Postopki digitalne forenzike in zagotavljanje integritete podatkov · 2017-11-28 · Digitalna...
Transcript of Postopki digitalne forenzike in zagotavljanje integritete podatkov · 2017-11-28 · Digitalna...
DIPLOMSKO DELO
Postopki digitalne forenzike in zagotavljanje integritete podatkov
Marec, 2014 Matjaž Škraba
DIPLOMSKO DELO VISOKOŠOLSKEGA STROKOVNEGA ŠTUDIJA
Varnost in policijsko delo
Postopki digitalne forenzike in zagotavljanje integritete podatkov
Marec, 2014 Matjaž Škraba
Mentor: doc. dr. Igor Bernik
2
ZAHVALA
Zahvaljujem se mentorju dr. Igorju Berniku za
nudeno strokovno pomoč pri pripravi
diplomskega dela ter družini in sodelavcem, ki
so mi nudili nesebično podporo in spodbudo.
Vsem iskrena hvala!
3
Kazalo vsebine dela
1 Uvod .......................................................................................... 7
1.1 Predstavitev problema in ciljev diplomskega dela .............................. 7
1.2 Uporabljene metode raziskovanja ................................................. 8
1.3 Postavitev predpostavk .............................................................. 8
2 Digitalna forenzika ......................................................................... 9
2.1 Digitalni dokazi ...................................................................... 10
2.2 Postopki digitalne forenzike ....................................................... 12
2.2.1 Pravna osnova za izvedbo postopkov ....................................... 13
2.2.2 Principi in standardi digitalne forenzike ................................... 18
2.2.3 Metodologija in postopki digitalne forenzike .............................. 21
2.2.4 Oprema za izvajanje postopkov digitalne forenzike...................... 23
2.2.5 Postopek zavarovanja podatkov elektronske naprave .................... 28
2.2.6 Postopek preiskave elektronske naprave ................................... 30
2.2.7 Statistični pregled števila postopkov digitalne forenzike ................ 33
2.3 Zagotavljanje integritete podatkov .............................................. 34
2.3.1 Enosmerne kriptografske zgoščevalne funkcije ........................... 36
2.3.2 Pomanjkljivosti zgoščevalnih funkcij ....................................... 40
2.3.3 Programska orodja za izračun zgoščenih vrednosti ....................... 43
2.3.4 Drugi načini zagotovitve integritete podatkov ............................ 45
2.3.5 Zagotavljanje integritete v fazi zavarovanja podatkov .................. 46
2.3.6 Zagotavljanje integritete v fazi preiskave elektronske naprave ........ 48
3 Primer izvedbe postopka ................................................................. 50
4 Razprava in predlogi ...................................................................... 52
4.1 Preverjanje predpostavk ........................................................... 54
5 Zaključek ................................................................................... 56
6 Uporabljeni viri ............................................................................ 57
7 Priloge ...................................................................................... 61
4
Kazalo slik
Slika 1: Naprava za preprečevanje zapisovanja podatkov................................. 24
Slika 2: Programski vmesnik programa X-Ways Forensics ................................. 26
Slika 3: Število postopkov digitalne forenzike .............................................. 34
Slika 4: Blokovni diagram kriptografske zgoščevalne funkcije ............................ 37
Slika 5: Računska zahtevnost enosmerne funkcije ......................................... 39
Slika 6: Vsebini priporočilnega pisma in odredbe........................................... 41
Slika 7: Prikaz različnih zgoščenih vrednosti priporočilnega pisma in odredbe ........ 42
Slika 8: Primer kolizije MD5 v izvršilni datoteki ............................................ 43
Slika 9: Primerjava zgoščenih vrednosti pri izdelavi identične kopije podatkov ....... 47
5
POVZETEK
Diplomsko delo opisuje temeljne postopke digitalne forenzike, vključno z
relevantnimi pravnimi predpisi, strokovnimi principi, standardi in metodologijo
digitalne forenzike. Pri tem sta opredeljeni programska in strojna oprema za
izvajanje digitalno-forenzičnih opravil ter oba glavna procesna postopka postopek
zavarovanja podatkov in postopek preiskave elektronske naprave. Prav tako so
predstavljeni načini zagotavljanja integritete podatkov, ki temeljijo predvsem na
uporabi ustrezne programske opreme za izračun kontrolne zgoščene vrednosti.
Zadnja je rezultat uporabe različnih zgoščevalnih funkcij, ki za to opravilo niso enako
primerne. V nekaterih so bile namreč odkrite pomanjkljivosti, ki vplivajo na nivo
zagotovljene integritete podatkov.
Pri sodnih postopkih je namreč bistveno, da se ugotovi resnica oziroma dejansko
stanje, kar se ugotavlja na osnovi veljavnih dokazov. Pri elektronskih napravah so to
digitalni podatki, ki jih je treba ustrezno zavarovati in preiskati, pri tem pa tudi
zagotavljati njihovo integriteto. Zadnje je eno od pomembnejših zagotovil, da so
tako pridobljeni dokazi na sodiščih sprejeti kot veljavni. Postopki, ki so izvedeni
nedosledno, nestrokovno in v nasprotju z zakonskimi določili, namreč posledično
privedejo do neveljavnih digitalnih dokazov, s katerimi običajno ni možno dokazovati
dejanskega stanja.
Opisana tematika je ponazorjena na praktičnem primeru izvedbe celotnega postopka
preiskave elektronske naprave, ki vključuje tudi predhodni postopek zavarovanja
podatkov, ter izdelavi pripadajoče dokumentacije zapisnika o zavarovanju
podatkov elektronske naprave in zapisnika o preiskavi elektronske naprave.
Ključne besede: postopki digitalne forenzike, digitalni dokazi, zagotavljanje
integritete podatkov
6
SUMMARY – Digital forensics procedures and data integrity
assurance
The present thesis describes the fundamental procedures of digital forensics,
including the relevant legal regulations, professional principles, standards and
methodology of digital forensics. It defines the software and hardware for performing
digital forensic tasks and the two main procedural processes - the process of data
acquisition and the process of electronic device investigation. It also presents the
methods of data integrity assurance, primarily based on the use of appropriate
software for the calculation of concentrated control values. Control values are the
result of using different hash functions, which are however not equally suited for this
task. Some functions have shown deficiencies that affect the level of guaranteed
data integrity.
In court proceedings, it is essential to establish the truth and actual facts, which are
determined on the basis of the evidence presented. In the case of electronic devices,
the evidence is digital data, which have to be properly acquired and investigated,
while ensuring their integrity. This is one of the most important assurances that the
evidence obtained in this way will be admissible in court. Procedures that are carried
out inconsistently, unprofessionally and in violation with the law consequently lead
to inadmissible digital evidence, based on which it is usually impossible to prove the
actual facts.
The described topic is presented with a practical example of the whole process of
electronic device investigation, including the pre-litigation process of data
acquisition, and the creation of the associated documentation – the report of
electronic device data acquisition and the report of electronic device investigation.
Keywords: digital forensics procedures, digital evidence, data integrity assurance
7
1 Uvod
Sodobna družba je močno prepletena z informacijsko tehnologijo, saj praktično vsak
uporablja mobilni telefon, osebni računalnik in internetno omrežje. S tovrstno
uporabo se v kibernetski prostor prenašajo informacije, ki so pogosto pomembne tudi
v raznih sodnih postopkih. Zakonodajalec je zato predpisal način pridobivanja in
preiskovanja tovrstnih podatkov, ki temelji na postopkih digitalne forenzike. Da bi
bili tako pridobljeni podatki na sodišču sprejemljivi kot veljavni (digitalni) dokaz, je
treba poleg pravnih določil upoštevati tudi strokovne principe, načela, standarde in
metodologije digitalne forenzike. Eno od predpisanih opravil zakonodajalca je tudi
izračun kontrolne zgoščene vrednosti, s katerim se zagotavlja integriteta podatkov.
1.1 Predstavitev problema in ciljev diplomskega dela
Namen diplomskega dela je predstavitev temeljnih postopkov digitalne forenzike, s
poudarkom na opravilih zagotavljanja integritete podatkov. Postopki, ki niso izvedeni
skladno z določili zakonodaje in ne upoštevajo strokovnih principov, načel,
standardov ter metodologije digitalne forenzike, privedejo do neveljavnega dokaza
oziroma dokaza s pomanjkljivo dokazno vrednostjo, kar na sodiščih predstavlja
problem pri ugotavljanju dejanskega stanja.
Ključnega pomena pri zagotavljanju veljavnosti digitalnih dokazov je zahteva
zakonodajalca po zagotavljanju integritete podatkov. Zadnje se izvede z izračunom
kontrolne zgoščene vrednosti podatkov, pri tem pa se uporabljajo različne
enosmerne kriptografske zgoščevalne funkcije, ki niso enako primerne za tovrstno
uporabo, saj so bile v nekaterih odkrite pomanjkljivosti. S primerjavo značilnosti in
odkritih pomanjkljivosti v omenjenih funkcijah bo izvedena opredelitev primernosti
uporabe le-teh za zagotavljanje integritete podatkov. To je namreč postopek, ki se
na osnovi določil zakonodajalca opravlja ob izdelavi istovetne kopije podatkov
oziroma v fazi postopka zavarovanja podatkov elektronske naprave. Na osnovi
ugotovitev pri primerjavi različne opreme in metod izdelave istovetne kopije
podatkov bo opravljena opredelitev najprimernejših rešitev. S strokovno
utemeljitvijo bo opravljena tudi opredelitev pomembnosti zagotavljanja integritete
podatkov v fazi celotnega postopka, torej tudi v fazi preiskave elektronske naprave.
Za dosego ciljev bo izvedena analiza postavljenih predpostavk. Predstavljene
8
ugotovitve in rezultate bo možno upoštevati pri nadaljnjih postopkih na tem področju
dela.
1.2 Uporabljene metode raziskovanja
V diplomskem delu bomo uporabili deskriptivno ali opisno metodo raziskovanja.
Podatke za izdelavo diplomskega dela bomo pridobili predvsem iz proučevanja
obstoječe strokovne literature domačih in tujih avtorjev, znanstvenih razprav,
strokovnih člankov, internetnih virov in relevantnih pravnih aktov. Uporabili bomo
tudi opazovanje z udeležbo na osnovi lastnih praktičnih izkušenj s področja
informacijskih tehnologij in digitalne forenzike. V prvem delu diplomskega dela bomo
tako predstavili teoretični del obravnavane tematike z uporabo relevantne strokovne
in znanstvene literature, medtem ko bomo v drugem delu analizirali, medsebojno
primerjali ter interpretirali pridobljene ugotovitve, ki temeljijo tudi na lastnih
praktičnih izkušnjah.
1.3 Postavitev predpostavk
V diplomskem delu bomo preverjali naslednje predpostavke:
P1: Digitalne podatke, ki imajo integriteto zagotovljeno z enosmerno kriptografsko
zgoščevalno funkcijo, je možno poneveriti.
P2: Različne programske rešitve za izdelavo identične (istovetne) kopije podatkov ne
zagotavljajo enake stopnje integritete podatkov.
P3: Sočasna uporaba različnih enosmernih kriptografskih zgoščevalnih funkcij poveča
nivo zagotovljene integritete podatkov.
P4: Zagotavljanje integritete podatkov v fazi preiskovanja elektronske naprave ni
potrebno, saj je integriteta podatkov zagotovljena že v fazi zavarovanja
podatkov.
Predpostavke so preverjane z izbranimi metodami raziskovanja.
9
2 Digitalna forenzika
Digitalna forenzika je relativno nova forenzična disciplina o pridobitvi, priklicu,
ohranitvi in predstavitvi podatkov, ki so bili elektronsko procesirani in shranjeni na
digitalnem mediju (Schweitzer, 2003). Digitalna forenzika je proces identificiranja,
zavarovanja, analiziranja in predstavljanja dokazov v digitalni obliki na način, ki je
zakonsko sprejemljiv (McKemmish, 1999). Tak način vsebuje vse pomembnejše
korake v postopku izvajanja forenzike in tudi zahtevo, da je postopek opravljen na
zakoniti način. To je tisto, kar ločuje digitalno forenziko od klasičnega pregleda
digitalnih podatkov, saj je njen smisel in cilj zagotavljanje sodišču sprejemljivih
oziroma veljavnih digitalnih dokazov (Šavnik, 2012). Pri digitalni forenziki se z
uporabo znanosti in tehnologije analizirajo digitalni dogodki ter razvijajo in
preverjajo teorije, ki so sprejemljive za sodišče, da se odgovori na vprašanja v zvezi
s preteklimi dogodki (Carrier, 2005). Kot katera koli druga forenzična znanost tudi
digitalna forenzika obsega uporabo zelo izpopolnjenih tehnoloških orodij in procedur,
ki morajo biti upoštevane, da se zagotovi verodostojnost pridobljenega dokaza
(Marcella in Greenfield, 2002).
Na osnovi zapisanega lahko digitalno forenziko opredelimo kot vejo forenzične
znanosti, ki se v svoji osnovi ukvarja z zakonsko sprejemljivimi metodami analitičnih
in preiskovalnih tehnik za odkrivanje, zbiranje, ohranjanje, preiskovanje in
interpretiranje dokazov v digitalni obliki.
Digitalna forenzika tako predstavlja aplikativni pripomoček za preiskavo računalniških
sistemov in podatkovnih nosilcev, z namenom pridobitve sodišču dopustnih in
sprejemljivih dokazov (Špeh, 2011).
Uporaba digitalne forenzike je v veliko pomoč pri pridobivanju digitalnih dokazov v
različnih kazenskih in civilnih postopkih, kot npr. (Vacca, 2002; Špeh, 2011):
državni tožilci uporabljajo digitalne dokaze pri različnih kaznivih dejanjih, kjer se
lahko odkrije inkriminirana dokumentacija, vključno z umori, finančnimi
goljufijami, drogami, poneverbami in posnetki spolnih zlorab otrok;
v civilnih tožbah in pravdah, ko se lahko na računalnikih najdejo osebni ali
službeni podatki, ki so povezani z možnimi prevarami, ločitvami, diskriminacijami
in različnimi nadlegovanji;
10
zavarovalnice si lahko znižujejo stroške z dokazovanjem zavarovalniških goljufij v
okviru fiktivnih nesreč, požigov in poškodb pri delu;
družbe pogosto uporabljajo digitalne dokaze, s katerimi se preverjajo okoliščine
domnevnih spolnih nadlegovanj, poneverb, tatvin, pridobivanj poslovnih
skrivnosti in zaupnih informacij;
organi odkrivanja pogosto potrebujejo pomoč pri pripravah predlogov za
pridobitev odredb in usmeritve za ravnanje z računalniško opremo po njenem
zasegu;
pri odškodninskih zahtevkih posameznikov zaradi dokazovanja okoliščin o
nezakoniti odpovedi delovnega razmerja, spolnega nadlegovanja ali starostne
diskriminacije.
Digitalna forenzika je sklop postopkov, z uporabo katerih strokovnjaki digitalne
podatke spremenijo v digitalne dokaze, ki so uporabni na sodišču (Šavnik, 2012).
Slovenski pravni red je digitalno-forenzični postopek ločil na dva dela in ju opredelil
kot zavarovanje podatkov elektronske naprave in preiskavo elektronske naprave.
2.1 Digitalni dokazi
V strokovni literaturi se kot sopomenka za digitalne podatke pogosto uporabljajo
izrazi, kot so elektronski podatki, podatki v elektronski obliki, binarni podatki,
podatki v binarni obliki, računalniški podatki ipd. Digitalni podatki so dejansko
dvojiški (binarni) podatki, ki imajo v svojem zapisu dve diskretni stanji 0 ali 1.
Majcen (2011) ugotavlja, da se dokazi v digitalni obliki pogosto pojmujejo tudi kot
elektronski in računalniški dokazi, vendar pri tem poudarja, da digitalni dokaz ni
nujno zgolj računalniški, saj se pojavlja tudi v drugih vrstah elektronskih naprav
(mobilni telefoni, navigacijske naprave, dlančniki itd.). Standard ISO/IEC 27037
(2012) opredeljuje digitalni dokaz kot informacijo ali podatek, shranjen ali prenosljiv
v binarni obliki, na katerega se je možno sklicevati kot na dokaz.
Digitalni dokaz izvira iz množice digitalnih podatkov in je na osnovi našega
predznanja, vedenja in razumevanja označen kot informacija, ki ima dokazno
vrednost (Majcen, 2011). S pojmom digitalni dokaz torej označujemo zgolj tiste
digitalne podatke, ki so bili v postopku digitalne forenzike spoznani kot relevantne
informacije v določeni zadevi, hkrati pa so bili pridobljeni na pravno dopusten način
in so posledično uporabni na sodišču. Za osumljenca so lahko tovrstni dokazi
11
obremenilni, lahko dokazujejo njegovo nedolžnost, lahko pa so zgolj pomembni za
obrazložitev določenega dejstva ali okoliščine.
Osnova, da bi se v sodnih, upravnih in drugih podobnih postopkih lahko oprli na dokaz
v digitalni obliki je, da tako obliko dokaza opredeljuje tudi zakonodaja. V Republiki
Sloveniji je to opredeljeno v Zakonu o elektronskem poslovanju in elektronskem
podpisu [ZEPEP] (2004), ki podatke v elektronski obliki definira kot tiste podatke, ki
so oblikovani, shranjeni, poslani, prejeti ali izmenjani na elektronski način. Ta zakon
prav tako opredeljuje, da se podatkom v elektronski obliki ne sme odreči veljavnost
ali dokazna vrednost samo zato, ker so v elektronski obliki. Za potrebe kazenskih
sodnih postopkov je v Kazenskem zakoniku [KZ-1] (2008; v nadaljevanju KZ-1)
določen tudi pojem listina, ki je opredeljena kot vsako pisanje, nosilec podatkov ali
drug predmet, primeren in namenjen za dokaz kakšnega dejstva, ki ima vrednost za
pravna razmerja. Iz navedenega je možno povzeti, da se zakonodajalec zaveda
obstoja elektronskih podatkov in s tem pripisuje pomembnost tudi digitalnim
dokazom, ki se v takih postopkih lahko pojavijo. Za pridobitev tovrstnih dokazov je
sprejel tudi posebna postopkovno-procesna določila in s tem opredelil pravno osnovo
za izvedbo postopkov digitalne forenzike.1
Digitalni dokazi so lahko na določeni elektronski napravi shranjeni, lahko iz nje
izvirajo ali pa so nanjo sprejeti iz druge elektronske naprave. Vlogo elektronskih
naprav, na katerih so potencialni digitalni dokazi, v praksi tako najpogosteje delimo
na naslednje (Mohay, Anderson, Collie, Vel in McKemmish, 2003; Bernik in Prislan,
2012):
elektronska naprava kot tarča oziroma »žrtev« incidenta (npr. informacijski
sistem, v katerega je bil izveden neupravičen vstop);
elektronska naprava kot uporabljeno sredstvo storitve (npr. uporaba škodljive
programske kode za pridobitev neupravičenega dostopa do drugega
informacijskega sistema);
elektronska naprava zgolj kot nosilec digitalnih dokazov (npr. poštni strežnik, na
katerem je za dokazovanje pomembna korespondenca elektronskih sporočil);
elektronska naprava kot pripomoček organom pregona (npr. uporaba različne
programske opreme, z uporabo katere se lahko odkrijejo, preiskujejo in
dokazujejo kazniva dejanja).
1 Glej poglavje 2.2.1, kjer je podrobneje opredeljena pravna osnova za izvedbo postopkov.
12
Digitalne podatke delimo tudi glede na medij oziroma nosilec, na katerem so. Pri tem
jih ločujemo na obstojne in neobstojne podatke. Obstojni podatki so načeloma tisti,
ki se ob izgubi električnega napajanja ohranijo. Med te prištevamo podatke, ki so na
trdih diskih, pomnilniških karticah, optičnih podatkovnih nosilcih, USB-pomnilniških
ključih, disketah, kasetah ipd. Pri neobstojnih podatkih je prav nasprotno, saj se le-ti
izgubijo ob izgubi električnega napajanja oziroma ob ugasnitvi naprave. Med te
uvrščamo podatke, ki so v delovnem pomnilniku, predpomnilnikih, registrih,
usmerjevalnih tabelah, pomnilniku grafične kartice ipd. To je za digitalno forenziko
izredno pomembno, saj je od obstojnosti podatkov odvisno, katera metoda
zavarovanja podatkov bo uporabljena.
Da bi digitalni dokazi lahko bili uporabni v nadaljnjih postopkih, je treba pri
njihovem pridobivanju upoštevati pet pomembnih značilnosti. Taki dokazi morajo
namreč biti dopustni, verodostojni, celoviti, zanesljivi in verjetni (Vacca, 2002).
Na elektronskih napravah in podatkovnih nosilcih so poleg digitalnih dokazov pogosto
tudi materialni oziroma fizični dokazi, ki jih storilec pušča na kraju storitve (npr.
prstni odtisi na strojni opremi). Čeprav tovrstni dokazi oziroma sledi ne sodijo v
skupino digitalnih dokazov, jih izkušeni preiskovalec vsekakor ne bo spregledal in
uničil, temveč bo poskrbel za njihovo primerno zavarovanje.
2.2 Postopki digitalne forenzike
V Sloveniji se v praksi s postopki digitalne forenzike največ srečuje kriminalistična
policija, redkeje raziskovalne in izobraževalne ustanove ali celo posamezniki (Šavnik,
2006). Slovenska policija je namreč organizirana tako, da v okviru kriminalistične
policije deluje več regionalnih oddelkov za računalniško preiskovanje, ki izvajajo
postopke digitalne forenzike. Iz statističnih podatkov izhaja, da je število preiskav
elektronskih naprav v nenehnem porastu,2 kar odraža stanje vedno večje
informatizacije sodobne družbe. Policija praktično vse postopke preiskav elektronskih
naprav opravi za potrebe (pred)kazenskih postopkov, medtem ko teh opravil za
postopke o prekrških (za zdaj) še ne opravlja.
2 Glej poglavje 2.2.7, kjer je podrobneje predstavljen statistični pregled števila preiskav
elektronskih naprav.
13
Pomembnosti digitalne forenzike se zavedajo tudi institucije Evropske unije, kar se
kaže tudi v otvoritvi Evropskega centra za kibernetsko kriminaliteto (EC3), ki je
namenjen zaščiti evropskih državljanov in podjetij pred kibernetskim kriminalom.
Sestavni del centra je namreč tudi enota za operativno preiskovalno in forenzično
podporo, ki se med drugim ukvarja tudi z digitalno-forenzičnimi postopki. S svojimi
razpoložljivimi viri v državah članicah bo lahko nudil pomoč nacionalnim policijskim
organom, predvsem v obsežnih in mednarodnih primerih.
V slovenskem pravnem redu so postopki digitalne forenzike razdeljeni na dva ločena
dela, in sicer na postopek zavarovanja podatkov elektronske naprave in postopek
preiskave elektronske naprave. Čeprav sta omenjena postopka tam v določenih delih
opredeljena relativno podrobno, je za pravilno in strokovno izvedbo treba posamezna
opravila izvesti po ustrezni metodologiji ter na način, ki upošteva principe oziroma
načela in standarde digitalne forenzike. Postopke digitalne forenzike morajo izvajati
ustrezno usposobljeni strokovnjaki, ki pri tem uporabljajo raznoliko strojno in
programsko opremo.
2.2.1 Pravna osnova za izvedbo postopkov
Za zakonito izvedbo postopkov digitalne forenzike je treba upoštevati ustrezne
splošne pravne akte, saj je v nasprotnem primeru postopek nezakonit, pridobljeni
dokazi pa so posledično neveljavni. Pri tem je treba posebno skrb nameniti tajnosti
pisem in drugih občil oziroma komunikacijski zasebnosti, saj so tovrstni podatki
prisotni praktično v vsaki preiskovani elektronski napravi (elektronska pošta, SMS-
sporočila, takojšnja sporočila, IP-telefonija, različne korespondence ipd.).
V 37. členu Ustave Republike Slovenije, ki opredeljuje varstvo tajnosti pisem in
drugih občil, je namreč določeno: »Zagotovljena je tajnost pisem in drugih občil.
Samo zakon lahko predpiše, da se na podlagi odločbe sodišča za določen čas ne
upošteva varstvo tajnosti pisem in drugih občil in nedotakljivosti človekove
zasebnosti, če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost
države.« (Ustava Republike Slovenije, 1991)
V odločbi Ustavnega sodišča Republike Slovenije št. Up-106/05-27 (2008) je v
nadaljevanju le-to obravnavalo področje varstva komunikacijske zasebnosti in pri
14
tem poudarilo, da si je treba predmet varstva komunikacijske zasebnosti razlagati
širše, in sicer tako, da bo vključevalo podatke, ki so povezani oziroma so sestavni del
te komunikacije (prometni podatki). Prav tako je opredelilo nedopustnost postopka
pregleda zasežene elektronske naprave (mobilnega telefona) brez predhodne
odredbe sodišča za poseg v ustavno varovano pravico do komunikacijske zasebnosti.
S tem je Ustavno sodišče opozorilo na zastarelo pravno ureditev pri tovrstnih posegih
v zasebnost v času novih informacijskih tehnologij in je zakonodajalcu dalo jasne
smernice za dopolnitve zakonodaje. Zakonodajalec je nato uskladil kazensko
procesno zakonodajo z navedeno odločbo, tako da je leta 2009 sprejel novelo Zakona
o spremembah in dopolnitvah Zakona o kazenskem postopku [ZKP-J] (2009; v
nadaljevanju ZKP-J), v kateri je podrobno opredelil novo preiskovalno dejanje
preiskavo elektronske naprave in postopek zavarovanja podatkov elektronske
naprave.
Poleg navedene odločbe je spremembo kazensko procesnega prava (sprejetje novele
ZKP-J) narekovala tudi leta 2004 ratificirana Konvencija o kibernetski kriminaliteti
(Zakon o ratifikaciji Konvencije o kibernetski kriminaliteti in Dodatnega protokola h
Konvenciji o kibernetski kriminaliteti, ki obravnava inkriminacijo rasističnih in
ksenofobičnih dejanj, storjenih v informacijskih sistemih [MKKKDP], 2004), ki določa
poenotena pravila in sodelovanje na področju boja zoper kibernetsko kriminaliteto
med državami podpisnicami. Konvencija o kibernetski kriminaliteti namreč v 19.
členu opredeljuje, da mora država pogodbenica sprejeti vse potrebne normativne in
druge ukrepe za pooblastitev pristojnih organov, da lahko le-ti zasežejo in zavarujejo
računalniški sistem ali njegov del, naredijo kopijo računalniških podatkov, ohranijo
celovitost podatkov ter preiščejo računalniški sistem ali njegov del in v njem
shranjene podatke. Konvencija o kibernetski kriminaliteti določa tudi osnovne okvirje
za neposredno izmenjavo digitalnih dokazov med državami podpisnicami. Dimc in
Dobovšek (2012) pri tem ugotavljata, da predstavlja mednarodni vidik pri
preiskovanju kibernetske kriminalitete dodatne težave, saj kibernetski prostor ni
omejen zgolj na posamično državo, temveč se razteza čez mnoge države z različnimi
pristojnostmi, zato je treba vzpostaviti ključne temelje, na osnovi katerih je možno
graditi mednarodno sodelovanje. To problematiko podrobneje opisuje tudi Bernik
(2014), ki mednarodnemu sodelovanju pripisuje ključen pomen. Pri tem izpostavlja,
da se organi pregona pogosto soočajo z omejitvami pristojnosti, kar jim ob odsotnosti
relevantnih mednarodnih predpisov onemogoča učinkovit pregon storilcev. Dodaja,
15
da je Konvencija o kibernetski kriminaliteti osredotočena predvsem na odpravo takih
omejitev v pristojnosti.
Zavarovanje podatkov elektronske naprave je predhodni postopek preiskave
elektronske naprave in je opredeljen v 223.a členu ZKP-J. Omenjeno zakonsko
določilo sicer relativno podrobno predpisuje način izvedbe tega postopka in njegove
obvezne sestavine (ZKP-J, 2009):
pri zasegu naprave zaradi izvedbe preiskave je treba podatke zavarovati tako, da
se shranijo na drug ustrezen nosilec podatkov, in sicer na način, ki ohranja
istovetnost in integriteto podatkov ter možnost njihove uporabe v nadaljnjem
postopku. Lahko se izdela tudi istovetna kopija celotnega nosilca, pri čemer se
zagotovi integriteta kopije teh podatkov. Če to ni možno, se naprava (ali samo
podatkovni nosilec) zapečati;
opredeljena je zahteva po zapisniškem trajnem uničenju kopije podatkov, ki so
bili kopirani iz elektronske naprave, zasežene brez odredbe sodišča. Zadnje se
izvede, če sodišče v dvanajstih urah ni izdalo odredbe za preiskavo oziroma ni
bila pridobljena pisna privolitev za preiskavo;
imetnik, uporabnik, upravljavec, skrbnik naprave ali kdo drug, ki ima do nje
dostop, mora na zahtevo organa ukreniti vse potrebno, da se onemogoči
uničenje, spreminjanje ali prikrivanje podatkov. Če oseba noče tako ravnati, jo
sme sodišče kaznovati (razen če gre za osumljenca ali osebo, ki ne sme biti
zaslišan kot priča oziroma se je odrekla pričevanju);
imetnika naprave se povabi, naj bo sam, njegov zastopnik, odvetnik ali
strokovnjak navzoč pri zavarovanju podatkov. Če se vabilu ne odzove, če je
odsoten ali ni znan, se zavarovanje podatkov opravi v njegovi nenavzočnosti.
Zavarovanje podatkov mora opraviti ustrezno usposobljena oseba;
pri postopku zavarovanja podatkov se v zapisnik vpiše tudi kontrolna vrednost
oziroma se na drug ustrezen način v zapisniku zagotovi možnost dodatnega
preverjanja istovetnosti in integritete zavarovanih podatkov. Izvod zapisnika se
izroči osebi, ki je bila navzoča pri zavarovanju podatkov;
zaseg in zavarovanje podatkov morata biti opravljena na način, s katerim se v
najmanjši meri posega v pravice oseb, ki niso osumljenci. Varovati je treba
tajnost in zaupnost podatkov ter preprečiti nastanek nesorazmerne škode zaradi
nezmožnosti uporabe naprave;
kopije zaseženih podatkov se hranijo, dokler je to potrebno za postopek.
Elektronska naprava se hrani, dokler podatki niso shranjeni na način, ki zagotovi
16
istovetnost in integriteto zaseženih podatkov, vendar ne več kot tri mesece. Če
izdelava takšne kopije podatkov ni mogoča, se naprava (ali njen del, ki vsebuje
podatke) hrani do šest mesecev. Naprava se sme hraniti dlje, če je bila
uporabljena za izvršitev kaznivega dejanja oziroma je sama naprava dokaz v
kazenskem postopku;
kopije podatkov, ki se ne nanašajo na kazenski pregon in za katere ni drugega
zakonskega razloga, da bi se smele hraniti, se izločijo iz spisa, in, če je možno,
tudi zapisniško uničijo.
Preiskavo elektronske naprave in z njo povezanih naprav ter nosilcev elektronskih
podatkov normativno opredeljuje 219.a člen ZKP-J in s tem podrobneje predpisuje
izvedbeni način ter obvezne sestavine postopka (ZKP-J, 2009):
za opravo preiskave morajo biti podani ustrezni materialni pogoji, in sicer
utemeljeni razlogi za sum, da je bilo storjeno kaznivo dejanje, in podana
verjetnost, da elektronska naprava vsebuje pomembne podatke (za identifikacijo
storilca, za odkritje pomembnih sledov oziroma katere je mogoče uporabiti kot
dokaz v kazenskem postopku);
formalni pogoji za opravo preiskave so podani s pisno privolitvijo imetnika in vseh
znanih uporabnikov elektronske naprave ali z obrazloženo odredbo sodišča;
opredeljeni so vsi potrebni elementi, ki jih morata vsebovati predlog in odredba
za preiskavo elektronske naprave (identifikacijski podatki elektronske naprave,
utemeljitev razlogov za preiskavo, opredelitev iskane vsebine in morebitne druge
pomembne okoliščine);
določeno je, da se za izdajo in izvršitev tega dela odredbe upoštevajo določbe iz
tega člena, če je bila preiskava elektronske naprave odrejena v odredbi za hišno
ali osebno preiskavo;
predvideni so tudi nujni primeri (neposredna in resna nevarnost za ljudi in
premoženje), ko ni možno pravočasno dobiti pisne odredbe za preiskavo. V teh
primerih lahko preiskovalni sodnik na ustni predlog državnega tožilca odredi
preiskavo z ustno odredbo. Pisna odredba mora biti izdana najpozneje v
dvanajstih urah, sicer je treba zapisniško uničiti kopirane podatke;
določeno je, da mora imetnik oziroma uporabnik omogočiti dostop do naprave,
pojasniti njeno delovanje in predložiti morebitne šifrirne ključe in gesla. Če
oseba noče tako ravnati, jo sme sodišče kaznovati, razen če gre za osumljenca ali
osebo, ki ne sme biti zaslišana kot priča oziroma se je odrekla pričevanju;
17
preiskavo je treba opraviti tako, da se ohrani integriteta izvirnih podatkov in
možnost njihove uporabe v nadaljnjem postopku. Izvesti jo je treba na način, s
katerim se v najmanjši meri posega v pravice oseb, ki niso osumljenci. Varovati je
treba zaupnost podatkov in preprečiti nastanek nesorazmerne škode;
opredeljena je zahteva, da preiskavo opravi strokovno usposobljena oseba, ki o
preiskavi naredi zapisnik. Ta mora med drugim obsegati identifikacijo elektronske
naprave, čas začetka in konca preiskave, morebitne sodelujoče osebe, številko
odredbe in navedbo sodišča, način izvedbe in ugotovitve preiskave ter druge
pomembne okoliščine;
če se pri preiskavi najdejo podatki, ki niso v zvezi s kaznivim dejanjem, zaradi
katerega je bila preiskava odrejena, temveč kažejo na drugo kaznivo dejanje, se
zasežejo tudi ti. S tem se seznani državni tožilec in če ni razloga za pregon, se
taki podatki zapisniško uničijo;
če v tem členu ni opredeljeno drugače, se za odreditev in izvršitev odredbe o
preiskavi elektronske naprave smiselno uporabljajo nekatere določbe, ki urejajo
hišno in osebno preiskavo;
opredeljeno je tudi, da sodišče svoje odločitve ne sme opreti na zapisnik o
preiskavi in na tako pridobljene podatke, če je bila preiskava opravljena brez
pisne privolitve ali odredbe sodišča oziroma v nasprotju z njo.
Zakonodajalec je predvidel preiskavo elektronske naprave tudi v postopkih o
prekrških. Leta 2009 je namreč sprejel novelo Zakona o spremembah in dopolnilih
Zakona o prekrških [ZP-1F] (2009; v nadaljevanju ZP-1F), v kateri je v 58. členu
opredelil, da se za zaseg in preiskavo elektronskih in z njim povezanih naprav ter
nosilcev elektronskih podatkov uporabljajo določbe tega zakona o rednem sodnem
postopku. V okviru določil rednega sodnega postopka v ZP-1F sta nato zaseg in
preiskava elektronskih naprav opredeljena v 67. členu, kjer je določeno, da se za
tovrstne postopke smiselno uporabljajo določbe ZKP-J, razen če gre za poseg v
tajnost pisem ali drugih občil. To je namreč ustavno varovana določba, katere
začasno neupoštevanje zaradi postopka o prekrških bi privedlo do nesorazmernega
posega v pravice posameznika. Preiskava elektronskih naprav torej v teh primerih ni
dopustna, kar lahko pomeni veliko oviro pri izvajanju takih postopkov, če se upošteva
dejstvo, da so tako varovani podatki danes prisotni na večini elektronskih naprav
oziroma podatkovnih nosilcev.
18
Digitalni dokazi se lahko pojavijo tudi v pravdnih postopkih, kar opredeljuje 16.a člen
Zakona o pravdnem postopku [ZPP] (2007), ki določa, da je elektronska oblika enaka
pisni, če so podatki v elektronski obliki primerni za obdelavo na sodišču in so
dosegljivi ter primerni za poznejšo uporabo. Podatkom v elektronski obliki se torej ne
sme odreči dokazna vrednost samo zato, ker so v elektronski obliki. Zavarovanje
dokazov nato opredeljuje v členih 264268, vendar pri tem ne določa posebnega
postopka za pridobitev elektronskih podatkov. Podobno stanje se pojavlja pri
upravnih postopkih, kjer Zakon o splošnem upravnem postopku [ZUP] (2006) v členih
204206 določa postopek zavarovanja dokazov, vendar tudi ta ne določa posebnega
postopka za pridobitev elektronskih podatkov. V petem odstavku 82. člena istega
zakona sicer dopušča uporabo takih podatkov, saj določa, da se podatki in zapisi v
elektronski obliki štejejo kot drugi dokumenti v določeni zadevi. Pooblastila
inšpektorjev so določena v 19. členu Zakona o inšpekcijskem nadzoru [ZIN] (2007),
kjer je opredeljeno, da se smejo poslovne knjige, pogodbe, listine in drugi dokumenti
ter poslovanje pregledati in sme se izdelati njihova verodostojna pisna oblika, če so
shranjeni na elektronskem mediju. Bernik in Prislan (2012) ugotavljata, da tudi
aktualna zakonodaja s področja varstva osebnih podatkov omejuje predajo osebnih
stvari (npr. različnih elektronskih naprav in podatkovnih nosilcev) in vpogled v tam
shranjene podatke (npr. elektronska pošta in druge shranjene vsebine). Zakon o
varstvu osebnih podatkov [ZVOP-1] (2007) namreč v 8. členu določa, da se osebni
podatki lahko obdelujejo zgolj v primeru, če to določa zakon ali če je za obdelavo
določenih osebnih podatkov podana osebna privolitev posameznika. Pri tem lahko
povzamemo, da se tako pri pravdnih kot tudi pri upravnih in drugih postopkih
pravzaprav pojavlja soroden problem kot pri postopkih za prekrške. Samo v
specifičnih primerih smo namreč lahko prepričani, da določena naprava ne vsebuje
nikakršne ustavno varovane vsebinske komunikacije oziroma prometnih podatkov o
taki komunikaciji, kar (upravičeno) omejuje take postopke.
2.2.2 Principi in standardi digitalne forenzike
Principi in standardi digitalne forenzike so skupek splošnih pravil in normativov, ki
združujejo tehnično znanje in izkušnje digitalnih forenzikov s splošnimi pravili
oziroma zakonitostmi v znanosti. Ta osnovna pravila so pogosto označena tudi kot
načela digitalne forenzike, ki dajejo izvajalcem jasne smernice in temelje za
strokovno izvedbo postopkov. Organizacije in posamezniki, ki se ukvarjajo z digitalno
19
forenziko, morajo pri svojem delu spoštovati ta splošna pravila, sicer lahko njihovi
postopki privedejo do neuporabnih oziroma celo neveljavnih digitalnih dokazov.
Slovenska policija je v letu 2012 izoblikovala izbor načel digitalne forenzike in s tem
postavila preiskovalcem temeljni okvir za delo, ki se ga morajo držati, da se
zagotovijo strokovno dopustni postopki digitalne forenzike. Načela so usklajena s
trenutno veljavno zakonodajo in splošno uveljavljenimi strokovnimi dognanji ter so
sestavljena iz 12 sklopov (Načela digitalne forenzike slovenske policije, 2012;
Kastelic in Škraba, 2012):
1. pri delu s podatki v elektronski obliki je treba upoštevati splošna forenzična
pravila in zakonske določbe za zavarovanje dokazov;
2. uporabljeni postopki morajo biti na področju digitalne forenzike splošno priznani,
sicer morajo biti podatki v elektronski obliki zbrani in shranjeni na znanstveni
način;
3. vsak postopek, ki bi lahko spremenil, poškodoval ali uničil kateri koli del izvirnega
izvoda podatkov v elektronski obliki, mora opraviti primerno usposobljeni
strokovnjak;
4. vsaka enota mora uporabljati strojno in programsko opremo, ki sta primerni in
učinkoviti za postopek zavarovanja ali preiskave podatkov v elektronski obliki;
5. vsak postopek zavarovanja ali preiskave podatkov v elektronski obliki mora biti
natančno dokumentiran, tako da ga lahko preveri tretja stranka in doseže enak
rezultat;
6. postopek zavarovanja podatkov ne sme spreminjati izvirnih podatkov, razen v
primerih, ko postopek ali okoliščine tega ne omogočajo. V tem primeru se lahko
dostopa do izvirnih podatkov, vendar mora biti izvajalec za to primerno
usposobljen ter mora znati pojasniti nujnost in posledice takega načina dela;
7. preiskava zavarovanih podatkov v elektronski obliki se ne sme opraviti na edini
kopiji;
8. preiskava elektronskih naprav in podatkov v elektronski obliki se ne sme izvajati,
če presega nivo znanja in izkušenj preiskovalca ali ni na voljo ustrezna oprema;
9. z zaseženimi elektronskimi napravami in zavarovanimi podatki v elektronski obliki
je treba ravnati pravilno in jih zaščititi pred poškodbami ali spremembami;
10. vse elektronske naprave in podatki v elektronski obliki morajo biti ustrezno
varovani, zato mora biti v ta namen vzpostavljena jasno dokumentirana njihova
sledljivost;
20
11. zagotoviti je treba redno posodabljanje dokumentov standardnih operativnih
postopkov, da se zagotovi njihova primernost in učinkovitost;
12. vsaka enota, ki je odgovorna za zaseg, hrambo, dostop ali prenos elektronskih
naprav, zavarovanje in preiskovanje podatkov v elektronski obliki, mora ravnati v
skladu s temi načeli.
Evropsko združenje forenzičnih laboratorijev (ENFSI), katerega član je tudi
Nacionalni forenzični laboratorij,3 je izdalo splošne principe oziroma načela, ki se
nanašajo na ravnanje z digitalnimi dokazi (European Network of Forensic Science
Institutes, 2009):
1. splošna pravila, ki se uporabljajo pri dokazih, je treba uporabiti tudi pri digitalnih
dokazih;
2. postopek zasega digitalnih dokazov ne sme spremeniti teh dokazov;
3. ko je nujno, da določena oseba poseže v izvirne digitalne dokaze, mora biti za to
ustrezno usposobljena;
4. vse aktivnosti, ki se nanašajo na zaseg, dostop, hrambo ali prenos digitalnih
dokazov, morajo biti v celote dokumentirane, shranjene in dosegljive za vpogled;
5. posameznik je odgovoren za vsa dejanja, ki se nanašajo na digitalne dokaze, ko
so le-ti v njegovi posesti.
Mednarodna organizacija za standardizacijo (ISO) in Mednarodna elektrotehnična
komisija (IEC) sta oblikovali standard ISO/IEC 27037, ki opredeljuje smernice za
identifikacijo, zbiranje, pridobitev in ohranitev digitalnih dokazov. V njem so
opredeljene zahteve in priporočila, ki se navezujejo na normativni postopek
zavarovanja digitalnih podatkov iz različnih elektronskih naprav in podatkovnih
nosilcev. Smernice za identifikacijo digitalnih dokazov obsegajo zavedanje, da so
lahko podatki v fizični ali logični obliki in da postopek identifikacije obsega iskanje,
prepoznavo in dokumentiranje potencialnega digitalnega dokaza. Podatke je treba
prednostno zavarovati glede na njihovo obstojnost (najprej neobstojne, nato
obstojne). Oceniti je treba, ali se bodo podatki zavarovali na kraju samem oziroma
ali se bo elektronska naprava odnesla v laboratorij in se bo postopek izvedel tam.
Zadnje je odvisno predvsem od dejstva, ali je naprava v času postopka vklopljena ali
izklopljena. Pridobitev oziroma zavarovanje podatkov je opredeljeno kot izdelava
3 Nacionalni forenzični laboratorij sicer digitalne forenzike ne izvaja, ker so bili za ta namen
ustanovljeni Center za računalniško preiskovanje in regionalni oddelki za računalniško
preiskovanje, ki delujejo v okviru kriminalistične policije.
21
digitalno forenzične kopije celotnega podatkovnega nosilca, diskovne particije ali
zgolj izbranih datotek (selektivno zavarovanje podatkov). Metode in postopki
zavarovanja podatkov morajo biti natančno in podrobno dokumentirani, tako da se
zagotovi njihova ponovljivost in preverljivost. S sprejemljivo metodo za preverjanje
je treba preveriti identičnost podatkov na izvirnem podatkovnem nosilcu in na
izdelani forenzični kopiji podatkov. Če tako preverjanje ni možno (npr. delujoča
elektronska naprava, napake na izvirnem podatkovnem nosilcu ipd.), je to treba
ustrezno dokumentirati in upravičiti. Treba je zagotoviti integriteto zavarovanih
podatkov, da se zagotovi njihova uporabnost v preiskavi. Zavarovane podatke
oziroma podatkovne nosilce je treba varovati pred spremembami in poškodbami. Za
zavarovane podatke in zasežene naprave je treba vzpostaviti in voditi skrbniško
verigo, iz katere mora biti razvidno, kdo in kdaj je delal s posameznim dokazom
(ISO/IEC 27037, 2012).
Navedeni mednarodni organizaciji (ISO/IEC) pripravljata tudi standarde, ki se
navezujejo na samo preiskovanje digitalnih dokazov, in sicer ISO/IEC 27041
(zagotovila za preiskovalne metode digitalnih dokazov), ISO/IEC 27042 (smernice za
preiskovanje in interpretacijo digitalnih dokazov) in delno tudi ISO/IEC 27043
(principi in procesi preiskave incidentov). Zadnji bodo vsekakor pomembni za
mednarodno standardizacijo postopkov digitalne forenzike, ki se navezujejo na
preiskovanje digitalnih dokazov.
2.2.3 Metodologija in postopki digitalne forenzike
Metodologija digitalne forenzike je celota načrtnih in premišljenih ravnanj oziroma
opravil, ki jih je treba izvesti pri postopkih digitalne forenzike. Pri tem gre za
kompleksen proces, ki ga je treba izvesti metodološko pravilno, sicer je lahko
postopek nestrokoven ali celo nezakonit. Vsaka organizacija ali posameznik, ki se
ukvarja z digitalno forenziko, bi moral jasno navesti oziroma opredeliti, po kateri
metodologiji bo izvajal postopke digitalne forenzike. Metodologije se pogosto
oblikujejo na osnovi predhodnih izkušenj in predpisanih postopkov, pri tem pa je
pomembno, da so le-te skladne s principi oziroma načeli digitalne forenzike in
veljavno zakonodajo, saj se tako zagotovi primerno ravnanje z digitalnimi dokazi.
Slovenska policija je v letu 2012 izoblikovala metodologijo računalniškega
preiskovanja, ki opredeljuje postopkovni okvir in zaporedje posameznih faz
22
postopka. Metodologija je usklajena s trenutno veljavno zakonodajo, upošteva načela
in druga osnovna pravila digitalne forenzike in je sestavljena iz 16 sklopov
(Metodologija računalniškega preiskovanja slovenske policije, 2012; Kastelic in
Škraba, 2012):
1. zaznavanje in obveščanje informacija, da bo treba izvesti postopek digitalne
forenzike;
2. potrditev potrditev, da so doseženi zakonski pogoji za izvedbo postopka;
3. priprava in načrtovanje strategija pristopa in načrtovanje preiskave na osnovi
organizacijskih in tehničnih omejitev;
4. zavarovanje fizičnega kraja dogodka zavarovanje kraja dogodka z namenom, da
se pred uničenjem ali spreminjanjem zavarujejo dokazi v materialni obliki;
5. iskanje in identificiranje fizičnih dokazov iskanje in identificiranje elektronskih
ter z njimi povezanih naprav, nosilcev podatkov in drugih predmetov za poznejši
zaseg;
6. zavarovanje digitalnega kraja dogodka zavarovanje elektronskih in z njimi
povezanih naprav pred izgubo podatkov in zunanjim dostopom po omrežju t. i.
zamrznitev stanja;
7. iskanje in identificiranje digitalnih dokazov iskanje in identificiranje podatkov v
elektronski obliki, njihovih struktur in pojavnih oblik za poznejše zavarovanje;
8. zaseg predmetov in zavarovanje podatkov zaseg predmetov in zavarovanje
podatkov na način, ki omogoča njihovo hrambo in poznejšo uporabo v postopku;
9. zapečatenje predmetov in zagotavljanje integritete zagotavljanje
nedotakljivosti zaseženih predmetov ter istovetnosti in integritete zavarovanih
podatkov;
10. dokumentiranje postopka pridobitve dokazov dokumentiranje pomembnejših
dejstev, podrobnosti in okoliščin glede zasega predmetov in zavarovanja podatkov
v elektronski obliki;
11. prenos in hranjenje dokazov prenos dokazov na primerno lokacijo za poznejšo
preiskavo in hramba dokazov za čas do preiskave;
12. preiskovanje dokazov priprava zaseženih dokazov oziroma restavriranje
zavarovanih podatkov in postopek njihovega preiskovanja;
13. redukcija in analiziranje dokazov podatke, ki bi na osnovi preiskave lahko bili
dejanski dokazi v postopku, je treba najprej ločiti od tistih, ki to zagotovo niso,
nato pa jih je treba analizirati in ugotoviti njihovo dejansko relevantnost;
23
14. dokumentiranje postopka preiskave dokumentiranje pomembnejših dejstev
glede preiskovanja dokazov, postopka redukcije in analiziranja ter morebitnih
drugih pomembnejših ugotovitev;
15. prenos pomembnih izkušenj če se pri postopku pridobijo nove pomembne
izkušnje, je treba o ugotovitvah na primeren način seznaniti druge preiskovalce;
16. predstavitev in pričanje v primeru poziva sodišča je potrebno pričanje o svojem
delu in predstavitev dokazov v elektronski obliki ter ugotovitev v zvezi z njimi.
Pri izvajanju postopkov je pomembno, da preiskovalci predpisano metodologijo tudi
dejansko upoštevajo. Odstopanje je dopustno le v izjemnih primerih, ko ni druge
možnosti za uspešno izvedbo naloge, vendar je treba to ustrezno obrazložiti in
dokumentirati.
2.2.4 Oprema za izvajanje postopkov digitalne forenzike
Za izvajanje postopkov digitalne forenzike sta potrebni ustrezna programska in
strojna oprema. Katera je najprimernejša za posamezen postopek, je odvisno od
vrste elektronske naprave oziroma digitalnih podatkov, ki se obdelujejo. Pomembno
je, da je taka oprema kakovostna in preizkušena, saj se lahko zgolj tako uspešno,
zanesljivo in v razumljivem času obdelajo velike količine kritičnih podatkov.
Med osnovno strojno opremo vsekakor prištevamo ustrezno zmogljivo delovno
postajo, ki zagotavlja dovolj razpoložljivih strojnih virov za čim hitrejšo izvedbo
postopkov. Zaradi velike količine obdelovanih podatkov je treba zagotoviti tudi
dodatne zunanje diskovne kapacitete, k temu pa je treba dodati tudi različne
periferne naprave, adapterje in priključke. Poleg splošne strojne opreme je
nepogrešljiva tudi določena specifična forenzična strojna oprema, med katero
uvrščamo predvsem namenske naprave za preprečevanje zapisovanja podatkov na
izvirne podatkovne nosilce4 različnih vrst in podatkovnih vodil (primer take naprave
za priklop USB-podatkovnega nosilca je razviden iz slike 1), namenske naprave za
izdelavo identične kopije celotnih podatkovnih nosilcev5 ipd. Nepogrešljive so tudi
naprave za množično snemanje in razmnoževanje podatkov na prenosne podatkovne
nosilce ter navsezadnje tudi kakovostna videokamera in fotografski aparat.
4 Na primer izdelki blagovne znamke Tableau (http://www.tableau.com).
5 Na primer proizvajalca Voom Technologies, Inc. (http://www.voomtech.com).
24
Slika 1: Naprava za preprečevanje zapisovanja podatkov (vir: www.tableau.com)
Sodobni trendi narekujejo nenehno miniaturizacijo elektronskih naprav (mobilni
telefoni, dlančniki, tablični računalniki, navigacijske naprave ipd.), ki hkrati
postajajo tudi vedno zmogljivejše. Vse pogostejša uporaba tovrstnih mobilnih naprav
pomeni, da je na njih tudi vedno več potencialnih digitalnih dokazov, do katerih je
možno dostopati zgolj s specializiranimi forenzičnimi napravami,6 ki so za to posebej
namenjene. Sorodna težava se pojavi tudi v primerih drugih netipičnih elektronskih
naprav (npr. zavarovanje lokacijskih podatkov navigacijske naprave iz računalnika
osebnega vozila ali pridobitev podatkov iz naprav za prestrezanje magnetnih zapisov,
ki so nepooblaščeno nameščene na bančnih avtomatih), saj je tudi v teh primerih
treba pridobiti specializirane naprave oziroma vsaj priključke in programska orodja, s
katerimi se omogoča prenos oziroma pregled tam shranjenih podatkov.
Pri izvajanju postopkov digitalne forenzike se uporablja veliko različne programske
opreme. Poleg operacijskega sistema, ki zagotavlja delovanje delovne postaje, se
običajno uporabljajo tudi druge splošne programske zbirke za obdelavo podatkov
(pisarniški paketi, pregledovalniki vsebine, programi za delo z datotekami ipd.).
Izrednega pomena so nameščena forenzična programska orodja, ki jih lahko glede na
njihovo funkcionalnost delimo v dve osnovni skupini:
integrirana večnamenska forenzična orodja, namenjena izvajanju različnih
forenzičnih opravil v okviru istega okolja (npr. EnCase Forensic, X-Ways Forensics,
Forensic Toolkit, ProDiscover Forensics, ILookIX, Autopsy ipd.);
6 Na primer proizvajalca Cellebrite Mobile Synchronization Ltd. (http://www.cellebrite.com).
25
samostojna ozko namenska forenzična orodja, namenjena izvajanju posameznih
forenzičnih opravil (npr. Passware Kit Forensic, Internet Evidence Finder, Event
Log Explorer, NetAnalysis, E-mail Examiner, Tableau Imager ipd.).
Forenzična programska orodja lahko naprej delimo tudi na komercialna (plačljiva) in
nekomercialna (brezplačna). Zadnja so za uporabo prosta, v določenih primerih so
lahko tudi odprtokodna, včasih pa gre za okrnjene različice plačljivih izdelkov.
Brezplačna orodja so običajno dosegljiva za različne platforme (Microsoft Windows,
Apple OS X, GNU/Linux itd.), medtem ko so komercialne rešitve običajno dosegljive
za okolje Microsoft Windows, redkeje pa tudi za Apple OS X. Cene komercialnih
orodij se gibljejo od nekaj 10 EUR za samostojna ozko namenska orodja, do nekaj
1.000 EUR za integrirana večnamenska forenzična orodja. Uporaba teh programov je
v določenih primerih vezana tudi na nakup časovno veljavne licence.
Integrirana večnamenska forenzična orodja so vsekakor najpomembnejša, saj
omogočajo najcelovitejše digitalno-forenzične postopke.7 Eno od bolj prepoznavnih
tovrstnih orodij je zbirka EnCase Forensic,8 ki je prirejena za delovanje v okolju
Microsoft Windows. Ta omogoča zavarovanje in izdelavo identičnih slik oziroma kopij
digitalnih podatkov iz različnih podatkovnih nosilcev (trdi diski, pomnilniške kartice
in ključi, mobilni telefoni, tablični računalniki, delovni pomnilnik idr.). Omogoča tudi
preiskovanje oziroma pregledovanje in analizo tako zavarovanih podatkov, kar
vključuje tudi možnost prikaza podatkov na različne načine. Omogoča iskanje v
okviru datotečnega sistema in med surovimi podatki (glede na izbrane parametre in
uporabljene filtre) in priklic izbrisanih (vendar ne prepisanih) datotečnih objektov.
Prepoznava širok nabor datotečnih sistemov (NTFS, FAT12/16/32, exFAT, HFS, HFS+,
UFS, JFS, FFS, CDFS itd.) in določene strukture šifriranih podatkov. Pri analizi
upošteva tudi nekatere pomembne zapise operacijskih sistemov (npr. analiza registra
in dnevniških datotek v okolju Microsoft Windows). Osnovna opravila razširja z
uporabo skriptnega jezika EnScript, ki omogoča široke možnosti funkcionalnih
razširitev in različne naprednejše operacije pri zahtevnejših preiskavah. Zmožnost
izdelave podrobnega elektronskega poročila zaokroža celostno funkcionalnost tega
orodja.
7 Slovenska policija pri preiskavah uporablja predvsem zbirki EnCase Forensic in X-Ways
Forensics, redkeje tudi Forensic Toolkit in Autopsy.
8 Proizvajalca Guidance Software, Inc. (http://www.guidancesoftware.com).
26
Podobno funkcionalnost omogočajo tudi druga tovrstna orodja, med katerimi je treba
izpostaviti zbirko X-Ways Forensics.9 Pregleden in intuitiven programski vmesnik je
razviden iz slike 2. Zbirka je namreč ena od kakovostnejših in jo odlikujejo predvsem
velika hitrost delovanja in zmerne sistemske zahteve. Orodje prepoznava širok nabor
datotečnih sistemov in je zelo uspešno pri rekonstrukciji konfiguracije različnih
diskovnih polj RAID. V osnovi je namenjeno pregledovanju in analizi vsebine podatkov
ter nudi zgolj osnovne funkcije za zavarovanje podatkov. Temu je namenjena
predvsem razširitev X-Ways Imager, ki omogoča različne možnosti izdelave identičnih
kopij podatkov. Tudi to orodje omogoča integracijo dodatnih funkcij z uporabo
razširitvenega mehanizma in možnost izdelave kakovostnih elektronskih poročil, ki so
pomembna za nadaljnje postopke.
Slika 2: Programski vmesnik programa X-Ways Forensics (vir: www.x-ways.net)
Orodje Forensic Toolkit10 v primerjavi s predhodnimi zbirkami nudi praktično enako
osnovno funkcionalnost za preiskovanje digitalnih podatkov, medtem ko je za
zavarovanje in izdelavo identičnih kopij podatkov razpoložljiva razširitev FTK Imager.
Kot izstopajočo funkcijo je treba omeniti njegovo zmožnost kakovostnega izvoza
elektronskih sporočil iz različnih podatkovnih zbirk elektronske pošte. To orodje je
9 Proizvajalca X-Ways Software Technology AG. (http://www.x-ways.net).
10 Proizvajalca AccessData Group, Inc. (http://www.accessdata.com).
27
sicer primerno predvsem za postavitev v forenzični laboratorij, saj je namenjeno
uporabi v okolju z več delovnimi postajami in namenskimi strežniki. Na trgu je sicer
dosegljivih še nekaj drugih tovrstnih forenzičnih orodij, ki nudijo bolj ali manj
primerljive funkcionalnosti.
Izpostaviti je treba tudi programska orodja za zavarovanje podatkov oziroma za
izdelavo identične kopije podatkov. Nekatera tovrstna orodja so strogo namenska in
omogočajo izključno samo kopiranje podatkov, medtem ko so druga celovitejša in
poleg tega nudijo tudi izračunavanje zgoščenih vrednosti kopiranih podatkov. Med
boljše celovitejše programske rešitve lahko uvrščamo zelo kakovostna orodja Tableau
Imager in FTK Imager, medtem ko je treba pri strogo namenskih orodjih izpostaviti
»dd«, ki je privzeto nameščen v več različnih operacijskih sistemih.
Za posamezna forenzična opravila je dosegljivo izredno veliko drugih samostojnih
forenzičnih orodij, ki opravljajo bolj specifične oziroma namenske naloge. V
nadaljevanju jih bo nekaj zgolj omenjenih, saj podrobnejša predstavitev in
opisovanje vseh razpoložljivih orodij presegata namen tega dela:
Password Recovery Kit Forensic orodje za ugotavljanje šifrirnih gesel,
Internet Evidence Finder orodje za iskanje internetnih artefaktov,
NetAnalysis in HstEx orodji za iskanje zgodovinskih zapisov spletnih brskalnikov,
Event Log Explorer orodje za analizo dnevniških datotek okolja Windows,
Sawmill orodje za analizo različnih dnevniških in drugih datotek,
E-Mail Examiner orodje za analizo različnih zbirk elektronske pošte,
CyoHash orodje za izračunavanje zgoščenih vrednosti datotek,
TeraCopy orodje za kopiranje podatkov s preverjanjem integritete,
XRY orodje za zavarovanje in analizo podatkov mobilnih naprav,
Windows Registry Recovery orodje za analizo registra okolja Windows.
Dosegljive so tudi druge kakovostne zbirke forenzičnih orodij, pri tem pa ima vsaka
svoje prednosti in slabosti. Ekonomska upravičenost, funkcionalne zmožnosti in
preference preiskovalca vplivajo na izbiro in uporabo posameznega programskega
orodja. Pomembno je, da se pri tem izbere kakovostna in preverjena oprema, ki
omogoča kar se da sistematično in avtomatizirano izvedbo postopkov.
28
2.2.5 Postopek zavarovanja podatkov elektronske naprave
Na osnovi predhodne osnovne opredelitve digitalne forenzike lahko ta postopek
opredelimo kot proces identificiranja in zavarovanja dokazov v digitalni obliki, ki
mora biti opravljen na zakonsko sprejemljiv način. Poleg zakonskih določil je treba
za strokovno izvedbo upoštevati tudi izbor načel digitalne forenzike in ga izvesti na
način, ki ga opredeljuje sprejeta metodologija.
Postopek zavarovanja podatkov elektronske naprave je eden najpomembnejših
opravil v digitalni forenziki, s katerim se odkrijejo in ustrezno zavarujejo digitalni
podatki in s tem potencialni digitalni dokazi. Označujemo ga lahko celo kot
najpomembnejšega, saj se lahko, če je izveden pravilno, vsa nadaljnja opravila
večkrat ponovijo in preverijo. Sam postopek zavarovanja podatkov pa žal ni vedno
ponovljiv, saj se pri tem srečujemo z različnimi tehničnimi (npr. izdelava kopije
delovnega pomnilnika ni več smiselna, ko se le-ta izgubi) in pravnimi (po preteku
zakonsko določenega časa za zaseg elektronske naprave se ugotovi, da je kopija
podatkov poškodovana) ovirami.
Ob upoštevanju izbrane metodologije je to običajno postopek, ki se začne v fazi
identificiranja elektronskih naprav in podatkovnih nosilcev na kraju samem ter
obsega ukrepe, ki preprečujejo izgubo in uničenje digitalnih podatkov. V elektronskih
napravah in podatkovnih nosilcih je v nadaljevanju treba identificirati pojavno obliko
oziroma strukturo digitalnih podatkov (npr. podatki v obstojni obliki na trdem disku
in strežniškem diskovnem polju ter neobstojni11 podatki delovnega pomnilnika
računalnika, ki je vklopljen) in nato nadaljevati s postopkom njihovega zavarovanja.
Že v uvodu je bilo navedeno, da je od obstojnosti podatkov odvisno, katera metoda
zavarovanja podatkov bo uporabljena. Vsekakor je naš namen pridobiti in zavarovati
vse pomembne podatke, zato moramo postopek prilagoditi dejstvu, da nimajo vsi
podatki enake življenjske dobe. Zato najprej zavarujemo podatke, ki so v neobstojni
obliki (npr. delovni pomnilnik), šele nato izvedemo postopek zavarovanja
obstojnejših oblik podatkov (npr. trdi disk).
Od okoliščin posameznega primera je tudi odvisno, na kakšen način oziroma v
kakšnem obsegu bo izvedeno zavarovanje podatkov. Zavarujejo se lahko namreč zgolj
11 Neobstojni podatki so zaradi zmožnosti nenadnega izbrisa znani tudi kot »hlapljivi« podatki.
29
določeni podatki (t. i. selektivno zavarovanje podatkov), lahko pa se izdela kopija
celotnega podatkovnega nosilca. Na to vpliva predvsem zmožnost identifikacije za
zadevo pomembnih podatkov (brez njihovega vsebinskega pregledovanja) in ločitev
teh podatkov od tistih, ki so zagotovo nepomembni (npr. zavarovanje videoposnetka
iz videonadzornega sistema zgolj za kritični čas nekega dogodka, ker drugi posnetki
niso pomembni). Če zadnje ni možno, je treba izvesti kopiranje celotnega
podatkovnega nosilca. Pogosto je način izvedbe določen že v sodni odredbi, kjer je
odrejeno, na primer, zavarovanje zgolj enega poštnega predala iz strežnika
elektronske pošte.
Shinder (2002) piše, da je izdelava identične slike podatkov v digitalni forenziki
standardno sprejet postopek, s katerim se ohranja istovetnost izvirnih podatkov.
Poudarja razliko med zadnjim in med uporabo orodij za varnostno kopiranje
podatkov, ki dejansko ne zavarujejo vseh podatkov (metapodatkov, izbrisanih
podatkov, mrtvega prostora, nedodeljenega prostora ipd.). Zato za potrebe digitalne
forenzike odsvetuje uporabo tovrstnih programov.
Pred samo izvedbo kopiranja podatkov je treba preveriti tudi zanesljivost delovanja
podatkovnega nosilca, na katerega bodo shranjeni zavarovani podatki. Solomon,
Barrett in Broom (2005) opozarjajo, da tak podatkovni nosilec ne sme vsebovati
nobenih predhodnih podatkov iz drugih primerov in da ga je zato treba ustrezno
»sterilizirati« oziroma v celoti izbrisati.
Na tak podatkovni nosilec v nadaljevanju z ustrezno programsko opremo (nekatera je
bila predstavljena že predhodno) shranimo identično oziroma istovetno kopijo
podatkov, ki jih želimo zavarovati. Pri tem izberemo tudi ustrezno metodo, s katero
se zagotovi:
da se podatki na izvirnem podatkovnem nosilcu ne spreminjajo (npr. z uporabo
preprečevalcev zapisovanja na izvirnem podatkovnem nosilcu),
da se ne spreminjajo podatki, ki se kopirajo iz izvirnega na ciljni podatkovni
nosilec (npr. z uporabo zanesljive in preverjene strojne in programske opreme),
da je kopija podatkov na ciljnem podatkovnem nosilcu enaka izvirnim podatkom
(npr. z izbiro funkcije poznejšega preverjanja uspešnosti kopiranja podatkov).
Če uporabljena programska oprema za izdelavo identične kopije podatkov tega ne
dela že samodejno, je treba dodatno zagotoviti tudi integriteto oziroma skladnost
30
kopije podatkov, kar se zagotovi z izračunom zgoščenih vrednosti (Mohay et al.,
2003). Zadnje se dokumentira v zapisnik o zavarovanju podatkov elektronske naprave
oziroma se integriteta zagotovi na kateri drug ustrezen način.12 V ta zapisnik se
dokumentirajo tudi druga ugotovljena dejstva in druge okoliščine, ki so pomembne za
nadaljnji postopek.13
2.2.6 Postopek preiskave elektronske naprave
Ob upoštevanju osnovne definicije digitalne forenzike lahko preiskavo elektronske
naprave opredelimo kot proces analiziranja in predstavljanja dokazov v digitalni
obliki. Postopek je treba izvesti na način, ki je zakonsko sprejemljiv, zato ga moramo
izvesti na osnovi in v skladu z veljavno zakonodajo. Posamezna opravila preiskave je
treba opraviti tudi metodološko pravilno, pri tem pa moramo upoštevati tudi sprejeti
izbor načel digitalne forenzike.
Postopek preiskave elektronske naprave sledi zavarovanju podatkov in pomeni
iskanje relevantnih vsebin (digitalnih dokazov) po teh podatkih oziroma njihov
vsebinski pregled (Selinšek, 2012). Na osnovi predhodno izbrane metodologije se
postopek preiskave elektronske naprave začne v fazi rekonstrukcije in preiskovanja
podatkov. Ob upoštevanju načela, da se preiskava podatkov ne sme opraviti na edini
kopiji zavarovanih podatkov (pri obdelavi podatkov z različnimi forenzičnimi orodji
namreč lahko pride tudi do spremembe oziroma poškodovanja podatkov), se izdela
dodatna identična kopija zavarovanih podatkov (selektivno kopiranih podatkov ali
slike celotnega nosilca podatkov) oziroma se taki podatki restavrirajo na drug
podatkovni nosilec. To pravzaprav izhaja tudi iz predhodno navedenega zakonskega
določila, da je preiskavo treba opraviti na način, ki ohranja integriteto izvirnih
podatkov in možnost njihove uporabe v nadaljnjem postopku. Zadnje dejstvo je
možno preveriti tako, da se pred in po izvedbi tehničnega dela preiskave preveri, ali
se kontrolna zgoščena vrednost podatkov še vedno ujema z dokumentiranim zapisom
iz faze zavarovanja podatkov.
Preiskovalec mora nato upoštevati načelo uporabe primerne in učinkovite opreme za
izvedbo preiskave, tako da izbere ustrezna forenzična orodja, s katerimi bo lahko
12 Glej poglavje 2.3, kjer je podrobneje opredeljeno zagotavljanje integritete podatkov.
13 Glej prilogo 1, kjer je predstavljen vzorec tovrstnega zapisnika.
31
izvedel obnovitev oziroma priklic nedosegljivih/neberljivih (izbrisani datotečni
objekti, poškodovane podatkovne strukture, t. i. »slack« mrtvi prostor, nedodeljen
diskovni prostor ipd.) in šifriranih/skritih podatkov (z uporabo kriptografije in
steganografije).14 Poleg uporabe predhodno navedenih integriranih večnamenskih
forenzičnih orodij je pogosto treba uporabiti tudi samostojna, ozko namenska
forenzična orodja. Različne podatkovne zbirke in določene drugače strukturirane
podatke (npr. zbirke elektronske pošte, zgodovinski zapisi spletnih brskalnikov, zapisi
registrskih in dnevniških datotek, stisnjene arhivske datoteke ipd.) je namreč treba
predhodno razčleniti in obdelati ter jih s tem pripraviti na preiskovanje (če tega
izbrano forenzično orodje ne izvaja samodejno). S tem se zagotovi razpoložljivost
vseh podatkov, ki se lahko preiskujejo naprej.
S preiskavo se med vsemi razpoložljivimi podatki poizkušajo identificirati tisti, ki bi
lahko bili uporabni kot potencialni digitalni dokaz v nadaljnjem postopku.
Identifikacija tovrstnih podatkov se opravlja z različnimi metodami in obsega
predvsem razne tehnike iskanja podatkov. Ena od najpogostejših je tehnika iskanja
ključnih iskalnih nizov. Pri njeni uporabi se izvaja iskanje unikatnih zapisov oziroma
podatkovnih nizov med surovimi in strukturiranimi podatki, pri tem pa se upoštevajo
tudi različni znakovni nabori. Pri izvedbi je pomembno, da so iskalni nizi resnično
dovolj unikatni, sicer so lahko rezultati tovrstnega iskanja (pre)obsežni in vsebujejo
tudi veliko količino nepomembnih zadetkov oziroma podatkov. Tehnika iskanja z
uporabo regularnih izrazov lahko funkcionalno razširi tako iskanje podatkov, saj se
lahko z njimi na zgoščen način zapiše vzorec iskalnega niza oziroma se lahko pri
iskanju uporabljajo tudi določene regularne logične operacije.
Iskanje podatkov na osnovi unikatnega podpisa datoteke je pogosto uporabljena
tehnika, s katero se med podatki išče unikaten podpis (lahko tudi vzglavje in vznožje)
določenega tipa datoteke. Z njim se, na primer, preprosto identificirajo vse slikovne
datoteke, čeprav iz končnic imena datotek ni razvidno, da gre za slikovne datoteke
(npr. datoteka Glasba.MP3 je dejansko lahko slikovna datoteka tipa GIF). Podatkovni
nosilec, datotečni sistem in tudi posamezne datoteke vsebujejo različne
metapodatke, ki jih je možno s sodobnimi forenzičnimi orodji tudi ustrezno razvrstiti
in filtrirati. Tudi to predstavlja določeno tehniko iskanja podatkov, saj lahko tako
relativno preprosto poiščemo in razvrstimo, na primer, vse datoteke, ki so bile
14 Kriptografija je veda, ki se ukvarja s skrivanjem podatkov z uporabo šifriranja in
dešifriranja. Steganografija je veda, ki se ukvarja s skrivanjem obstoja podatkov.
32
ustvarjene ali spremenjene v določenem času oziroma so v lasti določenega
uporabnika itd.
Zelo uporabna je tudi metoda izločitve t. i. znanih »dobrih« datotek,15 ki v nekem
konkretnem primeru niso forenzično zanimive (npr. splošne datoteke operacijskih
sistemov in pogosto uporabljenih programskih orodij, datoteke, za katere je bila že
predhodno ugotovljena njihova nepomembnost ipd.), zato jih je smiselno izločiti iz
množice preiskovanih podatkov. Metoda deluje na osnovi ujemanja predhodno
izračunanih zgoščenih vrednosti MD5 posameznih datotek na preiskovanem
podatkovnem nosilcu in vrednosti MD5, ki so shranjene v posamezni zbirki. Tovrstno
metodo je možno uporabiti tudi za identifikacijo t. i. znanih »slabih« datotek,16 kjer
se poskušajo na osnovi opisane metode identificirati že predhodno ugotovljene
sporne datoteke (npr. datoteke s slikami spolne zlorabe otrok, datoteke s škodljivo
programsko kodo ipd.).
Izbira ustrezne metode in tehnike identificiranja relevantnih podatkov je odvisna
predvsem od narave oziroma vrste primera. Pri preiskavah, kjer se, na primer, iščejo
sledi uporabe škodljive programske kode, je ena od osnovnih tehnik vsekakor iskanje
po podatkih z različnimi protivirusnimi in drugimi varnostnimi orodji. V primeru
uspešne identifikacije take kode se v nadaljevanju izvede njena podrobnejša analiza,
tako da se v okviru varnega okolja zažene z uporabo razhroščevalnika in programov
za spremljanje sistemskih virov ter mrežnega prometa. Pri tem se ugotovijo
specifična dejstva oziroma nahajališča t. i. digitalnih artefaktov (npr. nastanki
datotek v okviru datotečnega sistema, ki so potrebne za delovanje škodljive
programske kode, spremembe v zapisih registra in dnevniških datotekah
operacijskega sistema ipd.), na osnovi katerih se nato učinkovitejše identificirajo
potencialni digitalni dokazi.
Od tako identificiranih potencialnih digitalnih dokazov poskušamo odstraniti tiste, za
katere lahko z gotovostjo trdimo, da so nepomembni za neko konkretno zadevo (npr.
v zbirki elektronske pošte sta zgolj dve za zadevo pomembni elektronski sporočili,
medtem ko je preostalih 196 elektronskih sporočil povsem nepomembnih, zato jih
15 Zbirko znanih »dobrih« datotek (angl. known good files) je možno prosto pridobiti v okviru
projekta National Software Reference Library (http://www.nsrl.nist.gov).
16 Zbirko znanih »slabih« datotek (angl. known bad files) so lahko pridobili državni organi v
okviru leta 2012 ukinjenega projekta HashKeeper (http://www.justice.gov/archive/ndic).
33
odstranimo iz nadaljnjega postopka). Za preostale podatke opravimo ustrezno
analizo. Če potrdimo, da so le-ti pomembni, jih lahko označimo kot digitalni dokaz
(npr. podrobnejša analiza zaglavja obeh za zadevo pomembnih elektronskih sporočil
in njuno podrobnejše vsebinsko povezovanje z drugimi ugotovljenimi dejstvi v
konkretni zadevi potrjuje njuno pomembnost). Casey (2011) vključuje v proces
analize predvsem kritično razmišljanje, ocenjevanje, eksperimentiranje,
povezovanje in preverjanje, da se na osnovi razpoložljivih dokazov pride do
spoznanja o določenem dogodku. Cilj take analize je torej ugotovitev, kaj se je pri
nekem dogodku zgodilo, predvsem pa kje, kdaj, kako in kdo je bil v to vpleten, ter
seveda, zakaj.
Temeljnega pomena je tudi način predstavljanja dokazov v digitalni obliki, zato
morajo biti vsa pomembna ugotovljena dejstva in okoliščine v zvezi z izvedbo
postopka ustrezno dokumentirana v zapisniku o preiskavi elektronske naprave,17 tako
da jih lahko preveri tretja stranka in doseže enak rezultat. Avtorji Ashcroft, Daniels
in Hart (2004) poudarjajo, da mora biti proces dokumentiranja prisoten v celotnem
postopku preiskave, saj se lahko samo tako celostno in natančno dokumentirajo vsa
izvedena opravila in rezultati preiskave.
Podatke, ki predstavljajo digitalen dokaz oziroma druge pomembne izločene podatke
(npr. seznami datotečnih objektov, različna elektronska poročila o stanju in
delovanju sistema ipd.), shranimo na ustrezen prenosni podatkovni nosilec. V primeru
poziva sodišča je potrebno tudi pričanje o izvedenem postopku in predstavitev
digitalnih dokazov ter ugotovitev v zvezi z njimi.
2.2.7 Statistični pregled števila postopkov digitalne forenzike
Slovenska policija v okviru lastnih evidenc ugotavlja število izvedenih postopkov
digitalne forenzike oziroma preiskav elektronskih naprav in vključujočih predhodnih
postopkov zavarovanj podatkov, ki jih vsakoletno opravi za potrebe predkazenskih
postopkov. Policija (2008) v svojem letnem poročilu o delu navaja, da je leta 2006
obravnavala 259 primerov preiskav elektronskih naprav, medtem ko se je leta 2007
število teh postopkov strmo povzpelo na 551. Ugotavlja tudi zmerno rast števila
preiskav v letu 2008, ko je bilo opravljenih 619 postopkov, in v letu 2009, ko je bilo
17 Glej prilogo 2, kjer je predstavljen vzorec zapisnika o preiskavi elektronske naprave.
34
izvedenih 711 postopkov (Policija, 2010). Leta 2010 je opazen trend ponovne visoke
rasti števila preiskav, saj jih je bilo opravljenih kar 1.336 (Policija, 2011). Tak trend
se je nadaljeval tudi v letu 2011, z 2.110 opravljenimi preiskavami, in v letu 2012, ko
je bilo izvedenih 2.635 preiskav elektronskih naprav (Policija, 2013).
Slika 3: Število postopkov digitalne forenzike
Iz slike 3 je razviden pozitiven trend rasti števila tovrstnih postopkov praktično od
leta 2006 naprej, kar kaže na dejstvo, da so elektronske naprave vse pogosteje
udeležene kot nosilec digitalnih dokazov. Relativno skrb vzbujajoč je podatek, da se
je v tem času število preiskav na letni ravni povečalo za kar desetkrat. Pri tem pa se
moramo zavedati tudi obstoja t. i. temnega polja, ko oškodovanci zaradi različnih
razlogov ne prijavljajo storjenih dejanj (posledice se jim ne zdijo dovolj pomembne,
to bi škodovalo njihovemu dobremu imenu ipd.) oziroma se takih dejanj sploh ne
zavedajo. V primeru ustrezne zaznave vseh teh dejanj s strani organov odkrivanja in
pregona bi se namreč povečale tudi potrebe oziroma zahteve za izvedbo postopkov
digitalne forenzike.
2.3 Zagotavljanje integritete podatkov
Temeljna naloga sodišč v neki konkretni zadevi je ugotovitev resnice oziroma
dejanskega stanja, kar delajo na osnovi upoštevanja veljavnih in zakonito
35
pridobljenih dokazov. Zadnji so namreč vir spoznanja o kakšnih pomembnih dejstvih,
na katera se lahko sodišče opre pri svojih odločitvah. Zagotavljanje integritete
podatkov je postopek, s katerim se zagotavlja, da je istovetna kopija podatkov tudi
dejansko neokrnjena oziroma skladna z izvirnimi podatki, kar je osnova za možnost
uporabe takih podatkov v nadaljnjih postopkih. Kovačič (2012) poudarja, da je cilj
forenzičnega zasega podatkov ohranitev integritete zajetih podatkov in s tem
dokazne vrednosti na sodišču in da je to ključnega pomena tudi za preprečitev
podtikanja ali nepooblaščenega brisanja podatkov.
Starejši sodniki, tožilci in odvetniki si pogosto zatiskajo oči pred digitalnimi dokazi,
še posebej pred njihovo dokazno vrednostjo, in s tem tudi pred pomembnostjo
pravilnega ugotavljanja dejanskega stanja (Krumpak, 2012). Čeprav zakoni
opredeljujejo pomen dokazov v elektronski obliki, se v praksi organi pregona še
vedno srečujejo s problemom nerazumevanja postopkov računalniške forenzike, kar
povečuje dvom o zanesljivosti tako pridobljenih dokazov in možnost izpodbijanja
njihove verodostojnosti (Bernik in Prislan, 2011). Posledica tega je, da se taki dokazi
oziroma podatki pogosto obravnavajo z veliko mero skeptičnosti in nezaupanja, kar
lahko bistveno vpliva na pravilnost sodne odločitve (npr. zagovor, da so bili podatki
dodatno spremenjeni v delu, ki je ključen za dokazovanje nekega pomembnega
dejstva). Rešitev se kaže v njihovem dobrem poznavanju temeljnih postopkov in
pravil za pridobivanje ter zagotavljanje integritete tovrstnih podatkov. Caloyannides
(2004) opisuje, da v teh primerih sodišča pogosto uporabljajo tudi zaslišanja
strokovnih prič oziroma sodnih izvedencev računalniške in digitalno-forenzične
stroke.
Zagotavljanje integritete podatkov pri njihovem zavarovanju predpisujejo predhodno
navedena določila ZKP-J, ki določajo, da je treba tak postopek izvesti tako, da se
izdela istovetna18 kopija podatkov, pri čemer pa je treba zagotoviti tudi njihovo
integriteto.19 To se najpogosteje zagotavlja z izračunom kontrolne vrednosti
podatkov, ki se zapiše v zapisnik oziroma se v zapisniku na kakšen drug ustrezen
način zagotovi možnost njihovega poznejšega preverjanja. Tudi preiskavo
elektronske naprave je treba opraviti tako, da se ohrani integriteta izvirnih podatkov
in s tem možnost njihove uporabe v nadaljnjem postopku. Tako zapisano kontrolno
vrednost lahko namreč vedno uporabimo za preverjanje integritete podatkov, s čimer
18 Istovetnost podatkov pomeni identičnost oziroma enakost podatkov.
19 Integriteta podatkov pomeni neokrnjenost oziroma skladnost podatkov.
36
ugotovimo, ali so podatki še vedno enaki kot v fazi zavarovanja podatkov oziroma pri
prvotnem izračunu kontrolne vrednosti.
Digitalni podatki oziroma podatkovni nosilci se namreč lahko zelo hitro spremenijo
oziroma poškodujejo, saj so zelo občutljivi na različne mehanske, magnetne,
električne, statične in druge vplive. Navsezadnje bi jih lahko teoretično nekdo tudi
namenoma spremenil oziroma priredil za dosego katerega drugega cilja. Zato je
treba zagotoviti tudi ustrezno ravnanje in zaščito elektronskih naprav oziroma
podatkovnih nosilcev že neposredno po njihovem zasegu. Če se postopek zavarovanja
podatkov ne opravi na kraju samem, je treba zasežene elektronske naprave shraniti v
ustrezno embalažo, ki se zapečati z uradnim pečatom. Tudi s tem se zagotovi
integriteta zaseženih elektronskih naprav oziroma na njih shranjenih podatkov do
uspešno izvedenega postopka zavarovanja podatkov.
Zagotavljanje integritete podatkov s stališča digitalne forenzike je namreč izredno
pomembno, saj je ključnega pomena, da se v teh postopkih dejansko obdelujejo
podatki, identični tistim, ki so bili na izvirnih podatkovnih nosilcih oziroma
elektronskih napravah.
2.3.1 Enosmerne kriptografske zgoščevalne funkcije
Zgoščevalne funkcije (angl. hash functions) so zaradi svojih značilnosti pogosto
poimenovane tudi kot kriptografske zgoščevalne funkcije (angl. cryptographic hash
functions) oziroma kot enosmerne zgoščevalne funkcije (angl. one-way hash
functions). Namen zgoščevalnih funkcij je preslikava poljubno dolgega niza vhodnih
podatkov v blok konstantne dolžine, ki predstavlja nekakšen prstni odtis oziroma
povzetek vhodnega niza (angl. message digest, message fingerprint), pogosto
poimenovan tudi kot zgoščena vrednost ali kontrolna vsota (Paar in Pelzl, 2010;
Schmeh, 2003; Stallings, 2011). Diagramska ponazoritev delovanja zgoščevalne
funkcije je razvidna iz slike 4.
37
Slika 4: Blokovni diagram kriptografske zgoščevalne funkcije (vir: Stallings, 2011)
Zgoščevalne funkcije za izračun zgoščenih vrednosti morajo na področju digitalne
forenzike zagotavljati, da:
ne obstajata dva različna niza vhodnih podatkov, ki bi vrnila enako zgoščeno
vrednost, oziroma da je verjetnost, da taka različna niza vhodnih podatkov
obstajata, čim manjša (Kovačič, 2008),
se enak vhodni podatek vedno preslika v enako zgoščeno vrednost, kar omogoča
ponovljivost postopka in s tem pridobitev enakega rezultata,
omogočajo zgolj enosmerno preslikavo poljubnih podatkov v zgoščeno vrednost,
tako da nasprotni izračun in s tem restavracija izvoznih podatkov samo iz
zgoščene vrednosti ni mogoča oziroma je vsaj zelo nepraktična in kompleksna
(Kovačič, 2008),
vsaka (še tako majhna) sprememba vhodnih podatkov povzroči t. i. učinek plazu
oziroma drastično spremembo v zapisu zgoščene vrednosti (Schmeh, 2003).
Osnovni namen zgoščevalnih funkcij je zagotavljanje integritete (Stallings, 2011). Če
bi želeli integriteto podatkov dodatno preveriti, lahko to storimo z uporabo iste
zgoščevalne funkcije, kot je bila uporabljena prvotno. Enak vhodni podatek se
namreč ob uporabi iste zgoščevalne funkcije vedno preslika v enako zgoščeno
vrednost. V primeru ujemanja zgoščenih vrednosti lahko potrdimo integriteto
podatkov, v nasprotnem primeru pa so se vhodni podatki spremenili.
38
Za postopke digitalne forenzike oziroma za zagotavljanje integritete podatkov je
izredno pomembna lastnost zgoščevalnih funkcij, ki zagotavlja, da ne obstajata dva
povsem enaka vhodna podatka, za katera bi se izračunala enaka zgoščena vrednost.
Thompson (2005) opisuje, da je zato pri zgoščevalnih funkcijah zelo pomembna
dolžina povzetka vhodnega niza, saj ta vpliva na število vseh možnih zgoščenih
vrednosti. Če ima posamezna zgoščevalna funkcija dolžino povzetka vhodnega niza 64
znakov, to pomeni, da bi za uspešen napad potrebovali 264 različnih kombinacij. Če bi
imel posamezni računalnik zmogljivost izračuna enega milijona zgoščenih vrednosti
na sekundo in bi imel posameznik na voljo 10.000 takih računalnikov, povezanih v
gručo, bi še vedno potreboval do 58 let, da bi izračunal vse možne kombinacije.
Danes pogosteje uporabljene zgoščevalne funkcije imajo bistveno daljše povzetke
vhodnega niza, in sicer MD5 128 znakov, SHA-1 160 znakov, SHA-256 256
znakov, kar zagotavlja izredno veliko različnih kombinacij (2128, 2160, 2256). Sočasna
uporaba dveh zgoščevalnih funkcij (npr. MD5 in SHA-1) praktično še poveča dolžino
skupnega povzetka vhodnega niza (ta predstavlja vsoto dolžin povzetkov uporabljenih
zgoščevalnih funkcij), kar povečuje število vseh možnih zgoščenih vrednosti.
To zagotovilo pa žal ni absolutno, saj se pri zgoščevalnih funkcijah vedno pojavlja
določena (sicer majhna) verjetnost, da obstajata dva različna podatka z enako
zgoščeno vrednostjo. Thompson (2005) pri tem poudarja, da lahko, če je v
posameznem zgoščevalnem algoritmu odkrita določena pomanjkljivost, izraba take
pomanjkljivosti bistveno zmanjša učinkovitost dolžine povzetka vhodnega niza, ki je
posledično manjši, kot je bilo prvotno načrtovano, in vodi v kolizijo oziroma
sovpadanje zgoščenih vrednosti.
Enosmerne zgoščevalne funkcije omogočajo učinkovito in računsko preprosto
preslikavo poljubnih podatkov v zgoščeno vrednost. Njihova pretvorba v nasprotni
smeri, torej če bi želeli iz znane zgoščene vrednosti izračunati prvotne poljubne
podatke, pa je računsko izredno težka oziroma matematično zelo zahtevna
(ponazorjeno v sliki 5). Od tu tudi izvira ime »enosmerne« zgoščevalne funkcije
(Goldreich, 2005).
39
Slika 5: Računska zahtevnost enosmerne funkcije (vir: Goldreich, 2005)
S stališča digitalne forenzike je izredno pomembno tudi to, da vsakršna sprememba
vhodnih podatkov močno spremeni zgoščeno vrednost. To lahko ponazorimo s
primerom, ko je vhodni podatek »Slovenija, moja dežela«, za katerega izračunamo
zgoščeno vrednost SHA-1 »63768353BA55651F1AD07C3CF940A6400B2AE879«. Če
spremenimo zgolj en znak vhodnega podatka (»ž« spremenimo v »z«), torej
»Slovenija, moja dezela«, in ponovimo izračun, dobimo zgoščeno vrednost SHA-1
»4E2B5E9ACE3156133F1D9813FAA5FEEC61BB9750«. Iz tega je razvidno, da je
sprememba vhodnega podatka zgolj v enem znaku drastično spremenila zapis
zgoščene vrednosti.
Zgoščevalni algoritmi se poleg zagotavljanja integritete podatkov pri digitalni
forenziki pogosto uporabljajo tudi za druge namene (za predhodno navedeno
identifikacijo »dobrih« in »slabih« datotek v okviru opravljanja preiskave, za
identifikacijo škodljive programske kode s strani protivirusnih orodij, za shranjevanje
in zaščito uporabniških gesel, pri implementacijah časovnega žigosanja, digitalnih
podpisov, pri overitvah digitalnih certifikatov itd.).
Zgoščevalnih funkcij je danes relativno veliko, vendar v praksi niso vse enako
razširjene oziroma primerne za postopke digitalne forenzike. Prevladujoče oziroma
pomembnejše so predvsem (Paar in Pelzl, 2010):
MD5: je nastala leta 1991 kot nadomestilo za MD4. Pri uporabi ustvari zgoščeno
vrednost dolžine 128 znakov. V njej so bile leta 1996 odkrite resne
pomanjkljivosti, kljub temu pa je njena uporaba še vedno zelo razširjena;
SHA-1: je bila razvita leta 1995. Pri uporabi ustvari zgoščeno vrednost dolžine 160
znakov. V njej so bile leta 2005 odkrite teoretične pomanjkljivosti;
40
SHA-2: je nastala leta 2001 in je poznana tudi kot SHA-256, SHA-384, SHA-512 in
leta 2004 predstavljena SHA-224, ki pri uporabi ustvari zgoščeno vrednost dolžine
224, 256, 384 oziroma 512 znakov. V njej še niso bile odkrite varnostne
pomanjkljivosti, vendar je za njeno delovanje potrebnih več sistemskih virov.
Med pomembnejše zgoščevalne funkcije prištevamo tudi leta 2012 nastalo SHA-3, ki
pri uporabi ustvari zgoščeno vrednost dolžine 224, 256, 384 oziroma 512 znakov,
vendar še ni široko implementirana v različna forenzična in druga programska orodja,
kar trenutno onemogoča njeno širšo uporabo.
2.3.2 Pomanjkljivosti zgoščevalnih funkcij
Vse zgoščevalne funkcije niso enako zanesljive in primerne za uporabo v postopkih
digitalne forenzike. Za ocenjevanje njihove ustreznosti je namreč treba upoštevati
naslednje varnostne kriterije in značilnosti (Paar in Pelzl, 2010; Stallings, 2011):
odpornost na kolizijo (angl. collision resistance), s čimer označujemo dva različna
vhodna podatka z enako zgoščeno vrednostjo. Kolizije so prisotne pri vsaki
zgoščevalni funkciji, saj imamo praktično neskončno mnogo možnih vhodnih
podatkov, ki jih je treba z uporabo zgoščevalne funkcije preslikati v končno
mnogo izhodnih zgoščenih vrednosti. Pomembna in zahtevana lastnost
zgoščevalnih funkcij je, da se kolizij v kratkem času in z uporabo trenutno
razpoložljivih računskih virov ne da dovolj hitro odkriti;
odpornost na pred-slike (angl. preimage resistance), s čimer pri zgoščevalnih
funkcijah označujemo lastnost enosmernosti. Zgoščevalne funkcije morajo
namreč imeti možnost, da se v kratkem času in z uporabo trenutno razpoložljivih
računskih virov ne da najti vhodnih podatkov, če je znana zgolj preslikana
zgoščena vrednost;
odpornost na druge pred-slike (angl. second preimage resistance), s čimer
označujemo lastnost zgoščevalnih funkcij, pri kateri je v kratkem času in z
uporabo trenutno razpoložljivih računskih virov nemogoče najti druge vhodne
podatke, ki imajo enako preslikano zgoščeno vrednost kot znani vhodni podatki.
Na področju digitalne forenzike se trenutno največ uporabljata zgoščevalna
algoritma MD5 in SHA-1. Nekatere raziskave v kriptografiji in matematiki pa so žal
pokazale, da ta algoritma vsebujeta določene matematične slabosti, ki lahko
privedejo do kolizij. V praksi to pomeni, da je na osnovi enega niza vhodnih podatkov
41
in njegove zgoščene vrednosti MD5 mogoče poiskati drugi niz vhodnih podatkov z
enako zgoščeno vrednostjo MD5. Potencialni napadalec bi lahko namreč na osnovi
digitalne kopije forenzičnih podatkov in njihove zgoščene vrednosti MD5 ustvaril
takšno spremenjeno (lažno) kopijo digitalnih podatkov, da preverjanje integritete
podatkov z algoritmom MD5 ne bi pokazalo, da je prišlo do posega v integriteto
podatkov. Na področju digitalne forenzike bo zato treba uporabiti izboljšane in
novejše zgoščevalne funkcije, katerih slaba lastnost pa je podaljšanje časa izračuna
kontrolne vrednosti in s tem posledično tudi podaljšanje časa postopkov digitalne
forenzike (Kovačič, 2008).
Praktičen primer kolizije MD5 oziroma sovpadanja zgoščene vrednosti sta predstavila
Lucks in Daum (2005) v primeru datoteke s priporočilnim pismom, za katero je bila
izračunana zgoščena vrednost MD5 »A25F7F0B29EE0B3968C860738533A4B9«. Vsebino
priporočilnega pisma sta spremenila tako, da je namesto priporočila vsebovala
odredbo za pridobitev dostopa do vseh zaupnih podatkov (razvidno iz slike 6). Pri
spremembi datoteke sta izrabila varnostne pomanjkljivosti zgoščevalne funkcije MD5,
tako da je imela tudi nova (vsebinsko spremenjena) datoteka enako zgoščeno
vrednost MD5 »A25F7F0B29EE0B3968C860738533A4B9«.
Slika 6: Vsebini priporočilnega pisma in odredbe (vir: Lucks in Daum, 2005)
42
Rešitev za ugotovljeno pomanjkljivost se kaže v uporabi boljše zgoščevalne funkcije
(npr. SHA-2), ki pa ni vedno podprta s strani forenzičnih programskih orodij.
Alternativa temu je lahko tudi sočasna uporaba več različnih zgoščevalnih funkcij
(npr. MD5 in SHA-1), saj je možnost, da bi na hkratno varnostno pomanjkljivost
naleteli v obeh zgoščevalnih funkcijah, izredno majhna. Za zagotovitev integritete
podatkov v takem primeru bi se morale sočasno ujemati zgoščene vrednosti obeh
uporabljenih zgoščevalnih funkcij. To je razvidno tudi iz slike 7, kjer je možno
opaziti kolizijo obeh zgoščenih vrednosti MD5, medtem ko se druge zgoščene
vrednosti med seboj razlikujejo.
Slika 7: Prikaz različnih zgoščenih vrednosti priporočilnega pisma in odredbe
Slaba stran uporabe boljših in naprednejših zgoščevalnih funkcij oziroma njihove
sočasne uporabe pa se kaže v večji uporabi sistemskih virov razpoložljive opreme in v
daljših postopkih. To pride do izraza predvsem v primerih, ko je vhodnih podatkov
izredno veliko, kar za postopke digitalne forenzike predstavlja vedno večji problem.
Tudi Selinger (2006) je predstavil praktičen primer kolizije MD5. Ustvaril je namreč
dve preprosti izvršilni datoteki za okolje Microsoft Windows, ki imata enako zgoščeno
vrednost MD5 »CDC47D670159EEF60916CA03A9D4A007«. Ob njuni izvršitvi je postalo
jasno, da gre za vsebinsko povsem različni oziroma drugačni datoteki (razvidno iz
slike 8).
43
Slika 8: Primer kolizije MD5 v izvršilni datoteki (vir: Selinger, 2006)
Izraba kolizije v zgoščevalni funkciji MD5 je bila med drugim zelo obširno uporabljena
tudi pri škodljivi programski kodi t. i. črvu »Flame«, ki je z uporabo navedene
metode podpisoval lastne datoteke. S tem je pretental operacijski sistem Microsoft
Windows v namestitev teh datotek, saj je le-ta (lažno) »domneval«, da gre za
legitimno programsko opremo in s tem omogočil okužbo sistema s škodljivo
programsko kodo.
Zelo razširjen in priljubljen zgoščevalni algoritem MD5 je torej zaradi odkritih
pomanjkljivosti in praktičnih zlorab nezanesljiv. Resne, vendar zgolj teoretične
pomanjkljivosti so bile odkrite tudi v zgoščevalnem algoritmu SHA-1, zato je
priporočljivo tudi njegovo postopno prenehanje uporabe (Paar in Pelzl, 2010).
Uspešni napadi so bili izvedeni tudi na sicer manj uporabljeno zgoščevalno funkcijo
SHA-0, zato tudi njena uporaba ni primerna. Vsekakor pa sta za namene digitalne
forenzike oziroma, konkretneje, za zagotavljanje integritete zavarovanih podatkov
primerni zgoščevalna funkcija SHA-2, v kateri ni bilo odkritih resnih pomanjkljivosti,
in SHA-3, ki je po svoji zasnovi še bistveno varnejša in boljša.
2.3.3 Programska orodja za izračun zgoščenih vrednosti
Programskih orodij za izračun zgoščenih vrednosti je relativno veliko. Pojavljajo se v
obliki strogo namenskih orodij, pogosto pa je njihova funkcionalnost vključena v
različna vsestranska forenzična orodja. Strogo namenska orodja lahko podpirajo zgolj
posamezne zgoščevalne funkcije, lahko pa so prirejena za uporabo več različnih
tovrstnih funkcij. V okviru vsestranskih forenzičnih orodij so funkcije za izračun
zgoščenih vrednosti prisotne predvsem v orodjih za izdelavo identičnih kopij
44
podatkov in v orodjih za izvajanje forenzičnih preiskav. V nadaljevanju bo
predstavljenih zgolj nekaj tovrstnih orodij, ki so po svoji funkcionalnosti in zasnovi
primerna za vsestransko uporabo pri postopkih digitalne forenzike.
Orodje Karen's Hasher20 je prosto dosegljivo namensko orodje za izračun zgoščenih
vrednosti, ki podpira zgoščevalne funkcije MD5, SHA-1 in SHA-2 (oziroma SHA-224,
SHA-256, SHA-384 in SHA-512). Prirejeno je za delovanje v okolju Microsoft Windows,
omogoča izbiro različnih tipov vhodnih podatkov (tekstovni podatki, posamezne
datoteke ali skupine datotek) in preprost izvoz izračunanih zgoščenih vrednosti.
Praktično enake značilnosti in funkcionalnosti lahko pripišemo tudi že predhodno
omenjenemu orodju CyoHash. Pomanjkljivost obeh navedenih orodij se kaže v tem,
da nimata možnosti izračunavanja zgoščenih vrednosti celotnega podatkovnega
nosilca oziroma posameznih diskovnih particij.
Zadnjo funkcionalno pomanjkljivost v celoti odpravlja namenska zbirka »md5deep«,21
v kateri je več posameznih orodij za izračun različnih zgoščenih vrednosti (MD5, SHA-
1, SHA-2 itd.). Poleg celotnega podatkovnega nosilca in posameznih diskovnih particij
lahko za vhodne podatke izberemo tudi tekstovne datoteke, posamezne datoteke in
tudi druge oblike podatkov. Zbirka je sicer prosto dosegljiva za različne operacijske
sisteme (Microsoft Windows, Apple OS X, GNU/Linux, FreeBSD itd.).
V okviru že predhodno omenjenih rešitev so zgoščevalne funkcije tudi v orodjih FTK
Imager in Tableau Imager, ki sta v svoji osnovi namenjena izdelavi identične kopije
podatkov. Izračun zgoščene vrednosti MD5 in/ali SHA-1 opravljata sočasno z izdelavo
identične kopije podatkov. Vse pomembne lastnosti, tudi izračunane zgoščene
vrednosti, po koncu postopka zapišeta v elektronsko poročilo. Zgoščevalne funkcije
so tudi v okviru predstavljenih integriranih forenzičnih orodij (npr. EnCase Forensic in
X-Ways Forensics), s katerimi se v okviru preiskave podatkov preverja integriteta
zavarovanih podatkov.
Izbira najprimernejšega orodja za izračun zgoščenih vrednosti je torej odvisna od več
različnih dejavnikov vrsta podprte zgoščevalne funkcije, vrsta vhodnega podatka,
vrsta uporabljenega operacijskega sistema, od zanesljivosti in preverjenosti orodja,
od drugih specifičnih okoliščin in navsezadnje tudi od osebne preference uporabnika.
20 Avtorice Karen Kenworthy (http://www.karenware.com/powertools/pthasher.asp).
21 Avtorja Jesse Kornblum (http://md5deep.sourceforge.net).
45
2.3.4 Drugi načini zagotovitve integritete podatkov
Integriteto podatkov je možno (poleg v zapisniku navedene kontrolne vrednosti)
zagotavljati tudi na druge ustrezne načine, ki so dokumentirani v zapisniku. Zgoščena
vrednost torej ni tista edina metoda, čeprav se pogosto zgodi, da zagovorniki brez
kakršne koli strokovne argumentacije trdijo prav to. Zakonodaja podrobneje niti ne
poskuša opredeliti oziroma našteti, kateri so takšni alternativni načini. Ena od
možnosti je zaslišanje vseh oseb, ki so delovale oziroma so bile vpletene v prenos
takih podatkov. Sodna praksa je namreč že velikokrat pristala na preverjanje
verodostojnosti pridobljenega digitalnega dokaza z zaslišanjem (Krumpak, 2012). Z
zagotavljanjem jasno dokumentirane sledljivosti (t. i. skrbniška veriga) se lahko v
sodnih postopkih natančno ve, kdo vse in kdaj je deloval s posameznimi digitalnimi
podatki od njihove pridobitve naprej.
Uporabiti je možno tudi metodo, da se pri postopku zavarovanja podatkov izdelata
dve identični kopiji podatkov, ki sta shranjeni na ločena podatkovna nosilca. V
nadaljevanju se en podatkovni nosilec ustrezno zapečati z uradnim pečatom, kar
onemogoča manipulacijo s shranjenimi podatki, druga kopija podatkov pa se uporabi
pri nadaljnjem postopku preiskave podatkov. Ta dejstva in okoliščine se podrobno
navedejo tudi v zapisnik. Če bi bilo treba na sodišču dodatno preveriti integriteto
podatkov, se prvotni podatkovni nosilec odpečati, nato pa se primerja identičnost
tam shranjenih podatkov s tistimi, ki so bili uporabljeni pri njihovi preiskavi. Če bi
bili zadnji drugačni, ima sodišče možnost odrediti ponovitev postopka s podatki, ki so
na zapečatenem podatkovnem nosilcu.
Občasno je uporabljena tudi metoda neposrednega fotografskega dokumentiranja
podatkov. Zaradi širokega nabora različnih elektronskih naprav pogosto z
razpoložljivo opremo ni možno izdelati kopije tam shranjenih podatkov (npr. iz
določenih vrst mobilnih telefonov, navigacijskih naprav ipd.). V teh primerih je sicer
predvideno, da se take elektronske naprave zapečatijo in hranijo, dokler je to
potrebno za postopek, vendar ne dlje kot šest mesecev. V določenih primerih je zato
smotrno, da se podatki iz takih elektronskih naprav fotografsko dokumentirajo (npr.
telefonski imenik mobilnega telefona, posamezna SMS-sporočila ipd.), nato pa se
tako pridobljeni podatki vključijo v zapisnik. V zadnjem se tudi podrobneje opišejo in
obrazložijo razlogi za izbiro take metode zagotavljanja integritete podatkov.
46
Razvidno je, da je integriteto podatkov možno zagotavljati na različne načine.
Vsekakor je glede na okoliščine primera pomembno, da se izbere najprimernejša in
najučinkovitejša možnost.
2.3.5 Zagotavljanje integritete v fazi zavarovanja podatkov
Zagotavljanje integritete v fazi zavarovanja podatkov se najpogosteje opravi z
izračunom kontrolne vrednosti zavarovanih podatkov, ki se zapiše v zapisnik o
zavarovanju podatkov elektronske naprave.
Pri postopku zavarovanja podatkov najprej izdelamo istovetno oziroma identično
kopijo podatkov, ki jih želimo zavarovati. Temu postopku sledi izračun zgoščene
vrednosti izvirnih podatkov in izračun zgoščene vrednosti kopiranih podatkov. V
nadaljevanju se obe zgoščeni vrednosti med seboj vsebinsko primerjata. Če se
zgoščeni vrednosti ujemata, lahko načeloma potrdimo, da so zavarovani oziroma
kopirani podatki dejansko identični izvirnim podatkom. Z dokumentiranjem oziroma z
zapisom izračunane zgoščene vrednosti v zapisnik se omogoči poznejše preverjanje
neokrnjenosti in skladnosti izdelane kopije podatkov in s tem tudi možnost njihove
uporabe v nadaljnjem postopku. Z drugimi besedami, zavarovanim podatkom se s
tem zagotovi integriteta.
Prej navedena trditev, da gre načeloma za dejansko identične podatke, izhaja iz
ugotovitev, da imajo določene zgoščevalne funkcije odkrite različne pomanjkljivosti.
Zato je pomembno, da se pri postopku zavarovanja podatkov uporabi dovolj sodobna
zgoščevalna funkcija (npr. SHA-512) oziroma kombinacija uveljavljenih zgoščevalnih
funkcij (MD5 in SHA-1), ki nudijo visoko odpornost na različne pomanjkljivosti in s
tem veliko zanesljivost. Izbira je odvisna predvsem od podpore posameznih
zgoščevalnih funkcij v uporabljeni programski opremi.
Iz slike 9 je razvidno končno poročilo kopiranja identičnih podatkov orodja FTK
Imager. Iz izračunanih zgoščenih vrednosti MD5 in SHA-1 vhodnih podatkov ter
zgoščenih vrednosti MD5 in SHA-1 kopiranih podatkov je razvidno, da se te ujemajo,
kar potrjuje, da so izvirni podatki enaki izdelani kopiji podatkov.
47
Slika 9: Primerjava zgoščenih vrednosti pri izdelavi identične kopije podatkov
Pri tem je treba posebej izpostaviti, da vse programske rešitve, ki so namenjene
izdelavi istovetne kopije podatkov (npr. orodje »dd«), ne nudijo možnosti izračuna
zgoščenih vrednosti. Zato je treba po izdelavi identične kopije podatkov uporabiti
tudi namenska orodja za izračun zgoščenih vrednosti (npr. orodje iz zbirke
»md5deep«) in z njimi zagotoviti integriteto podatkov. V primeru uporabe
kombiniranih orodij (FTK Imager, Tableau Imager) lahko obe opravili (kopiranje
podatkov in izračun zgoščenih vrednosti) združimo. Iz tega posledično izhaja tudi
ugotovitev, da vse programske rešitve za izdelavo identične kopije podatkov
(samostojno) ne zagotavljajo integritete podatkov.
Zaradi lažje nadaljnje obdelave se kopirani podatki običajno shranjujejo v t. i.
identično sliko podatkov, ki je sestavljena iz ene ali več datotek. Integriteto
podatkov je namreč možno zagotoviti tudi z izračunom zgoščenih vrednosti vseh
posameznih datotek, ki predstavljajo identično sliko podatkov, in ne zgolj z zgoščeno
vrednostjo zavarovanih podatkov kot celote. Zelo razširjen je tudi zapis identične
slike podatkov v formatu »E01«,22 za katerega avtorja Bunting in Wei (2006)
navajata, da kopirane podatke najprej stisne in jih nato razdeli na bloke konstantne
velikosti. Za vsak blok nato izračuna zgoščeno vrednost CRC, za celotne podatke pa
uporabi zmogljivejšo zgoščevalno funkcijo. Tako izračunane zgoščene vrednosti lahko
uporabimo v nadaljnjih postopkih za preverjanje skladnosti kopije podatkov z
izvirnikom.
22 »E01« je format za zapis slike podatkov, ki se je prvotno uporabljal v orodju EnCase
Forensic, vendar je pozneje postal splošno sprejet in podprt tudi v drugih forenzičnih orodjih.
48
V posebnih okoliščinah se lahko integriteta podatkov pri postopku zavarovanja
zagotavlja tudi na kakšen drug ustrezen in predhodno že opisan način (zapečatenje
enega podatkovnega nosilca, fotografsko dokumentiranje podatkov, zaslišanje na
sodišču ipd.), vendar so taki postopki relativno redki.
2.3.6 Zagotavljanje integritete v fazi preiskave elektronske naprave
Tudi preiskavo elektronske naprave oziroma predhodno zavarovanih podatkov je
treba opraviti tako, da se ohrani integriteta izvirnih podatkov in možnost njihove
uporabe v nadaljnjem postopku.23
Postopek preiskave elektronske naprave torej ne sme spremeniti izvirnih podatkov,
zato je strokovno pravilno, da se za namen preiskave elektronske naprave izdela
ustrezno število dodatnih kopij zavarovanih podatkov (upošteva se načelo, da se
preiskava elektronske naprave ne opravlja na edini kopiji podatkov). Postopek
preiskave oziroma z njim povezana digitalno-forenzična opravila so namreč za
podatkovne nosilce, na katerih so shranjeni zavarovani podatki, izredno
obremenjujoča, zato se lahko taki podatki med opravljanjem preiskave tudi
poškodujejo oziroma spremenijo.
Pred samo tehnično izvedbo preiskave elektronske naprave se izračuna zgoščena
vrednost vseh pri preiskavi uporabljenih kopij zavarovanih podatkov. Pri tem se
uporabijo tiste zgoščevalne funkcije, ki so bile uporabljene pri postopku zavarovanja
podatkov. Po izračunu teh vrednosti se te vsebinsko primerjajo s tistimi, ki so
navedene v zapisniku o zavarovanju podatkov elektronske naprave. Če se vse
smiselno ujemajo, lahko trdimo, da gre za dejansko identične kopije podatkov, ki so
skladne z izvirnimi podatki, in se lahko uporabijo pri postopku preiskave. Tovrstni
postopki so namreč lahko tudi zelo dolgi (običajno trajajo več dni, pri kompleksnejših
zadevah lahko tudi več tednov), zato bi bilo neodgovorno, da bi se ves ta čas
preiskovali podatki, ki sploh niso ustrezni oziroma enaki izvirnim podatkom.
23 Glej poglavje 2.2.1, kjer so podrobneje predstavljena zakonska določila za izvedbo
preiskave elektronske naprave.
49
Postopek preverjanja integritete vseh kopij zavarovanih podatkov, ki so bile
uporabljene pri preiskavi, je treba ponoviti tudi po koncu tehnične izvedbe preiskave
elektronske naprave. S tem se namreč zagotovi, da so se v okviru preiskave dejansko
ves čas preiskovali in obdelovali podatki, identični tistim, ki so bili na izvirnem
podatkovnem nosilcu. Vsako preverjanje integritete podatkov (tako tisto pred
tehnično izvedbo preiskave kot tudi tisto po njej) je treba ustrezno dokumentirati
oziroma zapisati v zapisnik o preiskavi elektronske naprave.
Zagotavljanje integritete podatkov pri postopku preiskave elektronske naprave je
strokovno smiselno tudi v primeru identifikacije za zadevo pomembnih podatkov, ki
jih označujemo tudi kot digitalen dokaz. Tovrstni podatki so namreč izločeni iz
množice vseh digitalnih podatkov in so običajno rezultat dolgotrajnih postopkov. Za
vse identificirane digitalne dokaze je zato pravilno, da se izračuna njihova ustrezna
zgoščena vrednost, ki se navede v zapisnik o preiskavi elektronske naprave, oziroma
se integriteta digitalnih dokazov zagotovi kako drugače (zapečatenje podatkovnega
nosilca s kopijo digitalnih dokazov, fotografiranje digitalnih dokazov, vstavljanje
podatkov v zapisnik v obliki zaslonskih slik ipd.). S tem se namreč za potrebe
nadaljnjih postopkov zagotovi integriteta identificiranih digitalnih dokazov.
Če je bilo zagotavljanje integritete podatkov opravljeno z zapečatenjem
podatkovnega nosilca (na katerem je ena identična kopija izvirnih podatkov), se
takega nosilca v fazi preiskave elektronske naprave ne sme odpečatiti. Prav
zapečatena identična kopija podatkov je namreč tisto zagotovilo, ki v takem primeru
služi za zagotavljanje integritete podatkov v nadaljnjih postopkih.
Z doslednim zagotavljanjem integritete podatkov v celotnem postopku se zagotovi
možnost poznejše uporabe identične kopije izvirnih podatkov in s tem tudi
ponovljivost določenih pomembnih postopkov, kar je ključnega pomena za veljavnost
digitalnih dokazov na sodišču.
50
3 Primer izvedbe postopka
4. 1. 2014 je mlajši moški na dvorišču v bližini vrtca našel obesek s ključem (z
znakom Fiat) in USB-podatkovnim nosilcem (z napisom Transcend). Z namenom, da
najdeni obesek vrne lastniku, je USB-podatkovni nosilec priključil na osebni
računalnik in pogledal vsebino. Pri tem je odprl nekaj grafičnih datotek, na katerih
so bile slike, ki prikazujejo spolno zlorabo otrok. To ga je prizadelo, zato je USB-
podatkovni nosilec odstranil iz računalnika in odšel na policijsko postajo, kjer je
zadevo naznanil policistu. Ta je zbral obvestila in sprejel zapisnik o sprejemu ustne
ovadbe, prav tako pa mu je zasegel najdeni obesek s ključem in USB-podatkovnim
nosilcem. Zadnjega je shranil v papirnato ovojnico, ki jo je dobro zalepil, nanjo
namestil uradni pečat in ga tudi podpisal. S tem je namreč zagotovil integriteto
zaseženega podatkovnega nosilca.
Ker najditelj ni imetnik oziroma uporabnik navedenega USB-podatkovnega nosilca,
hkrati pa ta ni znan, posledično ni bilo možno pridobiti privolitve za preiskavo
elektronske naprave. Policist je zato napisal pobudo za izdajo odredbe za preiskavo
elektronske naprave in jo naslovil na pristojno državno tožilstvo. To je pobudi sledilo
in je na sodišče naslovilo predlog za izdajo odredbe za preiskavo elektronske
naprave. Sodišče je predlog proučilo in ocenilo, da so podani ustrezni pogoji za
izvedbo tega preiskovalnega dejanja, zato je izdalo odredbo za preiskavo elektronske
naprave. Ker je imetnik elektronske naprave neznan, je sodišče odredbo pritrdilo na
sodno tablo in po osmih dneh štelo, da je vročitev opravljena.
Policist je nato zasežen in zapečaten USB-podatkovni nosilec predal v nadaljnjo
preiskavo, s katero bi lahko potencialno potrdil obstoj vseh potrebnih elementov
kaznivega dejanja in eventualno pridobil podatke oziroma dokaze, na osnovi katerih
bi lahko identificiral morebitnega osumljenca kaznivega dejanja prikazovanja,
izdelave, posesti in posredovanja pornografskega gradiva po 176/III. členu KZ-1.
Po končanem digitalno-forenzičnem postopku je policist pridobil zapisnik o
zavarovanju podatkov elektronske naprave in zapisnik o preiskavi elektronske
naprave, skupaj s pripadajočimi prilogami (identična kopija podatkov in pri preiskavi
izločeni podatki digitalni dokazi). Na osnovi ugotovitev preiskave je tako potrdil
obstoj spornih vsebin na USB-podatkovnem nosilcu, prav tako pa je pridobil določene
51
podatke digitalne dokaze, ki mu bodo v pomoč pri nadaljnjem zbiranju obvestil
oziroma preiskovanju kaznivega dejanja.
Zapisnik o zavarovanju podatkov elektronske naprave sicer vsebuje podatke o času in
kraju izvedbe postopka, namenu zavarovanja podatkov, navedbo morebitnih navzočih
oseb, identifikacijo elektronske naprave oziroma podatkovnega nosilca, opis načina
izvedbe zavarovanja podatkov in morebitne druge pomembne okoliščine postopka. V
navedenem zapisniku mora biti zapisana tudi kontrolna vrednost oziroma mora biti
dokumentiran drug ustrezen način, s katerim se zagotovi možnost poznejšega
preverjanja istovetnosti in integritete zavarovanih podatkov. Primer oziroma vzorec
omenjenega zapisnika je razviden iz priloge 1.
Zapisnik o preiskavi elektronske naprave prav tako vsebuje podatke o času in kraju
izvedbe postopka, namenu preiskave, navedbo morebitnih sodelujočih in navzočih
oseb, navedbo številke sodne odredbe in odredbodajalca, identifikacijo pregledane
elektronske naprave oziroma podatkovnega nosilca, opis načina izvedbe preiskave,
ugotovitve preiskave in morebitne druge pomembne okoliščine postopka. Primer
oziroma vzorec zapisnika je razviden iz priloge 2.
52
4 Razprava in predlogi
Na osnovi ugotovljenih pomanjkljivosti v določenih zgoščevalnih funkcijah se lahko
upravičeno sprašujemo, ali je integriteta podatkov, ki je zagotovljena s tako
zgoščevalno funkcijo, še vedno na zadovoljivem oziroma sprejemljivem nivoju.
Številni priznani strokovnjaki uporabo tovrstnih zgoščevalnih funkcij namreč močno
odsvetujejo. Pri tem je treba posebej izpostaviti predvsem zgoščevalno funkcijo
MD5, ki je v svetu digitalne forenzike zelo razširjena še danes. Vprašamo se lahko
tudi, kaj storiti s podatki, katerih integriteta se je na tak način zagotavljala že pred
leti (sodni postopki so pogosto dolgotrajni). Slovenska sodišča namreč ocenjujejo
veljavnost (digitalnih) dokazov na osnovi proste presoje, ob upoštevanju zakonskih
določil. Pri tem uporabljajo tudi strokovna mnenja izvedencev digitalno-forenzične
stroke, ki običajno v svojih izvidih povzemajo ugotovitve priznanih strokovnjakov s
področja digitalne forenzike. Zadnji opozarjajo, da uporaba določenih zgoščevalnih
funkcij ni več dovolj veliko zagotovilo za zagotavljanje integritete podatkov in da je
take zgoščevalne funkcije treba nadomestiti s kakovostnejšimi in odpornejšimi. Če je
torej taka zgoščevalna funkcija uporabljena v nekem individualnem primeru, lahko to
posledično vpliva na veljavnost digitalnih dokazov in predvsem na njihovo dokazno
vrednost. Omenjeno je pogosto tudi cilj obrambe, ki želi z izpostavljanjem opisanega
doseči razumen dvom v integriteto podatkov in posledično neveljavnost obremenilnih
(digitalnih) dokazov.
V prihodnje je pri postopkih digitalne forenzike zato priporočljivo, da se integriteta
podatkov zagotavlja z uporabo novejših zgoščevalnih funkcij, ki nudijo boljše
značilnosti oziroma večjo odpornost na pomanjkljivosti, in da se povsem opusti
uporaba zgoščevalnih funkcij z že ugotovljenimi pomanjkljivostmi (npr. MD5). Za ta
namen sta trenutno povsem primerni zgoščevalni funkciji SHA-2 in SHA-3, ki (žal) še
vedno nista podprti v vseh razpoložljivih programskih rešitvah. Možno ju je uporabiti
pozneje (npr. po že izdelani identični kopiji podatkov) z uporabo namenskih orodij za
izračun navedenih zgoščenih vrednosti, vendar to nekoliko podaljša postopek.
Za hranjenje zavarovanih podatkov in digitalnih dokazov bi bilo smotrno proučiti
uporabo modernejših datotečnih sistemov (ReFS, ZFS, Btrfs), ki že v svoji zasnovi
zagotavljajo integriteto podatkov oziroma imajo vgrajene mehanizme preverjanja
skladnosti shranjenih podatkov. Podoben rezultat bi lahko dosegli s shranjevanjem
podatkov na redundantna diskovna polja (npr. RAID-5), saj bi v primeru poškodbe
53
podatkovnega nosilca tega nadomestili z novim in nato rekonstruirali prvotne
podatke. Vse to bi vsekakor pripomoglo h kakovostnejši hrambi podatkov, s katero bi
lahko nadomestili trenutno (zelo slabo) prakso uporabe cenovno najugodnejših
podatkovnih nosilcev (običajno DVD-optični mediji), ki za hranjenje pomembnih
podatkov niso najprimernejši. S tem bi se namreč tudi zmanjšala verjetnost
nepredvidenega spreminjanja oziroma poškodovanja podatkov in posledično povečala
zmožnost ohranjanja integritete podatkov.
Vse večji izziv v digitalni forenziki predstavljajo zelo razširjene oblačne storitve, kjer
se podatki običajno shranjujejo in obdelujejo na različnih (uporabniku neznanih)
lokacijah. To predstavlja pravno oviro v smislu drugih krajevnih pristojnosti, saj so
podatki pogosto shranjeni na različnih lokacijah v tujini, njihovo dejansko nahajališče
pa je znano zgolj lastniku oblačne storitve. Drugo pravno oviro predstavlja dejstvo,
da se oblačne storitve v vseh primerih ne da togo enačiti z elektronsko napravo, ki bi
jo posledično kot tako lahko tudi preiskovali skladno z veljavno zakonodajo. Tehnične
ovire za zavarovanje tovrstnih podatkov predstavljajo predvsem omejene možnosti
dostopa do njih. Podatki so namreč varovani z različnimi prijavnimi mehanizmi
(uporabniška imena, gesla, certifikati ipd.), ki otežujejo njihovo pridobivanje. Tudi
če bi to oviro zaobšli (npr. z vnosom gesla), iz okvira oblačnih storitev ni vedno
možno pridobiti vseh tam shranjenih podatkov, saj je tak dostop lahko funkcionalno
omejen s strani lastnika oblačne storitve.
V praktičnem primeru je bil zaradi poenostavitve primera uporabljen podatkovni
nosilec z manjšo pomnilniško kapaciteto, na katerem je bilo nekaj deset datotečnih
objektov. Dejansko stanje v praksi je povsem drugačno, saj se pogosto obdelujejo
podatki bistveno večje kapacitete (lahko tudi več TB), med katerimi je več 100.000
datotečnih objektov in preostalih podatkov. To vpliva na zahtevnost digitalno-
forenzičnih opravil, ki so zato bistveno bolj obsežna in kompleksna kot v
predstavljenem primeru.
V okviru te raziskave smo se namenoma izogibali pretiranemu poglabljanju v
tehnične in postopkovne podrobnosti, saj bi s tem prešli zastavljene okvire
diplomskega dela, ki so predvsem predstavitev temeljnih postopkov digitalne
forenzike, s poudarkom na zagotavljanju integritete podatkov.
54
4.1 Preverjanje predpostavk
Za izhodišče diplomskega dela so bile izpostavljene različne predpostavke, ki se
navezujejo na zagotavljanje integritete digitalnih podatkov. Te so bile preverjane s
prej predstavljeno raziskavo, pri tem pa je bilo ugotovljeno naslednje:
P1: Digitalne podatke, ki imajo integriteto zagotovljeno z enosmerno kriptografsko
zgoščevalno funkcijo, je možno poneveriti.
Ta predpostavka se je potrdila. Enosmerne kriptografske zgoščevalne funkcije imajo
namreč različne dolžine povzetkov vhodnih podatkov oziroma zgoščenih vrednosti,
kar zagotavlja različne verjetnosti obstoja dveh drugačnih vhodnih podatkov z
izračunano enako zgoščeno vrednostjo. Torej, daljši kot je povzetek vhodnih
podatkov, manjša je verjetnost kolizije oziroma sovpadanja zgoščene vrednosti.
Oviro za zagotavljanje integritete podatkov z uporabo zgoščevalnih funkcij
predstavlja dejstvo, da so bile v določenih zgoščevalnih funkcijah odkrite
pomanjkljivosti (npr. opisani primeri kolizije MD5). Izraba tovrstnih pomanjkljivosti
namreč bistveno zmanjša učinkovitost dolžine povzetkov vhodnih podatkov in s tem
poveča verjetnost kolizije oziroma sovpadanja zgoščenih vrednosti. S tem se tudi
odpira oziroma povečuje možnost za poneverjanje digitalnih podatkov in tako
otežuje zagotavljanje integritete.
P2: Različne programske rešitve za izdelavo identične (istovetne) kopije podatkov ne
zagotavljajo enake stopnje integritete podatkov.
Predpostavko lahko potrdimo. Določene programske rešitve (npr. »dd«) so namreč
namenjene izdelavi identične oziroma istovetne kopije podatkov, vendar samostojno
sploh ne zagotavljajo integritete oziroma skladnosti podatkov, saj ne nudijo možnosti
izračuna zgoščenih vrednosti. Kljub temu so v svetu digitalne forenzike take rešitve
pogosto uporabljene za izdelavo t. i. »forenzične« (identične) kopije podatkov,
vendar je integriteto takih podatkov treba dodatno zagotoviti (z dodatnim izračunom
zgoščenih vrednosti, s pečatenjem podatkovnih nosilcev ipd.). Druge programske
rešitve (npr. FTK Imager in Tableau Imager) omogočajo sočasno uporabo različnih
zgoščevalnih funkcij, s katerimi je možno zagotoviti integriteto. Nivo zagotovljene
integritete je pri tem odvisen od vrste uporabljene zgoščevalne funkcije oziroma od
več hkratnih zgoščevalnih funkcij in od odkritih pomanjkljivosti v njih. Iz tega lahko
55
povzamemo, da različna orodja za izdelavo identične kopije podatkov ne nudijo
enake stopnje integritete podatkov.
P3: Sočasna uporaba različnih enosmernih kriptografskih zgoščevalnih funkcij poveča
nivo zagotovljene integritete podatkov.
Tudi to predpostavko lahko potrdimo. Sočasna uporaba različnih enosmernih
kriptografskih zgoščevalnih funkcij (npr. MD5 in SHA-1) namreč poveča dolžino
skupnega povzetka vhodnih podatkov, saj ta predstavlja vsoto posameznih dolžin
povzetkov vhodnih podatkov uporabljenih zgoščevalnih funkcij. Tako se praktično
pridobi daljši povzetek vhodnih podatkov in s tem posledično zmanjša verjetnost
kolizije oziroma sovpadanja zgoščenih vrednosti. Tudi če je v posamezni uporabljeni
zgoščevalni funkciji ugotovljena določena pomanjkljivost (npr. MD5) in je s tem
zmanjšana učinkovitost zagotavljanja integritete, se ta hkrati zagotavlja tudi z
uporabo druge zgoščevalne funkcije (npr. SHA-1). Sočasna uporaba različnih
zgoščevalnih funkcij torej bolje zagotavlja integriteto podatkov kot uporaba zgolj
ene od njih (v danem primeru MD5 ali SHA-1).
P4: Zagotavljanje integritete podatkov v fazi preiskovanja elektronske naprave ni
potrebno, saj je integriteta podatkov zagotovljena že v fazi zavarovanja podatkov.
Te predpostavke ni možno potrditi. Že zakonodajalec je namreč predvidel, da je
treba preiskavo elektronske naprave izvesti tako, da se ohrani integriteta izvirnih
podatkov. To se naredi tako, da se ponovno izračunajo zgoščene vrednosti vseh v
preiskavi uporabljenih kopij zavarovanih podatkov, ki se nato primerjajo z zapisanimi
zgoščenimi vrednostmi v zapisniku o zavarovanju podatkov elektronske naprave.
Omenjeni postopek se izvede pred samo tehnično izvedbo preiskave (s tem se
zagotovi, da so preiskovani podatki od njihovega zavarovanja še vedno skladni z
izvirnimi podatki) in neposredno po njej (s tem se zagotovi, da so bili preiskovani
podatki dejansko skladni z izvirnimi podatki ves čas preiskave). Strokovno pravilno je
tudi zagotavljanje integritete tistih podatkov, ki so v fazi preiskave identificirani kot
pomembni (digitalni dokazi), saj se s tem zagotovi njihova neokrnjenost za potrebe
nadaljnjih postopkov. Zagotavljanje integritete podatkov je torej opravilo, ki ga je
treba izvajati tudi v fazi preiskave elektronske naprave.
56
5 Zaključek
Digitalna forenzika je vsekakor ena od novejših forenzičnih dejavnosti, ki bo imela v
visoko informatizirani družbi vedno večji pomen. Predstavlja sredstvo za pridobivanje
digitalnih dokazov, ki pred pristojnimi institucijami izkazujejo dejansko stanje in so
osnova za odločanje v raznih postopkih. Da bi bili taki dokazi verodostojni in pristni,
je treba na ustrezen način zagotoviti tudi njihovo integriteto. Predstavitev temeljnih
postopkov digitalne forenzike in zagotavljanja integritete podatkov je bila tudi
zadani cilj diplomskega dela. Postopki, ki namreč niso izvedeni v skladu in na osnovi
določil zakonodaje ter ne upoštevajo strokovnih principov, načel, standardov in
metodologije digitalne forenzike, običajno privedejo do neveljavnih dokazov oziroma
dokazov z manjšo dokazno vrednostjo.
Prihodnost temu področju prinaša nove izzive, ki so organizacijske, tehnične in
pravne narave. Skrb vzbujajoča je namreč statistična ugotovitev, ki kaže na izredno
hiter porast postopkov digitalne forenzike, kar predstavlja velike organizacijske
obremenitve. Posledično je treba usposobiti vedno več kadra za izvajanje tovrstnih
postopkov, hkrati pa v okviru finančnih zmožnosti zagotoviti tudi ustrezno
programsko in strojno opremo. Ustrezna izobraževanja in izpopolnjevanja ter
moderna oprema so tudi ključnega pomena za pridobitev potrebnih izkušenj in
strokovnih znanj, na osnovi katerih se lahko profesionalno izvajajo postopki digitalne
forenzike in sledi trendom neprestanega tehničnega razvoja informacijskih
tehnologij. Temu bi morala slediti tudi aktualna zakonodaja, ki je marsikje preveč
konservativna in se takemu razvoju ne prilagaja dovolj hitro.
57
6 Uporabljeni viri
Ashcroft, J., Daniels, D. J., Hart, S. V. (2004). Forensic examination of digital
evidence: A guide for law enforcement. Washington (D. C.): U. S. Department
of justice, Office of justice programs, National institute of justice.
Bernik, I. (2014). Cybercrime and Cyberwarfare. London: ISTE Ltd.
Bernik, I., Prislan, K. (2011). Informacijsko bojevanje v Sloveniji od tradicionalno
lokalnega v globalni kibernetski prostor. Varstvoslovje, 11(3), 261279.
Bernik, I., Prislan, K. (2012). Kibernetska kriminaliteta, informacijsko bojevanje in
kibernetski terorizem. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne
vede.
Bunting, S., Wei W. (2006). EnCase Computer Forensics The Official EnCE: EnCase
Certified Examiner Study Guide. Indianapolis: Wiley Publishing, Inc.
Caloyannides, M. A. (2004). Privacy protection and computer forensics (druga
izdaja). Norwood: Artech House, Inc.
Carrier, B. (2005). File system forensic analysis. New Jersey: Pearson education, Inc.
Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers
and the Internet (tretja izdaja). Waltham: Academic Press.
Dimc, M., Dobovšek, B. (2012). Kriminaliteta v informacijski družbi. Ljubljana:
Univerza v Mariboru, Fakulteta za varnostne vede.
European Network of Forensic Science Institutes. (2009). Guidelines for best practive
in the forensic examination of digital technology. Pridobljeno na
http://www.enfsi.eu/sites/default/files/documents/forensic_it_best_practic
e_guide_v6_0.pdf
Goldreich, O. (2005). Foundations of Cryptography: A Primer. Boston: Now.
ISO/IEC 27037. (2012). ISO/IEC 27037:2012 Information technology Security
techniques Guidelines for identification, collection, acquisition, and
preservation of digital evidence. Pridobljeno na
http://www.iso.org/iso/catalogue_detail?csnumber=44381
Kastelic, T., Škraba, M. (2012). Digitalni dokazi metode in izkušnje policije. V A.
Dvoršak in D. Frangež (ur.), Digitalni dokazi: kazensko pravni, kriminalistični
in informacijsko-varnostni vidiki (str. 2944). Ljubljana: Univerza v Mariboru,
Fakulteta za varnostne vede.
Kazenski zakonik [KZ-1]. (2008). Uradni list RS, (55/2008).
Kovačič, M. (2008). Forenzična orodja za preiskave digitalnih medijev in naprav ter
njihova zanesljivost. Pridobljeno 20. 5. 2013 na
58
http://matej.owca.info/predavanja/Forenzicna_orodja_ter_njihova_zanesljiv
ost_Kovacic.pdf
Kovačič, M. (2012). Zgostitveni algoritmi in zagotavljanje integritete (istovetnosti)
digitalnih dokazov. Pravokator.si. Pridobljeno 20. 5. 2013 na
http://pravokator.si/wp-content/uploads/2012/04/Zagotavljanje_integritete
_digitalnih_dokazov.pdf
Krumpak, I. (2012). Državno tožilski vidik problematike digitalnih dokazov. V A.
Dvoršak in D. Frangež (ur.), Digitalni dokazi: kazensko pravni, kriminalistični
in informacijsko-varnostni vidiki (str. 4558). Ljubljana: Univerza v Mariboru,
Fakulteta za varnostne vede.
Lucks, S., Daum, M. (2005). The Story of Alice and her Boss: Hash Functions and the
Blind Passenger Attack. Pridobljeno 20. 5. 2013 na http://th.informatik.uni-
mannheim.de/People/lucks/HashCollisions/rump_ec05.pdf
Majcen, G. (2011). Elektronski dokazi v kriminalistični preiskavi (Diplomsko delo).
Maribor: Univerza v Mariboru, Pravna fakulteta.
Mandia, K., Prosise, C., Pepe, M., Bejtlich, R. (2003). Incident response & computer
forensics (druga izdaja). New York: McGraw-Hill companies, Inc.
Marcella, A. J., Greenfield, R. S. (2002). Cyber forensics A field manual for
collecting, examining, and preserving evidence of computer crimes.
Massachusetts: CRC Press, LLC.
McKemmish, R. (1999). What is Forensic Computing? Trends & Issues in Crime and
Criminal Justice. Canberra: Australian Institute of Criminology.
Metodologija računalniškega preiskovanja slovenske policije. (2012). Ljubljana:
Ministrstvo za notranje zadeve, Policija.
Mohay, G., Anderson, A., Collie, B., Vel, O. d., McKemmish, R. (2003). Computer and
intrusion forensics. Norwood: Artech house, Inc.
Načela digitalne forenzike slovenske policije. (2012). Ljubljana: Ministrstvo za
notranje zadeve, Policija.
Odločba Ustavnega sodišča Republike Slovenije št. Up-106/05-27. (2008). Uradni list
RS, (100/2008).
Paar, C., Pelzl, J. (2010). Understanding Cryptography: A Textbook for Students and
Practitioners. Heidelberg: Springer.
Policija. (2008). Poročilo o delu policije za leto 2007. Pridobljeno na
http://www.policija.si/images/stories/Statistika/LetnaPorocila/PDF/LetnoPo
rocilo2007.pdf
59
Policija. (2010). Poročilo o delu policije za leto 2009. Pridobljeno na
http://www.policija.si/images/stories/Statistika/LetnaPorocila/PDF/LetnoPo
rocilo2009.pdf
Policija. (2011). Poročilo o delu policije za leto 2010. Pridobljeno na
http://www.policija.si/images/stories/Statistika/LetnaPorocila/PDF/LetnoPo
rocilo2010.pdf
Policija. (2013). Poročilo o delu policije za leto 2012. Pridobljeno na
http://www.policija.si/images/stories/Statistika/LetnaPorocila/PDF/LetnoPo
rocilo2012.pdf
Schmeh, K. (2003). Cryptography and Public Key Infrastructure on the Internet.
Chichester: Wiley.
Schweitzer, D. (2003). Incident response: Computer forensics toolkit. Indianapolis:
Wiley publishing, Inc.
Selinger, P. (2006). MD5 Collision Demo: Collisions in the MD5 cryptographic hash
function. Pridobljeno 20. 5. 2013 na
http://www.mscs.dal.ca/~selinger/md5collision
Selinšek, L. (2012). Pravno-teoretični vidiki preiskave elektronskih naprav nekaj
odprtih vprašanj. V A. Dvoršak in D. Frangež (ur.), Digitalni dokazi: kazensko
pravni, kriminalistični in informacijsko-varnostni vidiki (str. 716). Ljubljana:
Univerza v Mariboru, Fakulteta za varnostne vede.
Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook.
Rockland: Syngress Publishing, Inc.
Solomon, M. G., Barrett, D., Broom, N. (2005). Computer Forensics Jumpstart.
California: Sybex, Inc.
Stallings, W. (2011). Cryptography and Network Security: Principles and Practice
(peta izdaja). Boston: Prentice Hall.
Šavnik, J. (2006). Principi, metodologija in orodja računalniške forenzike s
praktičnim primerom (Specialistično delo). Ljubljana: Univerza v Mariboru,
Fakulteta za varnostne vede.
Šavnik, J. (2012). Vloga sodnega izvedenca za računalniško forenziko v kazenskih
postopkih. V A. Dvoršak in D. Frangež (ur.), Digitalni dokazi: kazensko pravni,
kriminalistični in informacijsko-varnostni vidiki (str. 7588). Ljubljana:
Univerza v Mariboru, Fakulteta za varnostne vede.
Špeh, A. (2011). Poenotenje postopkov računalniške forenzike v slovenski policiji
(Diplomsko delo). Kranj: Univerza v Mariboru, Fakulteta za organizacijske
vede.
60
Thompson, E. (2005). MD5 collisions and the impact on computer forensics. Lindon:
Elsevier Ltd.
Ustava Republike Slovenije (URS). (1991). Uradni list RS, (33I/1991).
Vacca, J. R. (2002). Computer forensics: Computer crime scene investigation.
Hingham: Charles River Media, Inc.
Zakon o elektronskem poslovanju in elektronskem podpisu [ZEPEP]. (2004). Uradni
list RS, (98/2004).
Zakon o inšpekcijskem nadzoru [ZIN]. (2007). Uradni list RS, (43/2007).
Zakon o pravdnem postopku [ZPP]. (2007). Uradni list RS, (73/2007).
Zakon o ratifikaciji Konvencije o kibernetski kriminaliteti in Dodatnega protokola h
Konvenciji o kibernetski kriminaliteti, ki obravnava inkriminacijo rasističnih in
ksenofobičnih dejanj, storjenih v informacijskih sistemih [MKKKDP]. (2004).
Uradni list RS, (62/2004).
Zakon o splošnem upravnem postopku [ZUP]. (2006). Uradni list RS, (24/2006).
Zakon o spremembah in dopolnitvah Zakona o kazenskem postopku [ZKP-J]. (2009).
Uradni list RS, (77/2009).
Zakon o spremembah in dopolnitvah Zakona o prekrških [ZP-1F]. (2009). Uradni list
RS, (108/2009).
Zakon o varstvu osebnih podatkov [ZVOP-1]. (2007). Uradni list RS, (94/2007).
61
7 Priloge
Priloga 1: Zapisnik o zavarovanju podatkov elektronske naprave24
(odtis vzglavne štampiljke)
ZAPISNIK
o zavarovanju podatkov elektronske naprave
(223.a člen Zakona o kazenskem postopku)
28. 1. 2014 je bil v kraju Zgornji Dol, Uradniška cesta 5, opravljen postopek
zavarovanja podatkov iz elektronske naprave, ki je bila 4. 1. 2014 z zapisnikom o
zasegu predmetov zasežena Andreju Najditelju, rojenemu 1. 2. 1985, stanujočemu
na Počitniški ulici 10 v Zgornjem Dolu. Zavarovanje podatkov se opravi na osnovi
izdane pisne odredbe Okrožnega sodišča v Zgornjem Dolu, št. XI/1000, z dne
14. 1. 2014. Ker imetnik elektronske naprave ni znan, se postopek zavarovanja
podatkov opravi v njegovi nenavzočnosti.
Zavarovanje podatkov opravil:
Bojan Preiskovalec iz Policijske uprave Zgornji Dol.
Pri zavarovanju podatkov ni bilo navzočih drugih oseb. Postopek se je začel
28. 1. 2014 ob 10.20.
I. NAMEN ZAVAROVANJA PODATKOV
Zavarovanje podatkov se opravi z namenom, da bi se s preiskavo teh podatkov odkrili
sledovi in pridobili dokazi, ki bi potrdili sum storitve kaznivega dejanja prikazovanja,
izdelave, posesti in posredovanja pornografskega gradiva po 176/III. členu KZ-1, ter
podatki, na osnovi katerih bi lahko identificirali in odkrili osumljenca navedenega
kaznivega dejanja.
II. IDENTIFIKACIJA NOSILCEV ELEKTRONSKIH PODATKOV
Pred samim pregledom se ugotovi, da je elektronska naprava shranjena v papirnati
ovojnici, ki je zavarovana s pečatom in podpisom uradne osebe (Cene Policist), da je
24 Osebni in drugi podatki so izmišljeni za namen prikaza vzorca zapisnika.
62
pečat nedotaknjen, nepoškodovan in na mestu, tako da onemogoča njeno uporabo.
Po odpečatenju in odprtju papirnate ovojnice ugotovimo, da je v njej USB-
podatkovni nosilec znamke Transcend, model JetFlash 1100, s serijsko številko
D33193, črne barve, deklarirane kapacitete 8 GB.
III. NAČIN ZAVAROVANJA PODATKOV
USB-podatkovni nosilec znamke Transcend, model JetFlash 1100, s serijsko številko
D33193, črne barve, deklarirane kapacitete 8 GB priključim na namensko napravo za
preprečevanje zapisovanja podatkov znamke Tableau, model T8-R2, s serijsko
številko 89ONOY35738SVCVH, ki onemogoča kakršno koli spremembo podatkov na
izvirnem USB-podatkovnem nosilcu oziroma dovoljuje dostop do podatkov zgolj v
načinu za branje. Navedeno namensko napravo nato priključim na delovno postajo,
kjer bo opravljeno zavarovanje podatkov. Na računalniku nato zaženem program
AccessData FTK Imager, različice 3.0.1.1467, s katerim izvedem postopek izdelave
identične kopije podatkov izvirnega USB-podatkovnega nosilca. Pri tem je nastal
sklop treh datotek, od Transcend_8GB_USB.E01 do Transcend_8GB_USB.E03, ki so
bile pri postopku zavarovanja podatkov shranjene na trdi disk osebnega računalnika.
Sočasno sta bili z navedenim programom izračunani tudi zgoščeni vrednosti vseh
podatkov izvirnega USB-podatkovnega nosilca MD5 (013a8be053161ac078
ac626b349e0c6b) in SHA-1 (38c0fd9bfcc91e3f6e7ed28ff6fc45da95c6ba03) ter
zgoščeni vrednosti slike oziroma kopije podatkov MD5 (013a8be053
161ac078ac626b349e0c6b) in SHA-1 (38c0fd9bfcc91e3f6e7ed28ff6fc45da95c6ba03).
Pri tem je bilo ugotovljeno, da se izračunani zgoščeni vrednosti MD5 in SHA-1 pri
izvirnih podatkih ujemata z izračunanima zgoščenima vrednostima MD5 in SHA-1 pri
kopiji podatkov, na osnovi česar se zagotovi istovetnost in integriteta zavarovanih
podatkov ter možnost njihovega poznejšega preverjanja. Pri postopku izdelave
identične kopije podatkov je nastalo tudi dnevniško poročilo s tehničnimi
podrobnostimi, ki je shranjeno v datoteko Transcend_8GB_USB.log.
IV. DRUGE POMEMBNE OKOLIŠČINE
Pozneje bo v smislu odkritja sledov kaznivega dejanja opravljena preiskava
zavarovanih podatkov, pred tem pa bodo podatki presneti na optične podatkovne
nosilce na način, ki zagotavlja istovetnost in integriteto podatkov. Pri snemanju
podatkov bo izbrana tudi možnost zaprtja seje (angl. close session), kar onemogoča
poznejše spreminjanje podatkov na optičnih podatkovnih nosilcih.
63
Zavarovanje podatkov elektronske naprave je bilo končano 28. 1. 2014 ob 11. uri,
zapisnik pa 28. 1. 2014 ob 11.05.
POLICIST:
Bojan Preiskovalec
Priloga 2: Zapisnik o preiskavi elektronske naprave25
(odtis vzglavne štampiljke)
ZAPISNIK
o preiskavi elektronske naprave
(8. odstavek 219.a člena Zakona o kazenskem postopku)
30. 1. 2014 je bil v kraju Zgornji Dol, Uradniška cesta 5, opravljen postopek
preiskave elektronske naprave. Preiskava se opravi na osnovi izdane odredbe za
preiskavo elektronske naprave Okrožnega sodišča v Zgornjem Dolu, št. XI/1000, z dne
14. 1. 2014. Ker imetnik oziroma uporabnik elektronske naprave ni znan, je sodišče
odredbo 14. 1. 2014 pritrdilo na sodno tablo in po osmih dneh štelo, da je vročitev
opravljena. Elektronska naprava je bila sicer 4. 1. 2014 na osnovi zapisnika o zasegu
predmetov zasežena Andreju Najditelju, rojenemu 1. 2. 1985, stanujočemu na
Počitniški ulici 10 v Zgornjem Dolu. 28. 1. 2014 je bilo opravljeno zavarovanje
podatkov elektronske naprave, o čemer je bil napisan zapisnik o zavarovanju
podatkov elektronske naprave.
Preiskavo elektronske naprave je opravil:
Bojan Preiskovalec iz Policijske uprave Zgornji Dol.
Pri preiskavi ni bilo sodelujočih in navzočih oseb. Preiskava se je začela 30. 1. 2014
ob 8.10.
I. NAMEN PREISKAVE
Zavarovane elektronske podatke (istovetno kopijo) je treba preiskati z namenom, da
bi se odkrili sledovi in pridobili dokazi, ki bi potrdili sum storitve kaznivega dejanja
25 Osebni in drugi podatki so izmišljeni za namen prikaza vzorca zapisnika.
64
prikazovanja, izdelave, posesti in posredovanja pornografskega gradiva po 176/III.
členu KZ-1, ter podatki, na osnovi katerih bi lahko identificirali in odkrili osumljenca
navedenega kaznivega dejanja.
II. IDENTIFIKACIJA PREISKOVANIH NOSILCEV PODATKOV
Preiskujejo se zavarovani podatki (istovetna kopija) USB-podatkovnega nosilca
znamke Transcend, model JetFlash 1100, s serijsko številko D33193, črne barve,
deklarirane kapacitete 8 GB.
III. NAČIN IZVEDBE PREISKAVE
Sliko podatkov iz navedenega USB-podatkovnega nosilca (sklop treh datotek od
Transcend_8GB_USB.E01 do Transcend_8GB_USB.E03) priključim v program
AccessData FTK Imager, različice 3.0.1.1467, s katerim preverim integriteto
podatkov. Z navedenim programom izračunam zgoščeni vrednosti MD5 in SHA-1
vhodnih podatkov, pri tem pa ugotovim, da se zgoščeni vrednosti MD5
(013a8be053161ac078ac626b349e0c6b) in SHA-1(38c0fd9bfcc91e3f6e7ed28ff6fc45da
95c6ba03) slike podatkov ujemata z zgoščenima vrednostima MD5 in SHA-1, ki sta bili
izračunani pri postopku zavarovanja podatkov (razvidno iz zapisnika o zavarovanju
podatkov elektronske naprave). Na osnovi ujemanja zgoščenih vrednosti podatkov je
možno potrditi integriteto slike podatkov, ki se bodo preiskovali v nadaljevanju.
Nadaljnji postopki so opravljeni s programom za izvajanje digitalne forenzike X-Ways
Forensics, različice 16.7 SR-9. Na namenski delovni postaji ustvarim imenik za
izločene podatke \transcend_usb\podatki in imenik za elektronska poročila
\transcend_usb\poročila. Pri vpogledu v strukturo preiskovanega podatkovnega
nosilca ugotovim, da je na njem ena diskovna particija velikosti ~7,5 GB, z
datotečnim sistemom FAT32, imenom nosilca »Izmenjava« in serijskimi številkami
nosilca »53D2-9D42«. Za vse datotečne objekte na predmetnem podatkovnem nosilcu
izračunam zgoščeno vrednost MD5, nato pa izdelam seznam vseh datotek (vključno z
datotečno strukturo in metapodatki datotečnih objektov), ki ga shranim v datoteko
\transcend_usb\poročila\seznam_datotek.txt.
Pri vpogledu v datotečno strukturo ugotovim, da je na preiskovanem podatkovnem
nosilcu pet grafičnih datotek, ki so imenovane pt_picture-1.jpg, pt_picture-2.jpg,
pt_picture-3.jpg, pt_picture-4.jpg in pt_picture-5.jpg. Pri vsebinskem pregledu
navedenih datotek ugotovim, da slikovne datoteke prikazujejo spolne zlorabe otrok.
65
Iz metapodatkov datotečnega sistema je razvidno, da so vse navedene datoteke v
okviru datotečnega sistema nastale 24. 7. 2013 ob 13.44, da so bile zadnjič
spremenjene 24. 7. 2013 ob 13.48 in da je 4. 1. 2014 zadnji shranjen čas dostopa do
njih. Podrobnosti so razvidne iz predhodno ustvarjenega seznama vseh datotek
(\transcend_usb\poročila\seznam_datotek.txt). V nadaljevanju opravim analizo t. i.
Exif metapodatkov slikovnih datotek, pri tem pa ugotovim, da vse navedene grafične
datoteke vsebujejo zgolj naslednje metapodatke: izdelovalec naprave »Casio«,
model naprave »QV-4000«, ločljivost slike »2240 x 1680«. Vse navedene datoteke
izločim v imenik \transcend_usb\podatki, pri tem pa ohranim prvotna imena datotek.
Z uporabo orodja X-Ways Forensics v nadaljevanju izvedem postopek temeljitega
priklica vseh predhodno izbrisanih datotečnih objektov. Pri tem je bilo identificiranih
dodatnih 18 datotek različnih tipov. Nato izvedem postopek iskanja na osnovi
unikatnega podpisa bolj razširjenih formatov datotek. Pri tem je bilo identificiranih
dodatnih 23 datotek različnih tipov. Za vse novo identificirane datoteke izračunam
zgoščeno vrednost MD5, nato pa izdelam nov seznam vseh obstoječih in dodatno
identificiranih datotek (vključno z datotečno strukturo in metapodatki datotečnih
objektov), ki ga shranim v datoteko \transcend_usb\poročila\seznam_datotek
_razširjen.txt.
Predhodno izračunane zgoščene vrednosti MD5 vseh identificiranih datotek primerjam
z zgoščenimi vrednostmi MD5 iz zbirke t. i. »slabih« datotek, za katere je bilo že v
predhodnih postopkih ugotovljeno, da vsebujejo sporne vsebine. Pri tem ugotovim,
da med preiskovanimi podatki ni nobene datoteke, ki bi bila v predhodnih postopkih
že opredeljena kot sporna vsebina.
Dodatno identificirane grafične datoteke vsebinsko pregledam, pri tem pa ugotovim,
da so v treh datotekah (pt_picture-7.jpg, pt_picture-8.jpg in pt_picture-9.jpg)
vsebine, ki prikazujejo spolno zlorabo otrok. Iz metapodatkov datotečnega sistema je
razvidno, da so vse navedene datoteke v okviru datotečnega sistema nastale
24. 7. 2013 ob 13.44, da so bile zadnjič spremenjene 24. 7. 2013 ob 13.48 in da je
29. 8. 2013 zadnji shranjen čas dostopa do njih. Podrobnosti so razvidne iz
predhodno ustvarjenega seznama vseh datotek (\transcend_usb\poročila
\seznam_datotek_razširjen.txt). V nadaljevanju opravim analizo t. i. Exif
metapodatkov slikovnih datotek, pri tem pa ugotovim, da vse navedene grafične
datoteke vsebujejo zgolj naslednje metapodatke: izdelovalec naprave »Casio«,
66
model naprave »QV-4000«, ločljivost slike »2240 x 1680«. Vse navedene datoteke
izločim v imenik \transcend_usb\podatki, pri tem pa ohranim prvotna imena datotek.
Pri vsebinskem pregledu dodatno identificiranih grafičnih datotek se osredotočim na
datoteko DSC_0023.jpg, ki prikazuje osebno vozilo znamke Fiat, model Punto, rdeče
barve, z nameščeno zadnjo registrsko tablico s številko ZD 25-46K. Prav tako se
osredotočim na datoteko DSC_0024.jpg, ki prikazuje notranjost osebnega vozila
znamke Fiat, model Punto, v katerem na voznikovem sedežu sedi neznana moška
oseba. Nato opravim analizo t. i. Exif metapodatkov obeh slikovnih datotek, pri tem
pa ugotovim, da vse navedene grafične datoteke vsebujejo zgolj naslednje
metapodatke: izdelovalec naprave »Casio«, model naprave »QV-4000«, ločljivost
slike »2240 x 1680«. Iz metapodatkov datotečnega sistema je razvidno, da sta obe
navedeni datoteki v okviru datotečnega sistema nastali 27. 7. 2013 ob 17.24, da sta
bili zadnjič spremenjeni 27. 7. 2013 ob 17.24 in da je 29. 8. 2013 zadnji shranjen čas
dostopa do njih. Podrobnosti so razvidne iz predhodno ustvarjenega seznama vseh
datotek (\transcend_usb\poročila\seznam_datotek_razširjen.txt). Obe navedeni
datoteki izločim v imenik \transcend_usb\podatki, pri tem pa ohranim prvotni imeni
datotek.
Med dodatno identificiranimi datotekami je tudi datoteka Življenjepis.doc, za katero
opravim podrobnejšo analizo. Pri tem ugotovim, da so med vsebino med drugim tudi
ime in priimek »Dejan Nepridiprav« ter naslov »Počitniška ulica 94, Zgornji Dol«. Pri
analizi metapodatkov navedene datoteke je bilo ugotovljeno, da je bila ustvarjena
na računalniku z dodeljenim imenom »Učilnica14« in da je avtor dokumenta
uporabnik »Učilnica14\DNepridiprav«. Iz metapodatkov datotečnega sistema je
razvidno, da je navedena datoteka v okviru datotečnega sistema nastala 29. 8. 2013
ob 9.04, da je bila zadnjič spremenjena 30. 8. 2013 ob 11.17 in da je 2. 9. 2013
zadnji shranjen čas dostopa do nje. Podrobnosti so razvidne iz predhodno
ustvarjenega seznama vseh datotek (\transcend_usb\poročila\seznam_datotek
_razširjen.txt). Navedeno datoteko izločim v imenik \transcend_usb\podatki, pri tem
pa ohranim prvotno ime datoteke.
Nato izvedem iskanje unikatnih iskalnih nizov med surovimi podatki, in sicer »Casio«
in »QV-4000«. Pri tem sem med preiskovanimi podatki našel 11 iskalnih zadetkov za
oba unikatna iskalna niza. Pri nadaljnji analizi je bilo ugotovljeno, da deset iskalnih
zadetkov pripada podatkom v okviru predhodno navedenih grafičnih datotek
67
(pt_picture-1.jpg, pt_picture-2.jpg, pt_picture-3.jpg, pt_picture-4.jpg, pt_picture-
5.jpg, pt_picture-7.jpg, pt_picture-8.jpg, pt_picture-9.jpg, DSC_0023.jpg in
DSC_0024.jpg). Enajsti iskalni zadetek pa pripada segmentu podatkov s poškodovanim
unikatnim podpisom grafične datoteke formata JPG. Med segmenti podatkov so
namreč razvidni zgolj t. i. Exif metapodatki, medtem ko je bila druga vsebina
predhodno že prepisana z drugimi podatki.
V nadaljevanju opravim analizo vseh preostalih identificiranih datotek in drugih
podatkov, vendar pri tem ne najdem za zadevo relevantnih vsebin. Drugih posebnosti
pri preiskavi elektronske naprave nisem ugotovil.
Vse datoteke, ki so bile izločene oziroma ustvarjene v nadrejenih imenikih
\transcend_usb\podatki in \transcend_usb\poročila, so bile z uporabo programa 7-
Zip, različice 9.20, stisnjene v arhivsko datoteko \transcend_usb_izločeno.zip. Z
uporabo programa AccessData FTK Imager, različice 3.0.1.1467, sem nato za
navedeno datoteko izračunal zgoščeni vrednosti MD5 (c434b74a34829f25c0190d05
b6f23f74) in SHA-1 (8f84f5a9918e500816115a0b15502702410ac4c7), s katerima se
zagotavlja integriteta pri preiskavi izločenih podatkov.
Sliko podatkov iz preiskovanega USB-podatkovnega nosilca (sklop treh datotek od
Transcend_8GB_USB.E01 do Transcend_8GB_USB.E03) priključim v program
AccessData FTK Imager, različice 3.0.1.1467, s katerim preverim integriteto
podatkov. Z navedenim programom izračunam zgoščeni vrednosti MD5 in SHA-1
vhodnih podatkov, pri tem pa ugotovim, da se zgoščeni vrednosti MD5
(013a8be053161ac078ac626b349e0c6b) in SHA-1 (38c0fd9bfcc91e3f6e7ed28ff6fc45da
95c6ba03) slike podatkov ujemata z zgoščenima vrednostima MD5 in SHA-1, ki sta bili
izračunani pri postopku zavarovanja podatkov (razvidno iz zapisnika o zavarovanju
podatkov elektronske naprave). Na osnovi ujemanja zgoščenih vrednosti podatkov je
možno potrditi integriteto slike podatkov, ki je bila preiskovana.
IV. UGOTOVITVE PREISKAVE
Pri preiskavi je bilo najdenih osem grafičnih datotek, ki prikazujejo spolne zlorabe
otrok. Najdena je bila tudi ena grafična datoteka, iz katere je razvidno osebno vozilo
znamke Fiat, model Punto, rdeče barve, z nameščeno zadnjo registrsko tablico s
številko ZD 25-46K, in ena grafična datoteka, iz katere je razvidna notranjost vozila
in neznana moška oseba na voznikovem sedežu. Vse navedene grafične datoteke
68
imajo enake Exif metapodatke (izdelovalec »Casio«, model »QV-4000«, ločljivost
»2240 x 1680«), medtem ko so datotečni metapodatki razvidni iz ustvarjenega
seznama vseh datotek. V okviru datoteke Življenjepis.doc so bili najdeni tudi ime,
priimek in naslov: »Dejan Nepridiprav«, »Počitniška ulica 94, Zgornji Dol«, ter
metapodatki o imenu računalnika: »Učilnica14« in avtorju »Učilnica14\DNepridiprav«.
V. DRUGE POMEMBNE OKOLIŠČINE
Arhivska datoteka \transcend_usb_izločeno.zip je bila shranjena na DVD-optični
podatkovni nosilec na način, ki zagotavlja istovetnost in integriteto podatkov. Pri
snemanju podatkov je bila izbrana tudi možnost zaprtja seje (angl. close session),
kar onemogoča poznejše spreminjanje podatkov na optičnem podatkovnem nosilcu.
Preiskava je bila končana 30. 1. 2014 ob 12:35, zapisnik pa 30. 1. 2014 ob 13:45.
POLICIST:
Bojan Preiskovalec
IZJAVA O AVTORSTVU ZAKLJUČNEGA DELA Podpisani Matjaž Škraba , z vpisno številko 0 7 1 0 0 7 0 6 študijski program (ustrezno obkroži):
▪ 1. stopnja (UN)
▪ 1. stopnja (VS)
▪ 2. stopnja
▪ 3. stopnja ▪ univerzitetni program (sprejet pred 11. 6. 2004) ▪ visokošolski program (sprejet pred 11. 6. 2004) ▪ specializacija
sem avtor zaključnega dela z naslovom
Postopki digitalne forenzike in zagotavljanje integritete podatkov.
S svojim podpisom zagotavljam, da:
je predloženo delo izključno rezultat mojega lastnega raziskovalnega dela;
sem poskrbel, da so dela in mnenja drugih avtorjev oz. avtoric, ki jih uporabljam v predloženem delu, navedena oz. citirana v skladu s fakultetnimi navodili;
sem poskrbel, da so vsa dela in mnenja drugih avtorjev oz. avtoric navedena v seznamu virov, ki
je sestavni element predloženega dela in je zapisan v skladu s fakultetnimi navodili;
sem pridobil vsa dovoljenja za uporabo avtorskih del, ki so v celoti prenesena v predloženo delo, in sem to tudi jasno zapisal v predloženem delu;
se zavedam, da je plagiatorstvo predstavljanje drugih del, bodisi v obliki citata bodisi v obliki skoraj dobesednega parafraziranja bodisi v grafični obliki, s katerim so tuje misli oz. ideje
predstavljene kot moje lastne kaznivo po zakonu (Zakon o avtorskih in sorodnih pravicah, Uradni list RS št. 21/95), prekršek pa podleže tudi ukrepom Fakultete za varnostne vede v skladu z njenimi pravili;
se zavedam posledic, ki jih dokazano plagiatorstvo lahko predstavlja za predloženo delo in za moj
status na Fakulteti za varnostne vede.
V Ljubljani, dne 15. 3. 2014 Matjaž Škraba Podpis avtorja