Posudek PC, 7.9.2010, c. l. 683-694

Transkript

Ing. Jiří Berger, soudní znalec v oboru kybernetika, odvětví výpočetní technika
Ing. Jiří Berger
Číslo dle znaleckého deníku: 289/71/2010
Číslo spisu: KRPM–14652/TČ–2009–140070
Znalci doručeno dne 28. července 2010
V Praze dne 7. září 2010
Výtisk číslo:
1/2
Počet listů:
12
Přílohy:
1× CD–R
Policie ČR
Krajské ředitelství policie Olomouckého kraje
Služba kriminální policie a vyšetřování
Odbor obecné kriminality
751 52 Přerov, U Výstaviště 18
ZNALECKÝ POSUDEK
z oboru kybernetika
odvětví výpočetní technika
Já, níže podepsaný Ing. Jiří Berger, bytem Hálkova 181, Veltrusy, 277 46, okres Mělník, jako znalec
specializovaný na znaleckou činnost v oboru Kybernetika – výpočetní technika, specializace Výpočetní
a komunikační technika, bezpečnost informačních systémů, vydávám
znalecký posudek
na základě požadavku Policie České republiky: opatření ve smyslu ustanovení § 105 odst. 1 trestního
řádu ve věci trestného činu vraždy dle ust. § 219 odst. 1 a § 219 odst. 2 písm. a) trestního zákona,
spáchaného ve spolupachatelství dle ust. § 9 odst. 2 trestního zákona, kterého se měli dopustit obviněný
Pavel Nárožný, nar. 5.6.1975 a obviněná Hana Nárožná, nar. 15.3.1946 tím, že v době od 14.30 dne
7.11.2009 do 21.30 dne 8.11.2009 v Přerově, v rodinném domě U Žebračky 108/22, fyzicky napadli
v úmyslu usmrtit obyvatele tohoto domu.
1
1.1
Úvod
Popis skutku (události)
Shora uvedený útvar Policie ČR vede trestní řízení ve věci trestného činu vraždy dle ust. § 219 odst. 1
a § 219 odst. 2 písm. a) trestního zákona, spáchaného ve spolupachatelství dle ust. § 9 odst. 2 trestního zákona, kterého se měli dopustit obviněný Pavel Nárožný a obviněná Hana Nárožná. Výpočetní
techniku, která může mít souvislost s šetřenou věcí, jsem přijal ke znaleckému zkoumání.
1.2
Věci, stopy a vzorky předložené ke zkoumání
1. Osobní počítač v bílé mini tower skříni bez označení, na čele s označením „Zalmanÿ. Předán
v zapečetěné papírové krabici.
KRPM–14652/TČ–2009–140070
1
2. Bezdrátový router Netgear WGR614, v.č. WR62135SA070217. Předán v zapečetěné papírové
obálce.
3. CD–R médium označené „KTV Přerov 77.242.86.166-11mesic.txtÿ, které obsahuje přehled komunikace IP adresy 77.242.86.166 za předmětné období získaný z KTV Přerov.
4. CD–R médium označené „KTV Přerov Nárožný internet provozÿ, které obsahuje tentýž přehled
komunikace rozdělený do více souborů.
Z předmětů předložených ke zkoumání byla provedena fotodokumentace, která je uvedena v příloze
znaleckého posudku.
1.3
Otázky, které mají být zodpovězeny
Proveďte zkoumání počítačové jednotky označené „Zalmanÿ, zajištěné při domovní prohlídce:
1. Uveďte základní popis a určete hardwarovou konfiguraci počítačové jednotky zajištěné při domovní prohlídce.
2. Uveďte, zda se liší systémový čas od času skutečného.
3. Zadokumentujte jednotlivé uživatelské účty, které byly na počítači vytvořeny.
4. Proveďte výpis veškerého aplikačního programového vybavení z pevných disků zkoumaného počítače.
5. Zjistěte, zda byla počítačová jednotka připojena k síti Internet, pokud ano, jakým způsobem.
6. Uveďte IP adresu, přes kterou byl počítač připojen sítě Internet.
7. Zjistěte, zda byl počítač nakonfigurován pro vzdálené připojení (ovládání z jiného počítače),
resp. vyjádřete se, jaký operační systém používá předložené PC obviněného a zda tento operační
systém umožňuje vzdálenou správu a pokud tomu tak je, uveďte, zda byla na předloženém
počítači vykonávána dálková správa.
8. Zjistěte, jaké programy pro prohlížení internetových stránek jsou v počítači nainstalovány, zadokumentujte oblíbené položky.
9. Zadokumentujte historii navštívených stránek.
10. Zjistěte, zda se v počítači nachází nějaký klient pro práci s elektronickou poštou, pokud ano,
uveďte jaký a zadokumentujte jeho nastavení, včetně všech e–mailů, které se v počítači nachází.
11. V případě, že se v počítači nenachází žádný klient pro práci s elektronickou poštou, zjistěte, na
jaké účty bylo z počítače přistupováno.
12. Zjistěte, zda se v počítači nachází nějaké další komunikační programy, pokud ano, jaké, zadokumentujte jejich nastavení včetně uložené komunikace.
13. Ve vztahu k výše uvedeným otázkám se pokuste rovněž obnovit smazané soubory na discích
počítače.
14. Uveďte případné další skutečnosti zjištěné zkoumáním zajištěné počítačové jednotky.
KRPM–14652/TČ–2009–140070
2
Proveďte zkoumání vydaného routeru zn. Netgear WGR614, v.č. WR62135SA070217:
15. Zjistěte, kterak je router nakonfigurován.
16. Zajistěte výpis logovacích souborů uložených v routeru.
17. Uveďte případné další skutečnosti zjištěné zkoumáním routeru.
Z datové komunikace na CD nosiči předloženém společností Kabelová televize Přerov, a.s. proveďte
zkoumání komunikace v časovém úseku od 18.15 dne 7.11.2009 do 03.45 dne 8.11.2009 a dále v časovém
úseku od 22.00 dne 9.11.2009 do 00.36 dne 10.11.2009.
18. Určete, o jaký druh komunikace se jednalo (webový prohlížeč, aktualizace SW, komunikační
klient atd.).
19. Uveďte případně další skutečnosti.
Otázky zadané doplněním opatření ze dne 24.8.2010:
20. Zjistěte, zda byl předložený počítač (ozn. ZALMAN) spuštěn v době mezi 9.11.2009 a dnem,
kdy bylo započato znalecké zkoumání počítače.
21. Byl-li počítač zapnut mezi 9.11.2009 a Vaším znaleckým zkoumáním, zjistěte, jaké soubory byly
smazány či změněny v této době na obou discích.
22. Zjistěte z historie Firefoxu, jaké nicky byly používány na xchat.cz.
23. Zjistěte z historie Firefoxu s jakými nicky a kdy byla na xchat.cz zahájena komunikace v rozhodné době, tj. od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009.
24. Uveďte veškeré přijaté a odeslané zprávy z ICQ klonu Miranda v době od 18.15 dne 7.11.2009
do 03.40 dne 8.11.2009.
25. Uveďte, zda předložený router Netgear WGR614 ukládá přehledné logy a zda tyto byly smazány
vypnutím routeru od elektřiny nebo zdali vypnutí elektřiny je nesmaže.
26. Uveďte další skutečnosti, které mohou mít význam pro trestní řízení.
2
2.1
Nález
Použité metody a prostředky
• laboratorní počítač typu PC
• operační systém GNU/Linux, live distribuce System Rescue CD verze 1.2.3
• program GNU ddrescue verze 1.11
• program Foremost verze 1.5.6
• nástroj The Sleuth Kit verze 3.0.1
KRPM–14652/TČ–2009–140070
3
2.2
Zajištění dat
Z předloženého osobního počítače byl vyjmut pevný disk byl připojen k laboratornímu počítači s operačním systémem GNU/Linux. Poté byl vytvořen identický obraz tohoto disku a uložen na pevný disk
laboratorního počítače. Na takto vytvořeném obrazu bylo prováděno další zkoumání.
Předložený router byl připojen k napájení do izolované počítačové sítě spolu s laboratorním počítačem. Z laboratorního počítače byl spuštěn webový prohlížeč, prostřednictvím kterého bylo za použití
standardního přihlašovacího jména a hesla zjištěno nastavení routeru.
2.3
2.3.1
Analýza vzorků
Osobní počítač
Předložený vzorek je osobní počítač v bílé mini tower skříni bez označení, se základní deskou Acorp
7KT266AL, procesorem AMD Athlon XP 2200+ 1,8 GHz a 1 GB RAM. V počítači je osazena přídavná
grafická karta nVidia GeForce FX 5600XT a síťová karta Realtek 8139. Je instalován jeden pevný disk
Seagate, model ST3200822A, o kapacitě 200 GB. Dále je instalována DVD-RW mechanika NEC, šuplík
pro pevný disk ATA, 3,5” disketová mechanika a čtečka paměťových karet. Žádné vyjímatelné médium
není vloženo.
Nastavení. Pevný disk počítače je rozdělen na dva oddíly. Na prvním, o velikosti 2 GB, je nainstalován operační systém Microsoft Windows 2000 Professional a je zde část uživatelských dat. Druhý,
o velikosti 198 GB, obsahuje uživatelská data. Počítač používal pouze uživatel „Administratorÿ, který
se naposledy přihlásil dne 26.11.2009. Nastavený systémové datum a čas odpovídají místnímu času,
operační systém má nastaveno časové pásmo pro střední Evropu.
Počítač byl připojen do domácí počítačové sítě, kde měl přidělenu IP adresu 192.168.0.2, pro připojení
k síti Internet pravděpodobně využíval předložený router (IP adresa 192.168.0.1). Více o připojení je
uvedeno v kapitole 2.3.2.
Uživatel pravděpodobně vlastní více počítačů, jak bylo zjištěno z nalezeného odkazu na http://
trodas.wz.cz/c.htm (viz soubor pc/pocitace.html v příloze znaleckého posudku), dle kterého je
možné, že zkoumaný počítač není jediným počítačem v domácnosti. Možná také nejde o hlavní počítač,
čemuž nasvědčuje vedle uvedeného seznamu (kde je tento podle konfigurace nazván „PC duronÿ)
i popis „77.242.86.166 – trodas u matiÿ, nalezený v nastavení software pro webová diskuzní fóra,
a také nalezený odkaz http://192.168.0.6/trodas/ib/index.php?act=ST&f=5&t=53, který zřejmě
směřuje na jiný počítač v domácí síti (v dokumentu D:/Install/netgear.cfg.txt nazvaný „serverÿ).
Software.
Následující seznam uvádí veškerý nalezený software instalovaný na předloženém počítači.
ACDsee
AC3 ACM Codec
AC3 Filter
Adobe Illustrator
Adobe Photoshop 6.0
Alcohol 120
Audacity
AudioGrabber
AVI Mux
BS Player
KRPM–14652/TČ–2009–140070
BulletProof FTP Server
Call of Duty
CCleaner
CD Bremse
CD Speed
CPU Burn
CPU Burn-in
CPUHeat
CPU Mark
CPU Z
Crimson Editor
Daemon Tools
DISCInfo
Diskeeper Professional Edition
DriveImage
DriveSpeed
Duke Nukem 3D
DVDdecrypter
DVDInfo Pro
DVD Subber
4
EasyRecovery
Easy Video Joiner 5.21
eMule 0.49.2
FinalReality
FlashFXP
Font Creator
FreeRapid
Google Earth Pro
GSpot
HDTach
HDTune
HDTV to MPEG2
HFSLIP
HijackThis
Chaos Pro
IsoBuster
Java 6
jDoom
JPGAvi
Lame
Lavalys Everest Ultimate
LightWave
Macromedia Dreamweaver
Malwarebytes
Microsoft Windows 2000 Pro
Miranda 0.8.0
Modbin
Mozilla Firefox 3.0.14
MP3 Direct Cut
MP3 Gain
Need for Speed 5
Nero Burning ROM
NoClone
Opera 9.02
Paint Shop Pro
Prime 95
PureVideo
QuickTime Alternative
QTracker
QuarkXPress
RealAlternative
RegSeeker 1.52
RepairVideo
ResHacker
ReStream 0.9.0
RightMark Audio
RightMark 3D Sound
Rootki Hook Analyzer
Rootkit Revealer
Routi 0.03
RunScanner
ScreenGrab
Skype 3.8
SmartRipper
Soldier of Fortune 2
SpeedFan
SubRip
SubtitleWorkshop
SWiSH Max2
TestDisk
TexBmp
The Bat! 3.60.07
TMPGenc
Tor 0.2.0.34
TouchStone Software Undelete Plus
UFO: X-COM
Undelete Plus 2.94
uTorrent 1.6.1
Video Fixer
VID Thumbnailer
Virtual Dub
Virtual Dub Mod
VisualRoute
VLC Player
WinAMP
WinCMD
InterVideo WinDVD Platinum 5
WinGED 2000
WinISO
WMV Join
Xara Studio
XL View
XVI32
7Zip
Webové stránky. Hlavním webovým prohlížečem uživatele byl Mozilla Firefox, méně pak Microsoft
Internet Explorer a Opera. Historie navštívených stránek ze všech těchto prohlížečů zahrnuje období
od 29.10. do 26.11.2009, záznamy jiných období nebyly nalezeny.
Uložené webové stránky, které si prohlížeč průběžně ukládá (tzv. cache), byly při posledním přihlášení
uživatele dne 26.11.2009 odstraněny a jejich původní obsah před tímto datem se nepodařilo obnovit.
Pro přístup k elektronické poště používal uživatel aplikaci The Bat!, kde bylo nalezeno nastavení
pro účty [email protected], [email protected], [email protected] a [email protected]. Zde byla
nalezena pouze jediná zpráva (viz pc/e-mail.eml v příloze znaleckého posudku). Uživatel dále přistupoval prostřednictvím webového rozhraní ke schránkám [email protected], [email protected] a
[email protected]. Zprávy z těchto schránek nebyly nalezeny.
V nastavení komunikace v síti AIM měl vyplněnu adresu [email protected] a v síti MSN adresu
trodas [email protected], dle nalezených informací však tyto schránky nevyužíval.
Komunikace. Uživatel komunikoval v síti Skype (účet „trodasÿ) a prostřednitcvím aplikace Miranda v síti ICQ (účet 144990310 „trodasÿ), zajištěná historie komunikace byla převedena do formátu
HTML a je uvedena v příloze znaleckého posudku. Dále v této aplikaci komunikoval v sítích AIM
(účet „angrytrodasÿ) a MSN (účet „trodasÿ, byly zajištěny jen kontakty). Uživatel také komunikoval
v síti IRC prostřednictvím aplikace mIRC, kde pravděpodobně vystupoval pod přezdívkou „trodasÿ
nebo „trodas41ÿ, nebyly však nalezeny žádné záznamy komunikace.
Vedle toho také uživatel aktivně vystupoval na fóru xchat.centrum.cz. Nebyly zjištěny přezdívky, pod
KRPM–14652/TČ–2009–140070
5
kterými zde uživatel vystupoval, od 18.15 dne 7.11. byl dle zajištěné historie navštívených webových
stránek pouze v místnosti č. 5136824, nazvané „Submise a dominanceÿ. Zde vedl hovor s několika
uživateli:
datum a čas
7.11. 18:24:38
7.11. 18:45:33
7.11. 19:15:24
7.11. 19:59:24
7.11. 20:42:50
7.11. 21:15:52
7.11. 21:50:32
7.11. 22:11:21
7.11. 23:02:20
8.11. 01:19:07
přezdívka
tva komteska
dyduskaa
lucinka666
martina1710
lu na
zuja
lucygirl
chytra jak radio
maariquita
72radka72
datum a čas
7.11. 18:33:51
7.11. 18:57:18
7.11. 19:34:19
7.11. 20:35:48
7.11. 20:43:16
7.11. 21:20:56
7.11. 22:02:19
7.11. 22:32:24
7.11. 23:55:44
8.11. 03:07:45
přezdívka
beatk4
terezka-a
fergie.ska
yvik35
neposednazrzecka
theodor.a.adorno
male.zvire
renina
apocalypta
macinka86
Aktivita v zájmovém období. Po zájmovém datu 9.11.2009 byl, na základě analýzy systémového
záznamu, počítač spouštěn ve dnech 10.11., 13.11., 25.11. a 26.11.2009. Pokud došlo k posunutí systémového času zpět do minulosti, není možné tuto skutečnost jednoznačně prokázat a uvedené údaje
mohou být zkreslené. Vzhledem k nalezeným informacím je však posunutí času nepravděpodobné.
Analýzou souborového systému byly v tomto období zjištěny následující změny souborů. Nebyly zjištěny žádné významné změny ani mazání důležitých dat.
datum a čas
10.11.
13.11.
25.11.
26.11.
aktivita
návštěva osobního seznamu odkazů (C:/Temp/)
instalace software Undelete Plus pro obnovu smazaných souborů
smazání návrhu blíže neurčených webových stránek (obrázky a stránky v PHP)
prohlížení webu (Mozilla Firefox)
spuštění aplikace QuickTime pro prohlížení video souborů
spuštění aplikace eMule pro sdílení souborů v síti Internet
spuštění aplikace eMule pro sdílení souborů v síti Internet
spuštění aplikace Google Earth
V záznamu webového prohlížeče jsou z těchto dnů následující informace. Ty lze vzhledem k aktivitě
uživatele v jiných dnech hodnotit jako nestandardní.
datum a čas
13.11. 08:28
13.11. 09:03
13.11. 09:34
25.11. 12:51
26.11. 09:36
26.11. 09:46
26.11. 09:56
26.11. 10:22
aktivita
přístup k aplikaci Google Earth
prohlédnutí seznamu počítačů (viz pc/pocitace.html v příloze)
hledání „Přerov, Malá tratidlaÿ na www.mapy.cz
prohlédnutí seznamu počítačů z externího média (H:/zaloha/Documents/trodas/)
návštěva osobního seznamu odkazů D:/Documents/HomePage/
hledání „Sadové náměstí 19, Olomoucÿ na amapy.centrum.cz a amapy.atlas.cz
prohlédnutí dvou fotografií na fotoalba.centrum.cz
návštěva osobního seznamu odkazů
Další zjištění. Velké množství uživatelských dat tvoří pornografické materiály s BDSM tématikou,
z nalezené elektronické komunikace pak vyplývá, že se uživatel o toto téma aktivně zajímal. Část
těchto dat je uvedena v příloze znaleckého posudku.
KRPM–14652/TČ–2009–140070
6
2.3.2
Router
Po spuštění routeru byla z jeho webového rozhraní (přístupného na základě hesla poskytnutého obviněným) zjištěna veškerá dostupná nastavení, viz obrázky jednotlivých obrazovek v adresáři router
v příloze znaleckého posudku.
Zde bylo zjištěno, že router používá pro vnější rozhraní privátní IP adresu 10.0.3.138 a vnější veřejnou
IP adresu tedy spojení přiděluje až poskytovatel připojení k síti Internet.
Nastavení routeru je standardní, TCP a UDP porty 65335–65534 jsou propouštěny do vnitřní sítě na
IP adresu 192.168.0.2, která odpovídá výše zkoumanému osobnímu počítači. Využití těchto portů je
diskutováno dále v kapitole 2.3.3.
Bezdrátové rozhraní routeru je vypnuto, přistupovat k routeru tedy mohou pouze počítače připojené
prostřednictvím pevné počítačové sítě.
Veškeré záznamy routeru jsou při jeho vypnutí vymazány, protože jsou ukládány do takového typu
paměti, který vyžaduje trvalé napájení. Informace z doby zajištění routeru tedy nejsou k dispozici.
Vytvářené záznamy navíc obvykle neobsahují kompletní výpis spojení, aby nedošlo k přeplnění paměti,
ale pouze zachycují výjimečné stavy.
Z mnoha indicií nalezených na zkoumaném osobním počítači vyplývá, že veřejnou IP adresou uživatele
je pravděpodobně 77.242.86.166, která patří společnosti Kabelová televize Přerov, a.s.
2.3.3
Internetový provoz
Předložený výpis síťového provozu IP adresy 77.242.86.166 zahrnuje obě zájmová období, tedy 7.11.2009
18.15 až 8.11.2009 03.45 a 9.11.2009 22.00 až 10.11.2009 00.36. Některý z počítačů v této domácnosti,
nebo alespoň router, byl v této době zapnutý. Dle nalezených informací byl pravděpodobně zapnutý
právě zkoumaný osobní počítač.
Velké množství spojení probíhá na UDP portu 65534 a TCP portu 65533. Na těchto portech byl
spuštěn software eMule, který slouží pro výměnu souborů mezi uživateli Internetu v sítích eDonkey a
Kad. Na UDP portu 65510 byl dále spuštěn software uTorrent pro sdílení dat v síti BitTorrent. Obě
tyto služby byly spuštěny v obou zájmových obdobích, mohou však být spuštěny a pracují aniž by
musel být uživatel u počítače fyzicky přítomen.
Další okruh spojení jsou přístupy k webovým stránkám na TCP portech 80 a 443. Zde uživatel přistupoval k běžným službám, jak je zřejmé i z historie navštívených webových stránek. Vedle seznam.cz,
facebook.com nebo google.com navštěvoval nejvíce stránku xchat.centrum.cz, stejně jako v jiných
dnech. K těmto webovým službám uživatel přistupoval po celé první z uvedených období, tedy dnech
7.–8.11. Seznam všech takto navštívených adres a serverů je uveden v příloze znaleckého posudku.
Ve druhém období, tedy dnech 9.–10.11., není žádný takový přístup zaznamenán a je tedy možné,
s ohledem na aktivitu uživatele v jiných dnech, že v této době nebyl u počítače vůbec přítomen (první
následující záznam je ze dne 10.11. z 08.14).
Některá spojení jsou charakteru pokusu o průnik do počítače ze sítě Internet, většinou jsou realizovány
jedním datovým paketem obsahujícím žádost o navázání komunikace. Takovéto pokusy jsou v provozu
sítě Internet běžné a nevypovídají nic o aktivitě uživatele.
O zbývajících přibližně 300 spojeních se nepodařilo zjistit nic bližšího, jde o přenos dat na velkém
množství nestandardních TCP a UDP portů na mnoho různých počítačů. Uživatel byl naposledy dne
8.11.2009 připojen do anonymizační sítě Tor, která může vykazovat podobné chování a mohlo by to
být vysvětlením provozu v prvním zájmovém období. O původu komunikací ve druhém zájmovém
KRPM–14652/TČ–2009–140070
7
období není nic známo.
3
3.1
Závěr
Obsah přiloženého CD–R média
CD–R médium, které je přílohou znaleckého posudku, obsahuje informace o zkoumaných vzorcích,
fotodokumentaci, zajištěná data a další zjištěné informace.
foto/ — fotodokumentace vzorků předaných ke zkoumání
pc/ — informace získané z předloženého osobního počítače
data/ — část nalezených dat s BDSM tématikou
icq trodas/ — historie komunikace v síti ICQ převedená do formátu HTML
skype trodas/ — historie komunikace v síti Skype převedená do formátu HTML
email.eml — jediný e–mail nalezený v klientské aplikaci elektronické pošty
icq 7 11 2009.html — zajištěná ICQ komunikace v požadovaném období
msn kontakty.html — nalezené kontakty v síti MSN
oblibene.csv — soupis oblíbených položek webového prohlížeče
pocitace.html — nalezený soupis počítačů, které pravděpodobně uživatel vlastní
soubory1.csv — aktuální výpis souborů z prvního oddílu pevného disku
soubory2.csv — aktuální výpis souborů ze druhého oddílu pevného disku
www.csv — výpis navštívených webových stránek
provoz/ — informace zjištěné z výpisu síťového provozu
nezname.txt — výpis neidentifikovaných spojení
nezname servery.txt — výpis serverů z neidentifikovaných spojení
obdobi 7-8.txt — výpis spojení v období 7.11.2009 18.15 až 8.11.2009
obdobi 9-10.txt — výpis spojení v období 9.11.2009 22.00 až 10.11.2009 00.36
www.csv — výpis navštívených webových stránek v prvním zájmovém období
www servery.txt — výpis webových serverů navštívených v prvním zájmovém období
router/ — informace získané z předloženého routeru
netgear.cfg.txt — nalezené informace o nastavení routeru, které si uživatel vedl
*.png — snímek okna webového prohlížeče s nastavením routeru
posudek.pdf — znalecký posudek ve formátu PDF
Soubory soubory?.csv obsahují výpis souborů ve formátu CSV (oddělováno středníkem) v kódování
UTF-8 a obsahuje sloupce: datum a čas poslední změny souboru, velikost souboru, umístění souboru.
Soubory www.csv obsahují výpis navštívených webových stránek. Tento výpis je ve formátu CSV
(oddělováno středníkem) a obsahuje sloupce: datum a čas přístupu ke stránce, cestu (URL).
Soubor oblibene.csv obsahuje výpis oblíbených položek webového prohlížeče. Tento výpis je ve
formátu CSV (oddělováno středníkem) a obsahuje sloupce: datum a čas vytvoření položky, cestu
(URL), název.
3.2
Odpovědi
Proveďte zkoumání počítačové jednotky označené „Zalmanÿ, zajištěné při domovní prohlídce:
KRPM–14652/TČ–2009–140070
8
1. Uveďte základní popis a určete hardwarovou konfiguraci počítačové jednotky zajištěné při domovní prohlídce.
Odpověď: Předložený vzorek je osobní počítač v bílé mini tower skříni bez označení, konfigurace
je uvedena výše v kapitole 2.3.1.
2. Uveďte, zda se liší systémový čas od času skutečného.
Odpověď: Nastavený systémové datum a čas odpovídají místnímu času, operační systém má
nastaveno časové pásmo pro střední Evropu.
3. Zadokumentujte jednotlivé uživatelské účty, které byly na počítači vytvořeny.
Odpověď: Počítač využíval pouze uživatel „Administratorÿ, ten se naposledy přihlásil dne 26.11.2009.
4. Proveďte výpis veškerého aplikačního programového vybavení z pevných disků zkoumaného počítače.
Odpověď: Soupis veškerého nalezeného software je uveden výše v kapitole 2.3.1.
5. Zjistěte, zda byla počítačová jednotka připojena k síti Internet, pokud ano, jakým způsobem.
Odpověď: Předložený osobní počítač přistupoval k síti Internet, a to prostřednictvím předloženého routeru připojeného v domácí počítačové síti.
6. Uveďte IP adresu, přes kterou byl počítač připojen sítě Internet.
Odpověď: Počítač byl připojen do domácí počítačové sítě, kde měl nastavenu privátní IP adresu
192.168.0.2. K síti Internet přistupoval prostřednictvím předloženého routeru, který využíval
privátní IP adresu 10.0.3.138. Přidělení veřejné IP adresy tedy dělá až poskytovatel připojení
k síti Internet.
7. Zjistěte, zda byl počítač nakonfigurován pro vzdálené připojení (ovládání z jiného počítače),
resp. vyjádřete se, jaký operační systém používá předložené PC obviněného a zda tento operační
systém umožňuje vzdálenou správu a pokud tomu tak je, uveďte, zda byla na předloženém
počítači vykonávána dálková správa.
Odpověď: Nainstalovaný operační systém neumožňuje vzdálenou správu a nebyl nalezen ani
žádný další software, který by vzdálenou správu umožňoval.
8. Zjistěte, jaké programy pro prohlížení internetových stránek jsou v počítači nainstalovány, zadokumentujte oblíbené položky.
Odpověď: Uživatel používal především prohlížeč Mozilla Firefox, méně pak Microsoft Internet
Explorer a Opera. Výpis oblíbených položek je uveden v příloze znaleckého posudku v souboru
pc/oblibene.csv.
9. Zadokumentujte historii navštívených stránek.
Odpověď: Nalezená historie navštívených stránek zahrnuje období od 29.10.2009 do zajištění
počítače dne 26.11.2009 a je uvedena v příloze znaleckého posudku v souboru pc/www.csv.
10. Zjistěte, zda se v počítači nachází nějaký klient pro práci s elektronickou poštou, pokud ano,
uveďte jaký a zadokumentujte jeho nastavení, včetně všech e–mailů, které se v počítači nachází.
Odpověď: Uživatel používal aplikaci The Bat!, kde bylo nalezeno nastavení pro účty [email protected],
[email protected], [email protected] a [email protected]. Byla zde nalezena pouze jediná
zpráva.
KRPM–14652/TČ–2009–140070
9
11. V případě, že se v počítači nenachází žádný klient pro práci s elektronickou poštou, zjistěte, na
jaké účty bylo z počítače přistupováno.
Odpověď: Uživatel používal pro několik účtů aplikaci The Bat!, prostřednictvím webového prohlížeče pak přistupoval ke schránkám [email protected], [email protected] a [email protected].
Zprávy z těchto schránek nebyly nalezeny.
12. Zjistěte, zda se v počítači nachází nějaké další komunikační programy, pokud ano, jaké, zadokumentujte jejich nastavení včetně uložené komunikace.
Odpověď: Uživatel používal aplikace Miranda pro komunikaci v sítích ICQ (účet 144990310
„trodasÿ), MSN (účet „trodasÿ) a AIM (účet „angrytrodasÿ), dále mIRC pro komunikaci v
síti IRC (přezdívka „trodasÿ) a Skype (účet „trodasÿ). Historie komunikace, kterou se podařilo
zajistit, je uvedena v příloze znaleckého posudku.
13. Ve vztahu k výše uvedeným otázkám se pokuste rovněž obnovit smazané soubory na discích
počítače.
Odpověď: Výše uvedené závěry vycházejí z existujících souborů a i dat, která se podařilo obnovit.
14. Uveďte případné další skutečnosti zjištěné zkoumáním zajištěné počítačové jednotky.
Odpověď: Uživatel pravděpodobně vlastní a provozuje více počítačů, viz soubor pc/pocitace.html
Dále uživatel uchovával velké množství pornografických materiálů s BDSM tématikou, z nalezené
elektronické komunikace pak vyplývá, že se o toto téma zajímal. Část těchto dat je uvedena
Proveďte zkoumání vydaného routeru zn. Netgear WGR614, v.č. WR62135SA070217:
15. Zjistěte, kterak je router nakonfigurován.
Odpověď: Router je nakonfigurován pro přístup výhradně pomocí pevné počítačové sítě. IP
adresa jeho vnějšího rozhraní je privátní 10.0.3.138 a veřejnou IP adresu tedy přiděluje až poskytovatel připojení k síti Internet. TCP/UDP porty 65335–65534 jsou propouštěny do vnitřní
sítě na IP adresu 192.168.0.2, která patří zkoumanému osobnímu počítači. Na těchto portech
uživatel např. sdílel data v sítích eDonkey a BitTorrent.
16. Zajistěte výpis logovacích souborů uložených v routeru.
Odpověď: Při vypnutí routeru jsou veškeré záznamy vymazány a nebyly tak po jeho zapnutí
k dispozici.
17. Uveďte případné další skutečnosti zjištěné zkoumáním routeru.
Odpověď: Nebyly zjištěny žádné další relevantní skutečnosti.
Z datové komunikace na CD nosiči předloženém společností Kabelová televize Přerov, a.s. proveďte
zkoumání komunikace v časovém úseku od 18.15 dne 7.11.2009 do 03.45 dne 8.11.2009 a dále v časovém
úseku od 22.00 dne 9.11.2009 do 00.36 dne 10.11.2009.
18. Určete, o jaký druh komunikace se jednalo (webový prohlížeč, aktualizace SW, komunikační
klient atd.).
Odpověď: Rozbor jednotlivých komunikací je uveden výše v kapitole 2.3.3. Z něj vyplývá, že
přestože byl zkoumaný osobní počítač zapnutý, uživatel u něj ve druhém zájmovém období
pravděpodobně nebyl, narozdíl od prvního období, vůbec přítomen.
KRPM–14652/TČ–2009–140070
10
19. Uveďte případně další skutečnosti.
Otázky zadané doplněním opatření ze dne 24.8.2010:
20. Zjistěte, zda byl předložený počítač (ozn. ZALMAN) spuštěn v době mezi 9.11.2009 a dnem,
kdy bylo započato znalecké zkoumání počítače.
Odpověď: Předložený počítač byl dle systémového záznamu spouštěn ve dnech 10.11., 13.11.,
25.11. a 26.11.2009.
21. Byl-li počítač zapnut mezi 9.11.2009 a Vaším znaleckým zkoumáním, zjistěte, jaké soubory byly
smazány či změněny v této době na obou discích.
Odpověď: V této době byl spouštěn webový prohlížeč, přehrávač video souborů nebo sdílení
souborů v síti Internet. Byl také nainstalován software pro obnovu smazaných souborů. Z uživatelských dat byl upraven a archivován osobní seznam odkazů (rozcestník na různé webové
stránky) a smazán blíže neurčený návrh webových stránek.
22. Zjistěte z historie Firefoxu, jaké nicky byly používány na xchat.cz.
Odpověď: Nebyly zjištěny přezdívky, pod kterými uživatel na serveru vystupoval.
23. Zjistěte z historie Firefoxu s jakými nicky a kdy byla na xchat.cz zahájena komunikace v rozhodné době, tj. od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009.
Odpověď: Uživatel byl v tomto období výhradně v místnosti „Submise a dominanceÿ, kde vedl
hovor s celkem 20ti uživateli, viz seznam včetně časů uvedený výše.
24. Uveďte veškeré přijaté a odeslané zprávy z ICQ klonu Miranda v době od 18.15 dne 7.11.2009
do 03.40 dne 8.11.2009.
Odpověď: Z uvedeného období bylo zajištěno pouze 22 zpráv, které jsou v příloze znaleckého
posudku uvedeny samostatně vedle celé zajištěné historie komunikace.
25. Uveďte, zda předložený router Netgear WGR614 ukládá přehledné logy a zda tyto byly smazány
vypnutím routeru od elektřiny nebo zdali vypnutí elektřiny je nesmaže.
Odpověď: Veškeré záznamy routeru jsou při jeho vypnutí vymazány, protože jsou ukládány do
takového typu paměti, který vyžaduje trvalé napájení. Vytvářené záznamy navíc obvykle neobsahují kompletní výpis spojení, aby nedošlo k přeplnění paměti, ale pouze zachycují výjimečné
stavy.
26. Uveďte další skutečnosti, které mohou mít význam pro trestní řízení.
Znalecký posudek jsem podal jako znalec jmenovaný rozhodnutím Krajského soudu v Praze ze dne
20.6.2007 č.j. spr. 4127/2005 pro základní obor kybernetika, pro odvětví výpočetní technika se specializací výpočetní a komunikační technika, bezpečnost informačních systémů.
Znalecký úkon je zapsán pod pořadovým číslem 289/71/2010 znaleckého deníku. Znalečné a náhradu
nákladů účtuji podle připojené likvidace.
Zkoumání provedl a znalecký posudek zpracoval:
KRPM–14652/TČ–2009–140070
11
Ing. Jiří Berger
soudní znalec v oboru kybernetika, odvětví
výpočetní technika
KRPM–14652/TČ–2009–140070
12

Posudek PC, 7.9.2010, c. l. 683-694

Transkript

Podobné dokumenty

Jak vaše spuštění najít správné zaměstnance?,Je to snadné že se

Základní nastavení routeru Tenda W311R+