Jaký význam má získávání dat z mobilních telefonů?
V dnešní době jsou v mobilních telefonech často umístěna ta nejzajímavější data o jejich uživatelích. Podobně jako otisk prstu je mobilní telefon jakýmsi otiskem svého uživatele, svědčí o něm fotografie, videa, zprávy, síť kontaktů, historie telefonátů, emaily, poznámky, data ze sociálních sítí jako je Facebook, Google+, Twitter, Foursquare. S obrovským rozmachem mobilních aplikací, které ukládají uživatelovy data nejen na internet, ale i lokálně v telefonu, je nyní možné zjistit mnohem vice informací než dříve. Velmi oblíbené jsou aplikace Evernote, pro ukládání poznámek do cloudu a Dropbox pro ukládání souborů do cloudu. Vyšetřovatel se samozřejmě může obrátit přímo na provozovatele konkrétních služeb se soudním příkazem k poskytnutí dat, to je ale cesta velmi zdlouhavá, poskytovatelů je hodně a většinou sídlí v zahraničí. Přitom čas je ve vyšetřování klíčový faktor. Lokálně uložená data tak hrají ve vyšetřování zásadní roli.
Nemáme se obávat používat moderní telefony?
Je potřeba si uvědomit, že analýza telefonů je nesmírně užitečná nejen v případě podezřelých osob, ale také pokud je nalezena oběť, kdy telefon je často jediným zdrojem okamžitých informací. S použitím moderních nástrojů pro vyšetřování mobilních telefonů lze získat mnoho dat přímo v terénu a ihned jednat. Svým způsobem vám takto může váš telefon pomoci. A pro zločince má použití moderních telefonů výhody v případě využití šifrované komunikace, ale právě proto je potřeba umět z jejích telefonů vyčíst co nejvíce dat, která pomohou v jejich usvědčení.
Jaké nástroje pro forensní analýzu telefonů existují?
V zásadě se jedná o nástroje hardwarové, které pracují samostatně a softwarové, tedy běžící na počítači. Každý přístup má své výhody. Software poskytuje větší komfort, je levnější a uživatel si může vybrat, jak velký, přenosný nebo výkonný počítač si pořídí. Hardware je přenosnější, ale slouží jen pro získávání dat, pro jejich analýzu je stejně potřebný počítač s dalším software. Jedním z nejrozšířenějších softwarových nástrojů je MOBILedit Forensic, který vznikl v České Republice, navázal na SIMedit z roku 1996 a byl prvním softwarem tohoto druhu na světě. Další významné softwarové nástroje jsou MPE od americké firmy Access Data, .XRY od švédské firmy Micro Systemation nebo ruský Oxygen Forensic Suite. Nejvýznamnějším hardwarovým nástrojem je pak UFED od izraelské firmy Cellebrite.
S ohledem na neustálý nárůst telefonních a obdobných zařízení stalo se získávání a analyzování klíčových dat z mobilních zařízení složitější?
Získávání dat z mobilních telefonů bylo složité vždycky, protože neexistuje žádný standardizovaný komunikační protokol, který by výrobci telefonů dodržovali. Dříve se data z telefonu analyzovala manuálně, byli speciálně vyškolení znalci, kteří vzali telefon do ruky, procházeli menu a nalezená data fotili. S příchodem softwarových nástrojů se postupy razantně změnily. Ale vyvinout takový nástroj je velmi náročné, je doslova potřeba analyzovat tisíce telefonů a bez jakékoliv dokumentace od výrobce, za použití zpětného inženýrství, implementovat podporu jeden model telefonu za druhým. Přitom se může lišit způsob komunikace i u stejného telefonu, pokud má různou verzi firmware. Stává se, že ani samotný výrobce nemá komunikační protokoly aktuálně zdokumentované.
Největší výzvu jednoznačně představují telefony iPhone a Android, které nejenže jsou nejrozšířenější, ale obsahují také zdaleka nejvíce dat. Existence několika platforem na jedné straně vývoj usnadnila co se týká komunikačních protokolů. Na druhé straně vznikla úplně nová oblast a to získávání dat z mobilních aplikací. Je důležité si uvědomit, že soudobý forensní nástroj musí umět analyzovat nejen moderní telefony, ale i ten nejstarší telefon, který kdy byl na trhu, protože tyto telefony jsou mezi lidmi a je potřeba umět zjistit jejich obsah.
Jak probíhá v praxi vyšetřování mobilního telefonu?
Vyšetřovatel předá mobilní telefon znalci, který je vybaven potřebnými nástroji. Od tohoto okamžiku je nežádoucí aby telefon přijímal další zprávy nebo hovory. Dříve se proto telefon odstínil od sítě použitím tzv. Faraday bag, to ale bylo nespolehlivé a s telefonem se špatně pracovalo. Dnes se vyjme původni SIM karta a naklonuje se pomocí speciálního software se čtečkou čipových karet případně nástroje hardwarového. Vytvořený klon, má takové vlastnosti, že se nepřihlásí do sítě operátora, ale zároveň telefon nerozpozná, že do něj byla vložena jiná SIM karta. Některé telefony totiž v případě vložení jiné SIM mažou nebo jinak upravují data v telefonu a to je pro vyšetřováné nepřípustné. Zároveň se tím řeší i to, že není potřeba znát PIN k SIM kartě, které samozřejmě může vyšetřovatel zjistit od operátora, ale zase je zde faktor času. Nyní se telefon připojí pomocí kabelu k počítači, spustí se software pro forensní analýzu telefonu a ten načte všechna data z telefonu a paměťové karty. Pokud je na kartě dat více, je rychlejší ji vyjmout a analyzovat ve čtečce zvlášť. Data z telefonu je možné načíst na logické nebo fyzické úrovni (logical/physical acquisition). Logická úroveň je srozumitelná reprezentace dat ve strukturách. Fyzická úroveň poskytne výpis obsahu vnitřní paměti telefonu (memory dump) a může obsahovat i smazaná data, jejich analýza je poměrně složitá a výsledek není zaručen.
Takto získaná data se předávají dále a provádí se na nich analýza pomocí dalších programů jako je I2 analyst nebo Tovek Tools. Často je vyšetřována skupina s větším počtem telefonů a analytické nástroje dokáží v telefonech vyhledat taková data a souvislosti, jaké by člověk nikdy nenašel. Výsledek může být zobrazen ve 3D síti propojení a vazeb. Nakonec je vše v rukou soudce a na něm záleží, jakou váhu zjištěným datům přisoudí.
Do jaké míry může být integrita mobilních extrakčních nástrojů závislá? Mohou například různé nástroje vytvářet zcela odlišné soudní zprávy pro soudní případy?
Vzhledem k tomu, že získávání dat z telefonu je technicky velmi komplikované, různé nástroje dokáží poskytnout různé výsledky, co se týká podporovaných telefonů nebo množství dat. Některé nástroje podporují lépe evropské telefony, jiné americké nebo asijské. Vyšetřovatel většinou vlastní nástrojů více, i proto aby mohl potvrdit analýzu jednoho nástroje jiným. Jedná se přecejen o vinu nebo nevinu vyšetřovaného.
Jaká je situace z hlediska vývoje v oblasti šifrování mobilních dat? Mohou být hlasová data šifrována stejným způsobem jako normální data?
Vzhledem k tomu, že jsou telefony vlastně počítači připojenými k internetu a to dokonce mobilně, je velice snadné použít k telefonování software, který šifruje pakety posílané do internetu a odposlech je tak nemožný.
Jaký postoj obvykle zaujímají soudy v České republice k mobilním datům jako k důkazům?
V České republice používají soudní znalci moderní nástroje pro analýzu telefonů již řadu let a jsou tak z celosvětového hlediska na špici. Soudy se učí tyto důkazy využívat postupně, podobně jako tomu bylo a je u počítačů. Určitě by mohli být rychlejší a progresivnější. I proto je velmi důležité aby se jak představitelé soudnictví, tak odborníci setkávali na konferencích, na kterých se šíří nejen osvěta a zkušenosti, ale i síť kontaktů pro další spolupráci.
Existují v České republice nějaká fora či akce, kde by se diskutovalo o mobilních forenzních technologiích a jejich přijatelnosti pro soud?
V České republice bohužel žádná fóra ani pravidené akce v této oblasti nejsou, k tomu se zájemce musí vydávat na drahé konference do světa. Potěšující je, že se u nás přecejen jedna významná konference koná a to 12. listopadu v Praze – Lawtech Europe Congress, na které se setká řada významných světových i českých odborníků a autorit. Více informací o této konferenci najdete na www.lawtecheuropecongress.com
Ing. Dušan Kožušník,Compelson
Vyjadrite váš názor v komentároch