Dokazování kyberkriminality

Question 1

Jaké jsou 4 základní etapy zpracování digitálních důkazů?

Answer 1

1) příprava
2) získání, zajištění důkazů
3) zkoumání
4) záznam a dokumentace

Question 2

Co se děje ve stádiu “přípravy”?

Answer 2

1. znalci prvotně zhodnotí digitální důkazy s přihlédnutím k rozsahu a okolnostem případu
2. detailněji se určí další etapy pro vyšetřování
3. připraví se optimální podmínky pro zkoumání digitálních důkazů

Question 3

Co se děje ve stádiu “získání, zajištění”?

Answer 3

1. zajištění = volba nejvhodnější metody, tak aby nemohly být důkazy změněny, poškozeny nebo zničeny
2. pořízení kopií originálních důkazů
3. v celém procesu dodrženy požadavky na bezpečnost a integritu důkazu

Question 4

Co se děje ve stádiu “zkoumání”?

Answer 4

1. extrahování a analýza digitálních důkazů

extrahování = proces nalezení a obnovení relevantních informací z dat, které byly získány v etapě zajištění

analýza = proces interpretace informací a jejich shrnutí do logického a pro vyšetřování užitečného formátu

Question 5

Co znamená etapa “záznam a dokumentace”?

Answer 5

všechny činnosti a pozorování z ostatních etap musí být průběžně (v průběhu celého znaleckého procesu) detailně zaznamenávány dle platné legislativy

Question 6

Do jakých dvou typů rozdělujeme zajišťování digitálních dat?

Answer 6

a) zajišťujeme hardwarové prvky
b) zajišťujeme data

Question 7

Co zahrnuje zajišťování “hardwarových prvků”?

Answer 7

zajišťování počítačů, pevných disků, výměnných datových médií, mobilních zařízení a další kancelářské techniky, aktivních prvků

Question 8

Jaká forma zajištění je nejlepší při zajišťování osobních počítačů, serverů, notebooků?

Answer 8

zajištění tzv. funkčního celku (u PC celý “case” = krabice počítače)

Question 9

Zajišťují se i periferní zařízení (myš, klávesnice)?

Answer 9

pouze pokud se jedná o nadstandartní typy

Question 10

Zajišťuje se s PC i nějaká dokumentace?

Answer 10

ano, pokud je to možné - technický či evidenční list například

Question 11

Má uživatel při zajišťování počítače k němu přístup?

Answer 11

ne, je nutné zamezení jakékoliv činnosti uživatele se zajišťovaným počítačem

Question 12

Pořizuje se fotodokumentace/videozáznam místa zajišťování PC?

Answer 12

ano, včetně místa (místnosti), skutkového stavu počítače, zapojení kabeláže a všech ostatních periferních prvků

Question 13

Jak probíhá prvotní ohledání PC na místě?

Answer 13

za přítomnosti znalce/specialisty, za dohledu nezúčastněné osoby se zaměřením na spuštěné aplikace, aktivované šifrovací nástroje, připojené síťové disky

Question 14

Jak policie při prvotním ohledání a zajišťování PC interaguje s uživatelem, pokud je na místě přítomen?

Answer 14

nutné vyslechnutí uživatele o využívání PC (šifrování disků, síťových hesel apod.)

Question 15

Co se děje, pokud nebylo zjištěno žádné šifrování dat či jiné překážky, které by mohly znehodnotit stopy?

Answer 15

PC je odpojen od elektrické sítě vytažením napájecího kabelu - nepoužívá se standartní způsob vypnutí z důvodu zachování dočasných odkládacích souborů obsahu paměti na pevném disku

Question 16

Jaký je postup v případě, že je PC šifrován a po vypnutí by nebylo možné zaručit úspěšné zajištění dat nebo vypnutím PC hrozí ztráta digitálních stop? Alternativy:

Answer 16

1. vytvoření “bitové kopie” rozšifrovaného disku nebo vykopírování požadovaných dat na místě
2. provedení forenzní analýzy digitálních dat na místě
3. převoz spuštěného počítače do znalecké laboratoře za použití speciálních prostředků (pokud to dovolí okolnosti např. baterie)

Question 17

Co se dělá v případě vypnutého počítač, když není vyžadováno zkoumání periferních zařízení PC?

Answer 17

zajistí se pouze základní jednotka s procesorovou a paměťovou částí (“case”)

Question 18

Zajišťujeme u přenosného PC počítač jako celek včetně napájecího zdroje?

Answer 18

ano

Question 19

Co se děje před převozem PC po zajištění?

Answer 19

jeho zabalení a zajištění před neautorizovanou manipulací (pečetě + podpisy) - postup zajištění musí být zdokumentován

Question 20

Co musí obsahovat protokol o provedení úkonu?

Answer 20

přesný popis zajištěného PC (typ, výrobní číslo), přílohy k protokolu (kopie technické dokumentace)

Question 21

Kdy se provádí pouze zajištění pevných disků, ne celého PC?

Answer 21

pokud je požadováno pouze zkoumání uložených dat bez návaznosti na celou funkční sestavu PC

Question 22

Kdo může provádět demontáž pevných disků z počítače?

Answer 22

pouze znalec nebo proškolený specialista na zajišťování digitální dat/stop

Question 23

Jak probíhá zajištění pevných disků?

Answer 23

1. odpojení počítače od napájení a jeho vypnutí (odpojení datového i napájecího kabelu)
2. demontáž krytu
3. fotograficky/video se zdokumentuje aktuální stav hardware otevřeného počítače a detailně zapojení pevných disků
4. identifikace všech obsažených pevných disků, včetně nezapojených nebo nestandartně montovaných
5. demontáž pevných disků (odšroubování, ..) ze skříně počítače a jejich detailní fotodokumentace
6. vložení do antistatických obalů a zabalení (nejlépe do bublinových obálek), zapečetění a zadokumentují se
7. zpracování protokolu o provedení úkonu (přesný popis disků s uvedením výrobce, typu, modelu, výrobního čísla, kapacity v GB, technické specifikace datového rozhraní)

Question 24

Zajišťují se obvykle lisované disky CD, DVD nebo BLUE-RAY?

Answer 24

ne (ale může být, podle okolností případu nebo pokud tak stanoví vyšetřovatel)

Question 25

Jaké vlivy se musí zhodnotit při balení a pečetění výměnných datových médií?

Answer 25

vlivy elektromagnetického, ultrafialového nebo tepelného záření na ně

Question 26

Čemu by měla být věnována zvláštní pozornost při zajišťování flash-disků?

Answer 26

jejich zjištění - stává se, že mají neobvyklou podobu/tvar/formu - hračka, brož, přívěsek, náramek, zapalovač, klíče apod.

Question 27

Jak se výměnná datová média balí podle typu?

Answer 27

roztřídí se podle typu/druhu a místností, kde byla nalezena -> balí se podle typu do společného obalu

Question 28

Jak se označují roztřízená datová média?

Answer 28

polepí se štítkem/označí popisem a očíslují od 1 výše - číslování je součástí protokolu (dokumentace - ta obsahuje jejich výrobní čísla, počet kusů, uvedení typu, místa nálezu)

Question 29

Jak se zajišťuje mobilní telefon?

Answer 29

1. zajistí se spolu s napájecím adaptérem/nabíječkou 2. ponechá se (podle okolností) v zapnutém stavu (může se nechat dobít) 3. zapečetí se do bezpečnostního sáčku, který je řádně označen 4. dopraví se na znalecké pracoviště -> provedení základních úkonů zkoumání

Question 30

Jak se postupuje, pokud by byl mobilní telefon vypnutý?

Answer 30

obecně se nezapíná

Question 31

Co se dělá při zajištění mobilních telefonů/komunikátorů?

Answer 31

1. vyjme se baterie a SIM / u komunikátorů se ale z důvodu hrozící ztráty dat nedoporučuje 2. opsání identifikačních údajů do protokolu (z typového štítku přístroje) 3. přístroj se opět zkompletuje a se zajišťovaným příslušenstvím se vloží do bezpečnostního sáčku -> zapečetí se a zadokumentuje

Question 32

Je vhodné, pokud je to možné, zajistit od uživatele přístupová hesla?

Answer 32

ano

Question 33

Demontují se akumulátory nebo baterie i při zajišťování digitální organizační techniky (notebook, digitální diář apod.)

Answer 33

ne

Question 34

Jaké rozhodnutí je nutné učinit před zajištěním aktivních prvků?

Answer 34

zda se zařízení budou zajišťovat celá nebo jen jejich provozní data a nastavení