digital forensic journal - 2014 - 1

Digital ForensicJournal

Digital Forensic Journal je odborný časopis věnovaný problematice forenzního zkoumání digitálních dat.Zabývá se nejenom problematikou samotného forenzního zkoumání, ale i dalších oblastí souvisejících

s digitálními informacemi, s jejich bezpečností, ochranou, zajištěním a zkoumáním.

1/2014 15. září 2014

Znalecký ústav RAC konečně přináší český komplet

DEATDIGITAL EVIDENCE ACQUISITION TOOLS

DEAT je přenosná sada, obsahující komplet HW a SW nástrojů pro pořizování forenzních kopií dat.DEAT obsahuje prakticky vše, co můžete potřebovat - od sady redukcí a kabelů, přes HWwrite-blockery pro různé typy disků nebo paměťových médií, až po speciální kopírovací zařízení.

DEAT je možné na přání vybavit i dalšími pomůckami, které můžete na místě zajištění potřebovat.DEAT je unikátně vybaven i nástrojem DEAS - forenzním bootovacím CD, které bylo vytvořeno

v laboratoři Znaleckého ústavu RAC právě pro účely práce na místě zajištění.

Digital ForensicJournal

Úvodník ObsahDobrý den, vážení čtenáři,

dostává se Vám do rukou první vydání DigitalForensic Journal. Předně bych Vám chtěl poděkovat, žejste jej vůbec začli číst. Svědčí to o tom, že už jenomnázev Vás něčím upoutal, a to je dobře. Určitě to byljeden z důvodů, proč jsme jej tak nazvali. Angličtinuv názvu jsme zvolili jenom proto, že prakticky každýčeský překlad pojmu "Digital Forensics" by bylnesrovnatelně delší a jako název by se tím pádem mocnehodil. Jinak obsah je, a předpokládáme že i dobudoucna bude, primárně v češtině, protože je určenpro Vás.Důvodů, proč jsme se rozhodli k této formě publikaceje mnoho, z těch nejdůležitějších namátkou: (a) po-dobný vydavatelský počin v našem prostředí není;(b) cítíme velkou důležitost tohoto oboru dnes a ještěvětší v budoucnu; (c) jsme přesvědčeni, že existujev této oblasti velmi velký informační deficit jak v od-borných kruzích, tak u laické veřejnosti; (d) existujemnoho zkreslených představ o tomto oboru.Problematika spojená s kybernetickou kriminalitoua se způsoby jejího odhalování, vyšetřováni a potíráníje nesmírně široká. Nebudeme se tedy omezovat pouzea výlučně na otázky digitální forenzní analýzy, ale ur-čitě zařadíme tuto oblast do širších souvislostí. Jak říkáklasik, všechno se vším souvisí.Uděláme vše, abychom Vám jednou za půl roku mohliposkytnout kvalitní a zajímavé informace. Věříme, žese nám to povede a vy se budete k Digital ForensicJournal pravidelně vracet.Závěrem snad jen tolik, že Digital Forensic Journal jeVám všem bezplatně k dispozici, jen se, prosím, po-dívejte na následující stranu, kde jsou uvednypodmínky použití. Digital Forensic Journal najdetetaké ve formátu PDF na stránkách společnosti RiskAnalysis Consultants, s. r. o. (www.rac. cz/dfj).

Přeji Vám příjemné a užitečné čtení.Marián Svetlík

Profesionalita znaleckého zkoumání - předpokladyvýkonu znalecké činnosti a kvality znaleckých posudkůIng. Marián Svetlík st.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

DEAS - Digital Evidence Acquisition Suite - Linux BootCD pro efektivní pořizování binárních kopií pevných diskůJiří Hološka, Ph.D., GCFA... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 5

C4e Czech CyberCrime Centre of Excellence (C4e) -České centrum excelence pro kybernetickou kriminalituIng. Marián Svetlík st.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 8

Jak poskytovat výstupy znaleckého zkoumání - proble-matika velkých objemů a různých formátů dat, které jsouvýstupem znaleckého zkoumáníIng. Marián Svetlík st.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

NIST SP 800-101 Guidelines on Mobile DeviceForensics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

Kam kráčí digitální forenzní analýza - některé postřehyz 1 0 let znaleckého ústavu v odvětví výpočetní technikyJiří Hološka, Ph.D., Ing. Marián Svetlík ml.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

1/2014 15. září 2014

© 2014, Risk Analysis Consultants, s.r.o.

Všechna práva vyhrazena.

Digital Forensic Journal vychází 2x ročně. Je volně šiřitelný, nesmí však být upravován, měněn nebo jinak editován po obsahové nebo grafické

stránce. Použití dokumentu musí být v souladu s autorským zákonem. Může být použit „tak jak je“, bez nároku na úhradu možných škod

způsobených jeho vlastní aplikací na konkrétní podmínky.

Digital Forensic Journal je vydáván v kooperaci s Czech CyberCrime Centre ofExcellence (C4e, www.c4e.cz) a za podpory Prevention of and Fight

against Crime Programme of the European Union European Commission - Directorate-General Home Affairs.

Risk Analysis Consultants, s.r.o.

Španělská 2

120 00 Praha 2

Tel. + 420 221 628 400

Fax + 420 221 628 401

E-mail [email protected]

Web www.rac.cz

IČ: CZ 63672774

Digital Forensic Journal (Print) ISSN 2336-4750

Digital Forensic Journal (On-line) ISSN 2336-4769

Ev. č. MK ČR: E 21 763

Ročník 1 / Rok 2014 / Číslo 1 / Vyšlo 15. 9. 2014 v Praze

5/36Digital Forensic Journal 1 /2014

Postavení a nezávislost znalce

Jak vlastně, když odhlédneme od definicí v zákoně,chápeme pojem „soudní znalec“? Asi se nespletu, kdyžpod soudním znalcem chápeme odborníka ve svémoboru, který je schopen prozkoumat daný problémtak, aby výsledek jeho práce – znalecký posudek –mohl posloužit jako objektivní skutečnost, jako bernámince, jako něco, co platí. To znamená, aby závěryznaleckého posudku mohly posloužit jako důkaz předsoudem. Mnohdy jako klíčový důkaz, který rozhodujeo vině a trestu, jako důkaz, který má hodnotu statisíců,milionů nebo i miliard korun, mnohdy hodnotuosudu člověka. Soudní znalec taky většinou ani netuší,jakou potenciální hodnotu v daném řízení jehoposudek má nebo bude mít. Ani by to vědět neměl.Tím spíše by jeho práce měla mít vysokou úroveňnehledě na to, zda se z jeho odborného pohledu jednáo maličkost, pro kterou by možná ani nestálo sepisovatznalecký posudek nebo o řešení složité problematiky,která by se mohla často srovnávat i se zásadnímiproblémy výzkumu Akademie věd.

Když budu citovat větu profesora Musila „…v sou-ladu s koncepcí rovnosti zbraní musí být znaleckýposudek hodnotitelný a kritizovatelný ze strany všechsubjektů, které se podílejí na trestním procesu. . . “ jed-noznačně dospěji k závěru, že znalec, resp. jeho

znalecký posudek, musí být zjevně nezávislý nakterékoliv straně procesu.

Obor “digital forensics” má to štěstí, že je to oborexaktní, technický. Ať zkoumáme cokoliv, aťzkoumáme pro kohokoliv, jediným našim cílem jeobjektivně zjistitelná a nevyvratitelně zadokumen-tovaná pravda. To je jediný cíl znaleckéhozkoumání. Pravda o informacích, jevech, dějícha procesech v prostředcích zpracovávajících digitálnídata. Nic víc. Jediným cílem znalecké práce a takéjediným posláním je dokumentovat pravdu.O použití, využití nebo zneužití této pravdynerozhodujeme. Nechceme s tím mít nic spo-lečného, ani bychom s tím nic společného mítneměli. Postavení znalce by mělo být navýsostnezávislé. Nezávislé na tom, pro koho pravdu zjiš-ťuje, a pro co a jakým způsobem je zjištěná pravdapoužita nebo zneužita. Striktní nezávislost.

Vyjdu opět z citace profesora Musila: „Institut znalcemá v českém prostředí již od 19. století po právnístránce hybridní charakter: v rámci konkrétníhořízení… je postavení znalce určováno procesnímivztahy, které jsou upraveny v procesních normách…Paralelně s tím však normami veřejného práva bylavytvořena specifická skupina tzv. soudních znalců, …kteří jsou stanoveným postupem jmenováni nikoliv jen

Profesionalita znaleckého zkoumáníPředpoklady výkonu znalecké činnosti a kvality znaleckých posudků

Ing. Marián Svetlík [email protected]í znalec v oboru Kriminalistika se specializací Kriminalistická počítačová expertíza, vedoucí Znaleckého ústavuspolečnosti Risk Analysis Consultants, s.r.o. , viceprezident Akademie forenzních věd, z.s.

Anotace:

Článek se zbývá pozicí a rolí znalce v ČR. Hodnotí situaci v této oblasti zejména z pohledu praktickýchzkušeností a problematických oblastí, které se při každodenní činnosti vyskytují. Posuzují se také reálné podmínky,které ovlivňují profesionalitu a ve výsledku tím i kvalitu znaleckého zkoumání. Článek je cíleně pojat jakodoplnění pohledu prof. JUDr. Jana Musila, CSc. na problematiku hodnocení znaleckého posudku, uveřejněnéhov č. 3/2010 časopisu Kriminalistika, z pohledu znalce.

6/36

Digital Forensic Journal 1 /2014

pro jednotlivé případy (ad hoc), nýbrž trvale… Znalcitakto zapsaní mají zásadně povinnost na žádoststátních orgánů vypracovat znalecký posudek a nesouprávní odpovědnost za jeho správnost; za podáníexpertizy jim od státu přísluší odměna… . Je možnoříci, že znalectví je chápáno jako veřejná služba.“

Státem vytvořená specifická skupina soudníchznalců, kteří mají zásadně povinnost vypracovávatpro státní orgány znalecké posudky, a za tuto prácijim od státu přísluší odměna – už jenom takovátoformulace nesvědčí o nezávislosti znalců. V tomtopojetí, kdy znalectví je chápáno jako veřejná službahrazená státem, je znalec zcela zjevně v postavení,které je fakticky v rámci řízení před soudem závislé,a nezávislost znalce je pouze vynucena zákonem,podle kterého znalec musí vykonávat znaleckoučinnost podle svého nejlepšího vědomí a svědomí a,jak také uvádí profesor Musil, nese právní od-povědnost za správnost podaného posudku.

Další tvrzení profesora Musila v této souvislosti, že„trvalá registrace těchto znalců ve veřejných seznamechznalců zajišťuje jejich publicitu a dostupnost proširokou veřejnost“ je možné chápat ve dvojímvýznamu – jednak je seznamem znalců poskytovánalepší služba veřejnosti („dostupnost širokéveřejnosti“) , ale z druhé strany stát poskytujeznalcům (minimálně v současné době) vlastnětéměř zadarmo reklamu jejich specifické činnosti(„zajišťuje jejich publicitu“) .

Tato relativní výhoda však nedodržuje zásadurovnosti, neplatí spravedlivě pro všechny znalce,resp. pro všechny znalecké obory a odvětví. Jsouobory, které publicitu, kterou jim dává zápisv seznamu znalců, reálně prakticky nikdy nevyužijí(typicky obor „kriminalistika“, protože tento oborje využíván prakticky pouze OČTŘ v trestníchřízeních) , a tudíž jejich publicita jim a ani široké ve-řejnosti žádné výhody nepřináší. Naopak jsouznalecké obory (typicky ekonomické) , kde státpřímo požaduje, aby pro určité právní úkony (atěch je značné množství) byly použity znalecképosudky. To pak zápis v seznamu znalců je pro tutoskupinu výhodou významnou, tím spíše, žev soukromě-právních vztazích neplatí státemstanovené sazby za znaleckou činnost, ale platívztahy smluvní. Tady se zdá být pokřivení principu

rovnosti a nezávislosti znalců ještě výraznější.

Podívejme se dále, kdo se podle zákona může státsoudním znalcem. Kromě formálních náležitostí,jako např. že „je způsobilý k právním úkonůmv plném rozsahu“, „se jmenováním souhlasí“ a další,dalo by se říct triviální náležitosti (a právníci miprominou ten výraz o triviálnosti) , je jedinýmodborným kritériem to, že „má potřebné znalosti azkušenosti z oboru…“.

Znalce jmenuje zpravidla předseda krajského souduna základě zhodnocení kritérií a podle zváženípotřebnosti takového znalce jmenovat. Výsledek je, žena jmenování není právní nárok a jmenování jevýlučně záležitostí rozhodnutí předsedy krajskéhosoudu. Když k tomu přidáme trestní odpovědnostznalce, povinnosti ve vztahu k administrativěznalecké činnosti, termínům, účtování, případnýmvýjezdům a asistencím, hrozbu případné pokuty zapřestupky i typu opomenutí, vlastní profesionálníodpovědnost, minimální možnost odmítnout podatznalecký posudek, a tím i nepředvídatelnost pra-covního zatížení, a nakonec reálné finančníohodnocení takové činnosti, nelze se divit, že tinejlepší v oboru (čest výjimkám) se do takové prácenehrnou.

Když to přeženu a zjednoduším, soudní znalci jsouti, kteří se spokojí s hodinovou sazbou 100 – 350Kč za vysoce profesionální a specializovanou práci, ato i přes riziko, že míru odbornosti a tedy i výšiodměny za zpracování znaleckého posudku zezákona určuje objednatel, který zcela v souladu sezákonem v problematice není odborníkem, a právěproto tyto odborné činnosti zadává znalcům.

Dá se namítnout, že být soudním znalcem je přeceprestižní záležitost. Možná to bylo v době, kdyzákon o znalcích vznikl, v době počátků reálnéhosocializmu roku 1967. Tady je zřejmě to hlavníjádro problému, postavení a celospolečenskéhochápání výkonu znalecké činnosti a nahlížení naforenzní práci v naší společnosti, jádro toho, pročnejsou u nás soudními znalci ty skutečné špičkyv oboru (přirozeně se to netýká všech), kdo sevlastně dává na dráhu soudního znalce a jakouperspektivu mu to skýtá.


Lze si celkem dobře představit, že když se přijímalv roce 1967 zákon o znalcích a tlumočnících, věcnýzáměr tohoto zákona mohl odpovídat podmínkám,které v té době panovaly. Zákon předpokládal, žepro znalecké vědomosti, resp. pro znaleckou kvali-fikaci, budou postačující vysoké lidské vlastnostia profesní vědomosti, které člověk získá při výkonusvé běžné profese a že tyto vědomosti použije i přitak specifické činnosti, jakou je činnost znalecká. Veskutečnosti ani jiné možnosti zřejmě v té době aninebyly.

Proto i zákon je koncipován primárně tak, žeznalcem je chápána osoba, u které je předpoklad, žeje znalý určitého civilního oboru a že tytovědomosti uplatní i při znalecké činnosti. Navíc, žeznaleckou činnost bude vykonávat jaksi nad rámecsvého zaměstnání. Jestli znalec něco znaleckyzkoumal v rámci své řádné pracovní doby, jehozaměstnavatel to v té době mohl chápat nanejvýšejako poctu, že jeho zaměstnanec byl pověřen takdůležitým a prestižním úkolem pro socialistickýstát. Obdobně je v zákoně chápáno i postavení tzv.znaleckých ústavů. Přední vědecké instituce byly(jakoby navíc, za odměnu) zapsány do seznamuznaleckých ústavů a znaleckou činnost vykonávalyv rámci své standardní výzkumné činnosti, téměřněco jako výzkumnou zakázku státu. Šlo to, dalo byse říct, z „režijních nákladů“. O tom, jestli budouznalcům nebo znaleckým ústavům proplacenynáklady na znaleckou činnost a v jaké výši rozhodo-val státní orgán, který o znalecký posudek požádal.

Za bezmála půlstoletí od vzniku tohoto zákona seale mnohé výrazně změnilo. Jen namátkou:

a) zaměstnavatele již většinou nezajímá, zda jehozaměstnanec je v seznamu znalců, primárně hozajímá práce, za kterou mu platí. Schválně si jen takv mysli udělejte rozvahu, kolik asi stojí hodinapráce předního vědce (mzdy, daně a další odvody,nájem, energie, přístrojové vybavení, školení,cestování, konference, stáže, režie apod.) . Znalcůmtak nezbývá, než skutečně dělat znalectví ve volnémčase, kterého je, zejména u vysoce kvalifikovanýchlidí, velice poskrovnu;

b) problematika znaleckého zkoumání se ve většiněznaleckých oborů mnohonásobně zkomplikovala.

Lidské poznání udělalo nesmírný pokrok, objevilyse nové vědomosti a poznatky, nové metody, novétechnologie. Stejně se změnily i stopy, které jsoupředmětem znaleckého zkoumání. Pro jejichzkoumání je potřebné stále složitější přístrojovévybavení, stále složitější metody a postupy dovolujíodhalovat další a další skutečnosti, které jsoudůležité pro získávání důkazů;

c) kriminální činnost se stala mnohem sofis-tikovanější, než byla před půlstoletím. Abychnemluvil jen obecně, před 50-ti lety se o ky-bernetické kriminalitě psaly snad jen trochu naivníromány z oboru science-fiction;

d) co je asi nejdůležitější, jednoznačně se etablovalyforenzní vědy jako samostatné vědní obory. Jakotakové již nejsou a nemohou být záležitostí pouzecivilně vzdělaných lidí, profesionálů ve svémcivilním zaměstnání. Forenzní vědy a jejichpraktické aplikace prostřednictvím znaleckéhozkoumání vyžadují profesionální vědecký přístup.Znalectví se již nedá dělat jako koníček, jako poctapro kvalitní zaměstnance/odborníky a také ne jakopřivýdělek vedle vlastního zaměstnání.

Profesionalizace znaleckéčinnosti

Daly by se vyjmenovat i mnohé další skutečnosti,které výrazně změnily (lépe řečeno měly by změnit)chápáni a postavení znalectví a znalců v současnédobě.

Asi tou nejdůležitější je profesionalizace forenzníhozkoumání. Už to není jen interpretace civilníprofese pro účely znaleckého zkoumání, znaleckézkoumání se opírá o samostatné forenzní vědnídisciplíny. V našem prostředí se jim všaksystematicky věnuje jenom minimální pozornost.

Druhou skutečností, která je systematickypřehlížena, je náročnost znaleckého zkoumání.Jestliže před půl stoletím bylo znalectví doménoujednotlivců-odborníků, dnes je stále více forenzníchoborů natolik složitých a rozsáhlých, že neníobjektivně možné, aby je vykonával jednotlivec.V mnoha oblastech znaleckého zkoumání již není

8/36


možné se dobrat relevantních výsledků bezkolektivního know-how, bez týmové spolupráce.A jestliže někdo tvrdí opak, jestliže někdo tvrdí, žeje individuálně schopen na špičkové úrovniobsáhnout např. celé odvětví výpočetní techniky,tak lže. Dá se namítnout, že přece existuje proznalce možnost přibrat pro dílčí problematikukonzultanta. Papírově ta možnost existuje, reálně jivšak ve většině případů nelze využít, protože jednakpřibrání konzultanta musí schválit zadavatelposudku a také externista (tedy odborník, kterýnení znalcem, a tedy nemá ani představuo ohodnocení znalecké práce) nebude dělat vysoceodbornou práci za směšnou odměnu a vyšší sazbuza konzultanta zadavatel posudku zpravidla aninemá možnost schválit.

Náročnost znaleckého zkoumání také naráží nadrahou techniku, která je stále častěji pro výkonznalectví nutná a znalec si takovou techniku ze zna-lečného dovolit nemůže. Tady taky existujepapírová možnost použít zařízení jiné organizace auhradit náklady na takovou zápůjčku, reálně všakopět narazíme na finanční bariéru. Ale nejen to.Zákonodárce vůbec nevzal do úvahy, že znaleckézkoumání není obecně činnost typu „hoď ho do(jakéhokoliv) stroje“. Znalecké zkoumání vyžadujemnohdy zařízení, která jsou znaleckým úkolůmpřizpůsobena, specificky nakonfigurována, majísvoje specifické parametry a musí být (pardon,nikdo to nenařizuje, jen to je mezinárodně požado-vaný předpoklad) pravidelně certifiko-vané/kalibrované. To se reálně nedá půjčit nebopronajmout, resp. zadavatel by nikdy nesou-hlasil s částkou, která by byla za takový pronájemúčtována.

Neexistence formálního statutu forenzních vědzpůsobuje, že se forenzním vědám, až na výjimkynebo jednotlivce, nikdo systematicky nevěnuje.A když (např. Ústav soudního inženýrství v Brně,Ústav súdneho inžinierstva v Žilině, Ústavkriminalistiky a forenzních disciplín v KarovýchVarech a některé další menší subjekty) , tak to jevětšinou pouze selektivní výběr oborů, a to zejménatěch, u kterých se to z pohledu ekonomickéefektivnosti vyplatí. Mnohé subjekty, od kterých byse taková vědecká činnost očekávala (např. PolicejníAkademie ČR nebo Kriminalistický ústav Praha

PČR) na tyto aktivity v podstatě rezignovaly neboje nemohou plně realizovat z důvodů přetíženíreálným výkonem znalecké práce, kdy na výzkum avývoj nezbývá dostatek času, prostředků a vědeckyerudovaného personálu.

To způsobuje, že v praktickém výkonu znaleckéčinnosti naši soudní znalci mnohdy tápou amnohdy porušují elementární zásady forenznípráce. Jen tak mimochodem – ani ty nejzákladnějšíprincipy, jako je podrobná dokumentace,přezkoumatelnost, vědeckost, možnost verifikacenálezů, integrita důkazů a další, nejsou celou tudlouhou dobu nikde zakotveny a v praxi snadjediná závazná formulace typu „znalecké zkoumáníse provádí podle nejlepšího vědomí znalce“ je jiždávno překonána. Současnému znaleckémuzkoumání viditelně chybí solidní teoretickázákladna. Jak asi může vypadat aplikace forenznívědy v praktickém výkonu znaleckého zkoumání,když forenzní teorii v tom nejširším pojetí nikdosystematicky nerozvíjí? Jestliže k tomu přidáme po-žadavek profesora Musila na obsah hodnoceníznaleckého posudku „Hodnocení odborné správnostiznaleckého zkoumání v sobě zahrnuje: - hodnoceníteoretických východisek, o něž znalec opírá svůjzávěr; -hodnocení empirického základu posudku, tj.kvality a množství zjištěných znaků zkoumanýchobjektů; - hodnocení použitých odborných metod apostupů; - hodnocení, zda subsumpce konkrétníhoempirického základu pod obecný teoretický základ jesprávná.“, dostaneme se k rozporu mezi požadavkyna hodnocení a možnostmi znalce bez vědeckýchzákladů tyto požadavky splnit.

Znalecké ústavy

Jestliže donedávna se působení znaleckých ústavův zákoně o znalcích nevěnovala nějaká zvláštnípozornost, současná novela opět vrací kolektivnípráci zpět do individuálního pojetí a zavádípovinnost zaměstnávat na trvalý pracovní poměrv daném oboru nejméně tři znalce – fyzické osoby.Z jedné strany se dá pochopit účel takovéhopožadavku. Jak správně uvádí profesor Musil přihodnocení kvality podaného znaleckého posudku„u znaleckých ústavů může vyvstat dodatečnápochybnost např. proto, že se podstatně změnilo jejich


personální složení, že z ústavu odešli dřívější osvědčenípracovníci“. Povinnost zaměstnávat tři znalce –fyzické osoby – pro každý znalecký obor zajistí, žetoto riziko bude alespoň částečně eliminováno.

Zákonodárci bohužel již nezohlednili, že tímtopožadavkem zavedli do systému práce znaleckéhoústavu téměř neřešitelný problém, a zavedli tíminterní korupční riziko. Reálná praxe je totiž taková,že většinou před objednáním/pověřením znalce kezpracování znaleckého posudku je toto se znalcemkonzultováno. Když potom znalec – zaměstnanecznaleckého ústavu – přijímá objednávku naznalecký posudek, zjevně se samostatně můžerozhodnout (např. podle náročnosti nebolukrativnosti objednávky) zda ji přijme jako znalec– fyzická osoba a zpracuje a vyúčtuje ji sám nebo jipřijme jako zaměstnanec znaleckého ústavu a necháji zpracovat ústavem. Ano, lze namítnout, že o tomnerozhoduje znalec, ale zadavatel posudku. Avšakstačí, aby znalec v rámci konzultací ohledně před-pokládaných nákladů jen zmínil, že znalecký ústavbude dražší. Reakce zadavatele, zejména v případěOČTŘ, je nanejvýš predikovatelná.

Z jedné strany je znalec – fyzická osoba – zapsánv seznamu znalců samostatně a zaměstnavatel nemážádné právo rozhodovat o tom, jestli a kterýposudek zpracuje (o tom rozhoduje výlučnědožadující orgán), z druhé strany, když pojme svojipráci znalce jako práci pro znalecký ústav, může býtza to, že pracoval pro znalecký ústav a sám na sebenezpracoval jediný posudek, ze seznamu znalcůvyškrtnut pro pasivitu. Nejspíše by se takové vy-škrtnutí dalo zpochybnit a zdravý rozum říká, že byk takovým situacím docházet nemělo, ale realita jebohužel jiná a riziko je značné. Evidenci znaleckýchústavů totiž vede ministerstvo spravedlnosti a evi-denci znalců vedou krajské soudy. Tyto institucetaky nezávisle na sobě provádějí i kontrolní činnosta nikdo je v současné době nezavazuje k tomu, abyzohledňovaly aktivity, které jsou vykazoványv j iných evidencích, navíc když tyto evidence nejsouv působnosti toho kterého kontrolního orgánu.Logicky by to sice mělo vyplývat z povinnostisprávních orgánů daných jim správním řádem, alereálné zkušenosti mluví jednoznačně jinak.

Paradoxní situace, podobné té výše zmíněné, však

provázejí výkon znalecké činnosti i v j inýchoblastech. Opět použijí citát profesora Musila:„Orgán činný v trestním řízení nemůže sám nahraditodborné závěry znalce svými laickými názory. Přesto jevšak třeba trvat na povinnosti orgánů činnýchv trestním řízení hodnotit znalecký posudek téžz hlediska jeho odborné správnosti.“ Z pohledupostavení znalce a znaleckého posudku v trestnímřízení a na základě volného hodnocení důkazů je tosice tvrzení obsahující vnitřní rozpor, avšak pocho-pitelné, protože i znalecký posudek je jen výsledekpráce člověka. Pominu tady až schizofrenickýproblém odborného hodnocení znaleckých posudkůsoudy, kdy na jedné straně k tomu nemajíodpovídající odbornost a na druhé straně se musíspolehnout na vlastní úsudek, vnější charakteristikyznaleckého posudku, rady jiných odborníků neboreference. Jestliže před desetiletími byla situacev této oblasti co do rozsahu, náročnosti a složitostiznaleckého zkoumání výrazně jednodušší, dnes anivýše zmíněné pomocné parametry zcela objektivněnemusí vést ke správnému rozhodnutí.

K tomuto problému profesor Musil dále sděluje, že„… nikdo nemůže samozřejmě chtít, aby soudcedetailně a hluboce ovládal všechny vědní obory, odchemie a biologie až po lékařství či nukleární fyziku.To je zajisté nemožné. Lze však požadovat, aby trestnísoudce měl alespoň elementární znalosti těch disciplín,které se nejčastěji ve znalectví uplatňují, jako jekriminalistika, soudní lékařství, soudní psychiatrie,soudní psychologie. Tento požadavek vznášel již před120 lety nestor kriminalistické nauky Hans Gross a odtěch dob neztratil nic na své aktuálnosti, spíšenaopak.“ Asi by se s tím dalo i souhlasit, když sejedná o forenzní disciplíny, které jsou postaveny nadnes již dlouhá léta známých principech (napříkladtypicky daktyloskopie) . Co však v případechdisciplín nových nebo těch, které se nevyskytují takčasto nebo metody zkoumání jsou natolik složité, žepouze několik jednotlivců je schopno je vědeckyzdůvodnit, natož v praxi realizovat? Na rozdíl odprofesora Musila jsem přesvědčen, že za 120 let odHanse Grosse se forenzní vědy transformovaly vý-razně, stejně tak se výrazně komplikují i právní vědy(jako primární profese soudců) a výše uvedenýpožadavek na šíři znalostní báze každého soudce jižnemůže odpovídat realitě. Nicméně z druhé stranynikdo nezpochybňuje výlučnou pozici soudců jako

10/36


jediného subjektu, který musí v procesu přijmoutrozhodnutí. Je pouze na něm, na základě jakýchdůkazů toto rozhodnutí přijímá.

Hodnocení odborné úrovně a náročnosti zna-leckého zkoumání má přímý vliv nejenom nahodnocení materiální pravdy (objektivní sku-tečnosti) u soudu, ale paradoxně i na ohodnocenípráce znalce, protože odměna za výkon znaleckéčinnosti je plně v kompetenci toho orgánu, kterýznalecký posudek zadal. Paradoxně tedy ten, kdoobjektivně nemá odpovídající odborné vědomosti aprávě proto zadává znalecký posudek, je ze zákonapovinen kontrolovat a hodnotit jeho odbornou úro-veň a náročnost a podle toho přiznávat odměnu zavykonanou práci.

Hodnocení, jako proces zjišťování parametrůhodnoceného objektu, musí mít stanovenahodnotící kritéria, jinak je to nedefinovanýproces založený na individduálním postoji aschopnostech hodnotitele. Stávající stav podlemého názoru postrádá jakoukoliv logiku a vytváříjen další prostředí pro případné korupční jednání,potažmo pro vznik tlaků, které potenciálně mohouovlivnit objektivitu podaných posudků. Znalec setotiž touto úpravou dostává do podřízeného azávislého vztahu k zadavateli znaleckého posudku.

Znalecké obory

Aby bylo možné přistoupit k diskusi o odbornosti aspecificky k implementaci obecných požadavků dooblasti forenzního zkoumání, je ještě jedna obecnáproblematika, která s tím přímo souvisí. Jestližemáme kvalifikovaně mluvit o odbornosti, musímesi primárně vyjasnit, o jaké odbornosti je řeč,zejména tedy jakých oborů se to týká. Až poté, cobude jasno v oborech, lze mluvit o odbornostech,které těmto oborům odpovídají.

Znalec je podle stávající právní úpravy jmenovánpro určitý znalecký obor, případně odvětví. Členěníznaleckých oborů je stanoveno ministerstvemspravedlnosti. Na tomto místě je potřeba přiznat,že aktuálně platné členění sice možná odpovídáhistorickému vývoji, avšak již méně současnérealitě. O problémovosti stávajícího členění

znaleckých oborů vypovídá mimo jiné i skutečnost,že pro skutečné posouzení toho, jakou odbornostkterý znalec v reálu zastupuje, bylo nutné zavéstdalší pomocné členění, které se nazývá„specializace“. Jelikož však toto členění nemá oporuv zákoně, je formulováno většinou volně a nekon-trolovatelně. Dostáváme se potom do situace, žeznalec v oboru elektrotechnika se vlastněspecializuje na výpočetní techniku, avšak pouzev oblasti oceňování informačních systémů.Takovýchto a podobných excesů je v seznamuznalců, který je veden krajskými soudy aministerstvem spravedlnosti, plno. A určitě nelzeříct, že to je pouze výjimka, překlep nebonedopatření úředníka.

Jestliže existuje pouhý seznam znaleckých oborů aodvětví (byť vytvořen historicky) bez jakéhokolivdalšího obsahu, popisu oboru a odvětví, rozsahučinností, pravidel a zdůvodnění vzniku tohokterého oboru a i kvalifikačních požadavků naznalce, je to pouze orientační vodítko, nemajícížádný vědecký nebo zdůvodnitelný základ. Nelze sepotom na něj odvolávat ve věcech kompetenceznalců, nelze podle takového seznamu zákonemodkazovat na příbuzenství oborů a podobně. Nelzetaké jednoznačně a transparentně určit procesy,které umožní znalecké obory rozšířit, upravit nebozrušit. Je zřejmě hodně oborů, kde nutnostpodrobného popisu není až tak nezbytná, jsou toobory běžné a obecně známé, avšak jejich forenzníaplikace již tak triviální být nemusí. Jsou ale oboryspecifické nebo obory, kde jejich specifičnost jeprávě a jen v jejich konkrétní forenzní aplikaci.

Taxonomie znaleckých oborů je nezbytnýmpředpokladem i pro mnoho ostatních procesů,činností a povinností, které jsou na znalce kladeny.V jednání u soudu je rozhodujícím „arbitrem“ přisporech, které mohou vzniknout v souvis-losti s kompetencí znalce, soudce. V dalších,zejména správních procesech, které se znalectvímsouvisí, nelze rozhodovací pozici přidělovat státnímúředníkům jenom proto, že taxonomie neexistuje.Státní úředník si v lepším případě vytvoří svůjvlastní (mnohdy unikátní) názor, podle kteréhopostupuje při správním řízení nebo při dalšíchpostupech a procesech, které se znalectvím souvisí.

11 /36Digital Forensic Journal 1 /2014

Z druhé strany je potřebné přiznat, že řešeníproblému správné taxonomie znaleckých oborůnení jednoduchou záležitostí a určitě to je otázkazákladního vědeckého výzkumu. Ale rezignace najakoukoliv, byť částečnou snahu o nastavenízákladních pravidel a parametrů není řešenímproblémů, které s tím souvisí. Tady se také opětprojevuje to, že v ČR není kompetentní orgán neboinstituce, která by se forenzními vědamisystematicky zabývala, a tudíž ani elementárníproblémy nemá kdo řešit, ne to základní otázkyexistence forenzních věd.

S precizováním znaleckých oborů přímo souvisíi hodnocení kvalifikace znalců. Jestliže máme v ČRv současné době celkem 130 znaleckých odvětvísdružených v celkem 50 znaleckých oborech ak tomu nesčetně různých specializací a bezjakéhokoliv upřesnění, co která konkrétní položkaznamená, je posuzování odborné kvalifikace znalcůpaušálně podle několika málo nejasně anetransparentně nastavených kritérií téměř nerea-lizovatelné. Veškeré (byť jen potenciální) řídící akontrolní mechanizmy státu v této oblasti nutněselžou.

V obdobné pozici jsou i znalci, protože si jen stěžímohou plnit povinnosti vzhledem k požadavkuneustálého zvyšování své odbornosti a kvalifikace.Jestliže nejsou dány ani rámce, ve kterých je vhodnése pohybovat, může se stát, že vzdělání neboprofesní certifikace, odborně a i finančně náročné,nemusí být soudem nebo správním orgánemuznány jako relevantní. A to nechci v tétosouvislosti uvádět konkrétní zjevné a až možnáabsurdní případy, se kterými se potkáváme dnes adenně, není to účelem tohoto článku a ani by se todo rozumného rozsahu článku nevtěsnalo.

Systém výkonu znaleckéčinnosti

Než se dostanu k otázce kvalifikace znalců, jepotřebné se ještě jednou vrátit k názoru profesoraMusila. Jestliže přibližně čtvrtinu (přesněji celouposlední 4. kapitolu) svého článku věnuje kriticesoučasného stavu právní úpravy znalecké praxev ČR a selhávání odpovědnosti státu za organizaci a

kontrolu soudně znalecké služby, je s podivem, žei přesto tvrdí, že „systém, v němž za fungováníznalectví nese organizační odpovědnost stát, který mágarantovat kvalitu a dostupnost znalecké služby, sev podstatě osvědčil. Je však třeba ho důkladně inovovata především reálně zajistit prosazení právní úpravy doživota.“

Jestliže má systém závažné nedostatky, je pouzeotázkou objektivizovaného zhodnocení, zda jestávající systém vhodný a inovovatelný v našichkonkrétních podmínkách, anebo zda nepoužítsystém jiný. Jak bylo již uvedeno, současný systémorganizace znalecké činnosti je řízen státem. Abyvšak správně a kvalitně fungoval, je nutné, aby státvytvořil všechny odpovídající komponenty tako-vého systému. A jestliže v současnosti stát selháváv řízení znalecké práce i podle stávajících pravidel,kde značné množství mechanizmů není nastavenoa regulováno, jak si povede při realizaci ino-vovaného (náročnějšího) řídicího systému?

Podle dostupných informací (např. Vácha, Kratěna,Zacharov, Znalecká činnost… Praha, ČVUT, 2013)systém centrálního státního řízení znalecké činnostistátem funguje v obdobném rozsahu pouzev několika málo státech Evropy a k obdobnémucentrálnímu systému řízení znalecké práce v pos-lední době přešel pouze jeden z nejbohatších (a veforenzní oblasti asi nejrozvinutějších) států Evropy– Nizozemí. Je ovšem pravdou, že ani v ostatníchzápadoevropských státech není situace v této oblastijednoznačně vyjasněná, většina států pozici znalcůpřímo ani neupravuje nebo využívá kombinacivolné konkurence znalců s profesními nebo jinýmisdruženími, které zajišťuji základní požadavky naevidenci a kvalifikaci znalců.

Každopádně dobře fungující systém centrálníhostátního řízení výkonu znalecké činnosti vyžadujekromě propracovanosti a komplexnosti samotnéhosystému i velké náklady na jeho realizaci. Bez váhánímohu prohlásit, že v současnosti na takový systémnemáme ani prostředky a ani kapacity. I v případě,že by naši zákonodárci prosadili sebelepší právnínormu v této oblasti, na její prosazení do životabudou chybět právě zmíněné předpoklady, zejménamateriální a lidské zdroje.

12/36


Ale jak již bylo naznačeno výše, existují i j inésystémy, které se ve světě, ale i u nás používají.Primárně to je samořízení formou oficiální azákonem zřízené profesní komory. Pro stát by tobylo výhodné zejména ekonomicky – praktickyveškeré povinnosti, které má v současnosti a kteréby mu ještě měly přibýt v případě, že by skutečněchtěl odpovědně řídit znaleckou činnost, bytakříkajíc spadly na bedra komory. Za to, že by sestát vzdal svého státního dozoru, by znalce postavildo pozice skutečné samosprávné nezávislosti.A s velkou pravděpodobností by i kvalita aodbornost znalců vzrostla právě samořídícímivlastnostmi profesní komory. Určitě více, nežnaznačují minimální snahy státu v této oblasti něcosmysluplného konat. O to větší problém by muselařešit komora – řídit natolik různorodou profesnískupinu by nebyl jednoduchý úkol.

Reálně lze také uvažovat i o modelu, který byrezignoval úplně na řízení výkonu znalecké činnostia ponechal to vše na znalcích samotných, pouze sestanovením základní právních a procesníchpožadavků (což se mimochodem od stávajícíregulace až tak moc neliší) . Určitě by obratemvznikaly různá profesní sdružení, asociace nebospolky a trh by relativně rychle způsobil, že by sejednotlivci nebo skupiny snažili výraznýmzpůsobem kvalitativně vyniknout nad ostatními.Navíc, jestliže profesor Musil tvrdí, že způsobilostznalce je potřebné zakaždým kritickypřehodnocovat i při stávajícím centrálním státnímzpůsobu řízení, a že se může kdykoliv stát, že„i dodatečně vyvstanou nové skutečnosti, kterézpůsobilost znalce, byť řádně jmenovaného apřibraného, mohou zpochybnit. Může to být např.dříve neznámý fakt, svědčící o vztahu znalcek obviněnému nebo jiným osobám zúčastněným nařízení nebo o jeho poměru k věci. Nelze vyloučit anipřípady, kdy řádně jmenovaný nebo přibraný znalecztratí svou způsobilost, např. v důsledku odhalenéhonezákonného či neetického chování nebo zjištěnýchchyb, jichž se dopustil ve znalecké činnosti.U znaleckých ústavů může vyvstat dodatečnápochybnost např. proto, že se podstatně změnilo jejichpersonální složení, že z ústavu odešli dřívější osvědčenípracovníci apod. Zvlášť kriticky je třeba posuzovatsplnění podmínek u znalců, přibraných do trestníhořízení samotnými procesními stranami (§ 89 odst. 2, §

110a tr. řádu).“ Prostě by se ke všem znalcům při-stupovalo v podstatě úplně stejně jako doteď,případně jako ke znalcům přibraným ad hoc.Jediné, co by přibylo, je to, že znalec by předsoudem asi musel zakaždým obhajovat nebodokladovat svoji kvalifikaci.

Ve všech případech, ať už zásadní inovací stávajícíhosystému nebo přechodem na jiný systém řízenívýkonu znalecké činnosti, je nutné počítat s určitýmne právě krátkým přechodným obdobím, sestanovením nových oborů a kritérií pro jmenováníznalců a také s jej ich kompletní přeregistrací.

Jak také uvádí profesor Musil, „pokládám za vážnouchybu, že se k zásadním otázkám znaleckéhodokazování v trestním řízení, a to ani k právníúpravě, ani k obecnému fungování znalecké praxe,nevede fundovaná odborná debata. Existuje jenněkolik málo nových trestněprocesních prací, které setímto problémem zabývají; jsou v nich obsaženyi cenné kritické a reformní postřehy, které by všakpotřebovaly detailnější rozpracování.“ Je jen škoda, žetaké nevyjádřil názor na příčiny toho, že sefundovaná odborná debata nevede, a jestli i něcoexistuje, je to právě jen z pohledu trestně-právního,ale ne z pohledu forenzního.

Znalectví a jeho praktický výkon není problémprávní. Právo dává znalectví pouze základní rámecpro využítí v procesu dokazování. Forenzní vědy,které jsou interpretovány svojí praktickourealizací právě znaleckým zkoumáním, se proúčely trestně-právní zabývají metodami odha-lování a zkoumání kriminalistických stop.Úkolem těchto metod je za využití vědeckýchpostupů odhalovat objektivní pravdu o skuteč-nostech, dějích a procesech, které napomáhajíobjasňovat trestnou činnost a své výsledkyprezentovat prostřednictvím znaleckéhozkoumání ve formě, která je srozumitelná všemúčastníkům soudního líčení.

Podmínky pro výkon a rozvoj forenzních věd, protvorbu a aplikace nových metod znaleckéhozkoumání, nejsou upraveny ani zákonemo znalcích, ani odpovídajícími paragrafy trestníhořádu. Ty pouze stanovují pravidla a požadavky navýkon znalecké činnosti. Znalecká činnost je


pouze interpretací a použitím výsledkůforenzních věd v konkrétní praxi. Je jednoznačněnutné konstatovat, že právě podmínky a rozvojforenzních věd jsou v ČR zanedbávány, pro mnohooborů ani nikdy nebyly vytvořeny. Neexistuje taképrakticky žádný systém přenosu poznatkůforenzních věd na znalce – tedy na vykonavatele apraktické realizátory poznatků forenzních věd, anijakákoliv kontrola správnosti praktického výkonuznalectví.

Jestliže kritizujeme některé znalce za nekvalitníznalecké posudky, za nekvalifikovanou práci, zaneprůhledné nebo nepodložené postupy nebozávěry, kritizujeme vlastně ty nesprávné (přirozeněkromě lidských slabostí, které se nevyhýbajížádnému člověku). Základní problém je v tom, žeznalci obecně nejsou vědci, kteří objevují a vyvíjejíforenzní metody a postupy, znalci pouze lépe nebohůře aplikují vědecky zdůvodněné a ověřenépostupy do praxe výkonu znalecké činnosti. Jestliženeexistuje systém forenzních věd, jestliže nenívytvořen systém aplikovaného výzkumu a následněvytvořen systém školení, vzdělávání a praktickýchcvičení, znalcům nezbývá, jen vykonávat znaleckoučinnost „podle svého nejlepšího vědomí a svědomí“,a byť by byli odborníky ve svém oboru a splňovaliveškeré formální požadavky, které jim předsedakrajského soudu nařídí (třeba i na základědoporučení jeho poradního sboru), a byť budouznát, jaké formální náležitosti má mít znaleckýposudek, bez znalosti specifických forenzníchpostupů a metod nebudou jejich znalecké posudkynikdy odpovídat náročným požadavkům, které jsouobecně na důkazy předkládané soudu kladeny.

Odbornost znalců

Přání (nebo spíše požadavek), aby všichni znalci,kteří jsou uvedeni v seznamu znalců (v současnostijich je v ČR téměř 10 000, přičemž podle Wikipe-die bylo v USA v roce 2010 forenzních specialistůcelkem 12 000) , byli kromě profesionálů ve svémoboru také vědci, kteří v každém ze svýchznaleckých oborů a odvětví zároveň vyvíjejí a ověřu-jí forenzní metody a postupy tak, aby výsledkemjejich práce byl znalecký posudek s maximálnídůkazní sílou, je nereálné. Je zjevné, že od znalců se

to mylně očekává a vyžaduje. Jestliže celý systém odzákladního výzkumu až po praktický výkonznalecké činnosti neexistuje a na druhé straně je odvýkonu znalecké činnosti očekávaná špičkovákvalita, jsou taková očekávání lichá.

Lze přirozeně znalcům nařídit, např. novelouzákona, aby iniciativně a samostatně pokryli tentonedostatek, aby sami prováděli forenzní výzkum,přebírali vědomosti a zkušenosti (zejména zezahraničí) , vytvářeli a ověřovali v praxi metody apostupy zkoumání kriminalistických stop, aby znalicizí jazyky (protože v ČR základní forenzní výzkumtéměř neexistuje) , investovali do přístrojů atechnologií, které pro výzkum potřebují, a navícměli energii a čas na všechny tyto činnosti, povětši-nou vedle svého hlavního zaměstnání. Vše výšeuvedené jsou však činnosti (a s tím spojené výdaje) ,které nejsou přímými náklady na zpracováníkonkrétního znaleckého posudku, tudíž není toho,kdo by je uhradil.

Neustále se zvyšující nároky na znalce jsou,z důvodu neustálého vývoje vědy, technologií, alei pokročilých způsobů páchání trestné činnosti,nutné. Jenomže každé navýšení požadavků naodbornost nebo na metody a způsoby práce jennavyšuje náklady na znalecké zkoumání, které jsoubeztak již výrazně ze strany státu podhodnoceny,takže tudy reálně cesta nevede a jsme praktickyv bezvýchodné situaci.

Závěr

Pokud si hrajeme na vlastním českém písečku,nikoho to asi příliš nepálí, jsme takoví, jaká pravidlamáme interně nastavena. V současném světě všakzjišťujeme, že skoro všude okolo nás se to dělá jinak.Dovedu si i představit, že současná politika aekonomická situace neumožňuje mnoho věcí. Alerezignovat na tak důležitou oblast jako je soudníznalectví, oblast, která zajišťuje moci soudní důkazypro rozhodování? Asi to není z našeho současnéhocelospolečenského pohledu důležitá oblast, mámemnohem důležitější problémy k řešení, asi všemodpovědným a většině současných znalců vyhovuje,že se znalectví vykonává v zásadě tak, jak bylostanoveno minulým režimem před půl stoletím. Že

14/36


jsou sice nastavena jakási formální pravidla aformální privilegia, která však ve skutečnostinedovolují nahlédnout pod pokličku samotnéhovýkonu znalectví. Že znalectví je opředeno rouškoutajemství, neboli diplomaticky vyjádřeno „ vysokouodborností“, a že je to vlastně mnohdy black-box,nebo jak se trefně česky říká „věštění z křišťálovékoule“. Nikoho nepálí, že to má všechno býtnaopak? Že znalectví musí být tím nejprů-hlednějším a kdykoliv ověřitelným a přezkou-matelným oborem, že použité metody musí býtvědecky zdůvodněny?

Dnes snad nikoho netrápí výrok znalce typu„detailním znaleckým zkoumáním bylo zjištěno, žetato černá koule je bílou kostkou“. Znalec řekl, takto tak je. Znalec prohlásil, že „sklo po detailnímznaleckém zkoumání vykazuje všechny charak-teristiky čistého krystalického uhlíku“, že “žlutý kovpo podrobné analýze je prvek s atomovým číslem79“. Nikde ani zmínka jak konkrétně k tomu došel.Kde jsme, jestliže znalec v oblasti digitálníchtechnologií s vážnou tváří prohlásí (nota benepísemně do posudku), že „identitu dvou kopiídigitálních videozáznamů posuzoval postupnýmprohlížením obou záznamů na monitoru s vysokýmrozlišením“ a všichni se tváří, že je vše v pořádku?Kde tedy jsme s tím našim znalectvím?

Vůbec tím nechci paušalizovat, je mnoho znalců,kteří nespadají do výše uvedených kategorií. Jsempřesvědčen, že většina. Přesvědčení moje, alei kohokoliv jiného, ale nestačí. Nestačí v takdůležitých věcech, jako je získávání důkazů. Musíexistovat systém. Systém, který sice nevyloučíexcesy, ale takové výjimky minimalizuje. Zjevně jev celkovém přístupu státu k problému znalectví(říkám „problému“, protože systémem se to nazvatnedá) , chyba. Zjevně to stávající řešení sicestanovuje formality (ano, nezbytně nutné) , aleo kvalitě mlčí. O pravidlech, která by cíleněpůsobila na kvalitu. O systému, který by vytvářelpředpoklady kvalitního výkonu. Ať už by to bylyzásady rigidní regulace, typu zřízení specializo-vaných výzkumných a vzdělávacích institucí, kteréby zajišťovaly povinné atestace (kdo by alepřednášel, v jaké kvalitě a kdo by to platil az čeho?) , ať už by to byl systém znalecké komory,profesního samoregulačního orgánu typu lékařské,

farmaceutické nebo advokátní komory, nebo ať byto byl systém volné konkurence, kdy by existovalotržní soutěžení typu dobrý znalec – vyšší sazby a tenkdo prohraje, platí vše. Nic takového však není. Jense udržují kalné vody nevědomosti. Nevědomostitoho, jak se dělají znalecká zkoumání.

Profesionalita ale pláče. Profesionalita soudníchznalců je ve stávajícím stavu pouze dobrou vůlí těchvnitřně odpovědných. Profesionalita je pouzekoníčkem. Jsou to ty správné základy, na kterýchstojí soudní znalectví, rozvoj forenzních věd azískávání důkazů pro rozhodování soudů, nakterých závisí osudy lidí?

Už vidím ty mnohokráte opakované argumenty, žeaktuálně platný zákon je vlastně postaven geniálně,že se vlastně osvědčil, a když už vydržel 50 let, neníani potřeba jej měnit. Drobné novely typuvypuštění slova „socialistický“, zavedení pokut ačastějších formálních kontrol pro znalce nebodrobná změna sazby za hodinu práce apod. plněpostačují. Když se mne ale zahraniční kolegové ptajína hodinovou sazbu, kterou mi stát za znaleckoupráci platí, nevěří mi a tváří se, že se úmyslně stavímdo pozice chudáka, aby mne litovali. Asi jim budupříště lhát, abych nevypadal jako blbec.

Jen jedna poznámka na závěr – hodinová sazbasoudního znalce v ČR je na úrovni necelých 14%z průměru hodinové sazby znalců v EU, a tím jese značným odstupem na nejnižší příčce v Evropě! Ajen tak mimochodem, tato hodinová sazba je přesněna úrovni právě zaváděné minimální mzdyv Německu. Co k tomu ještě dodat?


Úvod

Jedním z primárnímch úkonů forenzního zkoumánídigitálních dat je pořízení identické, tzv. binární,kopie originálního nosiče. Často se této operaci takéříká vytvoření obrazu disku (v angličtině "diskimage") . Proč tomu tak je?

Prvním důvodem, který vede k vytváření binárníchkopií dat pro účely forenzního zkoumání jeobjektivní skutečnost, že pro digitální data platí, žekopie digitálních dat je identická s origiálem. Z to-hoto pohledu je tedy zcela jedno, zda zkoumámeoriginál nebo jeho digitální kopii.

Druhým důvodem je skutečnost, že digitální datajsou z podstaty extrémně náchylná na změnu.Vyplývá to z faktu, že pro běžnou práci s daty jevyžadována co nejvyšší rychlost jejich čtení a zápisu(tedy změny). Tomu jsou přizpůsobeny používanétechnologie, které jsou založeny primárně na změněmagnetizmu, resp. v současnosti na změněelektrického náboje. Rychlost těchto změn (rychlostzápisu na médium) dosahuje aktuálně 500 MB zasekundu. Pro názornost si to lze představit tak, žepřibližně za 1 sekundu lze smazat řádově statísícesouborů nebo za stejnou sekundu důkladně zničit(přepsat) přibližně 10 000 běžných dokumentů.

Abychom se tedy vyvarovali jakékoliv změnyoriginálních dat, ke které může při zkoumání dojít,mimo jiné i neúmyslně, forenzní zkoumánídigitálních dat probíhá zásadně na kopiích

originálních dat. Toto pravidlo je zakotveno vevšech mezinárodních doporučeních pro forenzníanalýzu digitálních dat a i v mezinárodně platnýchstandardech, např. ISO/IEC 27037. Všechny tytoprincipy a postupy jsou do forenzní analýzy digi-tálních dat zařazeny z důvodu zajištění integritydůkazů.

Pro správné vytvoření binární kopie dat prodigitální forenzní analýzu je k dispozici i několikověřených nástrojů. Mezi nejčastěji používané patřínapř. program "dd" a jeho klony, které pracují podoperačním systémem Linux. Mezi další častopoužívané patří komerční nástroje, např. FTKImager nebo EnCase a některé další (např. X-WaysForensic, IXImager a jiné) . Každý z uvedenýchnástrojů má své výhody i nevýhody. Jaká kritéria bytakové nástroje měli splňovat? Pokusíme se jenaznačit.

Nejdříve vyjdeme s faktu, že zajištění dat formoubinárních kopií se provádí jak ve forenznílaboratoři, tak stále častěji i na místě zajištění. Protojedním z důležitých parametrů nástroje pro práci namístě je jeho rychlost. Rychlost nástroje ovlivňujehned několik faktorů (když odhlédneme odfyzických parametrů zdrojového a cílového disku) .Jsou jimi:► samotná konstrukce programu (tedy zdaprogramátoři vytvořili program s důrazem na tentoparametr) ;► použitý programovací nástroj (obecně platí,že čím sofistikovanější vývojové prostředí bylo

DEAS - Digital Evidence Acquisition SuiteEfektivní a jednoduchý nástroj pro pořizování binárních kopií (obrazů) disků

Jiří Hološka, Ph.D., [email protected] Security Consultant, Digital Forensic Certified Expert, Incident Response Analyst

Anotace:

Článek popisuje produkt DEAS, který je určen pro jednoduché, efektivní a intuitivní pořizování forenzních kopiídat, tzv. obrazů disků. Vúvodu stručně popisuje základní důvody jeho vzniku, dále se věnuje nástrojům, které jejtvoří, a nakonec stručně popisuje způsob jeho ovládání a praktického použití.

16/36


použito, tím pomalejší je výsledný produkt) ;► využití rychlého interface pro připojenízdrojového a cílového disku;► použitý operační systém - pravděpodobněnejrychlejšími jsou speciálně vytvořené operačnísystémy (např. pro program IXImager) , j inakobecně platí, že práce programu pod systémemLinux v terminálovém módu je rychlejší než např.pod Windows;► využití komprese cílového obrazu disku zajistímenší objem ukládaných dat na cílový disk, cožmůže někdy i výrazně zrychlit celý proces (např.když zdrojový disk je SSD a cílový je klasickýHDD), navíc následná případná manipulace aanalýza může také proběhnout rychleji.

Dalším parametrem, důležitým pro práci těchtoprogramů, je bezpečnost prostředí (operačníhosystému) z pohledu zachování integrity zdrojovýchdat. Zkušenosti říkají, že práce pod operačnímsystémem Linux lépe vyhovuje požadavkům nazajištění integrity zdrojového disku. Dá se dovodit,že nastavení módu "read-only" pro Linux při připojenízdrojového disku do systémuby mělo být dostatečnouzárukou zachování integritydat, kdežto např. pro systémWindows platí, že připřipojení zdrojového diskuby mělo být vždy použitospeciálního modulu (nejlépehardwarového) pro ochranuzápisu na zrojový disk(nicméně použití takovéhomodulu i pro Linux je výraz-ně doporučeno) .

DEAS

DEAS je nástroj, který vy-chází z výše uvedenýchfaktorů. Je to tzv. boot CD soperačním systémem Linuxa vybranými nástroji propořízení forenzních binárních kopií disků. Navíc jepro jednoduchost práce s nástrojem vytvořeno jed-noduché a přehledné menu, které vede uživatele

způsobem, který eliminuje lidskou chybu. To jedůležité zejména proto, že:► při práci na místě zajištění se výrazněprojevuje stresový faktor, který může způsobit chybui kvalifikovaného operátora (např. záměnazdrojového a cílového disku by nenávratně zničiladůkazy) ;► jednoduché menu výrazně snižuje kvalifikačnínároky na obsluhu programu, není potřeba detailněznát a zadávat řadu parametrů a práci s programemzvládne po vyškolení i technik, který nezná detailypoužitého programu nebo operačního systému.

DEAS se dodává s následujícími forenzními nástrojipro vytváření forenzních binárních kopií disků(obrazů disků) :

FTK Imager - linuxová verze (https://ad-pdf.s3.amazonaws.com/Imager%203_1_4_UG.pdf)je prostředek na vytvoření obrazů a náhledů dat.Rychlý náhled umožňuje vybrat, které součásti mávýznam zkoumat v aplikaci AccessData Forensic

ToolKit (FTK) a které nikoli. FTK Imager takéumožňuje vytvoření přesné kopie (forenzní obraz)počítačových dat bez změny orginálu. FTK Imager

Obr. 1 CD s nástrojem DEAS


umožňuje náhled na složky a adresáře na zdrojovémlokálním disku, síťovém disku, disku CD/DVD, vy-tvoření přesné kopie lokálního disku, diskuCD/DVD, adresářů anebo individuálních souborů,export/extrakci souborů a adresářů z obrazu disku,generování hash reportů pro jednotlivé souborynebo celé obrazy. FTK Imager podporuje také různéformáty dat forenzních kopií disků a konverze mezinimi.

Libewf (https://code.google.com/p/libewf/) je ná-stroj pro tvorbu obrazů disků ve formátu EWF(Expert Witness Compression Format) , kterými jsounapř. často používané formáty obrazů disků(SMART) .s01 nebo (EnCase) .E01 a .Ex01 .

Oba použité nástrojejsou ovládány pomocíjednoduchého menu,které umožní uživatelizvolit jeden z nabí-zených nástrojů (FTKImager nebo Libewf),zadat zdrojový a cílovýdisk, zadat několikzákladních parametrůa informací o pořizo-vané kopii disku.Umožňuje vytvářetkomprimovanou kopiizdrojového disku (pří-padně ji ještě ochránitheslem).

Menu nástroje je po-hodlně a intuitivně ovládatelné pomocí šipek,pouze při zadávání specifických parametrů (např.názvu cílového souboru nebo zadávání konkrétníchparametrů nebo pomocných identifikačníchinformací) je vyžadován vstup z klávesnice. Práces nástrojem je podrobně ošetřena na uživatelskéchyby a tím je výrazně eliminována chyba uživatele.O práci s nástrojem DEAS je veden log, který seukládá společně s cílovým obrazem disku a do-kumentuje činnost uživatele, jakož i parametry,které byly použity při vytvoření daného obrazu dis-ku.

Praktické ověření prokazuje, že v konfiguraci, která

je použita v DEAS, je pořizování forenzních binár-ních kopií disků výrazně rychlejší, než v případěpoužití nástroje FTK Imager pod Windows, nebopři použití linuxového nástroje "dd" (nebo jehoforenzních variant) , který se aktuálně stále používáv policii. Zrychlení, zjednodušení ovládání a zkva-litnění ochrany výsledných obrazů disků použitímnástroje DEAS výrazně přispěje k rychlosti a spo-lehlivosti práce při zajištění dat na místě.

Obr. 2 Ukázka úvodního menu nástroje DEAS

18/36


Vznik

Vznik Českého centra excelence pro kybernetickoukriminalitu (C4e) byl umožněn díky společnémuúsilí širokého spektra českých expertů z akade-

mického sektoru, Policie České republiky, soukro-mých forenzních laboratoří, Národního bez-pečnostního úřadu, justice, státního zastupitelství aostatních oblastí.

Tito experti byli ochotni spojit svoje know-howsměrem k vytvoření skutečného a respetkovanéhosubjektu v oblasti vzdělávání, výzkumu a vývojev oblasti kybernetické kriminality, který pokrývá

všechny související aspekty, jako je právo, technickývývoj, vzdělávání, a další. Všechny aktivity jsouorientovány zejména na zlepšení celkovékvalifikovanosti všech subjektů zúčastněných naprevenci a vyšetřování kyberkriminality.

Samotný vznik C4e a zahájení jeho činnosti byloumožněno díky grantu, který byl v roce 2013 po-skytnut Evropskou komisí v rámci programu "Pre-vention of and Fight Against Crime 2007 - 2013 /Illegal use of Internet" .

Hlavní snahou C4e je posílit všeobecné povědomí aefektivnost práce v oblasti prevence a vyšetřováníkyberkriminality zejména prostřednictvím aktivit ja-ko :► orgaizace konferencí, workshopů seminářů aškolení pořádaných pro partnery a ostatní veřejnosts cílem posílení vzdělání a know-how cílovýchskupin, zejména policie, státních zástupců asoudců.► vývoj a tvorba efektivních a dostupnýchnástrojů a prostředků pro cílové skupiny, zejménapro policii, ale také pro správce kritické infrastruk-tury.► tvorba a distribuce návodů, best practises astandardů v oblastech elektronických důkazníchprostředků (získávání, analýza, reportování, užití) ,vyšetřování relevantních případů, prováděnídigitálních důkazů před soudem.

C4eCzech CyberCrime Centre ofExcellene (C4e) - České centrum excelence pro kybernetickou kriminalitu (www.c4e.cz)

Ing. Marián Svetlík [email protected]Člen řídícího výboru C4e a vedoucí pracovní skupiny "Vzdělávání a školení" (Education and Training)

Anotace:

Článek seznamuje čtenáře s projektem C4e (Czech CyberCrime Centre ofExcellence). Popisuje základní cíle azáměry Centra, oblasti klíčových aktivit a podíl jednotlivých partnerů na práci Centra. Popisuje základní náplňjednotlivých pracovních skupin a nastiňuje plánované výsledky jejich dosavadní činnosti. Nastiňuje také budoucíorientaci Centra. Čtenář získá úvodní informaci o existenci a práci C4e a také o rámci a problémech, se kterýmise může na C4e obrátit.


Úkoly

Základním úkolem C4e je podpořit Českourepubliku v boji proti kybernetické kriminalitě.

V ČR absentuje kvalifikovaný ústřední bod know-how v oblasti kyberkriminality. Snahou C4e jekoncentrovat nejlepší experty v oblastikyberkriminality a být ústředním bodem znalostí vevšech oblastech vyšetřování kyberkriminality, např.v oblastech získávání, analýzy, vyšetřování a pro-vádění elektronických důkazních prostředků. C4etedy směřuje k tomu stát se centrem znalosti,specifickým typem think-tanku.

Všechna tato snaha je realizována v úzkémezinárodní spolupráci. C4e se chce stát jednímz klíčových členů mezinárodní sítě obdobnýchnárodních center a navázat a pokračovat v celoev-ropské iniciativě 2CENTRE (www.2centre.eu) .Většina zmíněných výstupů bude tvořena v těsnéspolupráci a v koordinaci těmito centry.

Hlavní cíle

Hlavními cíly projektu C4e jsou:► spojit síly širokého spektra expertů s cílemvytvoření českého znalostního centra v oblastechprevence, detekce, vyšetřování a stíhání všech typůkybernetické kriminality,► vytvoření a implementace vzdělávacíhosystému pro naše partnery a sady školenía speciálních vzdělávacích programů a im-plementace systematického přístupu k vzdělávání akvalifikaci cílových skupin,► vytvoření podmínek pro vznik výzkumného avývojového centra v technologických, metodickýcha právních oblastech boje proti kybernetickékriminalitě,► vytvoření centra a zdrojového místa sdílení

informací s evropskými a světovými partnery provšechny cílové skupiny,► nabídnout služby spolehlivého partnera proostatní mezinárodní subjekty plánující vytvořenívlastních národních center. Nabízíme jim výměnuinformací a praktických zkušeností s projektovýmmanagementem, vytvořením a provozem centraexcelence pro kybernetickou kriminalitu.

Cílové skupiny:

Cílovými skupinami jsou všechny subjekty, které sejakýmkoliv způsobem setkávají nebo účastní bojeproti kybernetické kriminalitě, zejména ale:► policie,► zpravodajské a bezpečnostní složky,► bezpečnostní týmy (CSIRT),► justice,► akademická sféra,► veřejnost.

Tým C4e

Řešitelský tým C4e je veden specialisty Ústavu vý-početní techniky Masarykovy univerzity (MU),Ústavu práva a technologií MU a Znaleckéhoústavu společnosti Risk Analysis Consultants(RAC).

Tým je dále doplněn o přední odborníky z ČR i zEvropy, z ČR jsou to např. specialisté z Národníhobezpečnostního úřadu (NBÚ), Kriminalistickéhoústavu Praha (KÚP), Justiční akademie (JA) a Poli-ceního prezídia (PP) Policie ČR a mezinárodní týmdoplňují odborníci z Velké Británie z De MonfortUniversity a ze společnosti n-Gate. Dále nám po-máhají odborníci z Ústavu matematiky a počíta-čových věd Univerzity v Litvě a z Ústavu soudníhoinženýrství v Žilině. V jednání je spolupráce s další-mi partnery, např. s Policejní akademií ČR (PA)

20/36


nebo ze Slovenskou technickou univerzitou (STU)v Bratislavě.

Základní oblasti

Zaměření činnosti C4e je rozděleno do tří klí-cových oblastí, tzv. pracovních balíčků. Jsou jimi"Výzkum a vývoj" , "Právní rámec pro kyberne-tickou kriminalitu" a "Vzdělávání a školení" .

► Výzkum a vývoj. Cílem je navrhnout avyvinout technické a programové prostředky, kteréby napomáhaly v odhalování kybernetické krimi-nality. Aktuálně probíhá výzkum a vývoj ve dvouzákladních směrech, kterými je jednak síťová fo-renzní analýza a analýza bezpečnostních síťovýchútoků a jednak implementace metodických dopo-ručení a nejlepších světových praktik a standardů voblasti Digital Forensic do nástroje pro řízení fo-renzní laboratoře. Aktuálně je vývoj realizován a

práce partnerů je koordinována primárně naÚstavu výpočetní techniky MU a ve Znaleckémústavu RAC.

► Právní rámec kybernetické kriminality. Vtéto oblasti probíhá aktuálně kromě jiných aktivitpráce na komparativní studii regulatorních úpravkybernetické kriminality a kybernetické bez-pečnosti napříč celou Evropou, probíhá sběr a vy-hodnocení informací, které nám poskytují různérelevantní subjekty z celé Evropy.

► Vzdělávání a školení. Tento pracovníbalíček se aktuálně zaměřuje do dvou směrů.Jednak na vytvoření a uvedení do praxe celého sys-tému vzdělávání příslušníků Policie ČR v oblastipráce s digitálními důkazy a kybernetickou krimi-nalitou a jednak na vytvoření uceleného širšíhosystému různých školení v oblasti kybernetickékriminality, které budou uzpůsobeny různým cí-lovým skupinám a různým úrovním posluchačů.


Další aktivity

C4e průběžně vyvíjí i mnoho dalších aktivit, kteréjsou zaměřeny jak na podporu výše uvedených pra-covních balíčků, tak do dalších oblastí, které přímoči nepřímo s kybernetickou kriminalitou souvisí.

C4e např. spolupracuje s NATO, naši zástupci bylijako konzultanti pozváni na zatím největší NATOCyber Security cvičení. Spolupracujeme s NBÚ voblasti kybernetické bezpečnosti státu a jako jedni zmála v Evropě komplexně (technicky i právně) řeší-me např. problematiku vzájemného vztahu CERTtýmů a policie při identifikaci trestné činnosti, na-stavení regulatorních limitů, cekového rámce takovéspolupráce a technických prostředků výměny re-levantních informací. C4e bylo i aktivním účast-níkem otevření "Národního centra kybernetickébezpečnosti" v Brně, kde v rámci odborné konfe-rence zajišťovalo celé druhé odpoledne programukonference. V rámci mezinárodní spolupráce rozjíž-díme společné projekty s partnery ze Slovenskav oblasti metodik forenzní práce a vzdělávání exper-tů v obou státech. Naše aktivní účast a vystoupenína odborných konferencích a obdobných aktivitáchv Evropě vytváří dobré předpoklady i pro další efek-tivní mezinárodní spolupráci. Mimochodem, vy-dání tohoto časopisu je umožněno také dílčímzpůsobem právě díky C4e. Některé další konkrétníinformace o činnosti C4e jsou na našem webu.

Závěr

Nedávno uběhl rok od založení Czech CyberCrimeCentre of Excellence. Možná by se mohlo zdát, žeC4e zatím není natolik známé a není až tak vidětvýsledky, kterých jsme zatím dosáhli.

Naše koncepce a přístup k problematice boje protikybernetické kriminalitě však nejsou založeny nazviditelnění ad-hoc aktivit a činností, ale na pří-pravě a postupné realizaci sady systémových krokůtak, aby celý koncept a následně i jeho výsledkybyly založeny na pevných, dobrých a systema-tických základech.

Postupná, koncepční a systematická práce vytvořídobré předpoklady k dalším krokům a společněs partnery a i všemi zainteresovanými institucemi aorganizacemi budeme na takových základech dálerozvíjet problematiku boje proti kybernetické kri-minalitě, zkvalitňovat její identifikaci, odhalování,vyšetřování a potírání.

22/36


DOBRÁ PRAXE

Ilustrativní snímek, znázorňující připojenízdrojového disku (v tomto případě SSD disku)k notebooku (obecně k technologickému počítači)za pomocí HW blokátoru zápisu.

Tato konfigurace zajišťuje, že při práci se zrojovýmdiskem (typicky při pořizování identické kopie za-jištěného disku např. z domovní prohlídky) nedojdeke změnám v originálních datech. Použitím HWblokátoru zápisu zajistíme zachování integritypůvodních dat. Zajistíme tedy, že data, která tímtozpůsobem pochází z originálního disku, ať už to je

jejich samotná binární kopie nebo výsledky dalšíchanalýz nad těmito daty, odpovídají přesně stavu,který byl na zdrojovém disku v době, kdy byl výšeuvedeným způsobem připojen k technologickémupočítači.

Požadavek na použití blokátoru zápisu při práci sezdrojovými (originálními) daty vychází prakticky zevšech mezinárodních doporučení, která se týkajímetod a postupů pro digitální forenzní analýzu.


Úvod

Ještě si celkem dobře pamatuji na začátky zkoumánídigitálních dat v ČR, na první znalecké posudky,kde výstupem zkoumání byla data, nalezená nazkoumaném počítači. Tehdy nebyl problém tenjeden nebo několik málo souborů jako přílohuznaleckého posudku vytisknout.

Za přibližně čtvrtstoletí, co se v ČR systematickyprovádí technické zkoumání prostředků digitálníchdat, se situace výrazně změnila. Dnes se už nalezenésoubory (až na výjimky) netisknou, ale vzhledemk neustálému nárůstu objemů dat se vytváří tzv.elektronická příloha na datovém nosiči. Většinousice jako datový nosič postačuje jedno nebo několikDVD, ale nezřídka, když už by mělo být těch DVDvíce než 10 – 20, se výsledky zaznamenávají na jinévhodné datové nosiče, např. na Flash disky nebonezřídka i na externí pevné disky.

Problémy

S nárůstem objemů výsledků, které jsou podlezadavatelů znaleckých posudků požadovány, vznikáhned několik dosud neřešených problémů:

1. Ochrana dat. Standardně se pro zápis dat, kterájsou výsledkem znaleckého zkoumání, používajínosiče CD nebo DVD. Kromě toho, že to je běžněa obecně známý a relativně levný[1 ] typ datového

nosiče, má také výhodu v tom, že lze na něj zapsatdata tak, že jsou ochráněna před přepisem, změnounebo smazáním, záznam na CD/DVD je v tzv.„read-only“ módu. Není tedy nutné je chránitnějakým dalším dodatečným způsobem aobjednatel posudku s takovými datovými nosičimůže teoreticky pracovat přímo[2] . Nevýhodoutakového nosiče je však jeho omezená kapacita,která už nedostačuje současným požadavkům. Dalšínevýhodou může být nespecifikovaná trvanlivostzáznamu[3] . Uvádí se sice něco kolem 5 – 10 let,ale zaručit to nelze a u některých nosičů se záznampostupně degraduje již po třech letech (ověřenopraktickou zkušeností a v závislosti na skutečnémvýrobci, skladovacích podmínkách, zápisové i čtecímechanice a dalších faktorech) .

S většími objemy dat elektronických přílohznaleckých posudků (nezřídka i stovky GB ažněkolik TB) je jedinou cestou použít takové datovénosiče, které mají vyšší kapacity. V jednoduššíchpřípadech je možné použít USB Flash disky (prokapacity řádově max. 64 GB), jinak se i z hlediskaceny jako další vhodný nosič jeví už jenom externíUSB pevný disk. Toto řešení má nespornou výhoduv tom, že veškerá data přílohy jsou na jednomnosiči a tedy je ke všem datům pohodlný přístup azadavatel s daty může pohodlně pracovat, dále jerychlost přístupu k datům nesrovnatelně vyšší, nežpři čtení dat z CD/DVD. Nemalou úsporu takovéřešení poskytuje i v procesu zápisu dat na takovýdruh nosiče.

Jak poskytovat výstupy znaleckého zkoumání

Ing. Marián Svetlík [email protected]í znalec v oboru Kriminalistika se specializací Kriminalistická počítačová expertíza, vedoucí Znaleckého ústavuspolečnosti Risk Analysis Consultants, s.r.o. , viceprezident Akademie forenzních věd, z.s.

Anotace:

Článek se zabývá problematikou velkých objemů a různých formátů dat, které jsou výstupem znaleckéhozkoumání v oblasti digitální forenzní analýzy.

24/36


Při tomto způsobu řešení záznamu velkých objemůdat však vzniká problém, kterým je ochranazapsaných dat vůči úmyslným nebo i neúmyslnýmzměnám. Tento druh nosičů totiž nemá jedno-duchou[4] možnost nastavit ochranu zápisuzaznamenaných dat. Je sice pravdou, že pro veškerádata elektronické přílohy jsou (nebo spíše by mělybýt) spočteny kontrolní sumy, pomocí kterých lzeověřit, zda nedošlo ke změně originálních dat, takžetakovou změnu lze zjistit, ale v principu jí nelzerelativně jednoduchým způsobem zabránit.S takovými daty je tedy nutné pracovat veliceopatrně a jakákoliv činnost, i pouhé jejichprohlížení[5] , musí být provedeno přísně a výlučněna kopii dat, nikdy ne na datech elektronicképřílohy.

2. Struktura dat. Podstatou tohoto problému jezpůsob, jakým jsou data na elektronické přílozeuložena a jaké všechny informace k těmto datůmjsou uvedeny a jakým způsobem. V případě, že sejedná o několik desítek, případně i stovek souborů,se způsob a struktura dat nezdá být podstatná adůležité je, že jsou veškeré požadované informaceuvedeny. V případě takovýchto relativně malýchpočtů výsledných souborů lze dožadujícím vyjítvstříc i v případech, kdy požadují zpracovat jinénebo dodatečné přehledy o datech na elektronicképříloze (často se zdůvodněním, že „jsou zvyklí najiné uspořádaní dat“ nebo že „pan státní zástupce –aby nemusel listovat v nějakých excelech – chce, abyinformace byly přepsány do wordové tabulky“ nebos tím, že „je to potřeba předělat tak, aby na klíčovénálezy bylo možné se dostat maximálně na tři kliknutímyši, protože pan státní zástupce nebo soudce senebude přece proklikávat celou souborovou strukturou“a podobně) . Jestliže však jsou v elektronické přílozeuvedeny tisíce až statisíce souborů, takovédodatečné přeskupení souborů (např. ze struktury„klíčové slovo -> číslo stopy -> původní cesta nastopě“ do struktury „číslo stopy -> klíčové slovo ->původní cesta na stopě“) vyžádá i několik dnůintenzivní práce[6] . Z pohledu zadavatele se tomůže zdát jako trivialita, z pohledu zpracovateleposudku to je práce, která vyžaduje spoustu časus tím, že při reorganizaci dat na příloze samozřejměnesmí dojít k jediné chybičce.

Při větších objemech dat začíná hrát podstatnou rolii samotné fyzické omezení rychlosti přenosu dat.Tady bych každému doporučil, aby si to zkusil sáma spustil jen pouhé překopírování např. 100 000souborů z jednoho fyzického disku na jiný, např. naexterní USB disk. Ve většině případů se výsledkudočká tak někdy do druhého dne.

Lze sice v těch nejabsurdnějších případechargumentovat, že znalec svůj úkol splnil a veškerápožadovaná data, která byla nalezena, jsou uložena(někde, byť identifikovatelně) na elektronicképříloze. Ano, nicméně od míry spokojenosti klientazávisí i přiznání odměny za zpracování znaleckéhoposudku. Když totiž zadavatel „zhodnotí“zpracování posudku z důvodu (pro něj) přílišnésložitosti jako nedostatečné, má možnost svýmvlastním rozhodnutím krátit znalci odměnu.

3. Formát dat. Různorodost formátů dat je asinejvětší problém, se kterým se potkáváme připřípravě elektronických příloh znaleckých posudků.Opět platí, že v případě menšího počtu souborů lzevyjít zadavateli vstříc a např. konvertovat je všechny,které jdou (nebo jen vybrané) , například doformátu PDF. U (relativně) standardních formátůsouborů se to dá vyřešit i j inak a mnozí zadavateléjsou již postupně schopni se s většinou formátůnějak vypořádat.

Typickým problémem se však stávají e-maily.Mnohdy se setkáváme s protichůdnými požadavkytypu „musí to být tak, abychom sami mohli napříčvšemi e-maily hledat (pomocí standardních možnostíOS Windows) další klíčová slova nebo vazby, nejlépejak v hlavičce e-mailu, tak v jeho těle a nejlépe i v jehopřílohách, navíc tak, abychom k prohlížení e-mailůnemuseli instalovat žádný dodatečný SW[7]“.Z pohledu zadavatele se pořád jedná o to samé – e-mail je přece e-mail, každý má hlavičku, tělo apřípadně přílohu – jak jednoduché! Málokdo z nichsi však uvědomuje, že existuje více než 40 různýchběžně používaných formátů, které se pro e-mailypoužívají, a není triviálním problémem jeposkytnout tak, aby bylo možné splnit všechnyzadavatelovy požadavky na pohodlnou,jednoduchou a přehlednou následnou práci s nimi(a nejlépe bez nutnosti si cokoliv dodatečně insta-lovat) .


Příčiny

Existují následující základní objektivní faktory,které způsobují výše uvedené problémy, a které jenutné si uvědomit jak na straně zpracovatelůznaleckých posudků, tak na straně jejich zadavatelů.

Tím prvním je celkový nárůst objemů dat anásledně také i výrazný nárůst dat, které jsou pakposkytovány jako výstupy znaleckého zkoumání.Navíc z toho vyplývá, že při zvyšujících se celkovýchobjemech dat je potřebné pro minimalizaci objemůvýstupů použít výrazně přesnější specifikaci zadání.Platí jednoduché pravidlo, že čím je požadavekobecnější, tím více dat bude na výstupu. Následněpak se další práce objektivně přesouvá nazadavatele, protože díky stejné přesnosti zadání (přivětších objemech dat na vstupu) se následně sámmusí probrat velkým objemem výstupních dat[8] .

To také souvisí se zažitým procesem přibrání znalce– znalci se položí na začátku otázky, poskytnou semu podklady (stopy) a znalec poskytne výstupy.Není zvykem průběžně společně se znalcemvyhodnocovat přesnost dotazu a tím i objem nálezů,respektive iterativním způsobem upřesňovat zadání.To by způsobilo množství dalších organizačníchproblémů, např. by nebylo možné se dopředudomluvit na lhůtě a ceně posudku, muselo by seprůběžně upřesňovat zadání, což by mohlo způsobitadministrativně-procesní problémy. Požadavek napostupné zpřesňování zadání na základě průběžnýchvýsledků je něco, co v j iných forenzních oborechnení zvykem a procesně to není nikde jednoznačněošetřeno. Naopak, vzhledem k regulaci nákladů naznalečné se preferuje „jednoprůchodové“ řešení,které však v těchto případech způsobuje dodatečnétechnické, personální, kvalifikační, termínové a tedyi procesní a finanční potíže jak na straně znalce, takna straně zadavatele. Objektivně se zvyšují nákladyna znalečné a, bohužel, dodatečné náklady na stranězadavatele se nekalkulují.

Dalším následným problémem je neustálý vývojprostředků ICT, jejich neustále se zvyšující složitost.Tomuto se musí přizpůsobovat nejen znalci, aleobjektivně i zadavatelé. Jak po stránce technické,

tak vědomostní a personální. Zejména z důvodů,které jsou uvedeny v předchozích odstavcích.Objevují se nové formáty a struktury dat, novédruhy informací, které lze z prostředků ICT získat,atd. To vyžaduje nejenom vyšší kvalifikacizadavatele, aby byl vůbec schopen obsáhnout vše,co je pro jeho potřeby z prostředků ICT možné,nutné a vhodné získat, ale aby byl také schopens poskytnutými daty dále pracovat.

V neposlední řadě vzniká určitá cílená tendencezadávat požadavky, které nedávají přesné výsledky.Jedná se o snahu získat ze zkoumané technikyforenzně čistě co nejvíc informací a dat, které sevztahují k určitému okruhu zájmových skutečností.Příčin může být několik, z těch nejčastějších to jeskutečnost, že zadavatel v době zadání znaleckéhoposudku neví přesně, co je potřebné nalézt neboprokázat nebo také zadavatel chce zjistit případnédalší skutečnosti, které sice ještě nemá přesnězjištěné z j iných zdrojů, ale předpokládá, že v datechby někde mohly být nějaké přesněji nespecifikovanéinformace, které by mu pomohly je potvrdit nebovyvrátit.

Závěr

Všechny výše uvedené skutečnosti vedou k tomu, žeobjemy dat, která jsou zadavateli poskytovány jakovýstupy znaleckého zkoumání, se objektivněvýrazně zvyšují. S tím vzniká nemálo problémů,které jsou pro znalce a i pro zadavatele nové a zatímjednoznačně neřešené a které způsobují nemalétechnické, organizační, finanční, komunikační aprocesní nedorozumění.

Digitální forenzní analýza je jeden z nejmladšíchforenzních oborů a vzhledem k dynamice vývojedigitálních technologií vlastně i dlouho takovýmoborem zůstane. Neustále se budou objevovat novéskutečnosti, možnosti, ale i problémy. Proto jenutné k tomuto oboru přistupovat jako k neustálese rozvíjejícímu forenznímu oboru a vznikléproblémy vstřícně, trpělivě a se vzájemnýmporozuměním (tedy jak na straně znalců, tak nastraně zadavatelů) řešit.

26/36


Poznámky:

-----------------------

[1] Ta relativní levnost samotného nosiče je sice objektivní skutečností,

avšak když se započte do celkové ceny i proces přípravy dat v dávkách

odpovídajících kapacitě nosiče, samotný proces zápisu dat, který není

právě nejrychlejší a navíc problémy, které mohou být způsobeny

dlouhými nebo nestandardními názvy souborů, které způsobují

nekompatibilitu s normami pro zápis dat na CD/DVD, následná

manipulace, příprava popisu a polepek, případně identifikačních znaků

na popisu nosiče, celková cena pořízení záznamu na CD/DVD nosič už

tak příznivá není, zejména když celkový počet těchto nosičů přesahuje

již zmíněný počet 10 – 20 ks.

[2] I když bych to vřele nedoporučoval. Platí totiž pravidlo, že jestliže

mám jeden zdroj důležitých dat (jeden výtisk znaleckého posudku a

jednu kopii elektronické přílohy), jakoukoliv činnost s takovými daty

bych měl provádět výlučně na kopii i přesto, že CD/DVD nosič je

relativně stabilní. Ale jeden nikdy neví. Už jsem viděl, jak se z důvodu

skryté vady rozletěl CD nosič v mechanice na desítky kusů a tedy byla

zničena nejenom veškerá data na tomto nosiči, ale i CD/DVD me-

chanika.

[3] Z praxe také víme, že i nosiče CD/DVD, které jsou tzv. značkové,

mohou být ve skutečnosti vyrobeny kdekoliv na světě, i v té nejhůře

hodnocené továrně někde na jihovýchodě Asie.

[4] Jednoduchost řešení musí splňovat podmínku, že na systémy, které

se pro další práci s elektronickou přílohou znaleckého posudku použijí,

se neinstaluje žádný dodatečný program nebo ovladač.

[5] Příkladem může být pouhé otevření souboru MS Excel pro čtení. I

v případě, že uživatel neprovede v souboru žádné změny a při zavření

souboru na otázku „Uložit provedené změny?“ odpoví „Ne“, systém

stejně a bez vědomí uživatele provede změny v hlavičce souboru. Tím

dojde k narušení integrity důkazu, kontrolní suma pro daný soubor již

bude neplatná a důkaz jako takový bude (může být) zpochybněn.

[6] Odborníci – programátoři samozřejmě namítnou, že se přece dá

napsat relativně jednoduchý program, který to provede automaticky.

Ano, ale má to dva háčky. Jednak je ten požadavek od každého

zadavatele specifický (každý má jiné „zvyklosti“) a nezřídka není zcela

algoritmizovatelný („udělejte to jinak, ale jsou tam takové a makové

výjimky a navíc se ještě na to podívám a řeknu, co ještě dát dopředu a

co dozadu“) .

[7] Tady je klíčovým problémem nedostatečné technické vybavení

zadavatele a současně nedostatečné základní vědomosti v oblasti ICT,

které by jim umožňovaly využívat veškerého potenciálu, který jim

informace z prostředků digitálních technologií potenciálně mohou v je-

jich práci poskytnout.

[8] Dá se odhadnout, že za posledních cca 10 let se celkový objem dat,

které dostáváme ke znaleckému zkoumání, zvětšil téměř 1000x a z toho

vyplývá, že i objem dat, které následně poskytujeme jako výstupy,

narostl přibližně odpovídajícím způsobem.


NIST – National Instituteof Standards andTechnology – americkýúřad pro standardizaci –vydal v květnu 2014 prvnírevizi jejich reportu (SpecialPublication) č. 800-101s názvem „Guidelines onMobile Device Forensics“(Směrnice pro forenzníanalýzu mobilníchzařízení) .

Dokument na úctyhodnýchtéměř šedesáti stranách (bezúvodních listů, obsahu apříloh – celý má celkem 90stran) vyčerpávajícím způsobem popisuje pro-blematiku forenzní analýzy mobilních zařízení,přičemž popis je technologicky nezávislý na kon-krétních modelech nebo konkrétních technologiíchjednotlivých výrobců mobilních zařízení.

V úvodu popisuje základní principy fungovánímobilních telefonů a smartfonů, jejich konfiguraci,organizaci paměti a základní strukturu afunkcionalitu. Popisuje základní pravidla zajištěnímobilní techniky, způsoby manipulace s ní, baleníapod. tak, aby byla minimalizována možnost zne-hodnocení informací, které jsou v této techniceuložené. Dále se věnuje různým principůmzískávání dat z těchto zařízení pro forenzní účely aupozorňuje na různá specifika a problémy. Věnujese také zásadám forenzní analýzy a reportovánízískaných dat, jakož i obecnému popisu a

možnostem jednotlivýchforenzních nástrojů, kterése pro tyto účely používají.

Dokument NIST SP 800-101 není konkrétnímnávodem, jak a co dělats konkrétním mobilema jaké nástroje a postupypro jeho zkoumání použít.Je to souhrn základníchznalostí o jejich funkci-onalitě a o základníchmetodách a postupech fo-renzní práce s nimi.Z tohoto pohledu je uži-tečný jako základní návodpro vytvoření vlastních

postupů. Konec-konců, takovéto je i určení tohotodokumentu, jak je uvedeno v jeho „ManagementSummary“.

Příkladem tohoto principu může být popis jednot-livých základních metod extrakce dat z mobilníchzařízení. Je popsáno základních pět metod, které sepři získávání dat z mobilních zařízení používají(resp. obecně připadají do úvahy) . Následně jeprovedena klasifikace forenzních nástrojů, které sepro tyto účely používají. Z uvedeného např. vy-plývá, že aktuálně používané u nás nástroje spadajído střední nebo vyšší třídy nástrojů pro získání dat.Poslední dvě zmíněné metody (čtení informacíz paměťového čipu mobilu nebo metoda "micro-read", kdy se pomocí fyzikálních principů čteinformace přímo z topologie paměťového čipu) vy-žadují složité technologické vybavení a speciálně

NIST SP 800-1 01 Guidelines on MobileDevice Forensics

Obr. 1 Titulní strana směrniceNIST SP 800101

28/36


vyškolený personál a v našich podmínkách jsouprakticky nepoužitelné. Hierarchii metod pro zís-kání dat z mobilních zařízení ilustruje Obr. 3 (vesměrnici to je "Figure 6: Mobile Device Tool Clas-sification System")

Jak vyplývá ze samotného určení dokumentu (cituji:„Tato příručka poskytuje základní informaci o nástrojíchpro forenzní analýzu mobilů a o ochraně, zajištění, zkou-mání a analýze a reportování digitálních důkazův mobilních zařízeních.Tyto informace jsou relevantní proOČTŘ, pro reakci na incidenty a další typy vyšetřování.Příručka je zaměřena zejména na charakteristiky GSMmo-bilních zařízení, klasické mobilní telefony, smartphony atablety s GSM moduly“) , primárními čtenáři by mělibýt spíše kriminalisté a vyšetřovatelé, protože se do-vědí více o informacích, které se v mobilech nachá-zejí, a o základních principech jejich činnosti a ma-nipulace s nimi.

Samotná expertizní praxe a tedy i výsledkyv mnohém závisí na kvalifikačních a technickýchmožnostech a vybavení dané forenzní laboratoře,která právě v oboru zkoumání mobilních zařízenípatří k těm dražším. Navíc, jak je i v dokumentuzmíněno, existuje riziko, že forenzní nástroje ne-musí přesně nebo správně interpretovat získané in-formace, protože objektivně vývoj technologií a sys-témů v této oblasti je rychlejší, než jejich im-plementace do forenzních nástrojů.

Směrnice NIST SP 800-101 je volně ke staženíz webu:http://csrc.nist.gov/publications/PubsSPs.html

Obr. 2Náhled na obsah směrniceNIST SP 800101

Obr. 3 Klasifikace nástrojů pro získávánídat z mobilů


Dynamika vývoje ICT

V žádném jiném odvětví lidské činnostinepostupuje vývoj kupředu tak překotně, jakov oblasti výpočetních techniky, nebo spíšeinformačních technologií obecně. Počítače, chytrémobilní telefony a permanentní přístup k internetupostupně mění způsob naší práce a v některýchaspektech i způsob našeho života. Podobnýmzpůsobem se mění i úloha a míra zapojení těchtotechnologií při páchání trestné činnosti. Úkolemdigitální forenzní analýzy je objasnit skutečnosti ajevy v souvislosti s informačními technologiemi apomoci úspěšnému uzavření případu. Jak se alev českých podmínkách tento obor změnil zaposledních deset let a jaké výzvy dnes stojí předforenzními laboratořemi a samotnými znalciv oboru informačních technologií?

Abychom byli schopni dobře vnímat rychlostvývoje, začněme krátkým exkurzem do roku 2003.V oblasti mobilních komunikací zaznamenávámenástup mobilních telefonů s barevným displejems rozlišením VGA (640x480 bodů, dnes přibližnědvojnásobek obrazových bodů), který námumožňuje nově využít zasílání multimediálníchzpráv MMS, a díky Nokii 7650 už víme, jak vypadátelefon s integrovaným fotoaparátem a operačnímsystémem (Symbian), byť disponuje pouhými 4 MB

vnitřní paměti a v prodejní síti za něj zaplatíte více,jak 20 tisíc korun. Běžný mobilní telefon té doby siještě musí vystačit s jednobarevným displejem apamětí na několik set telefonních čísel a přibližně100 krátkých textových zpráv.

V oblasti osobních počítačů se nejčastěji setkávámese sestavami vybavenými procesory AMD Duronnebo Intel Celeron s frekvencí kolem 1 GHz avybavené pamětí RAM 128 nebo 256 MB apevným diskem o velikosti v řádu desítek GB –kvalitní nové sestavy se pak pohybují přibližně nadvojnásobku uvedených hodnot.

A před jakými úkoly stála digitální forenzní analýzaa jaké prostředky využívala? V oblasti mobilníchkomunikací byla situace poměrně jednoduchá.Mobilní telefony umožňovaly v drtivé většiněukládání pouze telefonních čísel a SMS zpráv –hlavní problém při zajištění těchto dat představovalapouze nutnost zajistit příslušný datový kabel kekonkrétnímu typu zařízení, pokud vůbec bylovybaveno komunikačním portem. Vzhledemk rozsahu zajištěných dat nebylo jejich další analýzyzapotřebí. Jinak tomu však bylo u klasickýchosobních počítačů a notebooků. Pevné diskyo velikosti desítek GB už obsahovaly takovémnožství dokumentů, že jejich ruční procházení bybylo zcela neefektivní. Proto už tehdy forenzní

Kam kráčí digitální forenzní analýzaNěkteré postřehy z 10 let znaleckého ústavu v odvětví výpočetní techniky

Jiří Hološka, Ph.D., GCFA, Ing. Marián Svetlík [email protected], [email protected]

Anotace:

Znalecký ústav Risk Analysis Consultants, s. r. o. shrnuje v tomto článku některé zásadní skutečnosti z desetiletého působení. Informace, které

jsou v článku uvedeny, dokladují zejména nesmírný technologický vývoj v oblasti informačních technologií a poukazují na problémy, které

je v souvislosti s tímto vývojem nuté akceptovat a hledat nová řešení k jejich překonání.

Bohužel se ukazuje, že taková řešení nelze hledat individuálně, ale pouze společným úsilím všech, kteří se jakýmkoliv způsobem na

znalecké činností podílí. Aťuž to je na úrovni Ministerstva spravedlnosti (jako gestora za znaleckou činnost v ČR) potažmo vlády, tak i na

úrovni samotných znalců a znaleckých ústavů, ale i na úrovni zadavatelů (a tedy i uživatelů) znaleckých posudků.

30/36


experti znali specializované nástroje pro analýzu dat– populární EnCase, tehdy ve verzi 4, doporučovaljako vhodnou konfiguraci Pentium IV 1 ,5 GHz a512 MB RAM, konkurenčnímu FTK 1 .5 stačiloPentium III. Námi používaný technologický počítačs procesorem Athlon 64 XP 3000+ 2,17 GHz apamětí RAM 512 MB DualChannel tak dostačovalnejen teoreticky, ale i prakticky. Je totiž nutné siuvědomit, že provedení jedné domovní prohlídkyv době před deseti roky znamenalo zajištění pouzejednoho, výjimečně 2 ks počítačů a zpravidlajednoho mobilního telefonu. V případě prohlídkyjiných prostor situace závisela na počtu podezřelýchv rámci organizace, avšak v relativních číslech sepočty kusů zajištěné techniky příliš nelišily. Externípaměťová média pak byla reprezentovaná ponejvícedisketami a CD v maximálně desítkách kusů.A zatímco některé aspekty znaleckého zkoumání seod té doby nijak výrazně nezměnily, některé oblastipředznamenávají změny téměř revoluční.

Oblast, která se téměř nezměnila, je představovánapředevším obsahovou a věcnou náplní znaleckéhozkoumání. Stejně, jako před deseti lety, i dnes jenejčastějším požadavkem OČTŘ vyhledání dat dlezadaných klíčových slov, zajištění dat z účetníhosoftwaru nebo zajištění elektronické komunikace.Tím zcela zásadním rozdílem je však objem zpraco-vávaných dat. Trestná činnost, zejména v oblastifinanční kriminality, to je dnes otázka velkéhomnožství subjektů a jednotlivců propojenýchsložitými vazbami. Zajištěníprostředků výpočetní a ko-munikační techniky před-stavuje provedení často idesítek domovních prohlí-dek a prohlídek jiných pro-stor. K tomu se přidávái skutečnost, že k běžné vý-bavě jediného člověka dneskromě klasického počítačepatří většinou notebook,chytrý telefon, tablet a ne-změrné množství USB flashdisků, paměťových kareta externích pevných disků ainternetových úložišť, cožpředstavuje objem v řádustovek až tisíců GB dat na

osobu. S ohledem na rychlost stárnutí modernívýpočetní techniky – navíc mezi zajištěnými před-měty často nalézáme i starší vysloužilou techniku,která již není používána, avšak stále obsahujeuložená historická data – objem zpracovávaných datstále narůstá. Není tedy výjimkou, že forenznípracoviště zpracovává k jedinému případu aždesítky TB (desítky tisíc GB) dat.

Z grafů sestavených z interní statistiky znaleckéhoústavu RAC lze vyčíst trend zvyšování objemuzpracovaných dat v rámci jednoho zkoumání, stejnětak i u absolutního objemu zpracovaných dat zajeden rok, viz. Obr 1 a 2.

Požadavky na výbavu

To samozřejmě přináší i zvýšené nároky natechnologické vybavení forenzního pracoviště.Doporučená konfigurace pro provoz i dnes dvounejpoužívanějších nástrojů se od roku 2003 výrazněproměnila – pro FTK 5 je pro instalaci na jedinémzařízení doporučeno využití serveru s 48 jádry a 96GB RAM, prakticky je ovšem nutné uvažovats dvěma až třemi servery pro oddělení zpracovánídat a samotné databáze. EnCase si zatím dlevýrobce vystačí v uvozovkách pouze se čtyřmi jádrya 16 GB RAM, v praxi je však nutno sáhnout povýkonnější sestavě. Zatímco tedy v roce 2003 bylomožno expertní pracovní stanici v dostatečnékonfiguraci vč. periferií pořídit za přibližně 40 – 50

Obr 1 Trend objemu dat na posudek


tisíc Kč, dnes bychom potřebovali přibližnědesetinásobek.

Výpočetní síla hardwaru posléze definuje i časpotřebný ke zpracování dat ve forenzníchnástrojích. Společnost Opus One ve výkonostnímtestu nástrojů FTK a EnCase[1 ] uvádí, žezpracování jednoho terabajtu dat (cca 1000 GB)trvá mezi 16 až 90 hodinami v závislosti nazvoleném nástroji. Test byl proveden na šest-náctijádrovém stroji (2x Xenon Intel E5-2470)s 96GB RAM a osmi 600GB SAS diskynastavenými do čtyř RAID0 oddílů. Cena tohotostroje se v lednu 2013 pohybovala okolo 230 tisíckorun bez DPH. Je zřejmé, že při průměrnémobjemu dat okolo pěti terabajtů na případ[2] se připoužití výše zmíněné techniky čas potřebný prozpracování pohybuje mezi 15 -20 dny. Do tohotočasu není započítán čas potřebný pro vytvářeníbitových kopií paměťových médií, neboodstraňování problémů s nestabilitou forenzníchnástrojů při překročení hranice dvou terabajtůzpracovaných dat, které se zcela běžně vysky-tují. Stejně tak zde není započten čas, který znalecpotřebuje pro vyhledání a analýzu relevantníchinformací, dat, souborů apod. (kde právě nastupujenezastupitelná práce znalce nad daty, které muforenzní nástroj připraví) a čas na formulaci závěrůa zpracování a administraci samotného posudku.

V návaznosti na rychle sesnižující náklady napořízení digitálních zařízenía zvyšování počítačovégramotnosti mezi běžnýmiuživateli lze snadno vysle-dovat i nárůst digitálníchartefaktů, které je nutné přiforenzní analýze zkoumat.Digitálním artefaktem seoznačuje pozůstatek dato-vých struktur, které nesouinformace o uživatelskýchaktivitách. Je běžnou praxí,že OČTŘ žádá ve zna-leckých posudcích rekon-strukci internetové komu-nikace jako je Skype, ICQ,Jabber, Viber, WhatsApp

apod., nebo historii navštívených internetovýchstránek, stažených a editovaných souborů, seznamvšech USB disků použitých na zkoumanémzařízení. Popřípadě je vyžádána kompletní rekon-strukce uživatelských aktivit v zadaném časovémúseku. Při dnešních trendech, kdy jsou masivněvyužívána mobilní zařízení s různou úrovní ochranydat, se tyto jinak snadné úkoly svojí časovounáročností posouvají do kategorie, "možné, alebude to trvat o měsíc déle" . Dodatky ke zna-leckému zkoumání, které v průběhu zkoumáníupřesňují zájmové informace, často nabourávajíčasový harmonogram pro zpracování dalšíchposudků, ke kterým byl znalec přizván.

Predikovatelnost práce

Největší bolestí forenzní analýzy potažmo znaleckéčinnosti v ČR je nemožnost dopředu plánovat ob-sazenost znalce nebo znaleckého ústavu v časovémúseku alespoň šest měsíců dopředu. Nikdy totižnení jasné, kdy a kolik případů daný znalec obdrží.To vyžaduje další, předem stěží vyčíslitelné nákladyna pokrytí z jedné strany prostojů v případech, kdyznalec nemá zakázky, a z druhé strany další doda-tečné, ze zkušeností nemalé náklady na vykrytí lidí atechniky v případech, kdy dochází k přetíženípracoviště. Tedy v době, kdy je nutné operativněnavýšit počet lidí, kteří se nějakým způsobem na

Obr 2 Trend absolutního objemu dat za rok

32/36


zpracování podílejí a pořídit další techniku,specifickou pro ten daný konkrétní případ, přičemžnení jisté, zda se pro takto pořízenou technikunajde v budoucnu odpovídající využití (o vy-účtování takových nákladů jako přímých nákladůna zpracování posudku reálně nemůže být anidiskuse) .

Čas a peníze

Vidina získání konkurenční výhody žene výrobceelektroniky a vývojáře programového vybavení doněkdy až extrémně krátkých vývojových cyklů, tomá za následek nekompatibilitu automatizovanýchforenzních nástrojů s aktuálními verzemi artefaktů aty je nutné extrahovat a reportovat ručně. Z tohonutně vyplývá i nutnost neustálého sebevzděláváníznalců – ani zde však není situace jednoduchá.Kvalitní forenzní školení nebo konference sev České republice konají dvakrát až třikrát ročně,bohužel tyto události jsou pro většinu nezávislýchznalců cenově nebo jazykově nedostupné, jelikožšestidenní školení se pohybuje v cenové hladiněokolo 150 tisíc Kč a konají se výhradně v anglickémjazyce.

Důsledkem výše uvedeného je přesun těžištěznalecké činnosti na ústavní pracoviště, která jsoualespoň částečně schopná pořízení vybavení aodborné vzdělávání znalců financovat z j inýchekonomických činností. Současně s tím, jak sesnižuje počet expertů schopných technicky zpra-covávat současné objemy dat, zvyšuje se poměrně ičas zpracování jednotlivých posudků na pra-covištích, která potřebným technologickýmvybavením alespoň zčásti disponují. Na základěvývoje posledních let lze oprávněně předpokládat,že v nejbližších letech se tato situace bude dálezhoršovat. Změnu, jejíž rozsah a dopad na digitálníforenzní analýzu lze dnes jen stěží předvídat, budev horizontu několika let představovat až masovýpřechod ke cloudovým řešením. Nasazeníserverových aplikací nebo cloudových služeb budekaždopádně v blízké budoucnosti vyžadovat úpravystávajících postupů při zajišťování zařízení přidomovních prohlídkách a prohlídkách jinýchprostor, spočívající ve vytváření obrazů operačnípaměti a spolupráci s poskytovateli cloudovýchslužeb.

Výše znalečného se v případě přibrání znalce OČTŘstále pohybuje na úrovni 300 Kč/hod. Podíváme-lise na počet pracovních hodin za rok a na rychlostzměn minimálních požadovaných parametrů sestavpro forenzní nástroje, je zcela zřejmé, že soudníznalec v odvětví Výpočetní technika nemá v pod-mínkách ČR nejmenší šanci pokrýt ze ziskuz vlastní činnosti nákup zařízení pro tuto činnostnezbytného. Přitom hovoříme pouze o základnímhardwaru – další desítky tisíc korun ročněpředstavují náklady na upgrade forenzníhosoftwaru, nástrojů pro analýzu mobilních zařízení,další ad-hoc vybavení podle specifik jednotlivýchpřípadů, spotřební materiál atd. O nákladech naprůběžné vzdělávání (nejenom přímé náklady naškolení, ale i nezbytné náklady na samovzdělávání,bez kterého nelze v oboru existovat) ani nemluvě.

Závěr

Výše uvedené skutečnosti by měly mít OČTŘ napaměti při přibírání znalce a pokusit se v co nejvyššímíře posoudit možnou relevantnost informacíobsažených v zajištěných zařízeních a snažit se,pokud je to možné, omezit absolutní množstvízařízení a datových nosičů předávaných ke znalec-kému zkoumání. Výraznou pomocí může býtrovněž větší konkretizace znění otázek položenýchznalci – to by měl zadavatel se znalcem vždykonzultovat. Každopádně je však nutné připravit se– zejména u rozsáhlých případů – na výrazně delšílhůty ke zpracování znaleckých posudků.

Poznámky

-----------------------[1] Performance Comparison of AccessData’s® Forensic Toolkit® and

Guidance Software’s EnCase® Forensic software by Joel Snyder.

[2] Interní statistika znaleckého ústavu RAC


NEPŘEHLÉDNĚTE

RAC Digital Forensic InfoDay

V druhé půli listopadu si Vás dovolíme pozvat na již avizovaný seminář RAC Digital Forensic InfoDay.

Seznámíme Vás s některými novinkami a praktickými poznatky z práce s digitálními důkazy.Aktuálně máme v plánu se věnovat následujícím oblastem:

Praktické zkušenosti, postupy práce a používané nástroje pro pořizování digitálníchkopií dat (obrazů disků) a seznámení s našimi vlastními produkty DEAS (DigitalEvidence Acquisition Suite) a DEAT (Digital Evidence Acquisition Tools) .

Představení a některé praktické zkušenosti při zkoumání mobilních zařízení pomocínástroje XRY společnosti MicroSystemation.

Nová vlajková loď pro efektivní forenzní analýzy velkých objemů dat. Seznámíme Vásse systémem NUIX a představíme jeho hlavní výhody pro forenzní analýzy digitálníchdat, nové možnosti analýzy, interpretace a prezentace výsledků.

Součástí všech bloků jsou praktické ukázky, tipy a triky, doporučení a diskuse k dané oblasti.

Přesný termín a místo konání upřesníme co nejdříve a tyto informace budou včas uveřejněny na našemwebu (www.rac.cz) .

Budem rádi, jestliže již dnes projevíte zájem o účast a také přispějete k programu svými náměty. Stačínapsat e-mail na adresu [email protected] nebo přímo do redakce na adresu [email protected]. Na oplátku pakbudete mezi prvními informováni o přesném datu, místu i programu a dostanete i dárek navíc.

Již teď počítejte s tím, že v druhé půli listopadu budete potřebovat jeden den na

RAC Digital Forensic InfoDay

34/36


Pokyny pro autoryDigital Forensic Journal je odborný časopis, který sevěnuje problematice forenzního zkoumání digi-tálních dat.

Přijímáme články jak specializované, které se věnujíkonkrétním technickým problémům, tak i informa-cím v širších souvislostech z oblasti obecných otázekznaleckého zkoumání.

Věnujeme se doporučením a metodickým po-kynům, pozornost věnujeme také použití digitálníforenzní analýzy v trestně-právních otázkách alei v procesu šetření bezpečnostních incidentů ICT.Nevyhýbáme se tématiky bezpečnosti ICT vevztahu k šetření bezpečnostních incidentů, jakoži dalších oblastí použití digitální forenzní analýzy.

Rukopisy jsou přijímány elektronicky na [email protected] ve všech běžných datových formátech.

Struktura příspěvků je dána v zásadě podle toho, jakjsou uvedeny příspěvky v aktuálním čísle, tedy ná-zev, autor (pozice a kontaktní e-mail) , anotace asamotný obsah článku. Doporučujeme členit kapi-toly a podkapitoly nanejvýše do tří úrovní. Rozsahčlánku není v principu omezen, doporučujeme ne-přesáhnout 10 stran. Obrázky a grafiku vložte dotextu příspěvku, aby bylo zjevné jejich umístěnív textu a navíc přiložte jako samostané souboryv dostatečné kvalitě.

Případné obsahové nebo technické připomínky re-dakce k příspěvku budou individuálně projednánys autorem.

Rozhodnutí o publikaci příspěvku je ve výhradníkompetenci vydavatele.

Digital Forensic JournalISSN (Print) : 2336-4750ISSN (On-line) : 2336-4769

digital forensic journal - 2014 - 1

Documents