Jego zdaniem, w Polsce - wzorem Zachodu - możemy się obecnie spodziewać rozwoju cyberprzestępczości polegającej na przejmowaniu pieniędzy za pomocą urządzeń mobilnych.
PAP: Czym się zajmuje Pracownia Informatyki Sądowej?
Robert Radziszewski: W naszej pracowni zajmujemy się badaniem dowodów cyfrowych wszelkiego rodzaju, począwszy od komputerów, cyfrowych rejestratorów telewizji przemysłowej, poprzez różne nośniki danych typu pendrive’y, karty pamięci, płyty optyczne CD i DVD, a kończąc na telefonach komórkowych, głównie typu smartfon. Nasza pracownia powstała 1 stycznia 2008 roku. Od tego czasu rozwija się, działa, opiniuje.
PAP: Jest to rozwój wymuszony…
R.R.: Tak, digitalizacja naszego życia następuje bardzo szybko, a taki rozwój informatyki, czy ogólnie wszystkich dziedzin związanych z informatyką, czyli całego sprzętu, oprogramowania – powoduje, że zmiana następuje praktycznie co pół roku. Kiedyś np. telefon komórkowy wyglądał jak telefon, teraz to jest tak naprawdę minikomputer, niejednokrotnie o dość mocnych parametrach i bardziej zaawansowanych rozwiązaniach, przy okazji zostawiających więcej śladów.
PAP: Jakie to są ślady?
R.R.: Zleceniodawcom, którymi najczęściej jest policja, prokuratura albo sąd przedstawiamy, jak posługiwał się użytkownik np. telefonem, kiedy i do kogo dzwonił, co wysyłał, co ściągał, gdzie się z nim przemieszczał. Jesteśmy w stanie w większości przypadków te ślady wywołać i potem je zwirtualizować czy przedstawić je na mapie.
PAP: To jest ważny dowód czy poszlaka?
R.R.: To wszystko zależy, na jakim to jest etapie postępowania, bo może być jako dowód ostateczny, jeżeli np. ktoś się wypiera, że był w danej lokacji lub stracił telefon. Jeżeli się okaże, że w tym samym czasie rozmawiał z kimś i ta osoba to potwierdza oraz wykazuje to billing, to może być problem, żeby to podważyć.
PAP: A jeżeli był gdzieś, miał ze sobą telefon, ale nie rozmawiał?
R.R.: To u operatora można pobrać dane, gdzie ta komórka się zgłaszała.
PAP: Na czym polega działanie eksperta od dowodów cyfrowych?
R.R.: Analizujemy zawartość danego nośnika, szukamy określonych plików, np. zdjęć czy filmów w przypadku pornografii dziecięcej. Szukamy także śladów wskazujących na sposoby uzyskania takich treści, bo np. w przypadku pornografii dziecięcej ważne jest nie tylko samo posiadanie, ale także to, czy się tylko pobrało, czy też rozpowszechniało. Jesteśmy w stanie wywnioskować, czy ktoś był aktywny czy pasywny, tzn. czy tylko ściągał, czy też udostępniał. Jako informatycy nie analizujemy treści znalezionych materiałów, od tego są specjaliści. W przypadku pornografii dziecięcej wiek dziecka może ocenić specjalista posiadający wiedzę na temat faz rozwoju człowieka.
W zależności od zlecenia szukamy też śladów świadczących o nielegalnym ściąganiu utworów lub programów, sprawdzamy, czy na komputerze mógł być sfałszowany jakiś dokument, czy dokonano włamania i spod jakiego numeru IP przyszedł atak.
PAP: Jesteście w stanie namierzyć hakera?
R.R.: To zależy, jakie ktoś ślady zostawia. Są specjaliści, którzy nie pozostawiają śladów. W pewnych sytuacjach jesteśmy w stanie stwierdzić, że z jakiegoś adresu przychodził atak. Nie mamy uprawnień, żeby śledzić tzw. sieci rzeczywiste, musimy mieć dowód na miejscu i analizować go krok po kroku. Są oczywiście tacy specjaliści, którzy mogą to zrobić, ale to już jest inny poziom uprawnień.
PAP: Łatwo się dostać do czyjegoś komputera?
R.R.: To zależy, jak komputer jest zabezpieczony. Czasami nie jest zabezpieczony, a czasami jest. Jeżeli nie jest to mocne hasło, możemy je złamać. Wykorzystujemy do tego odpowiedni sprzęt, ale jest to też kwestia szczęścia. Jeżeli użytkownik zastosował standardowy wzór hasła, używając istotnej dla niego nazwy i cyfr, to mamy większe pole do manewru. Jeżeli hasło jest bardzo mocne, to musimy najpierw poszukać na dysku, czym się właściciel interesował, stworzyć jakby taki słownik, bo z reguły hasło obraca się wokół zainteresowań danej osoby, i próbować złamać to hasło. A jeśli ktoś zastosował różne znaki z klawiatury i wiele znaków, to wtedy jest problem i łamanie hasła może potrwać kilka lat. Ale zdarza się tak, że nawet świadomy użytkownik popada w rutynę i to też możemy wykorzystać.
PAP: Z jakiego rodzaju przestępczością elektroniczną macie państwo do czynienia?
R.R.: Można powiedzieć, że to jest dość szeroki zakres, od pornografii dziecięcej, stalkingu, czyli nękania, i cyberprzemocy aż po piractwo, hakerstwo – czyli włamania. Jest też skimming, czyli kradzież danych z kart bankomatowych i pieniędzy, oraz phishing czyli przekierowywanie na fałszywą stronę. W dzisiejszych czasach wirusy i szkodliwe programy mają raczej nie tyle szkodzić komputerowi, co wykorzystać go, zwłaszcza jak jest podłączony do sieci. Każdy pozyskany do wysyłania spamu lub zablokowania jakiejś strony komputer ma podobno swoją cenę na rynku cyberprzestępczym.
PAP: Nowe trendy, nowy sprzęt, nowe przestępstwa - musicie za tym nadążać?
R.R.: Tak. Można powiedzieć, że co pół roku jest taki cykl, że coś się pojawia nowego, jakiś nowy sprzęt, nowe trendy nawet. Cały czas musimy być na bieżąco - i jesteśmy poprzez nasze kontakty w ramach grup roboczych Europejskiej Sieci Instytutów Nauk Sądowych (ENFSI) i poprzez internet. Tylko trzeba umieć wyłuskać potrzebne informacje.
Trzeba też patrzeć, w którym kierunku idą trendy. Jeśli wybierzemy złą strategię, to będziemy opóźnieni. To też planowanie strategiczne - bo musimy wiedzieć jakie są trendy, czyli np. wykorzystanie tabletu, smartfona, czyli innych nośników niż komputer, mobilnych.
PAP: Są jakieś przestępstwa na Zachodzie, które do nas jeszcze nie dotarły?
R.R.: To jest kwestia specyfiki społeczeństwa, np. na Zachodzie więcej jest wirusów czy programów szkodliwych na smartfony, dlatego że tam są trochę inaczej wykorzystywane. U nas mniej się jeszcze płaci tymi urządzeniami, tam więcej i tam cyberprzestępcy pracują w tym celu, żeby za pomocą mobilnych urządzeń wymusić czy też przejąć pewne kwoty.
PAP: Żeby to badać, trzeba dysponować odpowiednim sprzętem?
R.R.: Mamy klasyczne komputery, ale można powiedzieć, że szyte dla nas na miarę, bo my wybieramy, co nas interesuje. Mamy specjalistyczne programy, dodatkowo mamy też system zakupiony do analizy telefonów komórkowych, smartfonów, tabletów. Ma on bardzo dużo możliwości, możemy bardzo szybko przeanalizować zawartość, czasami umożliwia nam obejście pewnych zabezpieczeń w telefonie, których bez odpowiedniego sprzętu nie moglibyśmy pokonać. A dojście do tego etapu poznawczego zajmuje czas, a my go nie mamy.
PAP: Macie też te najnowsze smartfony, tablety?
R.R.: Nie, smartfonów nie mamy, posiłkujemy się właśnie tym systemem, który jest aktualizowany, jeżeli pojawia się coś nowego na rynku, i w tym sensie poszerzamy swoją wiedzę. Sam prywatnie też muszę się interesować tymi nowinami, bo nie mogę wziąć do badania dowodu, którego nie znam i którym nie umiem się posługiwać. Nie da się ukryć, że praca badawcza na takim nowoczesnym urządzeniu wiąże się z ryzykiem, że się takie urządzenie uszkodzi, bo nie wszystkie są tak samo skonstruowane. Dlatego musimy obchodzić się z nim najostrożniej, żeby nie zepsuć dowodu rzeczowego. W większości przypadków wykonujemy kopię cyfrową i na niej pracujemy. Rzadko się zdarza, żebyśmy modyfikowali dowód, chyba że jest to konieczne i mamy zgodę zleceniodawcy. Takich kopii możemy zrobić kilka i eksperymentować, czasami okazuje się to przydatne.
PAP: Jakie wykształcenie trzeba mieć, żeby być biegłym z zakresu dowodów cyfrowych?
R.R.: Dobrze jest mieć wykształcenie informatyczne, ale przede wszystkim konieczna jest praktyka, bo studia, które by uczyły informatyki śledczej, są nieliczne (najczęściej na uczelniach prywatnych) i nie wiem, jaka jest ich przydatność do przyszłej pracy biegłego. Praktyka, kolejne sprawy i otwarty umysł - te wszystkie dziedziny się zazębiają i są potrzebne biegłemu.