Mobil telefonok igazságügyi szakértői vizsgálata Illési Zsolt CIS[AM] informatikai igazságügyi szakértő

Témák  Az igazságügyi szakértés alapelvei  A mobiltelefonok igazságügyi szakértői szemmel  szerkezet  egyedi azonosítók  kinyerhető adatok/ vizsgálati célok  Mobiltelefonok igazságügyi szakértői vizsgálata  megközelítés  eszközök

IT és bűnözés IT rendszer, vagy annak eleme lehet:  célpont  megvalósítási/ elkövetési tárgy/környezet  elkövetést/ megvalósítást megkönnyítő eszköz  elkövetés szimbóluma  elkövetés „tanúja”

Az igazságügyi szakértő feladatai  testis facti (a tény tanúja)  ≠ judex facti (ténybíró)  mikrobizonyítás  azaz szakmai ténymegállapítás, következtetések levonása → tényállási elemek feltárása

Bizonyíték  Általában  olyan adat, amely az ügy szempontjából releváns tényekre vonatkozik  összességükben alkalmasak a tényállás megállapítására, utólagos rekonstrukciójára

Vizsgálati célok Információgyűjtés a(z)  elkövető(k)ről (Ki?)  események valós természetével kapcsolatban (Mit?)  események helyszínével kapcsolatban (Hol?)  események sorrendjével kapcsolatban (Mikor?)  motivációs tényezőkkel kapcsolatban (Miért?)  elkövetés módjáról és a felhasznált eszközökről (Hogyan?)

Locard-féle anyagátadási szabály  Minden érintkezés nyomot hagy  tetthely  elkövető  áldozat  Nyom:  lenyomat  anyagmaradvány  adatmaradvány

Daubert kritériumok A bizonyítás jogszerű, ha  megfelel évi XIX. tv. a büntetőeljárásról szabályainak A bizonyítás szakszerű, ha  gyakorlatban is ellenőrzött (tesztelt) elméletre épül  előzetes bírálat alapján tudományban elismert módon publikált  ismert a hibaaránya  a szakemberek tekintélyes közössége által elismert

JPÉ (logika és a józan paraszti ész) Logikus, ok-okozati érvelés  ~formális~ logika  tévedés, következetlenség, manipuláció hatásainak csökkentése  helyes hangsúly Occam borotvája  valamennyi bizonyíték alapján a legegyszerűbb magyarázat a legvalószínűbb

Mobil telefon általános felépítése Önálló komponensek  mobil készülék  (U)SIM kártya  memória kártya  dokkoló, szerviz- és adatkábel, telefontöltő

IMEI  International Mobile Equipment Identity (nemzetközi mobileszköz azonosító)  előhívása a legtöbb készüléken: *#06# (de minden eszközön – rendszerint az akku’ alatt –nyomtatva is megtalálható)  IMEI struktúrája: AA-BBBBBB-CCCCCC-D, ahol  reporting body / régió kód (pl. 35)  gyártó és márka (pl )  sorozatszám (pl )  ellenőrzőszám (pl. 2) AA–BB –CC D vagy EE Régi IMEITACFAC (opcionális) Luhn ellenőrző összeg Új IMEITAC Régi IMEISVTACFACSzoftver verziószám (SVN) Új IMEISVTAC

IMEI (2)  Az IMEI megfelelő eszközökkel módosítható…  Lekérdezése pl.: /?page=analysis&sub=imeinr

SIM  Subscriber Identity Module (előfizető-azonosító modul)  → ICCID  1-2 szolgáltató (pl. 89)  3-4 országkód (pl. 36)  5-6 hálózat kódja (pl. 30)  7-10 kapcsoló konfigurációs kód (pl. 34)  7-10 gyártás hó, év (pl. 0710)  SIM száma (pl )  utolsó számjegy: ellenőrző kód (pl. 5)

SIM (2)  Lekérdezése pl.: /?page=analysis&sub=simnr  …a SIM klónozható (korlátokkal)

SIM (3)  Saját fájlrendszer  Master File (MF) – „root”  Dedicated File (DF)  Elementary Files (EF)

Informatikai rendszerek vizsgálati rétegei

Fizikai réteg  A csatorna (átviteli és tárolási közeg) fizikai és elektromos specifikációja  elektromágneses spektrum  kódolás  interfész és kábel specifikációk  Azok a módszerek, csatolók, funkciók és eljárások, amelyek lehetővé teszik a hozzáférést az adatokhoz (bit/bájt)

Példa1: fizikai réteg  Adathordozók  telefon (memória)  (U)SIM  memória kártya/chip  Egyedi azonosítók  IMEI (*#06#)  ICC-ID  gyári szám

Példa 2: fizikai réteg csatolók  Memóriakártyák  Csatlakozó kábelek  IrDa  BlueTooth

Médiamenedzsment réteg  Adattároló  az adattároló eszközön az adatok elrendezése (partíciók, fájlrendszerek) és a hozzáférés- védelmi mechanizmusok  Hálózat  a mobil eszköz által küldött/fogadott adatok és üzenetek  ISO/OSI protokoll információk  küldött/fogadott adatok  kapcsolati információk  Call Detail Records (CDR)  Home Location Register (HLR) (elsősorban a mobil szolgáltatók „játéktere”)

Példa3: médiamenedzsment réteg  Mobil telefon  fájlrendszer  Memóriakártya  sérült/ törölt partíciók  fájlrendszer  SIM  hozzáférésvédelmi rendszer  always  card holder verification (PIN1 & PIN2)  administrative  never  fájlrendszer  master file (MF)  dedicated file (DF)  elementary file (EF)

Megjelenítési réteg  A tárolt adatok (adatfájlok) belső szerkezete, kódolása és sajátosságai

Példa4: megjelenítési réteg Média metaadatok  EXIF (jpeg)  IDAT (png)  id3 (mp3)  VorbisComments (ogg)  geotagging  … Eredeti, módosított, hamis?

Példa5: megjelenítési réteg  Adategységek  egyedi fájlok  foglalt/hasznos adat (fájl)  törölt adat  fájl metaadatok (pl. MAC)  adat maradvány (slack space)  Data carving

Alkalmazási réteg  Szokásos mobiltelefon alkalmazások  Egyedi/speciális programok

Példa6: alkalmazási réteg  Általános mobiltelefon funkciók  Alkalmazás, program egyedi sajátosságok  logika  beállítás (*.config, *.ini)  napló  Alkalmazás visszafejtés (reverse engineering)  Nem IT szakértői feladatok  azonosítás (Lagzi Lajcsi?)  minősítés (csalás?)  szakma-specifikus értelmezés (grafológia, pszichológia, orvostudomány stb.)

A vizsgálatok során kinyerhető információk  Telefonszámok  hívott/ fogadott/ nem fogadott  Kontakt adatok  SMS adatok  Naptár adatok  események, találkozók, emlékeztetők, évfordulók, teendők  Adatfájlok  képek (EXIF, GPS)  böngészési előzmények   chat  egyéb dokumentumok

Adatforrás és vizsgálati cél referencia Ki?Mit?Hol?Mikor?Miért?Hogyan? Egyedi azonosítók Híváslisták Telefonkönyv Naptár Üzenetek Helymeghatározás URL/ web tartalom Kép/videó Egyéb fájlok Forrás: Wayne Jansen, Rick Ayers: NIST Guidelines on Cell Phone Forensics, p59.

Főbb problémák  a bűnözők egyre jobban ismerik és hasznosítják az ICT technológiákat  titkosítás egyre elterjedtebb használata  sokszoros áttételek  audit eszközök hibáit kihasználó támadások  számítógép-hálózatok (pl. ’net) nemzetközi jellege

Lehetséges önvédelem: titkosítás - meddig elég?  évi IV. törvény a Büntető Törvénykönyvről  260§ Közérdekű üzem működésének megzavarása  261§ Terrorcselekmény …  (9) E § alkalmazásában a) személy elleni erőszakos, közveszélyt okozó vagy fegyverrel kapcsolatos bűncselekmény…a számítástechnikai rendszer és adatok elleni bűncselekmény (300/C. §)…, b) terrorista csoport: három vagy több személyből álló, hosszabb időre szervezett, összehangoltan működő csoport…