Monitoring wizyjny stał się integralnym elementem współczesnego krajobrazu miejskiego. Kamery CCTV, niegdyś rzadko spotykane i kojarzone głównie z obiektami o podwyższonym poziomie bezpieczeństwa, obecnie są wszechobecne w przestrzeni publicznej. Można je znaleźć niemal na każdym kroku – w centrach handlowych, na ulicach, w komunikacji miejskiej, a nawet w szkołach i osiedlach mieszkaniowych. Ich powszechność wynika z rosnącej potrzeby zapewnienia bezpieczeństwa i nadzoru, potrzeby poczucia bezpieczeństwa czy też coraz bardziej przystępnych cen pozwalających na montaż kamer w prywatnych posesjach.
W dochodzeniach śledczych niejednokrotnie występuje konieczność zabezpieczenia materiału dowodowego z systemu monitoringu. Jest to możliwe z poziomu użytkownika rejestratora, który loguje się do urządzenia i zgrywa z niego materiał wideo ze wskazanego czasookresu.
Co jednak, gdy ktoś nie chciał ujawnić hasła dostępowego i do analizy trafia taki rejestrator?
W takiej sytuacji pomóc mogą profesjonalne programy, które ze względu na swoją wysoką cenę dostępne są zazwyczaj w wyspecjalizowanych instytucjach zajmujących się odzyskiwaniem danych z takich urządzeń. Sprawa wydaje się więc prosta, jednak rzeczywistość stawia niejednokrotnie większe wyzwania, którym musimy sprostać.
Do Laboratorium Biura Ekspertyz Sądowych niejednokrotnie trafiały sprawy z monitoringu, w których ktoś już próbował bezskutecznie odzyskać dane z rejestratora. Jedna z takich spraw dotyczyła sytuacji, w której użytkownik systemu monitoringu chciał ukryć zdarzenie, które zostało zarejestrowane przy pomocy jego kamer. Miał świadomość, że usunięcie nagrań z rejestratora z określonego czasu może wzbudzić podejrzenia, że usunął je specjalnie chcąc utrudnić dochodzenie. Wpadł więc na pomysł, że sformatuje dysk w rejestratorze, dzięki czemu urządzenie będzie zapisywało wydarzenia wyłącznie od momentu sformatowania a brak zapisanych zdarzeń poprzedzających datę formatowania wyjaśni tym, że urządzenie wtedy nie pracowało. Rejestrator ten najpierw trafił do jednej ze specjalistycznych instytucji zajmujących się odzyskiwaniem danych. Użyli oni profesjonalnego oprogramowania, które jednak nie było w stanie odzyskać pełnych danych. Udało im się jedynie ustalić, że rejestrator w dniu zdarzenia pracował, ale zdarzenia z czasu, w którym miało miejsce zdarzenie jest nie do odzyskania. W celu weryfikacji rejestrator trafił do Biura Ekspertyz Sądowych aby wydać opinię weryfikującą czy są inne metody pozwalające na odzyskanie tych danych i czy jest możliwe ich odzyskanie.
W tym celu wykorzystaliśmy inne z profesjonalnych narzędzi do odzyskiwania danych z dysków rejestratorów. Otrzymaliśmy jednak bardzo podobne rezultaty co uprzednia instytucja. Narzędzie nie było w stanie odzyskać z dysku rejestratora danych z przedziału czasowego, kiedy doszło do zdarzenia. Weryfikacja przy użyciu dwóch specjalistycznych narzędzi może być wystarczającym dowodem w sprawie, że nie jest możliwe odzyskanie danych ze wskazanego nośnika. Jednak w naszym Laboratorium poszliśmy o krok dalej.
Analiza nośnika wykazywała system plików HIK, a więc typowy dla rejestratorów marki Hikvision.
Cała przestrzeń dysku posiadała strukturę wskazującą na wysoki stopień entropii, typową dla dysków z rejestratorów CCTV, niepozwalającą na widoczne wydzielenie nagłówków plików bądź innych znaczników mogących być pomocnymi przy analizie zawartości nośnika.
W tym miejscu do pracy wykorzystywana jest innowacyjna metoda, dzięki której potrafimy zrobić więcej niż specjalistyczne narzędzia do odzyskiwania danych. Nie możemy zdradzić szczegółów wykonywanych operacji, ale w efekcie, w omawianej sprawie udało nam się nie tylko wykazać, że rejestrator pracował przez cały dzień nagrywając na wszystkich podłączonych kamerach, ale co najważniejsze, odzyskaliśmy dobrej jakości nagranie, na którym widoczne było zarejestrowane zdarzenie. Dokonaliśmy więc więcej, niż specjalistyczne, drogie narzędzia do odzyskiwania danych z rejestratorów.