swoje pięć minut, komentując, co i jak można wydobyć z komputerów i internetu. W dodatku śledztwo przyniosło spektakularne wyniki i pokazało, co potrafi informatyka śledcza.

Ożywienie dysku kosztuje

Prywatni specjaliści od detektywistyki elektronicznej dzielą swój rynek na profesjonalny, czyli zlecenia od organów ścigania, i komercyjny, czyli zamówienia od firm i osób prywatnych. Zdecydowana większość ich pracy to zlecenia policji i prokuratury. Rynek komercyjny dopiero się rodzi. - Menedżerowie po prostu nie są świadomi, że są takie usługi, i nie wiedzą, jak mogliby je wykorzystać - mówią zgodnie przedstawiciele Media Recovery i Ontracka. Promowaniu computer forensics nie sprzyja absolutny brak referencji. Lista klientów elektronicznych detektywów jest całkowicie tajna. Firmy, które musiały skorzystać z ich usług, skrzętnie ukrywają ten fakt, uważając, że to wątpliwa reklama.

Nie sposób nawet ustalić, jak wiele tego typu spraw przeprowadza się w Polsce. Tomasz Zaborowski z Media Recovery twierdzi, że jego firma wydaje rocznie kilkaset ekspertyz spod znaku computer forensics . Konkurenci z Ontracka uważają tę liczbę za zawyżoną. Sami przyznają się do przeprowadzenia w zeszłym roku około 20 dużych spraw tego rodzaju (nie licząc masy przypadków zwykłego odzysku danych, który dostarcza firmie większości przychodów).

- Elektroniczne dowody musimy analizować coraz częściej - mówi komisarz Zbigniew Urbański z biura prasowego Komendy Głównej Policji, specjalista od cyberprzestępczości. - Nie chodzi tylko o sprawy związane z przestępczością komputerową. Dzisiaj w 90 proc. wszystkich przeszukań na miejscu jest jakiś komputer. Zwykle policjanci pobieżnie przeglądają jego zawartość, jeśli uznają, że może tam być coś istotnego dla sprawy, sprzęt trafia w ręce specjalistów - opowiada komisarz. - Do Ontracka lub Media Recovery zgłaszamy się, przy dużych sprawach, gdy nośników jest dużo, ale także gdy nośnik jest zniszczony i dane trzeba odzyskiwać w specjalnym laboratorium - dodaje.

Standardowe odzyskanie danych w laboratorium to zwykle koszt rzędu kilku tysięcy złotych. Wszystko zależy od nakładów pracy. Im lepiej usunięte dane lub bardziej zniszczony nośnik, tym większe koszty. - Pieniądze bywają barierą - przyznaje komisarz Urbański. - Dlatego w pierwszym rzędzie wszystko robimy własnymi siłami.

- W skrajnych przypadkach, gdy trzeba robić żmudne badania dysku pod mikroskopem elektronowym koszty dochodzą do astronomicznych poziomów, akceptowanych tylko przy bardzo ważnych operacjach - mówi Tomasz Dyrda z Ernst & Young.

Śledztwa firm i elektroniczna obyczajówka

W biznesie najczęstszym powodem sięgania po usługi elektronicznych detektywów są podejrzenia o nieuczciwość pracowników lub zarządów. Wynoszenie z firmy przez handlowców bazy danych o klientach, by zatrudnić się z nią u konkurencji, to jeden z bardziej typowych przypadków.

Do częstych zleceń należą sprawy małżeńsko-rozwodowe. Nic dziwnego. Agencja PAP podawała niedawno wyniki sondażu przeprowadzonego przez brytyjską firmę badawczą wśród ponad 17 tys. internautów z 18 krajów. Okazało się, że aż 17 proc. badanych zdradziło kiedyś swojego partnera z osobą poznaną w sieci. Ale także "zwykłe" romanse rozwijają się dziś przy udziale telekomunikacji i informatyki i odciskają w cyberświecie swój ślad. Piotr Górecki z poznańskiego sądu okręgowego mówił w tym roku "Gazecie", że w co trzeciej sprawie rozwodowej Polaków dowodami są SMS-y.

Zaborowski: - Mieliśmy sprawę zamożnego biznesmena z Bieszczad, który przebywał z delegacją w Austrii. Żona nas ściągnęła, bo od dawna coś podejrzewała. Komputer szybko wyjaśnił, co to była za "delegacja". Żona chyba nawet była z tego zadowolona, bo mając dowody zdrady, sporo ugrała przy podziale majątku.

Żelazne procedury

- W polskiej prokuraturze i sądach jest coraz lepiej, jeśli chodzi o docenianie wagi dowodów elektronicznych - uważa komisarz Urbański. Według ekspertów Ontracka do sądu trafia najwyżej co piąta sprawa spod znaku computer forensics . Najczęściej samo uzyskanie przeciw komuś niezbitych dowodów elektronicznych skłania go do zawarcia ugody.

Ale jeśli ustalenia mają mieć wartość dowodową podczas śledztwa, obowiązują żelazne procedury. Nie uruchamiając komputera (żeby było oczywiste, że nikt niczego na nim nie zmienił), robi się dwie kopie twardego dysku. Jedna, zaplombowana, trafia do notariusza lub do sejfu. Druga idzie do ekspertyzy. Sam twardy dysk w zależności od sytuacji także trafia do sejfu lub wraca do komputera pracownika. Dla dysku i kopii wylicza się tzw. sumę kontrolną. To bardzo ważne. Potem przed sądem identyczna suma kontrolna na dysku i kopii dowodzi, że badający niczego nie zmienili w jego zawartości.

- My w żaden sposób nie oceniamy, czy było przestępstwo, czy nie. Przekazujemy klientowi suchy materiał bez żadnej interpretacji. Wnioski wyciąga on sam -podkreśla Paweł Odor z Ontracka.

Jesienią zeszłego roku Valerie McNevin, amerykańska specjalistka z firmy Cybrinth doradzająca w sprawach cyberprzestępczości m.in. amerykańskim władzom, oceniła, że w 2004 r. po raz pierwszy światowe dochody z e-przestępczości przekroczyły 105 mld dol. i przewyższyły te pochodzące z handlu narkotykami. - Przestępcy przenoszą się ze swoją działalnością do świata wirtualnego. Chcąc ich ścigać, trzeba iść tam za nimi. Dziś dowodem rzeczowym przeciw złodziejowi nie jest już wytrych, tylko ciąg zer i jedynek - mówi Tomasz Zaborowski.

Najlepszy sposób na pozbycie się niewygodnych danych z twardego dysku to: