Mobil telefonok igazságügyi szakértői vizsgálata Illési Zsolt CIS[AM] informatikai igazságügyi szakértő
Témák Az igazságügyi szakértés alapelvei A mobiltelefonok igazságügyi szakértői szemmel szerkezet egyedi azonosítók kinyerhető adatok/ vizsgálati célok Mobiltelefonok igazságügyi szakértői vizsgálata megközelítés eszközök
IT és bűnözés IT rendszer, vagy annak eleme lehet: célpont megvalósítási/ elkövetési tárgy/környezet elkövetést/ megvalósítást megkönnyítő eszköz elkövetés szimbóluma elkövetés „tanúja”
Az igazságügyi szakértő feladatai testis facti (a tény tanúja) ≠ judex facti (ténybíró) mikrobizonyítás azaz szakmai ténymegállapítás, következtetések levonása → tényállási elemek feltárása
Bizonyíték Általában olyan adat, amely az ügy szempontjából releváns tényekre vonatkozik összességükben alkalmasak a tényállás megállapítására, utólagos rekonstrukciójára
Vizsgálati célok Információgyűjtés a(z) elkövető(k)ről (Ki?) események valós természetével kapcsolatban (Mit?) események helyszínével kapcsolatban (Hol?) események sorrendjével kapcsolatban (Mikor?) motivációs tényezőkkel kapcsolatban (Miért?) elkövetés módjáról és a felhasznált eszközökről (Hogyan?)
Locard-féle anyagátadási szabály Minden érintkezés nyomot hagy tetthely elkövető áldozat Nyom: lenyomat anyagmaradvány adatmaradvány
Daubert kritériumok A bizonyítás jogszerű, ha megfelel évi XIX. tv. a büntetőeljárásról szabályainak A bizonyítás szakszerű, ha gyakorlatban is ellenőrzött (tesztelt) elméletre épül előzetes bírálat alapján tudományban elismert módon publikált ismert a hibaaránya a szakemberek tekintélyes közössége által elismert
JPÉ (logika és a józan paraszti ész) Logikus, ok-okozati érvelés ~formális~ logika tévedés, következetlenség, manipuláció hatásainak csökkentése helyes hangsúly Occam borotvája valamennyi bizonyíték alapján a legegyszerűbb magyarázat a legvalószínűbb
Mobil telefon általános felépítése Önálló komponensek mobil készülék (U)SIM kártya memória kártya dokkoló, szerviz- és adatkábel, telefontöltő
IMEI International Mobile Equipment Identity (nemzetközi mobileszköz azonosító) előhívása a legtöbb készüléken: *#06# (de minden eszközön – rendszerint az akku’ alatt –nyomtatva is megtalálható) IMEI struktúrája: AA-BBBBBB-CCCCCC-D, ahol reporting body / régió kód (pl. 35) gyártó és márka (pl ) sorozatszám (pl ) ellenőrzőszám (pl. 2) AA–BB –CC D vagy EE Régi IMEITACFAC (opcionális) Luhn ellenőrző összeg Új IMEITAC Régi IMEISVTACFACSzoftver verziószám (SVN) Új IMEISVTAC
IMEI (2) Az IMEI megfelelő eszközökkel módosítható… Lekérdezése pl.: /?page=analysis&sub=imeinr
SIM Subscriber Identity Module (előfizető-azonosító modul) → ICCID 1-2 szolgáltató (pl. 89) 3-4 országkód (pl. 36) 5-6 hálózat kódja (pl. 30) 7-10 kapcsoló konfigurációs kód (pl. 34) 7-10 gyártás hó, év (pl. 0710) SIM száma (pl ) utolsó számjegy: ellenőrző kód (pl. 5)
SIM (2) Lekérdezése pl.: /?page=analysis&sub=simnr …a SIM klónozható (korlátokkal)
SIM (3) Saját fájlrendszer Master File (MF) – „root” Dedicated File (DF) Elementary Files (EF)
Informatikai rendszerek vizsgálati rétegei
Fizikai réteg A csatorna (átviteli és tárolási közeg) fizikai és elektromos specifikációja elektromágneses spektrum kódolás interfész és kábel specifikációk Azok a módszerek, csatolók, funkciók és eljárások, amelyek lehetővé teszik a hozzáférést az adatokhoz (bit/bájt)
Példa1: fizikai réteg Adathordozók telefon (memória) (U)SIM memória kártya/chip Egyedi azonosítók IMEI (*#06#) ICC-ID gyári szám
Példa 2: fizikai réteg csatolók Memóriakártyák Csatlakozó kábelek IrDa BlueTooth
Médiamenedzsment réteg Adattároló az adattároló eszközön az adatok elrendezése (partíciók, fájlrendszerek) és a hozzáférés- védelmi mechanizmusok Hálózat a mobil eszköz által küldött/fogadott adatok és üzenetek ISO/OSI protokoll információk küldött/fogadott adatok kapcsolati információk Call Detail Records (CDR) Home Location Register (HLR) (elsősorban a mobil szolgáltatók „játéktere”)
Példa3: médiamenedzsment réteg Mobil telefon fájlrendszer Memóriakártya sérült/ törölt partíciók fájlrendszer SIM hozzáférésvédelmi rendszer always card holder verification (PIN1 & PIN2) administrative never fájlrendszer master file (MF) dedicated file (DF) elementary file (EF)
Megjelenítési réteg A tárolt adatok (adatfájlok) belső szerkezete, kódolása és sajátosságai
Példa4: megjelenítési réteg Média metaadatok EXIF (jpeg) IDAT (png) id3 (mp3) VorbisComments (ogg) geotagging … Eredeti, módosított, hamis?
Példa5: megjelenítési réteg Adategységek egyedi fájlok foglalt/hasznos adat (fájl) törölt adat fájl metaadatok (pl. MAC) adat maradvány (slack space) Data carving
Alkalmazási réteg Szokásos mobiltelefon alkalmazások Egyedi/speciális programok
Példa6: alkalmazási réteg Általános mobiltelefon funkciók Alkalmazás, program egyedi sajátosságok logika beállítás (*.config, *.ini) napló Alkalmazás visszafejtés (reverse engineering) Nem IT szakértői feladatok azonosítás (Lagzi Lajcsi?) minősítés (csalás?) szakma-specifikus értelmezés (grafológia, pszichológia, orvostudomány stb.)
A vizsgálatok során kinyerhető információk Telefonszámok hívott/ fogadott/ nem fogadott Kontakt adatok SMS adatok Naptár adatok események, találkozók, emlékeztetők, évfordulók, teendők Adatfájlok képek (EXIF, GPS) böngészési előzmények chat egyéb dokumentumok
Adatforrás és vizsgálati cél referencia Ki?Mit?Hol?Mikor?Miért?Hogyan? Egyedi azonosítók Híváslisták Telefonkönyv Naptár Üzenetek Helymeghatározás URL/ web tartalom Kép/videó Egyéb fájlok Forrás: Wayne Jansen, Rick Ayers: NIST Guidelines on Cell Phone Forensics, p59.
Főbb problémák a bűnözők egyre jobban ismerik és hasznosítják az ICT technológiákat titkosítás egyre elterjedtebb használata sokszoros áttételek audit eszközök hibáit kihasználó támadások számítógép-hálózatok (pl. ’net) nemzetközi jellege
Lehetséges önvédelem: titkosítás - meddig elég? évi IV. törvény a Büntető Törvénykönyvről 260§ Közérdekű üzem működésének megzavarása 261§ Terrorcselekmény … (9) E § alkalmazásában a) személy elleni erőszakos, közveszélyt okozó vagy fegyverrel kapcsolatos bűncselekmény…a számítástechnikai rendszer és adatok elleni bűncselekmény (300/C. §)…, b) terrorista csoport: három vagy több személyből álló, hosszabb időre szervezett, összehangoltan működő csoport…