Przestępstw komputerowych przybywa z każdym rokiem. Z firm wynoszone są bazy danych, przez Internet można kupić coraz więcej nielegalnych kopii oprogramowania i filmów. W związku z tym w coraz większej liczbie przestępstw dowodem są urządzenia elektroniczne, głównie komputery i telefony komórkowe. Zarówno organy ścigania, jak i sądy korzystają z usług niezależnych ekspertów, czyli biegłych sądowych. Ich opinie i ekspertyzy często pomagają dokonać przełomu w śledztwie bądź procesie sądowym. Decydują o wydaniu wyroku, tak skazującego, jak i uniewinniającego.
Biegli, którzy orzekają w sprawach związanych z zagadnieniami informatycznymi, muszą mieć dobrze wyposażone laboratoria testowe, w których można przeprowadzać badania i ekspertyzy zlecone przez organa ścigania. Laboratoria z drogim niejednokrotnie sprzętem, jakim nie dysponuje nawet policja. Urządzenia takie są produkowane w krótkich seriach, dlatego ich cena jest wysoka. Analizy są często żmudne i czasochłonne. Jakby tego było mało, na biegłym spoczywa spora odpowiedzialność. Ewentualna pomyłka bądź nierzetelne sporządzenie opinii powoduje, że biegły traci swoje uprawnienia bezpowrotnie. To dlatego biegłych sądowych jest niewielu.

Prawie
robi różnicę

Arkadiusz Wyrostek uzyskał uprawnienia biegłego sądowego 11 lat temu.
Pierwsze zlecenie zdobyłem po ośmiu miesiącach od otrzymania uprawnień – mówi. – Teraz zajmuję się kilkudziesięcioma sprawami rocznie. Ich liczba z roku na rok rośnie w postępie geometrycznym.
Jego zdaniem od 30 do 40 proc. wszystkich przestępstw z użyciem zaawansowanych systemów i urządzeń informatycznych to przestępstwa z wykorzystaniem Internetu.
Potencjalni przestępcy mają poczucie, że sieć zapewnia im anonimowość – twierdzi Arkadiusz Wyrostek. – A przecież ślady działalności podejrzanego można znaleźć w Internecie, loggach i archwizacjach nawet po kilku latach od dokonania przestępstwa.
Jak mówi, bardzo dużo jest też oszustw dokonywanych na portalach aukcyjnych, takich jak Allegro i eBay. Coraz częstszy jest także fishing, czyli wyłudzanie danych. W opinii Arkadiusza Wyrostka stosowane obecnie pułapki fishingowe są znacznie skuteczniejsze niż te, których używano kilka lat temu, bo podrabiane strony są już w języku polskim.
Przed laty przestępcy pisali strony w języku angielskim – twierdzi.

Biegli
do przetargu

Bardzo rozpowszechnionym procederem jest wykradanie elektronicznych baz danych klientów. Przestępstwa dokonuje zazwyczaj zwalniany z pracy pracownik, który pod wpływem silnych emocji zachowuje się nieracjonalnie.
Chęć zemsty na pracodawcy, spowodowana subiektywnym poczuciem krzywdy, jest silnym i częstym motywem w takich sprawach – mówi Arkadiusz Wyrostek. – Po odejściu z firmy pracownik zakłada własną działalność gospodarczą, przechodzi do konkurencji lub sprzedaje bazę innej firmie.
Poszkodowane firmy zazwyczaj przez przypadek dowiadują się o tym, że padły ofiarą kradzieży.
Przegrywają przetarg ogłoszony przez firmę, z którą od lat współpracują lub tracą lukratywny kontrakt – mówi Arkadiusz Wyrostek. – Zdziwienie jest tym większe, że firma pokonana w przetargu miała niejako monopol na współpracę z przedsiębiorstwem ogłaszającym przetarg. Potem okazuje się, że w firmie, która wygrała przetarg lub zdobyła kontrakt, pracuje zwolniony pracownik.
Dowody zabezpiecza się u obu stron, to znaczy w firmie poszkodowanej i podejrzanej.
Adwokaci oskarżonego zazwyczaj próbują udowodnić, że firma posługuje się nową bazą danych utworzoną na podstawie zapisów znajdujących się w katalogu firm – mówi biegły sądowy. – Tę linię obrony podważa się zazwyczaj za pomocą analizy porównawczej. W obu bazach, to znaczy w tej, co do której zachodzi podejrzenie, iż została wykradziona, i w oryginalnej szuka się tych samych błędów ortograficznych, nietypowych słów lub też nietypowych błędów interpunkcyjnych. Na przykład dwóch spacji przed przecinkiem lub charakterystycznych połączeń dwóch wyrazów. Wbrew pozorom takie proste sposoby wystarczają do wykrycia kradzieży i są uznawane przez sądy.
Czasem w przetargu startuje firma podstawiona. Rolą biegłego jest wtedy udowodnienie, że firmy działają w zmowie bądź w porozumieniu.
Kiedyś zdarzyło mi się, że po analizie Specyfikacji Istotnych Warunków Zamówienia znalazłem błędy merytoryczne, edycyjne i ortograficzne, które powtarzały się u zdawałoby się niepowiązanych ze soba oferentów – mówi Arkadiusz Wyrostek. – To stanowiło dowód, że dany przetarg był ustawiony. Sprawa skończyła się aktem oskarżenia.

Powiedz
tylko słowo

Zdaniem Arkadiusza Wyrostka do najbardziej uciążliwych należą sprawy związane z prawem autorskim. Jak mówi biegły, polskie prawo autorskie jest niejednoznaczne, a jednocześnie rygorystyczne. Dlatego opinie trzeba przygotowywać wyjątkowo rzetelnie.
Czasem jedno niewłaściwie użyte słowo może zadecydować o przegranej w sądzie – twierdzi. – O porażce formalnej, a nie merytorycznej. Kiedyś zdarzyło się, że zamiast słowa „uzyskania” danego utworu, użyto w akcie oskarżenia słowa „posiadania”. I to zadecydowało o przegranej w sądzie.
Praca biegłego w sprawach o naruszenie praw autorskich jest bardzo czasochłonna i wymaga cierpliwości.
Często na płycie DVD-R są składanki złożone z kilku tysięcy utworów – mówi Arkadiusz Wyrostek. – Każdy utwór trzeba sprawdzić, czy pod daną nazwą nie kryje się inna piosenka. Gdyby biegły nierzetelnie wywiązał się ze swoich obowiązków, mogłoby to podważyć wiarygodność całego materiału dowodowego.

Dla CRN Polska mówi Arkadiusz Wyrostek, biegły
sądowy.
BIEGŁY JAK TŁUMACZ

Biegły jest dla sądu pomocnikiem, który pomaga
w zrozumieniu języka informatyki osobom spoza branży
IT – najczęściej adwokatom i sędziom. Oprócz tego
biegły musi umieć udowodnić, że jego tezy są wiarygodne
i jednoznaczne. Jest kilka rodzajów biegłych.
Są biegli powoływani ad hoc i wpisani na listę biegłych
danego Sądu Okręgowego. W przypadku badań związanych z informatyką
śledczą zdarza się, że sąd zleca analizy niezależnym firmom.
W Polsce jest kilka firm, które zajmują się badaniem dowodów. Korzysta
się z ich usług wtedy, kiedy brakuje biegłych lub kiedy nie potrafią
rozwiązać postawionych przed nimi problemów. Trzeba też dodać, że
biegłego mogą powołać nie tylko prokuratura, policja i sąd, ale też
straż graniczna i służby skarbowe w sprawach karnych.

W pamięci telefonu
i komputera

Arkadiusz Wyrostek często wydawał opinie w sprawach, w których dowodem był telefon komórkowy. W takich przypadkach jego rolą było odzyskanie danych – multimedialnych lub SMS-ów – składowanych na karcie pamięci telefonu lub w pamięci karty SIM.
Dane są zazwyczaj kasowane przez podejrzanego – mówi Arkadiusz Wyrostek. – Udana operacja odzyskiwania informacji zależy nie tylko od umiejętności biegłego, ale też od budowy danego modelu telefonu komórkowego, rodzaju zastosowanej w nim pamięci, jej pojemności, zainstalowanego systemu operacyjnego i oprogramowania. Rzecz jasna, zależy też od tego, ile razy dane były nadpisane.
Biegli badają też zawartość twardych dysków komputerów. W tym przypadku stosują metodę nazywaną klonowaniem dysków. Wykorzystuje się ją po to, aby zabezpieczyć się przed modyfikowaniem danych. Biegły może wtedy badać klon dysku, a nie oryginał.
Sklonowany dysk można badać i analizować, nawet jeśli dysk oryginalny się zepsuje – tłumaczy Arkadiusz Wyrostek.
Czas klonowania wynosi od kilku do kilkudziesięciu godzin i zależy od pojemności dysku, ilości składowanych na nim danych, metody klonowania oraz od tego, czy dyski są skompresowane. Dużo zależy też od wybranej metody klonowania: programowej lub sprzętowej.
W zależności od zastosowanego oprogramowania klonowanie może trwać od kilku do nawet kilkunastu godzin – wyjaśnia biegły. – Jeśli chodzi o klonowanie sprzętowe, to ważnym parametrem rozwiązań hardwareowych jest szybkość transferu danych.
Czasem biegły musi użyć blokera dysków.
Stosuje go wtedy, kiedy nie można wyjąć dysku z komputera przedsiębiorstwa, bo nie powinno się spowalniać pracy firmy – mówi Arkadiusz Wyrostek.
Sprzętowe blokady dysków wymuszają pracę dysku w trybie read only, czyli uniemożliwiają zapis danych na urządzeniu.

Gwarant
prawdę ci powie?

Tak wygląda
bloker, który
uniemożliwia
zapisywanie
danych na
dysku twardym
komputera.

Biegli muszą też orzekać w sprawach, w których sprzedawca bądź gwarant anulował kupującemu kartę gwarancyjną jakiegoś produktu, najczęściej telefonu komórkowego.
To dość trudne sprawy – komentuje Arkadiusz Wyrostek. – Wystarczy, żeby obudowa telefonu była porysowana w wyniku eksploatacji, aby gwarant lub sprzedawca nie chciał uznać reklamacji. Wydaje się, że klient jest bezbronny. Tymczasem rzeczoznawca jest w stanie wykazać, że urządzenie ma wadę fabryczną.
Arkadiusz Wyrostek twierdzi, że kilka razy zdarzyło się, że producent wymienił klientowi sprzęt na znacznie droższy.
Koszty sądowe, na które składają się: opłaty za wynajęcie prawników, koszty rozpraw i pracy rzeczoznawców są znacznie wyższe niż wartość samego przedmiotu sporu – mówi. – Dlatego wiele firm chce porozumieć się przed rozpoczęciem procesu.
Jako przykład takiego polubownie rozwiązanego sporu Arkadiusz Wyrostek przytacza sprawę, w której telewizor marki Samsung często wracał do serwisu. Właścicielka była przekonana, że było to spowodowane wadą w procesie produkcji. Na kilka miesięcy przed upływem okresu gwarancji klientka dowiedziała się, że może poprosić o pomoc biegłego.
Po mojej ekspertyzie Samsung nie tylko wymienił telewizor na lepszy i nowocześniejszy, ale także zwrócił pieniądze wydane na opinię rzeczoznawcy – mówi biegły.

Podróbki
ze wschodu

W Polsce można dość łatwo kupić podrabiany sprzęt i oprogramowanie. Na przykład sprzęt elektroniczny lub systemy operacyjne Microsoftu. Głównym źródłem towarów z czarnego kanału są kraje azjatyckie i wschód Europy.
Lewe kopie są wytwarzane w nielegalnych tłoczniach albo w legalnych, które produkują po godzinach – mówi Arkadiusz Wyrostek. – Produkty są sprzedawane bez okładek i hologramów. Często trudno odróżnić oryginał od kopii, bo gdyby tylko płyty miały hologram, to byłyby kopiami legalnymi. Podróbki są prawie idealne, ale nie doskonałe. W całej serii powtarza się na przykład ten sam numer seryjny lub nazwa tej samej tłoczni. A jak wiadomo, firmy zlecają produkcję różnym tłoczniom.

BŁĘDY RZECZ LUDZKA

W opinii biegłych sądowych najwięcej błędów jest popełnianych
na początku śledztwa, kiedy policja nie korzysta z pomocy
biegłego sądowego. Zdarza się, że policjanci wyłączają serwer
z sieci zasilającej i automatycznie tracą dowód w sprawie.
W pamięci operacyjnej systemu mogą być przechowywane dane,
które mogą świadczyć o popełnieniu przestępstwa. To dlatego
w śledztwach o dużym znaczeniu biegłych sądowych wzywa
się już na etapie początkowym, kiedy należy zdecydować
o wyłączaniu sprzętu z sieci elektrycznej.

Zrób to sam?

Zdarza się, że specjaliści z branży informatycznej, którzy zostali poszkodowani, sami zbierają dowody popełnionego przestępstwa. Zdaniem Arkadiusza Wyrostka to błąd, który często decyduje o porażce w sądzie.
Dowody powinny być zabezpieczane przez fachowców z uprawnieniami – mówi. – Elektroniczny materiał dowodowy łatwo zniszczyć lub utracić i dlatego trzeba go zabezpieczyć w taki sposób, aby nie został zmodyfikowany przez niefachowe działania zabezpieczającego.
Zdarzało, że po zgraniu danych na dysk niektóre pliki miały zmienione daty powstania, a to, zdaniem biegłego sądowego, już wystarczy, aby podczas rozprawy sądowej doświadczony adwokat podważył wartość dowodów i ich wiarygodność.
Do zabezpieczenia należy zastosować metodykę zgodną a zasadami informatyki śledczej i tak zwanym łańcuchem dowodowym – twierdzi biegły sądowy. – Łańcuch ten rozpoczyna się od zabezpieczenia dowodów na miejscu przestępstwa. Potem wykonuje się specjalistyczne analizy zlecone przez organy wymiaru sprawiedliwości. Na samym końcu łańcucha jest obrona opinii na sali rozpraw.

Specjalista
pod napięciem

Biegły sądowy jest wyposażony w tak zwaną skrzynkę narzędziową biegłego. Pod tym pojęciem kryje się zespół urządzeń i specjalistycznego oprogramowania, który umożliwia prowadzenie ekspertyz.
Oczywiście sam sprzęt nie wystarczy – mówi Arkadiusz Wyrostek. – Można mieć dużo sprzętu, ale bez odpowiedniej wiedzy jest on prawie bezużyteczny. Trzeba mieć też dużą wiedzę teoretyczną i spore doświadczenie. Warsztat pracy tworzy się latami. Wiele spraw nie jest opisanych w literaturze. Trzeba czasem samodzielnie opracować metodykę badań.
Oprogramowanie i sprzęt wykorzystywane w informatyce śledczej kosztują wielokrotnie więcej niż klasyczne systemy IT. Często zdarza się, że przyrząd, który kosztuje kilka tysięcy złotych lub dolarów, może być przydatny tylko w jednej sprawie. Czasem urządzenie przydaje się po kilku latach, a czasem wcale.
Wiedza na temat informatyki śledczej nie jest w Polsce powszechna – podsumowuje Arkadiusz Wyrostek. – Wiele osób uważa się za specjalistów, ale tak naprawdę jest ich niewielu. Wielu biegłych i rzeczoznawców nie stosuje odpowiednich metod, bo są one czasochłonne i drogie. Systemy kosztują tyle, że polskiej policji często na nie nie stać. Dlatego biegli muszą na rozwój swojego laboratorium badawczego przeznaczać środki z własnej kieszeni.
Nie ulega wątpliwości, że biegły musi być osobą bezwzględnie uczciwą i nieprzekupną. Nie może też ulegać żadnym wpływom zewnętrznym. To warunki konieczne, ale niewystarczające.
Myślę, że biegły sądowy musi być nie tylko fachowcem, ale także pasjonować się tym, co robi – mówi Arkadiusz Wyrostek. – Działamy pod silną presją czasu, a ewentualna pomyłka można na zawsze wyeliminować biegłego z systemu wymiaru sprawiedliwości. To dlatego biegłych jest tak niewielu. Nie każdy może wytrzymać napięcie.