Předběžný kvalifikovaný výběr digitální techniky pro detailní znalecké zkoumání Marián Svetlík 1)
Digital Forensic Triage
Abstrakt: Stejně dynamickým oborem, jako je obor informačních a komunikačních technologií, musí být i obor digitálních forenzních analýz (digital forensic). Jenomže jako každý jiný forenzní obor, ani digital forensic neexistuje sama o sobě a nezbytně vyžaduje odpovídající komunikaci a součinnost se svým okolím, v tomto případě zejména s OČTŘ, jako s převažujícími klienty, resp. příjemci znaleckých posudků. Dynamika vývoje digital forensic je však mnohem větší, než je schopnost a možnost akomodace OČTŘ jak na vstupu, na straně zajišťování stop, tak na straně výstupu, resp. schopnosti přijmout a využít závěry znaleckých posudků. Vzniká objektivně kolizní prostředí, které je nutné chápat, akceptovat ve vhodném rozsahu, ale zejména snažit se eliminovat problematické aspekty a nacházet vzájemně i objektivně nejvhodnější řešení. Jedním z aktuálních problémů oboru digital forensic je i neustále se zvyšující počet stop, které jsou předávány ke zkoumání a současně objem dat, které je potřebné analyzovat. Určitý způsob řešení je popsán v článku. Klíčová slova: digitální forenzní analýza, předběžný výběr stop, znalecké zkoumání dat, zajišťování digitální techniky, relevantnost stop Abstract: Equally dynamic field, such as information and communication technologies, must be digital forensic analysis (digital forensic). But like any other forensic discipline, digital forensic does not exists in itself and absolutely requires adequate communication and interaction with its surroundings, in this case, particularly with law enforcement authorities, such as the prevailing clients, respectively recipient of forensic reports. The dynamic development of digital forensic is much larger than the ability and possibility of accommodation of LE, both from site of seizing traces and output side, respectively ability to receive and use the forensic repoort findings. There is objectively conflict, that is necessary to understand, accept at appropriate level, but especially to try to eliminate the problematic aspects and find best for all sides solution. One of the current problems in the field of digital forensic is the constantly increasing number of traces that are passed to the forensic examination and at the same time the amount of data that is needed to analyze. A certain kind of solution is described in the article. Key words: digital forensic analysis, preliminary selection of tracces, expert examination of the data, seizing of the digital technology, traces relevancy
Ing. Marián Svetlík, soudní znalec v oboru Kriminalistika, kriminalistická počítačová expertíza, vedoucí Znaleckého ústavu společnosti Risk Analysis Consultants, s.r.o.,
[email protected] 1)
Stále častěji se setkáváme se situací, kdy OČTŘ v rámci vyšetřování nějakého případu zajistí větší množství digitální techniky a zašlou ji ke znaleckému zkoumání. Logicky je zcela zřejmé, že tato technika obsahuje potenciálně velké množství informací, které se k vyšetřované věci přímo vztahuje a proto je pro tyto orgány důležité je prozkoumat znalecky. Je taky vysoce pravděpodobné, že ne všechna zajištěná technika důležité informace obsahuje a také důležitost informací, z pohledu vyšetřování, je různá na různé technice, zejména v závislosti od toho kde resp. u koho byla technika zajištěna. Při takovýchto velkých objemech techniky a tím pádem i při enormně velkých objemech dat, které v současnosti již dosahují desítky TB na jeden znalecký posudek, již není v technických možnostech znaleckých pracovišť postupovat v rámci stanovených časových limitů s maximální mírou detailu u každého zajištěného prvku. Detailní analýza datového nosiče je totiž časově nesmírně náročná a aplikovat takovou detailní analýzu plošně na všechny stopy by bylo z časového pohledu pro OČTŘ neakceptovatelné. Logicky z toho vyplývá požadavek na určitou kvalifikovanou selekci toho, co bude potřebné prozkoumat detailně a čemu postačí věnovat se v rámci zkoumání s menší mírou detailu. Je to analogické k situaci, kdy je zajištěno velké množství papírové dokumentace, avšak po předběžné analýze jejího obsahu pouze některé dokumenty, které jsou z pohledu vyšetřování důležité, mohou být v případě potřeby podrobeny dalším analýzám, např. grafologickým, grafickým, písmoznaleckým, jazykovým nebo jiným, např. i technickým expertízám. O tom, která část stop bude dále detailněji zkoumána, rozhoduje vyšetřovatel. U digitální techniky je situace podobná, avšak mírně složitější v tom, že výše zmíněnou „předběžnou analýzu“ nemůže standardně udělat vyšetřovatel bez předchozích odborných technických činností znalce a bez následné těsné součinnosti s ním. Důvodů je hned několik: 1.
Při zajišťování při domovních prohlídkách nebo prohlídkách jiných prostor
v drtivé většině případů nedochází k zajišťování dat přímo, ale k zajišťování celých technických prostředků – různé výpočetní, komunikační a jiné digitální techniky. 2.
Zajištěné technické prostředky mohou být někdy předmětem zkoumání jako
takové samotné, avšak ve většině případů jsou to právě jenom nosiče dat/informací. Tato data, která jsou na technických prostředcích uložena (např. na pevných discích počítačů, v pamětech mobilních telefonů apod.) je nutné nejdříve odborně zajistit, protože jakákoliv
neodborná manipulace se zajištěnými technickými prostředky může vést k nenávratnému zničení nebo modifikaci dat na nich uložených a tím i k nepoužitelnosti těchto dat jako důkazů. 3.
Primárním způsobem zajištění dat z technických prostředků je pořízení
binárních kopií těchto dat (tzv. „obrazů disků“)2. Nejenom že se často potkáváme s velice různými technickými prostředky, mnohdy přímo téměř obskurními a pořízení binárních kopií takových dat bývá obtížné a vyžaduje specifické znalosti, ale takto zajištěná data nejsou běžným způsobem čitelná a tedy vyšetřovatelem použitelná pro předběžnou analýzu. 4.
Pro předběžnou analýzu informací ze zajištěné techniky je potřebné data
z pořízených/zajištěných binárních kopií vybrat tak, aby se jednalo o data, která pocházejí z cílené a uvědomělé činnosti uživatele, aby byla eliminována data systémová a takto vybraná data vhodným způsobem vyšetřovateli zpřístupnit. 5.
Často se stane, že vybraná data jsou uložena ve formě/formátu, který
vyšetřovatel nemůže z technických důvodů zobrazit nebo data (např. z databází) nedávají bez uvedení kontextu a nastavení vazeb správný smysl. Tady je nezastupitelná role odborníka, znalce, který technicky asistuje vyšetřovateli a poskytuje mu technickou součinnost. Předběžná analýza může poskytnout důležité podklady o celkovém obsahu informací v zajištěné technice a pomůže specifikovat, kterou techniku je potřebné analyzovat detailně, tedy kde je nezbytné použít náročné analytické nástroje. Tuto činnost nemůže provádět znalec, protože pouze vyšetřovatel zná další souvislosti a informace, které z různých důvodů znalci nemohou být známé nebo mu nemohou být poskytnuty. Pouze vyšetřovatel může kvalifikovaně a se znalostí vyšetřované věci rozhodnout, co je potřebné prozkoumat do hloubky, na které technice se potenciálně mohou nacházet další klíčové důkazy. K tomu však potřebuje relevantní informace, které mu může poskytnout právě předběžná analýza. Výběr relevantních stop na základě předběžné analýzy, ve světě taky nazývané „triage“3, se vzhledem k rostoucímu množství používané (a následně i zajišťované) digitální techniky a extrémně velkému nárůstu objemů zajišťovaných dat, stává postupně nezbytnou součástí zajištění a následné forenzní analýzy digitálních dat.
Důvodem tohoto postupu je získání maximálního objemu dat/informací z nosiče tak, aby bylo možné následně prozkoumat veškerá dostupná data, tedy nejenom obsah souborů, ale i dávno smazaná data, informace o aktivitách uživatelů, síťové komunikaci a další informace, které jsou na datových nosičích uložena a nejsou jednoduše uživatelskými postupy přístupná nebo zjistitelná. 3 provádění výběru podle naléhavosti nebo důležitosti, v oblasti digital forensic viz např. http://computerforensics.parsonage.co.uk/triage/ComputerForensicsCaseAssessmentAndTriageDiscussionPaper. pdf, http://www.digitalforensics-conference.org/CFFTPM/CDFSL-proceedings2006-CFFTPM.pdf a další. 2
„Triage“, neboli výběr podle naléhavosti nebo důležitosti, se ve své podstatě provádí na místě činu vždy a odjakživa, kdy ze všech možných stop jsou zajišťovány na základě zkušeností a vědomostí kriminalistů pouze stopy kriminalisticky relevantní. Pouze s příchodem digitálních technologií, kdy se jedná převážně o stopy latentní, není jednoduché a mnohdy ani není technicky, personálně či časově možné provést výběr relevantních stop na místě zajištění. Proto se většinou přistupuje k zajištění všech potenciálně relevantních stop (digitálních zařízení). Na hodnocení jejich relevance, tedy výběr těch skutečně kriminalisticky relevantních, se ale zapomíná a k podrobnému znaleckému zkoumání se předávají všechny zajištěné stopy. Dopady jsou zřejmé: 1.
Při několikanásobném transportu desítek a stovek digitálních zařízení nezřídka
dochází k jejich poškození. Zajištěná technika již není balena dostatečně bezpečně, papírové nebo plastové obaly, které se při zajištění běžně používají, nechrání techniku před mechanickým poškozením. 2.
Znalecké zkoumání velkého počtu techniky a tím i velkých objemů dat se
komplikuje. Většina znalců (zejména fyzických osob) již ani objektivně nemůže disponovat dostatečnými technickými prostředky, aby byla schopna takové počty techniky skladovat a takové objemy dat uložit, zpracovat, archivovat. 3.
Při objemech dat přesahujícím několik TB na posudek, se již začíná projevovat
„big data“ problém, který způsobuje, že analytické systémy, které jsou schopny zpracovat malé a střední objemy dat, při velkých objemech kolabují a ne vždy je možné identifikovat příčiny a ne vždy je možné tento problém řešit navyšováním kapacit nebo výpočetního výkonu. 4.
Prodlužuje se mnohdy zcela zbytečně doba zpracování znaleckých posudků,
kdy procesy, které by bylo jinak možné realizovat hromadně, nelze právě z důvodů velkých objemů dat realizovat a zpracování musí probíhat postupně, sekvenčně a s většími nároky na čas a odborné kapacity. 5.
Znalecké zkoumání se mnohdy výrazně prodražuje, protože se zkoumá
technika a data, která by zkoumána vůbec nemusela být, nebo by postačovalo na některé předem vybrané stopy použít jednodušší znalecké postupy a detailní (tedy i drahé a časově náročné) analýzy provádět pouze na klíčových datech. Přirozeně vzniká otázka „co když právě na té technice, která nebyla předběžnou analýzou vybrána pro detailní zkoumání, se nachází důležité důkazy?“ Jestliže byla na místě
činu zajištěna veškerá dostupná digitální technika a na základě předběžné analýzy byla vybrána pro detailní znalecké zkoumání pouze její část, je vždy možné následně zkoumání rozšířit i na další techniku, jestliže budou zjištěny poznatky, že se i na další technice mohou nacházet důkazy. Navíc, protože jedním z prvních úkonů je pořízení binárních kopií dat z veškeré zajištěné techniky, takové dodatečné rozšíření zkoumání je možné prakticky kdykoliv, i po vrácení techniky původním majitelům. Jedinou nedořešenou skutečností je v tomto případě pouze problém archivace pořízených binárních kopií dat,4 protože není nikde jednoznačně stanoveno, kdo archivaci provádí, na jak dlouho se data archivují a kdo hradí odpovídající náklady. Na tomto místě vznikají zároveň nejméně další dva další okruhy mnohem obecnějších problémů: 1.
Jak jsou současní vyšetřovatelé schopni odborně, technicky a časově provádět
předběžnou analýzu digitálních dat tak, aby byli schopni provést výběr kriminalisticky relevantních stop pro detailní digitální forenzní analýzu. S tím také souvisí problematika výběru dat k takové předběžné analýze, řešení technických problémů souvisejících právě s různými používanými formáty dat a možnostmi jejich zobrazení a hodnocení na policejních pracovištích. Jaké kvalifikační, technické a časové podmínky je pro to nutné vytvořit? Jaká procesní pravidla na takovou činnost použít? Jsou to právě znalci, kteří budou data pro předběžnou analýzu připravovat, nebo bude dostatečné využít kvalifikovaný technický personál a jaké procesní souvislosti to přinese a jaký to bude mít dopad na důkazy, jejich sílu nebo i případně přijatelnost? 2.
Kde jsou hranice znaleckého zkoumání v oblasti digital forensic? Je pořízení
binární kopie dat, prosté vykopírování uživatelských souborů nebo „zpřístupnění“ účetních dat znaleckým úkonem nebo to je jen technická záležitost? Kde je hranice mezi „základní počítačovou gramotností“, „kvalifikovanou znalostí ICT“ a „znaleckou odborností“ a dokdy budou znalci suplovat základní nedostatky v elementární počítačové gramotnosti a elementární technické nedostatky policejních složek? Přičemž mnohdy základní úkony, nad kterými by se nebylo nutné ani vůbec pozastavit, musí být z různých důvodů prováděny znalcem, navíc s veškerou technickou, časovou, administrativní a dokumentační náročností znaleckého zkoumání. Problém archivace obrazů disků a obecně dat znaleckého zkoumání v oblasti digital forensic je problém širší a vyžaduje samostatný rozbor. Při extenzivním výkladu zákona o znalcích by se dalo extrapolovat, že je to povinností znalce, ovšem problematika je mnohem složitější a pravidla archivace digitálních dat nejsou pro tyto účely stanovena a pokrytí dodatečných nákladů na takovou činnost se většinou vymykají možnostem jednotlivých znalců a většinou i možnostem dožadujících orgánů. 4
Oba výše zmíněné okruhy problémů vyplývají zejména z toho, že problematikou znaleckého zkoumání, vývoje forenzních věd obecně jejich integrací do širších souvislostí a procesů vyšetřování trestné činnosti, tím méně problematikou digitální forenzní vědy, se v současné době nikdo systematicky nezabývá (čest jednotlivcům, kteří to ale dělají spíše jako svého koníčka). Zejména se tím systematicky a cíleně nezabývá žádný ze subjektů, od kterých by se to očekávalo. Rozvoj kriminalistické vědy jako vědy o kriminalistických stopách, (v současnosti také obecně označovanou jako forenzní vědy) byl vždy doménou zejména Policejní akademie, Kriminalistického ústavu a některých předních právnických fakult. Zdá se, že (v návalu operativních každodenních problémů) na vědu, která dává základní odpovědi na klíčové otázky současnosti, nezbývá ani čas, ani prostředky. Dá se přirozeně vycházet např. z poznatků zahraničních, jenomže forenzní vědy a jejich praktická aplikace musí být vždy v souladu s lokální jurisdikcí. Právě procesní a právní problémy rozvoje forenzních věd musí korespondovat s právním prostředím, korektně implementovat aktuální rozvoj do prostředí praxe.
