Wybrane aspekty zabezpieczania dowodów sieciowych

W kontekście rozważań dotyczących zabezpieczania dowodów sieciowych, Są to dowody zabezpieczone w toku czynności określanych mianem kryminalistyki sieciowej (ang. Network Forensics). Jest to wykorzystanie naukowych metod do gromadzenia, badania, korelowania, analizowania, identyfikacji i dokumentowania dowodów cyfrowych z wielu, aktywnie przetwarzających i przekazujących dane źródeł cyfrowych. Ma to na celu wykrycie faktów lub działań zmierzających do zakłócania, uszkodzenia lub naruszenia integralności i bezpieczeństwa elementów systemu lub urządzenia. Ponadto ma służyć dostarczeniu informacji służących działaniom podejmowanym w reakcji na te działania lub umożliwiających usunięcie ich skutków¹²⁵.

125 Digital Forensic Research Workshop, Road Map for Digital Forensic Research, New York 2001, http://dfrws.org/sites/default/files/session-files/a_road_map_for_digital_forensic_research.pdf (dostęp 30.04.2018).

70 Dowody sieciowe to dane sieciowe mające lub mogące mieć znaczenie dowodowe.

Mogą przybierać różne formy i pochodzą niekoniecznie z jednego konkretnego typu urządzeń. Najbardziej istotnymi z kryminalistycznego punktu widzenia w odniesieniu do przestępczości wykorzystującej podatności lub funkcjonalności Internetu Rzeczy będą modemy, routery, karty sieciowe, przełączniki sieciowe (ang. switch) i koncentratory sieciowe (ang. hub). Źródłem dowodów sieciowych z kolei mogą być logi plików generowane przez serwery aplikacji takie jak HTTP, FTP i SMTP, logi IDS (ang. Intrusion Detection System), logi firewalla, serwerów pośredniczących (ang. proxy) i pamięci podręcznej (ang. cache), ruch sieciowy zarejestrowany przy użyciu programu typu sniffer.

Ponadto źródłem są także wyniki kryminalistycznej analizy przy użyciu urządzeń podłączonych do komputera w celu wykonania konkretnych czynności, zawierające informacje o śladach sieciowych takich jak komunikacja sieciowa, trasowanie (ang.

routing) oraz tablice ARP (ang. Address Resolution Protocol)¹²⁶. Z uwagi na potencjalną ilość danych, liczbę urządzeń oraz źródeł dowodów sieciowych, niemożliwym jest zabezpieczenia wszystkich danych. Ogólne zasady zabezpieczania i postępowania z dowodami cyfrowymi mogą jednak dostarczyć wskazań i dyrektyw, umożliwiających odpowiednią priorytetyzację działań podejmowanych przez organy ścigania w stosunku do dowodów sieciowych.

W literaturze wyróżnia się wiele typów danych sieciowych mogących być źródłem dowodów i mających znaczenie w sensie kryminalistycznym. Najciekawszym oraz umożliwiającym proste, acz jednocześnie kompletne rozróżnienie jest podział na:

 Dane sesji sieciowej (ang. Session Data), czyli podsumowanie konwersacji sieciowych mających miejsce w konkretnej wymianie komunikacji sieciowej, to znaczy sesji sieciowej; najczęściej zbierane są rutynowo i w najbardziej podstawowym przypadku zebrane informacje zawierać będą wiadomość, rodzaj użytego protokołu sieciowego, oznaczenie czasu w postaci godziny i daty, źródłowy i docelowy adres IP oraz źródłowy i docelowy numer portu,

 Dane powiadomień … (ang. Alert Data), to znaczy podzbiór danych sesji sieciowej, zawierający jedynie dane oznaczone i zdefiniowane jako mające znaczenie lub ważne,

126 R. Bryant, S. Bryant, op. cit.

71

 Dane całościowe ruchu sieciowego (ang. Full Content Data), czyli zapis wszystkich pakietów informacji przesłanych w sieci,

 Dane statystyczne ruchu sieciowego (ang. Statistical Data), dostarczają ogół informacji o związkach i powiązaniach różnych aspektów aktywności w sieci¹²⁷. Wymieniony podział danych w sposób obrazowy pokazuje jakiego typu danych sieciowych mogą szukać organy ścigania w ramach kryminalistycznego badania z zakresu kryminalistyki sieciowej.

Dane zawierające informacje o komunikacji sieciowej oraz jej artefaktów takich jak data, miejsce i urządzenia w niej uczestniczące mają ogromne znaczeni dowodowe z punktu widzenia organów ścigania badających cyberprzestępstwa. Pozwalają na identyfikacje lub określenie rzeczywistej lokalizacji sprawcy wykorzystującego narzędzia anonimizujące lub ukrywające ruch sieciowy. Podobną wartość, a niejednokrotnie nawet większą cechę indywidualizującą, mają elementy charakterystyczne stricte dla poszczególnych sesji jak zapis pakietów wysyłanych informacji w postaci plików i ich rozmiaru oraz daty wysłania bądź odebrania. Należy twierdzić także, że w związku z rozwojem mediów społecznościowych wzrasta znaczenie analizy aktywności sieciowej niewymagającej dokonywania specjalistycznych badań z zakresu kryminalistyki sieciowej lub cyfrowej. Zastosowanie choćby tylko metod białowywiadowczych nierzadko pozwala na weryfikację wersji kryminalistycznych , a także zeznań lub wyjaśnień. Umożliwia to również zdobycie cennych informacji o codziennej aktywności, zainteresowaniach jednostek, a także tworzenie sieci powiązań i relacji między osobami. Należy jednak zwrócić uwagę na to, że tego typu metody mają mniejsze znaczenie w przypadku zaawansowanej cyberprzestępczości, w przypadku której sprawcy częściej posiadają umiejętności techniczne pozwalające na anonimizację i ukrywanie aktywności w sieci.

Istotnym aspektem identyfikacji ruchu sieciowego lub gromadzenia dowodów sieciowych jest obecnie także proces określany mianem monitorowania sieci. Wyróżnia się dwa typy tego działania: proaktywny i reaktywny. Pierwszy odnosi się do wszelkich działań monitorujących, zebranych danych i rutynowego sprawdzania działania sieci przed niepożądanym działaniem lub incydentem takim jak przykładowo atak na system lub urządzenie, natomiast ten drugi do działań już po, w reakcji na wydarzenie. Ten stosunkowo prosty podział, nie budzący przy tym większych kontrowersji, jest

127 Ibidem, tłum. własne autora.

72 wystarczający na potrzeby rozważań kryminalistycznych odnośnie przestępstw sieciowych, do których należy zaliczyć przestępstwa wykorzystujące funkcjonalności lub podatności Internetu Rzeczy. Umożliwia on także określenie dwóch głównych zadań organów ścigania co do cyberprzestępczości. Należy rozwijać umiejętności tak w zakresie prewencji, jak i zdolności śledczych i dowodowych już po zaistnieniu społecznie negatywnego zjawiska jakim jest przestępstwo. Szczególnie pożądanym, choć jednocześnie trudnym i wymagającym pod względem technicznym oraz prawnym, jest proces rozwijania zdolności proaktywnych w stosunku do cyberprzestępczości.

5.5 Modele zabezpieczania dowodów cyfrowych oraz sieciowych w