Na prvý pohľad mohla polícia postupovať jednoducho – proste na mieste skopírovať obsah diskov, pričom niektorí diskutujúci poznamenali, že sa to v podstate dá aj za plnej prevádzky serverov. Áno, technicky nie je problém skopírovať obsah disku na iné médium a nenarušiť tak prevádzku samotného systému. Z hľadiska použiteľnosti ako dôkazového materiálu to má však niekoľko závažných háčikov. V prvom rade, keď sa nad tým človek čo len trochu hlbšie zamyslí, pre vyšetrovanie – zrekonštruovanie čo všetko sa na skúmanom systéme (v minulosti) udialo – sú vymazané súbory azda ešte dôležitejšie ako tie ktoré sa momentálne na disku nachádzajú. Nehovoriac o tom, že čo len trochu rafinovanejší páchateľ môže obísť štandardné nástroje pre prácu so súborovým systémom a svoje „tajnosti“ ukladať priamo do niektorých zastrčených oblastí diskového priestoru.
Z uvedeného by malo logicky vyplynúť, že seriózne forenzné preskúmanie disku (diskov) sa nemôže obmedziť len na skopírovanie existujúcich súborov, ale je potrebné urobiť kompletný obraz disku, blok po bloku. Áno, aj to sa technicky dá vcelku ľahko urobiť (aj keď pri kapacitách súčasných diskov je potrebné rátať s nezanedbateľným časom na samotné prekopírovanie), je však potrebné si uvedomiť, že ak má byť výsledok forenzného skúmania použiteľný ako dôkazový materiál, nesmie byť spochybniteľný. Inak povedané, obhajobe v podstate stačí spochybniť, či to, čo forenzný expert skúmal, naozaj odrážalo skutočnosť, či nemohlo dôjsť k nejakým nechceným zmenám a podobne. Čiste pre ilustráciu – ak by sa na skopírovanie použilo médium, ktoré už bolo niekedy použité na uloženie iných údajov, dalo by sa – prinajmenšom teoreticky – poukázať na to, že pri kopírovaní MOHLO dôjsť k „výpadkom“, pri ktorých sa niektoré bloky neskopírovali správne, alebo sa neskopírovali vôbec (otázka na zamyslenie – ak použitý kopírovací program narazí v zdrojovom disku na „chybný blok“ – čo skopíruje na výstupné médium?). Alebo že vzhľadom na to, že médium, na ktoré sa obsah disku skopíroval, malo inú (väčšiu) kapacitu ako zdrojový disk, MOHLO sa stať že to, čo nakoniec expert skúmal, boli zvyšky dát, ktoré boli na médiu predtým uložené, a teda „dôkazy“, ktoré našiel, nemuseli súvisieť so skúmaným prípadom. Hádam to stačí na ilustráciu toho, že pri forenznom skúmaní a pri zaisťovaní potenciálneho dôkazového materiálu je potrebné zohľadňovať aj netechnické aspekty, nestačí že niečo je technicky jednoducho zrealizovateľné. A tiež je potrebné brať do úvahy, že dôkazy a tvrdenia expertov (vrátane toho, ktorého si obhajoba prizve aby uviedol, čo všetko sa mohlo pri zaisťovaní dôkazového materiálu udiať) bude posudzovať sudca - a u toho naozaj ťažko predpokladať, že by bol skúseným informatikom. Z hľadiska vyšetrovateľov to potom znamená nutnosť použiť postupy, ktoré sa tak ľahko nedajú spochybniť.
Nepoznám síce súčasnú situáciu v Kriminalistickom a expertíznom ústave PZ, ale pochybujem že by jeho oddelenie počítačovej kriminality malo viac ako 3-4 zamestnancov. Považujem za dosť nerealistické požadovať, aby sa osobne zúčastňovali každej akcie spojenej so zaistením potenciálneho dôkazového materiálu uloženého na počítačových médiách – takže je potrebné rátať s tým, že na takéto akcie nechodia forenzní špecialisti, ale proste policajti so základnou znalosťou toho, čo majú vziať a ako pri tom postupovať. A prečo museli vziať nadbytočné servery? Hmmm, a vy by ste vedeli „na diaľku“ presne zistiť, na ktorých sa môžu nachádzať údaje súvisiace so skúmaným prípadom?
Dalo by sa pokračovať ďalej, ale pre ilustráciu toho, že forenzné skúmanie IT nie je také jednoduché, to hádam stačilo. Nerobím si ilúzie, v diskusii ma určite niekto zotrie za to, že obhajujem policajtov ktorí spôsobili nezanedbateľné škody nevinným firmám. Aj keď chápem ako sa cítia tí, ktorých podnikanie bolo takto zasiahnuté, v príspevku som sa úmyselne snažil vyhnúť emóciam a sústrediť sa na „technickú“ stránku problému. Áno, ani ja nie som spokojný s tým, ako je naša legislatíva (ale aj prokuratúra, Policajný zbor a ich hovorcovia) „pripravená“ na využívanie a zneužívanie IT. Konšpiračné diskusie, nadávky, tvrdenia o policajnom štáte, konkurenčnom boji a podobne však prenechávam tým, ktorým sa v takých zbytočnostiach radi vyžívajú.
Dať bokom emócie
Včerajšia správa o zhabaní servery webhostingovej firmy vyvolala riadnu diskusiu, vrátane niekoľkých príspevkov na blog.sme.sk. Ani som sa nečudoval, že prevládali emócie – o forenznom skúmaní a zaisťovaní dôkazového materiálu z IT prostriedkov sa u nás príliš nepíše. Skúsme teda dať bokom emócie a pozrieť sa trochu racionálne na otázky typu „prečo kvôli jednému vinníkovi zhabali toľko serverov“ či „prečo vôbec museli tie servery odniesť, keď to mohli skopírovať priamo na mieste“ a podobne.