Kolejny przykład partactwa? Jak pozyskuje się dowody z dysków.

Po sieci krąży dowcip:

– Dlaczego w ABW zamówili frytki z Burger Kinga?

– Bo z Maca nie dali rady.

Oczywiście chodzi o słynną porażkę ABW w starciu z MacBookami Wprostu po aferze taśmowej. Sylwester Latkowski wyśmiewał ABW rozgłaszając wszem i wobec  informację, że panowie nie potrafili zgrać danych z MacBooka. Sprawę podsumował ładnie PCLab, więc jeśli ktoś jej nie zna, to polecam artykuł. Na GeekLaw spojrzymy na sprawę od trochę innej strony – od strony czynności operacyjno-rozpoznawczych i sposobu pozyskiwanie dowodów przez policję. Wpis ten powstał dzięki dużęj dawce technicznych informacji, które dostałem od BAD[SECTOR].PL, za co bardzo dziękuję. B[S].PL ma swoje informacje od biegłego, który się zajmuje właśnie zgrywaniem danych – to bardzo ciekawy wgląd w operacyjne know-how.

Wiarygodność dowodu z danych zapisanych na dysku

Kiedy na dysku komputera znajdują się dowody, w pewnych ważnych sytuacjach niewystarczające jest po prostu zgranie ich na pendrive’a, jak wyobraża sobie znaczna część internautów.  Samo podłączenie się do dysku-dowodu z możliwością zapisu dało by nieograniczone, trudno do przewidzenia możliwości modyfikowania materiału dowodowego zarówno przed zgraniem jak i po jego uzyskaniu. W procesie karnym, gdzie wszelkie wątpliwości rozstrzygane są na korzyść oskarżonego musiano stworzyć lepszą procedurę. Samo nasuwa się, że potrzebne jest rozwiązanie, które w jakiś sposób klonuje zawartość dysku i jest w 100% wiarygodne. W odpowiedzi na te potrzeby wynaleziono (i opatentowano) urządzenia nazywane forensic disk controller, w polskim żargonie nazywane po prostu blockerami. Co robi taki blocker? Podłącza się go pomiędzy inkryminowanym twardym dyskiem a kontrolerem, a on wykorzystując wyłącznie tryb read-only bezpiecznie kopiuje jego zawartość. Urządzenie nie ma możliwości zapisu oraz przechwytuje wszelkie pochodzące z systemu operacyjnego komendy zapisu.

Podłączanie blockerów do komputera Mac

W TV widać było, że funkcjonariusze ABW wnoszą walizki z blockerami – plus dla nich za profesjonalizm. Niestety ABW nie przewidziało, że w redakcji Wprost znajdą komputery Mac. To jest błąd, bo powinni wiedzieć, że komputery te są bardzo popularne wśród osób zajmujących się grafiką oraz składem tekstu. Z tych względów należało założyć, że w redakcji tygodnika jakieś MacBooki się znajdą.

Nie jestem specjalistą od Maków, ale wiadomo, że mają one różne cudaczne, własne rozwiązania. W przypadku MacBooków Air i Pro problemem dla ABW okazały się wg dziennikarzy śrubki pentalobe oraz zintegrowane z płytą główną dyski SSD. Technicy ewidentnie nie wiedzieli jak zabrać się za te zintegrowane dyski a pod presją bali się je po prostu rozbebeszyć, co spokojnie w majestacie prawa mogli zrobić (odpowiadając oczywiście za szkodę). Ktoś, kto nie zna się na MacBookach, nastawionych na kontrolery dysków magnetycznych nie wiedział, jak to zrobić – nie miał śrubokręta pentalobe, kabelka, adaptera, reduktora, czy czego tam trzeba. ABW natomiast miało prawo te dyski zabrać, czego nie zrobiło. Zamiast tego wezwali specjalistę od Maków, który przyjechał i zrobił wszystko lege artis.

Kompromitacja czy nie?

Moim zdaniem błąd ABW polegał na tym, że powinni przewidzieć obecność MacBooka w redakcji i od razu wziąć specjalistę od  produktów Apple’a. Był to błąd, ale chyba nie kompromitacja. Gdyby nie pracowali pod obstrzałem kamer technicy prawdopodobnie nie byliby tak delikatni i coś tam poniszczyli (choćby te słynne klapki na pentalobe’y) albo zwyczajnie zatrzymali i rozpracowali spokojnie w zaciszu gmachu przy Rakowieckiej. Zdecydowali się natomiast grzecznie poczekać na fachowca. Wydaje mi się zatem, że niezależnie od oceny politycznej akcji nie ma tu potrzeby ośmieszania poziomu wiedzy polskich służb.

Inna sprawa, na którą zwrócił uwagę jeden z komentatorów na Niebezpieczniku, która wygląda na bardziej kompromitującą, to poziom IT we Wproście. Jeśli autentycznie utrata laptopa oznacza paraliż redakcji, to redakcja jest w epoce jaskiniowej. Branża IT od lat stara się zrealizować zasadę continuous everything a redakcję topowego tygodnika ma sparaliżować brak konkretnego laptopa? O ile to nie była zagrywka pod publiczkę, to według mnie jest to większą kompromitacją.

foto: Public Domain