Digital Forensic Triage

15.02.2017

Jedním z aktuálních problémů oboru digital forensic je i neustále se zvyšující počet stop, které jsou předávány ke zkoumání a současně s tím i objemy dat, které je potřebné analyzovat. Určitý způsob řešení je popsán v dalším textu.

Stále častěji se setkáváme se situací, kdy OČTŘ v rámci vyšetřování nějakého případu zajistí větší množství digitální techniky a zašlou ji ke znaleckému zkoumání. Logicky je zcela zřejmé, že tato technika obsahuje potenciálně velké množství informací, které se k vyšetřované věci přímo vztahuje a proto je pro tyto orgány důležité je prozkoumat znalecky. Je taky vysoce pravděpodobné, že ne všechna zajištěná technika důležité informace obsahuje a také důležitost informací, z pohledu vyšetřování, je různá na různé technice, zejména v závislosti od toho kde resp. u koho byla technika zajištěna.

Při takovýchto velkých objemech techniky a tím pádem i při enormně velkých objemech dat, které v současnosti již dosahují desítky TB na jeden znalecký posudek, již není v technických možnostech znaleckých pracovišť postupovat v rámci stanovených časových limitů s maximální mírou detailu u každého zajištěného prvku. Detailní analýza datového nosiče je totiž časově nesmírně náročná a aplikovat takovou detailní analýzu plošně na všechny stopy by bylo z časového pohledu pro OČTŘ neakceptovatelné.

Logicky z toho vyplývá požadavek na určitou kvalifikovanou selekci toho, co bude potřebné prozkoumat detailně a čemu postačí věnovat se v rámci zkoumání s menší mírou detailu.

Je to analogické k situaci, kdy je zajištěno velké množství papírové dokumentace, avšak po předběžné analýze jejího obsahu pouze některé dokumenty, které jsou z pohledu vyšetřování důležité, mohou být v případě potřeby podrobeny dalším analýzám, např. grafologickým, grafickým, písmoznaleckým, jazykovým nebo jiným, např. i technickým expertízám. O tom, která část stop bude dále detailněji zkoumána, rozhoduje vyšetřovatel.

U digitální techniky je situace podobná, avšak mírně složitější v tom, že výše zmíněnou "předběžnou analýzu" nemůže standardně udělat vyšetřovatel bez předchozích odborných technických činností znalce a bez následné těsné součinnosti s ním.

Důvodů je hned několik:

  • Při zajišťování při domovních prohlídkách nebo prohlídkách jiných prostor v drtivé většině případů nedochází k zajišťování dat přímo, ale k zajišťování celých technických prostředků - různé výpočetní, komunikační a jiné digitální techniky.
  • Zajištěné technické prostředky mohou být někdy předmětem zkoumání jako takové samotné, avšak ve většině případů jsou to právě jenom nosiče dat/informací. Tato data, která jsou na technických prostředcích uložena (např. na pevných discích počítačů, v pamětech mobilních telefonů apod.) je nutné nejdříve odborně zajistit, protože jakákoliv neodborná manipulace se zajištěnými technickými prostředky může vést k nenávratnému zničení nebo modifikaci dat na nich uložených a tím i k nepoužitelnosti těchto dat jako důkazů.
  • Primárním způsobem zajištění dat z technických prostředků je pořízení binárních kopií těchto dat (tzv. "obrazů disků")[1]. Nejenom že se často potkáváme s velice různými technickými prostředky, mnohdy přímo téměř obskurními a pořízení binárních kopií takových dat bývá obtížné a vyžaduje specifické znalosti, ale takto zajištěná data nejsou běžným způsobem čitelná a tedy vyšetřovatelem použitelná pro předběžnou analýzu.
  • Pro předběžnou analýzu informací ze zajištěné techniky je potřebné data z pořízených/zajištěných binárních kopií vybrat tak, aby se jednalo o data, která pocházejí z cílené a uvědomělé činnosti uživatele, aby byla eliminována data systémová a takto vybraná data vhodným způsobem vyšetřovateli zpřístupnit.
  • Často se stane, že vybraná data jsou uložena ve formě/formátu, který vyšetřovatel nemůže z technických důvodů zobrazit nebo data (např. z databází) nedávají bez uvedení kontextu a nastavení vazeb správný smysl. Tady je nezastupitelná role odborníka, znalce, který technicky asistuje vyšetřovateli a poskytuje mu technickou součinnost.

Předběžná analýza může poskytnout důležité podklady o celkovém obsahu informací v zajištěné technice a pomůže specifikovat, kterou techniku je potřebné analyzovat detailně, tedy kde je nezbytné použít náročné analytické nástroje.

Tuto činnost ale nemůže provádět znalec, protože pouze vyšetřovatel zná další souvislosti a informace, které z různých důvodů znalci nemohou být známé nebo mu nemohou být poskytnuty. Pouze vyšetřovatel může kvalifikovaně a se znalostí vyšetřované věci rozhodnout, co je potřebné prozkoumat do hloubky, na které technice se potenciálně mohou nacházet další klíčové důkazy. K tomu však potřebuje relevantní informace, které mu může poskytnout právě předběžná analýza.

Výběr relevantních stop na základě předběžné analýzy, ve světě taky nazývané "triage"[2], se vzhledem k rostoucímu množství používané (a následně i zajišťované) digitální techniky a extrémně velkému nárůstu objemů zajišťovaných dat, stává postupně nezbytnou součástí zajištění a následné forenzní analýzy digitálních dat.

"Triage", neboli výběr podle naléhavosti nebo důležitosti, se ve své podstatě provádí na místě činu vždy a odjakživa, kdy ze všech možných stop jsou zajišťovány na základě zkušeností a vědomostí kriminalistů pouze stopy kriminalisticky relevantní.

S příchodem digitálních technologií, kdy se jedná převážně o stopy latentní, není ale jednoduché a mnohdy ani není technicky, personálně či časově možné provést výběr relevantních stop na místě zajištění. Proto se většinou přistupuje k zajištění všech potenciálně relevantních stop (digitálních zařízení). Na hodnocení jejich relevance, tedy výběr těch skutečně kriminalisticky relevantních, se ale zapomíná a k podrobnému znaleckému zkoumání se předávají všechny zajištěné stopy.

Dopady jsou zřejmé:

  • Při několikanásobném transportu desítek a stovek digitálních zařízení nezřídka dochází k jejich poškození. Zajištěná technika již není balena dostatečně bezpečně, papírové nebo plastové obaly, které se při zajištění běžně používají, nechrání techniku před mechanickým poškozením.
  • Znalecké zkoumání velkého počtu techniky a tím i velkých objemů dat se komplikuje. Většina znalců (zejména fyzických osob) již ani objektivně nemůže disponovat dostatečnými technickými prostředky, aby byla schopna takové počty techniky skladovat a takové objemy dat uložit, zpracovat, archivovat.
  • Při objemech dat přesahujícím několik TB na posudek, se již začíná projevovat "big data" problém, který způsobuje, že analytické systémy, které jsou schopny zpracovat malé a střední objemy dat, při velkých objemech kolabují a ne vždy je možné identifikovat příčiny a ne vždy je možné tento problém řešit navyšováním kapacit nebo výpočetního výkonu.
  • Prodlužuje se mnohdy zcela zbytečně doba zpracování znaleckých posudků, kdy procesy, které by bylo jinak možné realizovat hromadně, nelze právě z důvodů velkých objemů dat realizovat a zpracování musí probíhat postupně, sekvenčně a s většími nároky na čas a odborné kapacity.
  • Znalecké zkoumání se mnohdy výrazně prodražuje, protože se zkoumá technika a data, která by zkoumána vůbec nemusela být, nebo by postačovalo na některé předem vybrané stopy použít jednodušší znalecké postupy a detailní (tedy i drahé a časově náročné) analýzy provádět pouze na klíčových datech.

Přirozeně vzniká otázka "co když právě na té technice, která nebyla předběžnou analýzou vybrána pro detailní zkoumání, se nachází důležité důkazy?" Jestliže byla na místě činu zajištěna veškerá dostupná digitální technika a na základě předběžné analýzy byla vybrána pro detailní znalecké zkoumání pouze její část, je vždy možné následně zkoumání rozšířit i na další techniku, jestliže budou zjištěny poznatky, že se i na další technice mohou nacházet důkazy. Navíc, protože jedním z prvních úkonů je pořízení binárních kopií dat z veškeré zajištěné techniky, takové dodatečné rozšíření zkoumání je možné prakticky kdykoliv, i po vrácení techniky původním majitelům. Jedinou nedořešenou skutečností je v tomto případě pouze problém archivace pořízených binárních kopií dat,[3] protože není nikde jednoznačně stanoveno, kdo archivaci provádí, na jak dlouho se data archivují a kdo hradí odpovídající náklady.

Na tomto místě vznikají zároveň nejméně další dva další okruhy mnohem obecnějších problémů:

  • Jak jsou současní vyšetřovatelé schopni odborně, technicky a časově provádět předběžnou analýzu digitálních dat tak, aby byli schopni provést výběr kriminalisticky relevantních stop pro detailní digitální forenzní analýzu? S tím také souvisí problematika výběru dat k takové předběžné analýze, řešení technických problémů souvisejících právě s různými používanými formáty dat a možnostmi jejich zobrazení a hodnocení na policejních pracovištích. Jaké kvalifikační, technické a časové podmínky je pro to nutné vytvořit? Jaká procesní pravidla na takovou činnost použít? Jsou to právě znalci, kteří budou data pro předběžnou analýzu připravovat, nebo bude dostatečné využít kvalifikovaný technický personál a jaké procesní souvislosti to přinese a jaký to bude mít dopad na důkazy, jejich sílu nebo i případně přijatelnost?
  • Kde jsou hranice znaleckého zkoumání v oblasti digital forensic? Je pořízení binární kopie dat, prosté vykopírování uživatelských souborů nebo "zpřístupnění" účetních dat znaleckým úkonem nebo to je jen technická záležitost? Kde je hranice mezi "základní počítačovou gramotností", "kvalifikovanou znalostí ICT" a "znaleckou odborností" a dokdy budou znalci suplovat základní nedostatky v elementární počítačové gramotnosti a elementární technické nedostatky policejních složek? Přičemž mnohdy základní úkony, nad kterými by se nebylo nutné ani vůbec pozastavit, musí být z různých důvodů prováděny znalcem, navíc s veškerou technickou, časovou, administrativní a dokumentační náročností znaleckého zkoumání.

Oba výše zmíněné okruhy problémů vyplývají zejména z toho, že problematikou znaleckého zkoumání, vývoje forenzních věd obecně jejich integrací do širších souvislostí a procesů vyšetřování trestné činnosti, tím méně problematikou digitální forenzní vědy, se v současné době nikdo systematicky nezabývá (čest jednotlivcům, kteří to ale dělají spíše jako svého koníčka). Zejména se tím systematicky a cíleně nezabývá žádný ze subjektů, od kterých by se to očekávalo. Rozvoj kriminalistické vědy jako vědy o kriminalistických stopách, (v současnosti také obecně označovanou jako forenzní vědy) byl vždy doménou zejména Policejní akademie, Kriminalistického ústavu a některých předních právnických fakult. Zdá se, že (v návalu operativních každodenních problémů) na vědu, která dává základní odpovědi na klíčové otázky současnosti, nezbývá ani čas, ani prostředky. Dá se přirozeně vycházet např. z poznatků zahraničních, jenomže forenzní vědy a jejich praktická aplikace musí být vždy v souladu s lokální jurisdikcí. Právě procesní a právní problémy rozvoje forenzních věd musí korespondovat s právním prostředím, korektně implementovat aktuální rozvoj do prostředí praxe.


[1] Důvodem tohoto postupu je získání maximálního objemu dat/informací z nosiče tak, aby bylo možné následně prozkoumat veškerá dostupná data, tedy nejenom obsah souborů, ale i dávno smazaná data, informace o aktivitách uživatelů, síťové komunikaci a další informace, které jsou na datových nosičích uložena a nejsou jednoduše uživatelskými postupy přístupná nebo zjistitelná.

[2] provádění výběru podle naléhavosti nebo důležitosti, v oblasti digital forensic viz např. https://computerforensics.parsonage.co.uk/triage/ComputerForensicsCaseAssessmentAndTriageDiscussionPaper.pdf, https://www.digitalforensics-conference.org/CFFTPM/CDFSL-proceedings2006-CFFTPM.pdf a další.

[3] Problém archivace obrazů disků a obecně dat znaleckého zkoumání v oblasti digital forensic je problém širší a vyžaduje samostatný rozbor. Při extenzivním výkladu zákona o znalcích by se dalo extrapolovat, že je to povinností znalce, ovšem problematika je mnohem složitější a pravidla archivace digitálních dat nejsou pro tyto účely stanovena a pokrytí dodatečných nákladů na takovou činnost se většinou vymykají možnostem jednotlivých znalců a většinou i možnostem dožadujících orgánů.

Ing. Marián Svetlík, svetlik@df-pro.cz