Digital Forensic Journal - 2015 - 2

Digital ForensicJournal

Digital Forensic Journal je odborný časopis věnovaný problematice forenzního zkoumánídigitálních dat. Zabývá se nejenom problematikou samotného forenzního zkoumání,

ale i dalších oblastí souvisejících s digitálními informacemi, s jejich bezpečností, ochranou,zjištěním a zkoumáním.

2/2015 31. prosinec 2015

Digital ForensicJournal

Úvodník Obsah

2/2015 31. prosinec 2015

Vážení čtenáři,

předně se omlouváme za zpoždění distribuce to-hoto čísla.

Aktuální číslo se vrací v úvodním článku opětk obecnějšímu pohledu na problematiku znalec-kého zkoumání. Nevíme, co konkrétně se ak-tuálně děje, ale bylo možné zaznamenat několikudálostí, které svědčí o určitých dalších ak-tivitách kolem nového zákona o znalcích. Mezijinými byl poslán k připomínkám nový návrhčlenění znaleckých oborů. K tomu se vyjadřovataktuálně nechceme, protože podle našeho názoruto byl pokus opět hodně "pracovní". Právě úvodníčlánek se zčásti této problematice věnuje, byť tonení přímo reakce na zmíněné události.

Z dalšího obsahu Vás chci upozornit na CaseStudy - popis případu, který skončil díky chybámv práci s digitálními důkazy zrušením rozsukuv plném rozsahu v odvolacím řízení. Doufáme, žebude poučným čtením nejen pro OČTŘ. Když sijej přečte poznáte, že zrušení rozsudku bylopravděpodobně správné nejenom z formálníchdůvodů, respektivě z důvodů chyb vyšetřovatelů,st. zástupce a soudce okresního soudu, byťnikomu nechci podsouvat názor na věc. To aninení účelem článku. Jeho cílem je spíšeupozornění na základní vlastnosti digitálníchdůkazů a na správné postupy jejich použití.

Druhým článkem, který by neměl ujít Vašípozornosti, je návod, jak lze pracovat s obrazemdisku, který je chráněn šifrováním pomocíBitlockeru. Všechny významné forenzní nástrojese sice chlubí, že to umí, ale tento článek uvádínávod, jak to jednoduše udělat pomocí open-source nástrojů pod linuxem. Doufáme, že Vámposlouží jako užitečný návod, protože s použitímBitlockeru se začínáme setkávat stále častějia jak jistě odhadnete, lepší to už nebude.

Příjemné a užitečné čtení i ostatních článkůVámpřeje Marián Svetlík

Zázraky forenzního zkoumání- s podtitulem "... se nekonají"Ing. Marián Svetlík st.......................................................5

Práce s E01 obrazem disku s obsahem šif-rovaným pomocí BitlockeruIng. Jiří Hološka, Ph.D.....................................................13

Fatal Error - Case Study případu, který skončil osvo-bozujícím rozsudkemIng. Marián Svetlík st.....................................................17

Forenzní analýza SQLite databází - Častoopomíjená oblast forenzní analýzyDavid Makeev, Nikita Timofeev, Oleg Afonin,Yuri Gubanov....................................................26

Problém MessageID ve forenzní analýze -Upozornění na možný omyl forenzní analýzy e-mailůIng. Marián Svetlík st.....................................................28

© 2015, Risk Analysis Consultants, s.r.o.Všechna práva vyhrazena.Digital Forensic Journal vychází 2x ročně. Je volně šiřitelný, nesmí však být upravován, měněn nebo jinak editovánpo obsahové nebo grafické stránce. Použití dokumentu musí být v souladu s autorským zákonem. Může být použit„tak jak je“, bez nároku na úhradu možných škod způsobených jeho vlastní aplikací na konkrétní podmínky.

Risk Analysis Consultants, s.r.o.Táborská 5140 00 Praha 4Tel. + 420 222 360 001E-mail [email protected] www.rac.cz/dfjIČ: CZ 63672774

Digital Forensic Journal (Print) ISSN 2336-4750Digital Forensic Journal (On-line) ISSN 2336-4769Ev. č. MK ČR: E 21 763

Ročník 2 / Rok 2015 / Číslo 4 / Vyšlo 31. 12. 2015 v Praze

Zázraky forenzního zkoumánís podtitulem "... se nekonají"

Ing. Marián Svetlík st., vedoucí Znaleckého ústavu RAC, soudní znalec v oboruKriminalistika, specializace Kriminalistická počítačová expertí[email protected]

Anotace:

Na příkladech z prostředí znaleckého zkoumání digitálních dat se budu věnovatobecnější problematice kvality znaleckého zkoumání. Postupně proberu očekávání,která by taková zkoumání měla naplňovat, problémy, se kterými se dnes a denněpotkáváme, rozeberu příčiny, které podle mých zkušeností takové problémy způsobují,včetně dopadů jak na použitelnost takových znaleckých posudků, tak na následnépostavení a hodnocení znalců a v závěru nastíním možné a hypoteticky i rea-lizovatelné způsoby řešení.

Úvod

Nejdříve je nutné si vyjasnit alespoňjeden základní pojem, který jsem použilv anotaci. Je to „znalecké zkoumánídigitálních dat”, jinak také pojem„digitální forenzní analýza”.

Digitální forenzní analýza je exaktníforenzní věda, která zkoumá procesya zákonitosti vzniku, existence a zá-niku digitální informace a interpre-tuje tyto poznatky na objasňovánídějů a procesů s tím souvisejících.

Úmyslně není v definici uvedeno, že sejedná o prostředí počítačů, informačníchtechnologií nebo jinde, protože digitálníinformace je fenomén, který se vyskytujei mimo výše uvedených prostředí (res-pektive museli bychom si nejdříve vy-jasnit, co přesně ve vztahu k digitálníminformacím znamená pojem počítač, aleto už by bylo na jiné a mnohem delšípojednání).

Také není v definici použita klauzuleo účelu takové analýzy, byť se v moha

obdobných definicích apriori uvádí, žeforenzní analýza se používá proposkytnutí důkazů pro soudy. Jednak toje nadbytečné, protože už z názvu jejasné, že forenzní analýzy vzniklyprimárně pro tyto účely, a jednakdigitální forenzní analýza je unikátníprávě tím, že její metody a výsledkynacházejí široké uplatnění i pro dalšíúčely, které nemají žádnou přímousouvislost s řešením trestné činnosti.

Původně nechtěným, ale zjevně logickýmvýstupem výše uvedené definice je natomto místě asi první veřejná deklaracepožadavku, aby se digitální forenzníanalýza oficiálně zařadila jakosamostatný znalecký obor do sez-namu znaleckých oborů, které vedeMinisterstvo spravedlnosti ČR.Neuváděl bych pro tento obor odvětví,ale jen specializace (jako tomu jeaktuálně u oboru „kriminalistika”), stačíse jen podívat do některých prací, kteréuž v poslední době byly i u nás publi-kovány. Např. specializace „analýzastatických dat”, „analýza volatile dat -živých dat paměti počítačů”, „analýza

5/32Digital Forensic Journal 2/2015

síťových dat”, „analýza programovéhokódu”, „analýza databázových systémů”,„analýza mobilních telefonů” a mohlbych pokračovat až do konce tohotočlánku výčtem specifických skupin digi-tálních dat, přičemž každá z nich má sváspecifika a vyžaduje speciální vědomostia zkušenosti.

Očekávání

Asi tím nejdůležitějším očekáváním,které by znalecké zkoumání digitálníchdat mělo naplňovat, je jeho pravdivost.Z filozofického pohledu je sice pojem„pravda” pojmem relativním, ale existujíurčité skutečnosti, které nejsou filo-zofickými kategoriemi a které mají jed-noznačně definované atributy. Napříkladže těleso, které neodráží žádné světlo, ječerné nebo že jeden bajt má 8 bitů.

Digitální forenzní analýza je exaktníforenzní technická věda a tedy můžejednoznačně dokumentovat existencinebo neexistenci určitých informacía parametrů. Je jen potřebné si tutoskutečnost uvědomit a dokumentovánítěchto faktů nekompromisně vyžadovat.Aby nedocházelo k takovým situacím,kdy znalec v oboru kybernetika, odvětvívýpočetní technika porovnával dvadigitální videozáznamy tak, že si jepostupně zobrazoval na monitorupočítače. A aby dodal na přesnosti (atedy hodnověrnosti svých závěrů) tvrdil,že pro porovnání použil monitors vysokým rozlišením (který si jako pří-mý náklad na znalecké zkoumání nechalproplatit).

Pak můžeme očekávat, že digitálníforenzní analýza bude splňovat i dalšíobecné parametry, jakými jsou (siceregulativně nevyžadované a tudíž často

nedodržované) požadavky na legalitu,integritu, objektivitu, opakovatelnost,přezkoumatelnost a pod. Tyto požadavkyjsou sice poměrně často deklaroványv odborných a akademických kruzích,avšak v reálném životě to bývá ažneuvěřitelně často jinak. Ale to je opětproblematika, která je na jiné témaa která si vyžaduje samostatné pojed-nání [1][2].

Asi jako u každého znaleckého oboru,vyskytují se situace, kdy objektivnězjištěné skutečnosti vyžadují určitouodbornou interpretaci, kterou lzepodložit v zásadě pouze odbornouzkušeností a odborným názorem znalce.Zdá se být tedy opodstatněnýmočekáváním, že objektivní nálezy aodborné názory budou jednoznačněidentifikovatelné a tedy bude možnéjejích důkazní sílu hodnotit odděleně,resp. nezávisle (aniž bych přirozeněnaváděl, že odborný názor by měl mítapriori menší důkazní sílu nežobjektivně zjištěná skutečnost). Hodno-cení důkazů mi však, jako znalci, nepří-sluší. Ale to neznamená, že by nemělobýt mou povinností tyto dvě kategorie(objektivní skutečnost a odborný názor)jednoznačně oddělovat [3]. Už jenomproto, že u odborně náročných oblastínemohu toto oddělení dvou kategorií zá-věrů nechat na objednateli posudkunebo na soudci.

Z mnoha dalších bych na tomto místěuvedl ještě jedno očekávání. Je jímnaplnění požadavku na opakovatelnostnebo přezkoumatelnost. Znalecký po-sudek by měl být opakován nebo pře-zkoumán vždy, když vzniká jakákolivpochybnost ohledně použitých metodnebo závěrů. Má to ale jeden podstatnýháček, který je způsoben leností a šetře-


ním na nepravém místě. Téměř vždy propřezkoumání/zopakování zkoumání nel-ze vytvořit stejné výchozí podmínky,protože nikdo se nenamáhal zachovatvstupní data. Obrazy paměťových médiínebyly vytvořeny vůbec nebo nebylyzachovány, nelze tedy vytvořit stejnévýchozí podmínky a tedy ani pře-zkoumat/zopakovat původní posudek.Původní zajištěná data lze přitom velicejednoduše a levně uchovávat alespoň dodoby pravomocného ukončení případu.

Problémy

Postavení znalce je dáno aktuálněplatným zákonem z roku 1967 (tedys platností téměř půl století). Aniž bychvnucoval někomu svůj názor z pohledupraktického výkonu znalecké činnosti zaposledních cca 25 let, já vidím znalcepodle dikce tohoto zákona, jako osobukvalifikovanou ve svém civilním oborua znalectví vykonávající jako koníčka,resp. jako „veřejnou službu” [4].

Přestože je „jmenovací listina znalce”zatížena 1000Kč kolkem jako živnost,k žádné profesionalizaci nedochází,pořád je to „veřejná služba” vykonávanájako služba státu nebo jako koníčekmimo řádného zaměstnání znalce. Abybylo možné prohlásit, že znalectví jeprofesí, tak v systému, který je aprioriřízen státem, by musely existovat objek-tivně hodnotitelné profesní kritériaa parametry (viz např. v [5] o hodnocení,str. 10).

Jenže, nezávisle na tom, jak se postaveníznalců (ne)vyvíjelo podle zákona užtéměř půlstoletí, problematika znalec-kého zkoumání doznala (zejména, alenejenom, v oboru digitální forenzní

analýzy) převratných změn, které,alespoň podle mne, již nelze pokrýtstávající dikcí zákona (např. v [5], str. 7).

Aby mohly být naplněny současnépožadavky na znalecké posudky, znalcimusí být na tak špičkové úrovni, kteráodpovídá vysoké profesionalizaci jejichpráce. Nejenom složitost problematiky(tedy obecná znalost problematiky), alei specifika metod a postupů již neod-povídají běžným „civilním” profesím.Tak, jako se (pravděpodobně oddělenímz kriminalistiky) vyčlenili samostatné vě-decké forenzní disciplíny, stejně se vy-tvořili specifické plnohodnotné pro-fese - forenzní vědci a forenzní znalci.A tyto profese už nelze vykonávat jenjako „něco navíc” k běžné civilní profesi,jak to chápe aktuálně platný zákono znalcích.

Dá se samozřejmě namítat, že nikomunení bráněno, provozovat znalectví jakoprofesi a že právě proto je jmenovacílistina znalce postavena na úroveňživnostenského listu. To by ale nesmělabýt tato „živnost” takovým restriktivnímzpůsobem ekonomicky regulována stá-tem. I na to by se dal najít argument(a kdo chce, ten vždy najde formálníargumenty, které se od zeleného stoluministerstva zdají být zcela logické), žeznalec může vykonávat tuto „živnost”nejenom pro orgány státní moci (kde jestanovena směšná částka za hodinupráce), ale i na smluvním základě prokomerční subjekty. Výsledek takovéhopojetí, které je odtrženo od reality, jetristní a způsobuje zjevnou nerovnostpostavení znalců v různých oborech(blíže viz. [5], str. 6 vlevo dole). Praxe jebohužel taková, že právě ty ekonomickynejnáročnější obory znalectví reálně ne-mají velké uplatnění v tzv. „volné kon-


kurenci na trhu”, protože je nejvícevyužívají právě orgány státní moci kde jejejich odměna restriktivní a naopak,obory, které nejsou až natolik eko-nomicky náročné na výkon, mají (pa-radoxně i ze zákona) dostatek možnostíuplatnit se i mimo regulované cenovézakázky od orgánů státní moci a tudížmohou stanovovat smluvní ceny zavýkon.

Znalecká činnost je organizovánaa řízena státem. To vyplývá jak zezákona, tak např. i z výkladu v [4].Prakticky ale stát znaleckou činnostneřídí, pouze stanovuje podmínkyzápisu znalců do jakéhosi seznamunedefinovaných oborů a odvětví a dálestanovuje pravidla využití znalců proorgány státní moci.

Asi by se patřilo, abych se hned natomto místě vyjádřil k použitému pojmu„jakýsi seznam nedefinovaných oborů aodvětví”. Problematika taxonomieznaleckých oborů je oblast, která by(opět, v tomto článku už několikrát)vyžadovala samostatné zkoumání.Jenomže jestliže rozdělení znaleckýchoborů je jedním ze základních kritériípro výběr a ustanovení znalce (a od-vozeně pak i pro hodnocení jeho práce),a jestliže ani tento základní kámennení podložen erudovanou definicí,celý systém, který se od něj odvíjí, jepotom postaven na vodě. Pak užo systému (jako entitě, obsahující vzá-jemně cíleně a účelově propojené prvky)mluvit nelze. Trochu více je o systémuznaleckých oborů pojednáno v [5]. Tadyjen uvedu paradox, který se objeví hnedpo několika kliknutích na web MSps evidencí znalců.

Když bychom chtěli najít znalce, který by

měl zkoumat digitální data, našlibychom např. pojem „výpočetní tech-nika” v oborech ekonomika, elektro-technika, elektronika, kybernetikaa kriminalistika (a možná i v některýchdalších, kde jsem už nehledal). Celkemlehce také zjistíme, že máme:

75 znalců, kteří mají ve specializaci„výpočetní technika”; 17 znalců, kteří mají ve specializaci„informační systémy”; 4 znalce, kteří mají ve specializaci„mobilní telefony”.

Ale už nezjistíme, na co specificky senapř. znalec na mobilní telefony spec-ializuje, zda ohodnotí závadu tlačítka namobilu pro účely reklamace nebo pro-zkoumá možnost „padělat” přijatou vý-hružnou SMS.

Jaký je tedy rozdíl v tom, když je znalecsice v odvětví “Výpočetní technika”, alepro různé základní znalecké obory, jakoje např. “EKONOMIKA” (asi dělá nějakéodhady cen), “ELEKTRONIKA” (asi měříproudy a napětí na číslicových integro-vaných obvodech), “ELEKTROTECH-NIKA” (asi zkoumá zátěž nebo spotřebuvelkých informačních systémů nebodatových center), “KYBERNETIKA” (tadysi moc dobře nedovedu představit jehozaměření vzhledem k definici vědníhooboru kybernetiky) nebo “KRIMINA-LISTIKA” (tady jsem také na vážkách, coby mělo být popisem takového zkoumánía to i přesto, že já sám jsem zapsánv tomto oboru, přičemž odvětví není ur-čeno, pouze specializace je “krimi-nalistická počítačová expertíza”). Na tototéma je k přečtení také článek [6].

Nedá se říct, že by se zákon o znalcíchnenovelizoval. To, že byly přijaty novely,ale nic nemluví o tom, že tyto novely


tvontnpnh

Fsvnppmnmrnnaú

měly vliv na kvalitu. Přestože se u každénovelizace zákona deklaruje, že je namí-řena zejména na zvýšení kvality výkonuznalectví (protože to je to, co je na výko-nu znalectví kritizováno zejména),o podmínkách zvyšování kvality se určitěnedá mluvit.

Kvalita znaleckého posudku závisí odtoho, jaké podmínky jsou vytvořeny ktomu, aby byla naplněna stanovenáočekávání (např. ta, která byla uvedenav úvodu tohoto článku). O tom ale zákonmlčí. A, jak už bylo uvedeno výše, opětplatí, že jestli chceme něco hodnotit(v tomto případě kvalitu - posudkůa/nebo znalců), musíme mít nejdřívestanoveno, podle čeho má být hodnocenírealizováno. Jestliže nejsou stanovenarelevantní a měřitelná hodnotící kri-éria, nelze nic měřit, výsledek budeždy jen blábol. Jestliže jsou znaleckébory jenom deklarovány ale nejsou defi-ovány, nelze pro ně stanovit ani kri-éria, podle kterých by měli být jme-ováni znalci (kromě velice obecnýchožadavků). Ale bez takových konkrét-ích a měřitelných kritérií ani nelzeodnotit kvalitu jejich výkonu.

orenzní zkoumání je dnes již dávnopeciální profese, jen si to mnozí neu-ědomují. Když to někdo dělá jako ko-íčka, nemůže odpovídajícím způsobemlnit náročná kritéria, která se ve světero práci znalce používají. Možná nás vnoha případech situace ve světeepálí, protože většina řešených případůá jenom lokální dopad v rámci naší ju-isdikce. Ale neplatí to paušálně. Kyber-etická kriminalita nezná hranice. Kdyžic jiného, tak alespoň zajišťování zkoumání digitálních dat musí mítroveň srovnatelnou ze světem.

Jestliže ve světě jsou obecně známá kri-téria a požadavky na práci s digitálnímistopami a u nás je to doslova pole neo-rané, jak potom můžeme spolupracovatna mezinárodním poli? Jak vypadají vý-sledky práce našich znalců, když:

jejich odbornost je u nás posu-zována paušálně a obecně (viz předchozíkapitola); specifické forenzní vzdělávání ne-existuje (ono už ve světě celkem běžněexistuje, jenomže za odměnu, kterouznalec od státu za svoji práci dostává, sitakové vzdělání nemůže dovolit, nemluvěo tom, že k tomu potřebuje (mimoprostředků) jako minimální požadavektaké dobré jazykové vybavení); neexistuje podle oborů osvěta,výměna a předávání zkušeností (a když,tak jenom jako individuální aktivita ně-kolika zapálených dobrovolníků, ale natom se systém budovat nedá); ohodnocení práce znalce je mar-ginální (na úrovni 14% průměru EU,jsme poslední v EU, a na ostudné úrovniminimální mzdy Německa).

Jaké výkony potom za takovýchtopodmínek lze od znalců očekávat?

Když to dovedeme do důsledků - státzneužívá odbornost, vědomosti a zku-šenosti znalců, které tito získalidlouholetou vlastní pílí. Znalec, abyudržel špičkovou profesní úroveň a bylschopen podávat kvalitní znalecképosudky (jinak mu hrozí ze zákonasankce), investuje značné prostředky dosvého vlastního vzdělávání, do pří-strojové techniky, která je pro výkonnutná, do prostor pro výkon znaleckéčinnosti, do své jazykové výbavy, protožev ČR se k posledním poznatkům foren-zních věd prakticky nedostane. Jsou tostovky tisíc ročně. Jediné, co je státochoten uhradit, jsou prakticky pouze


přímé náklady na zpracování posudkua ušlý čas, který při zpracování posudkustráví a i to jenom na úrovni platuřemeslníka. Nebudu se na tomto místěani snažit rozebírat, jaké možnosti máznalec, aby si přeúčtoval např. 100stránek barevně potištěného papírua dalších 200 stran, které spotřebovalv průběhu zkoumání, amortizaci počí-tače apod. A o té skutečné realitě pro-plácení jednotlivých znaleckých úkonůorgány státní moci tady vůbec ani nechcihovořit, je to často až ponižující.

Investice do odborné kvality a do pro-středků, které pro výkon znalectvíznalec potřebuje (aby se minimálněsám před sebou nemusel stydět), musízískat jinde, v rámci své „civilní”profese. Tím se ochuzuje o řádněvydělané prostředky, které by jinakpoužil pro svoji vlastní potřebu. On toale je nucen (fakticky ze zákona)investovat do toho, aby zajistilkvalitu své znalecké práce.

Právě v tom je zásadní rozpor aktuálněplatného zákona o znalcích. V chápánípostavení znalce. Před bezmála padesátilety byly jiné podmínky a i postaveníznalce bylo jiné, na znalce byly kladenyobjektivně jiné nároky, byla to prostěúplně jiná situace. Dnes stát, prosa-zováním stejného přístupu k výkonuznalectví, diskriminuje znalce odborněa ekonomicky a pokřivuje základní zása-dy fungování naší společnosti.

Aby to nebylo jenom obecné povídánía nebylo to chápáno jako stěžování si,dovolím si odkaz na vývoj situacev oblasti digitální forenzní analýzy zaposledních 10 let [7]. Na v článkuuvedeném příkladě je vidět, jaksoučasná dikce zákona o znalcích

vůbec není schopna pokrýt reálnousituaci. Dopady takového přístupu k vý-konu znalecké činnosti jsou zřejmé. Anidesetinásobné pokuty za nekvalitní vý-kon znalecké práce nezapůsobí na jejíúroveň, ba naopak, bude způsobovat jejídegradaci a jen ještě víc odborníkůopustí řady znalců.

Jak řešit problém?

Pro řešení složitých problémů neexistujíjednoduché recepty. Při úvahách mož-ného řešení, tedy průběžného a trvaléhozajišťování kvality znaleckého zkoumánía jejího neustálého dalšího zdoko-nalování, je potřebné udělat politické(resp. strategické) rozhodnutí, kdo budemít tuto oblast na starosti, resp. kdobude za ni odpovědný.

V současnosti to je MSp ČR, které řídívýkon znalecké služby ze zákona a kteréstanovuje veškerá další kritéria a poža-davky pro realizaci tohoto výkonu. Platítedy, že v ČR je výkon znalecké službyřízen výhradně státem.

Nabízejí se i další modely, které jsouběžně v Evropě používané, a to řízeníznalectví pomocí profesní komory (ať užzřízené ze zákona nebo na dobrovolnébázi) nebo ponechání výkonu znalectvína znalcích samotných (resp. na tržníchprincipech). Všechny modely se v Evropěpoužívají (byť u nás z historických důvo-dů nemají veké nebo dokonce žádné tra-dice).

Rozhodnutí, kdo bude mít odpovědnostza znalectví v ČR, ale je možné učinit ažpoté, co budou známá všechna kritériaa požadavky, která se na fungující sys-tém (a tady cíleně myslím systém jako


N

FPúiúkrzn

Ttvpmrr

Tžp1bč

souhrn prvků a jejich vzájemných vazeb,vytvořený s určitým cílem) vztahují. Neními známo, že by se u nás někdo takovýfungující systém pokoušel byť i jenomnavrhnout, ne to vytvořit. Pro takové tvr-zení mám minimálně jeden důležitýargument:

Jestliže mají znalci vykonávat zna-leckou činnost kvalitně a na úrovnisoučasných vědeckých požadavků,musí být vytvořeny podmínky, abytakové vědecké požadavky bylyznalcům dostupné, aby byl někdoschopen je implementovat jak do na-šeho právního prostředí, tak do tech-nických a procesních podmínek, od-povídajících naší současné situaci.ikdo takový u nás není.

ormálně by to sice mohla být např.olicejní akademie ČR, Kriminalistickýstav PČR nebo nějaká jiná akademickánstituce nebo třeba i státem zřízenýstav, ale žádnou takovou instituci,terá by cíleně pokrývala požadavky naozvoj a implementaci forenzních věd donalecké, kriminalistické a soudní praxeeznám. Asi stát nemá na tom zájem?

eprve až budou známy parametry sys-ému (nazveme jej s velkým S - „Systémýkonu znalecké činnosti”) lze zod-ovědně zvážit, jakým způsobem jeožné takový Systém (byť postupně)ealizovat v praxi. Více je tato otázkaozebírána např. v [8].

akže bychom měli teď zapomenout naabomyší války o tom, jestli má býtokuta za špatně vedený znalecký deník000 nebo 100 000 Kč nebo zda by mělýt znalec komerčně pojištěn a na jakouástku, a na podobné prkotiny.

Závěr

Jsem přesvědčen, že právě proble-matika digitálního forenzního zkou-mání, díky své dynamice vývoje, šířizáběru, novosti přístupu, širokémuuplatnění nejenom v trestním řízení adalším specifickým vlastnostem, vy-volává ve stojatém rybníce našeho zna-lectví vlnobití.

Dynamický obor zkoumání digitálníchdat se neslučuje se zkostnatělým pří-stupem a salámovou metodou při-způsobování platného zákonao znalcích novým podmínkám. Takovýpřístup k řešení systému výkonu zna-lectví nemůže přinést žádný pokrok.

Zaváděním různých „opravných kliček”do nefungujícího systému nezpůsobíjeho zkvalitnění - naopak - povedek ještě větším problémům. Při nezna-losti reality vždy (byť i drobná) změnav jedné entitě systému způsobímnohdy výraznou a nepredikovatel-nou změnu v úplně jiné jeho části.

Nechci tvrdit, že stát by se měl vzdátsvé role v oblastí řízení výkonuznalectví v ČR. Aby ale systém fungovalpodle záměru jeho tvůrce, takovýsystém musí být nejdříve profesionálněnavržen a posléze nalezen optimálnízpůsob jeho realizace. Tím, že (např.jako na Slovensku) lehce„zmodernizujeme” stávající pojetízákona o znalcích, nevyřešíme tenzákladní problém - problém vytvořenípodmínek pro neustálé zvyšováníkvality znaleckého zkoumání.


Literatura

[1] Svetlík, M., Digitální forenzníanalýza a bezpečnost informací, DataSecurity Management, ISSN 1211-8737,1/2010, str. 20-23.

[2] Hološka, J.,Svetlík, M., Sedm hříchůdigitální forenzní analýzy, DigitalForensic Journal, ISSN 2336-4750,2/2014, str. 5-11

[3] Porada, V., Bruna, E., Digitální světa dokazování obsahu elektronických do-kumentů, Bezpečnostní technologie,systémy a management, 11. - 12. září2013, UTB ve Zlíně, dostupné zhttp://trilobit.fai.utb.cz/Data/Articles/PDF/37bacb88-3602-4ea7-b9c8-7864970f89e7.pdf

[4] Musil, J., Hodnocení znaleckéhoposudku, Kriminalistika, ISSN 1210-9150, 3/2010

[5] Svetlík, M., Profesionalita znaleckéhozkoumání, Digital Forensic Journal,ISSN 2336-4750, 1/2014, str. 5-14

[6] Svetlík, M., Kolik máme soudníchznalců. [online], 5. 3. 2013. Dostupné z:https://msvetlik.wordpress.com/2013/03/05/kolik-mame-soudnich-znalcu/

[7] Hološka, J., Svetlík Jr., M., Kamkráčí digitální forenzní analýza, DigitalForensic Journal, ISSN 2336-4750,1/2014, str. 29-32

[8] Svetlík, M., Kriminalistická technika,znalectví a forenzní vědy, sborník pří-spěvků konference „Počítačová krimi-nalita - juristické, kriminalistické a kri-minologické aspekty”, Košice, 2014,ISBN 978-80-8152-146-1


Práce s E01 obrazem disku s obsahemšifrovaným pomocí Bitlockeru.Ing. Jiří Hološka, Ph.D., bezpečnostní specialista ve společnosti PwC

Anotace:

Článek popisuje způsob zpřístupnění šifrovaného diskového oddílu zajištěného ve fo-renzním obrazu disku E01. Zkoumaný pevný disk obsahuje dva souborové oddílyz čehož jeden je zašifrován nástrojem Bitlocker.

Úvod

Základem digitální forenzní analýzy jezajistit aktuální stav paměťového médiaa zabezpečit obsah zajištěného médiaproti náhodné, nebo nechtěné změně.

Reálně je tohoto stavu dosaženovytvořením bitové kopie, nebo forenzníhoobrazu disku (E01, AFF, S01). Rozdílmezi bitovou kopií a forenzním obrazemdisku je v použití komprimace uforenzního obrazu disku a CRCkontrolních součtů uvnitř obrazu disku.

Zpřístupnění dat z forenzního obrazudisku je závislé na specializovanýchnástrojích, které automaticky převedoukomprimovaná data na formát bitovékopie, v odborné literatuře je tentoformát označován jako raw image, neboflat-file image.

Situace se může ještě dále zkomplikovatpokud je paměťové médium chráněnošifrováním.

Zpřístupnění provedeme pod operačnímsystémem GNU /Linux, konkrétněDebian 6.

Postup

Prvním krokem je nainstalovat nástrojepro práci s E01 obrazy a nástrojDislocker na dešifrování Bitlockeru.

# sudo apt-get update

# sudo apt-get install git ewf-tools libfuse-

dev

# git clone https://github.com/Aorimn/

dislocker.git

# cd dislocker

# make

# make install

Dále je nutné vytvořit tři adresáře kterése v linuxové terminologii nazývajímount-pointy.

# mkdir /mnt/ewf /mnt/bitlocker /mnt/windows

Tyto mount-pointy budou sloužitk přístupu k obrazu disku dat v různýchstádiích zpřístupňování šifrovaného sou-borového oddílu.

Prvním krokem je rozbalení E01 obrazuna formát raw image.

# ewfmount test_disk.E01 /mnt/ewf/

ewfmount 20140608

Po připojení je možné otestovat výslednýobraz disku pomocí nástroje fdisk, kterýnám zobrazí rozložení diskových oddílů.

# fdisk -l /mnt/ewf/ewf1

Disk /mnt/ewf/ewf1: 128.0 GB, 128035676160

bytes

255 heads, 63 sectors/track, 15566 cylinders,

total 250069680 sectors


Units = sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes /

512 bytes

I/O size (minimum/optimal): 512 bytes / 512

bytes

Disk identifier: 0xca8360ef

Device Boot Start End Blocks

Id System

/mnt/ewf/ewf1p1 * 2048 206847

102400 7 HPFS/NTFS/exFAT

/mnt/ewf/ewf1p2 206848 250066943


První oddíl (ewf1p1) je nešifrovanýa obsahuje informace nutné pro zave-dení operačního systému, který se na-chází na šifrovaném oddílu.

Druhý oddíl (ewf1p2), obsahuje operačnísystém Windows a uživatelská data.

U fyzického pevného disku by jednotlivéoddíly souborového systému bylyidentifikovány jako /dev/sda1 /dev/sda2,ale v případě obrazu disku je to pouzejeden soubor (/mnt/ewf/ewf1). Proto jenutné začátek šifrovaného oddíluidentifikovat pomocí takzvaného offsetu.Offset udává vzdálenost v bytech odzačátku disku k začátku vybranéhosouborového oddílu a lze snadno vypo-čítat z výše zmíněného výstupu nástrojefdisk.

Units = sectors of 1 * 512 = 512 bytes

Device Boot Start

End Blocks Id

System

/mnt/ewf/ewf1p2 206848 250066943


Z výpisu víme, že jeden sektor na diskumá velikost 512 byte, dále víme, žešifrovaný oddíl začíná sektorem 206848.Offset pro druhý diskový oddíl je 512 *206848 = 105906176.

Po získání offsetu šifrovaného diskovéhooddílu je možné tento oddíl dešifrovat,dešifrování se provádí podobným způ-sobem jako převedení E01 na flat-file.

Pro dešifrování použijeme následujícípříkaz nástroje Dislocker:

dislocker -v -o 105906176 -V /mnt/ewf/ewf1

-p111111-222222-333333-444444-55555-666666-

777777-888888 -- /mnt/bitlocker/

Parametry:-o je offset šifrovaného oddílu disku

-V /mnt/ewf/ewf1 udává flat-file soubors rozbaleným E01 obrazem disku

-p111111-222222-333333-444444-55555-666666-777777-888888 jerecovery klíč, který byl vygenerován přizašifrování diskového oddílu.

/mnt/bitlocker/ - je mount point vekterém bude zpřístupněn dešifrovanýdiskový oddíl.

V případě že by obraz disku obsahovalvíce jak jeden šifrovaný diskový oddíl,bylo by nutné každý jeden oddíl připojitsamostatně.

Stejně tak pokud by obraz disku ob-sahoval další nešifrované diskové oddílybylo by nutné je připojit samostatněpomocí vypočítaného offsetu a příkazu:

mount -o loop,offset=123456,ro /mnt/ewf/ewf1

/mnt/windows2/

V našem případě máme jen jeden dis-kový oddíl s daty, který jsme již rozbaliliz E01 na flat-file, dále jsme tento oddílexportovali a dešifrovali. Zbývá připojitsouborovou strukturu NTFS do adre-


sářové struktury OS Linux.

Pro připojení souborové strukrutypoužijeme příkaz mount:

# mount -o loop,ro /mnt/bitlocker/dislocker-

file /mnt/windows/

Ověření

Dostupnost souborů ověříme pomocípříkazu ls:

# ls /mnt/windows/

$Recycle.BinOracleSystem Volume InformationConfig.MsiPerfLogsUsersDocuments and SettingsProgram FilesWindowsInstallProgram Files (x86)hiberfil.sysIntelProgramDatapagefile.sysMSOCacheRecoverytemp

Výpis souborů zobrazuje root systé-mového disku s operačním systémemWindows. Konkrétně se jedná o 64 bitverzi systému Windows 7.



Fatal ErrorCase Study případu, který skončil osvobozujícím rozsudkem

Anotace:

Tento příspěvek popisuje vyvrcholení kauzy jednoho soudního sporu, ve kterém sejednalo o přečin neoprávněného přístupu k počítačovému systému a nosiči informacídle § 230 odst. 1 tr. zákoníku a ve kterém klíčovým důkazem byla právě digitálnídata.


Úvod

Přestože rozsudek v případu je pravo-mocný, celou kauzu budu anony-mizovat. Nejde totiž o konkrétní osobynebo subjekty, ale právě o digitální dů-kazy, jejich použití v rámci vyšetřovánía použití u soudu.

Předesílám a zdůrazňuji už předem, žev tomto příspěvku nejde o to, co se ve

skutečnosti v tomto případě stalo nebonestalo, kdo ze zúčastněných co udělalnebo neudělal, to je záležitostí soudua jeho rozhodování. Mně jde jenom o to,jakým způsobem se pracovalo s digitál-ními důkazy.

Rozsudek

Zacituji z rozsudku1 krajského soudu:


Rozsudek jménem republiky

Krajský soud … projednal ve veřejném zasedání … odvolání obžalovaného … proti rozsudkuOkresního soudu … a rozhodl takto:

Z podnětu odvolání obžalovaného se napadený rozsudek podle § 258 odst. 1 písm. a), b), d)tr. řádu zrušuje v celém rozsahu a podle § 259 odst. 3 tr. řádu se nově rozhoduje tak, že seobžalovaný … podle §226 písm. c) tr. řádu

zprošťuje

obžaloby pro skutek spočívající v tom, že v přesně neurčené době… překonal bezpečnostníopatření a získal tak neoprávněný přístup k počítačovému systému, v němž byl obžalobouspatřován přečin neoprávněného přístupu k počítačovému systému a nosiči informací dle §230 odst. 1 tr. zákoníku,

neboť nebylo prokázáno, že tento skutek spáchal obžalovaný.

1 Pro ty, kdo by chtěl zjistit detaily uvádím, že se jedná o rozsudek Krajského soudu v Hradci Králové, pobočkaPardubice, 14To 312/2015-615

Co k takovému rozsudku nakonecvedlo?

Popíši ve stručnosti celou kauzu, při-čemž se tady budu věnovat pouzenezbytně nutné míře detailu a zejménaskutečnostem, které se vztahují k digi-tálním datům (i když digitální důkazyjsou v tomto případě klíčovými).

Následuje popis případu přibližně tak,jak je zadokumentován ve spisu,zejména z pohledu obžaloby.

Případ

Náš případ se týká dvou firem (pro našeúčely si je nazveme A a B), kterépodnikají na regionální úrovni ve stejnénebo velice podobné oblasti služeb a kte-ré si tedy zcela zjevně konkurují.

Tento konkurenční boj se projevovalrůzným způsobem, zejména ale vzájem-ným přetahováním si obchodních zá-stupců. Lze si dobře představit, že pře-chodem obchodního zástupce z jednékonkurenční firmy do druhé vzniknetaké celá řada problémů v tom, jakýmzpůsobem se vypořádat s klientelou, kte-rou měl ten který obchodní zástupce nastarosti.

Firma B, jak se v určitém období zdálo,získávala na svoji stranu stále více kli-entů na úkor firmy A a nakonec firma Adošla k závěru, že to musí být tím, žefirma B nějakým způsobem získávájejich interní obchodní informace. FirmaA se tedy rozhodla najmout soukroméhodetektiva, aby se pokusil zjistit, jestlia případně jakým způsobem se jejichinformace dostávají ke konkurenci, tedyk firmě B.

Dotyčný soukromý detektiv si na tutoodbornou činnost sjednal svého zná-mého, odborníka na výpočetní techniku,který provedl ve firmě A šetření. Výsled-kem bylo konstatování, že někdo nain-staloval do firmy A keylogger, kterýodesílal na e-mailovou [email protected] množství informací z po-čítačů firmy A.

Aby se zjistilo, kdo schrá[email protected] vybírá, odborník navýpočetní techniku ve službách sou-kromého detektiva poslal do tétoschránky několik tzv. „trasovacích” e-mailů, které při otevření jejich obsahuzaslaly zpět odesílateli IP adresu počí-tače, který takový e-mail otevřel. Taktozískanou IP adresu identifikovali jakoadresu z adresního prostoru poskyto-vatele internetu, který mezi jinýmiposkytoval internetové připojení i firměB. Tyto skutečnosti vedly firmu A kpodání trestního oznámení na firmu B zaprůnik do jejich systému a zneužití jejichinterních informací.

Policie na základě tohoto oznámenízajistila vytipované počítače firmy Aa předala je ke zkoumání znalci XYZ,který v podstatě potvrdil nález sou-kromého detektiva ohledně existencekeyloggeru.

Policie také zjistila prostřednictvímspolečnosti seznam.cz IP adresu, zekteré byl poslední přístup ke schrá[email protected] a potvrdilo se, že to byloz adresy, která v té době byla posky-tovatelem přidělena firmě B.

Na základě těchto informací následněpolicie zajistila i vybrané počítače (resp.obrazy disků těchto počítačů) ve firmě B


a tyto také předala znalci XYZ kezkoumání s cílem zjistit, zda se na těch-to počítačích nacházejí nějaká data po-cházející z činnosti programu keyloggera zda bylo z těchto počítačů přistu-pováno ke schránce [email protected] zjistil, že na zkoumaných počí-tačích byly nalezeny soubory, které„mohly potenciálně souviset s činností”programu keylogger, že jejich strukturase podobá souborům, které bylynalezeny ve firmě A a byla také nalezenainformace o přístupu k e-mailovéschránce [email protected].

Na základě takto shromážděných infor-mací a důkazů (přirozeně včetně dalšíchinformací, výslechů svědků, listin a pod.)policie obvinila majitele firmy B z výšeuvedeného trestného činu a okresnísoud dotyčného i za tento trestný činodsoudil. Na základě odvolání, kterépodal obžalovaný, jej však krajský soudzprostil obžaloby.

Odvolání

Aniž bychom se pouštěli do právníhovýkladu detailů, projděme si postupnězejména zásadní technické a odbornéproblémy, které krajský soud ve svémrozhodnutí uznal a které vedly ke zproš-ťujícímu rozsudku.

Zásadní námitkou obžalovaného, s nížse krajský soud zcela ztotožnil, je fakt,že ještě v době přípravného řízení došloke smazání bitových kopií harddisků zevšech zkoumaných počítačů, a to v době,kdy ještě ani nebyla podána obžaloba

a u obžalovaného tak výrazným způso-bem došlo ke krácení jeho práva na ob-hajobu.

Krajský soud ve svém rozhodnutí dálekonstatoval, že „Navíc šlo o zásadnídůkaz, na kterém v podstatě stálo celéobvinění a pokud mělo být podkladem propřípadné odsouzení obžalovaného,neexistoval jediný důvod pro smazánídůkazu tak zásadního významu.” a dáleuvádí zásadní vyjádření, že „Nelzepřipustit, aby do pravomocnéhoskončení věci došlo k odstraněnív podstatě zásadního důkazu, kterýby mohl řadu věcí z hlediska objek-tivity posoudit.”

Na tomto místě je potřebné zdůraznit, ževše, co může napomoct k objasnění věci,je možné považovat za důkaz. Z tohotopohledu se na obrazy disků lze dívatjako na stopu i jako na důkaz. Digitálnístopy, zejména ve formě obrazů disků,jsou stopami komplexními, obsahujícíminesmírné množství velice různorodýchinformací.

Obhajoba si nechala zpracovat zna-leckým ústavem2 další znalecký posu-dek, ze kterého jednoznačně vyplývá, že:

Každá aktivita, která jeprováděna v prostředí informačníchsystémů, zanechává v tomto prostředídigitální stopy. A je jedno, zda takovéaktivity provádí oprávněný neboneoprávněný uživatel, zda je to aktivitalokálního uživatele nebo činnost uživatelevzdáleného, pracujícího na dálku, např.s využitím internetu, nebo zda je to něja-


2 Znalecký ústav společnosti Risk Analysis Consultants, s.r.o. (www.rac.cz/zu)

ká automatická funkcionalita samotnéhoinformačního systému.

Většinu digitálních stop, kterétakovou aktivitou vznikají, lzeidentifikovat, zkoumat a interpre-tovat jejich význam, příčinu a původvzniku takových stop, jejich existencia případné modifikace v čase, jakož po-tenciálně i jejich zánik či jejich definitivnízničení, ať už je zaviněné (cílenýmpůsobením uživatele) nebo nezaviněné(běžnou činností informačního systému).

Pravděpodobnost možnosti iden-tifikace digitálních stop závisí namnoha okolnostech, zejména na tom,zda se tyto stopy zachovají, v jakém časeod doby zjišťované události došlo k za-jištění digitální stopy, a mnoha dalších.

Informační systémy uchovávajíohromné množství různých informací,jenom část z nich jsou data operačníhosystému a zpravidla ještě menší částtvoří uživatelská data. Dá se říct, žepodstatnou část dat, která se v in-formačních systémech uchovávají, jsoutzv. metadata, která právě uchovávajíinformace o chodu informačního systémua o událostech, které v něm probíhají.Tato data vznikají zpravidla bez vědomíuživatele a uživatel je bez speciálníchznalostí může jen těžko ovlivnit, měnitnebo jen těžko zcela zamaskovat svojičinnost. Navíc, v závislosti od konkrétníhooperačního systému, se metadataukládají na různých místech a mnohdyi v několika nezávislých kopiích nebomodifikacích záznamů o té samé aktivitě,na různých místech a v různých for-mátech, často se vytvářejí souvisléřetězce informací o informacích.

Aby bylo možné při zkoumánídigitálních dat zjistit souvislostia veškeré další skutečnosti, provádíse při zajištění binární kopie dato-vých nosičů. Taková kopie obsahujeprávě veškerá data, která jsou v in-formačním systému uložena a to dovolujezkoumat nejenom uživatelská data, alei metadata a dovozovat tak další souvis-losti o dějích a procesech, které jsoudůležité pro šetření věci.

Další důležitou skutečností je fakt,že na současné úrovni možností zpra-vidla nelze z digitálních stop zjistitkonkrétní fyzickou osobu, kteráprováděla konkrétní aktivity v in-formačním systému. Aktuálně je poten-ciálně možné identifikovat uživatelskýúčet, po kterým aktivita probíhala, jestliževšak jsou uživatelské účty v systémuzavedeny a používány.

I v prostředí digitálních systémů a digi-tálních stop platí dobře známý Locardůvprincip3. Nestačí pouze konstatovat, žepři domovní prohlídce byla nalezenazbraň kalibrem odpovídající vražednézbrani, ale je nutno zkoumat i veškerédalší souvislosti a stopy, aby bylo možnéjednoznačně prokázat, zda a jakousouvislost má nalezená zbraň s činema kdo a jak ji použil apod.

To samé platí i o nálezech dat v infor-mačních systémech. Skutečnost, že seněkde nějaký důležitý soubor nachází,ještě není dostačující. Je potřeba vyvrátitpotenciální pochybnosti o způsobu,jakým soubor vznikl, případně jakýmzpůsobem se soubor do systému dostal,kdy to proběhlo nebo mohlo proběhnout,dát do souvislostí nejenom existenci


3 https://cs.wikipedia.org/wiki/Locardův_princip_výměny

informace, ale i procesy spojené s jejímvznikem, případnými úpravami, zpra-cováním a případně také zánikem.

Mějme na paměti, že vše, co se v sys-tému děje, potenciálně zanechává stopya je jen otázkou našeho poznání, zdajsme takové stopy schopni včas a ko-rektně zajistit a následně správněodzkoumat a interpretovat.

Je s podivem, že u tzv. „klasických” stop,tedy materiálních, hmatatelných (jako jei výše zmíněná vražedná zbraň), jeběžnou praxí, že se zjišťují veškerémožné souvislosti (vlastník, daktylky,DNA, povýstřelovky apod.), ale u digi-tálních stop to napadne jenom máloko-ho.

Když předložené digitální důkazy (např.nález souborů odpovídajících prácikeyloggeru na počítači firmy B)přirovnáme k případu s vražednouzbraní, vychází nám tvrzení, že náleztakových souborů odpovídá tak přibližněstřelné zbrani odpovídajícího kalibru.S tím by policie bez dalšího u souduurčitě neuspěla tím spíše, kdyby před-ložila jako důkaz ne zbraň samotnou, alepouze prohlášení, že zbraň mělaodpovídající kalibr, a zbraň samotnou byzničila.

Okresní soud při argumentaci ohlednězničení obrazů disků ještě v době

přípravného řízení dovozuje, že to mohlobýt způsobeno novostí problematiky.Taková argumentace se však jedno-značně nezakládá na pravdě, protožezáklady problematiky vyšetřování trestnéčinnosti v prostředí digitálních dat bylyv Evropě a paralelně i v ČR4 položeny jižv první polovině devadesátých letminulého století (tedy minimálně předdvaceti lety) a jedním ze základníchpostulátů takové práce bylo právěpořizování obrazů disků jako základnívýchodiskový materiál pro znaleckézkoumání a také základních zásad5práce s takto získanými stopami.

Teoreticky bychom mohli i akceptovattakovou argumentaci protože musímepřipustit, že u policie existuje značnáfluktuace a že tato odbornost není v os-novách policejních škol. Tím se(pravděpodobně nesystémově získané)odborné poznatky šíří v policii značněpomalu. Nelze však takové jednánípřipustit už z obecného pohledu, totiž žeobrazy disků byly vlastně klíčovýmidůkazy v celém případu a jednalo setedy o zničení klíčového důkazu. To senesmí stávat ani v případě, že odborněnení policie na takové úrovni, abypochopila složitosti digitálních stop.Jednou to je klíčový důkaz obžalobya tedy nesmí být zničen.

Je nutné připomenout, že nahradit kom-plexní stopu, jakou obraz disku je, pou-


4 Oficiálně by se dalo považovat za takové datum rok 1998, kdy z iniciativy Kriminalistického ústavu Praha PČRvznikla v Praze evropská pracovní skupina pro forenzní analýzu digitálních dat při ENFSI (www.enfsi. org). Nicménězáklady pro vznik evropské skupiny byly položeny v Praze dávno před tím, již počátkem let devadesátých.

5 Minimálně dále zmíněné pravidlo, že originál a kopie digitální stopy jsou identické a že je nutné udřžovat vždy dvěnezávislé kopie digitálních dat právě z důvodu jejich ochrany před nečekaným zničením.

hým jediným znaleckým posudkem,který se zabývá pouze zlomkeminformací, které jsou na disku uloženy,je nepřípustné6.

Složitost digitálních dat, které jsouv obrazu disku uloženy, se nedápodchytit jediným, ani velice podrobnýmznaleckým zkoumáním. Každé takovézkoumání podchytí pouze zlomekinformací a faktů a pouze z určitéhoúhlu pohledu. I když příklady a při-rovnání vždy pokulhávají, dá se topřipodobnit tomu, jakoby někdo chtělnahradit zvukový záznam odposlechutelefonního hovoru pouhým přepisemjenom některých vybraných pasáží apůvodní zvukový záznam by zničil.

Když si představíte, že v počítači jetakových a analogických záznamů, sou-borů a informací stovky tisíc, lze dovodit,že zničení takového obrazu diskuzpůsobí zničení nepřeberného množstvíinformací, které potenciálně mohouposkytnou další důkazy, které mohoupomoct objasnit, doplnit, upřesnit neboi vyvrátit určité předpoklady.

Aniž bych podsouval jakýkoliv záměr přivedení vyšetřování tohoto případu,vyvstává ještě otázka, zda vyšetřováníbylo vedeno objektivně, tedy zda bylysprávně a nezávisle postavené vyše-

třovací verze. Nabízí se totiž také otázka,proč nebyla zkoumána také možnost, ževše mohlo být naopak, a (jak mimo-chodem tvrdí i obhajoba) vše mohlo býtzinscenováno a důkazy byly firmě B pod-vrženy ať už přímo firmou A nebo někýmtřetím. Taková varianta se při kon-kurenčním boji nabízí zcela přirozeně,avšak z dokumentace, která byla k dis-pozici při tvorbě tohoto článku, nic ne-nasvědčuje, že by takováto varianta bylaprošetřována. Potvrdit nebo vyvrátittakové tvrzení se však již nepovede,protože obrazy disků - tedy klíčovédůkazy - byly policii zničeny.

V neposlední řadě je nutné namítnoutještě jednu skutečnost, kterou je právozúčastněných stran nechat přezkoumatjakýkoliv znalecký posudek, který je vevěci použit jako důkaz. Jestliže všakvstupní data, která byla použita propůvodní zkoumání, jsou zničena7, nelzejiž takový znalecký posudek přezkoumata tím je omezeno právo jedné ze stransoudního sporu na spravedlivý proces.

V této kauze existuje ještě mnohodalších detailů, které by stálo za toprobrat a vyjasnit. Velké množstvínevyjasněných problémů a nesrov-nalostí, které by vyžadovaly opětovnéprozkoumání původních dat (obrazůdisků) již však nelze objasnit. Právě díky


6 Je tady myšleno to, že když někdo nechá udělat znalecký posudek, tak že takový posudek plně nahradí původnídigitálná stopu - obraz disku. Neplatí, že znalecký posudek je důkaz a obraz disku je „pouze” stopa, kterou je možnépo zpracování posudku zničit. Zkoumání vybraných dat obrazu disku prakticky nikdy nemůže postihnout veškeréstopy, které jsou v obrazu disku uloženy ani postihnout veškeré souvislosti.

7 Tady obecně platí jedna výjimka, kdy zkoumané stopy jsou samotným procesem zkoumání spotřebovány (např.biologický materiál pro zkoumání DNA). To ovšem v žádném případě neplatí pro digitální stopy, ty se zkoumánímnespotřebovávají!

zničení původních dat došlo v této kauzek tomu, že při provádění důkazů u sou-du již nebylo možné prověřit jed-notlivosti, které při tom vyvstaly a ne-bylo možné ověřit většinu tvrzeníobhajoby ani dát odpovědi na dodatečnéotázky.

Nechci ty detaily8 tady rozebírat, jsou ažpříliš těsně spjaty s konkrétní kauzoua kdyby existovala původní data (obrazydisků), daly by se pravděpodobně mnohépochybnosti objasnit.

Závěr

Zopakujme si na závěr základní fakta,která z popisu tohoto konkrétníhopřípadu vyplývají:

Každá aktivita v prostředíinformačních systémů, zanechává v tom-to prostředí digitální stopy9.

Většinu10 digitálních stop, kterétakovou aktivitou vznikají, lze iden-tifikovat, zkoumat a interpretovat.

Informační systémy uchovávajíohromné množství různých informací,část z nich jsou data operačníhosystému, část tvoří uživatelská dataa podstatnou část11 dat, která sev informačních systémech uchovávají,jsou metadata, která uchovávajíinformace o chodu informačníhosystému a o událostech, které v němprobíhají.

Aby bylo možné při zkoumánídigitálních dat zjistit souvislostia veškeré další skutečnosti, provádí se


8 Jenom pro příklad: celá kauza měla proběhnout v určitém časovém období, avšak doba založení e-mailovéschránky [email protected] byla určena na dobu 3 měsíce po ukončení kauzy a 4 měsíce poté, co program keyloggerměl na tuto schránku odesílat data z firmy A. Určitě lze navrhnout několik hypotéz, které by tuto skutečnost mohlyobjasnit, avšak mnohem průkaznější by bylo nalézt relevantní vysvětlující informace - důkazy - v zajištěných datech.

9 To vychází z již zmiňovaného Locardova principu.

10 Existuje skupina stop, které v systému nezůstávají uloženy. Jedná se např. o tzv. „živá” data, data v operačnípaměti počítače, která s vypnutím počítače zanikají a proto musí existovat speciální postupy jejich zajištění. Dalšímdruhem takových dat jsou síťová data - data, která putují po komunikačních linkách a která je potřebné prozkoumání nejdříve zachytit a uložit. Další skupinou stop jsou stopy, které se z různých důvodů přepisují jinými amají tedy pouze omezenou dobu platnosti. V závislosti od charakteru jednotlivých stop je nutné stanovit optimálnístrategii a postupy jejich zajištění.

11 Poměr objemu jednotlivých druhů dat uložených v počítači se různí v závislosti od mnoha faktorů, jakými jepoužitý operační systém, doba, kterou je počítač v provozu a mnoho dalších.

při zajištění binární kopie12 datovýchnosičů, tzv. obrazy disků, kteréuchovávají veškerá data, která jsou nanosiči/disku uložena.

Digitální stopy se vyznačují tím, žepro důkazní účely jsou kopie a originálidentické13.

Při jakékoliv manipulaci s digi-tálními daty (např. zkoumání neboarchivace) musí být nastaveny procesytak, aby nedošlo k jejich modifikaci14nebo zničení.

Z digitálních stop zpravidla nelzeprovést individuální identifikaci15 osoby,která prováděla konkrétní aktivity v in-formačním systému.

Nelze připustit, aby do pravo-mocného skončení věci došlo k od-stranění jakéhokoliv zásadního důka-zu16, zejména když k tomu nejsou věcnédůvody.

Nelze nedůvodným zničením stopznemožnit právo na přezkoumání17 jižpodaného znaleckého posudku.

Nechci jakkoliv znevažovat práci policie,státního zastupitelství a nakoneci okresního soudu v tomto případě.Z průběhu případu však v podstatěvyplývá, že (ve vztahu k digitálnímstopám) jediným korektním krokem bylozajištění digitálních stop18 (obrazůdisků). Jen je měli uchovat až dopravomocného ukončení případu.


12 Existují výjimky, kdy technicky nebo z procesních důvodů nelze binární kopie datových nosičů/disků zajistita postupuje se náhradními metodami. Nicméně veškeré takové výjimky je nutné zdůvodnit a zadokumentovat.

13 Lze tedy pro důkazní účely vytvořit předepsaným postupem libovolné množství kopií digitální stopy, přičemž každáz nich bude mít stejnou důkazní sílu. Nemůže tedy dojít ke ztrátě např. z nepozornosti nebo z důvodů technickézávady na nosiči dat. Platí pravidlo, že každá digitální stopa by měla být uchovávána nejméně ve dvou kopiích , kteréjsou uloženy na dvou technologicky oddělených datových nosičích, čímž se vyvarujeme ztrátě digitální stopyz důvodu technologické závady.

14 Jsou výjimky, kdy stopu nelze zajistit, aniž by nedošlo k její modifikaci (typicky např. zajištění operační pamětipočítače). Tyto výjimky však musí být zdůvodněny a podrobně zdokumentovány.

15 Máme na mysli digitální stopy odlišné od digitálního záznamu biologických charakteristik osoby, jakými jsounapř. otisk prstu, záznam z digitální kamery (obličej nebo sítnice oka), zvukový záznam hlasu a pod.

16 Je jenom málo stop/důkazů, které by vylučovaly možnost dalšího dodatečného zkoumání, proto pro účelydoplnění dokazování musí být veškeré stopy a důkazy zachovány minimálně do pravomocného skončení případu.Argumenty, že pro uchování velkých objemů dat nejsou k dispozici dostatečné prostředky pravděpodobně neobstojíuž zejména proto, že cena kapacity datových úložišť neustále klesá.

17 Obecně platí (byť to není pravděpodobně podchyceno zákonem), že pro každý znalecký posudek by melo platit, žemusí existovat možnost jej opakovat nezávislým třetím subjektem, resp. měla by existovat možnost jej přezkoumat.K tomu však musí být vytvořeny stejné výchozí podmínky, jako při původním zkoumání, včetně toho, že zůstanouzachovány původní stopy, které byly zkoumány.

18 Ale ani to zajištění neproběhlo zcela korektně, alespoň z technického pohledu. V případech, kdy se jednáo podezření vzájemné komunikace - tedy v tomto případě počítače z firmy B na počítače firmy A -zajištění dat měloproběhnout ve stejnou dobu u obou firem.

Problematika vyšetřování v prostředí in-formačních systémů má množství spe-cifik a navíc každý případ je něčímindividuální, osobitý. Nelze dát jedno-duchý a univerzální návod, jak s digi-tálními stopami pracovat, kdy je za-jišťovat, jak v nich hledat důkazy a covše je v nich možné najít.

Při zajištění dat mnohdy záleží navteřinách, na přesném načasování mo-mentu zajištění, protože důležité důkazyse mohou vyskytnout pouze v určitoudobu nebo při určité činnosti. Bez de-

tailních odborných vědomostí můžekaždý další analogický případ skončitpodobně tomu, který byl popsán v tomtočlánku.

Je asi každému jasné, že ne vždy lze přivyšetřování podchytit a objasnit veškeréskutečnosti kauzy. Nelze však připustit,aby možnost došetřit, resp. objasnitveškeré sporné problémy nebylo možnéprovést a bez pochybností vyjasnit ještěpřed rozhodnutím soudu právě díkyklíčové chybě, která se vyskytla v tomtopřípadě.


Forenzní analýza SQLite databázíČasto opomíjená oblast forenzní analýzy - pokračování z minulého čísla

Anotace:

SQLite je populární databázový formát využívaný většinou mobilních i desktopových aplikací.V SQLite formátu ukládají data různé aplikace pro iOS i Android, stejně jako celá řadadesktopových i mobilních webových prohlížečů (vč. Chromu a Firefoxu) a instant messengerů(např. Skype, WhatsApp).

David Makeev, Nikita Timofeev, Oleg Afonin, Yuri Gubanov - Belkasoft.(do českého jazyka se souhlasem autorů přeložil Marián Svetlík jr.)

Úvod

Forenzní analýza SQLite databází je čas-to opomíjena a omezuje se pouze najednoduché zobrazení databáze v pří-slušném prohlížeči. Kromě tzv. freelistů,o kterých jsme hovořili v první částičlánku, lze k vytěžení SQlite databázípoužít i Write-ahead logy, jejichž obsa-hem jsou nové či změněné stránky, kterénebyly dosud uloženy do hlavnídatabáze.

Proč jsou Write-ahead logy takdůležité

Zatímco freelisty nám umožňují přístupke smazaným stránkám databáze, Write-ahead logy (WAL) mohou být pomyslnoucestičkou k těm záznamům, kterédoposud nebyly provedeny v hlavnídatabázi. Pojďme se ale nejprve podívat,jak vlastně WAL fungují.

SQLite databáze historicky používalyk ochraně proti možným chybám zápisužurnálování. Mechanismus, který tozajišťoval, se nazýval Rollback žurnál.Pokaždé, kdy se SQLite engine chystal

provést zápis na stránku, byl původníobsah této stránky zazálohován doseparátního žurnálového souboru.Proběhla-li operace zápisu bez chyb,engine následně tento žurnálový záznamodstranil. Pokud ale došlo během zápisuk jakékoliv chybě nebo byla operacepřerušena, žurnálový soubor zůstaluložen na disku. Při dalším startudatabáze engine těchto souborů využila obnovil databázi do původního stavusloučením hlavní databáze a žurná-lových souborů.

Rollback žurnály jsou však dnes jižhistorií, neboť už od verze 3.7.0 používáSQLite jiný princip žurnálování – WAL.V podstatě se jedná o podobný princip,jako v případě Rollback žurnálu, pouzese zcela obrácenou logikou. Nově vytvo-řená nebo změněná data se nezapisujído hlavní databáze. Namísto toho se pourčitý čas ukládají do separátníhosouboru WAL. Pro nás je zajímavá sku-tečnost, že ve WAL mohou být tato datauložena poměrně dlouhou dobu, a to aždo provedení příkazu Checkpoint. Do tédoby nečte engine nová data z hlavnídatabáze, ale právě z WAL. Chekpoint sepak provádí automaticky poté, co veli-


kost WAL dosáhne určité hladiny (de-faultně je to 1 000 stránek) – to je možnozměnit buď přes API databáze nebopřímo ručně SQL příkazem PRAGMAwal_checkpoint;

Nyní už pravděpodobně tušíte, pročo WAL hovoříme v souvislosti s digitálníforenzní analýzou. Vezmeme-li napříkladuloženou historii z chatu nebo z pro-hlížeče, může být tisícovka záznamůvelmi důležitým zdrojem informací. Celáchatovací konverzace nemusela totižnikdy spustit Chekpoint, výsledkemčehož je skutečnost, že změny z WALnebyly nikdy provedeny.

Je nutno konstatovat, že většinanástrojů k prohlížení SQLite záznamů se

před přístupem k databázi pokusí nej-dříve WAL provést a data z WAL takzahrnout do výstupu. Z pohledu foren-zního a zachování integrity vstupníchdat nutno konstatovat, takový způsobvšak není ideální.

V případě použití Belkasoft SQLiteViewer k vytěžení informací z WAL neboRollback žurnálů je databáze parsovánastránku po stránce na low-level úrovni.Výhodou takového přístupu je sku-tečnost, že k dispozici jsou následně jakstránky z původní hlavní databáze, takjejich dosud neprovedené kopie s novýmči změněným obsahem z WAL (neboobráceně v případě Rollback žurnálů).Stránky z WAL jsou pak v prohlížečiodlišeny zvýrazněním:


Belkasoft Evidence Center je komplexní forenzní nástroj, který se osvědčil v mnohazemích. Kromě jiných funkcí přichází také s nativním SQLite parsováním, cožumožňuje forenznímu expertovi spolehlivou extrakci dat z SQLite databází včetně výšezmíněných informací z freelistů. Tuto funkcionalitu si můžete vyzkoušet v rámci trialverze na http://belkasoft.com/trial.

Celý článek v angličtině si můžete přečíst na http://belkasoft.com/en/sqlite-analysis

Upozornění na možný omyl forenzní analýzy e-mailů

Problém MessageID ve forenzní analýze


Anotace:

Článek ve stručnosti podává úvodní informace do problematiky identifikace podvrženíe-mailů. Jedná se o častou problematiku, kdy dochází k podvržení identity odesílatelee-mailu a tím uvedení adresáta v omyl, často s velice významnými i trestněprávnímidopady.

Úvod

V zásadě se jedná o to, že lidé obecněvěří tomu, co jim do e-mailové schránkydojde. Neuvědomují si, že z principiál-ních důvodů a podstaty SMTP protokolu(povšimněte si, že SMTP znamenáSimple Mail Transfer Protokol), na kte-rém je posílání e-mailů založeno, jevelice jednoduché padělat identifikaciodesílatele a vlastně padělat kompletněnejenom obsah e-mailu, ale i kompletníobsah celé hlavičky[1], o které se domní-váme, že „je generován systémem” a tedymusí být věrohodný.

To, co vidíme v našem e-mailovém kli-entovi, je pouze tzv. „standardní” částhlavičky e-mailu, standardně pouze po-vinné položky hlavičky, jako „Odesilatel”,„Adresát”, „Datum”, „Předmět” a „Tělo”zprávy. Abychom si uvědomili nebez-pečnost důvěry v informace, které jsouv hlavičce e-mailu uvedeny, musímevědět, že obsah hlavičky tvoří textovéinformace (stejně jako i tělo zprávy),které lze velice jednoduše podvrhnout.Protože to je volný text, lze do hlavičkynapsat úplně cokoliv, nejenom podvr-ženou adresu odesilatele. Posílání e-mailů je založeno na protokolu SMTP,

který pochází ještě z dob počátkůinternetu (1982), je to skutečně velice„simple” protokol.

Problém MessageID

Jednou z rozšířených a nepovinnýchpoložek hlavičky e-mailu je položkanazvána „MessageID”. Poměrně často sestává, že tato položka je používána jakohodnověrná informace, která sloužík identifikaci odesílajícího mailovéhoserveru. Není to však pravda.

Položka MessageID byla vytvořena a jepoužívána primárně k účelům zřetězeníe-mailů proto, aby nám e-mailový klientumožnil zobrazit tzv. strom celé ko-munikace (tj. sloučit do jednoho stromuveškerou komunikaci k danému sub-jektu nebo k provotnímu e-mailu, kterýinicioval celou další komunikaci).V žádném případě položka MessageIDnení vytvořena pro účely prokazovánízdroje nebo původu odeslané zprávy, byťv případě, že e-mail hodnověrně nenípodvrhem, lze z této položky odesílajícímailový server obecně identifikovat. Alenení to pravidlem a tedy nelze na ta-kovém jevu stavět závěry.


Pravidlo pro tvorbu MessaageID říká, žehodnota musí mít tvar e-mailové adresy,tj. před i za znakem „@”je syntaxe zna-ků, která odpovídá pravidlům tvorby e-mailové adresy a že hodnota MessageIDby měla být globálně unikátní. Z tohodůvodu se za znak „@” obyčejně uvádívalidní doménové jméno mailovéhoserveru. Složitější to je se znaky předznakem „@”, ty si v rámci své působnostivytváří každý mailový server podle svýchvlastních pravidel. Ve výsledku pak mů-žeme dostat hodnoty MessageID např. vetvaru:

<[email protected]>

nebo také:

<[email protected]>

Protože neexistují obecně platná pravidlapro ověřování hodnoty MessageID (je tohodnota proprietální pro každý mailovýserver), nelze se při identifikaci ode-sílajícího mailového serveru na hodnotuMessageID spoléhat[2]. Z toho také vy-plývá, že pro forenzní analýzu a proutváření závěrů zkoumání, které by vy-cházely pouze z hodnoty MessageID, jepoložka MessageID absolutně nevhodná.Zopakujeme ještě jednou, že hodnotapoložky MessageID je, jako každá jinápoložka hlavičky e-mailu, zadávána jakootevřený text a lze ji, jako každou jinoupoložku hlavičky e-mailu, lehce pod-vrhnout.

Jedinou cestou, jak zvýšit hodnověrnosthodnoty MessageID, je ověření její vali-dity přímo prostřednictvím odesílajícíhomailového serveru, tj. zaslat dotaz naprovozovatele odesílajícího serveru, zdakonkrétní hodnota MessageID je validní

a zda odpovídá některému konkrétnímue-mailu, který byl daným mailovýmserverem zaslán. Bez takového ověřenívalidity hodnoty MessageID je nutnézávěry, které jsou položeny na neověřenéhodnotě MessageID považovat za ne-platné.

Závěr

Identifikace odesílajícího serveru e-mai-lové zprávy pomocí hodnoty položkyMessageID z hlavičky e-mailu se můžejevit jako dobrý a jednoduchý způsobpotvrzení odeslání e-mailu z danéhoserveru. Takové závěry však nejsou polo-ženy na správných předpokladech.

Hodnota MessageID je v hlavičce e-mailuuváděna z jiných než identifikačníchdůvodů a pravidla tvorby hodnoty tétopoložky nepředepisují, aby obsahovalaidentifikaci odesílajícího serveru. To, žehodnota MessageID je udávána v ote-vřeném textovém formátu a že takovouinformaci MessageID obsahuje, můženaopak dobře posloužit ke zvýšeníhodnověrnosti podvrženého e-mailu. Bezzpětného ověření validity každé kon-krétní hodnoty MessageID u provo-zovatele odesílajícího e-mailu jsouveškeré závěry, které by byly na hodnotěMessageID postaveny, lehce vyvratitelné.

Literatura

[1] http://martin.vancl.eu/odeslani-e-mailu-z-cizi-adresy-bez-znalosti-hesla

[2] Satheesaan Pasupatheeswaran, "Email'Message-IDs' helpful for forensic analysis?",Originally published in the Proceedings of the 6thAustralian Digital Forensics Conference, EdithCowan University, Perth Western Australia,December 3rd 2008



Pokyny pro autoryDigital Forensic Journal je odborný ča-sopis, který se věnuje problematice fo-renzního zkoumání digitálních dat.

Přijímáme články jak specializované,které se věnují konkrétním technickýmproblémům, tak i informacím v širšíchsouvislostech z oblasti obecných otázekznaleckého zkoumání.

Věnujeme se doporučením a meto-dickým pokynům, pozornost věnujemetaké použití digitální forenzní analýzy vtrestně-právních otázkách ale i v proce-su šetření bezpečnostních incidentů ICT.Nevyhýbáme se tématiky bezpečnostiICT ve vztahu k šetření bezpečnostníchincidentů, jakož i dalších oblastí použitídigitální forenzní analýzy.

Rukopisy jsou přijímány elektronicky naadrese [email protected] ve všech běžných da-tových formátech.

Struktura příspěvků je dána v zásaděpodle toho, jak jsou uvedeny příspěvky vaktuálním čísle, tedy název, autor (pozi-ce a kontaktní e-mail), anotace asamotný obsah článku. Doporučujemečlenit kapitoly a podkapitoly nanejvýšedo tří úrovní. Rozsah článku není v prin-cipu omezen, doporučujeme nepřesáh-nout 10 stran. Obrázky a grafiku vložtedo textu příspěvku, aby bylo zjevnéjejich umístění v textu a navíc přiložtejako samostané soubory v dostatečnékvalitě.

Případné obsahové nebo technické při-pomínky redakce k příspěvku budou in-dividuálně projednány s autorem.Příspěvky v zásadě neprocházejí jazy-kovou korekturou, autor odpovídá za ob-sah a za věcnou a gramatickou správ-nost příspěvku.

Příspěvky, které nebudou splňovat výšeuvedené základní požadavky, nebudoupublikovány.

Rozhodnutí o publikaci příspěvku je vevýhradní kompetenci vydavatele.

Digital Forensic JournalISSN (Print): 2336-4750

ISSN (On-line): 2336-4769