w w w . v i a v i s . c z
1 / 36
Forenzní zkoumání digitálních důkazů a stop
Vladimír Lazecký
vladimir.lazecky@viavis.cz
www.viavis.cz
2 / 36
Obsah přednášky
Digitální stopa
Digitální důkaz
Zásady práce s digitálními důkazy
Budeme si hrát
www.viavis.cz
3 / 36
Digitální stopa
Vzniká při jakékoli interakci s kyber prostorem – co je Kyber prostor?
Jakákoli digitální data s informační hodnotou
Data
Metadata
www.viavis.cz
4 / 36
Kyber prostor
https://czechsmartcitycluster.com/
www.viavis.cz
5 / 36
Co s digitální stopou souvisí
Zajištění digitální stopy
Zajištění digitální stopy tak, aby mohla být použita jako soudní důkaz
Souvisí s požadavky právního řádu dané země
Musí umožňovat forenzní zkoumání
www.viavis.cz
6 / 36
Častá zpochybnění digitálních stop
Autenticita – je tou stopou, která byla získána?
Integrita – nemohlo být do ní zasahováno, manipulováno?
Legalita – byla získána legálně?
Opakovatelnost – dá se zkoumání zopakovat se stejným výsledkem?
www.viavis.cz
7 / 36
Co s digitální stopou souvisí
Datové objekty
Vlastní data – databáze, soubory…
Musí být chráněny proti změně – může být problém
Vždy musí být průkazně zajištěny – může být problém
www.viavis.cz
8 / 36
Co s digitální stopou souvisí
Fyzické objekty
Datové nosiče, počítače, AV technika….
Jsou na nich uloženy datové objekty
Zajištění odolnosti proti změnám
Mohou být předmětem širšího zkoumání
www.viavis.cz
9 / 36
Co s digitální stopou souvisí
Originál datové stopy
Zajištěný fyzický a datový objekt – může být problém
Základní důkazní materiál
Pro forenzní zkoumání se vytváří jejich průkazné kopie
www.viavis.cz
10 / 36
Co s digitální stopou souvisí
Duplikát datové stopy
Přesná reprodukce datových objektů na stejné fyzické objekty
Kopie 1:1 – zachování datových i fyzických vazeb
Duplikát musí být vytvořen průkazným a dokumentovaným způsobem
Forenzní zkoumání duplikátu neohrozí originál
Jak uděláte duplikát datové stopa v telco infrastruktuře?
www.viavis.cz
11 / 36
Co s digitální stopou souvisí
Kopie digitální stopy
Kopie digitálního objektu na jiný fyzický objekt
Nemusí jít o kopii všech datových objektů
Musí umožňovat forenzní zkoumání
Zkoumání duplikátu nemění a neohrozí originál
www.viavis.cz
12 / 36
Specifika digitálních stop (kriminalistický pohled)
Nehmotnost digitální stopy
Obtížnost vytvoření duplikátu – rozsáhlá infrastruktura
Vícenásobná latentnost – data x metadata
Snadné zničení (průkaznosti)
Rychlé stárnutí
www.viavis.cz
13 / 36
Pro představu – záznamy o telekomunikačním provozu
https://www.zakonyprolidi.cz/print/cs/2012-357/zneni-20130101.htm?sil=1
www.viavis.cz
14 / 36
Pro představu
https://www.zakonyprolidi.cz/print/cs/2012-357/zneni-20130101.htm?sil=1
www.viavis.cz
15 / 36
Pro představu
https://www.zakonyprolidi.cz/print/cs/2012-357/zneni-20130101.htm?sil=1
www.viavis.cz
16 / 36
Pro představu
https://www.zakonyprolidi.cz/print/cs/2012-357/zneni-20130101.htm?sil=1
www.viavis.cz
17 / 36
Pro představu
https://www.zakonyprolidi.cz/print/cs/2012-357/zneni-20130101.htm?sil=1
www.viavis.cz
18 / 36
Co s digitální stopou souvisí
Latentnost
Neviditelnost
Násobnost – data x metadata x smazaná data
Zničená data – obnova
Šifrovaná data
www.viavis.cz
19 / 36
Co s digitální stopou souvisí – logy, auditní stopy
www.viavis.cz
20 / 36
Co s digitální stopou souvisí - logy
www.viavis.cz
21 / 36
Co s digitální stopou souvisí
Časová trasovatelnost
Metadata – časové značky
Analýza logických a transakčních vazeb
Srovnávání a hledání vazeb – logy různých systémů
www.viavis.cz
22 / 36
Co s digitální stopou souvisí
Vysoká obsažnost
Současné trendy – behaviorální biometriky
Profilování uživatele
Sociální vazby
Psychometrie a psychometrický profil (OSINT)
www.viavis.cz
23 / 36
Co s digitální stopou souvisí
Nízká životnost digitálních stop
Snadné zničení stop pod kontrolou uživatele
Nemožnost zničení všech digitálních stop
Záleží na míře přístupu k celému řetězci komunikace
Retence logů a záloh – obrovská množství dat
Rozsáhlé vazby mezi systémy – vliv na životnost stop
Digitální stopy jsou pod kontrolou různých subjektů (nespolupráce)
Techniky zastírání digitálních stop
www.viavis.cz
24 / 36
Co s digitální stopou souvisí
Vysoký datový objem
Náročnost na datová média
Efektivita forenzních nástrojů
Časová náročnost
Náročnost na forenzní zdroje
www.viavis.cz
25 / 36
Co s digitální stopou souvisí
Extrémní dynamika prostředí
Neustálý vývoj kyber prostoru
Zastarávání technologií (kdo přečte DB formát FOX base, Paradox, dBase, PC Fand…)
Kontinuální změny
www.viavis.cz
26 / 36
Co s digitální stopou souvisí
Vysoký stupeň ochrany
Zahrnuje data i metadata
Rezistentní postkvantová kryptografie
Zastírání metadat – VPN, nespolupracující země
Využití Avatarů
Proprietární technologie x open source technologie
www.viavis.cz
27 / 36
Co s digitální stopou souvisí
Restaurovatelnost digitálních stop
Nerezistentní techniky ničení digitálních stop
Obnova smazaných stop
www.viavis.cz
28 / 36
Co s digitální stopou souvisí
Data Minning
Těžení dat z archeologických hlubin kyber prostoru
Hledání souvislostí
Informační vytěžování
Využití AI, kvantových počítačů – trend zítřka
Digitální stopa od „kolébky do hrobu“
www.viavis.cz
29 / 36
Digitální důkaz
Digitální důkaz je digitální stopa využitelná jako soudní důkaz
Závisí na konkrétní právní úpravě dané země
Nemusí být použita soudem, ale musí být průkazný
Příklady použití v praxi:
Pracovně právní spory
Komerční spory
Kyber incidenty
Auditovatelnost procesů s požadavky na 100% trasovatelnost
…
www.viavis.cz
30 / 36
Principy práce s digitálními důkazy
Nesmí být ohrožena jejich integrita
Práce s důkazy musí být dokumentována
Všechny kroky musí být rekonstruovatelné
Celý řetězec musí být přezkoumatelný
www.viavis.cz
31 / 36
Základní požadavky na digitální důkazy
Autenticita:
Pravost
Nezfalšovatelnost
Integrita – kopie x duplikát, dokumentovatelný postup
Přípustnost:
Relevance
Způsob získání
www.viavis.cz
32 / 36
Forenzní zkoumání – „paper work J“
Procesy řízení zkoumání (nelze ad hoc)
Popsané řízení
Definované a popsané procesy zkoumání
Formalizace a dokumentace
Kvalifikovaný personál
Audit
www.viavis.cz
33 / 36
Forenzní zkoumání – čím se začíná
Řízený proces přejímky digitálních důkazů
Popsaný proces a dokumentace
Přesná identifikace předmětu zkoumání
Zhodnocení prostředí, vazeb
Zhodnocení důkazů
Precizní specifikace otázek
Právní nároky
www.viavis.cz
34 / 36
Zhodnocení digitálních důkazů
Hodnocení priorit
Např. uživatelská data x instalační data SW
Hodnocení místa zajištění důkazu
Stabilita důkazu
Způsob dokumentace
Způsob uchování důkazu (hodnocení vlivu prostředí, potřeba napájení, balení…)
www.viavis.cz
35 / 36
Vytváření duplikátů a kopií
Proces NIKDY NESMÍ POŠKODIT ZDROJ A ZNEHODNOTIT INTEGRITU
PROCES MUSÍ BÝT REPLIKOVATELNÝ A PRŮKAZNÝ
PROCES MUSÍ BÝT KOMPLETNĚ DOKUMENTOVATELNÝ
www.viavis.cz
36 / 36
Vytváření duplikátů a kopií
Využití systémů, které umožňují připojení fyzického objektu READ ONLY
Vysoká záruka nepoškození originálního média
Použití HW ochrany proti zápisu
Použití SW ochrany proti zápisu
Dokumentace geometrie média
Sériová čísla, přesná identifikace
Důkaz integrity
HASH disku odpovídá originálu
Porovnání sektor po sektoru…
www.viavis.cz
37 / 36
Extrakce a analýza digitálních důkazů
Extrakce digitálních důkazů
Získání digitálních důkazů z digitálních stop
Dokumentovaný postup
Analýza digitálních důkazů
Vyhodnocení obsahu digitálních stop
Data x metadata
www.viavis.cz
38 / 36
Některé nástroje - Magnet
https://www.magnetforensics.com
www.viavis.cz
39 / 36
Některé nástroje - Guidance
https://www.opentext.com/products/digital-investigations-
and-forensics
www.viavis.cz
40 / 36
Některé nástroje – X-Ways
https://www.x-ways.net
www.viavis.cz
41 / 36
Některé nástroje - Cellebrite
https://cellebrite.com/en/premium/
www.viavis.cz
42 / 36
Některé nástroje - Cellebrite
https://cellebrite.com/en/premium/
www.viavis.cz
43 / 36
Pojďme si hrát
Víte, co je OSINT
Máte povědomí o znaleckých postupech
Jste kriminalisté:
Vyberte si veřejně exponovanou osobnost
Zjistěte znaleckým postupem maximum informací
Informace vyhodnoťte vzhledem k možným vektorům útoku
Klíčová zjištění zadokmentujte
Výstup prezentujte
www.viavis.cz
44
Prostor pro vaše dotazy…
Děkujeme za pozornost
§ Vladimír Lazecký