Prejsť na obsah
Verejnosť

 

Progres v ostro sledovanom vyšetrovaní vraždy investigatívneho novinára Jána Kuciaka a jeho snúbenice Martiny Kušnírovej priniesli digitálne stopy. Podľa vyjadrenia polície doviedli vyšetrovateľov k podozrivým zo spáchania tohto brutálneho činu.

Peter Pištek je odborník na analýzu digitálnych metadát zo Slovenskej technickej univerzity v Bratislave. Pre TREND.sk hovorí o tom, aké digitálne stopy zanechávame po sebe pri používaní internetu, mobilov a počítačov.

Čo ostáva po používateľoch pri bežnom surfovaní po webe či sociálnych sieťach?

Takmer všetko, čo urobíme v digitálnom svete, po sebe zanechá stopu. Na samotnom počítači sa viem dostať k dokumentom aj po ich zmazaní.

Pri aktivitách, ktoré boli reallizované mimo počítača, napríklad cez web alebo USB kľúč, záznam obsahuje len základné údaje, takzvané metadáta. To znamená: kde som bol, kedy som tam bol, ako dlho som tam bol, akú webstránku, akú on-line službu som použil.

Záznam nezahŕňa obsah samotný – čo som konkrétne robil a písal. Ak s niekým chatujem, počítač neukladá obsah rozhovoru, len navštívenú on-line službu, ktorú som použil, aby mi ju mohol nabudúce opäť ponúknuť. Alebo pracujete so súbormi, a tak vám ich ponúkne ako posledné navštívené.

Dôvodom je efektivita práce s počítačom, nie snaha vás špehovať. Obsah sa dá získať tiež, ale oveľa komplikovanejšie.

Ako dlho tieto stopy ostávajú?

Existujú dve množiny dát - stále a dočasné. Stále ostávajú prakticky až do fyzického zničenia pevného disku, dočasné zmiznú napríklad pri vypnutí počítača. Už len vytiahnutie šnúry z elektriny ukráti vyšetrovateľov o časť dát, napríklad o text súboru, ktorý niekto editoval a zatiaľ neuložil, alebo o text, ktorý píšete do chatu.

Na disku tieto dáta nie sú, ale v operačnej pamäti ostanú do najbližšieho vypnutia počítača alebo aplikácie. Preto možno získať späť aj neuloženú prácu, ak viete ako na to. Existujú aj metódy, ktoré umožňujú dostať sa k dátam z operačnej pamäti v krátkom čase po vypnutí počítača.

V prípade vraždy J. Kuciaka polícia zaistila v Kolárove viaceré dôkazové materiály, vrátane auta či počítačov.Zdroj: TASR

Ako je to so stálymi údajmi?

So stálymi údajmi je to jednoduchšie. Všetko, čo máte uložené na disku, tam ostáva aj po vymazaní, až kým to neprepíšete inými údajmi. Čím väčší disk, tým nižšia šanca, že počítač premaže staré dáta novými a pri obrovských diskoch, ktoré sa v súčasnosti používajú, je šanca na takéto premazanie údajov veľmi nízka.

Ako funguje hľadanie zmazaných dát?

Zjednodušene povedané, mám mapu k pokladu, ale ak spálim mapu, to neznamená, že poklad zmizol. Počítač si kreslí mapu disku a značí si všetky miesta, kde môže ukladať pribúdajúce údaje. Vymazané dáta si označí tiež, ale kým ich neprepíše, poklad je stále v jame. Viete zistiť, že tam a tam je jama a hľadáte práve tam.

Zmaže formátovanie disku aj stopy po „jamách“?

Rýchle formátovanie nie, pomalé áno. No záleží od typu disku, typu dát a prostriedkov, ktoré chcete vynaložiť na obnovu dát. Existujú firmy, ktoré nezastaví ani preformátovanie disku. Kým disk fyzicky nezničíte, k dátam sa dostanú. Záleží však na hodnote dát, pretože ceny za tieto služby sú obrovské.

Ako je to s dátami, ktoré sú na cloude, na diskoch kdesi v obrích úložiskách za oceánom?

Technicky platí to isté, právne vstupuje do hry ďalší subjekt. Ak na základe stôp v počítači alebo mobile polícia zistí, že dáta v cloude môžu byť dôkazom, s potrebnou právnou autoritou si môžu tieto dáta vyžiadať na základe medzinárodných zmlúv. Facebook či Google spolupracujú s našimi orgánmi, takže ak je podnet odôvodnený, vedia dodať dáta, ktoré sa u nich nachádzajú. A obe spoločnosti skladujú všetky získané dáta.

Aj keď požiadam o vymazanie konta?

V takom prípade by mali dáta vymazať, ale touto právnou úpravou si nie som stopercentne istý.

V dome jedného zo zadržaných bol zaistený počítač. Skúsme ísť po stopách forenzného analytika. Ako bude postupovať?

Ako prvé urobí hodnovernú kópiu disku a dát z počítača. Nemôže pracovať priamo na dotknutom počítači, pretože by mohlo dôjsť k znehodnoteniu dôkazov.

Ak si napríklad otvoríte dokument, nič nedopíšete a zavriete ho, zmenili ste podstatný parameter súboru – čas prístupu. Môže ísť pritom o kritický údaj pri zostavovaní sledu udalostí v čase.

Ako profesionáli budú policajti určite postupovať korektne. Ak by nepostupovali, narušia časovú líniu. Obvinený môže potom úspešne tvrdiť, že v danom čase ani nemal k počítaču prístup.

Čo nasleduje po skopírovaní dát?

Vytvoria sa najmenej dve kópie, ktoré sú ošetrené IT nástrojmi tak, aby pre súd predstavovali hodnoverný podklad. Kópie sa môžu poslať na rôzne pracoviská, na analytike tak môže súčasne pracovať viac tímov.

Každá manipulácia s dátami musí byť zaznamenaná do dokumentu, ktorý sa označuje ako reťazec zodpovednosti. Dokumentuje sa, kto pristúpi, kedy pristúpi a aké úkony vykoná s dátami, aby bolo všetko zadokumentované a jasné, akými krokmi sa dospelo k dôkazom.

Obhajoba má tento dokument k dispozícii, aby mohla overiť, že všetko prebehlo legálne a dôkazy nie sú zmanipulované.

Bavíme sa stále len o kópii dát, dôkaz samotný je zatiaľ zapečatený v policajnom trezore.

Áno. Reťazec pritom nehovorí o povolenej a nepovolenej manipulácii, dokumentuje len samotné úkony. V prípade, že niekto nájde v reťazci chybu alebo neoprávnenú manipuláciu, ešte stále sa dá vychádzať z ďalších kópií prípadne originálu a pracovať odznova.

Čo sa dá zistiť zo zaistených dát?

Kto mal k zariadeniu prístup, aký používateľ. V akom čase sa k nim pristupovalo, čím sa môže vytvoriť úplný sled činností, ktoré môžu pomôcť k úspechu súdneho procesu.

Zadržanie obvinených z vraždy J. Kuciaka a jeho snúbenice v Kolárove prišiel aj po analýze viacerých digitálnych stôp.Zdroj: TASR

To je predsa možné ľahko spochybniť tvrdením, že na mojom počítači pracoval niekto iný – návšteva, rodina a podobne.

Minimálne viete zúžiť okruh ľudí a ďalším vyšetrovaním také tvrdenie vylúčiť. Počítač na to obsahuje príliš veľa rôznych typov údajov, ktoré pritom môžu pomôcť. Prehliadač si pamätá vaše obľúbené stránky, prihlasovacie údaje, ak ste mu to umožnili.

Čo ak používam špeciálne verzie prehliadača, ktoré neukladajú históriu navštívených stránok?

Údaje o navštívených stránkach sú naďalej uložené v operačnej pamäti a zručný analytik sa k nim môže dostať. Ak máte napríklad menšiu operačnú pamäť, počítač si pomáha ukladaním časti dát na pevný disk, tieto údaje na disku ostávajú a je možné ich nájsť a analyzovať.

Forenzný analytik vie teda zistiť, aké stránky si pozerám, ako často, čo hľadám, obsah uložených dokumentov. Čo ďalej?

Ak ste si aj vymazali históriu prehliadania a súbory cookies, je možné sa k tomuto obsahu stále dostať. História sa ukladá do zvláštneho typu súboru, no aj tento typ súborov sa ukladá na disk. A hoci je z disku vymazaný, môžete ho odtiaľ opäť vydolovať a teda aj vyčítať, kam ste cez prehliadač išli a čiastočne aj to, čo ste tam robili.

Od operačného systému Windows 8 viete zistiť, či a aké USB kľúče a pamäťové karty boli do počítača vložené a cez súdny príkaz si ich viete vyžiadať. Podobne ako má mobil jednoznačný identifikačný kód IMEI, tak má podobný identifikačný kód aj každý USB kľúč a každá pamäťová karta.

Ako to využijete v praxi?

Windows napríklad uchováva a zobrazuje nedávno použité súbory a adresáre. Môžete medzi nimi nájsť súbor, ktorý je vám podozrivý, vidíte, že bol umiestnený na USB kľúči a súčasne nie je na pevnom disku. K súboru sa nedostanete, ale viete zistiť identifikačný kód USB kľúča, ktorý bol pripojený a môžete súdny príkaz rozšíriť na tento dôkazový predmet. Ak viete spárovať USB kľúč nájdený pri domovej prehliadke podozrivého s hľadaným USB kľúčom, máte dôležitú informáciu.

Čo hlasové a vizuálne stopy? Na webe je možné nájsť články, ktoré sa snažia dokázať „odpočúvanie“ používateľov aplikácií od Googlu a iných IT korporácií. Množstvo ľudí si v práci či doma prelepuje integrované kamery na počítačoch. Je možné sa k týmto dátam dostať?

Ide zvyčajne o uzavreté technológie, pri ktorých nikdy neviete. Videl som testy, ktoré dokazovali, že zber dát prebieha, ale aj následné testy, ktoré tento prístup vyvrátili a nezaznamenali nevyžiadaný tok dát od používateľa k IT firme.

Je známe, že Android pravidelne posiela polohu mobilu so zapnutým GPS a údaje o intenzite WiFi sietí vo vašom okolí, teda ďalší lokalizačný údaj. Nedávno sa zistilo, že tieto údaje posiela dokonca aj vtedy, keď ste to nepovolili.

To môže pomôcť vyšetrovateľom zaradiť na časovú os udalostí aj konkrétne miesto, kde sa daná osoba nachádzala.

Aké presné sú tieto lokalizačné dáta?

Najpresnejšie sú na otvorenom priestranstve. V úzkych uliciach, medzi vysokými domami sa presnosť znižuje, v podzemných garážach môže signál vypadnúť úplne. Vtedy je možné zistiť polohu mobilu podľa intenzity WiFi signálu z okolitých staníc, ale výsledok je menej presný ako pri GPS.

Ako dlho sú tieto dáta ukladané?

Ak máte GPS lokalizáciu povolenú, alebo ste ju zabudli vypnúť, ide o nastálo uchovávané dáta a viete si ich cez web pozrieť – kde a kedy ste boli. Používajú to napríklad podnikatelia pri vykazovaní cestovných dokladov a nákladov na služobné cesty.

Konkrétne tieto dáta uchováva Google. Na aké účely s nimi môže pracovať?

Mnohé z týchto dát sú anonymizované a nie sú jednoznačne priraditeľné ku konkrétnej osobe. Google pri svojej analytike nepotrebuje vedieť, ako sa volá konkrétna osoba, ale len jej zaradenie do kategórie spotrebiteľa, napríklad matka na materskej dovolenke alebo dôchodca a ako sa správa.

Všetci poznáme personalizované reklamné ponuky, ktoré Google ukazuje na základe histórie nášho vyhľadávania. Ak googlite darček pre manželku a máte spoločný počítač, dajte si pozor, aby nebolo po prekvapení.

Ak by sa potvrdilo, že podozriví sú skutočne páchateľmi a prezradili ich práve digitálne stopy, povedali by ste, že boli digitálne negramotní?

Digitálne gramotní mohli byť, ale na oboch stranách je množstvo metód, ktorými viete stopy zakryť alebo odhaliť. Platí, že čím viac zdrojov máte, tým viac nástrojov viete použiť. Každý robí digitálne stopy, ide len o to, či a ako ich kto vie po sebe pozametať.

Je skvelé, že digitálne stopy pomáhajú odhaľovať brutálne trestné činy ako bola vražda novinára. Súčasne sa ukazuje, pod akým drobnohľadom sme sa ocitli po rozšírení digitálnych technológií. Osobne to vnímate ako prínos pre spoločnosť alebo negatívny posun hranice súkromia jednotlivca?

Ak viem, čo sa deje s mojimi dátami, viem sa zariadiť. Treba pamätať, že akonáhle za niečo neplatím, som produktom sám. Google, Facebook sú bezplatné, tým pádom sú predávaní ich používatelia. Ak používam platené cloudové služby, ktoré mi garantujú bezpečnosť, nebojím sa úniku dát.

Navyše máme v EÚ prísnejšiu legislatívu ako v USA a vyšší stupeň bezpečnosti osobných dát. Každý, kto prichádza do kontaktu s osobnými údajmi môže využívať len istý typ služieb v zahraničí. Nadnárodné zmluvy medzi EÚ a USA napríklad hovoria, že ak sú dáta európskych občanov na amerických serveroch, nemôže k nim mať prístup americká vláda.

Peter Pištek (32)

Prodekan Fakulty informatiky a informačných technológií Slovenskej technickej univerzity v Bratislave je odborník na forenznú analýzu počítačových dát. Od tohto akademického roka vyučuje predmet Forenzná analýza počítačových systémov v študijnom programe Informačná bezpečnosť.

Zdroj: etrend.sk
Sekcia: eTREND
Autor: Tomáš Nejedlý

02. Október 2018 00:00

https://www.etrend.sk/ekonomika/digitalne-stopy-robi-aj-najvacsi-profik-no-je-mozne-ich-zakryt.html