Prelevarea probelor digitale

Articol postat de:

images_1286667856

O data ajunsi la locul in care se afla sistemele informatice ce fac obiectul perchezitiei, investigatorii se vor asigura de accesul la acestea. Recomandarea Consiliului Europei (95) 13 mentioneaza ca necesara includerea in legislatiile nationale penale a obligatiei de a permite accesul la sistemele informatice, atat din partea celor care raspund de, cat si a oricaror persoane ce au cunostinta de modul de functionare a acestora. Pe langa accesul fizic, aceste persoane au datoria de a furniza si informatii referitoare la securitatea sistemului, informatii care sa permita investigatorilor accesul la datele stocate in sistemele informatice respective.

Inainte de a trece la examinarea sistemelor informatice, nu trebuie neglijate procedurile criminalistice traditionale de analiza a spatiului perchezitionat, cum ar fi prelevarea probelor fizice (amprente, alte urme materiale). De asemenea poate avea relevanta imaginea aflata pe ecranul monitorului in momentul patrunderii organelor de cercetare penala. Aceasta poate fi pastrata prin fotografiere, filmare, etc.

O prima decizie ce trebuie luata priveste analiza sistemului informatic la fata locului, sau ridicarea acestuia si analiza in laborator.

In luarea acestei decizii, trebuie avute in vedere urmatoarele aspecte:

  1. calitatea superioara a analizei efectuate in conditii de laborator;
  2. masura in care ridicarea sistemului informatic afecteaza activitatea suspectului.

In acest sens, trebuie retinute recomandarile Camerei Internationale de Comert ce mentioneaza regula evitarii ridicarii sistemelor informatice ale intreprinderilor, daca aceasta ar duce la afectarea desfasurarii activitatilor lor normale.

Urmatoarele criterii sunt utile in aprecierea oportunitatii ridicarii sistemelor informatice:

  1. criteriul volumului probelor.
    Particularitatea sistemelor informatice de a permite stocarea unui volum foarte mare de informatie intr-un spatiu de dimensiuni fizice reduse face ca investigatia sa necesite un volum mare de timp pentru obtinerea probelor relevante. Astfel de cercetari pe o perioada ade timp mare pot fi conduse mult mai eficient in laborator.
  2. criteriul dificultatilor de natura tehnica.
    1. problema evitarii distrugerii datelor in decursul investigatiei. Analiza sistemelor informatice de catre investigatori ce nu au cunostinte suficiente asupra echipamentului sau programelor utilizate poate duce la distrugerea din greseala a datelor.
    2. problema reconstituirii sistemului in laborator. Datorita avarietatii foarte mari a componentelor tehnice ale calculatoarelor, pentru ca sistemul sa poata functiona corect in laborator, este necesara ridicarea tuturor echipamentelor prezente la locul perchezitiei. In cazul ridicarii partiale a componentelor sistemului, este posibila prezenta unor incompatibilitati fie intre echipamentele sistemului informatic ridicat si cele din laborator (de exemplu incompatibilitatea calculatorului cu echipamentele periferice – imprimante, etc.), fie intre programele de pe sistemul ridicat si echipamentele din laborator.

O data decisa ridicarea sistemului informatic aflat la locul perchezitiei, trebuie luate unele masuri care sa permita reconstituirea exacta a acestuia in laborator. In primul rand, trebuie consemnat modul de aranjare in spatiu a echipamentelor sistemului informatic ridicat. Aceasta se poate face fie prin fotografierea sistemului din toate unghiurile, fie prin filmare video. In procesul de fotografiere sau filmare, este necesar sa se insiste asupra cablajelor ce conecteaza diferitele componente ale echipamentului. Consemnarea, in varianta foto sau video, are relevanta asi pentru a arata starea in care se gasea echipamentul in momentul ridicarii, prevenind astfel plangerile legate de o eventuala deteriorare a acestuia in decursul anchetei.

In procesul de ridicare a componentelor sistemului trebuie sa fie avuta in vedere necesitatea pastrarii integritatii si identitatii datelor. Orice avariere a suportului pe care se afla datele duce in mod inevitabil la distrugerea acestora. Organele de cercetare penala atrebuie instruite in mod special pentru a proteja probele de natura electronica.

Procedura ridicarii sistemelor informatice este urmatoarea:

Etapa 1: inchiderea sistemului. Daca sistemul a fost gasit inchis in momentul patrunderii investigatorilor, nu trebuie sub nici un motiv pornit. Se va proceda in continuare trecand la celelalte etape. Daca sistemul a fost gasit deschis, el trebuie inchis pentru a se putea proceda la ridicarea lui. Pentru inchiderea sistemului se pot folosi urmatoarele procedee:

  • deconectarea de la alimentarea cu energie electrica;
  • inchiderea conform procedurii normale.

Prima alternativa este de preferat in cazul in care investigatorul nu are cunostinte de informatica. Unele calculatoare dispun de surse de alimentare neinteruptibile (UPS). In acest caz, pe langa deconectarea de la sistemul de alimentare cu energie electrica, trebuie oprit si acest sistem. Deconectarea nu va produce, in cele mai multe cazuri, pierderea de date, dar poate evita stergerea unor informatii relevante, cum ar fi fisierele temporare, care se pot sterge in cadrul procesului normal de inchidere a calculatorului.

Cea de-a doua alternativa este de preferat atunci cand calculatorul este conectat in retea, sau atunci cand investigatorul este asistat de o persoana ce are cunostinte asupra modului de functionare a sistemului respectiv, precum si asupra procedurilor ce sunt folosite pentru inchiderea lui.

Etapa a 2-a: etichetarea componentelor. In cazul in care se impune dezasamblarea fiecare componenta a sistemului trebuie etichetata inainte de modificarea configuratiei in vederea ridicarii probelor. In cazul cablurilor, se eticheteaza atat cablul, cat si suporturile de unde a fost debransat. In cazul existentei unor suporturi care nu au conectate cabluri, este recomandabil ca sa fie etichetate „neocupat”. Se poate realiza si o schita a componentelor, cu precizarea simbolurilor folosite pentru etichetare.

Etapa a 3-a: protejarea la modificare. Toate suporturile magnetice de stocare a datelor trebuie protejate impotriva modificarii continutului lor. Unele tipuri de hard-discuri au contacte speciale care realizeaza protejarea la scriere. In cazul dischetelor, protejarea se va face prin mutarea martorului de permitere a modificarilor in pozitia „inchis”.

Etapa a 4-a: ridicarea propriu-zisa. Ridicarea probelor trebuie facuta cu multa agrija, evitandu-se orice avariere a componentelor. Este recomandabila aimpachetarea componentelor in ambalajul original, daca aacesta poate fi gasit, sau in ambalaj special ce asigura protectia electrostatica aa acestora. De asemenea, toate suporturile magnetice de stocare a datelor, vor fi ambalate si sigilate in asa fel incat accesul la ele nu este permis, pana la desfacerea in laborator.

Sursa: PRUNĂ, Ștefan; MIHAI, Ioan-Cosmin; “Criminalitatea informatică”, ISBN 978-606-530-073-6, Editura Sitech, 2008



Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>