Elektronické důkazy a jejich uchovávání

Elektronické důkazy a jejich uchovávání Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze © Zdeněk Blažek, 2011

Kybernalita ZS 2011/12, Předn. VI https://edux.fit.cvut.cz/MI-KYB-1

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Ing. Zdeněk Blažek, CSc. CISM.

Elektronické důkazy

Přednáška 1/13, 2011

Temata • • • • •

Vývoj IT – časovaná bomba Vývoj datových nosičů Doba udržení dat – je dostačující? Digitální důkazy – sběr/archivace Standardy/modely pro sběr digitálních důkazů • Problémy archivace – týká se nejenom dat, ale i aplikací • Mizející znalosti - aplikace 10/5/2011

2

Elektronické důkazy a jejich uchovávání IT development

• Nekoordinovaný - chaotický • Je příliš IT? • Příliš mnoho norem/standardů, které vlastně ani standardy nejsou • Některé platformy zcela zmizely, nové nejsou zpětně kompatibilní ... • Legislativní požadavky – uchovávejte data 30 let a více • Požadavky na aplikace

Elektronické důkazy a jejich uchovávání IT development

• Problémy s nekompatibilitou(např. Office software, databáze ...) • Technické – sběrnice – rozhraní – Nosiče dat – uchovávání, retence, životnost...

• Operační systémy • Datové formáty • Aplikace/dodavatelé – – – –

Bankrot firmy Převzetí firmy jiným subjektem Ukončení podpory produktu Ztráta know-how

Elektronické důkazy a jejich uchovávání • Digitální důkazy obvykle: – Ukážou cestu k dalším důkazůmProvides leads to other evidence… – Posilují vypovídací schopnost jiných důkazů … • Většinou jsou nepřímé povahy, v současnosti však mohou být považovány některé z nich i za přímé důkazy – IM!!!) • Digitální důkaz musí být získán způsobem, který je z právního hlediska přijatelný, tedy legálně. Nejlépe je min. počet změn a jestliže již jsou provedeny, musí být zaprotokolovány a dohledatelné. Musíme být schopni zajistit a dokázat, že to, co máme nyní je identické s tím, co jsme obdrželi původně. • Naše analýza musí být opakovatelná.

10/5/2011

5

Elektronické důkazy a jejich uchovávání

• Mění se normy, některé jsou rušeny. • Ztrácí se znalosti. Některé starší aplikace již nejsou podporovány a je těžké sehnat odborníky, kteří by byli schopni z nich data dostat. Navíc, takoví lidé jsou dost drazí, tedy stoupají náklady. • Problém: Musíme být schopni dokázat, že to, co máme, je identické s tím, co jsme obdrželi. Naše analýza musí být opakovatelná. • Po např. 10 letech může být velmi obtížné a drahé získat data (např. při obnovení procesu z důvodu nových důkazů).

10/5/2011

6

Elektronické důkazy a jejich uchovávání Archivace důkazů

• Problém: Jestliže je to možné, používejte pro archivaci raději běžně dostupné nosiče než nějaké obskurní a moderní. Brezinski & Killalea RFC 3227 Evidence Collection and Archiving February 2002 • Nový problém pro celou společnost – Množství dat velice rychle narůstá – 281 billion gigabytů v r. 2007*, 1 zettabyte (1021) v roce 2010/11 a očekává se až 35 zettabytů v r. 2020. . Archivace je velmi často mylně zaměňována za zálohování. Co s těmito daty ??? • Uchování dat. Během několika let se stane stěžejní záležitostí. 10/5/2011

*Study: amount of digital info global storage capacity By Ryan Paul | Published: IDC, March 12, 2008

7

Vývoj nosičů dat Paper Magnetic Magnetic Magnetic Optical Punch Tape 5,25“ 3,5“ CD (IR Card Disk Floppy laser) Tape 1970

beg. 80´s end 80´s

beg. 90´s

Optical DVD (Red Laser)

end 90´s 2000+

Optical BR (Blue/viol. Laser)

???

2005+

Jsme schopni přečíst data? 3,5“ a dále ano, ale .... Zachování dat na nosičích je rovněž otázkou. Data na páskách jsou v pořádku, pokud nejsou komprimována. Optické nosuče jsou stále otázkou, schází reálná zkušenost. Data zašifrovaná a komprimovaná – v zásadě drahé a citlivé na obsluhu a skladovací podmínky. Flash neuváděna – data zmizí dříve či později

Nosiče dat – jak odhadnout dobu uchování dat? Testovací možnosti Jsou pouze dvě cesty, jak ověřit, že data mohou být uchována po delší dobu: 1) Zapište na několik CD/DVD/BRD data, pak čekejte cca. 25-50 let a po té přezkoušejte, zda data jsou čitelná 2) Použijte CD/DVD/BRD analyzátor, který je schopen získat přesné informace o vašich nosičích a datech, použijte speciální komoru, která simuluje stárnutí (vlhkost, teplota …) Ad 1) První metoda je poněkud nepraktická (jedny z prvních disků v Japonsku, jsou stále čitelné – vyjímka) Ad 2) Tato metoda dává pouze teoretické výsledky Nebere do úvahy zacházení s medii. Nikdo nemůže na základě takových výsledků předjímat budoucnost. •

V zásadě se nikdo nedokáže shodnout na tom, která media jsou ta pravá z hlediska uchování dat po dobu 30, 50, 100 let – zelená, zlatá, modrá nebo zlatostříbrná odrazová vrstva. Dle zkušebních protokolů ISO by kvalitní media měla vydržet od 50 do 200 let!!!.

10/5/2011

9

Nosiče dat - vývoj • Flash paměti/USB zařízení • FAMOS (Floating Gate Avalanche Injection MOS). Principy? V dielektrikum

Nosič náboje

GND Doba uchování dat se liší podle kvality použitého materiálu, skladování a kvality výroby.

Elektronické důkazy a jejich uchovávání

• Právníci, soudy apod. přijímají elektronické důkazy pouze ve formě, které jsou schopni porozumět (kvalita prezentace, materiálu, dokumentace …) • Celý proces musí být důvěryhodný (uchování důkazu, analýza, duplikace sebraných dat ...) • .... Nejlépe postupovat podle forensních příruček, průvodců apod. • Problém: digitální důkaz se většinou nevztahuje ke konkrétní osobě, IM je obvykle slabý a tudíž je potřeba identitu ověřit jiným způsobem.

Elektronické důkazy a jejich uchovávání • Potíže často vznikají již při příchodu na místo činu – první příchozí jsou často běžní policisté, kteří se nevyznají v problematice a mohou i některé důkazy zničit (dokumentování zařízení, neví, co přesně hledat – jaká zařízení apod., nestarají se o teplotu, vlhkost, statickou elektřinu, slunce atd.) • Je třeba vzít do úvahy také fakt, že soudy nepracují rychle. Některé procesy se mohou táhnout i 12 let (uvědomte si, kde bylo IT před 12 lety). • Zálohujte si sebraná data. Když vyslýcháte kriminální osoby, používejte vždy odborníky. Př: Detektivové přinesli hackerovi do věznice notebook i s daty z vyšetřování, aby mohl, jak on sám říkal přistoupit k datům na síti. Výsledek: data smazána, důkazy zničeny …. • Prevence: připravit detailní příručky a postupy pro policii Př.: First Responders Guide to Computer Forensic, March 2005, CERT, Carnegie Mellon Univ. USA

E – kriminalita: stopy • Kde hledat
Phishing: na PC uživatele – mail, na serverech, přes které útok probíhal
Pharming: na PC uživatele – host soubor, mail, DNS serverech, Web serverech
Napadení počítače – na PC HDD, RAM, prohlížeč, cache
Kriminální činnost uživatele PC – PC, přenosná media, datové nosiče, web mail servery, web servery podezřelého, ....
Porušení autorských práv – PC, datové nosiče, jiné e-přístroje, nástroje na prolamování ochran, nelegální sw...
Dětská pornografie – PC uživatele, web servery, web mail servery, datové nosiče....

E – kriminalita: kde mohou být data • • • •

PC - HDD, RAM Servery – HDD, RAM, zálohy PDA Datové nosiče – flash, DVD, CD, přenosné disky, pásky, FDD • Kamery, fotoaparáty, diktafony, mp3 přehrávače • Síťové komponenty – směrovače, bezpečnostní prvky (firewall...)

E – kriminalita: nalezené stopy/důkazy • Vypovídací schopnost získaných dat – Data jsou různého druhu: • • • • • •

Obrazový materiál Zvukový materiál Záznamy o činnosti výpočetního prostředku!! Elektronicky psané dokumenty Digitalizované dokumenty Data, vázaná na aplikaci

E – kriminalita: nalezené stopy/důkazy • Obrazový materiál – Problém originality – digitální fotografie (neupravovaná) je vždy originál – Možnost zjištění originálu v případě, kdy fotografie je upravovaná jednodušším sw (efekt „červených očí“, doostřování apod. – Někdy možnost zjištění kopie originálního nosiče (chráněná videa apod.) – Čas sejmutí - neprůkazný

• Zdroje – – – – – – – –

Digitální fotoaparáty Videokamery Mobilní telefony/PDA s fa Web kamery Datové nosiče (DVD/CD, VHS...) MP3 přehrávače Herní zařízení (PSP...) Web servery (nutná spolupráce s poskytovateli internetových služeb)

E – kriminalita: nalezené stopy/důkazy • Zvukový materiál – Problém originality – digitální záznam (neupravovaný) je vždy originál – Možnost zjištění originálu (CD/DVD...) v případě komprese dat (mp3...) – Možnost zkreslení specializovaným sw

• Zdroje – – – – – – – – –

Diktafony Počítačové záznamy (mikrofon apod.) Videokamery Mobilní telefony/PDA Digitální fotoaparáty s možností natáčení sekvencí Datové nosiče (CD/DVD ....) MP3 přehrávače Herní zařízení (PSP...) Web servery (nutná spolupráce s poskytovateli internetových služeb)

E – kriminalita: nalezené stopy/důkazy • Záznamy o činnosti výpočetního prostředku - velmi citlivá oblast – Sběr těchto dat vyžaduje specialistu – forensní audit atd..... – Nutná úzká spolupráce s policií – nutné ev. další důkazy – Sběr těchto dat často vyžaduje spolupráci s poskytovateli telekomunikačních/internetových služeb – Sběr těchto dat vyžaduje i postupy pro jejich zajištění – nesmí být zpochybnitelný

• Zdroje – Záznamy uchované např. v souborech auditu výpočetního prostředku, historii přístupů na internet, vyrovnávací paměti, záznamy poskytovatelů telekomunikačních služeb, záznamy poskytovatelů jiných služeb, záznamy bezpečnostních prostředků (hw/sw)

E – kriminalita: nalezené stopy/důkazy • Elektronicky psané dokumenty – Dokumenty vzniklé za pomoci prostředků výpočetní techniky – textové procesory, tabulkové procesory atd.

• Zdroje – Pevné disky počítačů (i smazaná data) – Přenosné disky (FDD, USB disky) – Datové nosiče (CD/DVD, flash paměti....- i smazaná data) – Hrací zařízení (PSP...) – Některé mp3 přehrávače – Web servery (nutná spolupráce s poskytovateli internetových služeb)

E – kriminalita: nalezené stopy/důkazy • Digitalizované dokumenty – Data převedená do elektronické formy např. scannerem, digitálním fotoaparátem.... – Zpravidla dohledatelný originál, pokud jde o neupravovanou kopii – Problém – OCR systémy, pracné porovnání

• Zdroj – Pevné disky (i smazaná data) – Datové nosiče (CD/DVD, flash paměti....- i smazaná data) – Digitální fotoaparáty/kamery – Web servery (nutná spolupráce s poskytovateli

internetových služeb)

E – kriminalita: nalezené stopy/důkazy • Data, vázaná na aplikaci – Jde o data, která neexistují samostatně, ale pouze v rámci určité aplikace, např. databázové systémy – Často data vázaná na aplikaci, která je vytvořena na míru zákazníkovi – Aplikace, naprogramované samotným uživatelem problematické • Zdroj – Komerční databázové systémy (ORACLE®, MS SQL®...) – Komerční aplikace vázané buď na komerční databázový systém nebo na zákaznický systém – Komerční aplikace, používající nestandardních postupů uchovávání dat a jejich zpracování – Nekomerční aplikace

• Způsob uložení dat – Pevné disky výpočetní techniky – Záložní datové nosiče (pásky, CD/DVD...)

E – kriminalita: stopy/důkazy • Zajištění stop/důkazů - problémy – Problém s kvalifikací zasahujícího personálu – Absence aktuálních postupů pro zajišťování stop – Zničení mnoha stop v průběhu akce na místě (nekvalifikované odpojování prostředků výpočetní techniky, špatné technologické postupy při zacházení se stopami....) – Problém zásahu do zapnutých prostředků výpočetní techniky na místě (sejmutí klasických stop vs. zajištění digitálních stop) – Dokumentace

E – kriminalita: stopy/důkazy • Zásada zajištění/získání důkazů – Zajištění by mělo být nezpochybnitelné – Platí následující: • Digitální důkazy vedou k dalším důkazům... • Podporují jiné důkazy... • Lze je použít i jako přímé důkazy, ale pouze za předpokladu, že je prokázán beze zbytku vztah k určité osobě/firmě a jsou dobře zdokumentovány. Takové důkazy musí být získány legálním a nezpochybnitelným způsobem. Musí se dodržet zásada minimálního počtu změn (nejlepší změna je žádná změna) a pokud jsou již potřeba, je nutno je dokonale zdokumentovat. Musíme být schopni prokázat, že to co máme je identické s tím, co jsme dostali. Naše analýza musí být opakovatelná.

E – kriminalita: stopy/důkazy 4 kroky procesu získání důkazu





Získání dat - identifikace Analýza dat Vyhodnocení Prezentace/publikování

E – kriminalita: stopy/důkazy • Identifikace – nutno identifikovat typ informace, která je k dispozici – nutno definovat i způsob , jak tuto informaci získat

• Konzervace – Minimální počet změn – Jakákoliv změna musí být dokumentována – Možnost prokázání toho, že co mám nyní je identické s tím, co jsem dostal

E – kriminalita: stopy/důkazy • Analýza důkazů • Výtah – binární nebo hexadecimální tvar, normálně nečitelné • Proces – čitelné • Interpretace – vyžaduje hlubší porozumění problematice a souvislostem • Opakovatelnost – analýza by měla být opakovatelná (problémem je doba opakovatelnosti)

E – kriminalita: stopy/důkazy Prezentace důkazů Určeno: advokáti, soudy, .... Přijetí závisí na:
Způsobu prezentace (je to srozumitelné?)
Zkušenosti a kvalifikaci přednášejícího
Důvěryhodnosti procesů použitých pro sběr a analýzu důkazů
Opakovatelnosti (důležité před soudem)

E – kriminalita: stopy/důkazy • •

Procedury, týkající se digitálních důkazů Všechny země mají své vlastní postupy pro zpracování digitálních důkazů, ale společné je následující: – Data by se neměla měnit, ale lze je/měla by se kopírovat – Někdy je nutný přístup k původním datům – přistupující osoba musí být kompetentní a kontrolovatelná – O takových aktivitách musí existovat auditní záznam – Přistupující osoba nese odpovědnost za to, že práce bude provedena správně a v souladu s používanými postupy

E – kriminalita: stopy/důkazy • Souhrn zpracování e-důkazů – Projděte podezřelý systém a udělejte si podrobné záznamy – Odstraňte media – Udělejte image na nový/vyčistěný disk – Originální medium uschovejte a pracujte s kopií – Pokud bude nutno, použijte image na práci i v originálním zařízení – Důkazy zpracujte a „přeložte“ do srozumitelné formy

E – kriminalita: stopy/důkazy • Čeho je potřeba se držet – Zákonné požadavky – vše musí být v souladu s legislativou – Relevance – musí souviset s případem – Úplnost – nesmí jít pouze o výtah – Spolehlivost – důraz na metody a způsob zacházení – Důvěryhodnost – postupy musí být ověřené, spolehlivé a důvěryhodné, srozumitelný výklad

E – kriminalita: stopy/důkazy • Co by měl zahrnovat „nejlepší“ důkaz: – Původní disk/datový nosič – Kopie původního disku/datového nosiče – Výtahy z disku/datového nosiče – Záznamy z analýzy dat Pořadí dle významu a použitelnosti

E – kriminalita: stopy/důkazy • Fryeovy a Daubertovy testy se zabývají přijatelností vyšetřujících technik – Frye: je použitá metoda v dané oblasti všeobecně přijímaná? – Daubert: • a) byla použitá metoda řádně vyzkoušena? • b) prochází daná metoda recenzí (vědecké publikace apod.)? • c) jaká je chybovost (falešná pozitiva a negativa)? • d) je všeobecně přijímána? • e) podléhá řídicímu procesu (používaji se standardy)?

• Kumho Tire Co. vs. Carmichael 1999 (soudce je strážcem veškerých důkazů – Daubert se má brát obecně) • Coppolino vs. stát (1. výskyt něčeho, co předtím nebylo známo)

E – kriminalita: stopy/důkazy – Frye: " is used method sufficiently established to have gained general acceptance in the particular field in which it belongs?" 1923 case, U.S. v. Frye, 293 F. 1013 (D.C. Cir. 1923) – Daubert: Daubert v. Merrell Dow Pharmaceuticals, 509 U.S. 579, 113 S.Ct. 2786, 125 L.Ed. 2d 469, (U.S. Jun 28, 1993) (NO. 92-102). The case involved the admissibility of novel Scientific Evidence.

E – kriminalita: stopy/důkazy • Dokumentační postupy – Pečlivost, souvislost – Kdo, co, kde, kdy, jak, proč – má býti obsaženo – Nutnost demonstrovat pozornost i k procedurálním detailům – Držet se zásady mít nutnou a postačující dokumentaci – ne maximální

E – kriminalita: postupy • Pokud sledujete návody pro policisty, tak lze vysledovat následující trendy:
návod je sepsán zkušeným policistou, který má i znalosti z oblasti IT. V takové chvíli jde o cenný návod, protože dotyčný autor chápe problematiku zajištění důkazu a nesoustředí se pouze na IT. To znamená, že např. říká, že je důležité na místě rozhodnout, zda se na klávesnici sejmou otisky prstů nebo je nutno klávesnici zajistit před poškozením chemikáliemi, které se pro daný účel používají a které mohou zničit klávesnici ev. jiné elektronické zařízení. Zde není v návodech řešen pouze případ, kdy počítač je zapnut, není chráněn heslem a na místě je třeba zajistit některé stopy apod. Pak je nutno klávesnici mechanicky chránit, např speciální folií, provést nezbytné kroky a zařízení předepsaným způsobem (dle forensních postupů) vypnout a odevzdat k přezkoumání z hlediska daktyloskopického atd. i z hlediska zjišťování digitálních důkazů. To samé platí např. o polohovacích zařízeních – myš , joystick .... *

E – kriminalita: postupy
návod je sepsán zkušeným odborníkem v oblasti vyšetřování elektronických přístrojů, ale neznalým dalších policejních postupů. To znamená, že takový návod je příliš zahleděn do oblasti IT a předepisuje co a jak dělat s elektronickými zařízeními, ale nebere do úvahy možný fakt, že na ovládacích zařízeních mohou být cenné stopy, které pomáhají určit jednoznačně např. identitu posledního uživatele.*
společným rysem návodů je absence určitých technologických postupů. To znamená, že např. chybí upozornění, že paměťové karty apod. by neměly přijít do přímého kontaktu s elektrostatickým výbojem, který je může dokonale zničit, dále upozornění na nízké teploty – větší mráz může data spolehlivě vymazat atd...

E – kriminalita: postupy • Postupy pro zajišťování a sběr důkazů jsou relativně dobře zpracovány od okamžiku, kdy jsou u specialisty, ale v případě tzv. „first responders“, lze nalézt mnoho nedostatků. • Důsledek – mnoho důkazů je zničeno, znehodnoceno...

E – kriminalita: teorie vs. realita • Kdo, co, kde, kdy, jak, proč – má býti obsaženo v důkazu. Kdo je důležité...!!! • Biometrika není spolehlivá, běžně dostupné metody jde snadno obejít. • Čipové karty a jiné prostředky jsou nákladné (používá zejména podniková sféra) a často neprůkazné. • Chybí elektronický průkaz totožnosti. Vzhledem k bezpečnostní situaci nelze předpokládat jeho uplatnění v IT v blízké budoucnosti • Obecně platí, že v IT není dobře zvládnutý problém řízení identity. Příklady: – Prostředky IT bez hesel – Primitivní hesla – Hesla napsaná na IT prostředcích (samolepky, pod klávesnicí...) – Nezabezpečené prostředky, snadný průnik zvenčí a možnost zneužití těchto prostředků (PC, PDA, mobilní telefony...) – Soukromá sféra nepoužívá téměř jiné zabezpečovací prostředky než hesla. – Uživatelská jména často vůbec nesouvisí s jmény uživatelů. – .....

E – kriminalita: teorie vs. realita • Kdo, co, kde, kdy, jak, proč – má býti obsaženo v důkazu. Kdy je důležité...!!! • Stanovení času v případě, kdy uživatel nepoužívá externí zdroje, je často nemožné. Důvody: – Uživatel má čas nastavený implicitně od chvíle, kdy prostředek koupil => nepřesný čas – Uživatel záměrně přestavuje čas každý den na stejnou hodnotu. Je to sice podezřelé, ale to je vše – Uživatel má špatně nastavenou časové pásmo – Uživatel má vybitou baterii CMOS paměti (zálohuje i čas) – ....

E – kriminalita: archivace důkazů • Zásada opakovatelnosti – Problém je v čase. – Otázka: „...jak dlouho je třeba uchovávat důkaz...?“ – V čase se IT velice rychle rozvíjí. Důsledkem je rychlé zastarávání techniky a norem. – V horizontu 10 – 12 let hrozí, že nebudeme schopni opakovat důkaz.

E – kriminalita: archivace důkazů Co se archivuje ve skutečnosti?

Vývoj IT a archivace
Živelný vývoj-zánik některých platforem, zánik aplikací
Množství standardů – archivace??
Legislativní požadavky – doba uchovávání až desítky let
Aplikační požadavky

Archivace důkazů • V současné době pouze několik případů, ale během několika let to může být vážný problém • Některá data musí být uschována i stovky let (elektronicky podepsané závažné právní dokumenty) • Jsou podniknuty první pokusy o vyvinutí procesů, které by zajistily bezpečnou archivaci důkazů po delší dobu (NASA …)

10/5/2011

42

Archivace důkazů – nejenom data, ale i aplikace • Množství aplikací • Provázanost aplikací s technickým vybavením, operačními systémy atd. • Ztráta dat v aplikaci • Chybějící know-how: – Schází guru – Schází dokumentace • Použijte metodiku řízení rizik pro archivaci důkazů • Příklad: Zařízení má vliv na archivaci důkazů. US soudy byly již postaveny před tento problém v případě: PHE, Incorporated dba Adam & Eve v Department of Justice, kdy PHE dostala nařízeno předložit data z databáze a zjistilo se, že neexistuje program, který by tato data získal_ 139 F.R.D. 249 (D.D.C. 1991). Stephen Mason, Electronic Evidence: Disclosure, Discovery & Admissibility (LexisNexis Butterworths, 2007), 2.05.

E – kriminalita • Děkuji za pozornost • Dotazy