Vytěžování důkazů z výpočetní techniky

Právnická fakulta Masarykovy univerzity Právo a právní věda Ústav práva a technologií

Diplomová práce

Vytěžování důkazů z výpočetní techniky Jakub Kothánek

Vedoucí práce: Mgr. Václav Stupka

2013/2014

Prohlašuji, že jsem diplomovou práci na téma „Vytěžování důkazů z výpočetní techniky“ zpracoval sám. Veškeré prameny a zdroje informací, které jsem použil k sepsání této práce, byly citovány v poznámkách pod čarou a jsou uvedeny v seznamu použitých pramenů a literatury. ......................................... Jakub Kothánek

2

Na tomto místě bych rád poděkoval Mgr. Václavu Stupkovi za odborné vedení diplomové práce, za jeho odborné rady a podněty, ochotu a vstřícnost, dále speciálně mému otci Ing. Jaroslavu Kothánkovi, Ph.D., soudnímu znalci v oboru Kybernetika za jeho cenné připomínky a možnost si práci znalce vyzkoušet „na vlastní kůži“, což napomohlo v mnohém ke zkvalitnění této práce. V neposlední řadě bych chtěl poděkovat i všem ostatním odborníkům z praxe, kteří mi zodpověděli veškeré dotazy ohledně problematiky procesu zajišťování elektronických důkazních prostředků, a také své rodině, přítelkyni a dalším přátelům za jejich podporu, důvěru a pomoc.

3

Abstrakt Diplomová práce se zaměřuje na procesněprávní aspekty vytěžování dat z digitální techniky. Konkrétně se zabývá postupy při práci s digitální technikou jako s důkazním předmětem v trestním procesu. Autor se nejdříve věnuje teoretickým východiskům důkazního řízení, a to z hlediska platného Trestního řádu. Dále autor popisuje veškeré kroky, které je nutno učinit, aby bylo možno využít data jako důkazy pro trestní řízení. Nakonec se autor věnuje praktickým problémům, se kterými se soudní znalci setkávají, a snaží se navrhnout jejich řešení.

Seznam klíčových slov Důkaz; digitální stopa; elektronický důkaz; trestní řízení; soudní znalec; znalecké zkoumání; znalecký posudek; počítačová kriminalita; Trestní řád; Zákon o znalcích a tlumočnících.

4

Abstract Diploma thesis focuses on the procedural aspects of data mining from digital technology. Particularly it deals with the procedures for working with digital technology as a subject evidence in criminal proceeding. Author first deals with theoretical solution of evidentiary proceeding in terms of the current Code of Criminal Procedure. Then the author describes all the steps, which is necessary to do, that make data possible to use as an evidence in criminal proceedings. Finally, the author deals with the practical problems, with which legal experts meet, and he tries to propose solutions.

Keywords Evidence; digital evidence; electronic evidence; criminal proceeding; forensic expert; forensic examination; expert's opinion; cybercrime; Code of Criminal Procedure; Act on Experts and Interpreters.

5

Seznam zkratek Zákon o znalcích

Zákon č. 36/1967 Sb., o znalcích a tlumočnících, ve znění pozdějších předpisů

Vyhláška

Vyhláška č. 37/1967, k provedení zákona o znalcích a tlumočnících, ve znění pozdějších předpisů

Trestní zákoník

Zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů

Trestní řád

Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů

Úmluva

Úmluva Rady Evropy o kybernetické trestné činnosti

Ústavní soud

Ústavní soud České republiky

6

Obsah 1 Úvod......................................................................................................................9 2 Dokazování v trestním řízení...............................................................................11 2.1 Pojem důkaz...................................................................................................11 2.2 Důležité principy pro získávání důkazů.........................................................12 2.2.1 Zásada vyhledávací.................................................................................13 2.2.2 Zásada bezprostřednosti a ústnosti..........................................................14 2.2.3 Zásada presumpce neviny.......................................................................14 2.2.4 Zásada volného hodnocení důkazů.........................................................14 2.2.5 Zásada zjištění skutkového stavu bez důvodných pochybností..............15 2.3 Přípustné a nepřípustné důkazy.....................................................................15 2.4 Důkazy získávané z digitální techniky..........................................................16 2.4.1 Odposlechy a záznam telekomunikačního provozu................................17 2.4.2 Data retention..........................................................................................18 2.4.3 Vydání věci.............................................................................................20 2.4.4 Odnětí věci..............................................................................................21 2.4.5 Domovní prohlídka a prohlídka jiných prostor.......................................22 2.4.6 Případné předání digitální techniky znalci..............................................24 2.5 Zkoumání dle zákona o znalcích a tlumočnících...........................................25 2.5.1 Znalec dle zákona o znalcích a tlumočnících..........................................27 2.5.2 Požadavky zákona o znalcích a tlumočnících na osobu znalce..............28 3 Možnosti vytěžování digitální techniky..............................................................32 3.1 Zajišťování digitální techniky........................................................................33 3.1.1 Zajištění digitální techniky při vyšetřování hackerského útoku.............34 3.1.2 Zajištění digitální techniky ve specifických případech – společnosti.....35 3.1.3 Zajištění digitální techniky ve specifických případech – advokátní kanceláře..................................................................................................................35

7

3.1.4 Zajišťování ze sítě Internet......................................................................36 3.2 Nutné úkony před vlastním vytěžováním......................................................37 3.3 Vytěžování digitální techniky........................................................................38 3.4 Obtíže při dodržování principů pro získávání důkazů z digitální techniky...40 3.5 Postup vytěžování důkazů.............................................................................42 3.5.1 Úložiště typu disk....................................................................................43 3.5.1.1 Obecně o discích...................................................................................43 3.5.1.2 Externí disky, flash disky.....................................................................44 3.5.1.3 Optické disky........................................................................................45 3.5.1.4 Specifika disků uložených v jiných výpočetních technikách...............45 3.5.2 Mobilní telefony......................................................................................46 3.5.2.1 Mobilní telefony bez operačního systému............................................49 3.5.2.2 Mobilní telefony s operačním systémem..............................................50 3.5.3 Zkoumání registrů operačního systému..................................................52 3.6 Možné výsledky vytěžování dle položených otázek......................................52 3.6.1 Zájmové soubory.....................................................................................53 3.6.1.1 Fotografie, obrázky...............................................................................53 3.6.1.2 Videosoubory.......................................................................................54 3.6.1.3 Textově orientované soubory...............................................................54 3.6.1.4 PDF soubory.........................................................................................54 3.6.1.5 Databáze...............................................................................................55 3.6.1.6 Zálohy mobilních telefonů nalezené ve výpočetní technice.................55 3.6.2 Historie činností na Internetu nalezená ve výpočetní technice...............55 3.6.2.1 E-maily.................................................................................................56 3.6.2.2 Chat komunikace..................................................................................56 3.6.2.3 Historie navštívených stránek...............................................................57 4 Konkrétní doporučení pro praxi..........................................................................58 5 Závěr....................................................................................................................60 8

6 Seznam použitých pramenů.................................................................................62 6.1 Seznam použité literatury..............................................................................62 6.2 Seznam internetových zdrojů.........................................................................63 6.3 Seznam elektronických zdrojů.......................................................................65 6.4 Seznam použitých zákonů.............................................................................65 6.5 Seznam použité judikatury.............................................................................65 7 Přílohy.................................................................................................................66 7.1 Opatření o přibrání znalce..............................................................................66 7.2 Poučení znalce...............................................................................................68 7.3 Zkrácený znalecký posudek...........................................................................70

9

1 Úvod Za posledních několik desetiletí prošel vývoj výpočetní a digitální techniky takovým rozvojem, že dnes v podstatě každý dennodenně využívá jejich výhod a komfortu práce s nimi. Vzhledem k tomuto faktu je nutné si uvědomit i to, že se ruku v ruce rozšiřuje i možnost páchání trestných činů pomocí této techniky. Z tohoto důvodu je nutné se zamyslet nad některými důsledky zmíněného vývoje. Cílem této práce by mělo být shrnutí základních procesněprávních institutů dokazování v trestním procesu a dále také samotný proces vytěžování důkazů z digitální techniky. Vzhledem k faktu, že tomuto odvětví se stále věnuje poměrně malý okruh odborníků, měla by tato práce přispět k většímu povědomí o problematice znaleckého zkoumání digitální techniky mezi veřejností. V kapitole „Dokazování v trestním řízení“ se bude autor zabývat teoretickými východisky dokazování. Tato teoretická východiska dále autor spojí s ustanoveními Trestního řádu tak, aby bylo jasné, kde jsou tyto zásady zakotveny. Poté se autor zmíní o teorii přípustných a nepřípustných důkazů tak, aby se dále mohl věnovat praktickým důsledkům zmíněných zásad. Vzhledem k faktu, že většinou je nutné mít digitální techniku k dispozici pro znalecké zkoumání, bude se autor věnovat také institutům domovních prohlídek a s tím spojených odposlechů. V neposlední řadě se zmíní o podmínkách a přípustnosti vydání a odnětí věcí a jejich případného předání znalci ke zkoumání. Ve druhé části zmíněné kapitoly se autor bude věnovat rozboru Zákona o znalcích. Konkrétně se bude zabývat samotným zkoumáním dle zmíněného zákona, jeho náležitostmi a důsledky pro trestní řízení. Dále se bude věnovat samotné osobě znalce tak, jak jej definuje Zákon o znalcích a samotným průběhem jmenování znalcem. Na konci této části autor vyjmenuje a popíše požadavky na osobu znalce dle zmíněného zákona a jejich důsledky pro praxi. Těžištěm práce bude kapitola „Možnosti vytěžování digitální techniky“, kde se autor bude podrobně věnovat vytěžování důkazů z této techniky, a to tak, jak se toto v praxi děje. Autor nejprve shrne obecné zásady zajišťování digitální techniky a poté se bude každému typu techniky věnovat samostatně. Dále budou také naznačeny některé problémy, se kterými se musí znalec či policista při vytěžování vypořádat. Autor se také bude věnovat problémům, jenž mohou nastat při vyšetřování v podnicích či advokátních kancelářích, stejně jako specifikům zajišťování dat z internetu. 10

V další části této kapitoly autor popíše postup vytěžování důkazů z jednotlivých typů techniky. Bude se tedy věnovat obecně diskům, dále jejich dalším typům, jako jsou flash disky, optické disky, ale i specifickým diskům, které se využívají jako úložiště např. v kamerových systémech. Poté autor přejde k mobilním telefonů, a to jak klasickým, tak tzv. chytrým mobilním telefonům s operačními systémy. Poslední částí této kapitoly budou možné výsledky vytěžování dle položených otázek. Tyto autor znovu popíše obecně a dále se každému typu bude věnovat zvlášť. U každého typu souboru autor uvede jeho specifika i možnosti dalšího zkoumání. V kapitole „Konkrétní doporučení pro praxi“ autor nastíní největší problémy dosavadní praxe a pokusí se zodpovědět, jak tyto problémy nejlépe vyřešit. V přílohách této práce autor uvede některé z formálních náležitostí předání digitální techniky znalci, a to konkrétně předávací protokol spolu s opatřením o přibrání znalce podle § 105 odst. 1 Trestního řádu. Dále se zde objeví poučení znalce. V neposlední řadě autor přiloží zkrácený znalecký posudek pro ilustraci, jak tento v praxi vypadá. Tento znalecký posudek bude obsahovat nejdůležitější pasáže opravdového znaleckého posudku. Hlavní důraz bude autor klást na reporty vytvořené forenzními softwarovými prostředky při zkoumání digitální techniky. Tyto reporty tvoří nedílnou část znaleckého posudku a jsou nejdůležitější částí pro vyhodnocování digitálních stop, protože obsahují veškeré informace o jednotlivých vytěžených souborech. Autor si je vědom faktu, že některá témata nezmiňuje, např. padělání veřejných listin či problematiku zneužití platebních karet, ovšem vzhledem k rozsahu práce nebylo možno zařadit veškeré myslitelné otázky týkající se tématu práce. Proto se autor zabývá pouze těmi, z jeho pohledu, nejfrekventovanějšími otázkami, které se v praxi nejvíce vyskytují.

11

2 Dokazování v trestním řízení „Dokazování je činnost orgánů činných v trestním řízení směřující k vyhledávání, zajištění, provedení a zhodnocení poznatků důležitých pro poznání skutkových okolností významných pro rozhodnutí o vině a trestu i postupu řízení.“1 Jakékoli dnešní soudní řízení se neobejde bez důkazních prostředků. Proto je důležité se zaobírat tím, jak důkazy vytěžovat tak, aby je bylo možno využít. Takový důkaz musí být získán právně přípustným způsobem, jinak není možné jej v řízení připustit. Proto osoba zajišťující důkazy musí mít na paměti veškerá důležitá ustanovení trestního řádu týkající se dokazování, aby nedošlo k tomu, že by důkazy například zničila či nedodržela postupy, a tak se z přípustného důkazu stal důkaz nepřípustný2. Pokud se podíváme do obecných ustanovení o dokazování, která jsou uvedena v § 89 Trestního řádu, dozvíme se, že je nutno dokazovat hlavně to, zda došlo ke spáchání trestného činu, zda tento čin spáchal obviněný, případně jeho motiv, dále další okolnosti k posouzení povahy a závažnosti činu, okolnosti vedoucí k osobním poměrům pachatele, okolnosti vedoucí ke spáchání trestné činnosti nebo umožnění jejího spáchání a v neposlední řadě také podstatné okolnosti umožňující stanovení následku, výše škody způsobené trestným činem a bezdůvodného obohacení. K tomuto dokazování lze využít vše, co by mohlo pomoci k objasnění věci.

2.1 Pojem důkaz Jak již bylo zmíněno výše, lze využít vše, co může pomoci k objasnění věci. Tedy výslechy svědků, různé listiny, předměty a podobně.

1

Viz NETT, Alexander, Jana ZEZULOVÁ, Eduard VLČEK a Antonín DRAŠTÍK. Trestní právo procesní: (obecná část). Vyd. 3., dopl. Brno: Masarykova univerzita, 2000, 380 s. Edice učebnic Právnické fakulty 2

Např. § 89 odst. 3 trestního řádu: „Důkaz získaný nezákonným donucením nebo hrozbou takového donucení nesmí být použit v řízení s výjimkou případu, kdy se použije jako důkaz proti osobě, která takového donucení nebo hrozby donucení použila.“

12

Tak tomu samozřejmě bylo vždy, ovšem v dnešní době „informační společnosti“3 je nutno čím dál více využívat důkazy uložené ve výpočetních technologiích, tedy počítačích, mobilních telefonech, tabletech a podobně. Mnoho lidí si ani neuvědomuje, co vše o nich jejich digitální technika vypoví a co vše o nich ukládá. To tedy usnadňuje práci orgánům činným v trestním řízení v tom smyslu, že v mnoha případech, kdy by dříve museli složitě hledat a zajišťovat nepřeberné množství fyzických důkazů, dnes postačí zajistit například pouze počítač a mobilní telefon. Na druhou stranu není vůbec jednoduché tento důkazní materiál zajistit takovým způsobem, aby byl využitelný v trestním řízení, čemuž se dále budeme věnovat v kapitole č. 3. Dalším problémem jistě je, že takto získaných důkazů je nepřeberné množství a je velmi zatěžující veškeré takové důkazy vyhodnotit, a to hlavně z pohledu lidských zdrojů a časového zatížení. Tento problém se čím dál více prohlubuje tím, jak se dále zvětšují paměťová média vložená ve výpočetních technologiích, protože samozřejmě platí přímá úměrnost: Čím větší paměťové médium, tím více potenciálních důkazů k vyhodnocení a provedení.4 Z digitální technologie se tedy můžeme dozvědět více informací, ale stále je to lidský faktor, který musí daná fakta vyhodnotit, což představuje zátěž, kterou musíme brát v potaz.

2.2 Důležité principy pro získávání důkazů Každé právní odvětví je vystavěno na určitých základních principech, které se poté promítají do celého tohoto odvětví a na které je tak nutné vždy brát zřetel. Nejinak je tomu i v případě trestního práva a trestního řízení vůbec. Účelem trestního řízení je obecně prokázat člověku vinu či jej zprostit obvinění. Vzhledem k tomu, že v případě odsouzení jde vždy o obrovský zásah do života nejen odsouzeného, ale i jeho rodiny, musí být řízení vedeno spravedlivě a nestranně. Právě toto by měly zajišťovat základní principy, na kterých je řízení vystavěno. Tyto je dále nutné také promítnout do důkazního řízení. Pro rozdělení zásad vyplývajících z Trestního řádu do jednotlivých skupin můžeme využít například dělení dle Alexandra Netta, který tyto zásady dělí následovně:

3

„Informační společnost je charakterizována podstatným využíváním digitálního zpracovávání, uchovávání a přenosu informací. Ze zpracování informací se stává významná ekonomická aktivita, která jednak prostupuje tradičními ekonomickými či společenskými aktivitami a jednak vytváří zcela nové příležitosti a činnosti, které podstatně ovlivňují charakter společnosti.“ Viz ZLATUŠKA, Jiří. Informační společnost. Zpravodaj ÚVT MU. ISSN 1212-0901, 1998, roč. VIII, č. 4, s. 1-6. 4

Nelze říci stoprocentně, protože v drtivě většině případů není paměťové médium zaplněno úplně.

13

1. „Obecné zásady – stíhání jen ze zákonných důvodů, spolupráce se zájmovými sdruženími občanů, zásada obhajoby 2. Zásady zahájení řízení – zásada oficiality, legality, obžalovací 3. Zásada veřejnosti – platná především v řízení před soudy 4. Zásady dokazování – zásada vyhledávací, zásada bezprostřednosti a ústnosti, presumpce neviny, volného hodnocení důkazů 5. Zásada materiální pravdy“5 Pro účely této práce se budeme zaobírat pouze zásadami dokazování uvedenými pod bodem 4. 2.2.1 Zásada vyhledávací Zásada vyhledávací je v Trestním řádu zakotvena v § 2 odst. 5.6 Tato zásada zakotvuje povinnost orgánů činných v trestním řízení zjišťovat skutečnosti a opatřovat důkazy důležité pro trestní řízení bez ohledu na to, zda svědčí ve prospěch či neprospěch obviněného. Takto musí činit i bez návrhu obviněného. Tato zásada platí i v případě, kdy se obviněný k činu dozná.

Orgány činné v trestním řízení přesto musejí

přezkoumat všechny důležité okolnosti případu, aby bylo možno posoudit polehčující a přitěžující okolnosti. Pro soud platí, že má povinnost sám doplnit dokazování v takovém rozsahu, aby mohl spravedlivě rozhodnout. Ovšem tato zásada neznamená, že by obviněný sám měl být nečinný. Naopak, některé důkazy či tvrzení může vznést pouze on, protože nikdo jiný se o jejich existenci ani nemá možnost dozvědět. Pokud by tedy byl nečinný, mohl by soudu uniknout důležitý důkaz o jeho nevině.

5

Viz NETT, Alexander, Jana ZEZULOVÁ, Eduard VLČEK a Antonín DRAŠTÍK. Trestní právo procesní: (obecná část). Vyd. 3., dopl. Brno: Masarykova univerzita, 2000, 380 s. Edice učebnic Právnické fakulty Masarykovy univerzity v Brně, č. 238. ISBN 80-210-2275-2. 6

Orgány činné v trestním řízení postupují v souladu se svými právy a povinnostmi uvedenými v tomto zákoně a za součinnosti stran tak, aby byl zjištěn skutkový stav věci, o němž nejsou důvodné pochybnosti, a to v rozsahu, který je nezbytný pro jejich rozhodnutí. Doznání obviněného nezbavuje orgány činné v trestním řízení povinnosti přezkoumat všechny podstatné okolnosti případu. V přípravném řízení orgány činné v trestním řízení objasňují způsobem uvedeným v tomto zákoně i bez návrhu stran stejně pečlivě okolnosti svědčící ve prospěch i v neprospěch osoby, proti níž se řízení vede. V řízení před soudem státní zástupce a obviněný mohou na podporu svých stanovisek navrhovat a provádět důkazy. Státní zástupce je povinen dokazovat vinu obžalovaného. To nezbavuje soud povinnosti, aby sám doplnil dokazování v rozsahu potřebném pro své rozhodnutí.

14

2.2.2 Zásada bezprostřednosti a ústnosti Jedná se de facto o dvě zásady, které se ovšem velmi často spojují v jednu. Co se týče zásady ústnosti, tato je zakotvena v § 2 odst. 11 Trestního řádu.7 To, že jednání před soudy má ústní podobu, zajišťuje, že dokazování v hlavním líčení může být provedeno tak, aby byl opravdu zjištěn skutkový stav věci, protože např. obviněný či jeho obhájce může přímo reagovat na tvrzení či důkazy navržené protistranou či soudem, a to ihned po jejich provedení. Zásada ústnosti ovšem není absolutní. Jsou z ní připuštěny výjimky v případech hodných zvláštního zřetele, např. § 211 trestního řádu. Zásada bezprostřednosti znamená, že veškeré důkazy musí být provedeny před soudem, který ve věci rozhoduje. K důkazům, které takto soud neprovedl, nesmí být přihlíženo. Soud je dále povinen zkoumat další aspekty prováděných důkazů, jako je např. zákonnost, věrohodnost, vztah k dokazované věci. Tuto zásadu nalezneme v § 2 odst. 12 Trestního řádu.8 2.2.3 Zásada presumpce neviny Obecně známá zásada presumpce neviny znamená, že na obviněného se má pohlížet jako na nevinného, dokud mu není prokázán opak. Vina tak má být prokázána či vyvrácena před soudem v průběhu dokazování, které zásadně probíhá v hlavním líčení. Tedy jak říká sám trestní řád ve svém § 2 odst. 2: „Dokud pravomocným odsuzujícím rozsudkem soudu není vina vyslovena, nelze se na toho, proti němuž se vede trestní řízení, hledět, jako by byl vinen.“9 2.2.4 Zásada volného hodnocení důkazů Jedná se o velice důležitou zásadu, která udává povinnost soudu stanovit rozsah přípustných důkazů (např. tím, že neprovede navržený důkaz z důvodu nadbytečnosti), posoudit zákonnost a věrohodnost důkazů, a dále vztah k projednávané věci. Jednotlivé důkazy pak posuzuje jednotlivě a také všechny dohromady ve vzájemných souvislostech. Obecně orgány činné v trestním řízení mají dle této zásady hodnotit

7

Jednání před soudy je ústní; důkaz výpověďmi svědků, znalců a obviněného se provádí zpravidla tak, že se tyto osoby vyslýchají. 8

Při rozhodování v hlavním líčení, jakož i ve veřejném, vazebním a neveřejném zasedání smí soud přihlédnout jen k těm důkazům, které byly při tomto jednání provedeny. 9

Viz. Zákon č. 141/1961 Sb. Sb., Trestní řád, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-02-03].

15

důkazy podle svého vnitřního přesvědčení, které má být založeno na pečlivém uvážení všech okolností případu. Veškeré provedené důkazy musí být zhodnoceny v odůvodnění rozsudku a to včetně odůvodnění, proč byly hodnoceny tak, jak hodnoceny byly. Toto je důležité zejména proto, aby bylo možné se odvolat a tento postup přezkoumat. Hodnocení důkazů soudu není ovšem závazné pro soud odvolací, stejně jako hodnocení orgánu činného v trestním řízení pro jiný takový orgán či pro soud. Zásadu volného hodnocení důkazů zakotvuje § 2 odst. 6 Trestního řádu. 2.2.5 Zásada zjištění skutkového stavu bez důvodných pochybností Tato zásada není ve výčtu zásad dokazování uvedeném výše, ovšem velmi úzce souvisí se zásadou volného hodnocení důkazů a nebylo by tedy vhodné ji opomenout. Udává totiž povinnost orgánů činných v trestním řízení provést dokazování v takovém rozsahu, aby bylo možno zjistit hodnověrně skutkový stav pro konkrétní rozhodnutí. Tuto zásadu nalezneme spolu se zásadou vyhledávací v § 2 odst. 5 Trestního řádu.

2.3 Přípustné a nepřípustné důkazy Pro potřeby trestního řízení lze využít pouze přípustné důkazy. Aby byl důkaz přípustný, musí být získán zákonným způsobem. Proto je nutné přesně dodržovat postupy stanovené Trestním řádem. Každý důkaz má tak svá specifika, která je nutno vzít v úvahu. Vzhledem k tématu a rozsahu práce se zde budeme zabývat pouze digitálními důkazy. Od přípustnosti je někdy odlišována zákonnost důkazu. „Toto odlišování má své racionální jádro, pokud je nepřípustnost považována za širší pojem, který zahrnuje nejen nepřípustnost vyplývající z nezákonnosti důkazu, ale i nepřípustnost danou pramenem důkazu.“10 Pokud se zaměříme na § 89 odst. 3 Trestního řádu, zjistíme, že nesmí být řízení použit důkaz, který byl získán nezákonným donucením nebo hrozbou takového donucení, a to s výjimkou případu, kdy se jako důkaz použije proti osobě, která se takového jednání dopustila. Toto je nejzávažnějším typem nepřípustného důkazu. Takovýto důkaz nelze absolutně využít, jeho vadu nelze nijak odstranit. 10

Viz. MUSIL, Jan, Vladimír KRATOCHVÍL a Pavel ŠÁMAL. Kurs trestního práva: trestní právo procesní. Vyd. 1. Praha: C.H. Beck, 1999, s. 406, 667 s. Právnické učebnice (C.H. Beck). ISBN 80-7179216-0.

16

Pokud se jedná o důkazy získané na základě nezákonných zásahů do práv a svobod osob, praxe se zde přiklání také k tomu, že je nelze využít. „Takto získané důkazy by byly podle převažujících názorů nezákonné, a proto v trestním řízení nepřípustné a neúčinné.“11 Ovšem jiná situace nastává v případě, že takové důkazy opatří osoba bez součinnosti s orgány činnými v trestním řízení. Podle převažujících názorů v teorii i praxi se takový důkaz považuje za přípustný a použitelný. V některých případech se může stát, že na základě důkazu získaného nezákonným způsobem zajistíme jiné důkazy. Podle dosavadní české teorie a praxe jsou sice původní

důkazy, jako např. vynucená výpověď obviněného, nezákonná domovní

prohlídka nebo odnětí věci, neúčinné a nepoužitelné v trestním řízení, avšak dále získané důkazy, jestliže byly jinak opatřeny a provedeny zákonným způsobem, účinné jsou. Tato praxe ovšem není zcela bezproblémová. Pokud bychom toto bezvýhradně přijali, není nic jednoduššího, než udělat domovní prohlídku, přestože neexistuje povolení. Tato domovní prohlídka nebude využitelná pro trestní řízení, ovšem ostatní důkazy již ano. J. Pipek k této problematice mimo jiné uvádí: „Domnívám se však, že je možno zastávat názor, že v případě zprostředkovaně získaných důkazů, kdy by dosavadní postup trestního řízení k tomuto důkazu s pravděpodobností hraničící s jistotou dospěl i bez závislosti na porušení důkazních předpisů, je možno takového důkazu výjimečně použít. Zcela je však nutno vyloučit případy porušení ústavních práv a svobod a porušení práv obviněného garantovaných právní úpravou trestního řízení.“12

2.4 Důkazy získávané z digitální techniky Pokud se máme zabývat důkazy získanými z digitální techniky, musíme vědět, co si pod tímto pojmem představit. Ovšem, abychom postihli celou tuto oblast, je nutno takové důkazy kategorizovat, protože digitální technika je velmi různorodá a každý druh techniky má svá specifika, svůj software a tím pádem i více či méně odlišné výstupy.

11

Viz. MUSIL, Jan, Vladimír KRATOCHVÍL a Pavel ŠÁMAL. Kurs trestního práva: trestní právo procesní. Vyd. 1. Praha: C.H. Beck, 1999, s. 411 , 667 s. Právnické učebnice (C.H. Beck). ISBN 80-7179216-0. 12

Viz PIPEK, Jiří. Zákaz důkazů v českém trestním řízení. Kriminalistika: časopis pro kriminalistickou teorii a praxi. Praha: Odbor vydavatelství a tisku MV ČR, 1998, XXXI, č. 4.

17

Taktéž postup při zajišťování může být odlišný, a to i přesto, že se jedná o stejný typ zařízení, např. mobilní telefon a to i od stejného výrobce, kdy technické vytěžení zařízení má odlišný charakter (použitý komunikační protokol apod.). 2.4.1 Odposlechy a záznam telekomunikačního provozu V některých případech odposlechy mohou předcházet domovním prohlídkám. Dále v případě některých trestných činů není možno zajistit důkazy jiným způsobem než záznamem telekomunikačního provozu, např. hackerské útoky, vydírání apod. Tyto instituty jsou upraveny v § 88 Trestního řádu. Příkaz k jejich využití může být vydán pouze v případech zde taxativně vymezených. Jedná se o trestné činy s horní hranicí trestní sazby alespoň osm let a dále přesně vyjmenované skutkové podstaty. 13 Kromě skutkové podstaty dále musí být splněno, že lze důvodně předpokládat, že jím budou získány významné skutečnosti pro trestní řízení, a že nesmí být možno sledovaného účelu dosáhnout jinak nebo by takové dosažení bylo podstatně ztíženo. Z výše uvedeného existuje výjimka týkající se hovorů obviněného se svým obhájcem. Pokud se, i dodatečně, zjistí, že došlo k odposlechu takového rozhovoru, je povinen policejní orgán takový odposlech zničit a informace z něho získané nepoužít. O zničení se sepisuje protokol, který se zakládá do spisu. Nařídit odposlech či záznam telekomunikačního provozu smí předseda senátu, v přípravném řízení na návrh státního zástupce pak soudce. Příkaz musí být vydán písemně s odůvodněním, ve kterém musí být uvedeny konkrétní skutkové okolnosti, které vydání příkazu odůvodňují. Nelze tedy použít takto nabyté informace k jiné skutkové podstatě, která není v příkazu uvedena. V příkazu musí být taktéž uvedena uživatelská adresa či zařízení a osoba uživatele, pokud je tato známa. Samozřejmostí zůstává stanovení doby, po kterou bude odposlech či záznam prováděn. Tato nesmí být delší než čtyři měsíce. Jako důkaz pro trestní řízení nelze využít odposlechu získaného jiným způsobem, bez příkazu výše uvedeného. Nelze tedy využít ani odposlechu dle zpravodajského zákona, jak rozhodl Ústavní soud ve svém nálezu, viz právní věta: „Mírnější podmínky, které zpravodajské zákony na průlom do soukromí kladou, jsou tolerovatelné jednak přísným omezením účelu použití získaných informací a jednak závažností konkrétně 13

Těmito skutkovými podstatami jsou pletichy v insolvenčním řízení podle § 226 Trestního zákoníku, porušení předpisů o pravidlech hospodářské soutěže podle § 248 odst. 1 písm. e) a odst. 2 a 4 Trestního zákoníku, sjednání výhody při zadání veřejné zakázky, při veřejné soutěži a veřejné dražby podle § 256 Trestního zákoníku, pletichy při veřejné dražbě podle § 258 Trestního zákoníku a zneužití pravomoci úřední osoby podle § 329 Trestního zákoníku.

18

hrozícího nebezpečí.“14 Ze stejného důvodu nelze využít ani odposlechy na základě zákona o policii či celního zákona: „Odposlech a záznam telekomunikačního provozu pro účely trestního řízení je upraven v ustanovení § 88 tr. ř., které připouští i provedení takových úkonů před zahájením trestního stíhání, jde-li o úkony neodkladné či neopakovatelné ve smyslu ustanovení § 160 odst. 2, 4 tr. ř. Jedině podle ustanovení § 88 tr. ř. provedené odposlechy a záznamy o nich jsou v trestním řízení procesně použitelné. Odposlechy a záznamy telekomunikačního provozu, provedené podle jiných zákonných norem, např. podle zákona o Policii České republiky (§ 35, § 36 zákona č. 283/1991 Sb. ve znění pozdějších předpisů) nebo podle celního zákona [§ 37c písm. c), § 37d zákona č. 13/1993 Sb. ve znění pozdějších předpisů], lze použít pouze k účelu, který jim tyto zákony vymezují, tedy jako prostředek operativní techniky. Na tom nic nemění ani skutečnost, že byly provedeny za okolností, které by jinak byly důvodem pro jejich provedení v trestním řízení jako úkonů neodkladných nebo neopakovatelných. Záznamy o takovém odposlechu, stejně jako jakékoliv jiné operativní materiály, nemohou být zařazovány do procesního spisu.“15 Výjimkou z nutnosti opatřit příkaz k odposlechu či záznamu telekomunikačního provozu je ustanovení § 88 odst. 5 Trestního řádu. Zde se jedná o tak závažné trestné činy, které musí být stíhány v každém případě a bez časové prodlevy. Z tohoto důvodu zákonodárce dává možnost orgánu činnému v trestním řízení, aby tyto úkony provedl i bez příkazu. Jedná se o trestné činy obchodování s lidmi, svěření dítěte do moci jiného, omezování osobní svobody, vydírání, únosu dítěte a osoby stižené duševní poruchou, násilí proti skupině obyvatel a proti jednotlivci, nebezpečného vyhrožování nebo

nebezpečného

pronásledování.

S

odposlechem

ovšem

musí

uživatel

odposlouchávané stanice souhlasit. Souhlas lze předpokládat především tam, kde se jedná o poškozeného a odposlech by měl zajistit jeho ochranu. 2.4.2 Data retention V § 88a Trestního řádu se nachází podmínky pro tzv. „data retention“.16 Před zrušujícím nálezem Ústavního soudu publikovaným pod č.j. Pl. ÚS 24/11 17 se v zákoně 14

Viz Nález Ústavního soudu ze dne 29. 2. 2008, sp. zn. I. ÚS 3038/07-1. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-03]. 15

Viz Rozsudek Vrchního soudu v Praze ze dne 8. 6. 2000, sp. zn. 2 To 73/2000. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-03]. 16

Jedná se o preventivní uchovávání provozních a lokalizačních údajů o elektronické komunikaci.

17

„Ačkoliv § 88a trestního řádu obsahuje úplnou právní úpravu přístupu orgánů činných v trestním řízení k údajům o uskutečněném telekomunikačním provozu, tento přístup výslovně podmiňuje pouze tím, že předmětné údaje umožňuje zjistit výlučně k objasnění skutečností důležitých pro trestní řízení. Posouzení

19

nacházely pouze velmi mírné podmínky pro vydání záznamů o uskutečněném telekomunikačním provozu. V podstatě jedinou podmínkou bylo, aby šlo o informace k objasnění skutečností důležitých pro trestní řízení. Přímo se zde počítalo s tím, že jde o údaje podléhající ochraně osobních a zprostředkovacích dat. Přesto stačilo, aby předseda senátu či v přípravném řízení soudce nařídil správci těchto údajů18, aby sdělil tyto soudu či orgánu činnému v trestním řízení. Příkaz musel být vydán písemně a odůvodněn. Pro správce údajů toto znamenalo nutnost uchovávat údaje 19 plošně, a to po dobu ne kratší než šest měsíců a ne delší než dvanáct měsíců 20. Toto vše bez obsahu zpráv či komunikace. Po výše zmíněném nálezu Ústavního soudu se situace radikálně proměnila. Ustanovení § 97 odst. 3 obsahuje jasné ustanovení, které stanovuje povinnost uchovávat údaje po dobu šesti měsíců bez jakékoli další výjimky. Nachází se zde dále taxativní výčet orgánů, kterým lze na požádání tyto údaje vydat spolu se zákonným odkazem na podmínky, které je nutno splnit. Vzhledem k faktu, že samotný fenomén „data retention“ by svým obsahem vydal na samostatnou práci, nebudeme se více tomuto věnovat. Autor se domnívá, že výše uvedený nástin plně postačuje pro potřeby této práce.

splnění této podmínky sice svěřuje předsedovi senátu, resp. v přípravném řízení soudci, který rozhoduje o nařízení sdělení těchto údajů, její velmi obecné a neurčité vymezení při současné absenci bližší úpravy následné dispozice s těmito údaji ale s ohledem na to, že sdělení předmětných údajů představuje ve vztahu k dotčeným uživatelům služeb elektronických komunikací zásah do jejich základního práva na soukromí v podobě práva na informační sebeurčení ve smyslu čl. 10 odst. 3 a čl. 13 Listiny a čl. 8 Úmluvy, nelze považovat za dostatečné. Zákonodárce do napadeného ustanovení především nijak nepromítl požadavek proporcionality zásahu do základního práva s ohledem na sledovaný účel, neboť přístup k předmětným údajům upravil v podstatě jako běžný prostředek zaopatřování důkazů pro účely trestního řízení, a to dokonce vedeného pro jakýkoliv trestný čin. Takovéto omezení přitom vzhledem k závažnosti předmětného zásahu do soukromé sféry jednotlivce obstojí toliko tehdy, bude-li respektovat podmínky vyplývající z principu proporcionality. To znamená, že přístup orgánů činných v trestním řízení k údajům o uskutečněném telekomunikačním provozu přichází v úvahu pouze za předpokladu, že účelu trestního řízení nelze dosáhnout jinak, že právní úprava obsahuje dostatečné garance, aby nedošlo k použití těchto údajů k jinému než zákonem předpokládanému účelu, a že omezení práva jednotlivce na informační sebeurčení není nepřiměřeným zásahem s ohledem na význam konkrétních společenských vztahů, zájmů nebo hodnot, jež jsou objektem trestného činu, pro který je vedeno předmětné trestní řízení. Tato omezení napadené ustanovení nerespektuje, přičemž tento nedostatek nelze odstranit ani prostřednictvím jím stanovené soudní kontroly. Soudy při svém rozhodování o nařízení sdělení předmětných údajů sice mohou poskytnout ochranu základnímu právu na informační sebeurčení s ohledem na skutkové okolnosti konkrétní věci, svoji judikaturou však nemohou nahrazovat absenci dostatečně určité zákonné právní úpravy, jež je ve smyslu čl. 4 odst. 2 Listiny předpokladem omezení základních práv a svobod v obecné rovině.“ 18

T.j. právnická či fyzická osoba vykonávající telekomunikační činnost.

19

Údaji se rozumí provozní a lokalizační údaje dle §§ 90 a 91 zákona č. 127/2005 Sb., o elektronických komunikacích a změně některých souvisejících zákonů ve znění pozdějších předpisů. 20 § 97 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění před zrušujícím nálezem Ústavního soudu. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 3. 3. 2014].

20

2.4.3 Vydání věci Tento úkon je upraven v Trestním řádu, v jeho § 78, který stanovuje povinnost každého vydat věc důležitou pro trestní řízení. Tuto povinnost má po vyzvání a je povinen ji vydat soudu, státnímu zástupci či policejnímu orgánu. Při výzvě musí být povinný upozorněn na následky nevyhovění, kterými jsou možnost věc odejmout a možnost uložení pořádkové pokuty dle § 66 Trestního řádu. Dle odst. 3 § 78 Trestního řádu může vyzvat k vydání věci osobu, právnickou i fyzickou, předseda senátu, pokud se věc nachází v přípravném řízení, tak státní zástupce nebo policejní orgán. Co se týče pořádkové pokuty, tato nemůže být uložena tomu, kdo by se tímto důkazem mohl usvědčit. Toto souvisí s právem odepřít výpověď, které je ustanoveno v § 100 Trestního řádu, jehož východisko můžeme nalézt v čl. 37 odst. 1 a čl. 40 odst. 4 Listiny základních práv a svobod a dále také v čl. 14 odst. 3 písm. g) Mezinárodního paktu o občanských a politických právech. Tento princip potvrdil ve svém rozhodnutí i ÚS ČR, který konstatoval: „V judikatuře představované dřívějšími nálezy Ústavního soudu je dostatečně vyinterpretován zákaz sebeobviňování, vyplývající z čl. 37 odst. 1, a čl. 40 odst. 4 Listiny, a výslovně zakotvený v čl. 14 odst. 3 písm. g) Mezinárodního paktu o občanských a politických právech (dále jen „Pakt“). Z této judikatury vyplývá, že podle tohoto nezbytného komponentu základního práva na obhajobu nikdo nesmí být nucen k tomu, aby orgánům veřejné moci dodával důkazy proti sobě či jakákoliv sebeusvědčující prohlášení. Je to naopak veřejná žaloba, kdo má povinnost tvrdit a prokazovat obviněnému jeho vinu bez ohledu na jeho aktivitu a postoj. Je tedy ústavně nepřípustné, aby orgány činné v trestním řízení po někom požadovaly pod jakoukoliv sankcí předložení důkazu, jehož může být použito proti němu samému k usvědčení ze spáchání trestného činu.“21 Výjimku z povinnosti vydat věc tvoří ustanovení odst. 2 předmětného paragrafu Trestního řádu. Povinnost vydat věc nevzniká, pokud se jedná o listinu, jejíž obsah se týká okolností, o kterých platí zákaz výslechu. Toto neplatí, pokud by došlo ke zproštění mlčenlivosti nebo ke zproštění povinnosti udržovat věc v tajnosti dle § 99 Trestního řádu. V případě digitální techniky se ovšem tato věc musí většinou zajistit. Pouze v ojedinělých případech postačí konkrétní data, např. účetnictví Zajištění by měl vždy provádět speciálně vyškolený odborník, aby nedošlo ke ztrátě důkazního materiálu.

21

Viz Nález Ústavního soudu ze dne 12. 1. 2006, sp. zn. II. ÚS 552/05. In: Aspi [právní informační systém]. Wolters Kluwer ČR [cit. 2014-02-12].

21

V rámci Policie ČR tato školení provádí Kriminalistický ústav, který vyškoleným osobám vydává osvědčení. Osobě, která vydá věc, je předáno orgánem, který úkon provedl, potvrzení o převzetí věci, či opis protokolu o vydání věci. Tato povinnost má své opodstatnění v tom, aby bylo jasné, co orgán činný v trestním řízení odváží a co má tedy případně vracet. Navíc protokol o vydání věci musí obsahovat dostatečně přesné popsání věcí, které se vydávají, a to včetně očividného poškození. Toto má znovu své opodstatnění proto, aby nedošlo k záměně a také proto, aby byl orgán činný v trestním řízení chráněn proti nařčení, že případné poškození zavinil. Povinnost vydat osobě potvrzení či opis protokolu je stanovena v ustanoveních o odnětí věci, tedy v § 79, a je společná pro vydání i odnětí věci. Je žádoucí, aby vydání věci byl přítomen soudní znalec, i když v praxi tomu tak ve většině případů není. Pokud ovšem znalec není přímo na místě, může se stát, že mu některé souvislosti případi uniknou či nebudou sděleny. Důležité tedy je, aby policisté na místě vše řádně zadokumentovali, např. pomocí fotoaparátu. Musí být zřetelné veškeré detaily, jako např. zapojení techniky do sítě, zapojení disků, připojení dalších zařízení apod. V neposlední řadě je nutno zmínit riziko šifrování. Pokud budou data šifrována a technika bude vypnuta, nelze se k datům dostat jinak, než přes prolomení hesla. Toto je velice časově i výkonově náročné, pokud jej uživatel sám nesdělí. Problémem ovšem zůstává i fakt, že na první pohled se šifrování většinou neodhalí. Musela by se provést prohlídka disku za tímto účelem, ale tento postup není přípustný z hlediska neměnnosti dat. Tímto se tedy dostáváme do slepé uličky. Dalším problémem, který může nastat, jsou tzv. cloudy. 22 Pokud uživatel ukládá data do cloudu, není možno se k těmto legitimně dostat. Jediným způsobem zůstává příkaz soudu k zajištění dat v cloudu přes poskytovatele této služby. Pokud by totiž někdo jiný chtěl prolomit heslo a vniknout do tohoto účtu, spáchal by sám trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací, a to podle § 230 Trestního zákoníku. 2.4.4 Odnětí věci Jak již bylo řečeno výše, pokud osoba povinná k vydání věci sama tuto věc nevydá, může jí být věc na příkaz předsedy senátu, v přípravném řízení na příkaz státního zástupce nebo policejního orgánu odňata. Ovšem zde má policejní orgán ztíženu situaci 22

Více o cloudech např. zde http://www.businessit.cz/cz/cloud-computing-pro-manazery-a-it-specialistytema.php

22

v tom, že k tomuto úkonu potřebuje předchozí souhlas státního zástupce, jak je stanoveno v § 79 Trestního řádu. Bez tohoto souhlasu může policejní orgán věc odejmout pouze v případě, že souhlasu nelze dosáhnout a věc nesnese odkladu23. K odnětí věci se podle možností přibere osoba, která není na věci zúčastněna. Jak bylo zmíněno u vydání věci, i zde provádějícímu orgánu svědčí povinnost vydat osobě potvrzení o odnětí věci či opis protokolu o odnětí věci. Stejně tak v protokolu musí být věc dostatečně přesně popsána a určena. 2.4.5 Domovní prohlídka a prohlídka jiných prostor Vzhledem k nutnosti co nejvíce šetřit soukromí osob, je možno domovní prohlídku a prohlídku jiných prostor vykonat pouze v případě, že existuje důvodné podezření, že se zde nachází osoba či věc důležitá pro trestní řízení. Oba úkony se přesto z části liší. Vzhledem k faktu, že k soukromí osob ještě přistupuje také právo na nedotknutelnost obydlí24, je jasné, že podmínky pro domovní prohlídku jsou nastaveny daleko přísněji než podmínky u prohlídky jiných prostor. Pro domovní prohlídku je proto nutný příkaz předsedy senátu, popř. v přípravném řízení příkaz soudce na návrh státního zástupce. V neodkladných případech je možno využít namísto předsedy senátu či soudce předsedu senátu či soudce, v jehož obvodu má být tato prohlídka vykonána. Tak či tak jej může vydat jen a pouze soudce, a to písemně s odůvodněním. Osobě, u níž se prohlídka koná, se příkaz doručuje při této prohlídce. Pokud toto není možné, např. pro nepřítomnost osoby, doručuje se příkaz do 24 hodin od opadnutí překážky.

23

„Neodkladným úkonem je takový úkon, který vzhledem k nebezpečí jeho zmaření, zničení nebo ztráty důkazu nesnese z hlediska účelu trestního řízení odkladu na dobu, než bude zahájeno trestní stíhání. Neopakovatelným úkonem je takový úkon, který nebude možno před soudem provést. V protokolu o provedení neodkladného nebo neopakovatelného úkonu je třeba vždy uvést, na základě jakých skutečností byl úkon za neodkladný nebo neopakovatelný považován.“ § 160 odst. 4 zákona č. 141/1961 Sb. Sb., Trestní řád, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-02-03]. 24

„(1) Obydlí je nedotknutelné. Není dovoleno do něj vstoupit bez souhlasu toho, kdo v něm bydlí.

(2) Domovní prohlídka je přípustná jen pro účely trestního řízení, a to na písemný odůvodněný příkaz soudce. Způsob provedení domovní prohlídky stanoví zákon. (3) Jiné zásahy do nedotknutelnosti obydlí mohou být zákonem dovoleny, jen je-li to v demokratické společnosti nezbytné pro ochranu života nebo zdraví osob, pro ochranu práv a svobod druhých anebo pro odvrácení závažného ohrožení veřejné bezpečnosti a pořádku. Pokud je obydlí užíváno také pro podnikání nebo provozování jiné hospodářské činnosti, mohou být takové zásahy zákonem dovoleny, též je-li to nezbytné pro plnění úkolů veřejné správy.“ Čl. 12 Usnesení Předsednictva České národní rady č. 2/1993, o vyhlášení LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součásti ústavního pořádku České republiky, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 10. 2. 2014].

23

Pro prohlídku jiných prostor se přiměřeně užije ustanovení o domovní prohlídce. Existují ale výjimky, kdy příkazu soudce není třeba. Touto výjimkou je znovu situace, kdy vydání příkazu nelze předem dosáhnout a věc nesnese odkladu. Ovšem i zde má policejní orgán povinnost si dodatečně vyžádat souhlas soudu. Pokud by tento dodatečně souhlas neudělil, nelze poznatky z prohlídky použít jako důkaz. Druhou výjimkou pak je situace, kdy uživatel dotčených pozemků či prostor dá písemný souhlas s touto prohlídkou a toto písemné prohlášení předá policejnímu orgánu. Policejní orgán je v tomto případě povinen bezodkladně o úkonu vyrozumět předsedu senátu oprávněného k vydání příkazu, v přípravném řízení pak dozorujícího státního zástupce. Výkonu domovní prohlídky nebo prohlídky jiných prostor musí přecházet výslech dotčené osoby. Pokud se výslechem nepodaří dosáhnout dobrovolného vydání věci, je následně možné přistoupit k prohlídce. Zde lze využít výjimky upuštění od výslechu v případě, že věc nesnese odkladu a výslech není možno provést okamžitě. Při výkonu prohlídky má právo osoba, u níž se prohlídka koná, člen domácnosti či zaměstnanec při prohlídce jiných prostor účastnit se této prohlídky. Orgán vykonávající prohlídku je povinen o tomto právu osoby poučit. Povinně se také prohlídky musí účastnit osoba nezúčastněná na věci. Každá osoba je povinna úkony prohlídky strpět, pokud jsou dodrženy její podmínky, jak výše uvedeno. Pokud by toto omezení osoba nestrpěla dobrovolně, mohou orgány vykonávající prohlídku po předchozí marné výzvě překonat její odpor či překážku. O tomto postupu je nutno učinit záznam v protokolu o prohlídce. V protokolu o prohlídce se také musí objevit zmínka o tom, zda byla dodržena povinnost předchozího výslechu či zdůvodnění, proč tomu tak nebylo. Pokud při prohlídce došlo k vydání či odnětí věci, musí tato skutečnost být také uvedena v protokolu. Osobě, u které byla prohlídka provedena, se poté vydává písemné potvrzení o výsledku prohlídky a eventuálně o převzetí vydaných či odňatých věcí. Toto potvrzení může být nahrazeno opisem protokolu o provedení prohlídky, které musí být osobě vydáno ihned. Pokud takto nelze učinit, tak nejdéle do 24 hodin po provedení prohlídky. Povinně se také prohlídky musí účastnit osoba nezúčastněná na věci. Pokud má být prováděna prohlídka za účelem zadokumentování digitální techniky, je nutno toto činit rychle, aby nedošlo ke ztrátě důkazů. K této problematice se vyjadřuje například Aleš Mendel, který konstatuje: „Speciální přípravu vyžaduje prohlídka, při které je pravděpodobné, že se na místě bude nacházet digitální technika. Musí se shromáždit informace o používané technice a vybavení, protože jen za pomoci 24

informací, lze na místě prohlídky zabránit poškození nebo dokonce vymazání dat. Počítač může být připraven tak, že zmáčknutím jediné klávesy vymaže svůj obsah. Orgány provádějící prohlídku musí rychle vniknout do všech prostor a zabránit osobám v přístupu k počítačům. V případě propojení počítačů interní sítí nebo internetem nastává problém, protože osoby mohou manipulovat s daty i z vnějšího prostoru. Tyto sítě je třeba předem zablokovat.“25 Navíc, jak bude i dále zmíněno, pro zajištění digitální techniky je nutná přítomnost speciálně vyškoleného odborníka, ať již z řad policejního orgánu, viz výše, či přizvaného soudního znalce v oboru Kybernetika. Není možné, aby tyto úkony prováděl laik, protože by bylo velice pravděpodobné, že by došlo ke ztrátě dat, tedy i důkazů. Navíc by tyto úkony mohly být napadnutelné u trestního řízení, protože by pravděpodobně nebylo možno dokázat autenticitu dat a odbornou manipulaci s digitální technikou, tedy i s daty. Proto se vždy ještě na místě veškerá digitální technika dokumentuje, vkládá do pytlů a pečetí. Tuto pečeť majitel digitální techniky či nezúčastněná osoba podepíše z obou stran, aby bylo zajištěno, že s digitální technikou nikdo dále nemanipuloval, a to do doby, než začne samotná expertíza. Otevření pytlů mimo znalecké úkony by mělo probíhat rovněž za přítomnosti majitele či alespoň nezúčastněné osoby. Policejní orgán musí dodržovat velmi přísná opatření i při transportu digitální techniky z místa prohlídky. Nešetrné zacházení může mít zásadní vliv na data uložená ve výpočetní technice. Na takovou manipulaci jsou náchylné zejména pevné či externí disky, kterým stačí i slabý otřes k tomu, aby došlo k jejich nenávratnému poškození. Stejně tak s optickými disky je nutno manipulovat opatrně. Zde se může stát, že při neopatrnosti dojde ke zlomení či poškrábání optického disku, které bude mít za následek nečitelnost tohoto média, a tedy ztrátu dat. 2.4.6 Případné předání digitální techniky znalci Před předáním digitální techniky znalci musí proběhnout přibrání znalce. Tento úkon se děje na základě § 105 odst. 1 Trestního řádu opatřením. Ve zvláště složitých případech je možno dle § 110 Trestního řádu přibrat i specializovaný ústav26. Znalce přibírá v přípravném řízení ten orgán činný v trestním řízení, který považuje znalecký posudek za nezbytný pro rozhodnutí. Pokud byla věc vrácena k došetření, přibírá soudního 25

Viz MENDEL, Aleš. Vyšetřování počítačové kriminality: Plánování a vyšetřování počítačové kriminality. POLČÁK et al. Kyberkriminalita a právo. Vyd. 1. Tomáš Gřivna, Radim Polčák. Praha: Auditorium, 2008, s. 91-92. ISBN 9788090378674. 26

Může se jednat o státní orgán, vědecký ústav, vysokou školu nebo instituci specializovanou na znaleckou činnost.

25

znalce státní zástupce, v řízení před soudem pak předseda senátu. O tomto úkonu musí být vyrozuměn obviněný, v řízení před soudem i státní zástupce. Dále se vyrozumí osoby, které musejí něco konat nebo strpět pro to, aby bylo možno podat znalecký posudek. Poté, co byl přibrán znalec, je nutné mu předat zajištěné stopy, aby mohlo proběhnout samotné zkoumání. Předání by mělo proběhnout ve stejném stavu, v jakém se digitální technika nacházela při pečetění, tedy bez poškození této pečetě, aby bylo zajištěno, že s daty nebylo manipulováno. Zde se vyskytuje problém, že není žádoucí, aby podezřelá osoba znala osobu znalce, nebo hůř i věděla, kde bydlí. Proto není myslitelné, aby se tato osoba účastnila rozpečetění digitální techniky. Lze tedy doporučit, aby znalec sám sebe chránil před nařčením z manipulace, a to tím, že tento úkon zadokumentuje pomocí videokamery či alespoň pomocí fotoaparátu. Výstupy z této dokumentace nemusí nutně být součástí znaleckého posudku, úplně postačí, pokud je znalec bude mít k dispozici pro případ nařčení, aby se mohl tímto bránit. Znovu i při předání digitální techniky znalci je nutno sepsat písemný předávací protokol, který podepisuje předávající osoba, většinou policista, a soudní znalec. Samotný transport musí proběhnout opět co nejšetrněji, aby se digitální technika nepoškodila. Spolu s předáním techniky je znalci předáno i opatření o přibrání znalce a poučení. Toto opatření obsahuje otázky, které je v rámci znaleckého posudku nutno zodpovědět. Příklady obou těchto listin jsou zařazeny jako přílohy pod čísly 2 a 3. Po provedeném zkoumání se tento postup opakuje, znovu se sepisuje předávací protokol a probíhá transport zpět k policejnímu orgánu, který digitální techniku zajistil.

2.5 Zkoumání dle zákona o znalcích a tlumočnících Dle zákona o znalcích se zkoumají důkazy a vydávají se posudky, pokud jsou tyto potřebné pro účely soudního řízení, viz komentář k zákonu o znalcích k jeho § 1 odst. 1: „ … V prvním odstavci nalezneme pozitivní vymezení rozsahu těchto právních vztahů, na které zákonná úprava dopadá, … Okruh těchto vztahů je charakterizován tak, že znalecká a tlumočnická činnost je vykonávána pro účely soudního řízení a řízení před jinými státními orgány a pro účely

26

právních úkonů mezi občany

a organizacemi.“27 Z tohoto vyplývá, že pokud má znalecký posudek mít nějakou váhu v soudním řízení, musí splňovat náležitosti tohoto zákona. Pokud se zamyslíme nad možností, jak se znalec stává součástí trestního řízení, lze v podstatě odvodit dva případy. První již byl zmíněn výše, a to institut přibrání znalce dle § 105 a násl. Trestního řádu. V tomto případě jej tedy „přizve“ orgán činný v trestním řízení. Z logiky věci a z práva obžalovaného hájit se vyplývá ovšem i možnost, že si znalecký posudek vyžádá právě obžalovaný, a to na podporu jím tvrzených faktů. Zákon o znalcích ani Trestní řád mezi těmito možnostmi ovšem neshledává žádný rozdíl. Na oba typy posudků klade stejné nároky. Toto vychází i z faktu, že pokud by soudní znalec podal nepravdivý posudek, spáchal by trestný čin podle § 346 Trestního zákoníku28. Trestní řád ovšem jako základní institut pro odborné otázky považuje odborné vyjádření. Pouze v případech, kdy toto není pro složitost věci dostačující, přibírá se znalec. Rozdílům mezi znaleckým posudkem a odborným vyjádřením se ve svém příspěvku věnoval např. Marek Fryšták, který konstatoval: „Pokud je tedy k objasnění skutečností důležitých pro trestní řízení dostačující odborné vyjádření nebo dokonce běžné znalosti a praktické zkušenosti získané vzděláním a výchovou, které z určité odborné znalosti má každý kulturní člověk, není třeba vypracovávat znalecký posudek. Odborné vyjádření tak vypracuje osoba, která má tyto potřebné odborné předpoklady.“29 Odborné vyjádření nemá stanovené formální náležitosti. V rámci 27

Viz DORFL, Lubos. Zakon o znalcich a tlumočnicich: komentar. 1. vyd. Praha: C.H. Beck, 2009, s. 11. ISBN 9788074001482. 28

„(1) Kdo jako znalec podá nepravdivý, hrubě zkreslený nebo neúplný znalecký posudek, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti. (2) Kdo jako svědek nebo znalec před soudem nebo před mezinárodním soudním orgánem, před notářem jako soudním komisařem, státním zástupcem nebo před policejním orgánem, který koná přípravné řízení podle trestního řádu, anebo před vyšetřovací komisí Poslanecké sněmovny Parlamentu České republiky a) uvede nepravdu o okolnosti, která má podstatný význam pro rozhodnutí nebo pro zjištění vyšetřovací komise Poslanecké sněmovny Parlamentu České republiky, nebo b) takovou okolnost zamlčí, bude potrestán odnětím svobody na šest měsíců až tři léta nebo zákazem činnosti. (3) Odnětím svobody na dvě léta až deset let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 nebo 2 značnou škodu, nebo b) spáchá-li takový čin v úmyslu jiného vážně poškodit v zaměstnání, narušit jeho rodinné vztahy nebo způsobit mu jinou vážnou újmu.“ 29

Viz FRYŠTÁK, Marek. Odborné vyjádření versus znalecký posudek, Dny práva - 2010: 4. ročník mezinárodní konference pořádané Právnickou fakultou Masarykovy univerzity. 1. vyd. Brno: Masarykova univerzita, 2010, 1 CD-ROM. Spisy Právnické fakulty Masarykovy univerzity v Brně, sv.

27

dokazování je odborné vyjádření dle § 112 Trestního řádu listinným důkazem. Odborné vyjádření bývá z logiky věci mnohem stručnější, než znalecký posudek. K tomuto Fryšták dále konstatuje: „Zatímco u odborného vyjádření orgán činný v trestním řízení prioritně zajímá odpověď na položenou otázku, u znaleckého posudku jsou důležité, z hlediska posuzování jeho věrohodnosti a objektivity, i postupy, na základě kterých znalec dospěl k odpovědi na položenou otázku. Proto je z výše uvedených důvodů vypracování odborného vyjádření mnohem méně časově náročnější, než vypracování znaleckého posudku.“30 2.5.1 Znalec dle zákona o znalcích a tlumočnících Znalcem dle Zákona o znalcích je osoba zapsaná v seznamu znalců. Osoby, které v něm nejsou zapsány, mohou být jako znalci ustanoveni v řízení před státními orgány, ale pouze výjimečně, za podmínek stanovených v § 24, tzv. příležitostný znalec. Aby mohl být znalec zapsán do seznamu znalců, musí být nejprve jmenován. Znalce jmenuje pro jednotlivé obory buďto ministr spravedlnosti nebo předseda krajského soudu v rozsahu, v jakém k tomuto byl ministrem pověřen. Po jmenování musí znalec složit slib do rukou toho, kdo jej jmenoval. Znalecký slib zní: „Slibuji, že při své znalecké (tlumočnické) činnosti budu přesně dodržovat právní předpisy, že znaleckou (tlumočnickou) činnost budu konat nestranně podle svého nejlepšího vědomí, že bude plně využívat všech svých znalostí a že zachovám mlčenlivost o skutečnostech, o nichž jsem se při výkonu znalecké (tlumočnické) činnosti dozvěděl.“31 Dříve záleželo na uvážení předsedy krajského soudu, zda uchazeče jmenuje, či nikoliv. Toto potvrdil i Ústavní soud ve svém usnesení, ve kterém konstatoval: „Z citované právní úpravy jednoznačně vyplývá, že jmenování znalců do funkce probíhá na základě výběru z okruhu osob, které splňují zákonné podmínky pro jmenování, a počet jmenovaných znalců se řídí skutečnou potřebou znalecké činnosti 378. ISBN 978-802-1053-052. Dostupné z: https://www.law.muni.cz/sborniky/dny_prava_2010/files/prispevky/01_aktualni/Frystak_Marek_(393 9).pdf. 30

Viz FRYŠTÁK, Marek. Odborné vyjádření versus znalecký posudek, Dny práva - 2010: 4. ročník mezinárodní konference pořádané Právnickou fakultou Masarykovy univerzity. 1. vyd. Brno: Masarykova univerzita, 2010, 1 CD-ROM. Spisy Právnické fakulty Masarykovy univerzity v Brně, sv. 378. ISBN 978-802-1053-052. Dostupné z: https://www.law.muni.cz/sborniky/dny_prava_2010/files/prispevky/01_aktualni/Frystak_Marek_(393 9).pdf. 31

Zákon č. 36/1967 Sb., zákon o znalcích a tlumočnících, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 1. 3. 2014].

28

z jednotlivých oborů. Je tedy zřejmé, že na jmenování do funkce znalce není právní nárok. Jmenování konkrétních osob do znalecké funkce závisí na uvážení krajského soudu. Jinými slovy každému, kdo požádá o jmenování znalcem, nevzniká, ani při splnění všech zákonných podmínek, právní nárok na to, aby znalcem jmenován skutečně byl. Jmenování do funkce znalce tudíž nelze považovat za právo každého občana. Je rovněž zřejmé, že postup při jmenování a odvolávání znalců podle zákona č. 36/1967 Sb. není správním řízením a nevztahuje se na něj zákon č. 71/1967 Sb. - správní řád. Stejný závěr ve svých dřívějších rozhodnutích vyslovily také další senáty Ústavního soudu (nepublikovaná usnesení ze dne 26. 6. 2003, sp. zn. I. ÚS 178/2003, či usnesení ze dne 25. 3. 2003, sp. zn. III. ÚS 629/02).“ 32 Dnes se, i přes zmíněné rozhodnutí Ústavního soudu, situace změnila a o jmenování se koná správní řízení se všemi důsledky z toho vyplývajícími.33 2.5.2 Požadavky zákona o znalcích a tlumočnících na osobu znalce Požadavky stanovuje zákon o znalcích a tlumočnících obecně ve svých §§ 4 a 5. V § 4 se nachází taxativní výčet základních podmínek, které musí uchazeč o jmenování splňovat. V prvé řadě je nutno uvést, že § 4 Zákona o znalcích byl k 1. 1. 2013 kompletně novelizován. První podmínkou se nově stalo státní občanství České republiky nebo potvrzení o přechodném pobytu či povolení k trvalému pobytu na území České republiky, je-li osoba státním příslušníkem jiného členského státu Evropské unie, nebo povolení k trvalému pobytu na území České republiky, je-li osoba státním příslušníkem jiného než členského státu Evropské unie. Před novelizací zde byla podmínka československého34 státního občanství. Důvodem změny je zákaz diskriminace a zásada volného pohybu pracovníků a usazování v rámci Evropské unie. Osoba, která má být jmenována znalcem, musí být plně způsobilá k právním úkonům. Toto vychází již z podstaty jeho funkce. Vzhledem k faktu, že znalecký posudek se velmi často stává klíčovým důkazem o vině či nevině, nelze si představit situaci, kdy by soudní znalec byl nesvéprávný. Dalším důsledkem nesvéprávnosti by byla naprostá absence jakýchkoli sankcí. Znalec by byl nezpůsobilý k sankcím, proto 32

Usnesení Ústavního soudu ze dne 27. 10. 2005, sp. zn. II. ÚS 153/04. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-18]. 33

Viz § 7 odst. 1 Instrukce Ministerstva spravedlnosti č. 90/2012-OSD-ZN ze dne 30. 4. 2012, o správním řízení ve věcech znalců a tlumočníků, a o některých dalších otázkách. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-18]. 34

Vzhledem ke stáří zákona a nepříliš časté novelizaci zde zůstalo československé státní občanství.

29

by jej nebylo možné ani jakkoli trestat, např. za nepravdivý posudek. Velmi by tak oslabila spravedlnost i důvěra v soud a soudní znalce. Třetí podmínkou se stala bezúhonnost. Tuto podmínku dále konkretizuje odstavec druhý, který specifikuje, kdy osoba není bezúhonná pro potřeby Zákona o znalcích. Podmínku bezúhonnosti tedy nesplňuje osoba, která byla odsouzena za úmyslný trestný čin či za nedbalostní trestný čin související s výkonem znalecké činnosti. Naopak podmínku splňuje osoba odsouzena za výše uvedené činy, ovšem na kterou se hledí, jako by odsouzena nebyla. Je zde tedy zkoumána důvěryhodnost znalce. Pokud by osoba spáchala úmyslný trestný čin, logicky ztratí alespoň část věrohodnosti, a to by se samozřejmě dotklo i důvěry v posudky, které vypracoval. Ještě markantnější je tato skutečnost u trestných činů souvisejících s výkonem znalecké činnosti. Zde by znalec ztratil důvěryhodnost úplně. Proto zákonodárce zvolil tvrdší kritérium, kdy u těchto skutků postačí i nedbalost. S výše uvedenou podmínkou souvisí i další, a to absence vyškrtnutí ze seznamu znalců v období posledních třech let. Kdyby byl znalec vyškrtnut, utrpěla by jeho pověst a tím i věrohodnost. Důvody pro vyškrtnutí ze seznamu nalezneme v § 20a a následujících Zákona o znalcích. Jde o situace, kdy znalec ztrácí právo vykonávat znaleckou činnost. Kromě smrti znalce a jeho prohlášení za mrtvého lze uvést jako důvody pro vyškrtnutí zbavení způsobilosti k právním úkonům, pravomocné odsouzení za úmyslný trestný čin či za nedbalostní trestný čin související s výkonem znalecké činnosti, písemnou žádost o vyškrtnutí a pravomocné uložení sankce vyškrtnutí ze seznamu znalců a tlumočníků podle § 25a odst. 3 Zákona o znalcích. 35 Vyškrtnutí provádí Ministerstvo spravedlnosti nebo předseda krajského soudu. Další podmínkou jsou potřebné znalosti a zkušenosti v oboru, v němž má být znalec jmenován. Jedná se o základní a zásadní podmínku pro výkon znalecké činnosti. Již sám název znalec obsahuje ve svém kořeni slovo znalost. Bez potřebných znalostí a zkušeností nelze objektivně znalecké posudky zpracovávat. Ztratily by tak své opodstatnění, kdy mají soudci, kteří nemohou disponovat znalostmi ze všech oborů, napomáhat ve specifických oborech, o jejichž zákonitostech a fungování nemůže soudce vědět. Pokud by tedy tyto znalosti neměl ani znalec, byl by v řízení nadbytečný a posudek by si mohl zpracovat sám soudce. Bohužel v dnešní době není nastaven 35

Jde o přestupky podle § 25a odst. 1 písm. a), c), d), e), i). Jmenovitě vykonávání znalecké činnosti v rozporu se Zákonem o znalcích (konkrétně § 8), porušení povinnosti mlčenlivosti či nepoučení dalších osob o tomto, podání znaleckého posudku ve věci, ve které byl vyloučen, odmítnutí podání znaleckého posudku orgánu veřejné moci bez vážných důvodů, vykonává činnost v době, kdy jeho právo vykonávat tuto činnost bylo pozastaveno dle § 20 odst. 4 Zákona o znalcích.

30

žádný kontrolní mechanismus, který by znalce prověřoval, zda opravdu potřebné znalosti mají. Ani Zákon o znalcích nespecifikuje, jaká úroveň odbornosti je vyžadována, stejně tak mlčí i Vyhláška. Je zde tedy velký prostor pro uvážení orgánu jmenujícího znalce. Může se tedy stát, že se znalcem stane člověk, který sice např. vystudoval vysokou školu v oboru, pár let v oboru i pracoval, ovšem poté začal pracovat v jiném oboru. Přesto splní náležitosti pro to, aby se stal znalcem, ačkoliv jeho odbornost již není na vysoké úrovni, protože tento obor se mezitím například od základů změnil, ale on by mohl i nadále zpracovávat posudky. Bylo by tedy v praxi dobré, a návrh nového zákona s tímto již počítá, jak zmíníme níže, aby existovala např. nějaká komise, která by byla složená z odborníků, a tuto odbornost by posuzovala. Na druhou stranu si lze představit, že zde poté mohou být problémy s podjatostí, protože je velice pravděpodobné, že by zde zasedali již jmenovaní znalci, kteří by neměli zájem na tom, aby jim na trhu vznikala další konkurence. Autor se domnívá, že by bylo nutné citlivě vyvážit hlavně objektivní skutečnosti, jako je např. vzdělání, praxe v oboru apod. Dále by bylo potřeba vyvážit poměr v hodnotící komisi např. tak, aby zde zasedli jak znalci, tak akademičtí pracovníci a dále např. odborníci z praxe, kteří ale sami nevykonávají znaleckou činnost. Výše nastíněná doporučení by mohla, dle názoru autora, zobjektivizovat jak samotný výběr, tak i prověřování znalostí budoucích znalců, a mohlo by tak přispět ke zkvalitnění znaleckých posudků. Další podmínkou jsou osobní vlastnosti dávající předpoklad pro řádný výkon znalecké činnosti. Ani tyto osobní vlastnosti Zákon o znalcích nijak dále nerozvádí. Lze jen doporučit, aby se alespoň ve Vyhlášce objevil minimálně demonstrativní výčet těchto vlastností. V neposlední řadě musí znalec se svým jmenováním souhlasit. Lze si představit situaci, kdy by byl jmenován znalcem odborník s velmi kladnými osobními vlastnostmi, ovšem tento by o jmenování neměl zájem. Pak by pravděpodobně znaleckou činnost stejně nevykonával, přestože by byl jmenován. Pokud by navíc odmítl podat znalecký posudek pro státní orgány, bylo by to důvodem k vyškrtnutí ze seznamu znalců. V § 5 Zákona o znalcích nalezneme postup pro jmenování znalcem. Ke jmenování musí dojít na základě výběru mezi osobami splňující výše uvedené podmínky. Jmenování osoby může navrhnout orgán veřejné moci, vědecká instituce, vysoká škola, dále organizace, u nichž pracují osoby přicházející v úvahu, občanská sdružení, obecně prospěšné společnosti nebo nadace, jestliže to vyplývá z předmětu jejich činnosti. Znalcem může být jmenován též ten, kdo sám o jmenování požádá. Výše uvedené 31

orgány a organizace a také sbory pro znalecké otázky36 se na žádost ministra spravedlnosti, popřípadě předsedy krajského soudu, vyjadřují k osobě potenciálního znalce.

36

Viz § 16 Zákona o znalcích: „(1) V oborech, u nichž to odůvodňuje jejich povaha, se zřizují jako poradní orgány ministra spravedlnosti sbory pro znalecké otázky; jejich členy jmenuje ministr spravedlnosti z řad znalců. (2) Úkolem sborů pro znalecké otázky je zejména spolupůsobit při jmenování znalců, stanovit odborné předpoklady nutné pro jmenování znalcem, pečovat o zdokonalování zvláštní kvalifikace znalců, dávat podněty pro vědecký výzkum obecných otázek znalecké činnosti a vyjadřovat se k takovým otázkám z hlediska oboru, pro který jsou zřízeny.“

32

3 Možnosti vytěžování digitální techniky Pokud máme vytěžovat důkazy z digitální techniky, je ve většině případů vhodné mít tuto techniku fyzicky k dispozici. Pokud je toto tedy alespoň trochu možné, musí být technika zajištěna pro potřeby zkoumání. Technika by měla být zabezpečena proti změně dat, vzdálenému smazání apod. Pro vlastní zajištění techniky je možno dle Trestního řádu využít buďto institut vydání věci či odnětí věci. Tyto dva instituty předpokládají povědomí o existenci a umístění předmětné digitální techniky. Pro tuto znalost lze tedy využít institutů domovní prohlídky, osobní prohlídky a prohlídky jiných prostor. Určité typy trestné činnosti lze vystopovat např. pouze činností na Internetu, proto může být dále velmi důležitý institut odposlechů a záznamů telekomunikačního provozu. S tímto také souvisí zajišťování důkazů přímo ze světové sítě Internet, které má svá specifika v tom, že úložiště dat není fyzicky dostupné a je tedy nutné k tomuto přistoupit vzdáleně pomocí Internetu. Veškeré postupy při zajišťování digitálních stop směřují k tomu, aby data zůstala nezměněná a jednání uživatele tak bylo možno prokázat už tím, že se na výpočetní technice tato data nacházela. Při zajišťování tak je třeba mít toto na zřeteli. Lze využít několika přístupů k zajištění výpočetní techniky. Prvním z nich je tvorba bitové kopie pevného disku přímo na místě, ať již za přítomnosti znalce či bez něho, kdy kopii vytváří osoba speciálně vyškolená pro tuto činnost v rámci Policie ČR. V tomto případě by po celou dobu měl být uživatel, popřípadě i jeho právní zástupce, přítomen tomuto úkonu, aby mohl namítat případné změny dat. Stejně tak by měla být po celou dobu úkonu přítomna osoba nezúčastněná na případu, aby byla dodržena objektivita. Pokud ke změnám dat nedojde, měly by tyto osoby podepsat protokol, který obsahuje kontrolní sumu zabezpečující integritu a neměnnost dat, viz další podkapitoly. Další možností je zabezpečit výpočetní techniku jejím vypnutím a odesláním na expertízu. Po vypnutí se výpočetní technika zabalí a přepečetí. Rovněž těmto úkonům by měl být přítomen uživatel, jeho právní zástupce a nezúčastněná osoba, kteří by svůj souhlas s neměnností dat měli stvrdit podpisem pečeti. Tvorba vlastní bitové kopie poté zůstane na znalci. Další postup je popsán v následujících podkapitolách.

33

3.1 Zajišťování digitální techniky Dále také samozřejmě vždy záleží na konkrétním druhu trestné činnosti a specifikách skutku. Důležité je vědět, co možná nejvíce informací o pachateli a okolnostech případu, aby bylo možno stanovit konkrétní postupy, jak digitální techniku zajistit tak, aby nedošlo k poškození důkazního materiálu již při jeho zajišťování změnou dat zapříčiněnou funkcí techniky. Tento princip v současnosti nelze vždy dodržet s ohledem na specifika digitální techniky. Je tedy alespoň nutné tyto nežádoucí vlivy omezit na nezbytně nutné minimum a to v rámci specifik řešeného skutku a digitální techniky. Např. v případě hackerského útoku na počítačový systém, popř. při šifrovaném disku, je bezesporu přednější zájem zajištění informací z operační paměti před principem, že by neměla být data nijak modifikována, k čemuž nepochybně nahráním aplikace pro zálohu operační paměti dojde. Toto nahrání má sice za následek případnou ztrátu nepatrného množství informací, ale je dále možné systém forenzně zkoumat i z pohledu této operační paměti, která po vypnutí napájení bude nenávratně smazána. Je tedy nepochybné, že v případě digitální techniky nelze dodržet úplně všechna pravidla, která jsou běžně aplikována např. na listinné důkazy a jiné kriminalistické stopy. Vždy musí být kladen důraz na cíle, kterých má být dosaženo, a to již při zajišťování této digitální techniky, a vždy se musí zvažovat, jaké informace jsou pro nás důležité a o jaké případně můžeme přijít. V rámci forenzní praxe v oblasti digitální techniky např. neexistuje ani jednoznačné pravidlo, jak zajistit spuštěnou techniku. V jednom případě je vhodné digitální techniku odpojit od elektrické energie, hovorově tzv. „natvrdo“ po dokumentaci operační paměti, v jiném případě naopak digitální techniku standardně vypnout. Vždy však dojde k nějaké ztrátě části dat. Taktéž je tomu u chytrých mobilních telefonů, kdy v minulosti se ve forenzní praxi uvádělo, že mobilní telefon, pokud je zapnutý, měl by se v tomto stavu ponechat až do předání znalci. V současné době je zde reálné riziko, že pokud jej necháme zapnutý, pachatel může dálkově smazat data, avšak naopak, když mobilní telefon vypneme a neznáme PIN kód SIM karty, je možné, že se k informacím nedostaneme, apod. Těchto úskalí se v digitálním světě nachází více a musíme vždy mít na zřeteli cíle forenzního zkoumání. Taktéž nelze z tohoto důvodu postihnout všechny tyto eventuality v této diplomové práci vzhledem k různorodosti digitální techniky a rozsahu skutků, stejně jako z důvodu neustále se vyvíjející techniky a forenzní praxe. Je však nutno zdůraznit, že veškeré kroky, které byly učiněny, musí být, více než v jiných případech, zadokumentovány tak, aby znalec mohl stav, který předcházel zajištění, nasimulovat a dále řádně popsat. Toto může být také důležité s ohledem na

34

skutečnost, že pachatel skrývá svojí trestnou činnost a tyto informace mohou napomoci ve forenzním zkoumání. Tyto informace jsou velice důležité nejen pro toto technické hledisko, ale taktéž vychází z důkazního principu zajišťování stop, aby bylo patrné, jak se k důkazům došlo. 3.1.1 Zajištění digitální techniky při vyšetřování hackerského útoku Jedná se o velice složitou problematiku, která se neustále vyvíjí. Spolu s novými technologiemi útoků dochází také k napadání celých systémů, kdy touto trestnou činností se zabývají profesionální zločinecké mezinárodními skupiny. Samotný odhad jednotlivých škod a tedy zisků těchto skupin se odhaduje na několikanásobné převýšení zisků z prodeje drog. Jen toto téma by svým rozsahem vydalo na vlastní práci. Spolu s příchodem nových technologií dochází čím dál více k napadání mobilních telefonů a tabletů, které jsou součástí každodenní činnosti uživatelů, avšak není brán dostatečný zřetel na jejich ochranu. Z tohoto důvodu se na ně zločinecké skupiny zaměřují. Tyto přístroje jsou napadány zejména za účelem posílání placených, tzv. prémiových SMS zpráv či převodů peněz z bankovních účtů. Ve výše zmíněném případě je nutné v první řadě zajistit dokumentaci a rychle vyhodnotit data, aby dále nenarůstala škoda. Pro správné vyhodnocení situace jsou tedy rozhodující odborné znalosti znalce a jeho technické zázemí. Bohužel u této problematiky se často setkáváme s problémem včasné identifikace možného napadení techniky. Uživatelé si nechtějí připustit tuto možnost a neřeší dostatečně tyto problémy. K napadení dochází pomocí virové nákazy a často právě díky chybě obsluhy výpočetní techniky. Na tvorbu viru se snaží reagovat společnosti vyrábějící antivirové softwarové prostředky. Bohužel tyto vždy mohou jen reagovat na již vzniklý virus. Obezřetní tedy musejí být hlavně uživatelé. Hlavním specifikem zkoumání hackerské činnosti je fakt, že při zajišťování napadené techniky by mělo dojít k vytvoření bitových kopií pamětí RAM. Toto musí proběhnout ještě před vypnutím počítače, jinak dojde k okamžitému smazání těchto pamětí. V pamětech RAM se totiž nacházejí údaje o posledních operacích výpočetní techniky. Mohou se zde tedy nacházet velice důležité stopy. Z výše uvedeného důvodu by tedy měl být na místě vždy přítomen znalec či alespoň dostatečně vyškolená osoba, která by tento úkon provedla.

35

Vzhledem k mezinárodnímu rozměru této trestné činnosti je nutno dále řešit problémy právní pomoci, kdy tato cesta je ve většině případů velmi zdlouhavá. Nelze tedy dostatečně rychle zasahovat. 3.1.2 Zajištění digitální techniky ve specifických případech – společnosti V některých případech se může stát, že poškozeným či podezřelým může být například nějaká společnost. Tyto společnosti v drtivé většině případů potřebují ke své činnosti digitální techniku, a pokud by se jí tedy tato technika odvezla pro potřeby znaleckého zkoumání, mohlo by to pro společnost znamenat nemalé obtíže, v některých případech i zánik, což není žádoucí. Proto musí být přistoupeno k operativním metodám zajištění dat. Digitální technika se zálohuje do kopií platných dat v tzv. online režimu. Jedná se o režim, kdy běžící systém není vypnut. Veškeré úkony jsou činěny přímo na něm. Proto musí být zabezpečeno, že tyto úkony bude provádět vysoce odborná osoba, aby byla zajištěna integrita dat. Vzhledem k faktu, že systém běží, není ale možno zajistit smazané soubory. Rizika tohoto zajištění jsou zřejmá - systém běží, veškeré úkony zpracovává digitální technika, která má být zkoumána a snadno by tedy mohlo dojít ke ztrátě důkazního materiálu jakoukoli chybou obsluhy. Další možností k úniku důkazů může být sabotáž, kdy, pokud se toto předem nezabezpečí, může se velice snadno stát, že s daty může někdo manipulovat a to i dálkově pomocí sítě či internetu. Z tohoto důvodu se případný server vždy odpojuje od další síťové infrastruktury. Pro všechny výše uvedené problémy je online režim tvorby bitové kopie vesměs nežádoucí a využívá se pouze v nezbytných případech. Vždy by na prvním místě mělo být vypnutí systému a tvorba bitových kopií offline, kdy je zaručena daleko větší bezpečnost dat a také jejich komplexnost, kdy jsou zajištěny i smazané soubory. 3.1.3 Zajištění digitální techniky ve specifických případech – advokátní kanceláře Co se týče dat z advokátních kanceláří, zde se do popředí dostávají další vlivy. Velmi velký vliv má povinnost advokáta zachovávat mlčenlivost o všem, co se v rámci své činnosti od klientů dozví37. S tímto souvisí i nutnost zajistit si vyjádření advokátní komory k možnosti zkoumat digitální techniku kanceláře. Advokátní komora v drtivé většině případů souhlas nevydá a to právě z důvodu dat týkajících se nedotčených 37

Viz § 31 zákona č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů

36

klientů. V těchto případech je nutné, aby techniku předal znalci a znalecký posudek zadal soud. Tento soud dále rozhoduje o předání vytěžených dat orgánům činným v trestním řízení pro další vyšetřování. V každém případě je zde pro soudního znalce ztížena jeho role. Obrací se totiž veškeré postupy pro předávání důkazů orgánům činným v trestním řízení či soudu. V běžném případě znalec předá vše, co se dotýká otázek položených v opatření a co by mohlo být jakkoli důležité pro trestní řízení. V případě advokátních kanceláří, vzhledem k povinnosti mlčenlivosti, tento postup nelze použít. Soudní znalec sice může předat stejná data, ovšem tyto soud filtruje a předá pouze to, co sám uzná za vhodné a důležité. Otázky tedy musí být velice přesně specifikovány, aby znalec věděl, čím se má zaobírat a čím nikoli. Orgán činný v trestním řízení prostřednictvím zadávajícího soudu tedy musí také velice přesně formulovat zadávané dotazy, aby bylo možno vyhledat přesně to, co je potřeba pro trestní řízení. Jak již bylo uvedeno, nelze předat nic navíc. Proto je také vhodné, aby soud zkontroloval již na počátku otázky položené orgánem činným v trestním řízení. To proto, aby se nestalo, že znalec bude podle těchto zkoumat a soud nakonec žádná data nepředá, protože to nebude možné. Vzhledem k rozsahu není možno uvést vše. Autor by se touto problematikou velice rád zabýval v samostatné práci. 3.1.4 Zajišťování ze sítě Internet V případě veřejně přístupných dat není problém tato data standardním způsobem zajistit, kdy k tomuto jsou využity speciální softwarové prostředky, které simulují prohlížení internetových stránek a následně je dokumentují. V této věci lze podotknout, že jsou zadokumentována pouze data, která jsou prezentována internetovým prohlížečem na lokální stanici uživatele. Nejedná se v žádném případě o dokumentaci skutečných dat uložených na serveru. Na serveru se mohou nacházet i další data, která však zajišťujícímu uživateli nejsou dostupná. Taktéž musíme v případě trestné činnosti uvažovat o zajištění internetového portálu, aby takovou dokumentaci nebylo možno provést. V neposlední řadě je nutné také brát zřetel na případné maskování trestné činnosti, kdy jsou filtrovány přístupy na internetový portál s tím, že není umožněn přístup např. policii, popř. je přístup omezen na jiný stát apod. Toto maskování se užívá zejména v rámci trestné činnosti spojené s šířením dětské pornografie, kdy protiprávní materiál se nachází na území jiného státu, než pro který je přístupný. V rámci zajišťování těchto dokumentací musíme brát na tuto skutečnost zřetel a je nutné dle této skutečnosti volit odpovídající opatření. 37

Pokud by bylo nutno zkoumat neveřejná data, např. ta, která jsou přístupná pouze přihlášeným uživatelům, je nutno využít institutu dožádání dle § 8 odst. 1 Trestního řádu. Skrze tento institut se dožádá poskytovatel o zadokumentování stavu serveru k dalšímu opatření. Pokud by totiž sám znalec či policista prolomil heslo, znovu by se jednalo o trestný čin neoprávněného přístupu k počítačovému systému a nosiči dat, viz výše.

3.2 Nutné úkony před vlastním vytěžováním Z výše uvedeného je evidentní, že technika musí být zajištěna tak, aby nebyl zmařen účel vyšetřování. Proto nesmí být technika zajištěna ledabyle a nekompetentní a nevyškolenou osobou, protože může hrozit např. ztráta či změna dat, a tímto i nevyužitelnost důkazního materiálu v trestním řízení. Pro tyto případy jsou zde odborně vyškolení policisté, jak bylo zmíněno výše. Prvotním úkonem by tedy mělo být studium spisového materiálu a obhlídka stavu digitální techniky pro zjištění, zda byla tato technika zajištěna tak, jak být zajištěna měla. Je nutné ověřit, jestli se technika nacházela ve vypnutém stavu, zda došlo k jejímu vypnutí při zajištění, popř. jakým způsobem, či je technika stále zapnuta. Veškeré tyto informace jsou důležité pro posouzení odbornosti zajištění a pro možnosti změny dat po zajištění techniky. Obecně se dá říci, že, pokud nebyla technika vypnutá, je nutné ji odborně vypnout, a to co nejdříve, aby nedošlo k nechtěným zápisům na paměťová média při zajišťování či vzdálenému smazání dat. Výše uvedené dokresluje situaci a specifika zajišťování digitální techniky. Nelze totiž eliminovat rizika potenciálního pachatele, kdy tento může být zdatný při práci s digitální technikou, a tak může i např. při domovní prohlídce lehce smazat data pouhým kliknutím myši či třeba příkazem přes mobilní telefon, pokud technika není vypnuta. Veškerá fakta zjištěná ve spisovém materiálu, či obhlídkou techniky, by se měla později objevit ve znaleckém posudku, stejně jako jejich hodnocení s dopadem na posuzovaný případ. Poté, kdy se seznámíme se spisem a digitální technikou, je v návaznosti na tyto úkony nutné stanovit postupy pro vlastní vytěžení dat. K těmto postupům lze zařadit i stanovení ochranných mechanismů pro zaručení dat proti změně a smazání na dálku či chybou technologické digitální techniky.

38

Obecně by mělo dojít k vyjmutí částí digitální techniky, přes které by mohlo dojít k těmto nechtěným a nepatřičným chybám. Konkrétně se této problematice budeme věnovat v příslušném oddílu. Pokud máme techniku chráněnu, lze přistoupit k vyhodnocení položených otázek, aby bylo možno stanovit postupy pro vytěžení zájmových dat, jak bylo zmíněno výše. Na základě stanovených postupů lze určit softwarové prostředky, které budeme pro vlastní vytěžení potřebovat. S tímto samozřejmě souvisí i určení forenzních softwarových prostředků pro analýzu již vytěžených dat.

3.3 Vytěžování digitální techniky Po zajištění digitálních stop je důležité stanovit postupy, jak z těchto důkazy vytěžit. V opačném případě by se mohlo stát, že se nějaký podstatný důkaz nevytěží, protože např. pachatel byl velmi zběhlý v práci s digitální technikou, a tento důkaz se může nacházet ve skrytém oddílu disku či může být šifrován. Existuje také možnost, že uživatel svá data ukládal do cloudů a fyzicky tak neexistují na předmětné digitální technice apod. Ovšem pokud se znalec bude držet metodik a dělat svou práci tak, jak by se mělo, důkaz z nealokované oblasti by mu neměl uniknout. Pokud se nejedná o nějaký zvláštní případ, pak je většinou nutno zajistit hlavně komunikaci na internetu. Pod tímto si lze představit e-mailovou komunikaci, dále tzv. chat komunikaci, ke které patří např. ICQ, Skype aj., a dále také samozřejmě komunikaci na sociálních sítích, jako je např. všem známý Facebook. V drtivé většině případů je potřeba zajistit textové dokumenty, tabulky, prezentace atd., a to vše v různých formátech. Je sice pravdou, že mnoho lidí si pod tímto představí pouze kancelářský balík firmy Microsoft (tedy Word, Excel, PowerPoint), ovšem takovýchto kancelářských balíků je nepřeberné množství (jen pro ilustraci OpenOffice, LibreOffice, apod.) a každý takový má většinou svůj formát ukládání dat a tedy i svou příponu.38 Na tomto místě je také nutno připomenout, že texty (a nejen ty) lze také ukládat ve formátu PDF, na což je také nutno dát při vytěžování pozor. Stejně tak lze

38

„Přípona názvu souboru je sada znaků, které pomáhají Windows porozumět typu informací obsažených v souboru a v jakém programu by se měly otevírat. Název přípona mají proto, že se zobrazují na konci názvu souboru za tečkou. V názvu souboru mujsoubor.txt je přípona txt. Říká systému Windows, že se jedná o textový soubor, který by se měl otevírat v souborech spojených s danou příponou, například WordPad nebo Poznámkový blok.“ Viz http://windows.microsoft.com/cscz/windows/file-names-extensions-faq#1TC=windows-7

39

texty skenovat, a pokud nebude použita technologie OCR 39, výstupem nebude text, nýbrž obrázek, což velmi stěžuje práci hlavně lidem vyhodnocujícím důkazy.40 Dalšími zdroji důkazů jsou také multimediální soubory typu obrázek či video. Znovu je nutno konstatovat, že v tomto odvětví existuje snad ještě více různých typů souborů, a to jak u obrázků, tak u video souborů. Jednodušší situace se jeví u obrázkových souborů, kdy standardním a nejvíce využívaným formátem je JPG, a to buď s EXIF informací, či bez ní. Dále se v menší míře využívá formát GIF pro animace, BMP (pro svou velikost je velmi často komprimován právě do JPG), TIFF (hlavně pro skenování). U videí tomu tak bohužel není, dnes se hojně využívá několik různých formátů (namátkou WMV, MP4, MOV a další), a proto je nutno zahrnout veškeré známé formáty, aby došlo ke komplexní analýze. Posledními velmi často zkoumanými údaji u počítačové techniky jsou data o připojení k internetu a síti obecně. V tomto případě je důležité zajistit IP adresu, výchozí bránu, název počítače v síti, popř. MAC adresu41. Toto vše lze vyčíst z registrů operačních systémů Microsoft Windows. Tímto problémem se budeme zabývat v příslušné kapitole. Co se týče zkoumání mobilních telefonů, lze je rozdělit do dvou kategorií, na klasické mobilní telefony bez operačního systému (tzv. proprietární operační systém) a na tzv. chytré mobilní telefony, či smartphony, které obsahují operační systém, nejčastěji Android, iOS, Windows Mobile. Pokud se jedná o klasické mobilní telefony, pak z nich dokážeme získat telefonní seznamy,

SMS

zprávy,

MMS

zprávy,

logové

údaje

o

uskutečněných

či

neuskutečněných hovorech (a to jen v některých případech, kterými se budeme zabývat dále), v závislosti na typu telefonu pak obrázky, videa, hudbu, dále někdy kalendář a upomínky, pokud toto telefon umožňuje ukládat. Není toho tedy mnoho. Odlišná situace nastává u chytrých mobilních telefonů. Zde se můžeme setkat v podstatě se vším, s čím se setkáváme u počítačů, tedy různé textové soubory, e-maily, obrázky, videa, hudbu, kalendáře, upomínky a další nepřeberné množství dat a důkazů. 39

Optické rozpoznávání znaků. Více o této technologii zde: http://en.wikipedia.org/wiki/Optical_character_recognition

40

V tomto případě nelze fulltextově vyhledávat, je nutno scan celý přečíst, zda neobsahuje něco důležitého pro trestní řízení 41

„MAC adresa je unikátní číslo, kterým se vyznačuje každý síťový adapter od výrobce. Bývá devítimístné a skládá se z čísel a písmen. Příkladem MAC adresy je např. 00:4f:2B:C3:3F:25. Za běžných okolností se tato adresa nedá v operačním systému změnit - je daná výrobcem.“ Viz http://www.dat.cz/cms/helpdesk/934/

40

Samozřejmostí je telefonní seznam, SMS a MMS zprávy, logové údaje o hovorech, ovšem dále navíc také historii internetového připojení a nainstalované aplikace. Zkoumat samozřejmě lze i flash disky, paměťové karty či externí disky, ovšem zde je situace obdobná jako u počítačové techniky, kdy v podstatě jediný rozdíl lze spatřovat v tom, že v drtivé většině případů zde nelze najít registry operačních systémů a internetovou historii. Ovšem samozřejmě vše je závislé na tom, kde tato paměťová média byla využívána a za jakým účelem. V neposlední řadě je možné také vytěžit paměť různých fotoaparátů a videokamer, ovšem zde nelze většinou čekat jiná data než fotografie či videa, a proto se jimi více zaobírat nebudeme. Výše uvedeným výčtem lze postihnout veškeré klasické typy digitální techniky k vytěžení. Samozřejmostí je, že každý případ má svá specifika a také různá další zařízení k vytěžení, jako například diktafony apod. Bohužel vzhledem k nepřebernému množství takovéto různé techniky by tento demonstrativní výčet nejběžnějších zařízení mohl postačit k vytvoření si představy o dané problematice. Ve většině případů jde jen a pouze o paměťové médium, na které se nějakým způsobem zapisují různá data, proto se k nim také přistupuje jako k jakémukoli jinému paměťovému médiu.

3.4 Obtíže při dodržování principů pro získávání důkazů z digitální techniky Vzhledem k potřebě a nutnosti opakovatelnosti zkoumání nelze k datům uloženým ve výpočetní technice přistupovat stejně jako k jiným důkazům. Mělo by být základním standardem vytvoření bitových kopií, pokud je toto možné. Přestože se bitové kopie mohou komprimovat, nelze se vyhnout faktu, že kapacita datových úložišť roste obrovskou rychlostí, a proto je nutné pořizovat čím dál větší úložiště i pro uložení bitových kopií, a to i z toho důvodu, že se musí také ukládat již analyzovaná data. Navíc je nutné tato data nějaký čas archivovat. Znalec tedy musí průběžně investovat do zvětšování datových úložišť a tím tedy rostou i finanční náklady na zkoumání digitální techniky. Problémem se může stát i autenticita dat. Pokud si ku příkladu vezmeme vražednou zbraň, lze analyzovat stopy krve, otisky, apod. k tomu, aby byla tato zbraň identifikována a byl tak usvědčen pachatel. U digitální techniky takové možnosti nejsou. Proto je nutné pro potřeby trestního řízení data verifikovat, že jde opravdu o data pocházející z předmětné digitální techniky. Tato kontrola probíhá pomocí 41

výpočtu tzv. hashovacích funkcí42, která jednoznačně určují jakákoli data. Pokud se tedy kontrolní sumy hashovacích funkcí shodují, shoduje se i bitová kopie s originálním diskem, a nedošlo tedy ke změně či poškození dat. S finanční stránkou zkoumání souvisí i nemožnost použití běžného softwaru. Tento totiž nesplňuje požadavky na komplexní forenzní analýzu a nezahrnuje všechna přístupná data, např. smazaná, ale nepřepsaná. Rozdíl v ceně je naprosto nesrovnatelný. Běžný softwarový prostředek např. u mobilních telefonů bývá často dodáván zdarma k tomuto mobilnímu telefonu, aby si uživatel mohl komfortně upravovat některé údaje. Naproti tomu forenzní softwarový prostředek pro komplexní vytěžení a analýzu dat se pohybuje v ceně v řádu sta tisíc 43. Existuje zde sice levnější alternativa v podobě původně českého prostředku MobilEdit! Forensic, ovšem tento neumožňuje komplexní vytěžení dat pomocí fyzické extrakce, viz oddíl mobilních telefonů. Stejně tak je zde nutno podotknout, že přestože se tyto prostředky specializují jen a pouze na mobilní telefony, popř. tablety a kapesní počítače, tzv. PDA, přesto každý v některých případech vykazuje odlišné výsledky, či jeden prostředek neumí vytěžit určitý typ mobilního telefonu, ale druhý ano. Je tedy poté velkým dilematem, který prostředek pořídit či zda jich pořídit více. Vždy zde bohužel musí docházet ke kompromisu mezi nutností zajistit co nejvíce důkazů v co nejvíce případech a být na toto připraven a mezi finanční stránkou věci. Pokud bychom opravdu chtěli mít veškeré dostupné prostředky, abychom si mohli být jisti všemi výsledky, dostali bychom se na astronomické částky, což je zcela nereálné. Navíc není možné ani využití časového období, kdy bychom např. každý rok mohli zakoupit určitý prostředek, a to z toho důvodu, že drtivá většina těchto prostředků je časově omezena. Buďto tedy po uplynutí časového období přestanou pracovat úplně, či jen nebudou dále podporovány. Tedy uživatel nebude mít k dispozici aktualizace, což je vzhledem k situaci na trhu mobilních telefonů v podstatě skoro totožný problém, jako když prostředek nepracuje, protože nová zařízení bez aktualizace nebude umět vytěžit. K prodloužení funkčního období je pak nutná další platba. Problémy mohou nastat také v případě, že zařízení tvoří jeden celek, a tento nelze nedestruktivními metodami otevřít, aby mohly být jednotlivé součásti zkoumány mimo toto zařízení. Zvláště patrné toto bývá u notebooků či ještě více u netbooků či ultrabooků. Vzhledem k faktu, že nelze vyjmout pevný disk, musí být tento vytěžen za pomocí svého „mateřského“ zařízení. Problémem zůstává, že při každém startu 42

Dnes se využívá hlavně MD5, SHA1, SHA256, SHA512

43

Např. UFED, Oxygen Forensic Suite apod.

42

operačního systému dochází k zápisům na disk, a tedy i k jeho změnám. Proto je nutno využít tzv. live-distribuce44 forenzního operačního systému Linux. 45 Tyto distribuce jsou uzpůsobeny právě pro takovouto činnost, kdy operační systém startuje z externího zařízení, nezapisuje na disk a využívá pouze operačních pamětí. Navíc dále obsahuje takové softwarové vybavení, aby bylo možno vytvořit bitovou kopii pevného disku. Tato ale ovšem zase musí být uložena na externí paměťové médium. Je tedy zřejmé, že tento způsob je časově náročnější než tvorba bitové kopie pomocí např. FTK Imageru, u kterého si bitovou kopii můžeme uložit přímo, kam potřebujeme. Dalším úskalím může být nedostatek možností připojení externích zařízení. Toto se projevuje obzvlášť u netbooků a ultrabooků, jak již bylo zmíněno výše, a to proto, že tato technika ve většině případů neobsahuje mechaniku pro čtení optických disků, a není tak možno načíst operační systém bez dalšího externího zařízení. Naštěstí v dnešní době již výrobci přidávají do své digitální techniky dostatek přípojek, čímž se tento problém eliminuje.

3.5 Postup vytěžování důkazů Vzhledem k dnešní rozmanitosti digitální techniky nelze obecně stanovit postup pro vytěžení dat. Dokonce ani neexistuje komplexní forenzní softwarový prostředek, který by umožňoval zkoumat digitální techniku napříč veškerými jejími typy. Každá technika má tak svá specifika, dle kterých je nutno postupovat. Obecně lze říci, že se ve většině případů lze setkat s digitální technikou, která ukládá data na nějaký disk, ať již pevný disk, flash disk či třeba paměťovou kartu. Dalším hojně zastoupeným typem jsou mobilní telefony. Méně často se lze setkat se zkoumáním různých serverů, které nemáme fyzicky k dispozici. Jedná se tedy o digitální techniku ukládající data na pevný disk, ovšem s tím rozdílem, že tento disk není k dispozici, a nelze jej tak zkoumat standardním postupem. Ovšem i pokud máme server fyzicky k dispozici, vyvstává problém s tím, že se může jednat o diskové pole, u kterého je komplikované rekonstruovat úložiště. Vždy musí být server, čili hardware, k dispozici tak, aby mohl být proveden primární technický úkon rekonstrukce RAID pole do jednoho celku. Jediným řešením bývá pořízení speciálního řadiče, který tento úkon umožňuje. Následně je pole zadokumentováno do bitové kopie, jako kdyby se jednalo o běžný pevný disk.

44

Operační systém startuje přímo z optického disku či např. flash disku a nevyužívá pevný disk zařízení

45

Např. Deft, Caine, apod.

43

3.5.1 Úložiště typu disk Pokud řekneme disk, většina laiků i odborné veřejnosti si představí pevný disk. Jak již ale bylo několikrát zmíněno, většina jakýchkoli paměťových zařízení lze označit za disk v širším slova smyslu, zvláště pak pro potřeby znaleckého zkoumání, kdy tato média se víceméně liší pouze provedením. Nutno je poté rozlišovat postupy, jak lze k těmto diskům přistupovat. Pokud totiž budeme důslední, tak i mobilní telefon obsahuje paměť, kterou lze také označit za disk v širším slova smyslu, ovšem touto problematikou se budeme zabývat až v oddílu mobilních telefonů. 3.5.1.1 Obecně o discích Obecně lze říci, že postup vytěžování různých druhů tohoto typu techniky se v zásadě neliší. Úkony se shodují, jde pouze o jejich provedení. Nejdříve zde budou nastíněny obecné postupy a další kapitola bude věnována jednotlivým typům disků. Nejprve je nutné zabezpečit disk proti přepsání a změně dat. Tohoto lze dosáhnout dvěma způsoby – hardwarově, či softwarově. Hardwarová

blokace

probíhá

pomocí

tzv.

blokátoru,

tedy

speciálního

hardwarového zařízení, které zabezpečuje tuto ochranu. Tímto způsobem se zabezpečují hlavně pevné disky, ovšem dnes již jsou k dostání i blokátory USB disků a paměťových karet. Pro softwarovou blokaci nepotřebujeme žádný speciální hardware, úplně nám postačí software, který zabezpečí blokaci zápisu na USB zařízení. Tyto softwarové prostředky jsou k dostání i jako tzv. freeware46, tedy k volnému užití. Jde tedy zcela určitě o levnější řešení, ovšem s tím omezením, že následně nelze zapisovat na žádné USB zařízení, a tak například nelze stahovat data přímo na externí disk, který by byl poté předkládán jako příloha znaleckého posudku. Tato metoda tedy může přinést úsporu finančních prostředků, ovšem lze si představit i případ, kdy tomu bude naopak, a to z důvodu vyšší časové náročnosti, kdy by mohlo být nutné vytěžená data dále kopírovat na USB zařízení. Pokud je zajištěno zabezpečení dat, lze přistoupit k vlastnímu vytěžování. Zde je možné nastínit několik způsobů dle potřeb jednotlivých případů. Vzhledem k tomu, že orgány činné v trestním řízení jsou povinné zajišťovat veškeré důkazy, mělo by

46

Volné užití softwaru, autorovi http://www.slunecnice.cz/licence/freeware/

zůstávají

44

autorská

práva.

Více

např.

zde

docházet ke tvorbě bitové kopie disku47, a to forenzním softwarovým prostředkem48. Toto je optimální varianta, kdy dojde k vytěžení maximálního množství dat. Forenzní softwarový prostředek totiž vytvoří úplnou kopii dat na vytěžovaném disku. Dojde tak k vytěžení jak souborů, platných dat, tak smazaných dat (samozřejmě bez těch, která již byla přepsána), dále i dat, která jsou umístěna v nealokované oblasti disku, a dokonce i anomálií a chyb na disku. Tyto chyby jsou nahrazovány nulou (tedy kódem 0x00). Je tedy patrné, že při tomto způsobu nedochází ke ztrátě žádných dat, která jsou na disku přístupná, i když již nejsou pro běžného uživatele viditelná. Nakonec, pokud tvorba bitové kopie proběhla v pořádku, dochází k ověření dat, tzv. verifikaci, zda se tato shodují s originálem. Jak již bylo zmíněno výše, pro tento krok se využívá hashovacích funkcí. Poslední, a také nejméně vhodnou možností vytěžování, může být „pouhé“ zabezpečené připojení k technologické výpočetní technice pomocí hardwarového blokátoru či zabezpečení USB a následná práce na tomto originálním disku bez forenzního nástroje. V tomto případě se nevyhneme různým chybám na disku. Musíme mít stále disk připojený, proto existuje větší pravděpodobnost poškození disku. Navíc lze přistoupit pouze k platným datům, a to ještě s tím omezením, že nebudou přístupná data chráněná heslem operačního systému, samozřejmě za předpokladu, že toto není známo. Nutno poznamenat, že drtivá většina zájmových souborů se nachází právě v profilech uživatelů, které jsou tímto způsobem chráněny. Disk se tedy v tomto případě bude chovat úplně stejně jako jakýkoli jiný připojený disk, ovšem s tím rozdílem, že na něj nelze zapisovat kvůli ochraně proti přepsání. 3.5.1.2 Externí disky, flash disky Jedná se o standardní zařízení pro ukládání dat. V dnešní době se čím dál více zvyšuje kapacita těchto zařízení, kdy se lze setkat i s flash diskem s kapacitou 1TB a externím diskem s kapacitou 8TB. Vzhledem k množství dat je jasné, že jak tvorba bitové kopie, tak další analýzy budou velmi časově náročné. U této techniky je taktéž nutné udržet integritu a autenticitu dat. Musíme tedy zablokovat zápis na USB zařízení či použít přímo hardwarový blokátor pro USB zařízení, až poté lze přistoupit ke tvorbě bitové kopie.

47

Anglicky forensic image, viz zde: http://pinpointlabs.com/2009/01/what-is-a-forensic-image/

48

Softwarový prostředek určený přímo pro forenzní analýzy, v tomto případě forenzní analýzy disků, jedná se například o FTK Imager, DD, EnCase, apod.

45

Vzhledem k faktu, že tato zařízení se chovají stejně jako klasické pevné disky, výsledky budou také stejné a lze tedy vytěžit i data z nealokovaných oblastí, smazaná a nepřepsaná data, a samozřejmě platná data. Toto vše ovšem za předpokladu, že používáme forenzní softwarové prostředky, které by být použity měly, jak bylo zmíněno výše. 3.5.1.3 Optické disky Optické disky jsou již v rámci svého charakteru chráněny proti zápisu a přepsání, není tedy nutné je nějak zvlášť zabezpečovat. Výjimku tvoří přepisovatelné disky, ale tyto lze smazat pouze speciálním příkazem uživatele. Muselo by se tedy jednat o velké selhání znalce či orgánu činného v trestním řízení, kdyby k tomuto smazání došlo. Z výše uvedeného je patrné, že zde nelze nalézt smazaná data, protože automaticky dochází k jejich přepisu, pokud se jedná o přepisovatelná média. Proto lze pro bitovou kopii dat využít běžné softwarové prostředky pro tvorbu bitových kopií, či lze k těmto diskům přistupovat přímo. Ovšem pokud potřebujeme tato data „zprocesnit“, musíme provést bitovou kopii a zároveň vytvořit kontrolní sumy pomocí hashovacích funkcí, aby byla ověřena autenticita dat. Výhodou bitové kopie je také, že ji můžeme využít nesčetněkrát, aniž by se originální disk poškodil. 3.5.1.4 Specifika disků uložených v jiných výpočetních technikách Jedná se o standardní disky, které jsou využívány jako úložiště dat ve vysoce specializovaných zařízeních. Může se jednat například o výše uvedená disková pole v serverech. Dalším příkladem může být kamerový systém. Zde, pokud tento systém nemáme k dispozici, nelze data vytěžit tak, aby byla přístupná. Lze samozřejmě běžně vytvořit bitovou kopii, ale data mají speciální strukturu a nelze je tak číst. V takovém případě musí mít znalec zdrojový systém k dispozici. Pokud jej máme, stačí vytvořit bitovou kopii disku 1:1 (disk proti disku). Tato kopie slouží jako bezpečnostní prvek, aby nedošlo k poškození originálních dat. Po vytvoření kopie vložíme technologický disk do systému. Systém propojíme s počítačem a můžeme pomocí softwaru výrobce exportovat videa do standardního nebo speciálního formátu. Tento formát je pak čitelný speciálními přehrávači jednotlivých výrobců záznamových zařízení.

46

3.5.2 Mobilní telefony Obecně lze dělit mobilní telefony na tzv. chytré mobilní telefony a „klasické“ mobilní telefony bez operačního systému. Tomuto rozlišení a jednotlivým specifikům se budeme věnovat níže v příslušné podkapitole. podkapitole. Tento výklad by měl sloužit jako obecný úvod do forenzního zkoumání mobilních telefonů, který platí pro obě tyto skupiny. Zkoumání mobilního telefonu se může na první pohled zdát jako nudná a stereotypní práce. Existuje přece jen omezené množství značek a z toho ještě v našem prostředí se běžně vyskytují jen ty nejznámější. Opak je ale pravdou. Každý telefon se musí podrobit důkladnému zkoumání, aby jej bylo možné vytěžit. Je sice pravdou, že výrobců mobilních telefonů tolik není, ovšem to neznamená, že by se zkoumáním nebyly problémy. Spíše naopak. Není žádnou výjimkou, spíše naopak je pravidlem, že každý typ mobilního telefonu od stejného výrobce využívá ke komunikaci s počítači jiný komunikační port49 nebo mohou být změny v umístění dat, šifrování či například v rozklíčování databáze. Ze všech těchto důvodů se ke každému telefonu musí přistupovat jednotlivě a přesně dodržovat postupy, které k danému typu telefonu popisuje výrobce forenzních softwarových prostředků využívaných ke zkoumání. Před vlastním připojením k technologické výpočetní technice je nutno se na zkoumání náležitě připravit. Prvním krokem by mělo být vypnutí mobilního telefonu, pokud tento již vypnutý není. Toto je důležité zejména u telefonů s operačním systémem, jak bude uvedeno níže. Dále by mělo dojít k vyjmutí SIM karet a paměťových karet, které by se měly zkoumat zvlášť, aby došlo ke komplexní analýze dle typu stopy. Poté, co jsou provedeny tyto kroky, je nutné co nejpřesněji zjistit typ mobilního telefonu, např. pomocí tzv. IMEI50 kódu telefonu.51 Pokud nám tento není znám, ani jej nelze nalézt na štítku, lze jej vyvolat na displej mobilního telefonu pomocí sekvence znaků: „*#06#„. Po zadání této sekvence se IMEI kód objeví. IMEI kód je pro každý mobilní telefon unikátní. Skládá se z 15 nebo 17 číslic, které jsou rozděleny do čtyř bloků, z nichž každý má svůj význam. Nejčastěji se uvádí formát AA-BBBBBB-CCCCCC-D, kde AA značí tzv. Type Allocation Code (TAC), který označuje kód země, pro kterou je mobilní telefon určen. B označuje tzv. zbytek TAC kódu neboli FAC (Final Assembly Code), z něhož poslední dvě číslice označují 49

Rozhraní, pomocí kterého se k technice připojují různá další zařízení, např. USB, COM apod.

50

Jedná se o zkratku International Mobile Equipment Indentity (Mezinárodní identita mobilního zařízení). 51

Např. www.imei.info, http://www.numberingplans.com/?page=analysis&sub=imeinr

47

výrobce telefonu. C znamená sériové číslo telefonu (Serial sequence of the model), tedy číslo, které určuje sám výrobce pro konkrétní telefon. D označuje kontrolní číslici pro výpočet Luhnova algoritmu.52 Pokud přesně známe typ mobilního telefonu, jsme schopni určit forenzní prostředek pro jeho vytěžení, stejně jako postup. Forenzních softwarových prostředků pro mobilní telefony existuje několik53. Liší se cenou, postupy vytěžování, podporovanými typy mobilních telefonů, uživatelskou komfortností i typem výstupu. Bohužel, přestože by tomu tak v žádném případě být nemělo, stává se, že se neshodují vytěžená data. Některý prostředek jich například nalezne více, apod. Je tedy lepší využít několik prostředků, aby data byla ověřena. Pomineme-li specifika mobilních telefonů s operačním systémem, máme veškeré informace, které k vytěžování potřebujeme. Nakonec je nutno zmínit fakt, že mobilní telefony lze vytěžit dvěma různými způsoby. Tyto způsoby se velmi liší hlavně množstvím a typem dat, které lze získat. Jedná se o fyzickou extrakci a logickou analýzu mobilních telefonů. U fyzické extrakce dochází k vytvoření bitové kopie dat uložených v mobilním telefonu 54, podobně jako je tomu u disků. Lze tedy následně vytěžit veškerá data, která zde existují, tedy včetně již smazaných, ale nepřepsaných, souborů. U logické analýzy dochází k vytěžení pouze platných dat mobilního telefonu55. Samozřejmostí zůstává, že logická analýza je méně časově náročná, ovšem s tím, že nezískáme veškerá možná data. V každém případě musíme konstatovat, že ne každý typ mobilního telefonu lze vytěžit oběma způsoby 56. Některý lze vytěžit pouze fyzicky, některý naopak logicky. Proto, jak již bylo naznačeno výše, je nutné postupovat v každém případě jednotlivě dle specifik konkrétního telefonu. Někdy se také může stát, že mobilní telefon není podporován žádným forenzním softwarovým prostředkem. V tom případě je nutno zkusit softwarové prostředky neforenzní, které dodává většinou výrobce mobilních telefonů pro komunikaci telefonu 52

Více zde: http://www.imei.info/faq-what-is-IMEI/, http://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity

53

Jedná se o původně český MobilEdit! Forensic, dále Oxygen Forensic Suite, Cellebrite UFED, MicroSYS XRY, AccessData MPE+ a další. 54

Viz http://www.cellebrite.com/mobile-forensics/capabilities/operations/physical-extraction

55

Viz http://www.cellebrite.com/mobile-forensics/capabilities/operations/logical-extraction

56

Např. u některých typů mobilních telefonů značky Samsung se stává, že forenzní nástroj UFED podporuje sice obě metody, ovšem u fyzické extrakce po vytvoření bitové kopie není schopen korektně načíst databázi systému Android. Výsledek poté vypadá stejně, jako kdyby v mobilním telefonu nebyla žádná data.

48

s výpočetní technikou. Pomocí tohoto prostředku lze většinou vytvořit buďto zálohu mobilního telefonu, viz níže v příslušné podkapitole, či přímo exportovat důležitá data. Pokud nelze využít ani jeden z výše uvedených způsobů, je nutno data opsat či nafotit. Co se týče SIM karty, tuto lze vytěžit například pomocí prostředku MobilEdit! Forensic či Cellebrite UFED. Druhý jmenovaný má tu výhodu, že v dodávaném hardwarovém zařízení obsahuje přímo čtečku SIM karet. V ostatních případech je nutné ji vlastnit, aby bylo možné SIM kartu připojit. S vytěžováním SIM karet ve své podstatě nejsou žádné potíže. Jedinou překážkou se tak stává ochrana pomocí PIN kódu. Pokud SIM karta má tuto ochranu zapnutou, nastává problém, protože by byl zadán třikrát za sebou špatný kód, karta se zablokuje a je nutno využít tzv. PUK kódu, který je delší a máme pouze deset pokusů. Vzhledem k faktu, že mobilní operátor Vodafone továrně nastavuje na své SIM karty PIN kód „1234“, je možno tento kód vyzkoušet. V případě neúspěchu, stejně jako v případě jiných operátorů, je nutno využít právě služeb operátorů, kteří drží údaje o PUK kódech do doby, než bude SIM karta zablokována. Na vyžádání policejního orgánu či soudu operátor sdělí PUK kód, jehož zadáním se SIM karta odblokuje a můžeme změnit PIN kód. Tímto postupem lze získat přístup ke všem údajům na této SIM kartě. Ovšem operátor tyto informace drží primárně pro potřeby klientů, pokud by tito zapomněli svůj PIN kód. Proto, jak bylo zmíněno výše, operátor údaje recykluje krátkou dobu po zablokování SIM karty a k informacím se tak již poté nelze dostat. Je tedy nutná rychlá spolupráce mezi soudním znalcem a policejním orgánem či soudem. Vždy je totiž nutné předpokládat, že předkladatel mobilního telefonu bude chtít dále využívat stejné telefonní číslo, a proto zažádá o duplikát SIM karty. V tomto případě dojde k zablokování původní SIM karty s důsledky popsanými výše. K tomuto je nutno dodat, že policejní orgán žádá o PUK kódy na základě § 88a Trestního řádu. Dle autorova názoru je toto ale nadbytečné a zbytečně se tímto krokem prodlužuje doba vyřízení i administrativa, protože tento akt musí být „posvěcen“ soudním příkazem, viz výše. Autor se domnívá, že PUK kódy nejsou v žádném případě údaje o telekomunikačním provozu, které jsou předmětem telekomunikačního tajemství ani se na ně nevztahuje ochrana osobních a zprostředkovacích dat. Nejedná se dokonce ani o provozní a lokalizační údaje dle Zákona o elektronických komunikacích.

Proto by dle autorova názoru mělo plně

postačovat využití ustanovení § 8 odst. 1 Trestního řádu, který upravuje povinnost součinnosti státních orgánů, právnických a fyzických osob s orgány činnými v trestním řízení.

49

Paměťová karta se dále zkoumá stejnými postupy jako např. flash disk či paměťová karta z jiného zařízení, tedy je vytvořena bitová kopie, na které poté probíhají analýzy zájmových souborů dle zadaných otázek, jak bude popsáno níže. 3.5.2.1 Mobilní telefony bez operačního systému Ve většině případů se bude jednat o starší typy mobilních telefonů či o nejlevnější telefony určené výhradně k telefonování a psaní SMS zpráv. V tomto případě má znalec zjednodušenou pozici. Mobilní telefon obsahuje většinou velmi malou paměť. Nepočítá se s žádnými velkými objemy dat. Kromě výše zmíněných údajů o volání a SMS zpráv se zde bude nacházet většinou pouze hudba, popř. fotografie, pokud mobilní telefon disponuje fotoaparátem. Navíc tyto soubory se budou ve většině případů nacházet na paměťové kartě, která je zkoumána zvlášť. Problém může nastat v případě, kdy mobilní telefon nepodporuje spuštění bez přítomnosti SIM karty a tato obsahuje zabezpečení PIN kódem. V tomto případě existují tři možnosti a vždy je nutno brát v úvahu specifika případu a také to, co je potřeba vytěžit. První možností je využití technologické SIM, která neobsahuje žádná data. Mobilní telefon lze tímto způsobem snadno a rychle odzkoumat. Problémem zůstává fakt, že vložením jiné SIM karty dojde ke smazání údajů o uskutečněných hovorech, které v některých případech mohou být klíčovým důkazem. V tomto případě je možno policejní orgán či soud o tomto zabezpečení a o nutnosti vyžádat PUK kód. Zde lze jako nevýhodu uvést čas, kdy je nutno čekat na tuto informaci. Poslední možností je vytvoření tzv. klonu SIM karty. Využívají se pro tento účel speciální SIM karty uzpůsobilé pro přepisování údajů. Při klonování dojde k přenosu identifikačního čísla SIM karty, takže tento klon se tváří jako původní SIM karta. Jsou tedy zachovány údaje o uskutečněných hovorech, nemusí se čekat na zveřejnění PUK kódu. Ovšem problém s vytěžením celé SIM karty tímto vyřešen není, zde se čekat na PUK kód musí. Většina důkazů již ale k dispozici bude, a proto je možno alespoň tyto již předat k vyhodnocení.

50

3.5.2.2 Mobilní telefony s operačním systémem Vzhledem k faktu, že u chytrých mobilních telefonů výrobce počítá s využitím pro mnohé další účely, než jen telefonování a posílání zpráv, odpadá zde nutnost mít při zapnutí v přístroji SIM kartu. Není tedy nutné se jí tedy vůbec zabývat, bude zkoumána samostatně, jak bylo řešeno výše. Stejně tak je to s paměťovými kartami, také se zkoumají zvlášť. U tohoto typu mobilních telefonů nastává problém s tím, že tyto lze dálkově smazat. Nejmarkantnější je tento fakt u mobilních telefonů zn. Apple, tedy iPhone. Mobilní telefony iPhone již ve svém továrním nastavení obsahují aplikaci pro tento úkon. U operačních systémů Android a Windows mobile věc komplikuje pouze fakt, že je nutno nainstalovat externí aplikaci. Aby se zamezilo vzdálenému vymazání dat z telefonu, musí být zajištěno, že nebude přihlášen do sítě. Tohoto docílíme buďto jednoduchým vypnutím telefonu, či vyjmutím SIM karty. Pro vlastní analýzy by pak měla být využita tzv. Faradayova klec, ale v případě naznačeném výše, kdy SIM kartu zkoumáme zvlášť, tato nutnost odpadá. Pro jistotu, že se mobilní telefon opravdu nikam nepřipojí, lze vypnout Wi-Fi. Dalším problémem může být nastavení telefonu pro možnost jeho vytěžení. Pokud lze mobilní telefon zkoumat pomocí fyzické extrakce, viz výše, zpravidla nebývá žádný problém, protože tato extrakce probíhá v servisním modu,57 a je pouze potřeba přesně plnit pokyny forenzního prostředku. Co se týče logické extrakce, tato probíhá v součinnosti s operačním systémem mobilního telefonu, musí proto tento být zapnut. Aby nástroje byly schopny s telefonem komunikovat, musí být telefon řádně nakonfigurován právě pro tyto potřeby. Je nutno zapnout možnosti vývojáře, povolit instalaci z neznámých zdrojů a zapnout ladění USB. Problémem bývá, že u každého typu mobilního telefonu se toto nastavuje jiným způsobem. Přesto největším problémem opět bývá ochrana. Pokud je telefon zabezpečen pomocí kódu telefonu či pomocí gesta, nastává problém, neboť jej nelze bez odemčení ovládat. Možností je požádat uživatele o jeho sdělení. Pokud je ovšem vyšetřován, těžko si lze představit, že by tuto informaci dobrovolně vydal. Existují sice některé forenzní nástroje 58, pomocí kterých lze ochranu odhalit, ovšem stále podporují velmi málo typů mobilních telefonů. V případě chytrých mobilních telefonů je dále nutno poznamenat, že vzhledem k jejich rozsáhlému využití se samozřejmě zvyšuje i kapacita vnitřní paměti. Proto je 57

Mobilní telefon se vypne a připojí k technice pro vytěžování. Tato technika sama pomocí svých funkcí uvede mobilní telefon do servisního módu. 58

Např. Cellebrite UFED

51

nutno počítat s vyšším časovým zatížením i větší náročností na výkon technologické techniky. Na druhou stranu lze získat ve většině případů o uživateli veškeré potřebné údaje, které by někdy nesdělil ani své rodině či nejlepšímu příteli. Z těchto mobilních telefonů je možno vytěžit de facto stejná data jako z počítačů, ať již jde o obrázky, videa, hudbu či internetovou a chat historii. Těmito se budeme zabývat dále v kapitolách o zájmových souborech. Vzhledem k rozvoji technologií je možno pomocí mobilního telefonu vystopovat i jeho pohyb, pokud měl zapnutou GPS lokalizaci. Veškeré tyto údaje mobilní telefon zaznamenává do své paměti. Stejně tak zaznamenává i Wi-Fi sítě, ke kterým se připojil. Instalované aplikace mohou též vypovídat o chování uživatele. V dnešní době navíc mnoho aplikací pracuje s propojenými účty, např. Facebook, Google apod. Z aplikací se tedy můžeme dozvědět další zajímavé informace, jako jsou právě propojené účty, které mohou odhalit, zda uživatel využívá sociální sítě, popř. pod jakým profilovým jménem, jaký účet má zřízen na Googlu, apod. Mobilní telefony zn. Apple, tedy iPhony nových typů, obsahují ještě jednu zvláštnost. Přímo v sobě mají zabudovaný čip, který šifruje veškerá data uložená v telefonu. I kdyby byla provedena bitová kopie takového telefonu, data zůstanou šifrována. Neprovádí se zde tedy fyzická extrakce, nýbrž tzv. rozšířená logická extrakce, která využívá přímo softwarového prostředku společnosti Apple, iTunes, která slouží ke komunikaci zařízení této společnosti s počítači. Za samostatnou podskupinu lze považovat chytré mobilní telefony, které mají privilegovaný přístup, tzv. administrátorské oprávnění. Ve standardních případech toto oprávnění uživatel nemá, a to za účelem vyššího zabezpečení mobilního telefonu, kdy určité operace jsou uživateli zapovězeny. Jedná se o tzv. softwarovou úpravu mobilního telefonu. V případě výrobků společnosti Apple se tato úprava nazývá Jailbreak 59, v případě Androidu pak tzv. Root.60 Pokud máme administrátorské oprávnění, je velice snadné vytěžit veškeré údaje z takového mobilního telefonu. Mobilní telefon se v tomto případě chová stejně jako počítač s operačním systémem Linux. Můžeme tedy vytvořit standardní bitovou kopii jako u počítače a tuto poté zkoumat. Problémem zůstává, že tímto krokem ztrácí uživatel možnost telefon reklamovat, a proto sám znalec není oprávněn takovýto krok udělat. Orgány činné v trestním řízení či soud by musely dát 59

Více zde: http://en.wikipedia.org/wiki/IOS_jailbreaking

60

Více zde: http://en.wikipedia.org/wiki/Android_rooting

52

souhlas s destruktivními metodami.61 Dále tímto samozřejmě dochází ke změně dat, kdy provedení změny zasáhne do dočasných souborů a některé samozřejmě přepíše. Existuje tedy riziko, že by mohlo dojít k přepsání důležitých stop či důkazů. Znalec tedy může pouze využít situace, kdy uživatel již tento zásah do telefonu sám provedl. Obrovský problém nastává v případě tzv. čínských klonů. Tyto mobilní telefony využívají svůj vlastní chipset, a proto je velmi obtížné takové telefony zkoumat. Forenzní nástroj UFED tuto možnost dává v případě zakoupení nadstavby CHINEX, ovšem vzhledem k nízké četnosti těchto klonů v České republice zatím autor není schopen říci, na kolik je tento nástroj funkční. 3.5.3 Zkoumání registrů operačního systému Veškeré zkoumání by mělo probíhat na bitové kopii disku, aby se zamezilo změnám dat. Registry se zkoumají pouze v případě, kdy je nutné identifikovat IP adresu počítače, popř. MAC adresu nebo platné či neplatné 62 přístupy do operačního systému. Dále zde lze vyčíst licenční čísla operačního systému, datum instalace operačního systému. V neposlední řadě může být důležitá informace o připojených např. USB zařízeních. Z výše uvedeného je patrné, že registry se zkoumají zpravidla při trestné činnosti páchané přes internet či při porušování autorských práv. Zkoumání probíhá pomocí forenzního softwarového prostředku Registry Viewer společnosti AccessData.

3.6 Možné výsledky vytěžování dle položených otázek Pro zdárný průběh zkoumání jsou velice důležité precizně položené otázky znalci. Znalec musí mít jasno, co vše je třeba zajistit a zkoumat, a co naopak nikoli. Šetří se tím čas, finanční náročnost, a to jak čas strávený znalcem, tak čas strojový, ale i následně čas vyhodnocujících orgánů. Těmto totiž budou předány pouze ty informace, které si dle otázek určí a nemusí se tak probírat dalším množstvím dat, která pro ně nemají žádný smysl. V tuto chvíli je nutno poznamenat, že znalci nepřísluší zkoumat obsahovou stránku dat, toto si musí zajistit vyšetřující orgán. Jasně a precizně definované otázky mohou eliminovat stavy, kdy by byl znalec nucen předat veškerá data k vyhodnocení, přestože by například stačilo předat soubory obrázků a videí.

61

Metody při kterých může dojít i k poškození přístroje, např. násilné otevření notebooku za účelem vyjmutí pevného disku. 62

Jde o pokus o přihlášení pomocí neplatného hesla.

53

3.6.1 Zájmové soubory Zájmovými soubory máme na mysli soubory, které mohou být důležité pro trestní řízení. Rozsah zájmových souborů se liší případ od případu dle řešené trestné činnosti. Kupříkladu lze uvést, že pro hospodářskou trestnou činnost budou důležité databázové soubory, které mohou obsahovat účetnictví, pdf a další soubory, které mohou obsahovat scany faktur, a dále e-mailová komunikace a internetová historie se zaměřením na finanční transakce v internetovém bankovnictví. Nedůležitá budou videa, hudba a fotografie. Na druhou stranu při řešení případů dětské pornografie bude situace víceméně opačná. Velmi důležité bude zajistit veškerá videa, fotografie a obrázkové materiály, dále veškerou komunikaci, a to jak chat komunikaci, tak e-mailovou, popřípadě komunikaci pomocí SMS. Obecně lze říci, že existuje značné množství typů souborů se stejným obsahem, např. videa, obrázky. Nelze se tedy spoléhat na ruční práci, ruční vyhledávání např. pomocí přípony souboru63. Každý typ má totiž svou vlastní. Dalším důvodem, proč nepoužívat ruční hledání, je fakt, že příponu souboru lze snadno změnit. Tím pádem bychom potřebný soubor nenašli. Stejně tak bychom soubor nenašli, pokud by se nacházel v uživatelsky nepřístupné oblasti disku. Je tedy nutno využít speciálních forenzních nástrojů64, které nevyužívají primárně přípony souborů, ale prohledávají soubory pomocí jejich typických příznaků. Navíc tyto forenzní prostředky prohledávají i přílohy e-mailových zpráv a komprimované soubory. Tímto dosáhneme komplexní analýzy a minimalizujeme možnosti ztrát důkazního materiálu. Znalec si tedy dle položených otázek nastaví forenzní nástroj, který dále indexuje soubory a vyhledá zájmové soubory. Z výsledků poté vytváří report. 3.6.1.1 Fotografie, obrázky Existuje mnoho obrázkových formátů, namátkou lze vyjmenovat např. JPG, BMP, TIFF apod. Některé formáty lze přímo prohlížet, pro jiné je nutno mít nainstalován speciální prohlížeč, ovšem takových je velice málo. Pokud fotografie obsahuje tzv. EXIF informaci, můžeme z této vyčíst další údaje, které nám mohou pomoci usvědčit pachatele trestné činnosti. Tato informace může

63

Srov. BÁROVÁ, Kateřina. Elektronické důkazní prostředky v přípravném řízení trestním [online]. Brno, 2012 [cit. 2014-03-04]. Diplomová práce. Masarykova univerzita, Právnická fakulta. Vedoucí práce Radim Polčák, str. 49. Dostupné z: http://is.muni.cz/th/254780/pravf_m/Diplomova_prace.pdf 64

Např. FTK Forensic Toolkit, EnCase atd.

54

obsahovat datum focení, přístroj, kterým byla fotografie pořízena, ale i místo v souřadnicích GPS, kde byla pořízena. Vše záleží na nastavení zdrojového přístroje. Vzhledem k faktu, že znalci nepřísluší obsahová analýza, jsou obrázky předávány komplexně všechny k další analýze. Výjimku tvoří ikony a další obrázky zcela zjevně nesouvisející s trestnou činností, mezi které se řadí hlavně systémové obrázky a obrázky důležité pro chod nainstalovaných aplikací. 3.6.1.2 Videosoubory Co se týče videosouborů, situace je zde velmi podobná fotografiím a obrázkům, viz výše. Taktéž existuje značné množství typů. Situaci zde ovšem komplikuje fakt, že pro každý typ existuje nepřeberné množství kodeků, jejichž přítomnost je nezbytná pro přehrání tohoto videa. Kupříkladu pro formát avi známe několik kodeků. Bohužel vždy záleží na konkrétním formátování, který z těchto kodeků je nutný pro přehrání. Pokud nastane problém s přehráním a není zřejmé, který kodek je nutno pro přehrání použít, lze využít freeware přehrávač VLC media player. Tento sice problém s přehráním sám nevyřeší, ovšem při neúspěšném pokusu vypíše chybovou hlášku, která obsahuje konkrétní kodek nutný pro přehrání. Poté již stačí tento stáhnout z internetu, popř. zakoupit a nainstalovat. 3.6.1.3 Textově orientované soubory Jedná se o soubory obsahující textové informace. Jde především o soubory kancelářských balíků65, tedy textové dokumenty, tabulky apod. Textově orientované soubory mohou obsahovat zájmové informace o vystavených fakturách, kontaktech a jiných důležitých skutečnostech a aktivitách ve vztahu k šetřené trestné činnosti. 3.6.1.4 PDF soubory Jedná se o soubory, které mohou mít podobu jak textově orientovaných souborů, tak obrázků. Jde o formát, do kterého standardně nelze zasahovat. Využívá se proto, že na každé digitální technice vypadá stejným způsobem. Není tedy závislý na konkrétní konfiguraci digitální techniky či na použitém prohlížeči. Vzhledem k nemožnosti

65

Např. Microsoft Office, Open Office, LibreOffice apod.

55

zásahu a možnosti připojit elektronický podpis je tento formát využíván bankami a podobnými institucemi pro komunikaci s klienty. Velmi často se v tomto formátu nacházejí scanované dokumenty. Může se tak jednat například o účetní doklady, výpisy z bank apod. V případě scanovaných dokumentů vyvstává problém s tím, že pokud jde o text, nelze v tomto vyhledávat jinak než ručně. Pro fulltextové vyhledávání je nutné využít technologii OCR, o které byla řeč výše. 3.6.1.5 Databáze Jedná se o soubory, které mohou obsahovat značné množství dat, stop a důkazů. Většinou se jedná o databáze k účetním programům či databáze poštovních klientů. Co se týče poštovních klientů, těmi se budeme zabývat níže v příslušné podkapitole. Pokud se jedná o databáze účetních programů, je nutné, aby znalec tyto databáze zpřístupnil pro potřeby trestního řízení. Musí tedy tuto vyexportovat do čitelného formátu, aby bylo možno se jimi zabývat. 3.6.1.6 Zálohy mobilních telefonů nalezené ve výpočetní technice Zálohami mobilních telefonů jsou většinou soubory obsahující důležitá data z mobilních telefonů, jako jsou kontakty, SMS zprávy, apod. Většina výrobců mobilních telefonů dodává spolu s telefonem i softwarovou aplikaci pro procházení uložených dat pomocí počítače. Stejná aplikace pak může být použita právě pro vytvoření zálohy, jak bylo uvedeno výše. Jedná se v podstatě o databázi, která obsahuje výše uvedená data. Je tedy nutno tuto převést do čitelného a smysluplného formátu. Problémem bývá, že každý výrobce mobilních telefonů využívá svůj formát zápisu, a proto je nutné vždy najít speciální nástroj, který databázi převede. Ne vždy se také toto podaří. Poté nezbývá nic jiného, než veškeré údaje opsat ručně či nafotit. 3.6.2 Historie činností na Internetu nalezená ve výpočetní technice V některých případech je nutno zajistit i historii činností na Internetu. Záleží zde znovu pouze na konkrétním případu, jaké důkazy bude nutné zajistit. Může se jednat o komplexní analýzu, která postihne celou historii činností, či půjde jen o komunikaci,

56

apod. Veškeré takovéto analýzy probíhají znovu na bitové kopii disku pomocí forenzního softwarového nástroje Internet Evidence Finder. 3.6.2.1 E-maily Vzhledem k faktu, že e-mailová komunikace může probíhat více způsoby, je nutno zajistit všechny tyto typy a vytěžit tak veškeré možné zprávy. E-mailová komunikace může probíhat pomocí webového rozhraní. V tomto případě má znalec ztíženu situaci v tom, že na zkoumaném počítači budou uloženy pouze fragmenty zpráv a to v dočasných souborech. Znalec tedy musí nastavit analýzy tak, aby byly tyto fragmenty nalezeny, a pokud možno obnoveny. Toto je možné pouze v případě, že data ještě nebyla přepsána. Celé zprávy jsou poté uloženy na serveru poskytovatele e-mailové schránky, kam se znalec již nedostane. Druhým způsobem e-mailové komunikace je využití poštovního klienta 66. Tento klient se přihlašuje na server poskytovatele, odkud stahuje veškeré zprávy včetně příloh na pevný disk. Zde tedy není problém veškerou komunikaci zajistit, protože se veškerá nachází v databázi poštovního klienta na lokálním počítači.. 3.6.2.2 Chat komunikace U chat komunikace je situace obdobná jako u e-mailové komunikace. Dříve bývalo běžné, že chatovací programy, tzv. kecálci, využívaly výpočetní techniku, na které byly nainstalovány. Zde se dá využít analogie s poštovními klienty. Veškerá komunikace je uložena na pevném disku takové výpočetní techniky a není problém tuto zajistit. To vše za předpokladu, že uživatel měl zapnutou volbu ukládání historie. V dnešní době rozmachu sociálních sítí se ovšem situace rapidně změnila. Čím dál více uživatelů opouští služby kecálků a chatuje právě pomocí sociálních sítí. Zde se opět nabízí analogie s e-maily, nyní ovšem s webmailem, tedy webovým rozhraním. V tomto případě opět veškerá komunikace probíhá na serveru poskytovatele služby, např. Facebooku, a na lokální počítač se ukládají pouze dočasné soubory. Většinou tedy není možné celou konverzaci zajistit.

66

Např. Outlook Express, Mozilla Thunderbird apod.

57

3.6.2.3 Historie navštívených stránek Historii navštívených stránek si každý prohlížeč ukládá do své vlastní databáze. Není tedy problém tato data vytěžit. Spolu s údajem, o jakou stránku šlo, se uchovává i údaj o četnosti návštěv, datech, stráveném čase, popř. vyhledávacích dotazech. Spolu s touto historií se ukládají i části webových stránek do dočasných souborů internetových prohlížečů a operačního systému, a to proto, aby příští načítání stránky bylo rychlejší a aby se znovu nemusela celá tato stránka stahovat ze serveru. I tato data je možno tedy zajistit, pokud nedošlo k jejich přepsání.

58

4 Konkrétní doporučení pro praxi Pro větší efektivnost práce jak orgánů činných v trestním řízení, tak soudních znalců je nutné dodržovat některé zásady, které by toto umožňovaly. Předně by mělo být zvykem precizně formulovat otázky a zájmová data. Tím se eliminují stavy, kdy znalec neví, co se po něm vyžaduje. Je pak tedy nucen předávat více dat, než je nutné. To stojí čas nejen jeho, ale i vyhodnocující policisty. Další možností je zvát znalce přímo k domovním prohlídkám, kde by si sám zadokumentoval veškeré potřebné údaje. Mohl by se pokusit ověřit, zda digitální technika obsahuje software pro šifrování, a byl by schopen si zadokumentovat celou infrastrukturu, např. propojení počítačové sítě, popř. připojená zařízení, způsob připojení k internetu, apod. Již v tomto okamžiku může být zjištěno, že zájmová data se ve skutečnosti nenachází na předmětné digitální technice, popř. interní počítačové sítě, ale na vzdálených úložištích cloudových a jiných služeb, např. pronajatých virtuálních počítačů. Ihned by tedy mohlo být upuštěno od dokumentace a zkoumání takové techniky. Taktéž je možno ihned odhalit přístup do počítačové sítě prostřednictvím tzv. VPN67. V neposlední řádě lze zjistit výše zmíněné šifrování a lze rovnou činit za součinnosti s policejním orgánem protiopatření, protože později už by toto nebylo možné. Autor se dále při konzultacích s policisty dozvěděl, že e-mailová komunikace někdy bývá zajišťována také dle § 158d Trestního řádu, který se týká sledování osob a věcí. Bohužel ani samotné soudy nemají v této věci jasno, kdy např. v Praze některé obvodní soudy vydávají povolení na základě § 88a a některé na základě výše zmíněného § 158d.

Vzhledem k této schizofrenii by bylo jistě prospěšné praxi

sjednotit. Dle autora by nejlepším možným způsobem bylo doplnění speciálního ustanovení do Trestního řádu, dle kterého by se tato komunikace zajišťovala. E-mailem dnes komunikuje skoro každý, proto se nutnost zajištění bude objevovat čím dál častěji. Autor se domnívá, že by praxi výrazně prospělo zavedení elektronických spisů. Tím by také klesla cena znaleckých posudků. Nebylo by nutné tyto posudky tisknout. Stačilo by posudek exportovat do PDF formátu a tento elektronicky podepsat a zaslat datovou schránkou. Tím by také byla zajištěna autenticita dat. Eliminoval by se tím

67

Tzv. Virtual Private Network (Virtuální privátní síť). Jedná se virtuální síť vytvořenou mezi dvěma vzdálenými body, např. přes síť internet. Více o VPN zde: http://technet.microsoft.com/cscz/library/cc731954(v=ws.10).aspx

59

i problém s tiskem obrázků, kdy tyto se v některých případech nepodaří vytisknout v takovém formátu, aby byl použitelný jako důkazní materiál. Hlavní důvod ale autor spatřuje v tom, že z podstaty digitálních stop jsou tyto veškeré uzpůsobené pro práci na digitální technice. Zde byly, většinou, vytvořeny, zde byly zpracovávány, a tak by tomu i mělo zůstat. Autentická data jsou vždy jen na digitální technice, jejich tiskem docílíme pouze toho, že tyto nějakým způsobem reprodukujeme, ovšem jedná se již o zprostředkování pro využití mimo digitální techniku, které je, dle autora, nežádoucí. Autor se dále domnívá, že, vzhledem k ratifikaci Úmluvy, ke které došlo 22. 8. 2013 a je účinná od 1. 12. 2013 68, by mělo dojít k úpravě českého právního řádu tak, aby byl v souladu s touto Úmluvou. Problém není s hmotněprávní stránkou, a to hlavně z důvodu, že „nový“ Trestní zákoník byl přijat již v době platnosti Úmluvy. Zákonodárce tedy již s těmito ustanoveními počítal a tyto již tedy Trestní zákoník obsahuje. Odlišná je situace u procesněprávních ustanovení, kdy se v České republice stále marně čeká na rekodifikaci trestního procesu, i když by si ji tento již určitě zasloužil. Pokud ovšem zákonodárce nechce z nějakého důvodu tuto rekodifikaci provést, měl by alespoň stávající Trestní řád novelizovat ve smyslu procesních ustanovení uvedených v Úmluvě. V Trestním řádu totiž chybějí ustanovení týkající se specifik počítačových dat. Pro tyto účely se stále využívají obecné instituty uvedené výše, jako např. vydání či odnětí věci, odposlech a záznam telekomunikačního provozu, sledování zásilky, apod. Tato ustanovení ovšem pro specifika počítačových dat nejsou vždy vyhovující.

68

Viz http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CL=ENG

60

5 Závěr Cílem této práce bylo seznámit jak odbornou, tak laickou veřejnost s postupem vytěžování důkazů z digitální techniky. K tomu bylo nutno nejprve shrnout nejdůležitější principy dokazování z pohledu ustanovení Trestního řádu, čemuž se autor věnoval na začátku práce. Kromě principů autor dále popsal teorii přípustných a nepřípustných důkazů. V neposlední řadě se věnoval také ustanovením upravujícím odposlechy, domovní prohlídky a s těmito se pojící vydání a odnětí věci. Autor se dále věnoval problematice soudních znalců. Shrnul nejdůležitější ustanovení Zákona o znalcích. Zaobíral se hlavně jmenováním znalců a dále požadavky na osobu znalce. Navrhl také možné řešení jmenování znalců a odbornější kontroly jejich činnosti. Těžištěm této práce byla kapitola nazvaná „Možnosti vytěžování digitální techniky“, ve které se autor detailně zaobíral samotným vytěžováním. Autor zde volil postup od obecného ke zvláštnímu, kdy vždy nejprve shrnul nejdůležitější obecné postupy a dále se přímo věnoval konkrétním problémům. Věnoval se nejdříve vytěžováním dat obecně a poté ve speciálních případech, např. při hackerském útoku či při zkoumání digitální techniky z advokátních kanceláří. Dále zde autor popsal postup práce a manipulace s různými druhy digitální techniky, ať se jednalo i disková úložiště či mobilní telefony. V neposlední řadě se věnoval problematice výsledků znaleckého zkoumání. Popsal zde, co by mělo být dodržováno při formulování otázek pro opatření o přibrání znalce. Dále se již zaobíral přímo výsledky vytěžování dle těchto otázek. Pro každý druh digitálních stop uvedl jejich specifika, která jsou důležitá jak pro vlastní vytěžování, tak pro další práci s těmito výsledky. V poslední kapitole této práce autor uvedl nejpalčivější problémy dosavadní praxe a návrh jejich řešení. Postupně se tak zaobíral efektivností znaleckého zkoumání, kdy navrhoval preciznější formulování otázek od orgánů činných v trestním řízení a dále také přímou účast znalce na domovních prohlídkách. Dále uvedl problém s nejednotností rozhodovací praxe u jednotlivých soudů, kdy by v rámci právní jistoty tato měla být co nejdříve odstraněna. Zde autor navrhl, aby vzniklo ustanovení přímo na míru problematice digitálních stop. Dále navrhoval, aby byl zaveden elektronický spis, a to alespoň v případech, kdy jsou zajišťovány digitální stopy. V neposlední řadě

61

autor uvedl problematiku Úmluvy, kde vymezil nejdůležitější nedostatky české právní úpravy vůči tomuto závaznému dokumentu. Autor se domnívá, že práce naplňuje svůj cíl, tedy informovat veřejnost o způsobu vytěžování důkazního materiálu z digitální techniky. Toho autor dosahuje i tím, že přikládá jako přílohy nejdůležitější dokumenty týkající se celého procesu znaleckého zkoumání. Veřejnost tedy může nahlédnout do různých typů reportů, které jsou těžištěm každého znaleckého posudku a které čitelnou formou dokumentují důkazy získané z digitální techniky.

62

6 Seznam použitých pramenů 6.1 Seznam použité literatury (1) BLAKESLEE, Melise R. Internet crimes, torts, and scams: investigation and remedies. 2nd ed. New York: Oxford University Press, c2012, 454 s. ISBN 978-019-9890-859. (2) BRITZ, Marjie. Computer forensics and cyber crime: an introduction. 2nd ed. Upper Saddle River, N.J.: Pearson Prentice Hall, c2009, 340 s. ISBN 01-3244749-5. (3) DORFL, Lubos. Zakon o znalcich a tlumočnicich: komentar. 1. vyd. Praha: C.H. Beck, 2009, 191 s. ISBN 978-807-4001-482. (4) FRYŠTÁK, Marek a Zdeněk KREJČÍ. Postavení znalce v trestním řízení. 1. vyd. Brno: Masarykova univerzita, 2009, 167 s. ISBN 978-80-210-4955-0. (5) CHMELÍK, Jan. Znalecké dokazování. 1. vyd. Praha: Policie České republiky, úřad vyšetřování pro ČR, 2001, 192 s. (6) KRUSE, Warren G a Jay G HEISER. Computer forensics: incident response essentials. Boston, MA: Addison-Wesley, 2001, 392 s.. ISBN 02-017-0719-5. (7) Kyberkriminalita a právo. Vyd. 1. Editor Tomáš Gřivna, Radim Polčák. Praha: Auditorium, 2008, 220 s. ISBN 978-809-0378-674. (8) MORRISSEY, Sean. IOS forensic analysis for iPhone, iPad and iPod touch. New York: Distributed to the Book trade worldwide by Springer Science Business Media, c2010, 356 s. ISBN 14-302-3342-7. (9) MUSIL, Jan, Vladimír KRATOCHVÍL a Pavel ŠÁMAL. Kurs trestního práva: trestní právo procesní. Vyd. 1. Praha: C.H. Beck, 1999, 667 s. ISBN 80-717-9216-0. (10) NETT, Alexander. K problematice neúčinných důkazů v trestním řízení. Vyd. 1. Brno: Masarykova univerzita, 1995, 57 s. Právnické sešity, č. 100. ISBN 80-210-1163-7. (11) NETT, Alexander, Jana ZEZULOVÁ a Eduard VLČEK. Trestní právo procesní: (obecná část). Vyd. 3., dopl. Brno: Masarykova univerzita, 2000, 380 s. Edice učebnic Právnické fakulty Masarykovy univerzity v Brně. ISBN 80-210-2275-2.

63

(12) PIPEK, Jiří. Zákaz důkazů v českém trestním řízení. Kriminalistika: časopis pro kriminalistickou teorii a praxi. Praha: Odbor vydavatelství a tisku MV ČR, 1998, XXXI, č. 4. (13) SAMMES, A a Brian JENKINSON. Forensic computing. 2nd ed. London: Springer, 2007, ix, 465 s. ISBN 978-184-6287-329. (14) VANÍČEK, Zdeněk. Zákon o elektronických komunikacích: komentář. Praha,: Linde, 2008, 479 s. ISBN 978-80-7201-739-3.

6.2 Seznam internetových zdrojů (1) Analysis of IMEI numbers. INTERNATIONAL NUMBERING PLANS. Numberingplans.com

[online].

[cit.

2014-02-10].

Dostupné

z: http://www.numberingplans.com/?page=analysis&sub=imeinr (2) BÁROVÁ, Kateřina. Elektronické důkazní prostředky v přípravném řízení trestním [online]. Brno, 2012 [cit. 2014-03-04].

Diplomová práce.

Masarykova univerzita, Právnická fakulta. Vedoucí práce Radim Polčák, str. 49. Dostupné z: http://is.muni.cz/th/254780/pravf_m/Diplomova_prace.pdf (3) Cloud Computing: Pro divoké lovce, manažery a IT specialisty. BISPIRAL, s.r.o.

BusinessIT.cz

[online].

[cit.

2014-01-25].

Dostupné

z: http://www.businessit.cz/cz/cloud-computing-pro-manazery-a-it-specialistytema.php (4) Co je VPN?. MICROSOFT S.R.O. [online]. [cit. 2014-03-10]. Dostupné z: http://technet.microsoft.com/cs-cz/library/cc731954%28v=ws.10%29.aspx (5) Convention on Cybercrime CETS No.: 185. EVROPSKÁ RADA. [online]. [cit.

2014-03-10].

Dostupné

z: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp? NT=185&CL=ENG (6) FRYŠTÁK, Marek. Odborné vyjádření versus znalecký posudek, Dny práva 2010: 4. ročník mezinárodní konference pořádané Právnickou fakultou Masarykovy univerzity [online]. 1. vyd. Brno: Masarykova univerzita, 2010, 1 CD-ROM. Spisy Právnické fakulty Masarykovy univerzity v Brně, sv. 378. ISBN

978-802-1053-052.

[cit.

2014-03-01].

Dostupné

z: https://www.law.muni.cz/sborniky/dny_prava_2010/files/prispevky/01_aktu alni/Frystak_Marek_(3939).pdf. (7) Forenzní zkoumání digitálních důkazů. Příručka vyšetřovatele. RISK ANALYSIS CONSULTANTS, Computer Forensic Institute [online]. 2005

64

[cit.

2013-11-10].

48

s.

Dostupné

z: http://www.rac.cz/rac/homepage.nsf/CZ/883AABB42333CB35C12570FC0 034A328/$FILE/Guide%20051230.pdf (8) Logical Extraction of Mobile Data Source. CELLEBRITE MOBILE SYNCHRONIZATION

LTD.

[online].

[cit.

2014-02-15].

Dostupné

z: http://www.cellebrite.com/mobile-forensics/capabilities/operations/logicalextraction (9) MAC adresa a postup jejího zjištění. Dat.cz [online]. [cit. 2014-03-21]. Dostupné z: http://www.dat.cz/cms/helpdesk/934/ (10) Názvy souborů a přípony názvů souborů: nejčastější dotazy. MICROSOFT S.R.O.

Windows.microsoft.com

[online].

[cit.

2014-03-21].

Dostupné

z: http://windows.microsoft.com/cs-cz/windows/file-names-extensionsfaq#1TC=windows-7 (11) Physical Extraction of Mobile Data Source. CELLEBRITE MOBILE SYNCHRONIZATION

LTD.

[online].

[cit.

2014-02-15].

Dostupné

z: http://www.cellebrite.com/mobileforensics/capabilities/operations/physical-extraction (12) RAK, Roman a Viktor PORADA. Digitální stopy v kriminalistice a forenzních vědách. Soudní inženýrství [online].2006, roč. 17. [cit. 2013-03-10]. 21 s. Dostupné z: http://www.sinz.cz/archiv/docs/si-2005-01-3-23.pdf (13) Softwarové licence: Freeware. INTERNET INFO, s.r.o. Slunečnice.cz [online].

[cit.

2014-02-16].

Dostupné

z: http://www.slunecnice.cz/licence/freeware/ (14) SVĚTLÍK, Marian. Digitální forenzní analýza a bezpečnost informací. Data Security Management [online].2010, roč. 1 [cit. 13.06.2012]. 4 s. Dostupné z: http://www.rac.cz/RAC/homepage.nsf/CZ/Clanky/$FILE/DSM-Digit %C3%A1ln%C3%AD%20forenzn%C3%AD%20anal%C3%BDza-012010.pdf (15) What is a Forensic Image?. PINPOINT LABS. Pinpointlabs.com [online]. [cit. 2014-03-02]. Dostupné z: http://pinpointlabs.com/2009/01/what-is-aforensic-image/ (16) What is IMEI?. IMEI.INFO. [online]. [cit. 2014-02-20]. Dostupné z: http://www.imei.info/faq-what-is-IMEI/ 65

(17) WIKIPEDIA, THE FREE ENCYCLOPEDIA. Android rooting

[online].

Wikipedia, poslední změna 4. 2. 2014. [cit. 2014-02-11]. Dostupné z: http://en.wikipedia.org/w/index.php?title=Android_rooting (18) WIKIPEDIA, THE FREE ENCYCLOPEDIA. International Mobile Station Equipment Identity [online]. Wikipedia, poslední změna 24. 2. 2014. [cit. 2014-03-01].

Dostupné

z: http://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity (19) WIKIPEDIA, THE FREE ENCYCLOPEDIA. IOS jailbreaking [online]. Wikipedia, poslední změna 10. 2. 2014. [cit. 2014-02-11]. Dostupné z: http://en.wikipedia.org/wiki/IOS_jailbreaking (20) WIKIPEDIA, THE FREE ENCYCLOPEDIA. Optical character recognition [online]. Wikipedia, poslední změna 4. 3. 2014. [cit. 2014-03-07]. Dostupné z: http://en.wikipedia.org/w/index.php?title=Optical_character_recognition (21) ZLATUŠKA, Jiří. Informační společnost [online]. Zpravodaj ÚVT MU. ISSN 1212-0901, 1998, roč. VIII, č. 4, s. 1-6. [cit. 2013-11-11]. Dostupné z: http://www.ics.muni.cz/bulletin/articles/122.html

6.3 Seznam elektronických zdrojů (1) CROWLEY, Paul. CD and DVD forensics [PDF]. Rockland, MA: Syngress Publishing, c2007, xxii, 292 p. [cit. 2014-03-21]. ISBN 978-1-59749-128-0.

6.4 Seznam použitých zákonů (1) Usnesení Předsednictva České národní rady č. 2/1993, o vyhlášení LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součásti ústavního pořádku České republiky, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 10. 2. 2014]. (2) Zákon č. 36/1967 Sb., o znalcích a tlumočnících, ve znění pozdějších předpisů. In: Codexis Academia

[právní informační systém]. Atlas

Consulting, 2012 [cit. 2014-03-01]. (3) Zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-01].

66

(4) Zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-0307]. (5) Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-03]. (6) Zákon č. 141/1961 Sb. Sb., Trestní řád, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-02-03]. (7) Vyhláška Ministerstva spravedlnosti č. 37/1967 Sb., k provedení zákona o znalcích a tlumočnících, ve znění pozdějších předpisů. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-0301]. (8) Instrukce Ministerstva spravedlnosti č. 90/2012-OSD-ZN ze dne 30. 4. 2012, o správním řízení ve věcech znalců a tlumočníků, a o některých dalších otázkách. In: Codexis Academia

[právní informační systém]. Atlas

Consulting, 2012 [cit. 2014-03-08].

6.5 Seznam použité judikatury (1) Nález Ústavního soudu ze dne 12. 1. 2006, sp. zn. II. ÚS 552/05. In: Aspi [právní informační systém]. Wolters Kluwer ČR [cit. 2014-02-12]. (2) Nález Ústavního soudu ze dne 29. 2. 2008, sp. zn. I. ÚS 3038/07-1. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-03]. (3) Usnesení Ústavního soudu ze dne 27. 10. 2005, sp. zn. II. ÚS 153/04. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-18]. (4) Rozsudek Vrchního soudu v Praze ze dne 8. 6. 2000, sp. zn. 2 To 73/2000. In: Codexis Academia [právní informační systém]. Atlas Consulting, 2012 [cit. 2014-03-03].

67

7 Přílohy 7.1 Opatření o přibrání znalce POLICIE ČESKÉ REPUBLIKY Krajské ředitelství policie příslušného kraje územní odbor ….... oddělení obecné kriminality SKPV Adresa policejní služebny Č. j. …......................................... Místo sepsání,

datum

sepsání Počet stran: 2

Opatření Podle § 105 odstavce 1 trestního řádu

přibírám znalce: Jméno znalce – soudní znalec zapsaný v seznamu znalců u Krajského soudu v ….........., trv. bytem ….............. k podání znaleckého posudku z oboru kybernetika, odvětví výpočetní technika a elektronika. v trestní věci internetové komunikaci s obsahem fotografií nahých dívek podezřelým Jméno podezřelého, nar. …......., v …..........., trv. bytem …......................... pro přečin výroba a jiné nakládání s dětskou pornografií podle § 192 odst. 1, odst. 2 trestního zákoníku. Ve znaleckém posudku je třeba posoudit a zodpovědět následující otázky: 1./ Vyhotovte technický popis výpočetní techniky vydané dne ….... podezřelým ….... na protokol o vydání věci dle ust. § 78 tr. řádu viz předané stopy, 2./ vyhledejte data v souvislosti se spáchanou trestnou činností podezřelý, zda výpočetní technika obsahuje dokumenty e-mailů a x chatů a další komunikace (SKYPE, ICQ a další),

68

3./ vyhledejte data ke zjištění IP jednotlivého počítače popř. IP adresu, na které byla prováděna z tohoto počítače komunikace za pomocí internetové sítě, 4./ proveďte stažení internetové komunikace prostřednictvím e -mailových schránek pod názvem: ,....................... ,která je zde uložena včetně jejích přílohy, 5./ proveďte stažení videosouborů, souborů -foto, které se nacházejí na pevném disku výpočetní techniky, 6./ další zjištění znalce mající vliv na posouzení věci popř. po další konzultaci s pol.orgánem.

Pro vypracování a doručení posudku stanovuji lhůtu do Datum. Posudek je třeba vypracovat ve ….... vyhotoveních.

Počet x originál v písemném vypracování opatřený podpisovou doložkou a razítkem znalce. Počet x kopii vypracování na datovém nosiči.

O odměně a náhradě nákladů znalce bude rozhodováno ve smyslu příslušných ustanovení vyhlášky č. 37/1967 Sb., k provedení zákona o znalcích a tlumočnících, ve znění změn a doplnění. Poučení: Podle § 105 odst. 3 trestního řádu lze vznést námitky proti osobě znalce z důvodů, které stanoví zvláštní zákon. Vedle toho lze vznést námitky proti odbornému zaměření znalce nebo proti formulaci otázek. O důvodnosti podaných námitek rozhoduje soud a v přípravném řízení státní zástupce.

Rozdělovník: 2 x spis, 1 x znal., 1 x OSZ Předané stopy: •

1x PC, zn. …....., v.č. …......

•

1x mobilní telefon zn. …...., IMEI: …........ Razítko policie Jméno příslušníka policie Hodnost

Telefonní číslo

69

7.2 Poučení znalce POLICIE ČESKÉ REPUBLIKY Krajské ředitelství policie příslušného kraje územní odbor ….... oddělení obecné kriminality SKPV Adresa policejní služebny Č. j. ….........................................

Místo sepsání, datum sepsání Počet stran: 2

Poučení znalce (tlumočníka) Podle § 8 zák. č. 36/1967 Sb. je znalec (tlumočník) povinen vykonávat znaleckou (tlumočnickou) činnost řádně a ve stanovené lhůtě. Podle § 10 zák. č. 36/1967 Sb. je znalec (tlumočník) povinen vykonávat svou činnost osobně. Podle § 11 odst. 1 zák. č. 36/1967 Sb. znalec (tlumočník) nesmí podat posudek (provést tlumočnický úkon), jestliže lze mít pro jeho poměr k věci, k orgánům provádějícím řízení, k účastníkům řízení nebo k jejich zástupcům pochybnosti o jeho nepodjatosti. Podle § 11 odst. 2 zák. č. 36/1967 Sb. a § 106 tr. řádu jakmile se znalec (tlumočník) dozví o skutečnostech, které by mu bránily být ve věci činný nebo pro které by mohl být ve věci vyloučen jako znalec (tlumočník), je povinen to oznámit bez odkladu. O tom, zda znalec (tlumočník) je vyloučen, rozhoduje orgán, který jej pro podání posudku (tlumočnický úkon) ustanovil. Pokud tyto důvody neexistují, je povinen podat posudek (provést tlumočnický úkon) ve stanovené lhůtě, je též povinen dostavit se na výzvu orgánů činných v trestním řízení a v případě, že se bez dostatečné omluvy nedostaví, může být potrestán pořádkovou pokutou do výše 50.000,-Kč (§ 66 odst. 1 tr. řádu). Podle § 106 tr. řádu znalce (tlumočníka) upozorňuji na význam znaleckého posudku (tlumočnického úkonu) z hlediska obecného zájmu. Podle § 346 trestního zákoníku kdo jako znalec podá nepravdivý, hrubě zkreslený nebo neúplný znalecký posudek, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti. Odnětím svobody na šest měsíců až tři léta nebo zákazem činnosti bude potrestán kdo jako znalec před soudem nebo před mezinárodním soudním orgánem, před notářem jako soudním komisařem, státním zástupcem nebo před policejním orgánem, který koná přípravné řízení podle trestního řádu, anebo před vyšetřovací komisí Poslanecké sněmovny Parlamentu České republiky uvede nepravdu o okolnosti, která má podstatný význam pro rozhodnutí nebo pro zjištění vyšetřovací komise Poslanecké sněmovny Parlamentu České republiky, nebo takovou okolnost zamlčí. Odnětím svobody na dvě léta až deset let bude potrestán, způsobí-li tímto činem značnou škodu, nebo spáchá-li takový čin v úmyslu jiného vážně poškodit v zaměstnání, narušit jeho rodinné vztahy nebo způsobit mu jinou vážnou újmu. Podle § 347 trestního zákoníku kdo jako tlumočník nesprávně, hrubě zkresleně nebo neúplně tlumočí nebo písemně překládá v řízení před orgánem veřejné moci nebo v souvislosti s takovým řízením skutečnosti nebo okolnosti, které mají podstatný význam pro rozhodnutí orgánu veřejné moci, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti. Odnětím svobody na šest měsíců až tři léta nebo zákazem činnosti bude potrestán kdo jako tlumočník před soudem nebo před mezinárodním soudním orgánem, státním zástupcem nebo před policejním orgánem, který koná přípravné řízení podle trestního řádu, anebo před vyšetřovací komisí Poslanecké sněmovny Parlamentu České republiky nesprávně, hrubě zkresleně nebo neúplně tlumočí nebo písemně překládá. Odnětím svobody na dvě léta až deset let bude potrestán, způsobí-li tímto činem značnou škodu, nebo páchá-li takový čin v úmyslu jiného vážně poškodit v zaměstnání, narušit jeho rodinné vztahy nebo způsobit mu jinou vážnou újmu. Podle § 17 a § 18 zák. č. 36/1967 Sb. a § 111 odst. 2 tr. řádu má znalec (tlumočník) právo na odměnu a náhradu hotových výloh za znalecký (tlumočnický) úkon ve smyslu vyhlášky č. 37/1967 Sb., k provedení zákona o znalcích a tlumočnících, ve znění pozdějších předpisů. O výši znalečného (tlumočného) rozhodne ten, kdo znalce (tlumočníka) přibral. Podle § 10 odst. 2 zák. č. 36/1967 Sb., má-li znalec (tlumočník) za to, že povaha věci vyžaduje přibrání konzultanta k posuzování zvláštních dílčích otázek, oznámí to tomu, kdo jej k úkonu přibral. V případě, že tento orgán vysloví s přibráním konzultanta souhlas, má konzultant nárok na náhradu nákladů s tím spojených. Při přibírání konzultanta vymezí tlumočník konkrétní problém, který má být konzultantem objasněn. Tuto okolnost spolu s důvody musí znalec (tlumočník) uvést v posudku. Odpovědnost znalce (tlumočníka) není dotčena ani v konzultované části posudku.

70

Podle § 107 odst. 1 tr. řádu se znalci, který je pověřen úkonem, poskytnou potřebná vysvětlení ze spisů a vymezí se jeho úkoly. Znalci nepřísluší provádět hodnocení důkazů a řešit právní otázky. Je-li toho k podání posudku třeba, dovolí se znalci nahlédnout do spisů nebo se mu spisy zapůjčí. Může mu být též dovoleno, aby byl přítomen při výslechu obviněného a svědků a aby jim kladl otázky vztahující se na předmět znaleckého vyšetřování. V odůvodněných případech se znalci umožní, aby se zúčastnil provedení i jiného úkonu trestního řízení, pokud takový úkon má význam pro vypracování znaleckého posudku. Znalec může též navrhnout, aby byly jinými důkazy napřed objasněny okolnosti potřebné k podání posudku. S ohledem na znění zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a vzhledem k povinnosti státního orgánu při rozhodování o odměně a náhradě nákladů hodnotit přiměřenost účtovaných nákladů znalcem (tlumočníkem), podle ustanovení § 25 vyhl. MS č. 37/1967 Sb., Vás žádáme, aby všechny Vámi účtované položky ve vyúčtování znalečného (tlumočného), a to jak za vlastní znalecký (tlumočnický) úkon, tak i v rámci náhrady nákladů (pomocné práce atd.), byly ve vyúčtování řádně rozepsány a odůvodněny, a to jak co do rozsahu účtovaných položek (např. počet hodin), náplně a důvodnosti provedených prací, tak i jednotlivých finančních částek v nich uvedených (např. hodinová mzda). V případě, že Vámi předložené vyúčtování znalečného (tlumočného), včetně řádného vyúčtování poskytnutých záloh nebude obsahovat všechny potřebné náležitosti tak, aby bylo možné jej řádně vyhodnotit ve smyslu ustanovení § 25 vyhl. MS č. 37/1967 Sb., bude Vám vyúčtování znalečného (tlumočného) vráceno zpět k doplnění. Podle § 8b odst. 1 trestního řádu osobám, kterým byly orgánem činným v trestním řízení poskytnuty informace umožňující zjištění totožnosti osoby, proti které se vede trestní řízení, poškozeného, zúčastněné osoby a svědka, pro účely trestního řízení nebo k výkonu práv nebo plnění povinností stanovených zvláštním právním předpisem, je nesmí nikomu dále poskytnout, pokud jejich poskytnutí není nutné k uvedeným účelům. Podle § 8b odst. 2 trestního řádu nikdo nesmí v souvislosti s trestným činem spáchaným na poškozeném jakýmkoli způsobem zveřejnit informace umožňující zjištění totožnosti poškozeného, který je osobou mladší 18 let nebo vůči němuž byl spáchán trestný čin vraždy (§ 140 trestního zákoníku), zabití (§ 141 trestního zákoníku), některý z trestných činů, kterým byla způsobena těžká újma na zdraví, trestný čin ohrožení pohlavní nemocí (§ 155 trestního zákoníku), některý z trestných činů proti těhotenství ženy (§ 159 až 162 trestního zákoníku), trestný čin obchodování s lidmi (§ 168 trestního zákoníku), některý z trestných činů proti lidské důstojnosti v sexuální oblasti (§ 185 až 193 trestního zákoníku), trestný čin opuštění dítěte nebo svěřené osoby (§ 195 trestního zákoníku), týrání svěřené osoby (§ 198 trestního zákoníku), týrání osoby žijící ve společném obydlí (§ 199 trestního zákoníku), únosu dítěte a osoby stižené duševní poruchou (§ 200 trestního zákoníku) nebo nebezpečného pronásledování (§ 354 trestního zákoníku). Podle § 8c trestního řádu nikdo nesmí bez souhlasu osoby, které se takové informace týkají, zveřejnit informace o nařízení či provedení odposlechu a záznamu telekomunikačního provozu podle § 88 trestního řádu nebo informace z něj získané, údaje o telekomunikačním provozu zjištěné na základě příkazu podle § 88a trestního řádu, nebo informace získané sledováním osob a věcí podle § 158d odst. 2 a 3 trestního řádu, umožňují-li zjištění totožnosti této osoby a nebyly-li použity jako důkaz v řízení před soudem. Zákaz zveřejnění informací neplatí z důvodů uvedených v ustanovení § 8d trestního řádu. Porušení této povinnosti může být postiženo v případě fyzické osoby podle § 44a zákona č. 101/2000 Sb., o ochraně osobních údajů, pokutou až do výše 1.000.000,-Kč, v případě spáchání tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem lze uložit pokutu do 5.000.000,-Kč, právnické osobě nebo podnikající fyzické osobě může být za tento správní delikt, podle § 45a zákona č. 101/2000 Sb., o ochraně osobních údajů, uložena pokuta až do výše 1. 000. 000,-Kč, v případě spáchání tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem lze uložit pokutu do 5 000 000,-Kč, případně posouzeno i jako trestný čin Neoprávněné nakládání s osobními údaji podle § 180 trestního zákoníku.

jméno a příjmení tlumočníka nebo znalce

71

7.3 Zkrácený znalecký posudek Hlavička záměrně vynechána pro nadbytečnost a anonymitu.

ZNALECKÝ POSUDEK z oboru Kybernetika odvětví výpočetní techniky a elektronika

Znalecký posudek vypracován na základě opatření o přibrání znalce dle § 105 odst. 1 tr. řádu, vydaného Policií České republiky Krajské ředitelství policie příslušného kraje územní odbor …......... odbor obecné kriminality SKPV adresa policejní služebny pod č.j.

….................... ze dne …..........

V trestní věci: internetové komunikaci s obsahem fotografií nahých dívek Jméno podezřelého, nar. …..... v …..........., trvale bytem …..............................................

pro přečin: výroba a jiné nakládání s dětskou pornografií podle § 192 odst. 1, odst. 2 trestního zákoníku. Obsah záměrně vynechán pro nadbytečnost.

72

1 Úvod Policejní orgán Policie ČR, Krajské ředitelství policie příslušného kraje, odbor obecné kriminality SKPV předložil opatření podle § 105 odst. 1 tr. řádu, přibrání znalce, pod č.j. …....................... ze dne ….................. V trestní věci: internetové komunikaci s obsahem fotografií nahých dívek Jméno podezřelého, nar. …..... v …..........., trvale bytem …..............................................

pro přečin: výroba a jiné nakládání s dětskou pornografií podle § 192 odst. 1, odst. 2 trestního zákoníku.

1.1 Zajištěná digitální, výpočetní technika a paměťová média Ke znaleckému zkoumání bylo předloženo: 6. PC zn. …......., v.č. …......... 7. Mobilní telefon zn. …........., IMEI: …...........

1.2 Ve znaleckém posudku je třeba posoudit a zodpovědět následující otázky dle spisového materiálu Ve znaleckém posudku je nutno zodpovědět následující otázky: •

Vyhotovte technický popis výpočetní techniky vydané dne ….... podezřelým Jméno podezřelého na protokol o vydání věci dle ust. § 78 tr. řádu viz předané stopy,

•

vyhledejte data v souvislosti se spáchanou trestnou činností podezřelý, zda výpočetní technika obsahuje dokumenty e-mailů a x chatů a další komunikace ( SKYPE, ICQ a další), 73

•

vyhledejte data ke zjištění IP jednotlivého počítače popř. IP adresu, na které byla prováděna z tohoto počítače komunikace za pomocí internetové sítě,

•

proveďte stažení internetové komunikace prostřednictvím e -mailových schránek pod názvem: ,....................... ,která je zde uložena včetně jejích přílohy,

•

proveďte stažení videosouborů, souborů -foto, které se nacházejí na pevném disku výpočetní techniky,

•

další zjištění znalce mající vliv na posouzení věci popř. po další konzultaci s pol.orgánem.

74

2 Technický popis předložené techniky a datových nosičů Ke zkoumání bylo předloženo, jak dříve uvedeno: 1. PC zn. …......., v.č. …......... 2. Mobilní telefon zn. …........., IMEI: …...........

2.1 Technický popis předloženého PC bez značky Ke zkoumání byl předložen standardní PC zn. …..., v.č. …....... Jedná se o PC s následující konfigurací:

Provedení:

MIDITOWER

Značka:

…........

Model:

…........

Výrobní číslo:

….......

Příslušenství:

žádné

Poškození:

běžné opotřebení, chybějící záslepky na přední straně

Pevný disk:

Výrobce:

Western Digital

Typ:

WD 15 EURS-63S48Y0

V.č.

…..............

Komerční velikost:

1,5 TB

Skutečná velikost:

1 430 799 MB

HDD obsahuje chyby

2.2 Technický popis předloženého MT zn. …... včetně SIM a paměťové karty V rámci analýzy předloženého typu mobilního telefonu je možno konstatovat, že se jedná o tzv. chytrý mobilní telefon s operačním systémem …..... V rámci této analýzy bylo zjištěno, že tento mobilní telefon je možno podrobit forenznímu zkoumání 75

prostřednictvím forenzního nástroje uFED, a to na fyzické i logické úrovni, tzn. smazané informace je možno zajistit na maximální úrovni. V rámci analýzy možnosti ostatních forenzních nástrojů zejména Mobil Edit Forensic 7.5, Oxygen Forensic Suite 2014 bylo zjištěno, že tyto produkty

jsou schopny provést pouze zálohu těchto

informací na logické úrovni, kdy tato skutečnost byla těmito produkty ověřena. Analýzu SIM je možno provádět běžnými forenzními nástroji a to buďto forenzním nástrojem uFED a nebo Mobil Edit Forensic. V rámci analýzy nedojde ke změně PIN kódu. Prvotní analýza paměťové karty, dokumentace bitové kopie předložené paměťové karty, dojde nejprve k záloze, dokumentaci bitové kopie forenzním nástrojem FTK Imager, jako prvotní úkon. Poté dojde k zpětnému vložení paměťové karty a dojde k vlastní analýze v součinnosti s předloženým mobilním telefonem. Paměťová karta s ohledem na skutečnost, že mohla být používána i v jiné digitální technice bude dále zkoumána samostatně forenzním nástrojem FTK Forensic Toolkit. Taktéž zde budou případně obnoveny smazané soubory, které by v rámci zkoumání pouze mobilního telefonu v součinnosti s paměťovou kartou nebyly nalezeny a tak nemohly být vyhodnoceny.

76

3 Prvotní forenzní kroky zajištění dat z předložené techniky Ke zkoumání bylo předloženo celkem: 1 1 ks výpočetní techniky, 2 1 ks paměťových karet, 3 1 ks mobilních telefonů, 4 1 ks SIM,

Na základě předložené techniky, paměťových médií, mobilních telefonů a položených otázek bude dále nejprve provedena analýza jednotlivých pevných disků a paměťových médií. Tento prvotní forenzní krok spočívá v případě pevných disků v připojení těchto k technologické forenzní výpočetní technice za využití forenzního blokátoru zápisu. Následně je provedena záloha data do tzv. obrazu disku, bitové kopie. Tato bitová kopie je vytvářena softwarovým forenzním nástrojem FTK Imager, kterým je jednak vytvořena bitová kopie pevného disku, paměťového média a vypočteny kontrolní sumy MD5 a SHA. Následně je vytvořen výstup, seznam všech nalezených souborů, včetně informací o jejich vzniku, přístupu, modifikace a kontrolní sumy. Na základě těchto prvotních forenzních kroků vznikají následující typy souborů:

1. soubory s bitovou kopií – jedná se o soubory velikosti 1,5 GB, které jako celek tvoří bitovou kopii datové oblasti pevného disku 2. soubor s protokolem o provedeném forenzním technickém kroku, seznamem vzniklých dílčích souborů s bitovou kopií a kontrolními sumami bitové kopie 3. soubor se seznamem zjištěných souborů, který je dále využit k dalším analýzám

V rámci zkoumání paměťových karet musí být taktéž zajištěno, že na paměťové karty nebude proveden zápis. Na základě této skutečnosti došlo k připojení paměťových karet k blokátoru zápisu na tyto karty. Následně byly provedeny identické kroky jako u pevného disku.

77

Co se týče mobilních telefonů, dojde nejprve ke zkoumání, zda tyto obsahují SIM karty či paměťové karty. Tyto budou nejprve zkoumány zvlášť a dále dohromady ve vzájemných souvislostech.

3.1 Protokol o vytvoření forenzní zálohy disku z PC zn. …., v.č. ….... Pevný disk byl připojen k technologické výpočetní technice pomocí hardwarového blokátoru zápisu. Po provedeném připojení bylo dále postupováno, jak dříve popsáno, s tím, že zajištěný obraz disku, bitová kopie, vytvořený forenzním nástrojem FTK Imager byl uložen na bezpečné úložiště typu NAS. Tato data byla následně používána k vlastním analýzám dle položených otázek. V souvislosti s uvedenou činností byl vytvořen protokol o provedení zálohy dat do bitové kopie forenzním nástrojem FTK Imager a výpočtu kontrolních sum MD5 a SHA: Created By AccessData® FTK® Imager 3.1.3.2

Case Information: Acquired using: ADI3.1.3.2 Case Number: Číslo případu Evidence Number: Číslo stopy Unique description: Unikátní popis disku Examiner: Jméno znalce Notes:

--------------------------------------------------------------

Information for Z:\Název případu\Název stopy\Název stopy:

Physical Evidentiary Item (Source) Information: [Device Info] 78

Source Type: Physical [Drive Geometry] Cylinders: 182 401 Tracks per Cylinder: 255 Sectors per Track: 63 Bytes per Sector: 512 Sector Count: 2 930 277 168 [Physical Drive Information] Drive Model: WDC WD15 EURS-63S48Y0 USB Device Drive Serial Number:

Výrobní číslo disku, jak jej FTK Imager rozpoznal

Drive Interface Type: USB Removable drive: False Source data size: 1430799 MB Sector count:

-1364690128

ATTENTION: The following sector(s) on the source drive could not be read: 1371720 through 1371727 6161776 through 6161782 6181272 through 6181279 6187024 through 6187031 6196800 through 6196823 6196888 through 6196893 6200112 through 6200118 6200216 through 6200223 6200232 through 6200239 6211592 through 6211595 79

6211648 through 6211655 6556872 through 6556879 326904088 through 326904095 326904160 through 326904162 326904192 through 326904194 326904264 through 326904265 326904280 through 326904287 326904392 through 326904397 395257912 through 395257919 572299696 through 572299703 1465127616 through 1465127623 1465156832 through 1465156855 1465156864 through 1465156878 1465156944 through 1465156950 1465156960 through 1465156975 1465156991 through 1465156994 1465157000 through 1465157006 1465157015 1465157024 through 1465157038 1465157048 through 1465157055 1465187504 through 1465187511 The contents of these sectors were replaced with zeros in the image.

[Computed Hashes] MD5 checksum:

91eb65b9284501d0e09896a829aa692a

SHA1 checksum: 2039970b625ab3b46050d33ed20598124fcae5d4

80

Segment list: Z:\Název případu\Název stopy\Název stopy.E01 Z:\Název případu\Název stopy\Název stopy.E02 Z:\Název případu\Název stopy\Název stopy.E03 Z:\Název případu\Název stopy\Název stopy.E04 Z:\Název případu\Název stopy\Název stopy.E05 Z:\Název případu\Název stopy\Název stopy.E06 Z:\Název případu\Název stopy\Název stopy.E07 Z:\Název případu\Název stopy\Název stopy.E08 Z:\Název případu\Název stopy\Název stopy.E09 Z:\Název případu\Název stopy\Název stopy.E10 Z:\Název případu\Název stopy\Název stopy.E11 Z:\Název případu\Název stopy\Název stopy.E12 Z:\Název případu\Název stopy\Název stopy.E13 Z:\Název případu\Název stopy\Název stopy.E14 Z:\Název případu\Název stopy\Název stopy.E15 Z:\Název případu\Název stopy\Název stopy.E16 Z:\Název případu\Název stopy\Název stopy.E17 Z:\Název případu\Název stopy\Název stopy.E18 Z:\Název případu\Název stopy\Název stopy.E19 Z:\Název případu\Název stopy\Název stopy.E20 Z:\Název případu\Název stopy\Název stopy.E21 Z:\Název případu\Název stopy\Název stopy.E22 Z:\Název případu\Název stopy\Název stopy.E23 Z:\Název případu\Název stopy\Název stopy.E24 Z:\Název případu\Název stopy\Název stopy.E25 Z:\Název případu\Název stopy\Název stopy.E26 81

Z:\Název případu\Název stopy\Název stopy.E27 Z:\Název případu\Název stopy\Název stopy.E28 Z:\Název případu\Název stopy\Název stopy.E29 Z:\Název případu\Název stopy\Název stopy.E30 Z:\Název případu\Název stopy\Název stopy.E31 Z:\Název případu\Název stopy\Název stopy.E32 Z:\Název případu\Název stopy\Název stopy.E33 Z:\Název případu\Název stopy\Název stopy.E34 Z:\Název případu\Název stopy\Název stopy.E35

…........... přerušena kontunuální řada …...........

Z:\Název případu\Název stopy\Název stopy.EGY Z:\Název případu\Název stopy\Název stopy.EGZ Z:\Název případu\Název stopy\Název stopy.EHA Z:\Název případu\Název stopy\Název stopy.EHB Z:\Název případu\Název stopy\Název stopy.EHC Z:\Název případu\Název stopy\Název stopy.EHD Z:\Název případu\Název stopy\Název stopy.EHE Z:\Název případu\Název stopy\Název stopy.EHF Z:\Název případu\Název stopy\Název stopy.EHG Z:\Název případu\Název stopy\Název stopy.EHH Z:\Název případu\Název stopy\Název stopy.EHI Z:\Název případu\Název stopy\Název stopy.EHJ 82

Z:\Název případu\Název stopy\Název stopy.EHK Ze shora uvedeného protokolu je nepochybné, že pevný disk obsahuje značné množství chyb, kdy v případě nečitelnosti sektoru byl tento nahrazen hexa kódem 0x00.

83

4 Prvotní forenzní kroky ve vztahu k položeným otázkám 4.1 Prvotní forenzní kroky aplikované na bitové kopii disku z PC zn. …., v.č. ….... 4.1.1

Prvotní forenzní kroky – rozdělení datové oblasti

Nejprve bylo nutné provést základní forenzní kroky, kdy jednotlivě dříve uvedený obraz disku byl nahrán do odpovídajících forenzních prostředků za účelem efektivních analýz dle položených otázek. Jako stěžejní dle položených otázek se jevil komplexní forenzní nástroj FTK Forensic Toolkit 3.4.1. Na základě této skutečnosti došlo k načtení obrazu pevného disku do tohoto forenzního nástroje, kdy byla provedena prvotní analýza datového prostoru pevného disku. V rámci této analýzy bylo zjištěno, že na výpočetní technice, pevném disku, se nachází následující oddíl:

1 oddíl č. 1 typu NTFS velikosti 1 430 796 MB se jmenovkou „........“

V obou výše uvedených případech lze konstatovat, že se bez pochyby jedná o zájmovou oblast, do kterých uživatel ukládal svá data. Prvotní analýzou bylo zjištěno, že uvedený oddíl ač je pojmenován jako FTP, kdy by se dalo uvažovat, že byl vyčleněn pro tuto technologii byl využíván jako systémový disk pro operační systém Microsoft Windows. Obsahuje tedy, jak systémové soubory, tak uživatelské soubory.

4.1.2

Analýza, obnova smazaných souborů

Vzhledem ke skutečnosti, že je nejprve nutné provést obnovu smazaných souborů a následně provádět vlastní analýzy, byla nejprve provedena operace obnovy smazaných souborů. Po provedené obnově byl dále forenzní nástroj nastaven tak, aby byly identifikovány veškeré soubory, které byly na pevném disku nalezeny. Jedná se zejména o soubory, které se již nenachází v tzv. odkazové tabulce souborového systému, avšak 84

se dosud nachází v paměťovém prostoru. Tyto je možno rekonstruovat úplně nebo alespoň částečně a je s nimi dále možno analyticky pracovat. Tento krok má zejména za význam, že je případně prokázáno, že uvedený soubor, byť s částečnou informací, byl na výpočetní technice zpracováván. Dále byly též identifikovány soubory, které v době forenzního zkoumání byly umístěny v tzv. nealokovaném prostoru pevného disku. Jedná se taktéž o soubory, které bylo možno částečně nebo úplně možno obnovit.

4.1.3

Nalezení, dekomprimace souborů

V rámci analýz je též nepochybné, že musí být v rámci zkoumání zohledněny též soubory, které jsou součástí komprimovaných souborů. Jedná se o skutečnost, že v případě standardního vyhledání konkrétních informací by nedošlo k jejich identifikaci, jelikož data jsou komprimovaná a tak nemají standardní formát a nebylo by možno vyhledat požadované textové informace. Bylo tedy nutné vyhledat veškeré komprimované soubory, které před vlastním vyhodnocováním budou dekomprimovány. Soubory umístěné v ně komprimovaných souborů budou zahrnuty do vlastní obsahové analýzy a to jak na úrovni identifikace typu souboru, tak na úrovni identifikace souborů obsahující konkrétní zadané textové informace. Celá analýza bude dále prováděna komplexně.

4.1.4

Analýza grafických souborů

Provedenou analýzou datového prostoru za účelem zjištění grafických souborů bylo zjištěno celkem: 938 599 grafických souborů z čehož tzv. rastrových, zájmových, 937 575 souborů Vzhledem k tomu, že jednotlivé typy rastrových souborů mohou být zájmovými soubory, byly tyto dále roztříděny zejména na grafické rastrové soubory typů: JPG – běžně fotografie z digitální techniky nalezeno 768 494 souborů JPG s EXIF informací, fotografie, soubory s informací původu (jaká technika fotografie fotografii vytvořila) nalezeno 22 154 souborů

85

PNG – grafické soubory používané na Internetu nalezeno 88 249 souborů BMP – grafické soubory běžně používaný pro různé účely nalezeno 25 551 souborů V rámci analýzy též byly zjištěny další typy souborů jako např. ICO, atd. Tyto zcela zjevně neobsahují zájmové informace. Dále analýzou obsahu bylo zjištěno, že v případě shora uvedených typů PNG a BMP se jedná o soubory, které obsahují grafické informace aplikačních software. Nejedná se tedy o zájmové soubory a tedy bylo upuštěno od jejich dokumentace. Ve vztahu ke shora uvedeným souborům typu JPG je možno konstatovat, že tyto zcela zjevně mohou obsahovat relevantní informace. V rámci zkoumání však nepřísluší znalci hodnotit obsahovou stránku a relevantnost uživatelsky vytvořených souborů. Z tohoto důvodu byly zadokumentovány veškeré soubory tohoto typu. Jedná se o veškeré soubory, které byly zjištěny, tedy i o soubory, které byly obnoveny, rekonstruovány, ze smazaných souborů, tvořily náhled jiných souborů apod. Z důvodu možného usnadnění vyhodnocení policejním orgánem byly vyčleněny, samostatně zadokumentovány soubory, které byly vytvořeny digitální technikou typu fotoaparát, videokamera, mobilní telefon apod. Jedná se o soubory, které byly označeny jako JPG s EXIF. Dle vizuální kontroly je zcela zjevné, že tyto obsahují zájmové grafické informace. V rámci dokumentace veškerých souborů typu JPG je nutné také konstatovat, že došlo k dokumentaci veškerých souborů také z důvodu, kdy uživatel informace EXIF může softwarovými prostředky odstranit.

4.1.5

Analýza video souborů

Na základě provedené analýzy za účelem zajištění a dokumentace video souborů bylo zjištěno: •

1 159 multimediálních souborů typu video ◦ z čehož: ◦ 141 video souborů typu Flash ◦ 256 video souborů typu MPEG4 ◦ 2 video soubory typu MPEG 1.0 86

◦ 162 video souborů typu MPEG 2.0 ◦ 262 video souborů typu AVI ◦ 111 video souborů typu WMV (Windows media video)

Provedenou analýzou umístění těchto souborů však bylo zjištěno, že se jedná o video sekvence příslušící k aplikačnímu software a tedy se zcela zjevně nejedná o zájmové soubory. Na základě této skutečnosti nebyla provedena další dokumentace.

4.1.6

Analýza datové oblasti se zaměřením na internetovou historii

Na základě požadavku zjištění historie zejména komunikačních prostředků na Internetu bylo nutno provést analýzu veškerých prostředků, za pomocí kterých docházelo ke komunikaci na Internetu. Na základě těchto skutečnosti došlo k prověření historie těchto prostředků na základě základních databázových souborů, pomocných souborů, a to jak na úrovni tzv. platných souborů, uživatelsky přístupných, tak na úrovni smazaných souborů. Tyto byly, jak dříve uvedeno, obnoveny a následně analyzovány. Dále byla provedena analýza existence informací uložených v dočasných souborech operačního systému Microsoft Windows. Taktéž bylo nutno prověřit, zda se v tzv. nealokované oblasti pevného disku nenachází fragmenty komunikace. V rámci těchto analýz tedy byly zjišťovány následující informace, které jsou specifické vždy pro jednotlivé komunikační služby: 1. historie internetových prohlížečů (zejména komunikace na sociální síti Facebook, navštívené internetové stránky) 2. historie chat aplikací (ICQ, Skype, apod.) 3. historie emailové komunikace 4.1.6.1

Analýza chat komunikace

Na základě provedené analýzy předložené techniky nebylo zjištěno, že by uvedená technika za využití uvedeného pevného disku se účastnila chat komunikace.

4.1.6.2

Analýza činnosti na sociální síti Facebook

Na základě provedené analýzy činnosti na sociální síti, která byla provedena forenzním nástrojem Internet Evidence Finder byla zjištěna aktivita prohlížení internetových 87

stránek profilu sociální sítě Facebook a dále též chat komunikace za využití této technologie, sociální sítě.. Tyto informace jsou zadokumentovány ve společném reportu internetové historie.

4.1.6.3

Analýza emailové komunikace

Na základě provedené analýzy, která byla provedena za využití forenzního nástroje FTK Forensic Toolkit, bylo zjištěno, že uvedená technika se účastnila emailové komunikace. O tomto svědčí nalezení 776 emailový zpráv z čehož 5 s přílohami. Vzhledem k tomu, že znalci nepřísluší hodnotit obsahovou stránku došlo dále k dokumentaci veškeré komunikace, která je předkládána jako datová příloha, společný výstup, report nazvaný Report FTK, viz datové přílohy.

88

5 Základní dokumentace dat z přeložených stop 5.1 Dokumentace dat – MT zn. …. včetně SIM a paměťové karty Bylo provedeno zkoumání nejprve na základě prvotní analýzy typu mobilního telefonu a možnosti jeho zkoumání jednotlivými forenzními prostředky za účelem získání maximálního množství informací a to zejména se soustředěním na smazaná data došlo k několika analýzám. Těchto několik analýz bylo důležitých zejména z důvodu, že každý typ zkoumání, forenzní nástroj vykazuje určitou chybovost a to i v rámci jednoho výrobce. V rámci zkoumání tedy došlo ke zkoumání mobilního telefonu s ohledem na typ na fyzické úrovni forenzním nástrojem UFED Physical Analyzer, která je založena na analýze bitové kopie dat a tedy jsou případné smazané soubory obnovovány na základě nejen zajištěných souborů, ale též na úrovni pozůstatků informací, které jsou rekonstruovány a dokumentovány. V rámci této analýzy tedy došlo k analýze na fyzické úrovni forenzním nástrojem UFED Physical Analyzer a dále doplňkově též nástrojem, UFED Logical Analyzer, Mobil Edit Forensic 7.5 a Oxygen Forensic Suite 2013. Vzhledem ke skutečnosti, že forenzní nástroj UFED vykazoval lepší výsledky, došlo k dokumentaci pouze výsledků zkoumání tohoto forenzního nástroje a to s ohledem na to, že v ostatních výsledcích se nacházely totožné informace, avšak tyto nebyly úplné a nezahrnovaly smazané informace. Jako další součást, která byla zkoumána jednak jako součást mobilního telefonu a dále samostatně, byla zkoumána SIM karta, která byla vložena v mobilním telefonu. Vzhledem k tomu, že výsledky zkoumání forenzními nástroji, tj. UFED Physical Analyzer a Mobil Edit Forensic, jsou totožné, došlo dokumentaci pouze výsledků z produktu UFED, kdy zkoumání druhým nástrojem nebylo prováděno pro nadbytečnost. Na základě těchto analýz byly zjištěny následující dílčí výsledky zkoumání, kdy celistvé výsledky jsou z povahy a rozsahu informací předloženy jako datové přílohy.

89

5.1.1. Dokumentace dat – mobilní telefon Nokia C5-00 Na základě provedené analýzy předloženého mobilního telefonu, Nokia C5-00, která byla provedena shora uvedenými forenzními prostředky a následně byly výsledky dokumentovány forenzním nástrojem UFED, byly zjištěny tyto základní informace:

Obsah (jedná se o část reportu forenzního softwarového nástroje UFED, pozn. autora): Typ

Zahrnuto v hlášení

Cookies

6

Časová osa

1795

Historie webu

115

Instalované aplikace

12

Kontakty

35

(1 smazáno)

35

(1 smazáno)

10

(8 smazáno)

Nezařazené do kategorie MMS zprávy

(852 smazáno) (3 smazáno)

Nezařazené do kategorie

5

(5 smazáno)

Inbox

3

(3 smazáno)

Odeslané

1

Přijaté

1

Poznámky

10

Notes

10

SMS zprávy

999

(827 smazáno)

Drafts

1

Inbox

804

Koncepty

15

Odeslané

99

Přijaté

60

(2 smazáno)

Sent

20

(20 smazáno)

Webové záložky

Nezařazené do kategorie

(1 smazáno) (804 smazáno)

9 9

Zařízení Bluetooth

4

Záznamy o hovorech

707

(23 smazáno)

Incoming

142

(8 smazáno)

Missed

186

(3 smazáno)

Outgoing

377

(10 smazáno)

90

Typ

Zahrnuto v hlášení

Unknown Polohy

OVI Maps (Dropped Pins) Datové soubory

2

(2 smazáno)

10 10 1624

(209 smazáno)

Aplikace

77

(3 smazáno)

Audio

34

(33 smazáno)

Databáze

9

Konfigurace

5

Obrázky

1298

(53 smazáno)

Text

200

(119 smazáno)

Video

1

(1 smazáno)

Analytika – telefony

175

Analytika aktivit

176

5.1.2. Dokumentace dat – SIM v.č. 0709042935564CZ Na základě provedeného zkoumání SIM v.č. 0709042935564CZ bylo zjištěno, že tato obsahuje informace: Obsah (jedná se o část reportu forenzního softwarového nástroje UFED, pozn. autora): Typ

Zahrnuto v hlášení

Časová osa

12

Data SIM

7

Location Area Information

5

SIM/USIM ECC

1

SIM/USIM MSISDN

1

Kontakty

250

SIM

250

SMS zprávy

(10 smazáno)

12

(10 smazáno)

Nezařazené do kategorie

12

(10 smazáno)

SIM

12

(10 smazáno)

Záznamy o hovorech

Outgoing

10 10

Analytika – telefony

242

Analytika aktivit

258

91

5.1.3. Dokumentace dat – paměťová karta Na základě provedeného zkoumání paměťové karty byla provedena záloha do bitové kopie paměťové karty, viz následující report.

Created By AccessData® FTK® Imager 3.1.3.2

Case Information: Acquired using: ADI3.1.3.2 Case Number: Číslo případu Evidence Number: Číslo stopy Unique description: Unikátní popis paměťové karty Examiner: Jméno znalce Notes:

--------------------------------------------------------------

Information for V:\Název případu\Název stopy\Paměťová karta\1823-Z-10-KV2014 Název stopy Paměťová karta:

Physical Evidentiary Item (Source) Information: [Device Info] Source Type: Physical [Drive Geometry] Cylinders: 966 Tracks per Cylinder: 255 Sectors per Track: 63 Bytes per Sector: 512 Sector Count: 15 523 840 92

[Physical Drive Information] Drive Model: Generic Mini SD Reader USB Device Drive Serial Number: 058F63776374 Drive Interface Type: USB Removable drive: True Source data size: 7580 MB Sector count:

15523840

[Computed Hashes] MD5 checksum:

5379fa3e1b492e9c0d5ef9b1bd6aa220

SHA1 checksum: 16bc96ee1ee27f1ee34ee4b3c868a34f485e269c

Segment list: V:\Název případu\Název stopy\Název stopy.E01 V:\Název případu\Název stopy\Název stopy.E02 V:\Název případu\Název stopy\Název stopy.E03 V:\Název případu\Název stopy\Název stopy.E04 V:\Název případu\Název stopy\Název stopy.E05

Image Verification Results: Verification started: Thu Feb 27 11:30:28 2014 Verification finished: Thu Feb 27 11:34:01 2014 MD5 checksum:

5379fa3e1b492e9c0d5ef9b1bd6aa220 : verified

SHA1 checksum: 16bc96ee1ee27f1ee34ee4b3c868a34f485e269c : verified

93

6 Závěr Na základě provedené analýzy již popsaných stop byly dle požadavku vytvořeny datové výstupy s výsledky zkoumání tyto jsou následně zadokumentovány do datových příloh, jak dále uvedeno v odstavci datových příloh, kde jsou popsány i jednotlivé výstupy. V rámci jejich vyhodnocování z důvodu, že se jedná o značné množství informací ve značném množství souborů, kdy optické disky jsou pomalejší doporučuji si nejprve obsah paměťových médií CD/DVD/BR-D překopírovat na pevný disk a až následně provádět vyhodnocení. Po provedeném zkoumání vracím předložené stopy zpět v původním technickém stavu, jak popsáno v popisné části a předávacím protokolu.

94

7 Použité softwarové prostředky V rámci forenzních analýz byly využity následující forenzní a neforenzní softwarové nástroje: •

FTK Imager 3

•

FTK Forensic Toolkit 5

•

Internet Evidence Finder

•

UFED Physical Analyzer

•

UFED Logical Analyzer

•

UFED Link Analisis

•

Oxygen Forensic Suite 2013

•

Mobil Edit Forensic

•

atd.

95

8 Datové přílohy V pravém znaleckém posudku se v tomto oddíle nachází seznam datových, popř. jiných, příloh, spolu s jejich popisem a kontrolními sumami. Datové přílohy ve většině případů obsahují reporty forenzních softwarových prostředků, např. Oxygen Forensic Suite, uFED, Internet Evidence Finder či FTK Forensic Toolkit.

96

9 Znalecká doložka Znalecký posudek byl vytvořen na základě opatření

Policie České republiky Krajské ředitelství policie příslušného kraje územní odbor …......... odbor obecné kriminality SKPV adresa policejní služebny

č.j. ….......

ze dne ….......,

za pomocí veškerých dostupných vědeckých poznatků a prostředků v oblasti forenzního zkoumání informačních technologií a mezinárodních zvyklostí při řešení uvedených forenzních kroků. Znalecký posudek je evidován ve znaleckém deníku pod

č.j. …..................

Znalecký posudek byl zpracován na základě jmenování znalcem oboru Kybernetika a Elektronika Krajským soudem v ….............. č.j. …................ ze dne …......... IČO:..............

Jméno Znalce Soudní znalec v oboru Kybernetika a Elektronika člen Komory soudních znalců ČR sekce Elektronika a IT, Elektrotechnika 97