20V: Marko Malovrh

  • 28.02.2008

Marko Malovrh je prvi slovenski računalniški forenzik, usposobljen, da v računalnikih odkriva sledi gospodarskega kriminala in zaupna pisma ljubic, ter pravi naslov, če se vam je pokvaril disk in se bojite za usodo dragocenih podatkov. Pravi, da je njegovo delo precej drugačno od tistega, kar nam servirajo teve forenziki iz Miamija, New Yorka in Las Vegasa. To, da dela v Ljubljani, ni edina razlika.

(Foto: Bor Dobrin)

1. Recimo, da si dopisujem z neko žensko, pa nočem, da izve žena. Kako naj za vedno zbrišem dokaze in zakrijem sledi?

To boste težko storili. Težava je, da se sporočila zapisujejo na več mest. Veliko je odvisno od vrste odjemalca pošte. Veliko jih ima v ozadju podatkovne zbirke, pri spletni pošti so datoteke tudi med začasnimi datotekami. Zbrišete lahko vse, na koncu lahko s posebnimi programi prepišete prazen prostor, v katerem so zbrisane datoteke. Če poštni odjemalec uporablja podatkovno zbirko, pa je le-to po brisanju sporočil treba strniti.

2. Kdor počne hujše nečednosti, pa se bo verjetno veliko bolj potrudil, da bo zakril sledi …

Morda ste brali o eni zadnjih kraj denarja prek spletnega bančništva, ko so ukradli 35 tisoč evrov. Ti se niso pretirano trudili. Neko podjetje, najverjetneje fiktivno rusko, je kontaktiralo Slovenca, da poslujejo z določenimi osebami v Sloveniji. Rekli so jima, da jima bodo te osebe nakazale denar, oni pa naj ga prek Western Uniona pošljejo njim.

V bistvu so ukradli denar Slovencem in ga prenakazali na račun drugim Slovencem, onadva pa sta mislila, da sodelujejo, in sta denar poslala v Rusijo. Ali sta bila naivna ali pa sta vedela, v kaj se spuščata. Oni so najprej vdrli v računalnike ljudi in jim pokradli identifikacijske elemente, ključ in geslo, potem pa so iz drugih slovenskih računalnikov nakazovali denar onima dvema. Skratka, sproti so še oprali denar in v bistvu zakrili sled za njim.

3. Po podatkih FBI v kar 85 odstotkih zločinov za njimi ostane digitalni podpis. V tujini tako že nekaj desetletij obstajajo računalniški forenziki. Toda če se vrneva k osnovam: kaj računalniška oziroma digitalna forenzika sploh je?

To je veda, katere namen je zakonit in etičen zaseg, pridobitev, analiza ter zavarovanje podatkov in metapodatkov, pridobljenih iz elektronskih naprav, ki lahko vsebujejo pomembne informacije in imajo dokazno vrednost v upravnih, administrativnih, civilnih ali kazenskih preiskavah.

Če povzamem – če se sumi, da so pomembni dokazi na digitalnem nosilcu podatkov, je treba te dokaze ustrezno zavarovati. To pomeni, da izdelamo identično kopijo nosilca podatkov, nato poiščemo potencialno dokazno gradivo, ki je lahko drobec datoteke, dnevniška datoteka, elektronsko sporočilo, izbrisana datoteka ... Končni rezultat je poročilo, ki opiše potek in rezultate preiskave. Celoten postopek mora ohraniti neokrnjenost izvornega medija, rezultati preiskave pa morajo biti ponovljivi, kar zagotavlja sprejemljivost tako pridobljenih dokazov v morebitnih nadaljnih postopkih.

4. Kako ste se znašli v tem poslu?

Začel sem v različnih računalniških podjetjih, delal celo v proizvod­nji, potem pa sem ugotovil, da je računalniška forenzika tisto, kar bi rad počel. Čisto slučajno sem pred nekaj leti na spletu naletel na informacijo o tem, malce pobrskal in prišel do tega, da je imela Kennesaw State University tečaj za računalniške forenzike.

Prijavil sem se, naredil tečaj in se nato certificiral pri ISFCE (The International Society of Forensic Computer Examiners). Za precej denarja je torej možnost izobraževanja v ZDA, študijski programi obstajajo tudi v Veliki Britaniji. Sam sem se zanimal za študij v ZDA, toda tam so zneski za naše razmere res astronomski. Zdi se mi, da se je znesek gibal med 40 in 60 tisoč dolarji. Samo izobraževanje, torej brez drugih stvari, kot je stanovanje.

5. FBI je ustanovil Regionalni center za računalniško forenziko. Se nam v prihodnosti obetajo tudi slovenski kiberdetektivi?

Slovenska policija ima v Ljubljani oddelek, ki se ukvarja z računalniškim kriminalom, druge slovenske regije pa tega nimajo. Za slovensko policijo ne vem, ali ima kakšne posebne certifikate, ne poznam njihovega internega izobraževanja, saj ne izdajajo takšnih skrivnosti. So zaprta organizacija. Mi s slovensko policijo zaenkrat ne sodelujemo.

Predstavili smo jim naše storitve, programsko in strojno opremo za forenzične preiskave, možnosti izobraževanja … Na odziv še čakamo. Glede na porast kriminala, v katerem je računalnik lahko tarča napada, uporabljen kot sredstvo za izvršitev kaznivega dejanja ali pa vsebina, shranjena na disku računalnika, pomeni kršitev veljavne zakonodaje, menim, da bo do sodelovanja prej ali slej prišlo.

6. Za izvedbo forenzične preiskave morate imeti dovoljenje, ki vam ga da podjetje, v katerem preiskujete, ali policija ...

Tako. V bistvu sodišče ali tisti, ki ima formalno pravico do podat­kov. To je lahko direktor podjetja, nekdo, ki je lastnik podatkov tako ali drugače. Danes je večinoma tako, da se podpisujejo izjave, da je vse, kar je v računalniku, last podjetja, s čimer pade tisto o kršenju zasebnosti. Pri sodišču pa je tako, da povedo, kaj bi radi, kaj iščejo, in to je to. Tam se je treba striktno držati navodil, vse, kar je izven tega, je že napaka, na kateri bi proces lahko padel.

7. Javnost pozna forenzike iz znanih teve serij, v katerih v 50 minutah rešijo cel kup stvari. Kako pa je pri vas?

Običajno je trajanje pogojeno s tem, koliko podatkov je treba preiskati, odvisno je tudi od tega, ali se išče točno določena stvar ali bolj v splošnem smislu. Če dobimo podatek, da moramo poiskati datoteko, ki vsebuje to in to, gre kar hitro. Če pa sumijo, da je bilo narejeno to in to, je treba poiskati indice, ki bi lahko nakazovali, da je bilo kaj takšnega res strojeno. Trajanje preiskave je odvisno tudi od velikosti diska. Recimo konkreten primer: za preiskavo 100-gigabajtnega diska gre lahko ves teden. Ni tako enostavno. Zahteva lahko predvsem veliko časa.

8. Verjetno ne vstopite v prostor tako, da padejo vrata s tečajev? Zagotovo so pomembni klasični elementi forenzike, od ustrezne zaščite kraja zločina do ustrezne hrambe podatkov …

Običajno fotografiram že hišo, fotografiram okolje, kjer so dokazi, slikam še napravo pred razstavit­vijo, ko jo priključim na drugo napravo, ko se naredi slika, ko jo priključim na napravo za zapis, ki preprečuje zapis podatkov na izvorni medij. Potem se izdela kopija, original se zapakira in shrani na mesto, ki je dostopno samo dvema pooblaščenima osebama. Identičnost se z razpršilno funkcijo MD5 ali SHA, to je algoritmom za potrjevanje istovetnosti, potrdi ali ovrže.

Vrednost se mora skladati z vrednostjo originala. Tu je cel kup krajših in daljših postopkov, ki jih je treba izvesti v zaporedju, ta številka pa je dokaz, da je kopija identična originalu. Potem je tu še fizično varovanje. Dostop mora biti omejen, pri prenosu pa je treba zapisati, kam in kdaj je šla stvar. Vedno pa se na podlagi vrednosti ugotovi, ali je stanje identično. Če na primer zaženete svoj računalnik, se takoj spremeni 300, 400 datotek, samo da ga vklopite. Ne da bi karkoli delali, se posodobijo.

Ko kdo pokliče, je treba vedeti, kje so dokazi, kakšne naprave je treba imeti s seboj, kako velike diske, vsaj okvirno je treba narediti plan. Nadaljni postopek je preiskava na sliki medija, ko s programsko opremo iščemo po določenih navodilih. In ko se pride do rezultatov, je treba narediti poročilo, ki mora biti razumljivo tudi povprečnemu uporabniku. Gradivo se še nekaj časa hrani, za sodne zadeve okoli pet let, če gre za interne zadeve, pa je to stvar dogovora.

9. Vas kaj zabava, da se usedete za drug računalnik, zavrtite čas nazaj in gledate, kaj se je dogajalo?

Ja, ampak 'forenzično' pomeni 'sodno sprejemljivo'. To 'forenzično' se je zgubilo zaradi preveč CSI-ja in tega. Če prižgem in pogledam računalnik, če odpiram datoteke, sem izgubil verodostojnost. Pri mojem delu obstajajo tudi različni postopki. Na primer, ali ugasniti računalnik normalno ali tako, da izklopiš elektriko. Z vsakim takim posegom se nekaj spremeni in ni več enako stanju pred tem.

Ko je treba narediti tako preiskavo, je treba vse postopke zabeležiti in tudi utemeljiti, zakaj sem ugasnil računalnik ali ven potegnil baterijo. Če bi ga še pustil prižganega, bi lahko program recimo prepisal in uničil še več podatkov. Treba je vsako dejanje znati upravičiti.

10. S kakšnimi preiskavami se največ ukvarjate? So to industrijska vohunjenja, vas kak zakonec prosi, da preverite partnerjev disk, ker sumi, da ga vara, želijo starši vedeti, kaj počno otroci z računalnikom?

V bistvu se ukvarjamo predvsem z industrijskimi zadevami. Slovenija za zdaj gleda na računalniške forenzike kot na servis, ki obnavlja podatke. Ko oni nekaj zbrišejo, pritečemo tja in restavriramo. To je začetek. Potem imamo največ dela z elektronsko pošto, tu so industrijska vohunjenja, izdajanje skrivnosti o intelektualni lastnini … Primera, da bi mož preiskoval ženin računalnik, pa še nismo imeli. Pri tem je težava, saj bi moral biti računalnik možev, sicer dvomim, da je zakonito. Tu je precej dilem.

11. Mnogim se je že pokvaril disk. Verjetno smo ga vsi vrgli proč, saj si nismo predstavljali, da bi se ga dalo obuditi. Koliko pa stane popravilo?

Kaj pomeni 'pokvarjen' disk? Programske težave ali fizične okvare? Okvara diska pomeni marsikaj. Lahko se zamenja elektronika, do tja gremo mi, za kaj več pa imamo partnerje, ki diske restavrirajo, jih odprejo kot konzerve in prebirajo. Za to je treba imeti čisto sobo in takšne zgodbe hitro nanesejo dva tisoč evrov. Nazadnje smo imeli primer 40-gigabajtnega diska in znesek okoli 1600 evrov.

12. Obujanja podatkov se z raznimi programi – od Active Undelete do Filerecovery Professionala – in s pazljivostjo (uporaba drugih diskov) lahko lotimo tudi sami. Podpirate takšna domača obujanja od mrtvih?

Odvisno. Če gre za disk, ki je tik pred tem, da bo fizično odpovedal, tega ne svetujem. Če ob zagonu disk 'klika' oziroma je ob njegovem delovanju mogoče slišati kakšne druge neobičajne zvoke, priporočam profesionalca. Za kakšne fotografije in kaj takega pa načeloma lahko vsakdo uporabi program, ki mu je na razpolago. Jih je že malo morje. Dokler je disk polno funkcionalen in dokler veste, kaj delate, se lahko tega lotite tudi sami.

13. Kakšen hardver in softver uporabljate? Je na voljo v prosti prodaji?

Ves hardver, ki ga uporabljamo, je na trgu. Da se ga kupiti, je pa dejstvo, da vsaka še tako majhna igračka hitro stane tam 500, 600 evrov. Pri preiskavah je bistveno, da se ohrani original, disk, ki ga uporab­ljamo za shranjevanje slike, mora biti predpripravljen. Uporabljamo tudi naprave za prepisovanje, naprave za kloniranje diskov in izdelavo slike diskov, tu pa je še strežniška oprema. Od programske opreme največ uporabljamo programske pakete podjetja AccessData.

14. IT-strokovnjak lahko hitro razbije geslo, ko z opremo preveri več milijonov gesel in pride do prave kombinacije v kakšni minuti, dveh ...

Vse je odvisno od tipa kodiranja. Najšibkejši člen je uporabnik, ki izbere geslo. Na podlagi tega gesla se izračuna vrednost, ki se jo potem ugotavlja oziroma razbija. Dobro geslo za nekega navadnega uporabnika, ki uporablja spletno bančništvo ali kaj podobnega, je iz 14 znakov. Številke, črke, znaki, skratka kombinacija vsega.

Jaz pred­lagam vsakemu, ki bi imel rad dobro geslo, naj uporablja frazo. Na primer semdobervoznik. Nekaj v tem stilu. Ali pa semštevilka1. Če imate to geslo ali frazo potem shranjeno v datoteki v svojem računalniku, ki pa ni zaščitena z geslom, ali skrito pod tipkovnico ali nalepljeno na monitorju … pa vam še tako dober izbor ne pomaga prav veliko.

15. Če ostaneva pri kodiranju: s kakšnimi načini bi lahko kdo zakril sledi? Z večkratnim prepisovanjem?

Kar se mene tiče, je enkratno ali dvakratno celotno prepisovanje zadostno, da si upam na hitro reči, da če kdo hoče moje podatke s tega dvakrat prepisanega diska, naj jih kar ima.

16. Torej če desetkrat prepišem disk, so podatki zakriti?

Tako nekako, ja. Američani sicer pravijo, da imajo posebne elektronske mikroskope, toda pri tem gre za zelo počasno prebiranje podatkov, ki traja predolgo in je predrago. Poanta ni v tem, da disk prepisujete. Če ne boste sumili, da bo kdo prišel do vas, tega ne boste počeli, saj postopek traja.

Stogigabajtni disk bi prepisovali recimo en dan. Če ne sumite, da bi vas prišli iskat ... Nimate časa, predolgo traja. Kaj dela prepisovanje? V vsak sektor na disku napiše eno vrednost, nič, ena. Lahko se spomnite neko frazo, pa jo bo zapisoval po vsem disku, toda to je počasen postopek, ki traja.

17. Je kdo kdaj tako zelo malomarno zakril podatke, da ste jih takoj našli?

Načeloma tu niti ni nič skrito, največkrat je vse skupaj le pobrisano ali pa so podatki na več mestih. Nekaj jih je v dokumentih, nekaj v pošti, nekaj na spletu.

18. Brezžične povezave so lahko nočna mora. Se lahko kdo zapelje pod moje okno in kljub zaščitam črpa podatke z mojega računalnika?

Danes obstajajo produkti za prestrezanje podatkov, obstajajo tudi programi, s katerimi lahko brez večjega znanja vdrete v drug računalnik in ga nadzirate. Primerno je imeti vsaj osnovno zaščito, neko preventivo, da bi pa imeli kakšne velike varnostne ukrepe ... Kaj vam pa lahko ukradejo? Lahko se vam seveda vse zgodi, lahko pa vas tudi zbije avtomobil na cesti. Zaščita naj bo v sorazmerju z vrednostjo ali zaupnostjo podatkov, ki jih hranite oziroma obdelujete v računalniku.

19. Sklepam, da doma ne nadzirate partnerkinega računalnika?

Nisem in niti nimam želje, da bi. Najbolj sem zadovoljen, če ji računalnik dela, in tisto, kar želi narediti, zna narediti. In to je to.

20. Kdaj lahko popolnoma uničim dokaze? Moram razrezati CD na koščke, moram vreči disk z vrha nebotičnika, mora čez ključ USB zapeljati vlak? Je mogoče iz tako poškodovanih medijev še dobiti kaj podatkov?

Iz poškodovanih medijev se da, iz popolnoma uničenih pa dvomim, da bi še dobili kaj podatkov. Vsaj jaz ne poznam možnosti. Nikoli pa ne reci nikoli!

Tekst: Mitja Reven

Foto: Bor Dobrin

Na spletnih straneh Adria Media Ljubljana uporabljamo piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez njih ne bi mogli nuditi.

Z nadaljnjo uporabo spletnih mest soglašate z uporabo piškotkov.
Če piškotkov ne želite, jih lahko onemogočite v nastavitvah

zapri