Někdo mi změnil data!
Příspěvek vychází z reálného případu. Popisuje problematiku možnosti změny v datech tak, aby byla obtížně zjistitelná. Možnosti odhalení takových zásahů odvozuje prostřednictvím obecné teorie stop a její aplikací na digitální stopy. V širších souvislostech popisuje potenciální zdroje digitálních stop a jejich využití právě v případech zjišťování zásahů do dat.
Uvedení do problému
Není to první a jedná situace, kdy jsem se setkal s otázkou zda lze prokázat, že data na daném nosiči někdo (dodatečně, neoprávněně) změnil. Otázka celkem zjevná a často i opodstatněná. Odpověď by se mohla zdát jednoduchá a tudíž ani není moc o čem diskutovat. Život je ale pestrý a nedrží se teoretických pravidel, proto se pokusím v následujícím článku popsat alespoň částečně problematiku prokazování potenciálních (dodatečných) změn v dokumentech.
Možností a variant výše uvedeného obecného pro blému je nespočet, proto i popis možných řešení je spíše koncepční a není ani tak zaměřen na konkrétní způsoby řešení. Ve svém důsledku je zaměřen vlastně spíše směrem k tazatelům, k těm, kdo takové problémy požadují řešit. Snažím se totiž podat základní popis situace a nutných předpokladů, aby nastolený problém vůbec mělo smysl konkrétně posuzovat a snažit se hledat konkrétní řešení.
Možná že tento příspěvek také přispěje k objasnění zdánlivě paradoxních tvrzení, kdy z jedné strany vždy prohlašuji, že i v informačních technologiích platí Locardův princip, tedy že každá aktivita v informačních systémech zanechává za sebou stopy (Locardův princip výměny, známý také jako Locardova teorie, byl postulován forenzním vědcem Edmondem Locardem. Locard byl ředitelem první kriminální laboratoře ve francouzském Lyonu. Locardův princip výměny říká, že "s kontaktem mezi dvěma body bude probíhat výměna", protože každý kontakt zanechá stopu - https://cs.wikipedia.org/wiki/Locardův princip výměny), a z druhé strany tvrdím, že v informačním systému lze udělat zásahy takovým způsobem, že budou neodhalitelné. Tedy že v principu nevyvracím někdy absolutistická tvrzení, že v digitálních datech lze udělat prakticky cokoliv, aniž by se na to přišlo. Doufám, že pozorný čtenář přijde na to, že výše uvedená tvrzení si neodporují.
Východisková teorie
Východiskem pro zodpovězení položených otázek je aplikace základních teoretických poznatků o stopách na prostředí digitálních informací. Konkrétně na záznamy na konkrétních datových nosičích, které jsou ke zkoumání předloženy. Jelikož z dostupných veřejných zdrojů mi není znám takový zdroj, který by se komplexně zabýval aplikací obecné teorie stop a kriminalistiky na prostředí digitálních informací, základní východiska se pokusím stručně uvést zde.
V základu teoretických východisek stojí obecně známá teorie akce a reakce, kdy každá akce vyvolává reakci a tedy reakce je stopu akce, která danou reakci vyvolala. Na materiální svět je tento zákon aplikován pomocí známého Locardova principu výměny.
Informace je ze své podstaty nehmotnou entitou, avšak její zaznamenání v digitální (přesněji binární) formě je matriální interpretací nehmotné informace. Lze tedy dovodit, že Locardův princip (přesněji ale zákon akce a reakce) lze plně aplikovat i na digitální prostředí. I v digitálním prostředí tedy obecně platí, že každá akce, každá aktivita realizována v informačním systému, zanechává za sebou nějakou stopu.
Pro praktickou aplikaci výše uvedených teoretických východisek je nutné je doplnit o poznatky ryze praktického charakteru, které byly zformulovány v základech teorie kriminalistiky, primárně kriminalistické teorie stop. Protože pro správné pochopení následujících odpovědí na položené otázky je definice kriminalistické stopy podstatná, uvedu ji zde v plném znění:
Kriminalistická stopa (https://cs.wikipedia.org/wiki/Kriminalistická stopa) je každá změna na místě trestného činu nebo kriminalistické události, související s událostí, která je zjistitelná, zajistitelná a využitelná. Jedná se o změny v materiálním prostředí a ve vědomí lidí.
Z uvedené definice je nezbytně nutné uvědomit si atributy, které musí kriminalistická stopa splňovat:
a) Souvislost s událostí (v našem konkrétním případě souvislost s potenciální změnou dat na datovém nosiči). Obecně platí, že lze vždy nalézt velké množství různých stop, avšak relevantní jsou poze ty, které s danou událostí souvisí (přímo, nepřímo, místně, časově nebo jakkoliv jinak). Posouzení vztahu nalezené stopy s danou událostí patří mezi nejsložitější úkoly.
b) Zjistitelnost stopy. Obecně sice platí, že každá akce vyvolává reakci a tedy zanechává stopy, avšak takové stopy musí být zjistitelné. Současné vědecké poznatky ne vždy dovolují zjistit veškeré možné stopy. V případě digitálních informací je situace ještě mnohem složitější v tom, že je nutné zvažovat např. potenciální rozdíly v úrovni hodnot binárních stavů (reprezentující hodnoty "0" a "1") nebo jiné faktory, které však v podstatě nejsou předmětem základního výzkumu a tedy nejsou známé. Teoretická východiska také mohou předpokládat ba i prokázat, že určité stopy o události musí existovat, ale současná úroveň vědeckého poznání je neumožňuje zjistit.
Hypoteticky v našem případě může být následující úvaha: jestliže zjednodušeně platí, že záznam na flash discích je postaven na elektrostatickém náboji, může platit, že různá záznamová zařízení (počítač s USB rozhraním) nabíjejí danou buňku paměti různým nábojem, který sice vždy odpovídá logické "0" nebo logické "1", ale množství elektronů náboje se může lišit od záznamového zařízení. V současnosti však nejsou známé prostředky, které by takovou úvahu byly schopny potvrdit a tím takovou (hypotetickou) stopu identifikovat.
c) Zajistitelnost stopy. Lze často teoreticky prokázat, že určitá stopa existovat musí, avšak pro potřeby dokazování je nezbytně nuté takovou stopu zajistit a to přímo (používá se v případech materiálních předmětů přiměřeného rozměru) nebo nepřímo pomocí objektivizovaných a vědecky ověřených metod (např. fotodokumentací, měřením apod.)
d) Využitelnost stopy. Jedním z podstatných vlastností stopy je její využitelnost, v našem případě v potenciálním dalším procesním řízení. Kromě už výše zmíněné míry souvislosti s danou událostí se jedná zejména o důkazní sílu zjištěných skutečností. To přímo souvisí se všemi předchozími procesy, způsobem zjištění a zajištění stopy tak, aby nemohly vzniknout žádné pochybnosti o hodnověrnosti informací, které ze zajištěné stopy vyplývají. K tomu se přímo vztahují pojmy jako "chain of custody" ("Chain of custody" popisuje podrobnou dokumentaci celého životního cyklu stopy tak, aby nevznikly pochybnosti o potenciální objektivnosti její vypovídací schopnosti a tedy nevzniklo podezření, že se stopu bylo možné nekontrolovaně manipulovat nebo ji bylo možné pozměnit.) a "evidence integrity" ("Evidence integrity" je požadavek na použití takových postupů, metod a prostředků, které zaručují maximální možné zachování původnosti zajištěné stopy.).
Kde hledat stopy?
Vycházeje z výše uvedeného si můžeme představit konkrétní situaci:
Klient přinese ke zkoumání USB flash disk s tvrzením, že data, která na tom disku předal svému partnerovi, byla změněná a neodpovídají původnímu obsahu, který na něm byl při předání partnerovi. Dají se tedy na daném nosiči změnit data způsobem, který by nezanechal forenzně zjistitelné stopy?
Odpověď je asi předvídatelná. Ano, dá se konstatovat, že lze použít takový způsob manipulace s digitálními daty, který za současných podmínek a při aktuální úrovni poznání v oblasti forenzní analýzy digitálních stop neumožní takovou manipulaci zjistit.
Jako součást zdůvodnění předchozího tvrzení je nutné nejdříve objasnit pojem "forenzně zjistitelné stopy". Aplikací teorie kriminalistické stopy dospějejme k závěru, že pojem "forenzně zjistitelná stopa" musíme transformovat do výše uvedených základních vlastností kriminalistické stopy, kterými jsou souvislost, zjistitelnost, zajistitelnost a použitelnost. Aby bylo možné tyto atributy aplikovat na digitální stopy, musíme popsat podstatu a charakter digitálních stop obecně. To nám pomůže objasnit skutečnosti, které vedou k odpovědi na danou otázku.
Digitální informace je obecně pouze záznam nehmotné informace v digitalizované podobě na nějaký vhodný materiální nosič. Na digitální stopu tedy můžeme nahlížet dvěma způsoby. Jako na materiální interpretaci digitálního záznamu na vhodném nosiči a jako na informaci o zájmové skutečnosti.
Materiální interpretace
Materiální podstata záznamu spočívá ve změně materiálního nosiče a odráží informaci, zda se na daném místě nosiče nachází záznam logické "1" nebo logické "0". Identifikaci změny záznamu z "1" na "0" nebo naopak lze realizovat v tomto pojetí na úrovni analýzy změn a artefaktů po předchozím záznamu na úrovni fyzikálních stop v záznamovém materiálu. I když teoretické předpoklady k takové identifikaci u určitých druhů materiálních nosičů existují, praktická aplikace takových metod identifikace se pohybuje v rovině teoretické nebo v rovině extrémní přístrojové, materiální a časové náročnosti a navíc pouze u některých typů materiálních nosičů.
V případě přepisovatelného nosiče CD/DVD lze i pouhým okem vidět, že obsahuje nějaká data (viz Obr. 1) a při dostatečném zvětšení zobrazení (např. elektronovým mikroskopem) lze relativně spolehlivě identifikovat jednotlivá místa, kde jsou zaznamenány "0" a "1" a tedy i potenciálně analyzovat, jestli na tom daném místě nebyla před tím zaznamenána jiná (opačná) hodnota.
Obr. 1 - CD nosič se záznamem a makrofoto dat
Při aplikaci takové metody na konkrétní případ záznamu na USB flash disku dospějeme k jednoznačnému závěru, že použití metod identifikace změn záznamu na materiální úrovni nosiče je v současné době prakticky neaplikovatelné. Jen pro ilustraci uvedu např. fotografii vnitřku USB zařízení (viz. Obr. 2) aby bylo zřejmé, že na materiální úrovni, tedy zkoumáním fyzických veličin elektrického náboje v jednotlivých buňkách paměti čipu, nelze na současné úrovni poznání identifikovat potenciální změny v záznamu, i kdyby byly reálně na takovém nosiči provedeny.
Obr. 2 - USB flash disk
Stopa jako informace
Na digitální stopu lze ale také nahlížet jako na informace o změnách, které jsou zaznamenány opět v digitální podobě a které pocházejí z různých zdrojů. Liší se podle způsobu provedení potenciální manipulace, podle systémů, které jsou do procesu změny zapojeny a podle metod, které se pro identifikaci záznamů o manipulaci použijí. Pro ilustraci a vysvětlení výše uvedeného použiji následující grafiku (viz Obr. 3 - bez nároku na úplnou přesnost vyjádření):
Obr. 3 - Grafické znázornění prvků systému pro nalezení digitálních stop
Grafika ilustruje komplexnost problematiky původu a umístění (a posléze také nalezení) digitálních stop a informací o provedení změn v souborech, protože na celém procesu provedení změn se mohou účastnit velice různorodé a mnohdy variabilní prvky celého výpočetního systému. Podobně také místo, obsah a forma potenciálních digitálních stop závisí od různorodosti jednotlivých vrstev, tedy druhů a verzí aplikací, operačních systémů, souborových systémů a v neposlední řadě i od různorodosti použitých záznamových médií.
Představme si, že náš vzorový dokument, který je předmětem zkoumání, je ve formátu PDF a že k provedení (potenciální) změny v souboru je použita standardní aplikace, v našem konkrétním případě např. Adobe Acrobat (Přirozeně, že k provedení změny v souboru formátu PDF není nezbytně nutné uvažovat pouze o aplikaci Adobe Acrobat. Pro práci s formátem PDF bylo vyvinuto a často se používá množství dalších aplikací, které však nemusí vykazovat plnou kompatibilitu a mohou zanechávat i více nebo méně odlišné stopy o své činnosti v různých vrstvách a prvcích výpočetního systému.) která standardním způsobem využívá služeb operačního a souborového systému. V takové situaci provedení změny v datech potenciálně zanechá stopy po své činnosti ve všech vrstvách výše graficky znázorněného systému.
Existují však i speciální aplikace, které mohou využívat operační systém nestandardním způsobem a které mohou obcházet služby souborového systému (např. aplikace s přímým přístupem na disk) a u těchto aplikací lze stopy o jejich činnosti nalézt mnohem obtížněji nebo vůbec.
V posuzovaném případě je nutné také vzít v úvahu skutečnost, že pro posouzení potenciálních změn v jednotlivých souborech není k dispozici celý výpočetní systém jak je ilustrován na předchozí grafice a který by k provedení takových změn mohl být použit, ale pouze externí (USB flash disk) fyzické záznamové médium, které pouze hypoteticky může obsahovat potenciální stopy o provedených změnách.
Další důležitou informací, která může ovlivnit pravděpodobnost nalezení potenciálních stop o provedených změnách v datech je použitý souborový systém na daných datových nosičích. Jestliže to je souborový systém FAT32 (běžné formátování USB flash disků), ten v zásadě uchovává pouze minimum informací, které by mohly být použitelné pro identifikaci potenciálních změn a tím omezuje pravděpodobnost jejich nalezení.
Naši případovou situaci, kdy se posuzuje možnost identifikace změn v souborech, také výrazně komplikuje skutečnost, že s velkou pravděpodobností mohly být potenciální změny v souborech provedeny na jiném výpočetním systému a tedy i na jiném záznamovém médiu a na zkoumaný flash disk byly pozměněné soubory pouze překopírovány. Tím se na zkoumaný flash disk nepřenáší prakticky žádné z výše uvedených potenciálních stop, které jsou jinak identifikovatelné v rámci použitého výpočetního systému.
Pravděpodobnost odhalení forenzních digitálních stop o potenciální manipulaci s daty také výrazně ovlivňuje profesionální úroveň a znalosti toho, kdo takové změny provádí a tedy i úspěšnost jeho snahy nezanechat za sebou zjistitelné stopy. Se zvyšující se úrovní znalostí toho, jak pracují informační systémy (ve smyslu výše uvedeného) se výrazně snižuje pravděpodobnost toho, že po takové činnosti zanechá následně zjistitelné stopy.
Pro odborníky
Jaké závěry lze tedy z výše uvedeného učinit pro odborníky?
Polopatisticky řečeno - tam kde nic není (a v našem případě pravděpodobně ani nic být nemůže) není co hledat.
Ano, jestli někdo přinese nějaké médium (CD, DVD, flash disk, externí USB disk apod) a chce najít nějaké stopy, které tam s velkou pravděpodobností být nemohou, tam není moc s čím pomoct.
Nicméně v jiných případech je dobré si uvědomit, kde, pro jaký účel a jaké stopy je vhodné hledat.
Pro běžnou praxi asi vyloučíme (z důvodů obtížné realizovatelnosti) analýzy fyzikálních záznamů na použitém paměťovém médiu. Pak už je na znalostech a dostupnosti, které z dalších stop budou pro požadované analýzy využity. Na základě zadání a dostupnosti se budeme rozhodovat ve kterých částech systému (podle Obr. 3) budou relevantní stopy hledány a následně podle účelu analyzovány a interpretovány.
Pro laiky
Pro laiky snad jen jedna rada. Jestliže je potřebné něco posoudit ohledně určitých souborů nebo dat, nepokoušejte se taková data "vytrhnout z kontextu", tedy vykopírovat je na flash disk nebo ještě hůře nakopírovat je na CD nebo DVD.
Vzpomeňte si na výše uvedený graf a vzpomeňte si také, že jakékoliv další doplňující informace, které by mohly posloužit pro váš účel, se většinou nenachází přímo v tom daném souboru, ale většinou v "okolním prostředí" tohoto souboru. V původním souborovém systému, v systému ve formě logů nebo dalších záznamů, které si systém zaznamenává, případně v záznamech dané aplikace, která naposledy s danými daty pracovala.
Odborné (forenzní) zajištění dat obecně právě spočívá v tom, že jsou zajišťována cílová data způsobem, který (pro daný účel) zajišťuje nejenom data samotná, ale i další data, aby byl zajištěn komplex souvisejících dat v jejich maximálně možném kontextu.
Shrnutí
Na závěr tedy odpověď na otázku z úvodu: Je možné v digitálním prostředí provést zásah do dat tak, aby tento nezanechal forenzně zjistitelné stopy?
Obecně sice platí tvrzení u úvodu, že každá aktivita v informačním systému zanechává v něm stopy, ale aby je bylo možné reálně použít, tyto musí splňovat podmínku zjistitelnosti, zajistitelnosti a využitelnosti. Jestliže však některou z podmínek nelze splnit, nelze taky nalézt, zajistit nebo následně takové stopy využít.
Jestliže tedy máme co dočinění s někým kdo ví, jak za sebou zametat stopy, nebo jestli je nám nějakým způsobem odepřen přístup k určitému druhu stop (ať už úmyslně nebo neúmyslně a nebo i z objektivních příčin), nelze vyloučit, že se nám zásah do dat nepovede prokázat.