IT ako dôkaz

Informácie uložené v mobilných telefónoch, počítačoch a tabletoch sa stávajú čoraz dôležitejším dôkazným materiálom pri vyšetrovaní rôznych kriminálnych činov.

Typická počítačová kriminalita zahŕňa hekerské prieniky, šírenie malvéru, poškodenie sieťových služieb firmy či organizácie, finančné podvody a krádeže intelektuálneho majetku. Keďže ľudia majú zvyčajne pri sebe mobil,vznikajú digitálne dôkazy nielen pri počítačovej kriminalite, ale de facto pri akomkoľvek kriminálnom čine. Digitálna forenzná analýza využíva Lockhardov princíp akcie a reakcie, pretože každá akcia vyvolá reakciu, v prípade mobilov, počítačov či tabletov zanechá digitálnu stopu. Digitálna stopa je akákoľvek informácia s vypovedacou hodnotou v digitálnej podobe. Kľúčovým faktorom pre celý reťazec zainteresovaný na zbere a analýze dôkazov je zachovanie integrity digitálnej stopy.

Faradayov vak

Faradayov vak na forenzné účely na mobilné telefóny, foto wikipédia/MIC85

Obzvlášť veľká pozornosť sa musí venovať zaisteniu mobilných telefónov a tabletov so SIM kartou. Po vypnutí sa telefón zamkne, preto sa tieto zariadenia spravidla zaisťujú v zapnutom stave. V takom prípade je však vďaka internetovému pripojeniu možné na diaľku vymazať údaje. V súčasnosti je už táto funkcia pri moderných mobilných operačných systémoch štandardná, stačí byť prihlásený k príslušnej cloudovej službe. Kriminalisti teda musia riešiť dve protichodné požiadavky: udržať zariadenie zapnuté a napájané, aby sa nevybila batéria, a zároveň zamedziť vzdialenému prístupu k zariadeniu. Jediným riešením je vypnúť alebo rušiť GSM signál alebo odtieniť zariadenie. Vypnutie GSM signálu pre zaisťovanie dôkazov je vlastne nemožné, nehovoriac o počte operátorov a národnom roamingu. Rušenie signálu pripúšťa legislatíva len v špecifických prípadoch a vyšetrovanie účtovného podvodu a podobné delikty medzi ne rozhodne nepatria. Riešením je takzvaný Faraday Bag, čo je, ako z názvu vyplýva, vrecko s Faradayovou klietkou tieniacou rádiový signál, do ktorej sa zapnutý telefón vloží, aby sa zabránilo jeho komunikácii s okolím. Ide o textilné vrecúško s kovovou sieťkou vnútri. Faradayova klietka sa používa aj na pracovisku znalca minimálne dovtedy, kým sa do telefónu nevloží iná karta, ktorá je klonom originálnej, aby telefón nepoznal, že došlo k výmene karty. Klonovaná karta sa však nedokáže pripojiť k mobilnej sieti, takže nikto nemôže vymazať údaje v telefóne na diaľku.

Prelomenie šifry

Problémom sú mobilné platformy bez prístupu k súborovému systému. Riešením je pripojenie sa k hardvérovým obvodom telefónu buď pomocou JTAGu, cez piny, ktoré slúžia na zavedenie firmvéru a testovanie, alebo vyspájkovaním čipu a jeho vložením do špeciálnych prípravkov. Veľa telefónov je konštruovaných tak, že sa dajú rozobrať len pomocou špeciálnych nástrojov. Ak sú zalepené, treba ich zahriať na definovanú teplotu a pomocou prísaviek odlepiť zadnú stenu. Kapitolou samou osebe sú zašifrované informácie. Sú síce viditeľné, ale bez rozšifrovania neposkytujú informačný obsah. V prípade mobilných operačných systémov, napríklad iOS, je dešifrovanie za rozumných ekonomických a časových podmienok nemožné. Od verzie Androidu 6 je k dispozícii výkonné šifrovanie a od verzie 7.0 Nougat je šifrovanie implicitne aktivované, no na rozdiel od iOS sa dá vypnúť.

Tento článok si môžete prečítať v časopise Quark 07/2018.

Ak chcete mať prístup aj k exkluzívnemu obsahu pre predplatiteľov alebo si objednať tlačenú verziu časopisu Quark, prihláste sa alebo zaregistrujte.