Tóth László

2001. május 6. Vikman László, Budapest

Eheti interjúnk Tóth Lászlóval, a Computer Forensics Hungary Kft. ügyvezetõ igazgatójával készült.

- Kérem beszéljen a cégrõl, mit jelent a computer forensics?

A cég 1992-ben alakult, Computer Forensics Ltd. néven, Angliában. A világon 4 központja van: a legfontosabb Londonban, egy az Egyesült Államokban, New York-ban, egy a Távol-Keleten, Hong Kong-ban, és 1999. májusa óta Budapesten is van képviselet. Az alapítók a brit Scotland Yard Computer Crime Unit szakembereibõl (a világon az elsõ speciálisan számítógépes bûnözéssel foglalkozó állami szerv - szerk.megj.) és egyéb területen tapasztalatot szerzett számítástechnikai szakemberekbõl kerültek ki. A bûnüldözõi gyakorlattal a hátuk mögött, pontosan ismerték milyen eljárásokra lenne szükség, mi felel meg a jogszabályoknak úgy, hogy a bírósági eljárásban is megállja a helyét, ugyanakkor hatékonyan mûködik. A cég technikusai által létrehozott és kifejlesztett DIBS® rendszer kifejezetten a számítógépek háttértárolóinak (winchester) speciális másolását teszi lehetõvé, melynek hardware részét a Sony gyártja a cég részére.

- Mit is takar ez a DIBS® rendszer?

A Computer Forensics Ltd. tervei alapján a Sony cég gyártja azt a speciális optikai író-olvasó egységet (DIBS® drive) mely a bûnügyi nyomozások alkalmával a gyanúsított számítógép merevlemezén található valamennyi adat pontos kimásolására alkalmas. A kópiák nemcsak tartalmilag, hanem formailag is megegyeznek, mintegy tükörképük az eredeti adathordozóknak A DIBS® rendszer a vizsgálandó számítógép merevlemezeirõl oly módon képes hiteles másolatot készíteni, hogy a rajta lévõ operációs rendszert nem indítja el!

- Miért van ennek jelentõsége?

Több okból is. Ez a legsarkalatosabb pontja egy számítógép vizsgálatának. A DIBS® rendszer kifejlesztése elõtt a számítástechnikai szakértõk a világon mindenhol úgy jártak el, hogy a lefoglalt számítógépet bekapcsolták, megnézték milyen adatok, információk találhatók rajta és ennek alapján alakították ki véleményüket.

Közismert, hogy vannak olyan operációs rendszerek - a legnépszerûbb is -, melyek elindítás (boot-olás) után különbözõ rendszervizsgálatot végeznek, aminek kapcsán néhány rendszerfájlba beleírnak, illetve ideiglenes fájlokat hozhatnak létre. Ez minden külsõ beavatkozás nélkül valamennyi indításkor elõfordul, még mielõtt a felhasználó egy billentyût is lenyomott volna. Ettõl a pillanattól kezdve a winchester tartalma már nem egyezik meg a lefoglalás pillanatában fennálló állapottal. Sõt, mivel az indítás elõtt nem ismeretes a winchester tartalma, lehet, hogy a lefoglalt gép tulajdonosának beállításainak megfelelõen az indításkor automatikusan lefutnak vagy elindulnak programok, melyek eredményeként kiszámíthatatlan változások történnek adatállományokban, de sorolhatnám még milyen helyreállíthatatlan események fordulhatnak elõ egy lefoglalt számítógép vagy winchester elindítása után.

Sajnos a bûnelkövetõk kihasználva ezt e lehetõséget számos alkalommal védekeztek eredményesen úgy, hogy kifogásolták a gépükön történt változásokat, miszerint a lefoglalás óta ismeretlen fájlok, adatok találhatók a gépeiken, így a "releváns" adatok is ismeretlen okból kerülhettek a gépére. Mivel a fentiekben ismertetett módon történt a vizsgálat, így egzakt módon nem lehetett bizonyítani sem pro, sem kontra az állításokat, már csak azért sem, mert az eredeti állapotot soha többé nem lehetett visszaállítani. Így a bíróság sok esetben elálltak az ilyen módon megszerzett, sokszor nagyon is értékes bizonyítékoktól.

Tehát, hogy visszatérjek a kérdéshez, a DIBS® rendszernek korszakalkotó jelentõsége abban van, hogy a vizsgálandó számítógép merevlemezeirõl - magneto optikai lemezekre- oly módon képes hiteles másolatot készíteni, hogy a rajta lévõ operációs rendszert nem indítja el. A magneto optikai lemezekrõl pedig egy üres winchesterre az eredeti állapot bármikor visszaállítható. Ezen a munka winchesteren történik a késõbbi elemzés, vizsgálat. Mivel bármikor lehetõségünk van az eredeti állapot elõállítására a fellelt releváns adatok megszerzésére irányuló folyamatot bármikor modellezni tudjuk, akár a bíróság elõtt is, ahol további metodikai elemeket bemutatva kétségtelenné tudjuk tenni a vizsgálat eredményét.

- Akkor ezek szerint további speciális eljárások is kiegészítik a rendszert?

Igen, mégpedig az úgynevezett DIVA eljárás. A fentiekben bemutatott DIBS® kópia elkészülése után két ellenõrzõ floppy-disket is készít a rendszer, melyekre a másolás minden részfolyamatáról checksum-át készít. A két lemez külön-külön egy-egy bûnjeltasakba lezárásra kerül. Ennek tényét a kópia készítésénél jelenlévõ ügyvédek, hatósági tanúk a bûnjeltasakra került aláírásukkal hitelesítik. Az egyik bûnjeltasakot a gyanúsított vagy jogi képviselõje kapja, a másik bírósági letétbe kerül. E két lemez a magneto optikai lemez/ek hitelességét azonosítja. Így, ha késõbb a gyanúsított kifogást emelne a vizsgálati eredmények valódiságát illetõen, ellenõrizhetõ a magneto optikai lemez/ek hitelessége, illetve rajtuk lévõ adatok alapján fellelt releváns információk eredetisége.

- Az adatok megszerzését követõen mi történik?

A módszer igen egyszerû. A három lépésbõl álló folyamat elsõ része a vizsgálandó adatok megszerzése. Fontos, hogy az eljárás során betartsuk a bûnjelkezelés szabályait, és hogy intakt, azaz teljesen érintetlen digitális tárgyi bizonyítékot szerezzünk be, ahogy ezt a fentiekben vázoltam. A második lépés a megszerzett adatok analízise. Ebben a folyamatban a cég által kifejlesztett keresõ és elemzõ szoftverekkel keressük a válaszokat a feltett kérdésekre un. strukturált információ vizsgálattal. Többek közt: - Fájlok és azokkal kapcsolatos valamennyi paraméter felhasználása rendezés, szûrési feladatok elvégzéséhez - Egyszerre több kulcsszó, kifejezés megadása a teljes kereséshez, beleértve a logikailag törölt fájlokban lévõ keresést is. - A keresési folyamatok az alábbi területen zajlanak: - valós file-ok és azok clusterhatárain - törölt file-okban - slack space területeken - orphaned clusterekben - A találati eredmények rendszerezett nyilvántartása a jellemzõ logikai és fizikai paraméterekkel. - Lehetõség van a törölt adatok visszaállítására is vagy azok meglévõ maradványainak elemzésére. - Vizsgálhatók az adatok fizikai elhelyezkedése, clusterekben elfoglalt helyük, az "élõ" fájlok alatt lévõ "slack space"-ek elemzése. - Több száz floppy lemez feldolgozására alkalmas program, nyilvántartással és elemzéshez való elõkészítéssel.

A harmadik fázis pedig a releváns adatok prezentálása a bírósági eljárás folyamán, ahol igyekszünk közérthetõ formában ismertetni azokat a lépéseket, mely eredményeképpen a releváns adatokat megtaláltuk. Megjegyzem, mivel itt a jog és a számítástechnika határterületén járunk, szükséges egyfajta párbeszéd a két szakterület közt. Sokat segít ezen a téren az Ügyészek Országos Egyesülete, hogy minél szélesebb körben és közérthetõ formában megismerkedhessenek a DIBS® rendszerrel, kihasználva annak jogi lehetõségei is.

- Kinek áll rendelkezésére a szolgáltatás? Esetleg el is adják a technológiát?

Szolgáltatásaink mind az üzleti, mind az állami szféra rendelkezésére állnak. Alapvetõ különbség azonban, hogy míg állami szervek esetében számítógépes bûncselekményekrõl van szó, addig az üzleti szférában számítógépes visszaélésekkel kapcsolatban folytatunk nyomozást. A különbségtétel alapja, hogy az elsõ esetben általában büntetõjogi következmények vannak, míg az utóbbi esetben nem feltétlenül. Viszont a rendszert a Computer Forensics Ltd csak kormányhivatalok részére teszi megvásárolhatóvá bárhol a világon. Mûködõ DIBS®-rendszert pedig 26 országban, 300 nyomozóhatóság használ. Magyarországon is mûködik már 4 helyen.

- Hozzáférhetnek ehhez a szolgáltatáshoz esetleg az ügyvédek is a védenceik érdekében, legyenek akár magánszemélyek vagy cégek?

Természetesen. A szolgáltatást igénylõk munkajogi, kártérítési, polgári jogi úton is jogorvoslatot találhatnak. Ma már mindenütt számítógépen vannak az adatok. Egy cég bizalmas adatait emberek kezelik, elõfordulnak érdekellentétek. Információ lopás, visszaélés a cég adataival stb. Bizonyítani ebben az esetben is szükségszerûvé válhat. Az eljárás hasonló a fentiekben bemutatott büntetõ ügyekhez.

- Milyen tapasztalataik vannak, elfogadják a bíróságok az Önök módszerét?

A Computer Forensics Ltd tapasztalatai azt mutatják, hogy sikerült a kitûzött célt elérni, azaz sikerült egy olyan számítástechnikai vizsgálati-rendszert alkotni, amely bármely bíróság elõtt megáll. A világon már több ezer esetben alkalmazták, és minden esetben elfogadták a bizonyítékokat. Magyarországon körülbelül 40 ügy van ügyészi szakaszban, de már volt egy a szempontunkból nézve precedens-értékû ítélet. Egy szentendrei esetrõl van szó,melyben pedofíliával vádoltak egy személyt, és az általunk kifejlesztett DIBS®-rendszer segítségével sikerült ellene bizonyítékokat állítani, melynek eredményeként elítélték.

- Milyen távlatok vannak? Mit várnak a jogszabályi környezet változásától? Lehet-e ez hatással az Önök tevékenységére?

A fejlesztéseinket természetesen folytatjuk, hogy minél gyorsabbá, hatékonyabbá tegyük a rendszert, de az alapkoncepció nem változik, hisz amint az könnyen belátható, a módszer szabályozástól, jogrendszertõl függetlenül megállja a helyét átláthatósága, egyszerûsége miatt.

A közeljövõben várható az ún. nemzetközi Cyber-crime (számítógépes bûnözési) egyezmény megalkotása, illetve aláírása (az elõzetes hírek szerint november környékén, Budapesten), ami az aláíró államok jogrendszerébe sok változást hozhat. Valószínû, hogy több új büntetõjogi tényállás fog születni, hogy a jog hatékonyabban tudja megközelíteni, védeni a területet. Az is szinte biztosnak vehetõ, hogy az aláírók a jelenség globalitása miatt (gondoljunk csak az Internetre) viszonossági egyezményeket kötnek, melyek lehetõvé teszik majd az elkövetõk gyorsabb kiadatását. Mi valószínûleg csak haszonélvezõi lehetünk ennek az egyezménynek, hiszen a tervezett vizsgálati eljárásokkal szemben támasztott követelményeknek teljesen megfelel a rendszerünk.

  • kapcsolódó anyagok
INTERNET
RENDŐRSÉG
BŰNÜLDÖZÉS
SZOFTVER
VÍRUS