Digitálne stopy robí aj najväčší profík, no je možné ich zakryť [Trend]

Forenzný analytik Peter Pištek vysvetľuje, ako zrejme postupujú vyšetrovatelia vraždy Jána Kuciaka
Progres v ostro sledovanom vyšetrovaní vraždy investigatívneho novinára Jána Kuciaka a jeho snúbenice Martiny Kušnírovej priniesli digitálne stopy. Podľa vyjadrenia polície doviedli vyšetrovateľov k štvorici obvinených zo spáchania tohto brutálneho činu. Peter Pištek je odborník na analýzu digitálnych metadát zo Slovenskej technickej univerzity v Bratislave. Pre TREND hovorí o tom, aké digitálne stopy po sebe ľudia zanechávajú pri používaní internetu, mobilov a počítačov.
* Čo ostáva po používateľoch pri bežnom surfovaní po webe a sociálnych sieťach?
Takmer všetko, čo urobíme v digitálnom svete, po sebe zanechá stopu. Na samotnom počítači sa vieme napríklad dostať k dokumentom aj po ich zmazaní. Po aktivitách, ktoré boli realizované mimo počítača, napríklad cez web alebo USB kľúč, ostáva záznam, ktorý obsahuje základné údaje, takzvané metadáta. To znamená: kde som bol, kedy som tam bol, ako dlho som tam bol, akú webstránku, akú online službu som použil. Záznam nezahŕňa obsah samotný - čo som konkrétne robil a písal. Ak napríklad s niekým četujem, počítač neukladá obsah rozhovoru, ale len navštívenú online službu, ktorú som použil, aby mi ju mohol nabudúce opäť ponúknuť. Alebo ak pracujete so súbormi, tak vám ich ponúkne ako posledné otvorené. Dôvodom je efektivita práce s počítačom, nie snaha vás špehovať.
* Ako dlho tieto stopy v počítači ostávajú?
Existujú dva druhy dát, stále a dočasné. Stále ostávajú prakticky až do fyzického zničenia pevného disku. Všetko, čo máte uložené na disku, tam ostáva aj po vymazaní, až kým to neprepíšete inými údajmi. Čím väčší disk, tým nižšia šanca, že počítač premaže staré dáta novými. A dnes sa používajú obrovské disky... Pokiaľ ide o dočasné dáta, tie zmiznú napríklad pri vypnutí počítača. Už len vytiahnutie šnúry z elektriny preto ukráti vyšetrovateľov o časť dát, napríklad o text súboru, ktorý niekto editoval a zatiaľ neuložil, alebo o text, ktorý písal do četu. Na disku tieto dáta nie sú, ale v operačnej pamäti ostanú do najbližšieho vypnutia počítača alebo aplikácie. No existujú aj metódy, ktoré umožňujú dostať sa k dátam z operačnej pamäte v krátkom čase po vypnutí počítača.
* Hovoríte, že nájsť možno aj zmazané dáta.
Zjednodušene povedané, ak spálim mapu k pokladu, neznamená to, že poklad zmizol. Počítač si kreslí mapu disku a značí si všetky miesta, kde môže ukladať pribúdajúce údaje. Vymazané dáta si označí tiež, ale kým ich neprepíše, poklad je stále v jame. Viete zistiť, kde jama je, a hľadáte práve tam.
* Zmaže formátovanie disku aj stopy po „jamách“?
Rýchle formátovanie nie, pomalé áno. Závisí od typu disku, typu dát a prostriedkov, ktoré chcete vynaložiť na obnovu dát. Existujú firmy, ktoré nezastaví ani preformátovanie disku. Kým disk fyzicky nezničíte, k dátam sa dostanú. Záleží však na hodnote dát, pretože ceny za tieto služby sú obrovské.
* Ako je to s dátami, ktoré sú v cloude, kdesi v obrích úložiskách za oceánom?
Technicky platí to isté, právne vstupuje do hry ďalší subjekt. Ak polícia na základe stôp v počítači alebo mobile zistí, že dáta v cloude môžu byť dôkazom, s potrebnou právnou autoritou si ich môžu vyžiadať na základe medzinárodných zmlúv. Facebook a Google spolupracujú s našimi orgánmi, takže ak je podnet odôvodnený, vedia dodať dáta, ktoré sa u nich nachádzajú. A obe spoločnosti skladujú všetky získané dáta.
* Aj keď požiadate o vymazanie konta?
V takom prípade by mali dáta vymazať, ale touto právnou úpravou si nie som stopercentne istý.
* V dome jedného zo zadržaných bol zaistený počítač. Skúsme ísť po stopách forenzného analytika. Ako bude postupovať?
Ako prvé urobí hodnovernú kópiu disku a dát z počítača. Nemôže pracovať priamo na dotknutom počítači, pretože by mohlo dôjsť k znehodnoteniu dôkazov. Ak si napríklad otvoríte dokument, nič nedopíšete a zavriete ho, zmenili ste podstatný parameter súboru - čas prístupu. Pritom môže ísť o kritický údaj pri zostavovaní sledu udalostí v čase. Ako profesionáli budú policajti určite postupovať korektne. Ak by nepostupovali, narušia časovú líniu. Obvinený môže potom úspešne tvrdiť, že v danom čase ani nemal k počítaču prístup.
* Čo nasleduje po skopírovaní dát?
Vytvoria sa najmenej dve kópie, ktoré sú ošetrené IT nástrojmi tak, aby pre súd predstavovali hodnoverný podklad. Kópie sa môžu poslať na rôzne pracoviská, na analytike tak môže súčasne pracovať viac tímov. Každá manipulácia s dátami musí byť zaznamenaná do dokumentu, ktorý sa označuje ako reťazec zodpovednosti. Dokumentuje sa, kto pristúpi, kedy pristúpi a aké úkony vykoná s dátami, aby bolo všetko zadokumentované a jasné, akými krokmi sa dospelo k dôkazom. Obhajoba má tento dokument k dispozícii, aby mohla overiť, že všetko prebehlo legálne a dôkazy nie sú zmanipulované.
* Hovoríme stále len o kópii dát, lebo samotný dôkaz je zatiaľ zapečatený v policajnom trezore.
Áno. Reťazec zodpovednosti pritom nehovorí o povolenej a nepovolenej manipulácii, ale len dokumentuje úkony. Ak niekto nájde v reťazci chybu alebo neoprávnenú manipuláciu, ešte stále sa dá vychádzať z ďalších kópií, prípadne originálu a pracovať odznova.
* Čo sa dá zistiť zo zaistených dát?
Kto mal k zariadeniu prístup, v akom čase sa k nemu pristupovalo. Tým sa môže vytvoriť sled činností, ktoré môžu pomôcť k úspechu súdneho procesu.
* To predsa možno ľahko spochybniť tvrdením, že na počítači pracoval niekto iný, napríklad návšteva.
Minimálne viete zúžiť okruh ľudí a ďalším vyšetrovaním takéto tvrdenie vylúčiť. Počítač na to obsahuje veľa rôznych typov údajov. Prehliadač si napríklad pamätá vaše obľúbené stránky a prihlasovacie údaje, ak ste mu to umožnili.
* Čo ak používam verziu prehliadača, ktorá neukladá históriu navštívených stránok? Údaje o navštívených stránkach sú naďalej uložené v operačnej pamäti a zručný analytik sa k nim môže dostať. Ak máte napríklad menšiu operačnú pamäť, počítač si pomáha ukladaním časti dát na pevný disk, tieto údaje na disku ostávajú a je možné ich nájsť a analyzovať. Ak ste si aj vymazali históriu prehliadania a súbory cookies, stále sa k nim možno dostať. Od operačného systému Windows 8 viete tiež zistiť, či a aké USB kľúče a pamäťové karty boli do počítača vložené, a cez súdny príkaz si ich viete vyžiadať. Podobne ako mobil má jednoznačný identifikačný kód aj každý USB kľúč a každá pamäťová karta.
* Ako to využijete v praxi?
Windows napríklad uchováva a zobrazuje nedávno použité súbory a adresáre. Môžete medzi nimi nájsť súbor, ktorý je vám podozrivý, vidíte, že bol umiestnený na USB kľúči a súčasne nie je na pevnom disku. K súboru sa nedostanete, ale viete zistiť identifikačný kód tohto USB kľúča a môžete naň rozšíriť súdny príkaz. Ak viete spárovať USB kľúč nájdený pri domovej prehliadke podozrivého s hľadaným USB kľúčom, máte dôležitú informáciu.
* Čo hlasové a vizuálne stopy? Na webe sú články, ktoré sa snažia dokázať „odpočúvanie“ používateľov aplikácií od Googlu a iných IT korporácií. Množstvo ľudí si v práci či doma prelepuje kamery na počítačoch. Je možné sa k týmto dátam dostať?
Ide zvyčajne o uzavreté technológie, pri ktorých nikdy neviete. Videl som testy, ktoré dokazovali, že zber dát prebieha, ale aj testy, ktoré tento prístup vyvrátili. Je známe, že Android pravidelne posiela polohu mobilu so zapnutým GPS a údaje o intenzite WiFi sietí vo vašom okolí. Nedávno sa zistilo, že tieto údaje posiela aj vtedy, keď ste to nepovolili. To môže pomôcť vyšetrovateľom zaradiť na časovú os udalostí aj konkrétne miesto, kde sa daná osoba nachádzala.
* Aké presné sú tieto lokalizačné dáta?
Najpresnejšie sú na otvorenom priestranstve. V úzkych uliciach, medzi vysokými domami sa presnosť znižuje, v podzemných garážach môže signál vypadnúť úplne. Vtedy je možné zistiť polohu mobilu podľa intenzity WiFi signálu z okolitých staníc, ale výsledok je menej presný ako pri GPS.
* Aké dlhé obdobie sa tieto dáta uchovávajú?
Ak máte GPS lokalizáciu povolenú alebo ste ju zabudli vypnúť, ide o nastálo uchovávané dáta a viete si ich cez web pozrieť - kde ste boli a kedy ste tam boli. Používajú to napríklad podnikatelia pri vykazovaní cestovných dokladov a nákladov na pracovné cesty.
* Na čo tieto dáta využívajú online firmy?
Mnohé z týchto dát sú anonymizované, nie sú jednoznačne priraditeľné ku konkrétnej osobe. Google pri svojej analytike nepotrebuje vedieť, ako sa volá konkrétna osoba. Stačí mu jej zaradenie do kategórie spotrebiteľa, napríklad matka na materskej dovolenke alebo dôchodca, a údaje o tom, ako sa správa. Všetci poznáme personalizované reklamné ponuky, ktoré Google ukazuje na základe histórie nášho vyhľadávania. Ak googlite darček pre manželku a máte spoločný počítač, dajte si pozor, aby nebolo po prekvapení.
* Ak by sa potvrdilo, že obvinení z vraždy novinára sú skutočne páchateľmi, pričom ich prezradili digitálne stopy, povedali by ste, že boli digitálne negramotní?
Digitálne gramotní mohli byť, ale na oboch stranách je množstvo metód, ktorými viete stopy zakryť alebo odhaliť. Platí, že čím viac zdrojov máte, tým viac nástrojov viete použiť. Každý robí digitálne stopy, ide len o to, či a ako ich kto vie po sebe pozametať.
* Digitálne stopy pomáhajú odhaľovať brutálne trestné činy. Súčasne sa ukazuje, pod akým drobnohľadom sme sa ocitli po rozšírení technológií. Vnímate to ako prínos pre spoločnosť alebo negatívny posun hranice súkromia?
Ak viem, čo sa deje s mojimi dátami, viem sa podľa toho zariadiť. Treba si uvedomiť, že keď za niečo neplatím, napríklad Google a Facebook, tak produktom, ktorý sa predáva, som ja sám ako ich používateľ. Ak používam platené cloudové služby, ktoré mi garantujú bezpečnosť, nebojím sa úniku dát. Navyše, v EÚ máme prísnejšiu legislatívu ako v USA a vyšší stupeň bezpečnosti osobných dát. Každý, kto prichádza do kontaktu s osobnými údajmi, môže využívať len istý typ služieb v zahraničí. Nadnárodné zmluvy medzi EÚ a USA napríklad hovoria, že ak sú dáta európskych občanov na amerických serveroch, nemôže k nim mať prístup americká vláda.
----
Apetít po dátach od operátorov stopli súdy
Kontroverznú smernicu Big Brother zrušil najprv európsky a potom aj slovenský súd
Mobilný telefón a internetové pripojenie sú studnica menej i viac zaujímavých informácií. Telekomy majú napríklad údaje o tom, komu a kedy ich klienti telefonujú, ako dlho spolu „klábosia“, či kde sa pritom nachádzajú. A keďže mobily sú v populačnej skupine 12+ rozšírené na sto percent, môžu byť univerzálnym nástrojom na mapovanie aktivít ich používateľov.
Pred desiatimi rokmi sa na tento potenciál pokúsili siahnuť zákonodarcovia Európskej únie. Vydali smernicu, podľa ktorej mali telekomunikační operátori a internetoví provideri dlhé mesiace skladovať údaje o prevádzke svojich zákazníkov a na požiadanie (príkaz súdu) ich sprístupniť polícii, tajným službám, daniarom či antimonopolným úradom. Dôvod, ktorým argumentovali, bol, aspoň na prvý pohľad, logický: pomoc pri pátraní po páchateľoch kriminálnych činov, dokonca v štádiu pokusu.
Okamžite sa objavil aj druhý pohľad na smernicu o uchovávaní dát (data retention). Internetoví influenceri, mimovládky, ale i politici tvrdili, že je otázne, či prístup k identifikačným, prevádzkovým a lokalizačným údajom pomôže niečo vypátrať - je to ako hľadať ihlu v kope sena. Naopak, pri zlých úmysloch môže viesť ku kompromitácii nepohodlných oponentov, priemyselnej špionáži a plošnému sledovaniu občanov. Keďže smernica podľa jej oponentov narúšala ochranu súkromia, rýchlo jej prischlo označenie Veľký brat (Big Brother).
Nepomohlo to a kontroverzná smernica EÚ bola zapracovaná do národných zákonov, vrátane toho slovenského o elektronických komunikáciách. Bitka však pokračovala ďalej. V roku 2012 sa na podnet aktivistov z Írska začal smernicou zaoberať Súdny dvor EÚ. Obdobne sa skupina poslancov slovenského parlamentu obrátila na Ústavný súd SR. Po dvoch rokoch najprv európsky a potom i slovenský súd skonštatovali, že Veľký brat nie je v súlade s Chartou základných práv EÚ. Smernicu zrušili a ustanovenia o plošnom uchovávaní údajov a prístupe k nim vypadli aj z národných zákonov.
Súčasný stav je taký, že polícia a iné štátne orgány sa k metadátam o telefonátoch, esemeskách a pohybe klientov telekomov a providerov predsa len môžu dostať, ale iba od momentu, keď im to schváli súd. K údajom z predchádzajúceho obdobia sa nedostanú, lebo operátori ich už uchovávať nemusia. Na druhej strane, telekomy podľa zákona lokalizačné a prevádzkové údaje spracúvať môžu. Ale len vtedy, ak ich anonymizujú - v tomto prípade sa Big Brother mení na Big Data. Alebo ak s tým súhlasí zákazník služby s pridanou hodnotou - a sledovanie štátnym orgánom takouto službou nie je.
----
Peter Pištek (32) je prodekan Fakulty informatiky a informačných technológií Slovenskej technickej univerzity v Bratislave a odborník na forenznú analýzu počítačových dát. Od tohto akademického roka vyučuje predmet forenzná analýza počítačových systémov v študijnom programe Informačná bezpečnosť.