Katera kriminalna dejanja so najpogostejša? Vdori v informacijske sisteme, kraja identitete, otroška pornografija, kršitve avtorskih pravic, če jih naštejemo le nekaj … Vsa ta kriminalna dejanja puščajo v računalnikih sledove, preko katerih so bila storjena.
Z neželenim brskanjem po vsebini naših računalnikov se ukvarja računalniška forenzika, ki je v Sloveniji še bolj v povojih. Slovenska policija na primer sploh še nima laboratorija za računalniško forenziko. Se pa z računalniško forenziko ukvarjajo nekatera podjetja, med katerimi je na primer podjetje Sismentor, ki na dokaj nerazvitem in nepoznanem področju računalniške forenzike orje ledino.
KDO, KAJ, ZAKAJ?
Poklic računalniški forenzik je pri nas še malo poznan, vendar se znanost, ki se je razvila v Ameriki, prebuja tudi v Evropi. Izraz računalniška forenzična znanost so leta 1991 skovali ameriški strokovnjaki prostovoljne neprofitne korporacije ISTS, ki deluje v okviru organizacije strokovnjakov za računalniški kriminal.
Osnovni namen računalniške forenzike je iskanje dokaznega gradiva v računalniških sistemih. Prvi certificirani računalniški forenzik v Sloveniji, Marko Malovrh iz podjetja Sismentor pravi, da je računalniška forenzika kombinacija tehnologije in umetnosti. S pomočjo podatkov, ki jih strokovnjak za računalniško forenziko pri svojem delu analizira, lahko »zavrti čas nazaj« in ugotovi namen uporabe sistema včeraj, pretekli teden, mesec ali preteklo leto. Raziskuje, ali so bili podatki spremenjeni oziroma zbrisani, pri tem pa odgovarja na vprašanja, kdo, kaj in zakaj. Na podlagi analize podatkov naredi poročilo, ki ga lahko naročnik uporabi tudi kot dokazno gradivo na sodišču.
Prizor, ko preiskovalec s pritiskom na nekaj tipk pride do obremenilnih dokazov, ki jih je osumljenec zbrisal že pred leti, je le filmska interpretacija realnosti. Oziroma, kot pravi Marko Malovrh, bi ena nadaljevanka trajala bistveno dlje, če bi sledila realnemu procesu forenzične preiskave.
NA KRAJU ZLOČINA
Računalniški forenzik se mora pri svojem delu držati istih pravil kot vsi drugi preiskovalci mesta zločina. Bistveno je, da se podatki ne izgubijo ali kompromitirajo. Računalniški forenzik mora pridobiti podatke iz elektronskega medija tako, da postanejo izvorni podatki nespremenjeni. Osumljenca mora obravnavati kot profesionalca, ki obvlada prekrivanje podatkov in pozna vse ukane forenzičnih strokovnjakov. Z računalnikom mora ravnati tako, kot bi ravnal osumljenec pri njegovi normalni uporabi. Majhna napaka lahko začne uničevati podatke na disku.
Da mora biti znanje forenzika o programski in strojni opremi na visoki ravni, je samo po sebi umevno, opremo, ki jo preučuje, pa mora poznati do popolnosti. Kot rečeno, cilj forenzika je ohranitev digitalnih podatkov, zato je zelo pomemben potek raziskave. Najpomembnejši je prvi korak, tj. dober načrt. Forenzik si mora odgovoriti na vprašanja: katero opremo bomo uporabili, bo strežnik med delom ugasnjen ali bo preiskava potekala med delovnim časom, bomo kopirali celoten disk ali samo določeno mapo … Ključen pa je zajem podatkov – tu enostavno nič ne sme iti narobe. Proces kopiranja podatkov mora biti verodostojen, tako da je popolnoma nedvoumno, da je kopija enaka originalu. To izvedejo z dvakratnim branjem, primerjanjem rezultatov med sabo in uporabo posebnih algoritmov. Po koncu kopiranja spravijo originalni disk na varno mesto, kjer ima do njega dostop le omejeno število ljudi.
Trajanje forenzične preiskave je odvisno od velikosti trdega diska in zahtev naročnikov, kaj so pravzaprav naročili, da se išče − slike, podatkovne zbirke, elektronsko pošto … Za predstavo: kompleksna preiskava na 100 gigabajtnem disku traja okoli enega tedna.
PODATKI POVEDO VSE ...
Z računalniško forenziko se torej lahko izognemo izgubi ali okvari podatkov, možnosti, da podatki niso obnovljeni v celoti. Pridobimo možnost, da bodo dokazi, pridobljeni z raziskavo, priznani kot dokaz na sodišču ali v drugih postopkih, ter se izognili tožbi, ker so bili pomembni podatki, dokumenti ali oprostilni dokazi uničeni ali niso bili najdeni. Da kdo naroči forenzično raziskavo, mora imeti za to podlago: sodno ali podlago v pravilniku podjetja, ki to dovoljuje. Vsakega raziskovalca pa obvezuje pogodba o nerazkrivanju podatkov (NDA).
Prvi so začeli uporabljati računalniške forenzične raziskave organi pregona, torej policija in vojska. Potem pa se je preselila tudi v zasebno sfero. Zavarovalnice prek nje dokazujejo primere prevar pri odškodninskih zahtevkih, odvetniške pisarne in pravniki z njimi razkrivajo primere goljufij, ločitve, nadlegovanja. Podjetja najemajo forenzike, kadar sumijo na izdajo poslovnih skrivnosti, nadlegovanje na delovnem mestu, zlorabo položaja ali notranjih informacij, uveljavljanje konkurenčne klavzule ali za dokončen izbris podatkov s trdih diskov. Računalniške forenzične raziskave so v pomoč tudi pravosodju pri dokazovanju različnih kaznivih dejanj, na primer poneverbe, finančne prevare, otroške pornografije …
Forenzika tudi pomaga pri izsleditvi pogrešane osebe. Forenzik lahko razišče vso elektronsko pošto, ki jo je prejela ali poslala oseba, pregleda vso zgodovino mns-pogovorov. Iz glave pošte se da o pošiljatelju prebrati ogromno podatkov, vsa elektronska pošta pa je obnovljiva, vse dokler zbirka ni strnjena oziroma prepisana z drugo vsebino. Forenzična preiskava računalniškega sistema je koristna tudi pri sledenju pogrešanih oseb – s kom so komunicirali, o čem, kako so razmišljali, so opravili kakšne nakupe prek spleta? Vse te informacije lahko pomembno prispevajo k razkrivanju ali celo osebo izsledijo. S forenzično raziskavo so preučevali tudi zadnje dneve 24-letne študentke Chandre Levy, ki je 30. aprila 2001 izginila v Washingtonu in so jo pozneje našli mrtvo v washingtonskem parku.
... IN SO TRDOVRATNI
Računalniški sistem je torej prava zakladnica podatkov in informacij, saj brisanje datotek in praznjenje koša še zdaleč ne pobrišeta datotek s trdega diska. Računalniški sistem teh podatkov fizično ne odstrani z diska, ampak odstrani le povezave do njih. Dokler jih ne prepišemo z novimi podatki, jih je mogoče z ustrezno programsko opremo obnoviti. Prav tako je obnovljiva vsa elektronska pošta, če je nismo strnili oziroma prepisali z drugo vsebino. Študenta s tehnološkega inštituta iz Massashusettsa (MIT) sta pred leti zbirala stare in zavržene trde diske in na njih iskala uporabne podatke. Od 129 še delujočih diskov jih je 69 vsebovalo zbrisane datoteke, ki jih je bilo možno obnoviti, na 49 pa sta našla celo osebne podatke prejšnjih lastnikov. In še pornografsko vsebino, ljubezenska pisma, podatke o zdravstvenih stanjih in celo pet tisoč kreditnih kartic. Na to, da so podatki obnovljivi, je dobro pomisliti takrat, ko se odrečemo staremu računalniku. Formatiranje ali brisanje podatkov ne uniči. Podatke zbrišete šele, če jih prepišete z novimi podatki.
Če pride star računalnik pod roke kiber kriminalcem, nam ti, vsaj hipotetično, lahko ukradejo identiteto, in prav kmalu lahko prejemamo račune za stvari, ki jih nismo kupili. Najmanj! Preden torej zamenjate star računalnik z novim, dobro premislite, če ne zaradi drugega, vsaj zato, da ohranite svojo zasebnost.
Kaj pravi slovenska policija
LABORATORIJA NIMAMO, STROKOVNJAKOV PA TUDI NE!
Seveda nas je zanimalo, kako je slovenska policija pripravljena na tovrstne nove izzive. Poslali smo jim nekaj vprašanj in odgovori so, vsaj po mnenju avtorja, zaskrbljujoči. V naslednjih vrsticah preberite, kaj smo spraševali in kakšne odgovore smo dobili. Odgovori so objavljeni točno takšni, kot smo jih dobili, le nekaj tipkarskih napak smo popravili.
Kako je slovenska policija opremljena na področju? Kakšno strojno in programsko opremo uporabljate in ali je te opreme dovolj?
Policija pri svojem delu uporablja zmogljivejše standardne osebne in prenosne računalnike z večjo kapaciteto trdih diskov in dodatnimi zunanjimi trdimi diski. Razvoj na področju strojne opreme je zelo hiter, zato strojno opremo občasno dopolnjujemo z dodatno strojno opremo, vsake 2 do 4 leta pa zamenjamo obstoječo strojno opremo z novo. Uporabljena programska oprema je kupljena pri različnih proizvajalcih oziroma je rezultat lastnega razvoja. Pri nabavi strojne in programske opreme smo vezani na državni proračun.
Ali je v Sloveniji na voljo dovolj strokovnjakov s tega področja?
Kriminalistov, ki se ukvarjajo s preiskovanjem računalniške kriminalitete, primanjkuje. Razen na Policijski upravi Ljubljana, kjer imajo kriminaliste zadolžene samo za preiskovanje računalniške kriminalitete, so na vseh drugih Policijskih upravah to kriminalisti, ki se poleg svojega rednega dela ukvarjajo še s preiskovanjem računalniške kriminalitete.
Ali imamo v Sloveniji sploh kak zakon ali ustrezen akt, ki ureja to področje, torej priznavanje izsledkov računalniške forenzike, ali so definirana orodja in načini pridobivanja forenzičnih elektronskih podatkov, da so ti priznani s strani sodišč?
Za področje preiskovanja računalniške kriminalitete se, kot za vsa ostala področja dela policije, uporabljajo različni zakonski in podzakonski akti.
Ali imamo v Sloveniji definirano, kdo je lahko sodni izvedenec na tem področju, jih sploh imamo in koliko jih je?
Pravilnik o sodnih izvedencih in sodnih cenilcih (Ur.l. RS, št. 7/2002, 75/2003, 72/2005) podrobneje ureja način imenovanja in razrešitve sodnih izvedencev oziroma sodnih cenilcev, vsebino in način opravljanja posebnega preizkusa strokovnosti in posebnega preizkusa znanja izvedencev oziroma cenilcev, tarifo za plačevanje nagrade za izvedensko oziroma cenilsko delo in povrnitev stroškov, ki jih je izvedenec oziroma cenilec imel v zvezi z izvedenskim oziroma cenilskim delom. Seznam je dostopen na spletni strani Ministrstva za pravosodje www.mp.gov.si/si/zbirke_podatkov/.
Zanima me tudi, ali bi si bilo mogoče ogledati forenzični laboratorij in ga tako pobliže predstaviti bralcem.
Policija forenzičnega laboratorija za preiskovanje računalniške kriminalitete nima.
Iz odgovorov lahko torej sklepamo, da slovenska policija za forenzične raziskave uporablja le običajne osebne računalnike, torej nobene dodatne namenske opreme, da se z računalniško forenziko ukvarjajo kar običajni kriminalisti, ki so jih »priučili« in da za to v naši državi sploh nimamo nobenega laboratorija. Hmm. Stanje, ki ni ravno rožnato. Nekako si ne znamo predstavljati, da bi z razpoložljivo opremo, še manj pa z obstoječim znanjem lahko našli in morda celo obsodili kakšnega računalniškega kriminalca. Z vsem dolžnim spoštovanjem do kriminalistov namreč trdim, da nekdo, ki se je računalniške forenzike priučil, ne more biti kos sodobnemu računalniškemu kriminalu. Kdo je kriv za takšno stanje? Policija? Ustrezno ministrstvo? Država? »Riba smrdi od glave« in zato mislim, da Policije ne gre kriviti. Oni se verjetno zavedajo, kaj imajo in česa ne. Če pa se država ne zaveda, kaj pomeni računalniški kriminal, pa je to zelo zaskrbljujoče. Na področju informatike zadeve potekajo zelo hitro in kaj lahko se zgodi, da bo Slovenija zaradi pomanjkanja razumevanja problematike s strani države postala center računalniškega kriminala.
Zoran Banovič
