„Analiza powłamaniowa systemów informatycznych” – relacja z konferencji
W ostatni piątek – 18 lipca – odbyła się w Warszawie konferencja „Analiza powłamaniowa systemów informatycznych – aspekty prawno-organizacyjne”. Jej organizatorem była firma Software Konferencje. W zamierzeniu impreza miała na celu „kompleksowe przedstawienie kluczowych zagadnień związanych ze zbieraniem i zabezpieczaniem materiałów dowodowych w przestępstwach komputerowych.” Temat ciekawy i w Polsce, można rzec, dopiero raczkujący.
Konferencja składała się z czterech prelekcji i jednej prezentacji firmowej. Trzy z nich prowadzone przez biegłych sądowych, Andrzeja Niemca i Arkadiusza Wyrostka, obejmowały techniczną stronę zabezpieczania dowodów w przestępstwa komputerowych, a Arkadiusz Lech z Katedry Postępowania Karnego Uniwersytetu Mikołaja Kopernika omawiał dowody cyfrowe od strony regulacji prawnych. Prezentację firmową dała firma SAS Polska.
Część techniczna obfitowała w pikantne szczegóły głośnych spraw przestępstw komputerowych, jednak jeżeli ktoś liczył na uzyskanie gotowych procedur postępowania przy zabezpieczaniu dowodów, to mógł się zawieść. Andrzej Niemiec przedstawił jedynie bardzo ogólne zasady zbierania dowodów, wraz z odnośnikami do RFC 3227.
Kolejny mówca, Arkadiusz Wyrostek, starał się przedstawić, jaki sprzęt może być przydatny przy zbieraniu dowodów. Wygląda na to, że optymalnym rozwiązaniem jest połączenie gadgetów James’a Bonda z marzeniami miłośnika gier komputerowych (optymalna konfiguracja to P4 3GHz, 4GB RAM HDD 250GB, DVD+/-RW, laptop w technologii Centrino, kamera cyfrowa, dyktafon z czułym mikrofonem kierunkowym, itp.) Niestety wykład został zdominowany przez kwestie taksonomii i etyki biegłych sądowych. W rezultacie słuchacze nie dowiedzieli się, jak najlepiej zabezpieczać dowody w czasie incydentu naruszenia bezpieczeństwa komputerowego tak, aby były one przydatne w sądzie.
W drugiej części konferencji Arkadiusz Lach zaprezentował „prawnicze” podejście do dowodów komputerowych. Była to, moim zdaniem, najciekawsza część całej imprezy. Wskazał on m. in. że dowód taki ma charakter jedynie poszlakowy, a także nie wskazuje zazwyczaj na konkretną osobę. Ma to potem konsekwencje w procesie sądowym. Omówił także problemy uzyskiwania i przedstawiania dowodów cyfrowych na sali sądowej. Dyskusję wzbudziły kwestie kontrolowania komputerów i korespondencji pracowników przez pracodawców.
W ostatnim wykładzie Andrzej Niemiec pokazywał problemy techniczne przy uzyskiwaniu dowodów. Opisał problemy z zabezpieczaniem dużej ilości danych przy dużych systemach, a także kłopoty z fizycznym umiejscowieniem danych w firmach o strukturze międzynarodowej. Wniosek nie był optymistyczny – najbardziej przy zabezpieczaniu dowodów może ucierpieć mała lub średnia polska firma – tu zazwyczaj zabezpiecza się cały komputer. W przypadku dużych firm może nawet nie być możliwe ustalenie, gdzie dane się znajdują.
Niestety żaden z mówców nie zmieścił się w zakładanym czasie. Przez to bardzo ucierpiała cała konferencja – pytania i komentarze padały jedynie w kuluarach. Zabrakło konkretów, jak z zabezpieczaniem dowodów na potrzeby późniejszego procesu radzić sobie we własnej firmie. Mówcy poprzestali na ogólnikach, wskazaniu kierunku, w którym słuchacz może dalej szukać rozwiązań dla siebie. To trochę za mało jak na tak szumne zapowiedzi. Pozostało wrażenie, że przy obecnym podejściu sądów i organów ścigania zabezpieczanie dowodów cyfrowych w przypadku firm jest bardziej kosztowną ekstrawagancją, niż koniecznością.
Z pozytywnych rzeczy, uczestnicy otrzymali czasopismo Haking (za wypełnioną ankietę można było otrzymać nawet numer Software Extra także poświęcony hakingowi)…