Tento dvojčlánek je jemným úvodem do problematiky forenzní analýzy digitálních dat. Vše je probíráno v obecné rovině nezávisle na zkoumané platformě a nezávisle na použitých investigativních prostředcích.
V dnešní době se již digitálním zařízením prakticky nevyhneme. Tato zařízení, ať už jsou v podobě osobních počítačů, PDA zařízení, mobilních telefonů, USB flash disků či mnoha dalších, jsou tak snadno dostupná, že se rychle zařadila mezi běžné součásti našeho každodenního života a stala se našimi nástroji denního používání. Lze předpokládat, že tato zařízení postupem času původní zařízení, postupy a zvyky úplně nahradí.
Logicky vyvodíme, že tedy i tato zařízení se stávají terčem útoků a také samozřejmě nástrojem zločinu – takový zločin je pak nazýván cybercrime. Proto bylo potřeba vytvořit vědu (nebo metody), jež toto prostředí digitálních dat bude zkoumat.
Když dojde k vraždě nebo k vloupání, budou lidé zainteresovaní v takovém případu (zřejmě policie nebo jiné oprávněné složky) zkoumat a ohledávat místo činu za účelem rekonstrukce dané události, nalezení viníků a sběru důkazů. Prostředkem k tomuto sběru informací bude například fotografování místa činu, snímání otisků prstů, sběr genetického i jiného materiálu a shromažďování důkazů.
Obecně lze říci, že tato rekonstrukce probíhá obdobně v případech, kde je potřeba zkoumat počítače a jiná digitální zařízení či pouze data. A to je přesně práce pro forenzní analýzu digitálních dat. Samozřejmě, že mezi těmito dvěma oblastmi jsou rozdíly. Digitální data jsou velmi náchylná ke změně – tzn. že jsou velmi nestálá. Tomu pak musí být přizpůsobeno nakládání s těmito daty, ať už se jedná o samotný sběr, uchovávání, nebo transport. Takový sběr důkazů může být velmi časově náročný, a to především v závislosti na množství zkoumaných dat. Ovšem zase rekonstrukce události (či událostí) není zpravidla náročná na fyzický prostor, takže ji lze provést například přímo v soudní síni.
Dosud nepříliš dostatečná obecná obeznámenost v oblasti forenzní analýzy digitálních dat a nebo vůbec obeznámenost ve znalostech digitálních zařízení, počítačových systémů a dalších činí tuto oblast velmi problémovou, a proto je potřeba ji dále podrobně zkoumat.
Obecné povědomí je takové, že pod pojmem cybercrime se skrývají zločiny, které se odehrávají ve virtuálním prostoru počítačů a počítačových sítí (tzv. „cyberspace“). Ale pojem cybercrime zahrnuje více než tento prostor. Výzkum digitálních dat je často potřeba v případech, ve kterých by to asi málokdo čekal. Když například policie ohledává byt, ve kterém pobýval drogový dealer a ve kterém se našel kontraband, měl by policii zajímat i počítač, který v této situaci může vypadat relativně nevinně. Došlo k případu, kdy byly v takovém počítači nalezeny kompletní informace o zákaznících, dodávkách a dalších zajímavých věcech (v současnosti asi běžná situace). Takže vidíme, že počítač nebo jiná zařízení s obsahem digitálních dat nemusejí být v roli oběti a také nemusejí mít nic společného se zločiny páchanými na takovýchto zařízeních nebo pro dosahování vyšších cílů skrze tato zařízení.
Celá metodologie reakce na incident je složena z více kroků, které jsou v různých zdrojích definovány odlišně, ale základní podstata by měla být stejná. Dále také záleží na tom, zda má daná organizace vytvořenou metodologii, kterou bude postupovat při detekování takového incidentu. Pokud ano, bude zřejmě zařazena v bezpečnostní politice dané organizace. Na druhou stranu je potřeba vyšetřovat případy, kdy žádná příprava na incident nepředcházela, detekce problému byla zcela náhodná nebo byl problém tak nápadný, že nebylo pochyb, že k incidentu došlo. Pak mohou být rekonstrukce incidentu, sběr důkazů, hledání zodpovědných lidí a další kroky samozřejmě o to obtížnější.
Forenzní analýza digitálních dat (angl. digital forensics) je relativně mladá věda. Někde se říká, že to není ani tak věda jako spíše umění (ale o jaké vědě to říct nelze, že :-) ). Tato věda a její název vlastně vznikly z původního výrazu forenzní analýza počítačů a počítačových systémů (angl. computer forensics), která zkoumala pouze počítače. Forenzní analýza digitálních dat se zabývá digitálními technologiemi ve všech podobách – kromě počítačů například i mobilními telefony, mobilními sítěmi, datovými médii a mnohým dalším.
Zatímco forenzní analýza počítačů a počítačových systémů je definována jako souhrn technik a nástrojů k hledání důkazů na počítači, forenzní analýza digitálních dat je definována jako užití vědecky odvozených a osvědčených metod k izolování (ochraně), sběru, zhodnocení, identifikaci, analýze, interpretaci, dokumentaci a prezentaci digitálních důkazů ze zdrojů digitálních dat s cílem usnadnění rekonstrukce událostí shledaných zločinnými nebo k odhalení neautorizovaných akcí, které působí rušivě na plánovaný běh operací.
Takových definic je samozřejmě více, ale v zásadě se neliší. Pokud bychom to řekli laicky, tak tato věda analyzuje jakákoliv digitální data s cílem určit, co se stalo, kdy se to stalo, jak se to stalo a koho se to týká. Metodologicky je to podobné, jako když se vyšetřuje jiný incident ve fyzickém světě – například vražda nebo loupež. Složky zkoumající tyto incidenty také bude zajímat, co se stalo, kdy se to stalo atd. Ve světě digitálních dat jsou tyto informace často skryty v podobě smazaných souborů, fragmentů dat uložených v alokované paměti existujících souborů (tzv. slack space), dat uložených v dočasné paměti RAM nebo v podobě záznamů (tzv. logů) činnosti jednotlivých služeb, které na daném zařízení běží. Proto je potřeba k získání těchto informací a důkazů použít speciální nástroje, znalosti a zkušenosti. Stejně jako když v rámci nějakého případu bude nalezena kulka ze střelné zbraně a bude potřeba ji identifikovat. Tuto práci nemůže udělat jakákoliv osoba zainteresovaná v takovém případu, ale pouze odborník na balistiku.
Uvádějí se i další podskupiny pro forenzní analýzu digitálních dat, jako například síťová forenzní analýza, která se zabývá výhradně vyšetřováním v oblasti počítačových sítí, forenzní analýza telefonního systému GSM nebo forenzní analýza notebooků a laptopů. Když půjdu ještě do nižšího levelu, můžeme rozlišovat forenzní analýzu jednotlivých operačních systémů.
Nyní si povíme blíže, co hlavní body definice forenzní analýzy digitálních dat znamenají. Izolování a ochrana důkazů znamená to, že pro následující sběr a analýzu digitálních dat je potřeba zachovat jejich původní sterilitu, takže musíme zabránit jejich pozměnění či ztrátě. V praxi se to většinou provádí tzv. forenzní duplikací zkoumaného digitálního média. Zkoumání pak probíhá na této kopii. Pokud nemůžeme provést forenzní duplikaci, lze např. nastavit dané médium tak, aby sloužilo pouze ke čtení a nebyl na něj umožněn zápis, pokud je to tedy možné.
Sběr důkazů znamená to, že tyto důkazy musíme z původního pracovního média vyextrahovat na jiné médium anebo do formy vhodné pro tisk.
Identifikace důkazů znamená v počáteční fázi identifikaci samotných relevantních médií, na kterých by se mohly důležité informace nacházet. Podstatou je to, že samotné médium (pevný disk, USB flash disk atd.) není samo o sobě důkazem, ale pouze zdrojem takových důkazů. Ve fázi analýzy má identifikace důkazů co do činění s identifikací jednotlivých dat a informací.
Interpretace informací, případně důkazů, může být klíčová. Díky dostupnosti různých skriptů a GUI utilit pro extrahování takových informací mohou být informace získány prakticky kýmkoliv. Ale správně je vyložit je věc druhá.
Další velmi podstatnou částí je dokumentace ve smyslu zaznamenávání všeho, co děláme. A to opravdu všeho od začátku až do konce. Například kvůli tomu, že jako vyšetřovatelé budete moci být u soudu dotazováni, a to i na podrobnosti. A už z principu musí být jasné, jaké všechny kroky jste podnikli.
Zjištěné skutečnosti je potřeba v nějaké formě prezentovat. Těžko budete vrcholovému managementu sdělovat zjištěné skutečnosti například výpisem logů aplikací nebo na takové odborné úrovni, že tomu management prostě nebude rozumět. Takže je potřeba prezentovat podstatné skutečnosti a závěry, pokud možno bez technických detailů, které jsou v konečném důsledku zbytečné. Managementu jednoduše sdělte například, kdo je odpovědný, co bylo odcizeno, jaké jsou následky a škody apod.
Jak jsem se již zmínil na začátku, zkoumaný počítač může působit v roli nástroje zločinu a nebo může vystupovat v roli oběti – tzn. v pozici, kdy je takový počítač nebo jiné zařízení terčem zločinu (například byla-li z takového počítače odcizena nějaká data atd.). V takovém případě většinou uplatňujeme metody reakce na incidenty. V prvním případě, kdy je počítač nástrojem nějakého zneužívání, nás jako výzkumníky, popř. vyšetřovatele, nemůže překvapit, že zkoumané zařízení se nám do rukou dostane vypnuté nebo dostaneme pouze média (disky atd.) ke zkoumání. Takže nebudeme moci vytěžit informace z dočasné paměti RAM, běžící procesy, sledovat síťová spojení apod. Takové informace jsou však velmi důležité a často klíčové, proto musí být metodologie reakce na incidenty (kterou využijeme v druhém případě, kdy je počítač v pozici oběti) postavena tak, aby byly tyto informace zachovány.
Samozřejmě, že tento výzkum digitálních dat a sběr důkazů se nedělá pouze tehdy, kdy má případ skončit před soudem, ale například i pro pouhé odhalení lidí zodpovědných za danou událost (a případně jejich potrestání). Ovšem nikdy nemůžete vyloučit, že nějaký případ před soudem neskončí – například před soudem proti zaměstnanci.
Pokud vyšetřujeme nějaký takový incident, je potřeba se často nedívat pouze na samotné digitální médium, protože informace (často klíčové) a důkazy vztahující se k případu mohou být i jinde – např. v blízkosti počítače, ať už to jsou hesla napsaná na spodní straně klávesnice, výstup na monitoru či tiskárně, nebo logy externích prvků sítě, jako jsou proxy servery a firewally. Součástí takového výzkumu jsou i výslechy lidí, kteří jsou s případem provázáni. Pokud to nebudeme brát v úvahu, mohou nám utéct často klíčové informace.