ZNALECKÝ POSUDEK. z oboru kybernetika

Ing. Jiří Berger, soudní znalec v oboru kybernetika, odvětví výpočetní technika

Ing. Jiří Berger Číslo dle znaleckého deníku: 289/71/2010 Číslo spisu: KRPM–14652/TČ–2009–140070 Znalci doručeno dne 28. července 2010 V Praze dne 7. září 2010 Výtisk číslo: 1/2 Počet listů: 12 Přílohy: 1× CD–R Policie ČR Krajské ředitelství policie Olomouckého kraje Služba kriminální policie a vyšetřování Odbor obecné kriminality 751 52 Přerov, U Výstaviště 18

ZNALECKÝ POSUDEK z oboru kybernetika odvětví výpočetní technika Já, níže podepsaný Ing. Jiří Berger, bytem Hálkova 181, Veltrusy, 277 46, okres Mělník, jako znalec specializovaný na znaleckou činnost v oboru Kybernetika – výpočetní technika, specializace Výpočetní a komunikační technika, bezpečnost informačních systémů, vydávám znalecký posudek na základě požadavku Policie České republiky: opatření ve smyslu ustanovení § 105 odst. 1 trestního řádu ve věci trestného činu vraždy dle ust. § 219 odst. 1 a § 219 odst. 2 písm. a) trestního zákona, spáchaného ve spolupachatelství dle ust. § 9 odst. 2 trestního zákona, kterého se měli dopustit obviněný Pavel Nárožný, nar. 5.6.1975 a obviněná Hana Nárožná, nar. 15.3.1946 tím, že v době od 14.30 dne 7.11.2009 do 21.30 dne 8.11.2009 v Přerově, v rodinném domě U Žebračky 108/22, fyzicky napadli v úmyslu usmrtit obyvatele tohoto domu.

1 1.1

Úvod

Popis skutku (události)

Shora uvedený útvar Policie ČR vede trestní řízení ve věci trestného činu vraždy dle ust. § 219 odst. 1 a § 219 odst. 2 písm. a) trestního zákona, spáchaného ve spolupachatelství dle ust. § 9 odst. 2 trestního zákona, kterého se měli dopustit obviněný Pavel Nárožný a obviněná Hana Nárožná. Výpočetní techniku, která může mít souvislost s šetřenou věcí, jsem přijal ke znaleckému zkoumání.

1.2

Věci, stopy a vzorky předložené ke zkoumání

1. Osobní počítač v bílé mini tower skříni bez označení, na čele s označením „Zalmanÿ. Předán v zapečetěné papírové krabici.

KRPM–14652/TČ–2009–140070

1


2. Bezdrátový router Netgear WGR614, v.č. WR62135SA070217. Předán v zapečetěné papírové obálce. 3. CD–R médium označené „KTV Přerov 77.242.86.166-11mesic.txtÿ, které obsahuje přehled komunikace IP adresy 77.242.86.166 za předmětné období získaný z KTV Přerov. 4. CD–R médium označené „KTV Přerov Nárožný internet provozÿ, které obsahuje tentýž přehled komunikace rozdělený do více souborů. Z předmětů předložených ke zkoumání byla provedena fotodokumentace, která je uvedena v příloze znaleckého posudku.

1.3

Otázky, které mají být zodpovězeny

Proveďte zkoumání počítačové jednotky označené „Zalmanÿ, zajištěné při domovní prohlídce: 1. Uveďte základní popis a určete hardwarovou konfiguraci počítačové jednotky zajištěné při domovní prohlídce. 2. Uveďte, zda se liší systémový čas od času skutečného. 3. Zadokumentujte jednotlivé uživatelské účty, které byly na počítači vytvořeny. 4. Proveďte výpis veškerého aplikačního programového vybavení z pevných disků zkoumaného počítače. 5. Zjistěte, zda byla počítačová jednotka připojena k síti Internet, pokud ano, jakým způsobem. 6. Uveďte IP adresu, přes kterou byl počítač připojen sítě Internet. 7. Zjistěte, zda byl počítač nakonfigurován pro vzdálené připojení (ovládání z jiného počítače), resp. vyjádřete se, jaký operační systém používá předložené PC obviněného a zda tento operační systém umožňuje vzdálenou správu a pokud tomu tak je, uveďte, zda byla na předloženém počítači vykonávána dálková správa. 8. Zjistěte, jaké programy pro prohlížení internetových stránek jsou v počítači nainstalovány, zadokumentujte oblíbené položky. 9. Zadokumentujte historii navštívených stránek. 10. Zjistěte, zda se v počítači nachází nějaký klient pro práci s elektronickou poštou, pokud ano, uveďte jaký a zadokumentujte jeho nastavení, včetně všech e–mailů, které se v počítači nachází. 11. V případě, že se v počítači nenachází žádný klient pro práci s elektronickou poštou, zjistěte, na jaké účty bylo z počítače přistupováno. 12. Zjistěte, zda se v počítači nachází nějaké další komunikační programy, pokud ano, jaké, zadokumentujte jejich nastavení včetně uložené komunikace. 13. Ve vztahu k výše uvedeným otázkám se pokuste rovněž obnovit smazané soubory na discích počítače. 14. Uveďte případné další skutečnosti zjištěné zkoumáním zajištěné počítačové jednotky. KRPM–14652/TČ–2009–140070

2


Proveďte zkoumání vydaného routeru zn. Netgear WGR614, v.č. WR62135SA070217: 15. Zjistěte, kterak je router nakonfigurován. 16. Zajistěte výpis logovacích souborů uložených v routeru. 17. Uveďte případné další skutečnosti zjištěné zkoumáním routeru. Z datové komunikace na CD nosiči předloženém společností Kabelová televize Přerov, a.s. proveďte zkoumání komunikace v časovém úseku od 18.15 dne 7.11.2009 do 03.45 dne 8.11.2009 a dále v časovém úseku od 22.00 dne 9.11.2009 do 00.36 dne 10.11.2009. 18. Určete, o jaký druh komunikace se jednalo (webový prohlížeč, aktualizace SW, komunikační klient atd.). 19. Uveďte případně další skutečnosti. Otázky zadané doplněním opatření ze dne 24.8.2010: 20. Zjistěte, zda byl předložený počítač (ozn. ZALMAN) spuštěn v době mezi 9.11.2009 a dnem, kdy bylo započato znalecké zkoumání počítače. 21. Byl-li počítač zapnut mezi 9.11.2009 a Vaším znaleckým zkoumáním, zjistěte, jaké soubory byly smazány či změněny v této době na obou discích. 22. Zjistěte z historie Firefoxu, jaké nicky byly používány na xchat.cz. 23. Zjistěte z historie Firefoxu s jakými nicky a kdy byla na xchat.cz zahájena komunikace v rozhodné době, tj. od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. 24. Uveďte veškeré přijaté a odeslané zprávy z ICQ klonu Miranda v době od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. 25. Uveďte, zda předložený router Netgear WGR614 ukládá přehledné logy a zda tyto byly smazány vypnutím routeru od elektřiny nebo zdali vypnutí elektřiny je nesmaže. 26. Uveďte další skutečnosti, které mohou mít význam pro trestní řízení.

2 2.1

Nález

Použité metody a prostředky

• laboratorní počítač typu PC • operační systém GNU/Linux, live distribuce System Rescue CD verze 1.2.3 • program GNU ddrescue verze 1.11 • program Foremost verze 1.5.6 • nástroj The Sleuth Kit verze 3.0.1 KRPM–14652/TČ–2009–140070

3


2.2

Zajištění dat

Z předloženého osobního počítače byl vyjmut pevný disk byl připojen k laboratornímu počítači s operačním systémem GNU/Linux. Poté byl vytvořen identický obraz tohoto disku a uložen na pevný disk laboratorního počítače. Na takto vytvořeném obrazu bylo prováděno další zkoumání. Předložený router byl připojen k napájení do izolované počítačové sítě spolu s laboratorním počítačem. Z laboratorního počítače byl spuštěn webový prohlížeč, prostřednictvím kterého bylo za použití standardního přihlašovacího jména a hesla zjištěno nastavení routeru.

2.3 2.3.1

Analýza vzorků Osobní počítač

Předložený vzorek je osobní počítač v bílé mini tower skříni bez označení, se základní deskou Acorp 7KT266AL, procesorem AMD Athlon XP 2200+ 1,8 GHz a 1 GB RAM. V počítači je osazena přídavná grafická karta nVidia GeForce FX 5600XT a síťová karta Realtek 8139. Je instalován jeden pevný disk Seagate, model ST3200822A, o kapacitě 200 GB. Dále je instalována DVD-RW mechanika NEC, šuplík pro pevný disk ATA, 3,5” disketová mechanika a čtečka paměťových karet. Žádné vyjímatelné médium není vloženo. Nastavení. Pevný disk počítače je rozdělen na dva oddíly. Na prvním, o velikosti 2 GB, je nainstalován operační systém Microsoft Windows 2000 Professional a je zde část uživatelských dat. Druhý, o velikosti 198 GB, obsahuje uživatelská data. Počítač používal pouze uživatel „Administratorÿ, který se naposledy přihlásil dne 26.11.2009. Nastavený systémové datum a čas odpovídají místnímu času, operační systém má nastaveno časové pásmo pro střední Evropu. Počítač byl připojen do domácí počítačové sítě, kde měl přidělenu IP adresu 192.168.0.2, pro připojení k síti Internet pravděpodobně využíval předložený router (IP adresa 192.168.0.1). Více o připojení je uvedeno v kapitole 2.3.2. Uživatel pravděpodobně vlastní více počítačů, jak bylo zjištěno z nalezeného odkazu na http:// trodas.wz.cz/c.htm (viz soubor pc/pocitace.html v příloze znaleckého posudku), dle kterého je možné, že zkoumaný počítač není jediným počítačem v domácnosti. Možná také nejde o hlavní počítač, čemuž nasvědčuje vedle uvedeného seznamu (kde je tento podle konfigurace nazván „PC duronÿ) i popis „77.242.86.166 – trodas u matiÿ, nalezený v nastavení software pro webová diskuzní fóra, a také nalezený odkaz http://192.168.0.6/trodas/ib/index.php?act=ST&f=5&t=53, který zřejmě směřuje na jiný počítač v domácí síti (v dokumentu D:/Install/netgear.cfg.txt nazvaný „serverÿ). Software.

Následující seznam uvádí veškerý nalezený software instalovaný na předloženém počítači.

ACDsee AC3 ACM Codec AC3 Filter Adobe Illustrator Adobe Photoshop 6.0 Alcohol 120 Audacity AudioGrabber AVI Mux BS Player

KRPM–14652/TČ–2009–140070

BulletProof FTP Server Call of Duty CCleaner CD Bremse CD Speed CPU Burn CPU Burn-in CPUHeat CPU Mark CPU Z

Crimson Editor Daemon Tools DISCInfo Diskeeper Professional Edition DriveImage DriveSpeed Duke Nukem 3D DVDdecrypter DVDInfo Pro DVD Subber

4


EasyRecovery Easy Video Joiner 5.21 eMule 0.49.2 FinalReality FlashFXP Font Creator FreeRapid Google Earth Pro GSpot HDTach HDTune HDTV to MPEG2 HFSLIP HijackThis Chaos Pro IsoBuster Java 6 jDoom JPGAvi Lame Lavalys Everest Ultimate LightWave Macromedia Dreamweaver Malwarebytes Microsoft Windows 2000 Pro Miranda 0.8.0 Modbin Mozilla Firefox 3.0.14

MP3 Direct Cut MP3 Gain Need for Speed 5 Nero Burning ROM NoClone Opera 9.02 Paint Shop Pro Prime 95 PureVideo QuickTime Alternative QTracker QuarkXPress RealAlternative RegSeeker 1.52 RepairVideo ResHacker ReStream 0.9.0 RightMark Audio RightMark 3D Sound Rootki Hook Analyzer Rootkit Revealer Routi 0.03 RunScanner ScreenGrab Skype 3.8 SmartRipper Soldier of Fortune 2 SpeedFan

SubRip SubtitleWorkshop SWiSH Max2 TestDisk TexBmp The Bat! 3.60.07 TMPGenc Tor 0.2.0.34 TouchStone Software Undelete Plus UFO: X-COM Undelete Plus 2.94 uTorrent 1.6.1 Video Fixer VID Thumbnailer Virtual Dub Virtual Dub Mod VisualRoute VLC Player WinAMP WinCMD InterVideo WinDVD Platinum 5 WinGED 2000 WinISO WMV Join Xara Studio XL View XVI32 7Zip

Webové stránky. Hlavním webovým prohlížečem uživatele byl Mozilla Firefox, méně pak Microsoft Internet Explorer a Opera. Historie navštívených stránek ze všech těchto prohlížečů zahrnuje období od 29.10. do 26.11.2009, záznamy jiných období nebyly nalezeny. Uložené webové stránky, které si prohlížeč průběžně ukládá (tzv. cache), byly při posledním přihlášení uživatele dne 26.11.2009 odstraněny a jejich původní obsah před tímto datem se nepodařilo obnovit. Pro přístup k elektronické poště používal uživatel aplikaci The Bat!, kde bylo nalezeno nastavení pro účty [email protected], [email protected], [email protected] a [email protected]. Zde byla nalezena pouze jediná zpráva (viz pc/e-mail.eml v příloze znaleckého posudku). Uživatel dále přistupoval prostřednictvím webového rozhraní ke schránkám [email protected], [email protected] a [email protected]. Zprávy z těchto schránek nebyly nalezeny. V nastavení komunikace v síti AIM měl vyplněnu adresu [email protected] a v síti MSN adresu trodas [email protected], dle nalezených informací však tyto schránky nevyužíval. Komunikace. Uživatel komunikoval v síti Skype (účet „trodasÿ) a prostřednitcvím aplikace Miranda v síti ICQ (účet 144990310 „trodasÿ), zajištěná historie komunikace byla převedena do formátu HTML a je uvedena v příloze znaleckého posudku. Dále v této aplikaci komunikoval v sítích AIM (účet „angrytrodasÿ) a MSN (účet „trodasÿ, byly zajištěny jen kontakty). Uživatel také komunikoval v síti IRC prostřednictvím aplikace mIRC, kde pravděpodobně vystupoval pod přezdívkou „trodasÿ nebo „trodas41ÿ, nebyly však nalezeny žádné záznamy komunikace. Vedle toho také uživatel aktivně vystupoval na fóru xchat.centrum.cz. Nebyly zjištěny přezdívky, pod

KRPM–14652/TČ–2009–140070

5


kterými zde uživatel vystupoval, od 18.15 dne 7.11. byl dle zajištěné historie navštívených webových stránek pouze v místnosti č. 5136824, nazvané „Submise a dominanceÿ. Zde vedl hovor s několika uživateli: datum a čas 7.11. 18:24:38 7.11. 18:45:33 7.11. 19:15:24 7.11. 19:59:24 7.11. 20:42:50 7.11. 21:15:52 7.11. 21:50:32 7.11. 22:11:21 7.11. 23:02:20 8.11. 01:19:07

přezdívka tva komteska dyduskaa lucinka666 martina1710 lu na zuja lucygirl chytra jak radio maariquita 72radka72

datum a čas 7.11. 18:33:51 7.11. 18:57:18 7.11. 19:34:19 7.11. 20:35:48 7.11. 20:43:16 7.11. 21:20:56 7.11. 22:02:19 7.11. 22:32:24 7.11. 23:55:44 8.11. 03:07:45

přezdívka beatk4 terezka-a fergie.ska yvik35 neposednazrzecka theodor.a.adorno male.zvire renina apocalypta macinka86

Aktivita v zájmovém období. Po zájmovém datu 9.11.2009 byl, na základě analýzy systémového záznamu, počítač spouštěn ve dnech 10.11., 13.11., 25.11. a 26.11.2009. Pokud došlo k posunutí systémového času zpět do minulosti, není možné tuto skutečnost jednoznačně prokázat a uvedené údaje mohou být zkreslené. Vzhledem k nalezeným informacím je však posunutí času nepravděpodobné. Analýzou souborového systému byly v tomto období zjištěny následující změny souborů. Nebyly zjištěny žádné významné změny ani mazání důležitých dat. datum a čas 10.11. 13.11.

25.11.

26.11.

aktivita návštěva osobního seznamu odkazů (C:/Temp/) instalace software Undelete Plus pro obnovu smazaných souborů smazání návrhu blíže neurčených webových stránek (obrázky a stránky v PHP) prohlížení webu (Mozilla Firefox) spuštění aplikace QuickTime pro prohlížení video souborů spuštění aplikace eMule pro sdílení souborů v síti Internet prohlížení webu (Mozilla Firefox) spuštění aplikace eMule pro sdílení souborů v síti Internet spuštění aplikace Google Earth prohlížení webu (Mozilla Firefox)

V záznamu webového prohlížeče jsou z těchto dnů následující informace. Ty lze vzhledem k aktivitě uživatele v jiných dnech hodnotit jako nestandardní. datum a čas 13.11. 08:28 13.11. 09:03 13.11. 09:34 25.11. 12:51 26.11. 09:36 26.11. 09:46 26.11. 09:56 26.11. 10:22

aktivita přístup k aplikaci Google Earth prohlédnutí seznamu počítačů (viz pc/pocitace.html v příloze) hledání „Přerov, Malá tratidlaÿ na www.mapy.cz prohlédnutí seznamu počítačů z externího média (H:/zaloha/Documents/trodas/) návštěva osobního seznamu odkazů D:/Documents/HomePage/ hledání „Sadové náměstí 19, Olomoucÿ na amapy.centrum.cz a amapy.atlas.cz prohlédnutí dvou fotografií na fotoalba.centrum.cz návštěva osobního seznamu odkazů

Další zjištění. Velké množství uživatelských dat tvoří pornografické materiály s BDSM tématikou, z nalezené elektronické komunikace pak vyplývá, že se uživatel o toto téma aktivně zajímal. Část těchto dat je uvedena v příloze znaleckého posudku. KRPM–14652/TČ–2009–140070

6


2.3.2

Router

Po spuštění routeru byla z jeho webového rozhraní (přístupného na základě hesla poskytnutého obviněným) zjištěna veškerá dostupná nastavení, viz obrázky jednotlivých obrazovek v adresáři router v příloze znaleckého posudku. Zde bylo zjištěno, že router používá pro vnější rozhraní privátní IP adresu 10.0.3.138 a vnější veřejnou IP adresu tedy spojení přiděluje až poskytovatel připojení k síti Internet. Nastavení routeru je standardní, TCP a UDP porty 65335–65534 jsou propouštěny do vnitřní sítě na IP adresu 192.168.0.2, která odpovídá výše zkoumanému osobnímu počítači. Využití těchto portů je diskutováno dále v kapitole 2.3.3. Bezdrátové rozhraní routeru je vypnuto, přistupovat k routeru tedy mohou pouze počítače připojené prostřednictvím pevné počítačové sítě. Veškeré záznamy routeru jsou při jeho vypnutí vymazány, protože jsou ukládány do takového typu paměti, který vyžaduje trvalé napájení. Informace z doby zajištění routeru tedy nejsou k dispozici. Vytvářené záznamy navíc obvykle neobsahují kompletní výpis spojení, aby nedošlo k přeplnění paměti, ale pouze zachycují výjimečné stavy. Z mnoha indicií nalezených na zkoumaném osobním počítači vyplývá, že veřejnou IP adresou uživatele je pravděpodobně 77.242.86.166, která patří společnosti Kabelová televize Přerov, a.s. 2.3.3

Internetový provoz

Předložený výpis síťového provozu IP adresy 77.242.86.166 zahrnuje obě zájmová období, tedy 7.11.2009 18.15 až 8.11.2009 03.45 a 9.11.2009 22.00 až 10.11.2009 00.36. Některý z počítačů v této domácnosti, nebo alespoň router, byl v této době zapnutý. Dle nalezených informací byl pravděpodobně zapnutý právě zkoumaný osobní počítač. Velké množství spojení probíhá na UDP portu 65534 a TCP portu 65533. Na těchto portech byl spuštěn software eMule, který slouží pro výměnu souborů mezi uživateli Internetu v sítích eDonkey a Kad. Na UDP portu 65510 byl dále spuštěn software uTorrent pro sdílení dat v síti BitTorrent. Obě tyto služby byly spuštěny v obou zájmových obdobích, mohou však být spuštěny a pracují aniž by musel být uživatel u počítače fyzicky přítomen. Další okruh spojení jsou přístupy k webovým stránkám na TCP portech 80 a 443. Zde uživatel přistupoval k běžným službám, jak je zřejmé i z historie navštívených webových stránek. Vedle seznam.cz, facebook.com nebo google.com navštěvoval nejvíce stránku xchat.centrum.cz, stejně jako v jiných dnech. K těmto webovým službám uživatel přistupoval po celé první z uvedených období, tedy dnech 7.–8.11. Seznam všech takto navštívených adres a serverů je uveden v příloze znaleckého posudku. Ve druhém období, tedy dnech 9.–10.11., není žádný takový přístup zaznamenán a je tedy možné, s ohledem na aktivitu uživatele v jiných dnech, že v této době nebyl u počítače vůbec přítomen (první následující záznam je ze dne 10.11. z 08.14). Některá spojení jsou charakteru pokusu o průnik do počítače ze sítě Internet, většinou jsou realizovány jedním datovým paketem obsahujícím žádost o navázání komunikace. Takovéto pokusy jsou v provozu sítě Internet běžné a nevypovídají nic o aktivitě uživatele. O zbývajících přibližně 300 spojeních se nepodařilo zjistit nic bližšího, jde o přenos dat na velkém množství nestandardních TCP a UDP portů na mnoho různých počítačů. Uživatel byl naposledy dne 8.11.2009 připojen do anonymizační sítě Tor, která může vykazovat podobné chování a mohlo by to být vysvětlením provozu v prvním zájmovém období. O původu komunikací ve druhém zájmovém KRPM–14652/TČ–2009–140070

7


období není nic známo.

3 3.1

Závěr

Obsah přiloženého CD–R média

CD–R médium, které je přílohou znaleckého posudku, obsahuje informace o zkoumaných vzorcích, fotodokumentaci, zajištěná data a další zjištěné informace. foto/ — fotodokumentace vzorků předaných ke zkoumání pc/ — informace získané z předloženého osobního počítače data/ — část nalezených dat s BDSM tématikou icq trodas/ — historie komunikace v síti ICQ převedená do formátu HTML skype trodas/ — historie komunikace v síti Skype převedená do formátu HTML email.eml — jediný e–mail nalezený v klientské aplikaci elektronické pošty icq 7 11 2009.html — zajištěná ICQ komunikace v požadovaném období msn kontakty.html — nalezené kontakty v síti MSN oblibene.csv — soupis oblíbených položek webového prohlížeče pocitace.html — nalezený soupis počítačů, které pravděpodobně uživatel vlastní soubory1.csv — aktuální výpis souborů z prvního oddílu pevného disku soubory2.csv — aktuální výpis souborů ze druhého oddílu pevného disku www.csv — výpis navštívených webových stránek provoz/ — informace zjištěné z výpisu síťového provozu nezname.txt — výpis neidentifikovaných spojení nezname servery.txt — výpis serverů z neidentifikovaných spojení obdobi 7-8.txt — výpis spojení v období 7.11.2009 18.15 až 8.11.2009 obdobi 9-10.txt — výpis spojení v období 9.11.2009 22.00 až 10.11.2009 00.36 www.csv — výpis navštívených webových stránek v prvním zájmovém období www servery.txt — výpis webových serverů navštívených v prvním zájmovém období router/ — informace získané z předloženého routeru netgear.cfg.txt — nalezené informace o nastavení routeru, které si uživatel vedl *.png — snímek okna webového prohlížeče s nastavením routeru posudek.pdf — znalecký posudek ve formátu PDF Soubory soubory?.csv obsahují výpis souborů ve formátu CSV (oddělováno středníkem) v kódování UTF-8 a obsahuje sloupce: datum a čas poslední změny souboru, velikost souboru, umístění souboru. Soubory www.csv obsahují výpis navštívených webových stránek. Tento výpis je ve formátu CSV (oddělováno středníkem) a obsahuje sloupce: datum a čas přístupu ke stránce, cestu (URL). Soubor oblibene.csv obsahuje výpis oblíbených položek webového prohlížeče. Tento výpis je ve formátu CSV (oddělováno středníkem) a obsahuje sloupce: datum a čas vytvoření položky, cestu (URL), název.

3.2

Odpovědi

Proveďte zkoumání počítačové jednotky označené „Zalmanÿ, zajištěné při domovní prohlídce:

KRPM–14652/TČ–2009–140070

8


1. Uveďte základní popis a určete hardwarovou konfiguraci počítačové jednotky zajištěné při domovní prohlídce. Odpověď: Předložený vzorek je osobní počítač v bílé mini tower skříni bez označení, konfigurace je uvedena výše v kapitole 2.3.1. 2. Uveďte, zda se liší systémový čas od času skutečného. Odpověď: Nastavený systémové datum a čas odpovídají místnímu času, operační systém má nastaveno časové pásmo pro střední Evropu. 3. Zadokumentujte jednotlivé uživatelské účty, které byly na počítači vytvořeny. Odpověď: Počítač využíval pouze uživatel „Administratorÿ, ten se naposledy přihlásil dne 26.11.2009. 4. Proveďte výpis veškerého aplikačního programového vybavení z pevných disků zkoumaného počítače. Odpověď: Soupis veškerého nalezeného software je uveden výše v kapitole 2.3.1. 5. Zjistěte, zda byla počítačová jednotka připojena k síti Internet, pokud ano, jakým způsobem. Odpověď: Předložený osobní počítač přistupoval k síti Internet, a to prostřednictvím předloženého routeru připojeného v domácí počítačové síti. 6. Uveďte IP adresu, přes kterou byl počítač připojen sítě Internet. Odpověď: Počítač byl připojen do domácí počítačové sítě, kde měl nastavenu privátní IP adresu 192.168.0.2. K síti Internet přistupoval prostřednictvím předloženého routeru, který využíval privátní IP adresu 10.0.3.138. Přidělení veřejné IP adresy tedy dělá až poskytovatel připojení k síti Internet. 7. Zjistěte, zda byl počítač nakonfigurován pro vzdálené připojení (ovládání z jiného počítače), resp. vyjádřete se, jaký operační systém používá předložené PC obviněného a zda tento operační systém umožňuje vzdálenou správu a pokud tomu tak je, uveďte, zda byla na předloženém počítači vykonávána dálková správa. Odpověď: Nainstalovaný operační systém neumožňuje vzdálenou správu a nebyl nalezen ani žádný další software, který by vzdálenou správu umožňoval. 8. Zjistěte, jaké programy pro prohlížení internetových stránek jsou v počítači nainstalovány, zadokumentujte oblíbené položky. Odpověď: Uživatel používal především prohlížeč Mozilla Firefox, méně pak Microsoft Internet Explorer a Opera. Výpis oblíbených položek je uveden v příloze znaleckého posudku v souboru pc/oblibene.csv. 9. Zadokumentujte historii navštívených stránek. Odpověď: Nalezená historie navštívených stránek zahrnuje období od 29.10.2009 do zajištění počítače dne 26.11.2009 a je uvedena v příloze znaleckého posudku v souboru pc/www.csv. 10. Zjistěte, zda se v počítači nachází nějaký klient pro práci s elektronickou poštou, pokud ano, uveďte jaký a zadokumentujte jeho nastavení, včetně všech e–mailů, které se v počítači nachází. Odpověď: Uživatel používal aplikaci The Bat!, kde bylo nalezeno nastavení pro účty [email protected], [email protected], [email protected] a [email protected]. Byla zde nalezena pouze jediná zpráva.

KRPM–14652/TČ–2009–140070

9


11. V případě, že se v počítači nenachází žádný klient pro práci s elektronickou poštou, zjistěte, na jaké účty bylo z počítače přistupováno. Odpověď: Uživatel používal pro několik účtů aplikaci The Bat!, prostřednictvím webového prohlížeče pak přistupoval ke schránkám [email protected], [email protected] a [email protected]. Zprávy z těchto schránek nebyly nalezeny. 12. Zjistěte, zda se v počítači nachází nějaké další komunikační programy, pokud ano, jaké, zadokumentujte jejich nastavení včetně uložené komunikace. Odpověď: Uživatel používal aplikace Miranda pro komunikaci v sítích ICQ (účet 144990310 „trodasÿ), MSN (účet „trodasÿ) a AIM (účet „angrytrodasÿ), dále mIRC pro komunikaci v síti IRC (přezdívka „trodasÿ) a Skype (účet „trodasÿ). Historie komunikace, kterou se podařilo zajistit, je uvedena v příloze znaleckého posudku. 13. Ve vztahu k výše uvedeným otázkám se pokuste rovněž obnovit smazané soubory na discích počítače. Odpověď: Výše uvedené závěry vycházejí z existujících souborů a i dat, která se podařilo obnovit. 14. Uveďte případné další skutečnosti zjištěné zkoumáním zajištěné počítačové jednotky. Odpověď: Uživatel pravděpodobně vlastní a provozuje více počítačů, viz soubor pc/pocitace.html v příloze znaleckého posudku. Dále uživatel uchovával velké množství pornografických materiálů s BDSM tématikou, z nalezené elektronické komunikace pak vyplývá, že se o toto téma zajímal. Část těchto dat je uvedena v příloze znaleckého posudku. Proveďte zkoumání vydaného routeru zn. Netgear WGR614, v.č. WR62135SA070217: 15. Zjistěte, kterak je router nakonfigurován. Odpověď: Router je nakonfigurován pro přístup výhradně pomocí pevné počítačové sítě. IP adresa jeho vnějšího rozhraní je privátní 10.0.3.138 a veřejnou IP adresu tedy přiděluje až poskytovatel připojení k síti Internet. TCP/UDP porty 65335–65534 jsou propouštěny do vnitřní sítě na IP adresu 192.168.0.2, která patří zkoumanému osobnímu počítači. Na těchto portech uživatel např. sdílel data v sítích eDonkey a BitTorrent. 16. Zajistěte výpis logovacích souborů uložených v routeru. Odpověď: Při vypnutí routeru jsou veškeré záznamy vymazány a nebyly tak po jeho zapnutí k dispozici. 17. Uveďte případné další skutečnosti zjištěné zkoumáním routeru. Odpověď: Nebyly zjištěny žádné další relevantní skutečnosti. Z datové komunikace na CD nosiči předloženém společností Kabelová televize Přerov, a.s. proveďte zkoumání komunikace v časovém úseku od 18.15 dne 7.11.2009 do 03.45 dne 8.11.2009 a dále v časovém úseku od 22.00 dne 9.11.2009 do 00.36 dne 10.11.2009. 18. Určete, o jaký druh komunikace se jednalo (webový prohlížeč, aktualizace SW, komunikační klient atd.). Odpověď: Rozbor jednotlivých komunikací je uveden výše v kapitole 2.3.3. Z něj vyplývá, že přestože byl zkoumaný osobní počítač zapnutý, uživatel u něj ve druhém zájmovém období pravděpodobně nebyl, narozdíl od prvního období, vůbec přítomen. KRPM–14652/TČ–2009–140070

10


19. Uveďte případně další skutečnosti. Odpověď: Nebyly zjištěny žádné další relevantní skutečnosti. Otázky zadané doplněním opatření ze dne 24.8.2010: 20. Zjistěte, zda byl předložený počítač (ozn. ZALMAN) spuštěn v době mezi 9.11.2009 a dnem, kdy bylo započato znalecké zkoumání počítače. Odpověď: Předložený počítač byl dle systémového záznamu spouštěn ve dnech 10.11., 13.11., 25.11. a 26.11.2009. 21. Byl-li počítač zapnut mezi 9.11.2009 a Vaším znaleckým zkoumáním, zjistěte, jaké soubory byly smazány či změněny v této době na obou discích. Odpověď: V této době byl spouštěn webový prohlížeč, přehrávač video souborů nebo sdílení souborů v síti Internet. Byl také nainstalován software pro obnovu smazaných souborů. Z uživatelských dat byl upraven a archivován osobní seznam odkazů (rozcestník na různé webové stránky) a smazán blíže neurčený návrh webových stránek. 22. Zjistěte z historie Firefoxu, jaké nicky byly používány na xchat.cz. Odpověď: Nebyly zjištěny přezdívky, pod kterými uživatel na serveru vystupoval. 23. Zjistěte z historie Firefoxu s jakými nicky a kdy byla na xchat.cz zahájena komunikace v rozhodné době, tj. od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. Odpověď: Uživatel byl v tomto období výhradně v místnosti „Submise a dominanceÿ, kde vedl hovor s celkem 20ti uživateli, viz seznam včetně časů uvedený výše. 24. Uveďte veškeré přijaté a odeslané zprávy z ICQ klonu Miranda v době od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. Odpověď: Z uvedeného období bylo zajištěno pouze 22 zpráv, které jsou v příloze znaleckého posudku uvedeny samostatně vedle celé zajištěné historie komunikace. 25. Uveďte, zda předložený router Netgear WGR614 ukládá přehledné logy a zda tyto byly smazány vypnutím routeru od elektřiny nebo zdali vypnutí elektřiny je nesmaže. Odpověď: Veškeré záznamy routeru jsou při jeho vypnutí vymazány, protože jsou ukládány do takového typu paměti, který vyžaduje trvalé napájení. Vytvářené záznamy navíc obvykle neobsahují kompletní výpis spojení, aby nedošlo k přeplnění paměti, ale pouze zachycují výjimečné stavy. 26. Uveďte další skutečnosti, které mohou mít význam pro trestní řízení. Odpověď: Nebyly zjištěny žádné další relevantní skutečnosti. Znalecký posudek jsem podal jako znalec jmenovaný rozhodnutím Krajského soudu v Praze ze dne 20.6.2007 č.j. spr. 4127/2005 pro základní obor kybernetika, pro odvětví výpočetní technika se specializací výpočetní a komunikační technika, bezpečnost informačních systémů. Znalecký úkon je zapsán pod pořadovým číslem 289/71/2010 znaleckého deníku. Znalečné a náhradu nákladů účtuji podle připojené likvidace. Zkoumání provedl a znalecký posudek zpracoval:

KRPM–14652/TČ–2009–140070

11


Ing. Jiří Berger soudní znalec v oboru kybernetika, odvětví výpočetní technika

KRPM–14652/TČ–2009–140070

12

ZNALECKÝ POSUDEK. z oboru kybernetika

Recommend Documents