Percheziţia informatică – aspecte tehnice, de drept material şi drept procesual penal (I)

NOTĂ: idei din acest material au fost dezvoltate pe larg în materialul semnat G. Zlati, Percheziţia sistemelor informatice şi a mijloacelor de stocare a datelor informatice (I), Caiete de drept penal, 3/2014.

            Având în vedere lipsa unor demersuri doctrinare relevante care să vizeze instituţia percheziţiei informatice (art. 168 Cod pr. pen.), considerăm oportun a analiza în lucrarea de faţă anumite aspecte  particulare ce dobândesc o reală valenţă practică. Aşa cum vom încerca să argumentăm infra, percheziţia informatică nu prezintă dificultăţi doar sub aspect tehnic, aceasta putând ridica o serie de discuţii inclusiv pe plan procesual penal ori din perspectiva incidenţei dreptului material – în acest ultim caz, ne vom referi la relaţia dintre percheziţia informatică şi unele infracţiuni informatice (acces neautorizat ori transfer neautorizat de date).

            Apreciem că percheziţia informatică privită în ansamblul ei poate fi caracterizată de cele mai multe ori drept un proces anevoios, unde insuficienţa unor cunoştinţe tehnice adecvate ridică o serie de probleme. Ne permitem chiar să afirmăm faptul că deşi specialiştii îndeplinesc în principiu condiţia pregătirii tehnice necesare efectuării unei asemenea proceduri, conţinutul mandatelor de percheziţie informatică ori a ordonanţei procurorului de caz prin care aceştia sunt delegaţi să efectueze percheziţia informatică îi pune uneori pe aceştia într-o postură ingrată în care trebuie să decidă în ce măsură activitatea ce urmează a fi efectuată este ori nu conformă cu legea.

            Faptul că apărătorii aleşi în cauzele penale rămân deseori pasivi la această procedură, face să nu existe o dezbatere juridică reală cu privire la anumite chestiuni problematice, aspect ce se transpune într-o practică generalizată la nivelul organelor de urmărire penală de a tratata percheziţia informatică drept o procedură unde aproape orice este permis.

            I. Câteva aspecte aspecte introductive şi tehnice

            1. Procedura de percheziţionare în mediul informatic – aspecte elementare

            a) obţinerea entităţilor ce urmează a fi percheziţionate

            În majoritatea cazurilor percheziţia informatică este precedată de o percheziţie domiciliară (reglementată de art. 157 şi urm. Cod pr. pen.) în urma căreia sunt ridicate inclusiv entităţile ce urmează a fi percheziţionate (sisteme informatice ori mijloace de stocare a datelor informatice). Fără a realiza o analiză exhaustivă în legătură cu această activitate de urmărire penală, considerăm necesar a evidenţia unele aspecte pe care le considerăm relevante raportat la obţinerea ulterioară a mandatului de percheziţie informatică şi la punerea acestuia în executare prin realizarea efectivă a percheziţiei informatice asupra entităţilor materiale identificate şi ridicate.

            O primă chestiune ar fi aceea că fiecare entitate ce urmează a fi ulterior percheziţionată prin mijloace tehnice necesită a fi atent şi corect individualizată. Astfel, în procesul-verbal prin care se consemnează activităţile desfăşurate în cadrul percheziţiei domiciliare (art. 161 Cod pr. pen.) necesită menţionat obligatoriu seria entităţii ridicate. Doar în măsura în care o astfel de serie nu este vizibilă se poate proceda la identificarea dispozitivului prin raportare la alte criterii: model, culoare, etc.

            Astfel, în măsura în care discutăm despre un mijloc de stocare precum un harddisk ori un memory stick, necesită menţionat în procesul-verbal seria acestuia. În măsura în care discutăm despre un sistem informatic (laptop, tabletă, etc.), apreciem că este suficientă identificarea seriei sistemului informatic (în cazul unui laptop, aceasta fiind vizibilă pe partea din spate). Facem această precizare deoarece din punct de vedere tehnic, percheziţia informatică nu este realizată asupra sistemului informatic în ansamblul său ci doar asupra entităţilor susceptibile să conţină date informatice. Astfel, un mijloc de stocare precum un harddisk, care se află în carcasa sistemului informatic (de exemplu, un laptop) are o serie proprie ce se diferenţiază de seria sistemului informatic. Cu toate acestea, este suficientă identificarea seriei sistemului informatic în mandatul de percheziţie informatică pentru a se putea percheziţiona harddisk-ul conţinut de acesta.

            Situaţia diferă în măsura în care sistemul informatic are un CD-ROM / DVD-ROM ori un memory card slot (pentru citirea cardurilor de memorie tip SD, microSD, etc.) ce conţin la rândul lor mijloace de stocare (CD-uri, DVD-uri, carduri de memorie, etc.), acestea nu vor putea fi percheziţionate utilizând seria de identificare a sistemului informatic. Aceasta întrucât, deşi între harddisk şi sistemul informatic se poate aprecia că există o legătură intrinsescă, aceste din urmă mijloace de stocare a datelor informatice sunt externe sistemului informatic. Astfel, pentru a putea fi percheziţionate este necesară identificarea fiecărui mijloc de stocare extern în parte. Această din urmă concluzie se menţine şi în ceea ce priveşte un harddisk extern ce se conectează la sistemul informatic prin intermediul unui cablu USB sau wireless ori a unui flash memory stick.

            Sistemele informatice şi mijloacele de stocare identificate şi ambalate necesită sigilate corespunzător pentru a se evita orice discuţii referitoare la o eventuală ingerinţă externă ulterioară asupra acestora. Este eronat a se susţine faptul că un viciu referitor la sigilarea entităţiilor ridicate nu prezintă relevanţă din simplul motiv că interacţiunea ulterioară cu sistemul informatic ori mijlocul de stocare lasă urme digitale ce pot fi la rândul lor identificate în cursul percheziţiei informatice efective ori în contextul efectuării unei expertize în legătură cu acestea. Un asemenea argument este nefondat în contextul în care interacţiunea cu sistemele informatice ori mijloacele de stocare nu se realizează în orice condiţii, ci sunt utilizate dispozitive software ori hardware care să nu permită modificări ori ştergeri asupra datelor informatice stocate. Astfel, în măsura în care o terţă persoană accesează fără drept sistemul informatic prin pornirea / iniţierea acestuia, această activitate va putea fi dovedită ulterior deoarece ultima accesare a sistemului informatic reprezintă o variabilă timestamp care poate fi obţinută prin intermediul unor programe informatice specifice (de exemplu, EnCase Forensic) în momentul analizării fişierelor de sistem de stochează această informaţie.

            Ipoteza problematică nu este însă aceasta, ci aceea în care sistemul informatic este dezasamblat iar din acesta se scoate harddisk-ul care ulterior este montat la un dispozitiv tip write blocker[1], moment din care accesarea şi copierea datelor se va putea realiza în condiţii de siguranţă. Prin condiţii de siguranţă ne referim la faptul că nu se va putea identifica momentul în care datele informatice au fost accesate ori copiate în altă sursă. Este adevărat faptul că utilizarea acestui dispozitiv nu va permite ştergerea, modificarea ori copierea unor date pe mijlocul de stocare respectiv, dar acest aspect nu prezintă relevanţă atâta timp cât terţa persoană are posibilitatea de a accesa datele informatice stocate şi de a le copia într-o altă locaţie. Discutăm aşadar despre realizarea unei percheziţii informatice în lipsa unui mandat de percheziţie informatică. S-ar putea realiza inclusiv o clonă / imagine a mijlocului respectiv de stocare fără a se afecta în vreun fel integritatea datelor informatice din sursa originară.

            Acest aspect este cât se poate de problematic din perspectiva drepturilor suspectului ori ale  inculpatului deoarece chiar dacă eventualele probe obţinute în afara unui mandat de percheziţie informatică urmează să fie excluse în baza art. 102 alin. (2) Cod pr. pen., oferă posibilitatea de a obţine în mod nelegal date şi informaţii ce nu ar fi fost altfel obţinute. Or, acest aspect poate aduce atingere inclusiv dreptului la o viaţă privată garantat de art. 8 din Convenţia Europeană a Drepturilor Omului.

            În unele cazuri este contraindicat să se ridice sistemul informatic în urma percheziţiei domiciliare deoarece aceasta implică per se oprirea sistemului. Or, procedându-se în acest fel se creează posibilitatea pierderii unor date informatice relevante cauzei ori de a face conţinutul total inaccesibil la un moment ulterior. Astfel, unele date informatice sunt volatile, fapt ce atrage „pierderea” acestora după oprirea sistemului. Exemple relevante de date volatile sunt următoarele: conexiunile de reţea (network connections)[2], starea reţelei (network status)[3], conţinutul din clipboard (ca urmare a comenzii ctrl + x sau ctrl + c), sesiunea de logare (ce conţine date despre utilizatorul logat în sistem), serviciile şi procesele care rulează la momentul respectiv, porturile deschise, dispozitivele conectate la sistemul informatic (inclusiv cele conectate de la distanţă), conţinutul memoriei RAM (random access memory), fişierele deschise, etc.

            De asemenea, în măsura în care sistemul informatic a fost criptat, oprirea acestuia va iniţia funcţia de criptate ce va genera un conţinut inaccesibil.[4] Soluţia tehnică pentru evitarea acestei probleme este realizarea unei percheziţii informatice „în timp real” şi de la distanţă (remote forensic), adică în timp ce sistemul informatic este încă în funcţiune. Aceasta se poate realiza de exemplu utilizând programul informatic EnCase Enterprise, ce se distinge de versiunea stand-alone EnCase Forensic. Clonarea harddisk-ului conţinut de sistemul informatic aflat în funcţiune este însă problematică, deoarece o imagine / clonă „statică” cu privire la un mijloc de stocare „activ” este imposibil de realizat.[5] Aceasta întrucât un sistem informatic activ va produce schimbări continue asupra fişierelor, motiv pentru care codul hash generat de clona / imaginea realizată şi cel de comparaţie (generat de mijlocul de stocare originar) nu ar mai putea să coincidă. Cu toate acestea, din perspectiva organelor de urmărire penală, este uneori necesar să se realizeze o clonă de la distanţă (remote imaging) ori să se realizeze percheziţia informatică propriu-zisă – tot de la distanţă – pe sistemul informatic activ. Astfel, pe de o parte nu se vor pierde datele informatice volatile, iar pe de altă parte conţinutul obţinut nu va fi unul criptat – acesta urmând să fie unul plaintext şi nu cyphertext.[6]

            Această activitate nu este însă lipsită de probleme şi dificultăţi tehnico-juridice. În primul rând, ar trebui să existe un mandat de percheziţie informatică care să vizeze exact sistemul informatic ce urmează să fie supus acestei percheziţii „în timp real”. Îl al doilea rând, necesită să se procedeze în aşa fel încât să nu fie modificate date informatice stocate pe sistemul percheziţionat „în timp real”. În acest caz, din moment ce nu se pot utiliza dispozitive hardware de tip write blocker vor trebui să se utilizeze instrumente software. De exemplu, s-ar putea proceda la conectarea în paralel a sistemului percheziţionat cu un sistem informatic de pe care se va realiza percheziţia informatică efectivă. Interacţiunea directă cu sistemul informatic vizat în vederea identificării şi obţinerii datelor informatice volatile este strict interzisă, având în vedere faptul că o asemenea intervenţie produce modificări la nivelul datelor informatice respective.[7]

            O problemă mult mai delicată este aceea că interacţiunea de la distanţă implică necesitatea instalării unui program informatic pe sistemul informatic ce urmează a fi supus percheziţiei. De exemplu, atunci când se utilizează EnCase Enterprise necesită instalat pe sistemul percheziţionat programul informatic servlet. Acesta permite o comunicare criptată între sistemul percheziţionat şi sistemul utilizat la efectuarea percheziţiei şi oferă posibilitatea unei interacţiuni read-only cu mijlocul de stocare cu care se interacţionează. Cu toate acestea, simpla instalare a programului informatic servlet implică o copiere de date informatice pe sistemul informatic percheziţionat, duce la modificarea unor fişiere de sistem şi atrage riscul suprascrierii unor date informatice şterse anterior. Astfel, chiar dacă programul informatic servlet este instalat într-un spaţiu nealocat, aceasta nu înseamnă că în acel spaţiu nealocat nu se regăseşte în fapt un fişier esenţial pentru cauză şi care a fost şters. Or, această instalare va duce la suprascrierea fişierului respectiv, consecinţa fiind aceea că acesta nu va mai putea fi recuperat.[8] Chiar dacă servlet nu este instalat în mod efectiv pe harddisk-ul sistemului informatic percheziţionat, ci este iniţiat de pe un CD ori DVD, acesta poate fi salvat în fişierul swap al sistemului.[9]

            Din toate aceste motive, apreciem că realizarea unei clone „de la distanţă” nu prezintă suficiente garanţii în ceea ce priveşte autenticitatea acesteia.

            b) copierea conţinutului mijlocului de stocare

            Această copiere poate să fie una logică ori fizică. Diferenţa este una extrem de relevantă din perspectiva percheziţiei informatice deoarece doar copierea fizică duce la copierea datelor informatice şterse ori reziduale din spaţiul nealocat (inclusiv slack space[10]). O copiere logică face astfel imposibilă identificarea şi analiza datelor informatice şterse. Mai mult, o copiere logică poate altera variabila timestamp referitoare la momentul la care a fost creat fişierul. Astfel, simpla copiere a unei fişier dintr-un mijloc de stocare într-un alt mijloc de stocare va duce la generarea unui nou fişier ce va avea un timestamp diferit de fişierul sursă. Copierea fizică rezultă practic într-o clonă ori imagine bit-by-bit a mijlocului de stocare originar. Cu alte cuvinte, tot ceea ce se poate găsi pe mijlocul de stocare originar, se va putea găsi şi pe clona / imaginea creată. În cazul acestei copieri nu se vor modifica nici variabilele timestamp. Tocmai de aceea codul hash generat trebuie să fie acelaşi atât pentru mijlocul de stocare originar cât şi pentru clona / imaginea rezultată din acesta. Ar mai fi de menţionat faptul că este posibil ca respectiva clonă să nu aibă aceeaşi dimensiune (mărime) cu mijlocul de stocare originar. Aceasta nu înseamnă însă că nu discutăm despre o clonă / imagine autentică. Explicaţia pentru diferenţa dintre cele două este aceea că în momentul în care se procedează la crearea clonei / imaginii se poate alege opţiunea de comprimare a informaţiei. Aceasta nu afectează însă cu nimic conţinutul datelor informatice ori codul hash ce urmează să fie generat. Necesitatea comprimării este una de ordin logistic – clona este salvată pe mijloace de stocare puse la dispoziţie de organul de urmărire penală iar uneori mijloacele de stocare percheziţionate sunt de foarte mari dimensiuni (de exemplu, terabytes).

            Nu în ultimul rând, este de preferat ca mijlocul de stocare pe care urmează să fie salvată clona să fie „sterilizat” prin procesul intitulat wipe,[11] chiar dacă acesta este proaspăt achiziţionat şi nu a mai fost folosit. În practică, se utilizează mijloace de stocare fără a se utiliza o asemenea procedură de „sterilizare”.

Acest material face parte dintr-o serie de puncte de vedere ce vizează problematica percheziţiei informatice. Materialul de faţă este prima parte din această serie.

Cuvinte cheie: acces neautorizat, avocat specializat criminalitate informatica, avocat specializat infractiuni informatice, clona, date informatice, encase, George Zlati, imagine bit-by-bit, imaginea bitstream, mandat de perchezitie, network connections, network status, perchezitie domiciliara, perchezitie informatica, sistem informatic, timestamp, transfer neautorizat, wipe

Materiale conexe: