SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
ILLÉSI ZSOLT
OPEN SOURCE IT FORENSICS, AVAGY NYÍLT FORRÁSKÓDÚ PROGRAMOK FELHASZNÁLÁSA AZ INFORMATIKAI IGAZSÁGÜGYI SZAKÉRTÉSBEN Az információtechnológia célpontja, eszköze, környezete, szimbóluma és tanúja is lehet a bűncselekményeknek, ezért a bűnfelderítés, a bűnüldözés során informatikai szakértői vizsgálatokra egyre gyakrabban van szükség. A dolgozatban szeretném megmutatni, hogy a nyílt forrás-kódú programok megfelelnek a jogalkalmazók igényeinek, a jogszabályi követelményeknek, a tudományos elvárásoknak. A tanulmány arra is keresi a választ, hogy mik a nyílt forráskódú programok és módszerek alkalmazásának előnyei, milyen nemzetközi erőforrások érhetők el, illetve mik a hazai fejlesztés korlátai. Kulcsszavak: informatikai igazságügyi szakértés, kriminalisztika, krimináltechnika, nyílt forráskód, nyílt forráskódú/szabad szoftver. Elements of information technology may be the target, tool, environment, symbol, and witness of a criminal offence, as a result increasing the significance of computer forensics in crime detection, and law enforcement. In my paper I would like to point out that open source software comply with, law enforcement bodies, lega, scientific, requirements. This paper also looks into what are the advantages of using open source software and methodologies, what are the available international sources, and what are the limits of domestic development. Keywords: computer forensics, forensic science, applied forensics, open source code, free/open source software.
Bevezetés Az információtechnológia az akadémiai körökből való kikerülésével szinte egy időben beépült a gazdasági életbe, a közigazgatásba, a tudományok és a technológiai szinte minden területére. Az informatika és a kommunikációs technológia fejlődésével a szoftver, hardver üzleti célú felhasználása egyre nagyobb teret nyert, az infokommunikáció a mindennapok részévé vált. A technológia fejlődésével egyre többen aknázzák ki a benne rejlő lehetőségeket. Azonban a „jó fiúk” mellett a bűnözők is felfigyeltek a 181
OPEN SOURCE IT FORENSICS
lehetőségek tárházára és a meglévő bűncselekmények új terepre vitelére, vagy hatékonyságának növelésére (pl. Btk. 289. § számvitel rendjének megsértése informatikai számviteli rendszer segítségével), a cselekmény leplezésére, a bűnelkövetés titkainak védelmére (pl. adattárolás titkosított TrueCrypt köteteken, vagy SSL kommunikációs protokoll felhasználása online kommunikáció során pedofília, vagy pontosabban a Btk. 204. § tiltott pornográf felvétellel visszaélés bűncselekmény során) használják az infokommunikációt, vagy az új technológia sajátosságaihoz illeszkedő bűncselekményeket eszelnek ki (pl. Btk. 300/C. § számítástechnikai rendszer és adatok elleni bűncselekmény). [1] Kriminológiai szempontból egy informatikai rendszer (annak hardver, szoftver komponensei, kommunikációs hálózata vagy annak szegmensei) lehet: — célpont – ha az elkövető célja a hardver vagy szoftver jogellenes módosítása, eltulajdonítása, tönkretétele, — megvalósítási/ elkövetési tárgy/ környezet, ha az elkövető a jogellenes cselekményt egy informatikai rendszeren belül, annak felhasználásával követi el, — elkövetést/ megvalósítást megkönnyítő eszköz, ha az elkövető a jogellenes cselekményének kitervelésére, nyomainak eltüntetésére használja fel a rendszert vagy annak komponenseit, — elkövetés szimbóluma, ha az elkövető jogellenes cselekményének nem közvetlen tárgya egy informatikai rendszer vagy eszköz, de a bűncselekmény során a terhelt valamilyen hardver, szoftver eszközre vagy kommunikációs hálózatra hivatkozva vezeti félre a sértettet (pl. olyan a Btk. 318. § szerint csalásnak minősülő eset, ahol az elkövető nem létező számítógépeket ad el a sértettnek), — elkövetés „tanúja”, ha a bűncselekménnyel összefüggésben lévő bizonyítékként felhasználható releváns adatot rögzít egy informatikai eszköz (pl. az internet szolgáltató hálózati eszközei naplózzák egy a Btk. 261. § szerinti terrorcselekmény valamely lényeges körülményét, vagy elektronikus hang és/vagy képfel-vétel készül egy a Btk. 197. § szerinti erőszakos közösülésről, vagy az elkövetők elektronikus levelezés során terveznek meg egy a Btk. 166. § szerinti emberölést és a postaláda megőrzi a levélváltást) függetlenül attól, hogy az tettes célja egy informatikai rendszer valamely komponense volt-e vagy sem, használt-e informatikai eszközt az elkövetéshez vagy sem. [3][1] 182
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
Az infokommunikáció penetrációjának hatására az elkövetők egyre több nyomot hagynak maguk után a „digitális térben” (személyi számítógépen, mobil telefonon, PDA-ban, interneten stb.), így az informatikai igazságügyi szakértők segítségével a bűnügyek széles körében lehetne növelni a nyomozati munka hatékonyságát, a bűncselekmények kideríthetőségét, az elkövető kézre keríthetőségét, a bírósági szakban a bizonyítás eredményességét. Azonban amíg a bűnelkövetők egyre jobban kihasználják az új technológiában rejlő lehetőségeket, egyre komolyabb technológiai isme-retekről tesznek tanúbizonyságot, egyre kifinomultabb módszereket és eszközöket használnak és egyre szervezettebbek, addig úgy tűnik mintha a hazai bűnüldözés és jogalkalmazás lemaradna ebben a macska-egér játékban. A jogszabályok alapján a büntetőeljárás során a szakértőknek (szakértői névjegyzékben szereplő igazságügyi szakértőknek, szakvélemény adására feljogosított gazdasági társaságoknak, jogszabályban meghatározott állami szervezeteknek, vagy ha ez nem lehetséges, különleges esetben eseti szakértőnek) kell a rendőrség, az ügyészség és a bíróság számára a hiányzó informatikai szakismereteket pótolnia. [2] Az igazságügyi szakértők számára azonban nem áll rendelkezésre egy olyan eszközkészlet, módszer és eljárásgyűjtemény, ami biztosítaná, hogy egy adott szakkérdésre a szakértők azonos szakmai színvonalú, valamennyi szakmailag releváns tényt figyelembe vevő, jó minőségű szakvéleményt adhassanak. A módszertani hiányosságok következményeit súlyosbítja, hogy a szakértői vélemény elkészítését támogató kereskedelmi igazságügyi szoftver és hardvereszközök — amelyek többé-kevésbé biztosítanák az azonos vizsgálati platformot — drágák, az egyedi szakértők nem engedhetik meg azok megvásárlását, nem tudják a szakértői díjakból kigazdálkodni azokat. Így az informatikai igazságügyi szakértők a szakkérdésekre saját belátásuk, szakmai ismereteik és pénztárcájuk alapján válaszolnak. Ezzel ellentétes például az igazságügyi orvos szakértők „világa”, ahol a vizsgálati díjakba belekalkulálják a vizsgálat speciális anyag és eszköz-szükségletét, illetve ahol a vizsgálati, értékelési módszereket az igazságügyi orvos szakértői közösség tudományos alapossággal dokumentálta és az eredményeit publikálja. Jelen cikkemben szeretném megmutatni, hogy a nyílt forráskódú programok, informatikai rendszerek hogyan járulhatnak hozzá az informatikai igazságügyi szakértés technikáinak, módszereinek szabványosításához, közös nyelvet kialakítva a szakértők közösségében a hatékonyabb bűnüldözés 183
OPEN SOURCE IT FORENSICS
érdekében. A szabványosítás eredményeként a nyomozó- és vádhatóság, a bíróságok képviselői megismerhetik, hogy az informatikai szakértők közössége milyen szakkérdésekben tud állást foglalni, milyen korlátai vannak az elvégzendő vizsgálatoknak, egy-egy vizsgálat elvégzésének melyek az anyagi, tárgy és személyi feltételei, illetve hogyan értelmezhető az egyes kérdésekre adott válasz. Így az egyes ügyekben a hatóság releváns kérdéseket tud feltenni a szakér-tőknek, aki hatékonyan, szakszerűen tud választ adni szakkérdésekre úgy, hogy egy társszakértő azonos forrásadatok birtokában azonos tartalmú szakmai következtetéseket vonjon le.
1. Általános krimináltechnikai alapelvek Az informatika igazságügyi szakértői vizsgálatok alapelvei megegyeznek az általános krimináltechnikai vizsgálatok alapelveivel. Ezek az alapelvek: Locard-féle anyagátadási szabály; Occam borotvája; Daubert kritériumok; bizonyíték folytonossága. Edmond Locard (1877–1966), a „francia Sherlock Holmes”, alkotta meg a bűnügyi tudományok alapelvét, mi szerint „minden érintkezés nyomot hagy”. Tehát a tettest, az elkövetés helyét, az elkövetés eszközét és tárgyát összekötik a fizikai érintkezéskor cserélt (mikro)anyagmaradványok. Az anyagcsere maradványai lehetnek akár olyan parányiak, hogy a kimutatáshoz szükséges műszereink még nem elég érzékenyek, vagy hosszabb távon az átadott anyag megsemmisül, de attól függetlenül, hogy képesek vagyunk-e a tudomány jelenlegi állása mellett kimutatni, az anyagcsere megtörténik. A Locard elv hasznosításával köthető össze a gyilkos, a tett helyszínével, az áldozattal vagy a gyilkos eszközzel, bizonyítékot szolgáltatva a felelősségre vonáshoz. A korszerű kriminalisztika és traszológia (nyomtan) az anyagmarad-vány mellett használja a nyom fogalmát is, ami egy tárgynak (nyomképző) egy másik tárgyon (nyomhordozó) megjelenő lenyomata. A nyom és a lenyomat fogalma szoros kapcsolatban van-e egymással és sok esetben csak a módszer különbözteti meg, hogy nyomot (harapás lenyomatát) vagy anyagmaradványt (a harapás lenyomatában lévő nyálmaradványt) vizsgálte a szakértő. [7][5] 184
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
Az informatikai igazságügyi szakértők vizsgálata azonban különbözik a hagyományos fizikai világhoz kötött vizsgálatoktól, hiszen az informatikai rendszerekben nem történik anyagcsere, csak objektumok (adatok) és szubjektumok (programok, cselekvő entitások) közötti adat-csere valósul meg. Ráadásul a Neumann elvű számítógépekben az adatok és a programok egymással felcserélhetők, lehetséges, hogy egy 0-ákból és 1-esekből álló jelsorozat hol adatként, hol programként viselkedjen – ilyen módon valósul meg egy vírustámadás, ahol egy aktív program (a vírus) egy passzív programot (mint adatot) módosít és helyezi el benne saját kódrészletét. Ez a probléma igényli, hogy a krimináltechnika tudománya megalkossa egy „digitális” nyom fogalmát, hiszen ez az igazságügyi szakértők munkájának tárgya, a következtetéseit egy ilyen nem anyag alapú nyom alapján vonja le. William Occam (kb. 1288.–kb. 1348.) Surreyban élő ferences szerzetes egy jelenség magyarázatával kapcsolatban írta le, hogy „entia non sunt multiplicanda praeter necessitatem”, vagyis, hogy az entitásokat nem kell a szükségesnél jobban megsokszorozni. Az elv következetes alkalmazásával nyilvánvaló, hogy egy probléma legegyszerűbb magyarázata egyben a legvalószínűbb magyarázat; tehát a bizonyítás során Occam borotvájával valamennyi lényeges elem figyelembe-vételével kell a hipotézis felállítani, majd valamennyi felesleges elemet le kell vágni az ok-okozati láncról, így határozhatók meg az elkövetés valós körülményei. [7] Az Amerikai Legfelsőbb Bíróság 1993-as a Daubert v. Merrell Dow Pharmaceuticals ügyben precedens értékű döntést hozott a szakértők szakvéleményével (expert witness testimony) kapcsolatban. A döntés értelmében a bíróságnak ellenőriznie kell a bizonyítás során felhasznált új módszereknek a módszer által szolgáltatott bizonyíték tudományos megalapozottságát garantálva a megfelelő alkalmazást és megbízhatóságot. Az ellenőrzés során a bíróságnak vizsgálnia kell, hogy az alkalmazott módszer — mennyire állta ki a gyakorlat próbáját; — hibaaránya ismert-e; — a tudományban elismert módon publikált-e, mi a tudományos elemzésének eredménye (megmutatható-e a hamissága, tehát falszifikálható-e, cáfolhatóság, tesztelhetőség1), és a szakemberek közössége által elismert-e; — keresztül ment-e alapvető gyakorlati teszteken. [7] 1
Karl Raimund Popper osztrák és Lakatos Péter magyar tudományfilozófusok munkássága alapján. 2 Fear, Uncertainty, and Doubt
185
OPEN SOURCE IT FORENSICS
Ezek az elvek megjelennek a Be. 105. § (1) bekezdésében is: A szakértő szakértői vizsgálat alapján ad véleményt. A szakértő a vizsgálatot a tudomány állásának és a korszerű szakmai ismereteknek megfelelő eszközök, eljárások és módszerek felhasználásával köteles elvégezni. [2] A büntetőeljárás során a bizonyítékokkal kapcsolatban alapkövetelmény, hogy a bizonyítékok ne sérüljenek meg, ne módosuljanak az eljárás során (kivéve azokat az eseteket, amikor roncsolásos vizsgálatot kell végezni, de ilyenkor is törekedni kell arra, hogy az eredeti mintából is minél többet megőrizzünk), és az eljárás során mindig tudni lehessen, hogy a bizonyítékot ki, mikor gyűjtötte, ki mikor vizsgálta és módosította. Az informatikai igazságügyi szakértés tárgya minden esetben adat. Ez a bizonyítékforma az egyetlen, ami egyszerre két (vagy több) helyen is rendelkezésre állhat (a másolat azonos tartalmú az eredetivel, a hitelesített másolatról az eredetivel megegyező hiteles másolat készíthető külön hitelesítési procedúra nélkül).
1. ábra ENCASE kereskedelmi igazságügyi szoftver [forrás: guidancesoftware.com]
Ezért az eljárás során arra kell(ene) törekedni, hogy az adatok hitelesítésére, másolására már a nyomrögzítéskor sor kerüljön a nyomrögzítő, egy hatósági tanú, esetleg a terhelt jogi képviselője által, így elkerülhető lenne, hogy a védelem utólag arra hivatkozzon, hogy a vizsgált adatok nem a gyanúsított/ vádlott számítógépéről származnak, vagy nem tükrözik az események valós menetét. 186
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
2. „Nyílt” vs „zárt” 2.1. „Zárt” rendszerek (kereskedelmi szoftverek) A számítógépek megjelenésével szinte egyidősek a kereskedelmi szoftverek. Az információtechnológiai őskorára ez a fejlesztési modell a jellemző. A zárt fejlesztői világ anyagi haszonszerzés végett fejleszti a termékeit, ezért a fejlesztők fókuszában a fizetőképes keresletet megtestesítő fogyasztók, illetve azok elvárásai állnak. A zárt rendszerek megalkotói a programjaikat jogi és technikai intézkedésekkel védik a visszafejtéstől, hiszen a szoftverben megtestesülő újítások képezik a gazdasági haszonszerzés alapjait. A fejlesztő, gyártó cég a marketing eszközeivel méri fel a piac igényeit, fogalmazza meg a termék fejlesztésének értékesítésének stratégiáit és csatornáit, illetve ha kell, a marketing kommunikáció eszközeivel növeli a termék jóhírét és csökkenti a problémák következményeit. Az ilyen marketing kommunikációra jellemző például a Microsoft azon törekvése, hogy lejárassa az ellenfeleit (válaszul az Apple cég „I’m a Mac kampányára, vagy a Linux és az open source előretörésére), a programok hibáinak letagadása (pl. a CVE-2008-5745 referenciájú Media Player buffer túlcsordulásos támadásról és lehetséges következményeiről), vagy a VISTA operációs rendszer körüli hiábavaló felhajtásnak, vagy az XP operációs rendszer előre nem tervezett hosszúságú élet-ciklusa. A szabad szoftverek megjelenésével egy időben a „zárt” szoftverek fejlesztői is keresik azokat a megoldásokat, amellyel kezelni tudják a szabad szoftverek előreterjedésének következményeit. Ennek egyik példája a Microsoft által folytatott FUD-kampány2, a másik — a felhasználók számára hasznosabb megoldás — a kereskedelmi szoftverek kisebb tudású, de ingyenes verzióinak a piacra dobása (pl. a Grisoft cég AVG Free Antivirus szoftvere), vagy a szoftverek köré épített szolgáltatások körének bővítése (pl. az Ubuntu Linus disztribúciót támogató dél-afrikai Canonical által nyújtott oktatási, technikai támogatási szolgáltatások). 3
A GNU az FSF (Free Software) alapítvány által GNU IS NOT UNIX (GNU NEM UNIX) rekurzív rövidítéssel jelölt projekt, amelynek célja egy Unix-szerű szabad szoftver fejlesztése.
187
OPEN SOURCE IT FORENSICS
2.2. „Nyílt” rendszerek (szabad/ nyílt forráskódú szoftverek) Bár a kereskedelmi szoftvernek fogalmilag nem ellentéte a szabad, vagy nyílt forráskódú szoftver, de mivel a téma szempontjából e két fejlesztési/terjesztési modell a mérvadó ismertetem a „nyílt” projektek eredményeként megszülető szabad és nyílt forráskódú projekteket és azok jellemzőit.
2. ábra A GNU projekt logója [forrás: hu.wikipedia.org/wiki/GNU]
Az informatikai fejlődésével együtt, ahogy a technológia gazdasági haszna növekedett a gazdasági szervezetek rutinszerűen kezdték el alkalmazni a felhasználókat, a programozókat korlátozó licencszerződéseket. A fejlesztők közössége — főleg az akadémia szektorban (pl. MIT), de az egyes gyártók eszközei köré csoportosuló felhasználói közösségek (pl. az IBM 701 SHARE vagy a DEC DECUS felhasználói csoportjai) — ezzel párhuzamosan elkezdte hangsúlyozni, hogy az általuk fejlesztett szoftver nem árucikk, hanem olyan közkincs, amelynek szabad felhasználása a társadalom érdeke, vizsgálhatósága, kutathatósága az hasznos oktatás számára, a tudomány és a technológiai fejlődésének motorja lehet. A gazdasági szervezetek szerződéseinek mintegy jogi ellenlábasaként 1983-ban Richard M. Stallman a szabad szoftver mozgalom atyja a GNU3 projekt keretében megalkotta az első olyan szoftver licenciát, amely a szerzőnek csak a személyhez fűződő 188
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
jogait védi (főleg a név feltüntetése) és a felhasználási, továbbfejlesztési tilalmak és korlátozások helyett korlátozza a szerző vagyoni jogát, lehetőséget ad a szoftverszabad felhasználására, továbbfejlesztésére. [7] A szabad szoftver mozgalom nem csak a jog mezején vetélytársa a kereskedelmi szoftvereknek, de lassan a megbízhatóság, használhatóság és választék terén is felveszi a versenyt a „zárt” szoftverrel. A Linux szerverek elterjedése vagy a Mozilla Firefox web böngésző folyamatos előretörése is jelzi, hogy a nyílt forráskódú szoftverek „piaca” folyamatosan tágul a kereskedelmi szoftverek elterjedésének rovására. 2.3. Nyílt és zárt rendszerek összehasonlítása Az alábbiakban a nyílt és zárt forráskódú informatikai rendszereket hasonlítom össze informatikai igazságügyi szakértői szempontból: SZEMPONT
ZÁRT RENDSZEREK
NYÍLT RENDSZEREK
Daubert 1: gyakorlati próba
bíróságokon többször (sikerrel) megméretett
bíróságokon többször (sikerrel) megméretett
Daubert 2: ismert hibaarány
hibák „marketingje” ismert, a gyártó/fejlesztő elemi érdeke a hibákkal kapcsolatos információk „kordában tartása”
Daubert 3: publikált-e, elemzésének eredménye, és a szakemberek közössége által elismert-e
főleg a gyártó/fejlesztő által preferált forrásokban és módon publikált forráskód nem megismerhető (fekete doboz) az elemzések eredményét a gyártó/fejlesztő igyekszik kontrolálni főleg fejlesztő cég és a vásárlói közösség által elismert
hibái ismertek, a közösség számára adott a lehetőség valamennyi feltárt hiba (és javítás) megismerése az interneten szokásos módon publikált
Daubert 4: keresztül ment-e alapvető gyakorlati tesztek
a gyártó/fejlesztő által tesztelt, az új verziókat is a gyártó/fejlesztő „fogadja el” kereskedelmi igény esetén biztonsági (ISO14508) szerint tanúsított termék
forráskód szintem megismerhető (fehér doboz) az elemzések eredménye publikus fejlesztői/felhasználói közösség által elismert a fejlesztés során a közösség teszteli és fogadja el az új verziókat, a széttagolt fejlesztői és felhasználói csoportok miatt rendszerint komoly tesztelést követően rendszerint (fejlesztői forráshiány miatt) a terméknek nincs tanúsítványa
189
OPEN SOURCE IT FORENSICS
SZEMPONT
Fejlesztés
Módosíthatóság
ZÁRT RENDSZEREK kereskedelmi igény esetén a gyártás ISO 9000-szerint tanúsított a fejlesztő eszközös nem vagy csak korlátozott mértékben ismertek a fejlesztő rendszerint zárt (általa sem teljes egészében ismert, teljesen dokumentált) kereskedelmi fejlesztőeszközökkel fejleszt a forráskód jogi és technikai eszközökkel védett, legálisan nem módosítható
NYÍLT RENDSZEREK a fejlesztési folyamat nyílt, de rendszerint nem tanúsított a fejlesztő eszközök teljes körben ismertek nyílt forráskódú fejlesztőeszközök felhasználásával készül forráskód/funkció szabadon módosítható
Ki- és bemeneti formátum
sok esetben jogvédett, technikai korlátos kimeneti formátum
Lekérdezési, feldolgozási lehetőségek
sok esetben jogvédett beépített program-specifikus lekérdezési módszerek
Funkcionalitás teljes körűsége
funkciók ~zártak (egy-egy problémakörre)
Kezelhetőség
egyszerűbb kezelhetőség5
program-csővezeték funkciók több programban, esetleg hiányosak, vagy több program együttműködésével oldható meg bonyolultabb kezelhetőség6
Fejlesztői támogatás, fejlesztés stabilitása
fejlesztés a fizetőképes piaci kereslettől függ
fejlesztés esetleges (de rendszerint stabil)
szabványos formátumok szabványos reguláris kifejezések
1. táblázat Nyílt és zárt informatikai igazságügyi rendszerek összehasonlítása [szerk.: Illési Zsolt]
5
6
A programok rendszerint grafikus felület és „bolond biztos” beállítások és egyszerűsítések mögé rejtik a feladat komplexitását. A kezelőnek közepes informatikai ismeretekre, esetleg program specifikus tanfolyami végzettségre van szüksége a működtetéshez és a kimeneti adatok értelmezéséhez. A programok nagymértékben paraméterezhetők, a funkciói rendszerint grafikus és karakteres felületen is elérhetők. A felhasználónak nem csak az alkalmazott technológiákat, de a technológiai környezet paramétereit is ismernie kell a kezeléshez. A vizsgálatot végzőnek nagy szakismeretre van szüksége a programok kezeléséhez és az eredmények értelmezéséhez.
190
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
3. Nyílt „forráskódú” vizsgálati módszerek Az informatikai igazságügyi vizsgálatoknak nem csak a szoftverek a lényeges kellékei. Szükséges még, hogy a szakértő úgy végezze el a vizsgálatokat, hogy azok megfeleljenek a jogszabályi előírásoknak és a szakma szabályainak. E két elvárás közül a jogszabályi tűnik egyszerűbbnek, mivel az információtechnológia fejlődése a Moor törvénnyel7 összhangban exponenciálisan nő, az egyre olcsóbb eszközökön egyre nagyobb komplexitású szoftverrendszerek futnak és ezáltal folyamatosan nő a tudományterülethez tartozó szabványok, ajánlások, módszerek köre, amelyben egyre nehezebb eligazodni. Az informatikai igazságügyi szakértést szakmai módszertanok, eljárási segédletek is támogatják. Ezek közé tartozik — egyfajta szakmai minimumnak számít — az amerikai igazságügyi minisztérium 2004 áprilisában kiadott ajánlása, amely ajánlást ad arra, hogy a számítógéppel kapcsolatos ügyekben hogyan kell: — a bizonyítékokat értékelni, — a bizonyítékokat begyűjteni; — a bizonyítékokat vizsgálni; — dokumentálni az eredményeket. Az ajánlás tartalmaz még további információkat a szakértéssel kapcsolatban, minta esettanulmányt, munkalapokat jogi, technikai és szervezeti erőforrások listáját stb. [6] Az internet, mint minden számítástechnikával kapcsolatos instrumentum szabványos alapokra épül. Az internet sajátos szabványait RFC-nek (Request For Comments) nevezik, és ilyenek írják le a lényegi működési protokollokat, technológiákat. Az igazságügyi szakértői vizsgálatoknak is van ilyen szabványa a 3227-es, a Guidelines for Evidence Collection and Archiving (“Irányelvek a bizonyítékok begyűjtésére és archiválására/rögzítésére”). Ez az RFC meghatározza, hogy biztonsági események esetén — általában az informatikai bűncselekmények esetén is — mit és hogyan kell tenni 7
Gordon E. Moor 1965-ös publikációjában írta le először, hogy az egységnyi felületre integrálható tranzisztorok száma exponenciálisan nő, körülbelül minden második évben megduplázódik a számuk. Moor törvényéről azóta kiderült, hogy ez a megállapítás az információtechnológia szinte minden területére igaz: a feldolgozási sebességre, a memória kapacitásra, még a digitális kamerák felbontására (a pixelméret csökkenésére és a pixelek darabszámának növekedésére). [7]
191
OPEN SOURCE IT FORENSICS
annak érdekében, hogy minden nyom megmaradjon, vagyis hogyan kell begyűjteni, és miként kell archiválni, rögzíteni. Az RFC 4 fejezetből áll: 1. Iránymutató elvek a bizonyítékok begyűjtésekor 2. A bizonyíték begyűjtési eljárás 3. A bizonyíték archiválási eljárás 4. Szükséges eszközök [4] Az internetes közösség ezek mellett további módszereket is kidolgozott. Ilyen például a Sourceforge.net-en található — Open Source Computer Forensics Manual (2003.07.15) — amelynek a fejlesztés látszólag ugyan időközben leállt, azonban a valóság az, hogy a fejlesztések csak átmentek az http://www.opensourceforensics.org/ oldalra, ahol nem csak módszertan, hanem találhatók idevágó: windows és linux környezetben alkalmazható eszközök; eljárások; teszt/példák; kutatási dokumentumok. Meg kell említenem azt is, hogy vannak olyan igazságügyi szakértésre, biztonsági vizsgálatokra szakosodott linux disztribúciók is, amelyek már jelenlegi formájukban is alkalmasak az igazságügyi szakértői munka támogatására. Ezek közül kiemelkedik a HELIX 3 egy folyamatos fejlesztés során 2008 szeptemberében kiadott új verziójú nyílt forráskódú rendszer, amely egy LIVE CD-re telepített windows és linux operációsrendszer-környezetben is alkalmazható releváns segédprogram gyűjteményt és dokumentációkat tartalmaz.
4. A magyar valóság A nemzetközi tapasztalatok és az infokommunikáció egyre szélesebb elterjedése azonban úgy tűnik, hogy még hatott a magyar jogalkalmazókra. Sajnos nincs protokoll digitális nyomrögzítésre rögzített adatnyom kezelésre informatikai eszköz és adatnyom elemzésre és értékelésre Ennek következtében a nyomozóhatóság következetlenül méri fel, hogy mit lenne érdemes bizonyítékként felhasználni 192
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
a szakértő eseti módszerekkel végzi el a szakértést, az egyéni felkészülésétől függően vizsgálja az elé tárt bizonyítékokat az ügyészség és a bíróság következetlenül értékeli a felhozott bizonyítékokat A protokollok rögzítésének hiányosságai mellett az is probléma, hogy nem a vizsgálati módszer, hanem az igazságügyi szakértő személye hiteles, megbízható a bíróság számára, vagyis a szakértő szavahihetősége és nem szaktudása a mérvadó az ítélethozatali mérlegelésben. A szakértői vélemények és bírósági döntések tudományos kutathatóságának sajnos az is gátja, hogy bár a bírósági tárgyalások és ítéletek főszabály szerint nyilvánosak az ítélethirdetést követő kihirdetési procedúra leteltével a periratok és az ítéletek a személyes adatok védelmére való hivatkozással titkossá válnak. Ez azért is értelmetlen bírósági gyakorlat, mivel aki végigülte a pert, meghallgatta az ítéletet, és elolvasta azt a bíróság, polgármesteri hivatal faliújságán már ismeri azokat az adatokat, amit egy-két hét, hónap múlva már nem jogosult megismerni… További probléma még az, hogy a szakértői vizsgálatokra nincs megfelelő anyagi fedezet elkülönítve, és a szakértői óradíjakból sem lehet kigazdálkodni egy komoly informatikai labor hardver és szoftver erőforrásait. A problémák mellett azért vannak pozitív jelek is a hazai informatikai igazságügyi szakértői világban. 2008-ban az Igazságügyi Szakértői Kamara informatikai szakértői önszerveződésének első fejleményeként megrendezésre került az első informatikai igazságügyi szeminárium, amely az egyik mozgatóereje lehet a nyílt módszerek és szoftverek kifejlesztésének.
5. Összefoglalás Mivel az információtechnológia célpontja, eszköze, környezete, szimbóluma és tanúja is lehet a bűncselekményeknek a bűnfelderítés, a bűnüldözés során informatikai szakértői vizsgálatokra egyre gyakrabban van szükség, hiszen az ügy szempontjából releváns adatokat lehet kinyerni az informatikai rendszerekből. Az eredményességnek azonban meghatározó pontja, hogy a felderítés, az adatrögzítés és az elemzés során eljáró szakértők hatékonyan és szak-szerűen járjanak el. Jelen tanulmányban a nyílt forráskódú programok és módszerek alkalmazhatóságára szerettem volna felhívni a figyelmet, mivel ezek 193
OPEN SOURCE IT FORENSICS
— megfelelnek a jogszabályi előírásoknak — alkalmasak krimináltechnikai vizsgálatok lefolytatásra — teljesítik a Daubert kritériumokat (a zárt forráskódúak nem), ezáltal megfelelnek a tudományos igényű bizonyítási követelményeknek Azonban azt is megállapítottam, hogy a nyílt forráskódú programok és módszerek továbbfejlesztéséhez, és hazai adoptációjához széleskörű (jogalkotó, jogalkalmazó, szakértő) szakmai kooperáció szükséges. Azt gondolom, hogy egy ilyen munkába fektetett erőfeszítés megtérül, mivel a jogalkotó, jogalkalmazó (hatóság/bíróság), szakértők azonos módon értelmezhetik az informatikai szakkérdéseket (mi a probléma, mit kell kérdezni, milyen formában kell válaszolni stb.) és hozzájárulhat az informatikai igazságügyi szakértés gyakorlatának egységesítéséhez. Az is megállapítható továbbá, hogy az informatikai igazságügyi szakértés egységesítésének vannak további fékei: a szakértői protokollok kialakulatlansága, az ítéletek kutathatatlansága, a szabványosított vizsgáló programok és hiányoznak a vizsgálatok szakszerű elvégzéséhez szükséges anyagi források. Véleményem szerint ezek közül az ítéletek kutathatósága és a megfelelő anyagi források biztosítása után indítható el egy olyan eredményes kutatási, jogalkotói és módszertani program, amely jelentősen javíthatja az eredményes bűnfelderítést.
194
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG
Felhasznált irodalom [1] 1978. évi IV. törvény a Büntető Törvénykönyvről (Btk.) [2] 1998. évi XIX. törvény a büntetőeljárásról (Be.) [3] Balogh Zsolt György: Jogi informatika, Dialóg Campus Kiadó, Budapest-Pécs, 1998. [4] RFC3227 - Guidelines for Evidence Collection and Archiving, h.n., 2002., www.ietf.org/rfc/rfc3227.txt [5] Szerk.: Dr. Bócz Endre: Kriminalisztika, BM Kiadó, Budapest, 2004. [6] U.S. Department of Justice: Forensics Examination of Digital Evidence: A guide for Law Enforcement, h.n., 2004., www.ncjrs.gov/pdffiles1/nij/199408.pdf [7] wikipedia.org
195
OPEN SOURCE IT FORENSICS
196
