Zwykły człowiek dość rzadko bywa w sądzie – nie jest więc świadomy panujących tam praktyk i zwyczajów. Ludzie z branży IT będą narażeni na podwójny szok. Pierwszy – gdy zobaczą wszechobecny papier, kilogramy wydruków, teczek, segregatorów, papierowych zawiadomień i papierowych zwrotek. Drugi – gdy dotrze do nich, jak niskie jest rozumienie wiarygodności cyfrowych dowodów u typowego sędziego.
Jeśli obie strony sporu sądowego zgadzają się co do treści przedstawionych dowodów, wszystko jest OK. Jeśli jednak przedstawiony dowód będzie sfałszowany, przedstawiciele strony pokrzywdzonej będą mieli problem. No bo co zrobić w sytuacji, gdy na wydruku przedstawiony jest SMS, który nigdy nie został wysłany, a sędzia nie wierzy w możliwość manipulacji obrazu przed wydrukiem?
Kolega opowiedział mi kiedyś o sprawie, w której miał na zlecenie sądu ocenić wiarygodność dowodu z korespondencji w komunikatorze Whatsapp. Dowód przedstawiono w postaci setek wydrukowanych zrzutów ekranu, poświadczonych notarialnie za zgodność z oryginałem. Co mógł powiedzieć o ich prawdziwości? Absolutnie nic.
Tymczasem jednak czytelnik, praktykujący adwokat, komentuje: „Wydrukowane zrzuty ekranu to absolutny klasyk. Nikt tego nie kwestionuje – sądy, prokuratury, policja, pełnomocnicy, strony. Jeśli ktoś próbuje to podważać właśnie takim „udowodnijcie mi, że ja to wysłałem” to raczej wszyscy na niego patrzą jak na wariata i przechodzą dalej.”
Stąd pomysł na niniejszy artykuł. Mam nadzieję, że pomogę nie tylko stronom postępowania, w którym ktoś poważył się na fałszerstwo, ale także sądom – by wiedziały, jak działają e-maile, whatsappy, SMS-y, dokumenty Worda i inne źródła dowodów oraz „dowodów”. W tym tekście skupiam się na ścieżce cywilnej, nie karnej.
Dlaczego nie będzie o procesie karnym
Gdy mowa o przestępstwach i dowodach pochodzących z komputera osoby podejrzanej, zachowanie procedur leży po stronie prokuratury i policji. To te organy muszą zadbać, aby zawartość dysków twardych została zabezpieczona za pomocą odpowiedniego sprzętu i oprogramowania, by udokumentować sumy kontrolne obrazów dysku, by w porę ogarnąć problemy związane z szyfrowaniem nośników, by przedstawione sądowi dowody były niepodważalne.
Mój rozmówca dorzuca: „Dowody elektroniczne zdobyte przez policję są umieszczane w aktach (np. nagranie na płycie CD), jeśli się mieszczą. Ale np. nośniki z kopią binarną dysku zabezpieczonego komputera są najczęściej… Nikt nie wie gdzie. Może w magazynie policji, może w prokuraturze, może zostały przekazane do sądu z aktami, a może ktoś 3 lata temu zapomniał je odebrać od biegłego.”
Dziś nie będziemy jednak pomagać oskarżonym w podważaniu spójności łańcucha dowodowego. Spojrzymy na przypadki teoretycznie prostsze.
Dowód z…
… wiadomości SMS lub komunikatora
Operatorzy telefonii komórkowej nie przechowują treści dostarczonych SMS-ów. Wiadomość tekstowa istnieje więc wyłącznie w telefonach nadawcy i odbiorcy. Czy da się zmienić jej treść?
W dawnych czasach wystarczał kabelek łączący Nokię z komputerem, aby za pomocą odpowiedniego oprogramowania można było edytować całą zawartość pamięci telefonu i karty SIM (tak, dawno temu wiadomości tekstowe były zapisywane na karcie SIM, która mieściła ich raptem kilkadziesiąt).
We współczesnych smartfonach operacja taka jest dużo trudniejsza, bo baza danych z SMS-ami jest chroniona przez system operacyjny Android lub iOS, zaś prawa zapisu do niej otrzymuje wyłącznie wbudowane oprogramowanie komunikujące się z siecią komórkową. Nie oznacza to jednak, że edycja treści jest niemożliwa.
Proces zdejmowania fabrycznych zabezpieczeń opisałem w
tym artykule. Na potrzeby niniejszego tekstu sięgnąłem po odbezpieczony telefon, którego nie używałem od ładnych paru lat. Skopiowałem z niego systemową bazę danych z treścią SMS-ów. Wyglądała o tak:
Wyedytowałem jednego SMS-a z Alertu RCB…
… i wrzuciłem zmodyfikowany plik z powrotem do telefonu. Efekt był następujący:
Jeśli teraz fałszerz uda się do notariusza, bez problemu otrzyma wydruki z notarialnym poświadczeniem zmodyfikowanych treści widocznych na ekranie telefonu.
Dokładnie tak samo sprawa będzie się miała z komunikatorami Whatsapp, Telegram czy Signal. Wszystkie przechowują dane w lokalnej (zaszyfrowanej) bazie danych. Ponieważ jednak zdjęcie zabezpieczeń telefonu pozwala na uruchamianie własnego kodu z uprawnieniami superużytkownika, intruz jest w stanie przechwycić klucz do odszyfrowania bazy danych i dowolnie modyfikować wiadomości. Przykład obejścia zabezpieczeń komunikatora Signal opisałem w tym tekście.
… dokumentu pakietu Microsoft Office
Wiele osób ulega błędnemu przekonaniu, że metadane dokumentów Worda (DOCX) i Excela (XLSX) zawierają informacje zgodne ze stanem faktycznym. Nic bardziej odległego od prawdy.
Zacznijmy od tego, że format dokumentów Office (tzw. Office Open XML file formats) jest znany i opisany w dostępnym publicznie dokumencie ECMA-376. Już na szesnastej stronie pierwszego tomu (mającego 5039 stron, nie ma tu literówki) czytamy, że pliki Worda i Excela to tak naprawdę archiwa typu ZIP, które zawierają zbiory XML o określonej strukturze.
Uzbrojeni w tę wiedzę możemy utworzyć pusty dokument Worda, zmienić mu rozszerzenie na ZIP i wypakować zawartość.
Poszukajmy w tych plikach imienia i nazwiska autora. Odnajdujemy je w pliku docProps\core.xml mającym następującą zawartość
Pozwólmy sobie na małą modyfikację wewnątrz pliku ZIP/DOCX…
… i zajrzyjmy do Worda
Nie potrzebujemy dokonywać żadnych szczególnych fikołków przy użyciu edytora Word. Dzięki precyzyjnej specyfikacji formatu danych możliwe jest spreparowanie dowolnego dokumentu, zawierającego dowolne metadane. Dokument Worda może powstać całkowicie poza Wordem! Niemożliwe będzie stwierdzenie, czy utworzone „z palca” metadane mają cokolwiek wspólnego z rzeczywistością.
Co rzekłszy, zaświadczam, że mojego pliku nie edytował Święty Mikołaj. Zrobiłem to ja, przy pomocy edytora Notepad++. Jakie inne metadane mogłem tam wstawić? Lista w poniższej tabeli.
docProps\core.xml… wiadomości e-mail
Tu będzie jeszcze trudniej. Używane po dziś dzień protokoły transportu poczty elektronicznej liczą sobie przeszło 40 lat. Były tworzone w pionierskich czasach internetu – gdy nikt nie widział potrzeby szyfrowania procesu transmisji danych, potwierdzania tożsamości stron komunikacji ani troszczenia się o integralność przesyłanych wiadomości.
Wręcz przeciwnie – ponieważ e-mail miał działać na styku różnych systemów, nierzadko pracujących z odmienną wewnętrzną reprezentacją napisów (np. ASCII / EBCDIC), modyfikacja transmitowanych wiadomości była nieunikniona.
Jeśli dwie strony komunikacji przedstawią sądowi odmienną treść korespondencji e-mailowej, nie da się określić, kto kłamie. Unikalny identyfikator wiadomości (zaznaczony na obrazku powyżej), tworzony przez oprogramowanie nadawcy, nie będzie zawierać sumy kontrolnej ani podpisu cyfrowego. Powód – systemy pośredniczące w doręczeniu mają prawo adaptacji transmitowanej wiadomości zgodnie z potrzebami.
Gdy jedna strona stwierdzi, że jakiegoś e-maila nigdy nie dostała, to… ciężko podważyć taką deklarację. Czasem e-mail faktycznie nie dotrze, kiedy indziej może niezauważony trafić do spamu. Piksel śledzący może być zablokowany, lub wręcz przeciwnie – automatycznie przeskanowany sekundę po doręczeniu. Nie jest łatwo udowodnić komukolwiek, że e-mail został mu wyświetlony i przez niego przeczytany. Póki ów ktoś nie odpisze, ma się rozumieć.
W sytuacji odwrotnej, gdy odbiorca przedstawia wiadomość, której wysłaniu zaprzecza rzekomy nadawca, istnieją pewne możliwości zbadania wiarygodności e-maila. Po stronie odbiorcy e-mail jest opatrzony metadanymi opisującymi m.in. ścieżkę dostarczenia oraz raporty uczestnictwa serwerów pośrednich.
Problem polega na tym, że w spreparowanym mailu nagłówki mogą pochodzić z innej, rzeczywiście otrzymanej wiadomości. Sama analiza wymaga dość niszowej wiedzy i pozwoli wykazać oszustwo głównie wtedy, gdy fałszerz nie jest w ogóle świadom istnienia metadanych w poczcie elektronicznej.
… czegokolwiek innego, co jest na ekranie komputera
Teraz pojadę najszerszym możliwym uogólnieniem – jeśli coś jest widoczne na ekranie komputera ale ma znaleźć się na papierze, to przed wydrukowaniem to coś może zostać zmodyfikowane. Sposobów jest mnóstwo – od edytowania treści strony internetowej przy użyciu narzędzi deweloperskich po trywialną modyfikację zrzutu ekranu w programie graficznym.
Brzmi jak banał, o którym nie trzeba nawet wspominać? Święta naiwności. Jeśli wiesz, co to jest szesnastkowy system liczbowy, to możesz nie być świadom, że…
Typowy sędzia nie jest „osobą techniczną”
Dygresja – pomyśl o człowieku, któremu magnetowid przez dekadę mrugał w salonie symbolami „12:00”. Który potrafi włączyć Netflixa tylko wtedy, kiedy pilot od telewizora ma przycisk „Netflix”. Który czeka na Wielkanoc, bo wtedy siostrzeniec sparuje mu głośnik Bluetooth otrzymany w poprzednie Boże Narodzenie. Zawieśmy na chwilę ten wątek.
Wyobraź sobie, że klient twojej usługi online pozywa cię o odszkodowanie za wyciek danych będący rezultatem nienależytego bezpieczeństwa produktu. Zarzuca, że twój system był podatny na atak typu 0-day, powiedzmy log4shell. Na szczęście masz logi i możesz wykazać ze stuprocentową pewnością, że twój WAF zablokował próby wykorzystania tej podatności.
A teraz pomyśl, że ów człowiek nie potrafiący sparować głośnika z telefonem będzie sądził twoją sprawę i oceniał, czy przedstawione logi są wiarygodne. Musisz mu więc objaśnić od zera:
- jak dwa komputery ze sobą rozmawiają
- co to są sockety i TCP/IP
- dlaczego exploity w ogóle działają
- co to jest Web Application Firewall
- jak działa log4j
- co to jest Java
- co to jest logowanie
- jak działa log4shell i dlaczego u ciebie nie zadziałał
- i tak dalej, i tak dalej.
Początkowy poziom wiedzy: „internet to ikonka na pulpicie”. Masz półtorej godziny. Czas start.
Biegli sądowi
Oczywiście próba objaśnienia sędziemu niszowych zagadnień ze skrajnie specjalistycznej branży cyberbezpieczeństwa jest skazana na niepowodzenie. Gdyby sędzia chciał zajmować się komputerami i nowoczesnymi technologiami, nie zostałby sędzią. W twojej sprawie zostanie powołany biegły sądowy z zakresu informatyki (w taksonomii wrocławskiego Sądu Okręgowego do wyboru jest jeszcze bezpieczeństwo informacji i cyberprzestępczość).
Mniejsza o to, że twoja sprawa właśnie wydłużyła się o rok. Masz teraz dwa inne problemy – po pierwsze poza twoją kontrolą pozostaje, który biegły z danego okręgu otrzyma zlecenie. Nie wiesz i raczej nie dowiesz się zawczasu, czy ma wystarczające kwalifikacje w wybranym zakresie. Nie oszukujmy się, wrzucanie wszystkich zagadnień „komputerowych” do jednego worka o nazwie „informatyka” jest problemem. Po drugie – biegły będzie pracował z dokumentami, prawie nigdy nie skontaktuje się, by o coś dopytać.
Nie jest tajemnicą, że stawki biegłych są niskie. Nawet dla tych z tytułem profesorskim nie przekraczają 100 zł/h (dla osób bez żadnego tytułu – poniżej 50 zł/h). Można więc powziąć słuszną wątpliwość – dlaczego biegły znający się na zabezpieczeniach systemów komputerowych nie chce pracować w IT i zarabiać 200 zł/h lub więcej? Czy… aby na pewno ma potrzebne kwalifikacje i umiejętności?
Co stanie się, jeśli biegły wyda opinię błędną merytorycznie, np. w oparciu o niewłaściwą metodologię? Możesz próbować ją podważyć. Czy to się uda? Ile potrwa? Ile będzie kosztowało?
Gdzie tu sprawiedliwość?
W naszkicowanym powyżej scenariuszu możesz mieć 100% racji i przegrać spór sądowy, bo biegły się pomylił a sędzia ci nie uwierzył. Wcześniej będziesz zgrzytać zębami, gdy dowiesz się, że kilka megabajtów logów masz dostarczyć w formie wydruku (oczywiście w dwóch kopiach). Albo, że logi stanowią dowód niekonkluzywny i dostarczone wydruki możesz wyrzucić. Albo, że… twoje dowody miały postać elektroniczną, ale sędzia czytał wyłącznie akta papierowe. Serio!
Dodajmy teraz do powyższego sfałszowany dowód: wiadomość SMS w której przepraszasz za wyciek danych. Albo dokument Worda, w którym proponujesz ugodę. Albo e-mail z informacją, że podatność log4shell istniała, ale została w twoim systemie załatana. Widać jasno, że trudność potęguje się – musisz dodatkowo wykazać fałszerstwo. Czy zdołasz?
Nie jest dobrze a będzie gorzej
W niniejszym tekście przedstawiłem problemy wynikające z fałszerstw naprawdę łatwych, możliwych do zrealizowania w dowolnym programie graficznym. Mimo tego modyfikacje takie będą nie do wykrycia nie tylko po wydrukowaniu, ale i podczas wnikliwej analizy plików źródłowych. A wielu sędziów i tak po raz pierwszy na sali sądowej dowiaduje się, co to jest bitmapa i dlaczego przyjmie ona jeszcze więcej, niż papier.
Owszem, informatyka śledcza zna sposoby wykrywania niektórych fałszerstw obrazów, ale odpowiednia staranność w połączeniu z dostateczną wiedzą mogą uczynić zmodyfikowany zrzut ekranu nieodróżnialnym od prawdziwego.
Stephen Hawking backflip @XGames pic.twitter.com/yiM2purIPo
— Elon Mot (@ELONxMOT) October 5, 2025
Prawdziwe zagrożenie ujawnia się jednak dopiero teraz. Widzieliście może wideo, na którym śp. profesor Hawking robi wózkiem nieudany backflip na dużej rampie?
Has Sora taken AI too far already? pic.twitter.com/kpH2ZW9OmD
— HustleBitch (@HustleBitch_) October 20, 2025
A to, na którym Jezus wygrywa zawody pływackie biegnąc po wodzie? To efekt działania współczesnych algorytmów sztucznej inteligencji. Dziś być może wychwycimy jeszcze wizualne artefakty dowodzące tego, że klip został wygenerowany. Za rok lub dwa będzie to niemożliwe.
Wówczas każdy dowód w postaci nagrania wideo będzie można podważyć – jeśli widać na nim sprawcę zdarzenia, to druga strona przedstawi ten sam film z Bruce’m Lee, Stephenem Hawkingiem albo dowolnie wybranym papieżem. Co wtedy?
Nie mam pojęcia. Ale wiedza o tym, że staje się to możliwe, musi trafić do sądów na czas.
O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.
3 odpowiedzi na “Kruchość dowodów cyfrowych w postępowaniu sądowym”
W przypadku poczty, gdy ktoś nam zarzuca że maila nie wysłaliśmy, to jeszcze możemy przedstawić loga wysyłki z serwera gdzie znajdziemy „status=sent i jakiś ID od serwera adresata a następnie to skorelować z tym co widzi serwer adresata. Ale to nie zmienia faktu, że treść maila też można zmienić o ile nie szyfrowany.
Ale fakt, ciekawy i przerażający artykuł
Widziałem w życiu wysokie kilkadziesiąt/niska kilkaset spraw cywilnych, w których jako dowody przedstawiano wydruki e-maili, SMS-ów, zrzuty ekranu etc.
Prawdziwość tych dowodów druga strona podważała… zero razy. Świadomość możliwości preparowania dowodów jest niska – i niech tak zostanie.
Odnośnie modyfikacji sms’ów, to można to robić w miarę prosty sposób na każdym androidzie. Trzeba użyć apki „SMS Backup & Restore” żeby zrobić backup do xml’a całej historii połączeń i sms’ów, przerzucić xml’e na kompa i edytować do woli. Potem skasować wszystkie sms’y z telefonu, przerzucić xml’e na telefon i zaimportować tym samym programem.