Az informatika detektívjei

Szinte minden nap hallani arról, hogy a hatóságok a házkutatások során számítógépeket, adattárolókat foglalnak le, illetve, hogy egyes szervezetek, intézmények különféle incidensek miatt tesznek feljelentéseket. Mégis kevesek fejében fordul meg az a gondolat, hogy ezekben az ügyekben vajon kik és hogyan segítenek a hatóságoknak, milyen elemzéseknek vetik alá a lefoglalt eszközöket, illetve a támadásoknak áldozatul esett rendszereket. Így aztán nem meglepő, hogy a computer forensic, amit az USA-ban és több fejlett országban is a bűnügyi tudományok egy elismert ágaként tartanak számon, hazánkban még nem igazán került be a köztudatba, sőt megkockáztatható, hogy sok esetben még informatikai körökben is csak csekély mértékben vált ismertté. Pedig egy érdekes, rendkívül széleskörű szakismereteket felölelő informatikai területről van szó, amely a számítógépes bűncselekmények burjánzása miatt egyre inkább meghatározója lesz a mindennapjainknak.

A hazai computer forensic, illetve informatikai igazságügyi szakértés helyzetével kapcsolatban megkérdeztünk három igazságügyi szakértőt: Zsíros Pétert, Illési Zsoltot és Kincses Zolit.

Biztonságportál: Milyen kihívásokkal, nehézségekkel kell szembe néznie egy computer forensic szakértőnek Magyarországon?

Zsíros Péter: Általában kétfajta munkára kérnek fel minket: az egyik a házkutatás, a másik a lefoglalt gépek tartalmának elemzése, ahol keresni kell a megadott kulcsszavakat tartalmazó dokumentumokat. A legnagyobb kihívás házkutatásoknál a sebesség, hogy lehetőség szerint ne kelljen az adathordozókat/gépeket elvinni, hanem a rajtuk található adattartalmat ott meglehessen vizsgálni, vagy megfelelően le lehessen másolni. A lefoglalt gép tartalmának elemzésekor inkább szakmai feladat, hogy a feltett kérdésekhez megfelelő, általában valamilyen regular expression alapú lekérdezést összerakjon az ember, ami lehetőleg kevés fals pozitív választ ad, de nem ad fals negatív eredményt sem.

Kincses Zoli: Remélhetőleg nagyobb lesz az együttműködés az új minisztériumi felállás és a szereplők között, mert ez így egyre veszélyesebb ,,mulatság'' az informatikai szakértőknek, de azon túl a társadalomnak is, ahol egyre több a számítógép, a mobil, a GPS, és minden, amiben processzor van. Eközben a képzés és a képzettség egyre több kívánnivalót hagy maga után. Ha egy IP alapján vádolnak valakit pedofil képek birtoklásával, és négy évig törik derékba az életét, akkor mindenki átérezheti, hogy veszélyes fegyver lett az informatika, ahol már nem is az a kérdés, hogy kire mit lehet rábizonyítani, hanem kit, mivel lehet bevádolni informatikai úton.

BP: A munkája során mi volt a legérdekesebb esete?

Illési Zsolt: A legérdekesebb eseteim azok, amelyeknél a számítógép nem az elkövetés célpontja vagy megvalósítási/tárgyi környezete, hanem a számítógép az elkövetés tanúja. Ilyen esetem volt például, amikor egy rendőri bántalmazásról a sértett által elkészített képeket kellett megvizsgálni, egy szexuális bűncselekménnyel kapcsolatos adatokat kellett keresnem a sértet számítógépén, aki az interneten ismerkedett meg egy anonim chat szobában a támadójával.

K.Z.: Mindegyik más és más volt, mert mások a helyzetek és a szereplők, így mindegyik érdekes volt. Ha ki kell emelni egyet, akkor ez az az eset, amikor elindultunk egy céghez néhány eszközt lementeni egy péntek délután, és a helyszínen derült ki, hogy sokkal több eszközről van szó, és sokkal több időről. Ilyenkor jut eszembe egy német szakértő előadása, akinek a teljes felszerelése - amivel a megbízás helyszínére vonul - rack szekrény méretű, és az egyik legfontosabb eleme a kávéfőző.

BP: Mekkora veszélyt rejt a magyar számítógépes bűnözés, és milyen fokú az ilyen bűncselekmények elkövetőinek felkészültsége?

ZS.P.: Általában a számítógépet csak, mint felhasznált eszközt vizsgáljuk, hogy azon a gépen írtak-e egy szerződést, készítettek-e el egy adóbevallást, küldtek-e bizonyos tartalmú levelet róla. Azokban az ügyekben, amikben én részt vettem általában nem informatikusok voltak a gyanúsítottak, így a felkészültség informatikai szempontból nem volt jelentős, gyakorlatilag az átlag otthoni/céges felhasználó szintjén mozgott.

I.Zs.: Nem ismerek olyan statisztikát, ami kimondottan a számítógépes bűncselekményekkel foglalkozik. Sőt, mivel sok bűncselekmény elkövetése során a számítógép a megvalósítás tárgyi környezete vagy segédeszköze, ilyen ügyből van a legtöbb. A sokmilliárdos ÁFA csalók számítógéppel intézik a levelezésüket, a pénzhamisítók szkennerrel és nyomtatóval dolgoznak, az orgazdák precíz nyilvántartásokat vezetnek a számítógépeiken, a rágalmazók internetes fórumokon hirdetik az "igét"; és végső soron mindenki használ mobiltelefont… Az ilyen esetekben a bűnözők felkészültsége változó, de a nyomokkal kapcsolatos tudatosság szintje alacsony. (A CSI csak az ujjlenyomatok, a DNS és egyéb anyagmaradványok "kezelésére tanítja az embereket", de csak mitizálja az informatikai rendszereket, mint adatforrásokat.)

A szerzői joggal kapcsolatos számítógépes ügyekről elmondható, hogy a társadalom jelentős részét pönalizálja a vonatkozó jog. A tinédzserek zöme illegális játékokat, zenét, filmeket stb. tölt le, és oszt meg egymással. Ha lehet, akkor megtörik a mobiltelefonokat, játékgépeket, hogy javuljon az eszközök ár/teljesítmény aránya és nőjön a játékélmény.

K.Z.: Még csak kevés átjárást látok a tehetséges fiatalok és a dörzsölt bűnözők körei között, ami azt is jelentheti, hogy „jól csinálják” azok, akik nem buknak le, vagy akikről nem értesülünk. Ott van például az éves jelentés a bankkártya-csalások mértékéről, de szűk körben terjedő információk alapján sejthető, hogy nagyobb a tényleges összeg. Amennyiben a meglátásom helyes, akkor viszont vigyázni kellene, hogy ez a „híd” ne szélesedjen, és a fiatal tehetségeket idejében tartsuk meg a jó oldalon. Hosszútávon ez nemzetbiztonsági érdek is.

BP: A magyar jogszabályok mennyire képesek lépést tartani az informatika, illetve a computer forensic fejlődésével? Milyen változtatásokat látna szívesen a jogi szabályozás terén?

ZS.P.: A jogi szabályozás erősen lemaradt az informatika területén, és eléggé úgy viselkedik, hogy a meglévő papíralapú dokumentumokra  tervezett előírásokat próbálja átültetni elektronikus formába is, ami  nehezen használható. Nincs egységes szabályozás arra vonatkozóan, hogy hogyan kell a szakértői munkát elvégezni, ezért mindenki a saját belátása alapján dolgozik. Pl.: hogyan kellene másolatot készíteni a lefoglalt adathordozókról, milyen ellenőrző összegek kellenek bele, stb. Nem kellene nyilván részletes előírás, mert változik idővel, hogy mi az elfogadható algoritmus. A kérdéshez kapcsolódik, hogy a névjegyzékben eléggé nagyvonalúan lehet csak megadni, hogy milyen területekkel foglalkozik valaki. Talán szerencsés lenne, ha az egyes szakértők jobban testreszabhatnák, hogy milyen szoftverekkel, operációs rendszerekkel stb. foglalkoznak.

I.Zs.: A jog egy követő tudomány. Mint olyan meglehetősen jól ellátná a feladatát. A jelenlegi tényállások kissebb-nagyobb hibák mellett szerintem megfelelőek. Azért érdemes lenne átgondolni, hogy tényleg majd minden számítógép tulajdonost/használót érdemes-e a szerzői jogi érdeklobbi miatt bűnelkövetővé tenni. Itt szerintem elválik a vélt és valós társadalomra veszélyesség.

A probléma inkább a jogalkalmazók felkészültségében és a szakértői munka hivatásszerű végzésének feltételrendszertelenségében van. További gond, hogy az igazságügyi szakértők minden adatát kiadják a terheltnek a vizsgálat megkezdésekor (a kirendelő határozatban vagy végzésben), ami maffiajellegű (bűnszervezetben elkövetett) bűncselekmények esetén karcos is lehet. Az egyik kolléga például két hétig élvezte a kommandósok vendégszeretetét, mivel a kirendelő szerv megfeledkezett arról, hogy egy szakértőt rendelt ki és nem szakértői intézetet.

A kiemelt ügyekben a Nemzeti Nyomozó Iroda  Csúcstechnológiai Bűnözés Elleni Osztálya vizsgálódik, de ők nem szakértők. Ők értenek az informatikához, csak nem felelnek meg az informatikai igazságügyi szakértőkkel szemben támasztott szakmai követelményeknek, és nem tagjai az igazságügyi szakértői kamarának. Hasonló a helyzet a szakszolgálatok (értsd. titkosszolgálatok) munkatársaival kapcsolatban is.

A szakértők jogos juttatásait jogszerűtlenül, késedelmesen fizetik ki a kirendelő hatóságok. A jelenlegi díjtábla 5 éves, nem teszi lehetővé korszerű eszközök beszerzését. Nincsenek hazai és EU-s források, pályázatok, amik a naprakész technológiák beszerzését lehetővé tennék a szakértőknek.  Az oktatással kapcsolatban is komoly hiányok vannak: nincs szakértői képzés (se továbbképzés), csak egy mentori rendszer, ami az újonnan belépőket támogatja. Ez nagyon változatos szintű és színvonalú szakvélemények készítéséhez vezet.

K.Z.: Szeretnék látni egy felmérést, hogy mennyi informatikai ügy van évente az eljáró szerveknél, és mennyi pénzt kellene évente kifizetni, mennyi a ki nem fizetett összeg, stb. Ezek alapján lehetne egy megfelelőbb éves költségvetést tervezni. Adatok nélkül az egyik fél csak azt látja, hogy nem fizetik ki, a másik meg azt, hogy nincs elég pénze az ügyekre. Vannak dolgok, amiken fejben kellene változtatni: ha egy fiatal rendőrökből álló, informatikailag képzett csapat kiszámolja, hogy tanfolyammal együtt profi eszközök beszerzésével maguk is el tudnak látni feladatokat, és már az első évben megtérülne a befektetés, akkor arra ne mondhassa a felettes, hogy nem. Elképesztően egyszerű esetekben duzzad fel a költség a megfelelő szinten a megfelelő tudás hiánya miatt. Az időigényről nem is beszélve, hiszen mennyivel több idő szakértőt kirendelni egy gépnév IP címének megállapítására...?

BP: Melyek azok a legfontosabb tanácsok, amelyek révén nagyobb valószínűséggel előzhetők meg a leggyakoribb számítógépes bűncselekmények, és melyek azok az intézkedések, amelyek segíthetnek egy-egy bűncselekmény felgöngyölítésében?

ZS.P.: Elsősorban saját magunk megfelelő védelme. Itt legfontosabb a rendszeresen frissített víruskereső, operációs rendszer. Ne használjuk a gépet rendszergazdai joggal, csak telepítés vagy egyéb ezt igénylő művelethez! Használjunk valamilyen routert akkor is, ha csak egy gépünk van: pár ezer forint és kívülről máris sokkal kevésbé vagyunk elérhetőek. Az internetet használó alkalmazásokat például böngésző, MSN, stb., sandboxban futtassunk.  Ne nyissunk meg semmilyen e-mail mellékletet, amit nem kifejezetten mi kértünk. Fontos valamilyen tűzfal használata a számítógépen. A felderítéshez hasznos a naplózás, lehetőleg külön gépen tárolva, csak egyszer írható módon és időbélyeggel ellátva. Bár ez gyakorlatilag csak céges környezetben oldható meg, magán emberektől nyilván nem elvárható.

I.Zs.: A szabályok egy kicsit mások polgári és büntető ügyekben. Büntető ügyben minden kétséget kizáróan valakivel (egy vagy több természetes személlyel) szemben kell megállnia a bűnösségnek. Fontos a naplózó rendszer üzemszerű működésének fenntartása, mert egy bizonytalan, esetenként nem működő, hibákkal és ellentmondásokkal teli napló a terhelt felmentéséhez is vezethet.  A személyhez kötést csak komoly naplózással és biztonsági rezsim intézkedésekkel (jelszó és jogosultsági rendszer, fejlesztési, használati, üzemeltetési valamint változáskezelési szabályok betartása stb.) lehet megoldani. Fontos feladat az adatok szakszerű rögzítése és mihamarabb igazságügyi szakértő bevonása az elemzésbe, értékelésbe.

Magán vádas ügyekben szükséges, hogy az ügyvéd mellett informatika szakértő is bevonásra kerüljön a nyomozás korai szakaszában, ne legyenek elhanyagolva/elnagyolva a halaszthatatlan nyomozási cselekmények, és végül ne kinyomtatott weblapokat kelljen nyomként/bizonyítékként értékelnie a kirendelt szakértőnek.

Polgári perekre a büntetőeljárással kapcsolatosak az irányadók (naplózás, igazságügyi szakértők korai bevonása stb.) Ilyenkor nagyobb az esélye a kártérítésnek még akkor is, ha nem egyértelmű, hogy személy szerint ki a "gonoszkóp", de megállapítható, hogy kinek állt érdekében az elkövetés, kinek származott jogtalan haszna az esetből; továbbá, hogy ha van elegendő olyan valószínűsítő elem az alperes, a sértett/károsult és az ügy között, ami elég a károsult számára kedvező ítélet meghozatalához. (Pl. elegendő kimutatni, hogy bizonyos adatrészletek (üzleti titkok, levelezés, szerződés stb.) mindkét félnél megtalálhatók, de nem kell megmondani, hogy azt ki adta oda a versenytársnak.)

K.Z.: A legjobb befektetés a tanulás, hiszen, ha motorra akarok ülni, akkor vizsgáznom kell, ha buszt akarok vezetni, akkor PÁV–os szintet kell elérni stb. Tessék elfogadni, hogy az internet egy veszélyes üzem (kapcsoljuk le, mérjük az időt, hogy mikor ér minket fizikai kár társadalmi szinten). Ennek használatához kellenek ismeretek, és ha nem is reális elképzelés a vizsga, legalább önképzés legyen. Nagyon rossz érzés egy informatikai szakértőnek olyan szakvéleményt adni, melyben a puszta képzetlenség miatt egy hétköznapi családot ért milliós kárra utólag már nincs orvosság, csak megelőző intézkedések a következő csalás kivédésére.

A Computerworld 31-32. számában kiemelten foglalkozunk a computer forensic területével.