2014. december 3.

Szerző:
B. Szabó Edina

Informatika a kriminalisztikában

A krimisorozatok felgyorsult világa, ahol mindig a jók nyernek, de legalábbis mindent bevetnek e cél érdekében, némely esetben alig hasonlít a valóságra. A biológiai, kémiai, fizikai hatásokat vizsgáló szakértők munkájában egy dolog közös: ma már mindannyian IT eszközöket használnak. De mi a helyzet az informatikai szakértőkkel?


A témára tekintettel szakértőt kérdeztünk az igazságügyi informatikai szakértői munkáról, legalábbis arról, ami civil szemlélődőként, többé-kevésbé hézagos IT ismereteink alapján eszünkbe juthat. A beszélgetés természetesen sok-sok meglepetést okozott. Nem is annyira a példaként felhozott esetek tartalmát, mint inkább a triviális hibalehetőségeket, az IT felhasználóként természetesnek vett rendszerhasználat káros hatását, vagy akár a szakértők magyarországi helyzetének érintőleges bemutatását illetően.
Dr. Illési Zsolt igazságügyi informatikai szakértő sok példával mutatott rá a terület jellegzetességeire, ám elöljáróban néhány alapfogalom tisztázására kértük.

Valójában mi a feladata az igazságügyi informatikai szakértőnek?

– A fejekben a CSI, NCIS és hasonló filmsorozatok jelenetei élnek a munkánkról. Természetesen a valóságban is vannak olyan nagyon okos emberek, akik éjjel, zseblámpával, a kezükben pisztollyal teszik a dolgukat, és valóban ez a kép él az igazságügyi szakértőkkel kapcsolatban. A gyakorlat ennél jóval egyszerűbb. Magyarországon mi, igazságügyi szakértők, ha nagyon sarkosan fogalmazok, laborpatkányok vagyunk. Vagyis amit mi teszünk, az esetek 99 százalékában annyi, hogy amikor valaki összegyűjt valamit, azzal kapcsolatban kikéri a szakértői véleményünket, mi pedig megválaszoljuk a kérdéseket.

Két nagy csoportjuk van a kiadott véleményeknek. Az egyiket az általános informatikai kérdésekre adott válaszok alkotják. Ezek olyan általánosságok, mint például az, hogy mit jelent az IP cím. A jog nagyjából a következőképpen fogalmazza meg az igazságügyi szakértők feladatát: a szakértők a tudomány és a műszaki fejlődés eredményeinek felhasználásával készített szakvéleménnyel segítik a tényállás megállapítását, a szakkérdés eldöntését. Így előfordulhat, hogy egy informatikus számára triviális kérdésben kérik azt a bizonyos véleményt. Mit jelent az, hogy program, mit jelent az IP cím, és mennyire lehet bízni abban az IP címben, mint azonosítóban, amikor például valaki gonoszkodik egy számítógéppel, és azt be kell azonosítani. Előfordul az is, hogy egy IT szerződéssel kapcsolatban keresnek meg minket. Itt ki kell térnem arra, hogy mi nem csak büntetőügyekben vagyunk jelen, mint az emlegetett amerikai hatóságok. Ez is kicsit más, mint a filmekben. Ott általában azt látjuk, hogy az igazságügyi szakértő büntetőügyeken dolgozik, a szakértő pedig nyomozati cselekményekben is részt vesz, aztán pedig a bíróság elé is kiül, és vallomást tesz a büntetőperben.

Magyarországon viszont nemcsak büntetőügyekben vagyunk jelen, hanem polgári ügyekben is, amelyekben például adott szerződések tartalmával kapcsolatban kérik ki a véleményünket: megtörtént-e a teljesítés, s ha igen, szakmailag értelmes-e, értelmezhető-e? Sok ilyen ügyünk van, ezekhez kapcsolódóan időnként munkaügyi eljárásokban is részt kell vennünk. Egy évekkel ezelőtti esetben valamelyik államigazgatási szervezet informatikai vezetője beszerzési eljárást indított, de a szerződésben nem határozták meg pontosan, hogy mi a leszállítandó alkalmazás, mi a specifikáció. Vagyis, a vezető leszállíttatott egy általános beállítással futó rendszert, amit egy egyszerű klikk-klikk-finish kombinációval installáltak, ezért aztán a későbbi testre szabás költsége a szerződés szerint nagyobb volt, mint a hardveré és a szoftveré együtt… Ilyen esetekben a bíró – mivel nem ért ehhez a kérdéshez – felkéri a szakértőket véleményezésre. Az említett esetből egyébként azért lett előbb munkaügyi per, amelyet az új vezetés szakmai hibára hivatkozva indított el a korábbi vezető ellen, mert az ezzel kapcsolatos vizsgálat nélkül jogtalan lett volna a számonkérés a szóban forgó több tízmillió forintos szerződéssel kapcsolatban. Így viszont a munkaügyi pert követő polgári perben az informatikai szakértői vélemény alapján munkakörében gondatlanságból elkövetett súlyos hiba miatt végül kártérítésre kötelezték a vezetőt.

Alapvetően tehát az informatikai szempontból laikus bírósági, rendőrségi, ügyészségi szereplők számára kell olyan válaszokat adnunk, amelyek segítenek megalapozni az ő szempontjukból a szakmai tényeket. Mert valljuk be őszintén, az IT nagyon sokszor fekete mágia jellegű terület… Olyan szakzsargonunk van, amit a más területen dolgozók nem biztos, hogy megértenek, ugyanúgy, ahogyan én sem értek meg minden esetben egy jogi vagy egy rendőri szakkifejezést.

A kiadott vélemények másik csoportja az, amelyek tartalma inkább hasonlít a tévéfilmekben látottakhoz. Amikor felteszik nekünk a kérdést, hogy ki, mit, mikor, mivel, miért és hogyan csinált, erre pedig megpróbálunk válaszokat adni, az már nem az általános IT kérdések világa, ilyenkor a rendszerek mélylélektanába merülünk. Ilyenkor már arról szól a feladat, hogy megpróbáljuk lefordítani a számítógépen talált adatokat a laikusok számára értelmezhető tartalomra, hogy ők azután az eseményeket igazolni tudják. A lényeg, hogy ha adott egy jogilag releváns tényállás, akkor ebbe a jogászok bele tudják helyezni akár a terhelő, akár a mentő információkat. Ide tartozhatnak az olyan nagyon nyilvánvaló dolgok, mint például a naplóállományok átnézése, amiből kiderül, hogy XY nevű felhasználó valamikor, valahol, valamit tett. Mondjuk hozzáfért fájlokhoz, fotókhoz, egyéb objektumokhoz, és ott vannak az időpontok is, amikor ezt tette.

Persze olyan is előfordul, amikor ez kevésbé nyilvánvalóan vizsgálható, mondjuk egy fotó, egyéb médiafájl vagy Word dokumentum esetében. Ilyenkor viszont mi már tudjuk, hogy maguk a programok beágyaznak leíró adatokat a dokumentumokba. Ezek az exitadatok, amelyek mondjuk egy fénykép esetében átlagos kamerahasználatnál is rögzítik azt, hogy mikor, milyen expozíciós idővel, milyen távolságból készült. Sőt, a GPS koordináták miatt benne van az is – például egy okostelefon esetében, ha csak az ember tudatosan nem tiltja le –, hogy fizikailag hol készült a fotó. Itt van az a pici kép is, a képen belül, amelyik ikonként megjelenik a listás nézegetés során.

Igen színes munkakörnek tűnik ez még az IT területén belül is.

– Részben az is, részben nem. Magyarországon nagyon érdekesen alakult ki az igazságügyi szakértés szakterületi felbontása. Szakértő eleve úgy lehet valaki, ha mások vagy ő maga azt gondolja, hogy egy bizonyos terület szakértője. E mögött lennie kell minimum egy felsőfokú végzettségnek és minimum öt év releváns gyakorlatnak az adott szakértői területen, és persze, elengedhetetlen az erkölcsi bizonyítvány is. Az igazságügyi informatikai szakértő általában tehát informatikus vagy informatikus-matematikus vagy még néhány másik kapcsolódó területről leigazolt szakember.

A kezdetekben a felosztás egyébként valóban csak azt jelezte, hogy ki minek képzelte magát, és ez végletesen eklektikus nómenklatúrát hozott magával. Emlékszem, annak idején volt olyan is, akit Nintendo programozási szakértőként jegyeztek be… Én például, mint informatikus, arra gondoltam, hogy informatika területre kérem meg a szakértői dokumentumokat. És meg is kaptam, az IT egészére, vagyis én informatikai igazságügyi szakértő voltam, amíg meg nem változott a rendszer. Lassan elkezdték csökkenteni aztán azt az el­képesztő változatosságot, ami egyébként nem csupán az IT-re, hanem az egész szakértői besorolási rendszerre jellemző volt.

Most már jóval szűkebb nómenklatúra szerint határozzák meg, hogy ki milyen szakértő, bár ezzel kapcsolatban azért egy kicsit érdekes, hogy vannak – nevezzük így – szakszerűtlen szakterületek. Mert milyen területeket találunk ma? Például „informatikai berendezések, számítógépek, perifériák és helyi hálózatok”. Ez egy szakterület. És ugye ebbe ma már a mobiltelefonok is beletartoznak, hiszen nagyon nehéz volna leválasztani.

Nem kicsi terület…

– De olyan is van, hogy „informatikai biztonság, informatikai rendszerek tervezése és szervezése, stúdiós vagy multimédiaterülettel összefüggő informatikai tevékenység”. Ezzel szemben, ha már emlegettük, nézzük meg az amerikai védelmi minisztérium igazságügyi szakértői laborokról szóló dokumentációját. Látható, hogy nekik olyan problémákat kell megoldaniuk, mint: tartalomvizsgálat, összehasonlítás, tranzakciós vagy esemény időrendjének megállapítása, törölt fájlok helyreállítása, adatkimentés. Világosan látszik, hogy a magyar világkép – például az amerikaihoz képest – nem kimondottan a krimináltechnikai eseményekhez kapcsolódik, hanem még vannak olyan általános IT kérdések is, amelyeket meg kell válaszolni. Viszont ez a besorolás így annyira tág, hogy szakértő legyen a talpán, aki minden részterületen valóban szakértő. Jelenleg olyan is van, hogy „számítástechnikai adatbázisok és adatstruktúrák szakterülete”. Ezt én speciel nagyon szeretem, de fogalmam sincs, hogy mit jelent. Mi itt a kérdés? Hogy megvan-e az adatbázis? Vagy az, hogy milyen formában van meg?

A gyakorlatban ugyanakkor a valós kérdés az, hogy van-e a bűncselekményre utaló nyom az adott hordozófelületen, az adatbázisban. Található-e olyan nyom, amelyből megállapítható, hogy ki, mikor lépett be a rendszerbe. Az előbb példaként említett talált fotókban rejlő exitadatok elemzése vajon biztonsági kérdés? Adatbázis-kezelési kérdés? Szoftverkérdés?

A felsorolt szakterületek mindegyikének van hazai szakértője? Fel­tételezem, hogy ha ezek az újonnan megfogalmazott területek, akkor szakértői bázisuk és utánpótlásuk is van.

– Hát, ez nagyon érdekes helyzet, mert ezek a nagy területek elvileg lefednek bizonyos szakterületeket, de közben nem illeszkednek az oktatási struktúrába. Olyan terület, mint „szoftverek”, önmagában azért értelmezhetetlen, mert nem mindegy, hogy operációs rend­szerekről vagy alkalmazási rendszerekről, hálózati aktív eszközök aktív rendszeréről vagy mezei alkalmazásokról beszélek. Ide tartozik az is, hogy nem mindegy, hogy az adott szoftver milyen környezetben funkcionál, meg az is, hogy képes vagyok-e visszafejteni a kódot? Beletartozik, hogy gépi kódban vissza tudom-e hekkelni a kódokat? Ezek azok a kérdések, amelyeket ezen a szakterületen még ennyi idő és gyakorlat után sem tudok megválaszolni, hiszen egyelőre nincsenek jó válaszok. Ha lennének olyan területek, mint amilyen tantárgyak léteznek, akkor természetesen tudnánk, mi azok pontos tartalma. Az egyetlen, amiről nagyjából jól tudom, hogy miről szól, és viszonylag értelmezhető méretű is, az „az informatikai rendszerek tervezése, szervezése”, mert ez gyakorlatilag egy jól definiált tantárgy. De az „IT biztonság” megint csak annyira széles körű, hogy abba beletartozhat a teljes matematikai kriptoanalízistől a biometriai azonosításig minden, ezeken kívül meg még rengeteg más is. Hol a helye például az „informatikai hadviselésnek”?

Ez az, amire én azt mondom, hogy szakszerűtlen szakterület. Nem kapcsolódik sem a szakértőtől elvárt kérdésekre adott válaszokhoz, sem az oktatáshoz, és nem tudni egyértelműen, hogy mi a tartalma.

Gondolom, ilyenkor még fontosabb a megfelelő eszközök használata. A hazai szakértők mit tudnak bevetni a cél érdekében?

– Azt érdemes tudni, hogy az eszközök tekintetében igen erős amerikai egyeduralom van a piacon, ezekhez pedig a hazai szakértők piaci áron juthatnak hozzá. Mivel a hazai laborokban ugyanazok dolgoznak intézményi keretek között, mint önállóan, így vagy be­szereznek egy saját eszközt, vagy azzal dolgoznak, ami adott, ez pedig minimális. A saját eszközök esetében viszont a felkérések változó száma miatt kétséges lehet, hogy megtérül-e a licencdíj. Tehát nem túl rózsás a helyzet.

Hogy mik ezek az eszközök? Olyan alkalmazások, megoldások, amelyek használata esetében pontosan tudom, hogy milyen módszerrel avatkozik be a vizsgált célrendszerbe. Ez általában a nulla beavatkozást jelenti, vagy halott számítógépeknél például az írásvédett merevlemez olvasását. Másodlagos funkciójuk az, hogy valamennyi tapasztalatra már szert téve ismert elemeket keresek. Tehát tudom, hogyan kell a Registryben (a Microsoft Windows rendszerleíró adatbázisa – a szerk.) keresni, és ezeket az adatokat már csaknem egy gombnyomással megkapja az ember. Harmadlagos funkció azoknak az elemeknek a keresése, amelyeket még nem ismerünk. Ilyen például a kulcsszavas keresés lehetősége. Azokra a bizonyos szavakra keresek rá, amelyek az adott ügy szempontjából relevánsak. Ismeretlen vagy titkosított fájlokat tudok keresni annak alapján, hogy mekkora egy-egy fájl redundanciája. A redundancia vizsgálatával már lehet elképzelésem arról, hogy a vizsgált fájl titkosított-e, és ha igen, akkor el kell kezdeni feltörni azt.

A másik szoftverhalmaz az általános célú szoftverek csoportja, időnként nagyon jó dolgokat lehet csinálni velük. Akár egy Pho­to­shoppal is nagyon jól bele lehet nézni egy kép „lelki életébe”, mert alkalmas a módosításra, másolásra mutató jelek felfedezésére.

A harmadik csoport a nyílt forráskódú szoftverek használata, ez egyébként itthon egyre elterjedtebb. Itt az a probléma, hogy elképesztően nagy szakismeret kell ahhoz, hogy valaki olyan képességekre tegyen szert, mint az, akinek bár a szakértelme sokkal kisebb, ám professzionális szoftvert használ. Egy olyan Linux-guru munkadíja, aki képes ugyanolyan vagy legalább hasonló folyamatot összerakni, mint egy profi szoftver, megfizethetetlenül drága. Persze lehet találni kisebb eszközöket, és össze lehet állítani belőlük tisztességes vizsgálati folyamatokat, de ahhoz nagyon nagy szakismeret kell, és abszolút naprakésznek kell lenni a szakmai esetekben. Kevés olyan terület van tehát, ahol a pénz, paripa és fegyver hármasa maradéktalanul jelen van.

Milyen jövőképpel lenne elégedett?

– Nagyon jó lenne, ha az informatikai stratégiával foglalkozó kormányzati csoport, a bíróságok, ügyészségek, rendőrségek, igazságügyi szakértők leülnének, és tartanának egy, a detektálással kapcsolatos konferenciát. Abban az esetben legalább tudnánk, hogy miről, kivel beszélhetünk és haladhatunk tovább. Hogy lássuk azokat a problémákat, amelyekkel a más szakterületen dolgozók szembe­sülnek. Egyelőre nem ismerjük egymás problémáit, nincs közös nyelvünk. Az lenne igazán jó, ha a jogi képzésben, a kriminalisztikai területen nemcsak a gépjárművekről vagy az okiratokról beszélnénk, hanem az informatikai szakértésről is. Esetleg a rendőrtiszti főiskolán vagy műszaki egyetemen nemcsak azt tanítanák, hogy hogyan lehet egy golyó ütötte nyomot vizsgálni, hanem hogy miként kell az IT rendszerekben „szakérteni”. Mondjuk, hogy mit kell még keresni, ha ilyen és ilyen kimenetek vannak egy eszközön. Milyen taktikai kérdések tehetők fel a terheltnek?

Egy másik példa: egy esetnél, amikor a szakértő és a rendőr bement egy szerverterembe, a terhelt wifis kamerán keresztül követte őket, és figyelte tevékenységüket. Ahogyan ők mozogtak, úgy irányította át szerverről szerverre a forgalmat, így gyakorlatilag eltüntetett mindent. Hogy min bukott le? Találtak egy felesleges optikai kábelt, amely sehova nem passzolt, és azt visszakövetve meg is találták a kiinduló­pontot. Vagy vegyük azt az orgazdát, aki tökéletes Excel-táblázatban vezette az eladás-bevétel és raktárkészlet nyilvántartását. Ezek az apró banánhéjak azok, amelyekből a többi szakértő is tanulhat. Hogy a következő alkalommal már eleve keresse ezeket a lehetőségeket. Mint például az egyik saját esetemben, amikor a terhelt átkötötte a merevlemez csatlakozó felületét. Ez annyit jelentett, hogyha a vizsgálatkor valaki normál kábellel csatlakozott volna rá, akkor azonnal leég a komplett merevlemez. Ezt amúgy hányan veszik észre? Vagy hányan figyelnek ilyesmire egyáltalán? Tapasztalatból aztán már természetesen igen. De milyen jó lenne, ha ezekből, mint esettanulmányokból, mindenki okulhatna, még mielőtt belefut egybe a valóságban.

Röviden: szerintem a szakértői társadalomnak ma leginkább közös nyelvre és párbeszédre, a közös problématér kialakítására van szüksége.•


 
Archívum
 2011  2012  2013  2014  2015  2016  2017  2018  2019  2020  2021  2022  2023  2024
Címkék

Innotéka