Ing. Marián Svetlík
Forenzní audit digitálních dat
Forenzní audit digitálních dat
Ing. Marián Svetlík
[email protected] Úvod Slova o důležitosti, hodnotě a významu informací v našem každodenním životě jsou opakována při každé příležitosti, kdy se hovoří o digitálních datech a informačních technologiích. Zdálo by se, že to je snad i zbytečné je zdůrazňovat, ale opak je pravdou. Zkušenosti ukazují, že lze zaznamenat jen nepatrný posun v chápání postavení informací v osobním, podnikatelském a i veřejném životě. A to posun, který ale ani zdaleka necharakterizuje celé spektrum problematiky. Proč? Pokusím se to vysvětlit na následujícím příkladě, který ilustruje přibližný podíl základních druhů informací, které jsou uloženy v informačních systémech. Po určité době fungování prakticky každého počítače se postupně vytvoří přibližně následující poměr informací - uživatelská data 20%, metadata 40% a operační systém40%. Tento poměr je samozřejmě variabilní a je jen odhadem v určitém časovém okamžiku. Ilustruje ale situaci, kterou chci v tomto článku popsat. Chci zdůraznit že to, čemu se případně v současnosti při různých analýzách věnuje pozornost, jsou zejména jen uživatelská data, která ovšem zabírají jenom malý zlomek všech dostupných informací, který v optimálních podmínkách v průměru určitě nepřesahuje 20% všech informací v informačním systému. Můžete si říct, proč by ty ostatní informace měly být zajímavé nebo důležité? Při analýze uživatelských dat (např. souborů MS Office) se nikdy nemůžeme spoléhat pouze na čitelný obsah samotných souborů. Při práci s informačním systémem vzniká velké množství dalších informací, které můžeme souhrnně nazvat „metadata”. Jak je uvedeno výše, takových metadat vzniká mnohokráte více, než je těch uživatelských dat. Přitom metadata vznikají hlavně v přímé souvislosti se vznikem nebo při práci s uživatelskými daty, tedy mají s těmito daty přímou souvislost. Jestliže se v datech například nachází soubor, který se nazývá např. „Falešná smlouva.doc”, prakticky vůbec nic to o tomto souboru nemusí vypovídat. A to ani potom, když soubor otevřeme a případně i vytiskneme na tiskárně. Až když zjistíme všechny další informace o souboru (většinou z metadat), tedy jak vznikl, kdo ho vytvořil, jak se dostal do počítače a podobně, lze učinit odpovídající závěry. Uvedu jeden příklad, který bude, doufám dostatečně názorný (byť jakékoliv připodobnění vždy pokulhává): Když v MS Wordu napíšeme slova „Dobrý den”, je to v 1
Ing. Marián Svetlík
Forenzní audit digitálních dat
podstatě jenom 9 znaků. Obsah uživatelských dat je tedy jen 9 bajtů. Dokument MS 1 Wordu, který takto vznikne má však přibližně 26 000 bajtů. Poměr dat a metadat je tedy téměř 1:3000. Když proto chceme mluvit o analýze digitálních dat, nelze mluvit pouze o uživatelských datech, ale vždy je nutné na tato data pohlížet v uceleném kontextu informačního systému se vším, co tento systém obsahuje. Výše uvedený jednoduchý příklad slouží pouze pro ilustraci toho, co vše se potenciálně skrývá v informačních systémech. Analýza takových dat je proto komplexní problém.
Forenzní audit? Slovní spojení „forenzní audit” se vyskytuje nezřídka, nejčastěji se s ním můžeme pravděpodobně setkat ve smyslu důkladného účetního auditu. To když instituce nebo organizace chce zdůraznit, že si nechá prověřit své účetnictví skutečně důkladně, prohlásí, že si nechá udělat forenzní audit. Chce tím přidat na vážnosti a důkladnosti prováděného auditu. 2
O vztahu auditu a forenzní analýzy jsem již několikrát svůj názor napsal . Ve stručnosti jenom obecně shrnu, že podle mého názoru je pod pojmem audit potřebné chápat zejména zjištění určité míry souladu s něčím, co stanovuje určitá pravidla činnosti, přičemž audit většinou nezkoumá veškeré dostupné podklady, ale svůj závěr vyjadřuje na základě posouzení vzorku zpravidla náhodně vybraného většího nebo menšího objemu poskytnutých dat. Jestliže mluvíme o forenzním auditu, můžeme předpokládat, že takový audit podrobně prozkoumá všechny podklady, které dostane ke zkoumání, tedy by se nejednalo o audit na základě poskytnutého vzorku, ale audit všech poskytnutých záznamů o činnosti, která auditu podléhají. Chtít však po auditu, aby pátral po tom, zda u auditovaného náhodou neexistují např. i jiné podklady, které by svědčily např. o paralelně vedeném jiném účetnictví, asi není dost dobře možné. Proč se tedy snažím zdůraznit rozdíl mezi (forenzním) auditem a forenzní analýzou? V následujícím se pokusím vysvětlit, co oba pojmy zásadně odlišuje. Jedním ze základních rozdílů mezi auditem a forenzní analýzou je subjekt, tedy osoba nebo organizace, která tyto činnosti vykonává a s tím související právní rámec, ve kterém se obě činnosti (audit i forenzní analýza) pohybují. U auditu to je certifikovaný auditor, na kterého se vztahují určité povinnosti, dané specifickými regulatorními zásadami a pravidly. Forenzní analýzu provádí zpravidla soudní (forenzní) znalec, na kterého se vztahují zcela jiná pravidla (Zákon o znalcích a tlumočnících) a mimo jiného výkon jeho činnosti
1
Přirozeně tato data závisí od verze a konfigurace operačního systému a zejména verze programu MS Word.
2
Data security Management 2/2002, Security Magazín 4/2000 a jinde.
2
Ing. Marián Svetlík
Forenzní audit digitálních dat
podléhá trestněprávní odpovědnosti se sazbou až 10 let za úmyslně nepravdivý znalecký posudek. Tyto základní rozdíly se vztahují v plné míře i na forenzní analýzy v oblasti digitálních dat.
Obecné charakteristiky forenzní analýzy Systematikou forenzních analýz se u nás zabývá už jen částečně a navíc pouze malý zbytek vědecké komunity, většinou akademici, kteří zbyly z minulých dob z oblasti kriminalistiky. Proto vědecké a odborné zdůvodnění, které by odpovídalo současnému vývoji, lze najít jen stěží. Jediným právně závazným zdrojem informací o forenzní analýze může být potenciálně pouze „Zákon o znalcích a tlumočnících” (a jeho prováděcí vyhláška), který je však ve své konstrukci již téměř 50 let starý. Proto lze použít v podstatě pouze zkušenosti z ciziny. Tady si dovolím použít již jednou 3 publikované charakteristiky forenzního zkoumání: Legalita, tj. veškeré informace, stopy, vzorky, předměty, dokumenty atp., které slouží jako zdroj/vstup, metody a způsoby zpracování, a tedy i výstupy, musí být získány, pořízeny a zhotoveny legálním způsobem. Integrita, tj. vše, co bylo prováděno, veškeré způsoby práce se vstupními informacemi (stopy, vzorky...), musí být prováděno způsobem, ze kterého je jednoznačně jasné, že nemohlo dojít k úmyslné nebo neúmyslné manipulaci nebo změně, která by mohla ovlivnit vypovídací schopnost zkoumaných vzorků. Vždy je nutné mít zdokumentováno, kdo, kdy, kde, jak a proč s nimi co dělal. Opakovatelnost a přezkoumatelnost, tj. použití takových způsobů práce a jejich dokumentace tak, aby metody mohly být opakovaně provedeny stejným způsobem, čímž by se ověřilo, zda se dospěje ke stejným závěrům (opakovatelnost), nebo aby pomocí jiných ekvivalentních metod (pokud existují) mohla být správnost závěrů ověřena (přezkoumatelnost). Nepodjatost, tj. nezávislost subjektu provádějícího forenzní činnosti na zkoumaném předmětu nebo objektu. Detailní dokumentace je neodmyslitelným atributem, který podmiňuje všechny výše uvedené. Bez ní by bylo obtížné prokázat nejen faktické závěry, ale i to, že výše uvedené atributy byly bezezbytku naplněny. Odbornost. Zdá se to být samozřejmé, ale jsou určité obory (a zkoumání digitálních dat z důvodu extrémní dynamiky vývoje k nim jednoznačně patří), kde musí být odbornost neustále doplňována a (měla by být) neustále ověřována. Předesílám, že všechny výše uvedené atributy forenzního zkoumání nejsou podle mých
3
Data Security Management 1/2010
3
Ing. Marián Svetlík
Forenzní audit digitálních dat
informací v ČR nikde právně nebo jiným způsobem závazně zakotveny a vycházejí pouze z best practices a ze zahraničních doporučení. Pouze podjatost je specifikována Zákonem o znalcích a tlumočnících jako možnost, pro kterou může být znalec ze zkoumání vyloučen. A protože nejsou tyto atributy závazné, často nejsou dodržovány. Uvedené atributy platí v podstatě pro všechny znalecké/forenzní obory, digitální forenzní analýzu nevyjímaje. Aby mohla být digitální forenzní analýza provedena způsobem, který je splňuje, musí být použity specifické postupy a metody práce s digitálními daty. K tomu je však nutné nejdříve věnovat trochu pozornosti vlastnostem digitálních dat, protože od nich se dále odvíjí i základní metody, které musí být při samotné analýze použity.
Vlastnosti digitálních dat Pro detailní popis veškerých vlastností digitálních dat, které mají přímý vliv na metody, které se v procesu digitální forenzní analýzy používají, není v tomto článku prostor. V zásadě lze specifikovat několik desítek důležitých vlastností digitálních dat, které významně ovlivňují metody a postupy digitální forenzní analýzy. Přesto bych některé elementární vlastnosti uvedl, protože na způsob forenzní práce mají zásadní vliv. Kompletnost dat. Pro forenzní analýzu digitálních dat má zásadní vliv kompletnost vstupních dat. To přímo souvisí s tím, co bylo uvedeno v úvodu tohoto článku. Integrita dat. V průběhu celé analýzy musí být zachována integrita původních dat. Znamená to, že musí být prokazatelně prověřeno, že v průběhu činností, které proběhly od doby zajištění/získání původních (originálních) dat nedošlo k jejich změně. V opačném případě i minimální změna (byť by to byl jeden bit - např. nastavení atributu „read-only”) v datech může zpochybnit celé zkoumání. Citlivost na změnu. Byť digitální data lze v běžných podmínkách celkem spolehlivě uchovávat několik let ba i desetiletí, při neodborném zásahu je lze i nevědomky neuvěřitelně lehce a rychle změnit. Např. během jediné vteřiny lze teoreticky smazat až cca 200 000 souborů na disku (přesněji vymazat jejich adresářové záznamy). Tato vlastnost je důležitá nejenom při volbě metod digitální forenzní analýzy, ale zejména při získávání původních/originálních dat. I běžnému uživateli stačí 3-4 kliknutí myší nebo úhozů do klávesnice k tomu, aby spustil proces mazání dat a to pak stačí několik málo dalších vteřin k tomu, že data mohou být ztracena nebo se jejich obnovení výrazně zkomplikuje. Výše uvedené vlastnosti digitálních dat patří k těm základním, které také ovlivňují prvotní a základní metody a postupy při forenzní analýze. Jak již bylo uvedeno v úvodu, základním požadavkem, který s digitální forenzní analýzou přímo souvisí, je získání maximálního možného objemu dat, které souvisí s analyzovanou skutečností. Obvyklým postupem je získání kompletního obsahu všech dostupných paměťových médií. Přes argumenty o zbytečnosti a velkých objemech takových dat, problematika digitální forenzní analýzy to většinou vyžaduje. Předem totiž kromě uživatelských dat není zřejmé, jaká další, zejména metadata, budou potřebná 4
Ing. Marián Svetlík
Forenzní audit digitálních dat
pro zjištění hodnověrných závěrů. Navíc různá metadata se nacházejí na různých místech operačního a souborového systému. Dopředu není vždy zřejmé, zda budou potřebná metadata souborového systému, logy operačního systému, síťového provozu, nastavení přístupových oprávnění, další informace z různých registrů, další konfigurační soubory nebo cokoliv dalšího, např. související soubory, pracovní data, dočasné soubory, předchozí verze, dávno smazaná data nebo obsah tiskových front a pod. Z těchto důvodů patří ke standardním postupům získání tzv. obrazů paměťových médií/disků. Jedná se o bitovou kopii paměťového média, tedy kopii, která je pořizována speciálním postupem a obsahuje kompletní obsah média od jeho prvního po poslední sektor. Tím je zaručena kompletnost dat, která jsou v daný moment k dispozici. Z důvodu zajištění integrity získaných dat se hned v procesu pořizování počítá kontrolní suma zajištěných dat. Většinou se jedná o výpočet tzv. hash kontrolních sum, aktuálně nejčastěji MD5 a SHA256. Taková kontrolní suma je pro obraz disku jedinečná a zajišťuje integritu dat. I změna jediného bitu v souboru způsobí, že opětovně spočtená kontrolní suma se od té původní vždy bude odlišovat. To je spolehlivý způsob zjištění, zda data zůstala nezměněna, tj. zda opětovný výpočet kontrolní sumy dá stejný výsledek jako kontrolní suma při prvotním pořízení obrazu disku. Obraz paměťových médií, společně s jeho kontrolní sumou, jsou základní informace, které slouží jako vstup pro digitální forenzní analýzu. Jsou důležité nejenom pro kompletnost a integritu vstupních dat, ale i pro zajištění možnosti opakovat a/nebo přezkoumat závěry digitální forenzní analýzy. Jestliže totiž má být nějaký proces (forenzní analýza) opakovatelná nebo přezkoumatelná, musí být zajištěny přesně stejné výchozí podmínky. U digitální forenzní analýzy to jsou zejména přesně stejná vstupní data. Přirozeně takovou bitovou kopii nelze zkoumat přímo, je to jen binární soubor, který nelze běžně analyzovat bez použití dalších speciálních nástrojů, které zpětně interpretují forenzní obraz disku do podoby, která již umožňuje dohledat a identifikovat požadované informace. Výše uvedený postup je tedy prvním důležitým charakteristickým rysem korektně a správně prováděné digitální forenzní analýzy. Samozřejmě, jako z každého pravidla, i tady existují částečné výjimky. Ty ale musí být řádně zdůvodněny a zadokumentovány, aby i jejich opodstatněnost mohla být přezkoumána.
Uplatnění digitální forenzní analýzy Jaké jsou praktické příklady provedení digitální forenzní analýzy i s tím, že jsou dodrženy výše uvedené základní postupy? Když pomineme aplikace, které jsou použity ve specifických případech šetření trestních věcí pro policii nebo soudy, můžeme například uvést šetření bezpečnostních incidentů v případech bankovních aplikací. Každá banka má (nebo by měla mít) speciální tým, který se zabývá šetřením bezpečnostních incidentů např. v internetovém bankovnictví. Velice často se stává, že klient banky oznámí zneužití jeho internetového bankovnictví prostřednictvím 5
Ing. Marián Svetlík
Forenzní audit digitálních dat
škodlivého kódu a zcizení prostředků z jeho účtu. Šetření takové situace probíhá paralelně ve dvou rovinách. Jedna je trestněprávní a provádí ji v zásadě orgány policie s cílem zjištění pachatele a jeho následného potrestání. Druhá rovina je bezpečnostní a provádí ji právě bezpečnostní tým banky s cílem zjištění bezpečnostní díry, která byla pachatelem zneužita, a opravy zjištěného bezpečnostního problému. Představme si situaci, kdy klient při zjištění zcizení prostředků z jeho účtu provede (správně) oznámení na policii a současně informuje o problému svoji banku. Dva týmy, policejní i bezpečnostní, zahájí odpovídající činnosti. U obou týmů jde o odlišné cíle, ale měli by použít stejné základní postupy, zejména pro zajištění vstupních dat. Záleží totiž na tom, který tým se dostane k původním datům klienta jako první. Ať to je kterýkoliv tým, důležité je, aby získání vstupních dat pro provádění následných analýz proběhlo korektně a aby nedošlo už při prvotních úkonech k narušení jejich integrity. Oba týmy by tedy měly být dostatečně kvalifikované k tomu, aby zajistily data způsobem, který je objektivní a získaná dat a mohou být použita jak pro policejní šetření, tak pro bezpečnostní analýzy banky. Jestliže totiž bezpečnostní tým banky dorazí ke klientovi před policejním týmem (obyčejně častější situace), neodbornou činností může znehodnotit původní data a policejní šetření pak může být znemožněno a pachatel nemusí být identifikován a potrestán. V extrémním případě se může jednat o maření vyšetřování právě znehodnocením důkazů. V opačném případě se často stává, že se bezpečnostní tým banky k původním datům nedostane vůbec nebo data nemusí být zajištěna policii kompletně (nejčastěji chybí forenzní obraz operační paměti) a tím se znemožní analýza bezpečnostní slabiny internetového bankovnictví a může dojít k mnoha dalším krádežím prostředků u dalších klientů banky. Použití správných forenzních postupů by tedy mělo být samozřejmostí pro všechny subjekty, které následně provádějí forenzní analýzy digitálních dat nezávisle na konečném účelu takových analýz. Následné analýzy mohou být různé a s různým účelem a cílem. Základem každé digitální forenzní analýzy jsou však korektně a forenzně čistým způsobem zajištěná vstupní data. Nad takto zajištěnými a ošetřenými daty pak lze provádět libovolně náročná zkoumání, opakovat je v libovolném počtu a v libovolné době. Zajištění kompletnosti a integrity vstupních dat je tedy jedním z klíčových atributů digitální forenzní analýzy.
Závěr Forenzní audit digitálních dat, nebo lépe a přesněji řečeno digitální forenzní analýza, je analýza digitálních dat s cílem zjištění skutečností, dějů a procesů v prostředí digitálních dat. Základem je komplexní posouzení celého systému vzájemně propojených a podmíněných informací (např. operačního systému, uživatelských dat, metadat a síťových dat) s předem definovaným cílem a způsobem, který zaručí nezávislost, legálnost, integritu, opakovatelnost a přezkoumatelnost zjištěných závěrů. Zabezpečení forenzních atributů digitální forenzní analýzy je podmíněno použitím 6
Ing. Marián Svetlík
Forenzní audit digitálních dat
speciálních metod a postupů, od zajištění vstupních dat až po získání výstupů. Základním krokem digitální forenzní analýzy je forenzně čistý způsob zajištění vstupních/výchozích dat. Další kroky jsou pak různorodé, závislé od cíle a určení výsledků takové analýzy. Nicméně všechny následně použité metody a postupy musí být před jejich prvním použitím spolehlivě ověřeny a jejich použití musí být dostatečně zadokumentováno pro případné opakování nebo přezkoumání. Výsledky takto provedené digitální forenzní analýzy mohou být použity v jakémkoliv pracovněprávním i trestněprávním sporu a mohou sloužit jako důkaz u soudu. Výsledky správně provedené digitální forenzní analýzy mohou také sloužit jako objektivní zjištění v procesech šetření bezpečnostních incidentů. Ne každá analýza digitálních dat může být považována za forenzní, byť by takovým způsobem byla deklarována. Pouze takové analýzy, které splňují všechny výše uvedené atributy forenzní analýzy mohou být prohlášeny za forenzní, přičemž v podstatě nezáleží, kdo takovou analýzu provádí. Použití speciálních forenzních metod a postupů však implikuje specifickou kvalifikaci, dovednosti, schopnosti a zkušenosti subjektů, které jsou schopné digitální forenzní analýzu provádět. Nicméně je nutné přiznat, že výše uvedená kritéria nejsou nikde zakotvena a v současnosti nejsou žádnými opatřeními od subjektů, stanovených pro provádění forenzních analýz v prostředí digitálních dat, požadována. Proto neplatí, že všichni soudní znalci (forenzní specialisté) jsou schopni provádět digitální forenzní analýzy správným a forenzně korektním způsobem.
7