V prispevku so izpostavili problematičnost zaupanja digitalnim dokazom. Dejstvo je, da se na sodiščih danes že rutinsko uporabljajo prometni podatki, ki jih beležijo ponudniki dostopa do interneta ter različni strežniki in druge omrežne naprave, podatki iz mobilnih telefonov, podatki iz digitalnih nadzornih videokamer, itd. Tudi pri digitalni forenziki digitalne dokaze išče in analizira različna programska oprema, saj je podatkov pogosto preveč, da bi jih lahko ročno, brez pomoči programov pregledal posamezni preiskovalec.

Težava, ki so jo izpostavili raziskovalci v svojem članku je, da sodišča digitalne dokaze, zlasti računalniško generirane digitalne dokaze praviloma dojemajo kot zaupanja vredne same po sebi (avtorji uporabljajo izraz inherently trustworthy evidence).

To ima posledice tudi na sam sodni postopek, saj imajo na (kazenskem) sodišču obtoženci oz. obramba pravico so soočenja s tožniki in (navzkrižnega) zaslišanja prič. Pri tem se postavlja zanimivo vprašanje, kaj storiti, če je »priča« računalnik oz. programska oprema? Čeprav se vprašanje na prvi pogled morda zdi akademsko, velja opozoriti na zanimiv sodni primer v ZDA State v. Chun (Supreme Court of New Jersey A-96-06, Docket No. 58,879), kjer je v sodnem postopku je pritožnica oporekala rezultatom testa alkoholiziranosti zaradi možnih napak v programski opremi elektronskega etilometra.

Pritožnica je zahtevala preveritev zanesljivosti delovanja elektronskega alkotesta Draeger Alcotest 7110 MKIII-C. Pridobili so izvorno kodo naprave in jo predali v analizo neodvisnemu podjetju Base One Technologies. Podjetje je v programski kodi naprave odkrilo 19.400 potencialnih napak, med njimi devet takšnih, ki bi lahko bistveno vplivale na rezultate meritve. Med drugim se je tudi izkazalo, da je naprava na precej nenavaden način izračunavala povprečje meritev,  saj je to počela na način, da je imela ena meritev veliko večji vpliv kot ostale. Vrhovno sodišče ZDA v konkretnem primeru sicer ni razveljavilo veljavnosti meritev alkoholiziranosti, je pa od proizvajalca zahtevalo odpravo napak v programski opremi elektronskega alkotesta.

Na problem zaupanja digitalnim dokazom bomo opozorili tudi v tem prispevku in sicer na primeru digitalnih dokazov na SIM kartici. Najprej pa nekaj osnov.

Nekaj osnov o SIM karticah

SIM kartica je tim. pametna kartica (vsebuje mikroprocesor), ki vsebuje podatke za avtentikacijo in avtorizacijo uporabnika mobilnega telefona v mobilnem omrežju. Vsebuje naslednje podatke:

• ICCID številko,
• IMSI številko,
• avtentikacijski šifrirni ključ (Ki),
• Local Area Identity (LAI),
• številke za klic v sili (specifično za vsakega operaterja),
• ostale podatke za prenos podatkov med operaterjem in naročnikom, kot npr. SMSC (Short Message Service Center) številko, Service Provider Name (SPN), Service Dialing Numbers (SDN), itd.

Poleg tega SIM kartica vsebuje še:

• PIN in PUK kodo,
• avtenikacijski algoritem,
• algoritem generiranja šifrirnih ključev A8,
• šifrirni ključ Kc, ki izvira iz Ki ključa,
• logične kontrole za kontrolo dostopa do podatkov na kartici,
• prostor za uporabniške podatke.

ICCID oz. serijska številka SIM kartice

ICC-ID (Integrated Circuit Card ID) številka je identifikacijska številka SIM kartice. Shranjena je v sami SIM kartici, je pa tudi natisnjena oz. vgravirana na njeni površini. ICCID se generira v procesu tim. »personalizacije« SIM kartice. Številka je dolga 19 (za Phase 2 SIM kartice) ali 20 (za Phase 1 SIM kartice) znakov, sestavljena pa je iz naslednjih elementov, ki temeljijo na ISO/IEC standardu 7812:

• identifikacijska številka izdajatelja (največ 7 cifer: prva dva znaka: Major Industry Identifier (MII) (za področje telekomunikacij je koda 89) / naslednji eden do trije znaki: oznaka države (za Slovenijo 386) / preostanek: identifikacija izdajatelja (npr. 40 za Simobil);

• identifikacijska številka kartice (do 12 znakov: številka »računa« (account identification number) / en znak: kontrolna vsota izračunana po Luhnovem algoritmu).

IMSI in TMSI številka

IMSI številka služi kot identifikator naročnika v GSM omrežju. Identifikator telefonskega aparata pa je IMEI številka (International Mobile Equipment Identity), gre za neke vrste serijsko številko mobilne naprave (telefona).

IMSI številka je zapisana na SIM kartici. Na podlagi IMSI številke se mobilni uporabnik predstavi mobilnemu omrežju, omrežje pa mu »dodeli« naročniško telefonsko številko. Zaradi možnosti prisluškovanja in sledenja uporabnikom naj bi se IMSI številka po omrežju prenašala čim redkeje. Namesto nje se prenaša naključno generirana TMSI številka. IMSI se prenese preko omrežja v trenutku, ko se telefon vključi ali ko je potrebno obnoviti povezavo med IMSI in TMSI (oz. generirati nov TMSI). TMSI številka je omejena na lokacijsko območje, kar pomeni, da je potrebno nov TMSI generirati vsakič, ko se mobilni uporabnik premakne v novo lokacijsko območje. Lokacijska območja tvori ena ali več baznih postaj. Vsako lokacijsko območje ima svojo lastno kodo lokacijskega območja, kodo pa v intervalih oddajajo posebne bazne postaje in sicer tim. »base transceiver station« ali BTS v GSM omrežjih oziroma Node B v UMTS omrežjih.

Prve tri cifre IMSI številke označujejo kodo države – Mobile Country Code (MCC), sledita dva znaka (po evropskem oziroma trije znaki po severnoameriškem standardu) za oznako omrežja – Mobile Network Code (MNC). Preostanek je identifikacijska številka uporabnika – Mobile Subscriber Identification Number (MSIN). Mobile Country Code (MCC) koda za Slovenijo je 293. Oznaka 901 je oznaka za International Shared Codes. 901 08 služi za za identifikacijo telefona brez SIM kartice (za klice v sili). Naj dodamo, da v nekaterih državah ni mogoče opraviti klica v sili zgolj s telefonom, torej brez kakršnekoli SIM kartice.

Avtentikacijski šifrirni ključ (Ki)

Avtentikacijski šifrirni ključ ali Ki je 128-bitna spremenljivka, ki služi za avtentikacijo SIM kartice mobilnemu omrežju. Ki je unikaten in določen v procesu personalizacije. Shranjen je na SIM kartici in v podatkovni bazi mobilnega operaterja, v tim. Home Location Registru (HLR). Ki ključa ni mogoče izpisati, pač pa ima SIM kartica posebno funkcijo RUN GSM ALGORITHM, ki telefonu omogoča, da SIM kartici pošlje podatke, le-ta pa jih podpiše s Ki ključem.

Zaradi tega se uporabi SIM kartice v GSM omrežju ni mogoče izogniti, saj je SIM kartica nujno potreben element GSM omrežja. Zaradi slabe varnostne zasnove je bilo stare SIM kartice mogoče razmeroma enostavno klonirati oz. prekopirati Ki šifrirni ključ. To je bilo mogoče preko radijske povezave v nešifriranih omrežjih (več informacij o tem v članku GSM Cloning avtorjev Iana Goldberga in Marca Bricena iz leta 1998). Druga možnost je fizični dostop, kjer napadalec SIM kartici pošila poizvedbe (tim. challenge) in v cca. 4 do 8 urah iz nje izlušči Ki ključ (pri tem procesu je obstajala tudi cca. 40% verjetnost poškodovanja oz. uničenja kartice). Pri novejših SIM karticah je kloniranje bistveno težje.

Pomembno je tudi vedeti, da lahko napadalec, ki pridobi dostop do Ki ključa oz. SIM kartice, dešifrira pogovore med mobilnim aparatom in omrežjem. V primeru, da se ne uporablja tim. poudarjena zaupnost (ang. perfect forward secrecy), je mogoče pogovore dešifrirati tudi za nazaj (v primeru, da bi napadalec snemal GSM pogovore žrtve, in bi nato kasneje pridobil SIM kartico, bi lahko za nazaj dešifriral vse šifrirane pogovore).

Local Area Identity (LAI)

Vsako lokacijsko območje ima svojo unikatno identifikacijsko številko, ki je sestavljena iz:

• E.212 mobilne oznake države (tri cifre, 293 za Slovenijo);
• oznake mobilnega omrežja (Mobile Network Code – MNC, dva znaka, npr. 40 za Simobil);
• oznake lokacijskega področja (Location Area Code, 5 znakov).

Podatke o lokaciji (Mobile Country Code, Mobile Network Code ter Local Area Code) oddaja mobilno omrežje na tim. Broadcast Control kanalu (BCCH). Mobilni telefon pa LAI številko shrani v SIM kartico. Ob spremembi lokacijskega območja, se podatek obnovi.

* * *

Če torej na kratko povzamemo, SIM kartica skrbi za avtentikacijo uporabnika v omrežju, na SIM kartici je shranjen šifrirni ključ, ki omogoča šifriranje pogovorov med mobilnim aparatom in bazno postajo v GSM omrežju, poleg tega pa je na SIM kartico mogoče shranjevati tudi določene uporabniške podatke. Najpomembnejši med njimi so seznam kontaktov uporabnika (tim. telefonski imenik) in SMS sporočila. Nekateri starejši mobilni telefoni pa so na SIM kartico shranjevali tudi zadnje klicane številke. Naj dodamo, da novejši mobilni telefoni uporabniških podatkov na SIM kartico praviloma ne shranjujejo, pač pa se ti podatki shranjujejo v telefon.

Branje uporabniških podatkov iz SIM kartice

V okviru forenzične preiskave SIM kartice iz le-te navadno želimo prebrati nekaj osnovnih identifikacijskih podatkov SIM kartice (npr. IMSI številko in ICCID številko) ter seznam kontaktov, SMS sporočila ter zadnje klicane številke.

Za branje teh podatkov iz SIM kartice potrebujemo PIN ali PUK kodo (razen, če PIN koda ni blokirana). Če PIN kode nimamo, je mogoče PUK kodo pridobiti od operaterja, v tem primeru je operaterju potrebno sporočiti ICCID serijsko številko, ki je natisnjena na SIM kartici. Poleg tega potrebujemo ustrezno strojno (čitalec SIM kartic) in programsko opremo.

Analiza SIM kartice z USB čitalcem.

Strojna oprema za branje vsebine SIM kartic je razmeroma poceni. USB čitalec SIM kartic lahko naročimo preko spleta (cena je slabe 3 EUR), lahko pa si ga celo izdelamo sami. Načrti za preprost čitalec SIM kartic so dostopni na spletni strani ameriške elektroinženirke Limor Fried na naslovu http://ladyada.net/make/simreader/index.html.

Čitalec SIM kartic.

Na tej spletni strani se nahaja tudi odprtkodna in brezplačna programska oprema za branje vsebine SIM kartic PySIMReader. Program lahko namestimo na računalnik z Linux, Windows ali Mac operacijskim sistemom (potrebujemo nameščen programski paket Python in knjižnici pySerial ter wxPython).

Uporaba programa je preprosta. Po zagonu se odpre glavno okno, kjer lahko izbiramo med branjem telefonskega imenika ali SMS sporočil oziroma iz menija izberemo možnost branja identifikacijskih podatkov SIM kartice, seznam zadnjih klicanih številk ali pa spremenimo oziroma blokiramo PIN kodo.

Programska aplikacija PySIMReader.

Program omogoča, da si iz SIM kartice prebrana SMS sporočila ogledamo v oknu, omogoča pa tudi prikaz izbrisanih SMS sporočil (v kolikor seveda še niso bila prepisana z drugimi podatki). Pri vsakem SMS sporočilu lahko spremenimo njegov status (read / unread / deleted : prebrano / neprebrano / izbrisano). Sporočila lahko tudi izvozimo v tekstovno datoteko. Na podoben način lahko v tekstovno datoteko izvozimo tudi kontakte iz telefonskega imenika. Naj dodamo, da smo aplikacijo testirali z več različnimi SIM karticami, pri nekaterih SIM karticah operaterja Mobitel pa je v programu prišlo do napake in branje ni bilo mogoče.

Informacije o SIM kartici.

Pregled SMS sporočil.

Branje telefonskega imenika.

Ponarejanje digitalnih dokazov na SIM kartici

Aplikacija PySIMReader pa omogoča tudi zapisovanje podatkov na SIM kartico. Postopek je enostaven. V oknu, ki omogoča prikaz SMS sporočil v meniju File izberemo možnost Import. Izberemo tekstovno datoteko z SMS sporočili in program sporočila zapiše na kartico.

Urejanje tekstovne datoteke z SMS sporočili.

Urejanje posameznega SMS sporočila.

Seveda pa tekstovno datoteko pred tem lahko poljubno urejamo. Struktura datoteke z SMS sporočili je namreč zelo enostavna, saj vsebuje polja datum, konktakt pošiljatelja, številko operaterjevega centra za posredovanje sporočil ter vsebino sporočila (Date, From, SerivceCenter, Message). V navedena polja lahko vpišemo poljubne podatke (seveda morajo biti v ustreznem formatu), datoteko shranimo in jo prenesemo (zapišemo) na SIM kartico. Program PySIMReader sicer omogoča tudi neposredno urejanje vsebine sporočila in pošiljateljevega kontakta za vsako posamezno sporočilo posebej.

Če sedaj SIM kartico vstavimo v telefon, bodo prikazana ponarejena SMS sporočila. V prvem primeru smo izdelali SMS sporočilo iz prihodnosti (iz 15. oktobra 2014), v drugem primeru pa je pošiljatelj (njegovi podatki so ponarejeni) 12. januarja 2001 poslal »napoved« terorističnih napadov na WTC 11. septembra 2001.

Ponarejeno SMS sporočilo iz preteklosti...

... in ponarejeno SMS sporočilo iz prihodnosti.

Mimogrede, v primeru novejših telefonov je SMS sporočila je iz SIM kartice mogoče tudi prenesti in shraniti na telefon. Ponarejanje digitalnih dokazov v mobilnih telefonih (zlasti tim. pametnih telefonih) je sicer tudi mogoče in bo morda opisano v kakšnem drugem prispevku.

SMS sporočila prenesena iz SIM kartice na pametni telefon.

V primeru kazenske preiskave bi preiskovalci (verjetno) pregledali tudi prometne podatke pri operaterju. V primeru, da bi se izkazalo, da je na SIM kartici shranjeno SMS sporočilo, prometni podatki pri operaterju pa ne bi potrjevali, da je bilo SMS sporočilo zares poslano, bi bil to lahko že indic, da je vsebina SIM kartice morda ponarejena. Prometni podatki se v skladu z ZeKOM sicer hranijo 14 mesecev.

Težava pa je, če bi napadalec vzel obstoječe SMS sporočilo in mu spremenil samo vsebino, prometne podatke (kontakt pošiljatelja in datum ter čas pošiljanja sporočila) pa bi pustil nespremenjene. V tem primeru bi prometni podatki pri operaterju potrjevali, da je bilo sporočilo res poslano, forenzična analiza SIM kartice pa bi razkrila vsebino, za katero ne bi bilo mogoče ugotoviti ali je resnična ali morda ponarejena. (Pri tem se postavlja zanimiva analogija s pogovorom, kjer operater tudi zabeleži prometne podatke, ne pa tudi vsebine pogovora. V tem primeru je s pomočjo prometnih podatkov mogoče potrditi dejstvo obstoja komunikacije, vsebina pa je stvar izjav oseb, ki so bile udeležene v komunikaciji. Zanimivo je, da je v primeru SMS sporočil, katerih vsebina je shranjena, stopja zaupanja v resničnost vsebine SMS komunikacije bistveno višja kot v primeru govorne komunikacije, ki se ne shranjuje.)

Podobne zagate povezane s slepim zaupanjem digitalnim in računalniško generiranim podatkov izvirajo tudi iz možnosti pošiljanja ponarejenih SMS sporočil preko GSM omrežja, kar bo sicer stvar naslednjega prispevka. Le na kratko – zasnova GSM omrežja omogoča, da napadalec poljubnemu uporabniku mobilne telefonije pošlje SMS sporočilo iz poljubne telefonske številke (tudi iz njegove lastne). Prejemnik torej dobi SMS sporočilo s spremenjeno (ponarejeno) identifikacijo pošiljatelja. Podobno spreminjanje klicne identifikacije je mogoče tudi v primeru govornih klicev – torej je mogoče klicanje na način, da se klicani osebi na telefonskem aparatu izpiše poljubna telefonska številka. A kot rečeno o tem v enem prihodnjih prispevkov.

Sklep

V današnjem času – še bolj pa bo to veljalo v prihodnosti – je sodiščem predloženih čedalje več dokazov v digitalni obliki. Za razliko od drugih vrst dokazov pa sodišča (in enako velja za preiskovalce) digitalne dokaze, zlasti računalniško generirane, preveč samoumevno dojemajo kot zaupanja vredne, nepristranske in zanesljive. Da temu ni tako, smo pokazali na primeru forenzične analize SIM kartic. Stroški za to so minimalni, digitalne dokaze pa je mogoče ponarediti v nekaj minutah. Podobno velja tudi na drugih področjih – na področju preiskovanja računalnikov, mobilnih telefonov in drugih naprav, lahko celo v primeru datotek aktivnosti pri ponudnikih storitev, operaterjih in drugih tim. neodvisnih tretjih strankah.

Dejstvo namreč je, da računalniki že dolgo časa niso več zgolj »stroji« (že sama beseda stroj predpostavlja razmeroma zanesljivo, mehansko napravo), ki bi jim veljalo slepo zaupati. Pri obravnavi digitalnih in računalniško generiranih dokazov bi bilo namreč potrebno vedno pomisliti tudi na možnost, da so spremenjeni in se znebiti predpostavk na katerih temelji zaupanje vanje.

Slednje – sledenje izvornemu komunikacjskemu sredstvu – pa ni težavno samo v primeru sledenja storilca, pač pa tudi v primeru sledenja lokacije strežnikov z nezakonitimi vsebinami. In to ne samo v primeru, ko so strežniki z nezakonitimi vsebinami skriti za različnimi posredniškimi strežniki (tim. proxy) ali za celim omrežjem posredniških strežnikov (tim. fast flux omrežje), pač pa celo v primerih, ko je nezakonita vsebina locirana na znanem IP naslovu.

V nadaljevanju si bomo ogledali konkreten primer analize IP naslova strežnika, na katerem se je pred časom nahajala otroška pornografija. Spletni strežnik z nezakonito vsebino je bil prijavljen prijavni točki Spletno oko, ki je prijavo posredovala slovenski policiji.

Analiza domene

Preiskava se torej začne s spletnim naslovom, ki vsebuje podatke o domeni in domenski končnici. Najbolj znane domenske končnice so .com (gre za tim poslovne oz. komercialne domene), .net (v osnovi naj bi bile to domene različnih omrežij), .org (v osnovi naj bi bila to domena neprofitnih organizacij), .info, .biz, .tv, itd. Svoje domenske končnice imajo tudi posamezne države (npr. .si za Slovenijo, .de za Nemčijo, .it za Italijo, itd.).

Za zgled si za začetek oglejmo nekaj spletnih naslovov: http://www.ubuntu.com, http://www.ubuntu.si in http://www.indiaevm.org. Domenske končnice so v vseh treh primerih različne – prva .com nakazuje, da gre za strežnik podjetja ali druge komercialne organizacije, končnica .si nakazuje, da gre za strežnik slovenske pravne ali fizične osebe, končnica .org pa da gre za strežnik neprofitne organizacije.

Vendar pa stvari niso tako preproste. Domene .com, .org in še številne druge lahko registrira kdorkoli. Podobno velja tudi za domene posameznih držav. Nekatere, npr. Slovenija, imajo glede registracije razmeroma natančna pravila. Druge omogočajo prodajo domene komurkoli. Vse domene morajo biti vpisane v poseben register, tim. WHOIS imenik. V WHOIS imeniku so zapisani podatki o registrarju (podjetju oziroma organizaciji, preko katere domeno registriramo in ki skrbi za pravilnost in ažurnost vpisov v WHOIS registru) ter lastniku domene. Poleg administrativnega kontakta mora biti v WHOIS imeniku naveden še tim. tehnični kontakt, torej kontakt osebe, ki skrbi za reševanje tehničnih težav povezanih z domeno – zlasti je pomemben veljaven elektronski naslov te osebe.

Vendar pa nekateri registrarji (pravzaprav večina komercialnih registrarjev) identitete lastnikov domen ne preverjajo. Praviloma sicer velja, da so podatki v evropskih registrih bolj točni, saj je v evropskih državah zasebnost registranta praviloma zaščitena z zakonodajo in zato po skrivanju ni take potrebe kot pri komercialnih domenah. Poleg tega splošni pogoji registrarjev določajo, da lastnik domene ne sme dajati zavajajočih podatkov, tega pa se v kupci evropskih domen praviloma bolj držijo kot kupci ostalih domen. Pri prodaji komercialnih domen pa za nakup jim večinoma zadostuje zgolj plačilo s kreditno kartico (ki je lahko tudi ukradena). Nekateri pa podatke o pravem lastniku domene prikrijejo; v tem primeru jih je mogoče izvedeti preko registrarja, niso pa javno dostopni. Dejstvo namreč je, da je WHOIS imenik javno dostopen – tako pošiljateljem nezaželene elektronske pošte in spletnim goljufom, kot tudi državnim organom totalitarnih režimov. Zato nekateri registrarji s prikrivanjem identitete lastnikov domen skušajo le-te zaščititi pred tem,da postanejo žrtev goljufije, viktimizacije ali političnega preganjanja.

Če kljub temu želimo preveriti lastnika domene, to lahko storimo z orodjem whois, ki je del paketa omrežnih orodij vsake distribucije Linux operacijskega sistema. Gre za orodje, ki se poveže v WHOIS imenik iz katerega pridobi podatke o lastniku domene (obstaja dve različici orodja, eno lahko poganjamo iz ukazne vrstice, eno pa upravljamo preko grafičnega vmesnika). Mimogrede, vpogled v WHOIS imenik ne razkrije preteklih lastnikov domene. Za zgled si najprej oglejmo lastnika domene ubuntu.com:

Registrant:
 James Troup
 Canonical, Ltd.
 One Circular Road
 Douglas Isle of Man IM1 1AF
 GB
 hostmaster@canonical.com +44.1624643643 Fax: -

Domain Name: ubuntu.com

Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
 James Troup
 Canonical, Ltd.
 One Circular Road
 Douglas Isle of Man IM1 1AF
 GB
 hostmaster@canonical.com +44.1624643643 Fax: -
 Technical Contact, Zone Contact:
 James Troup
 Canonical, Ltd.
 One Circular Road
 Douglas Isle of Man IM1 1AF
 GB
 hostmaster@canonical.com +44.1624643643 Fax: -

Created on..............: 2004-05-29.
Expires on..............: 2014-05-29.
Record last updated on..: 2010-04-16.

Domain servers in listed order:

ns2.canonical.com
ns3.canonical.com
ns1.canonical.com

Iz izpisa je razvidno, da je lastnik domene James Troup iz podjetja Canonical (ista oseba je tudi tim. administrativni in tehnični kontakt), naveden pa je tudi naslov podjetja in telefonski in e-poštni kontakt. V WHOIS imeniku je sicer še nekaj drugih, bolj tehničnih podatkov, npr. kdaj je bila domena registrirana in kdaj poteče, katere domenske strežnike uporablja (včasih nam ti podatki lahko služijo za namig katere organizacije so povezane z lastnikom domene), kdaj so bili podatki o domeni posodobljeni, itd. Podobno lahko ugotovimo za domeno ubuntu.si. Izpis je nekoliko drugačen, vidimo pa lahko, da je bila domena registrirana pri podjetju (registrarju) Gigaspark, lastnik domene pa je podjetje Vigred s.p. iz Mežice (opomba: telefonsko številko lastnika domene smo pred objavo članka izbrisali).

organization:		Vigred s.p.
 nic-hdl:		G97656
 email:			blaz@vigred.com
 phone:			+386.41******
 fax-no:		+386.41******
 address:		Celovska 17
 address:		2392 Mezica
 address:		SI
 source:		ARNES

Tretji primer pa je že nekoliko drugačen. Domena indiaevm.org je namreč registrirana pri registrarju DreamHost oz. New Dream Network, ki skrbi za zasebnost svojih strank. Zato v WHOIS imeniku niso navedeni kontaktni podatki pravega lastnika domene, pač pa piše zgolj, da je lastnik domene “A Happy DreamHost Customer“. Prav tako so navedeni telefonski kontakti registrarja domene (torej podjetja, ki domene zgolj “prodaja”), pravega lastnika domene pa je mogoče kontaktirati preko elektronske pošte indiaevm.org@proxy.dreamhost.com, kjer pa spet vidimo, da ne gre za “pravi” oz. neposreden elektronski naslov, pač pa za elektronski naslov, ki se preko registrarja DreamHost posreduje na pravi e-naslov lastnika domene.

Admin ID:ndn-1051570
 Admin Name:indiaevm.org Private Registrant
 Admin Organization:A Happy DreamHost Customer
 Admin Street1:417 Associated Rd #324
 Admin Street2:
 Admin Street3:
 Admin City:Brea
 Admin State/Province:CA
 Admin Postal Code:92821
 Admin Country:US
 Admin Phone:+1.2139471032
 Admin Phone Ext.:
 Admin FAX:
 Admin FAX Ext.:
 Admin Email:indiaevm.org@proxy.dreamhost.com

Če se torej vrnemo k našemu primeru strežnika z nezakonito vsebino (konkretnega URL naslova strežnika ne bomo navajali) – strežnik je bil registriran na domenski končnici .cc, ki je v upravljanju Kokosovih otokov (gre za tim. zunanji teritorij Avstralije). Vendar pa podatki iz WHOIS imenika kažejo, da je lastnik domene nekdo iz Južne Koreje. V tem primeru torej iz samega WHOIS imenika ne pridobimo kaj dosti uporabnih podatkov kje točno naj bi se lastnik domene in strežnika oziroma sam strežnik v resnici nahajal (kar je seveda pričakovano). Treba se je torej lotiti naslednjega koraka – ugotavljanja IP naslova.

Ugotavljanje IP naslova

Imena strežnikov se v IP naslove pretvarjajo s pomočjo DNS sistema. Gre za nekakšen “telefonski imenik” internetnih strežnikov v katerem se imena domen pretvarjajo v IP naslove, podobno kot se v mobilnih telefonih imena oseb iz internega imenika povezujejo s telefonskimi številkami teh oseb. Pomembno je razumeti razliko med domeno in strežnikom oz. domeno in poddomeno. Poddomena je namreč tisti del internetnega naslova, ki se nahaja pred domeno – v primeru www.ubuntu.com je to www. V primeru wiki.ubuntu.com je to wiki. Domena oz. poddomene se lahko nahajajo na enem ali več strežnikih oziroma enem ali več IP naslovih. Prav tako se na enem IP naslovu lahko nahaja več spletnih strežnikov oz. več domen. Mogoča pa je tudi situacija, da je domena zgolj registrirana (vpisana v WHOIS imenik), ni pa “povezana” z IP naslovom. Seveda pa v takem primeru domena ni aktivna (npr. spletna stran domene ne obstaja).

IP naslov posameznega internetnega strežnika sicer naš računalnik samodejno pridobi vsakič, ko npr. s spletnim brskalnikom obiščemo spletno stran na tem strežniku, IP naslov pa “ročno” lahko pridobimo tudi z ukazom ping, ki je prav tako del paketa omrežnih orodij operacijskega sistema. Mimogrede, IP spletnega strežnika si lahko ogledamo tudi z dodatkom za brskalnik Firefox, ShowIP.

Primer grafičnega izpisa upaza ping za strežnik www.ubuntu.si izgleda takole:

Enake informacije dobimo z zagonom ukaza ping iz ukazne vrstice, tokrat za strežnik www.ubuntu.com:

ping www.ubuntu.com
 PING www.ubuntu.com (91.189.89.88) 56(84) bytes of data.
 64 bytes from privet.canonical.com (91.189.89.88): icmp_seq=1 ttl=48 time=49.5 ms

Iz izpisa je razvidno, da se spletni strežnik www.ubuntu.com nahaja na IP naslovu 91.189.89.88. Kot smo že omenili, se različne poddomene lahko nahajajo na različnih IP naslovih. Tako je npr. IP naslov spletnega mesta wiki.ubuntu.com enak 91.189.90.19.

Nekateri posebni primeri

Kot smo omenili, se neka poddomena lahko nahaja na več IP naslovih, primer za to je že omenjeno fast flux omrežje. V tem primeru bo večkratno zaporedno ugotavljanje IP naslova ciljnega strežnika vsakič vrnilo drug IP naslov, saj bo vsak nov zahtevek za npr. ogled spletne strani, ki ga pošlje naš spletni brskalnik, poslan na drugo točko fast flux omrežja. Ni pa to nujno. Upravitelj fast flux omrežja namreč lahko zamenjavo IP naslova izvede v določenih časovnih intervali in/ali ga pogojuje z geografsko lokacijo iz katere je prišel zahtevek za dostop do npr. spletne strani. Tako bodo npr. uporabniki iz Evrope preusmerjeni samo na določene IP naslove v fast flux omrežju, uporabniki iz ZDA pa na druge. V tem primeru je iskanje vseh IP naslovov fast flux omrežja precej bolj zahtevno, pomagamo si lahko z različnimi posredniškimi strežniki, VPN storitvijo ali omrežjem Tor.

Mogoča pa je tudi situacija, ko se pravi strežnik z npr. nezakonitimi vsebinami v resnici ne nahaja na ugotovljenem IP naslovu, pač pa se tam nahaja samo posredniški strežnik, ki spletne zahtevke za npr. ogled spletne strani posreduje dalje. V tem primeru pravega IP naslova ciljnega strežnika seveda ne moremo odkriti z internetnimi orodji, pač pa je treba zaseči in analizirati posredniški strežnik. (Sicer obstajajo določene statistične tehnike za ugotavljanje omrežja v katerem se IP naslov ciljnega strežnika v resnici nahaja, vendar je njihova uporaba zelo zahtevna in nezanesljiva.)

Ugotavljanje lokacije strežnika v Tor omrežju (tim. hidden service) je izedno težko, vendar ne povsem nemogoče. Skrite strežnike poznamo po (psevdo)domenski končnici .onion, treba pa je podariti so pa izredno redki in brez posebne programske opreme (tim. odjemalca za omrežje Tor) uporabnikom nedostopni.

Ugotavljanje fizične lokacije IP naslova

Pri ugotavljanju fizične lokacije IP naslova si lahko pomagamo z dvema storitvama. Prva storitev omogoča vpogled v geolokacijsko bazo IP naslovov. GeoIP baza je dostopna preko različnih spletnih vmesnikov, v operacijskem sistemu Ubuntu Linux pa si lahko namestimo zbirko orodij za iskanje po GeoIP bazi z imenom geoip-database. (Za iskanje po bazi IP naslovov omrežja Tor pa je na voljo programski paket tor-geoipdb.)

Gre za bazo (pravzaprav je takih baz več; nekatere so tudi komercialne) IP naslovov za katere so znane geografske lokacije – države, regije in celo kraji, kjer se nahaja določen IP naslov. Težava je seveda v tem, da podatki v geolokacijskih bazah niso vedno ažurni in točni. GeoIP baza podjetja MaxMind (ki jo uporabljajo tudi omenjena geoip-database orodja) je trenutno 99,8% točna na nivoju države, na nivoju regij in mest pa je ta točnost precej nižja. Podatki za IP naslov strežnika www.ubuntu.com tako kažejo, da se strežnik nahaja v Veliki Britaniji in sicer v regiji South Lanarkshire.

Druga, veliko bolj zanesljiva možnost lociranja (vendar največ na ravni države) pa je ugotavljanje v katerem omrežju se dani IP naslov nahaja. To lahko storimo z vpogledom v tim. ASN številke, ki se uporabljajo pri usmerjanju prometa z BGP protokolom (ang. Border Gateway Protocol). Gre za identifikatorje lastnikov omrežij (ponudnikov dostopa do interneta ali drugih večjih organizacij, ki se povezujejo v internet), s pomočjo katerih lahko ugotovimo kateremu omrežju oziroma kateri organizaciji pripada določeni IP naslov. Seveda tudi za podatke o ASN številkah velja, da so neko vodilo, ki z neko verjetnostjo (ne pa popolno gotovostjo) ustreza dejanskemu stanju. CERT organizacije (organizacije za ukrepanje ob omrežnih incidentih) te podatke praviloma vedno preverijo in skušajo ugotoviti ali nek blok IP naslovov, ki je recimo registriran za ponudnika v neki državi dejansko uporabljajo v tej državi ali pa so jih morda dodelili svoji podružnici nekje drugje na svetu. Pri ugotavljanju ASN številk lahko uporabimo storitev IP to ASN lookup organizacije Team Cymru.

Če v obrazec vnesemo IP naslov 91.189.89.88 in označimo, da želimo dobiti kodo države (cc – country code), dobimo podatek, da se dani IP naslov nahaja v Veliki Britaniji. Spletni strežnik www.ubuntu.si se nahaja v Sloveniji, www.indiaevm.com pa na Nizozemskem.

[Querying v4.whois.cymru.com]
 [v4.whois.cymru.com]
 AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
 41231   | 91.189.89.88     | 91.189.88.0/21      | GB | ripencc  | 2007-01-25 | CANONICAL-AS Canonical Ltd AS Number

Pri “običajnih” domenah in strežnikih se podatki iz obeh baz praviloma ujemajo. Povsem drugače pa je, ko naletimo na strežnike z nelegalno vsebino.

Analiza posebnega primera

Za v začetku omenjeni strežnik z nelegalno vsebino poizvedba pokaže, da se nahaja na IP naslovu 77.67.81.xxx (zadnji del IP naslova je namenoma zakrit). Pogled v GeoIP bazo pokaže, da se strežnik nahaja v ZDA, pogled v storitev IP to ASN lookup pa pokaže, da se strežnik nahaja v Evropski uniji. Podatka se seveda precej razlikujeta, zato se omenjeni IP naslov splača nekoliko podrobneje preučiti.

Storitev IP to ASN Lookup kaže, da se omenjeni IP nahaja v hrbteničnem omrežju ponudnika Tinet (kot “AS name” je navedeno TINET-BACKBONE Tinet SpA), ki poseduje IP naslove od 77.67.0.1 do 77.67.127.254. Gre za veliko mednarodno organizacijo, ki združuje številne ponudnike dostopa do interneta. Vendar pa vpogled v WHOIS imenik z orodjem whois za dotični IP naslov kaže, da se le-ta nahaja v omrežju Serverel Corporation iz ZDA (ki poseduje IP naslove od 77.67.80.0 do 77.67.81.255). Enako pokaže tudi vpogled v tim. reverzni DNS. Pri tem je zanimiv tudi podatek, da ima Tinet v WHOIS imeniku zabeleženi dve različni državi lastnika in administratorja omrežja:

owner-country: IT
admin-country: DE

Nekaj iskanja po internetu pokaže, da je podjetje Tinet SpA nastalo z združitvijo italijanskega Tiscali Intl Network in nemškega Nacamar Data Communications. Kot kaže, del svojih IP naslovov prodajajo tudi ameriškemu podjetju Serverel Corporation, ki pa ima podružnico tudi v Evropi. Natančneje, v Pragi, na Češkem. Najverjetneje je podjetje Serverel svoj “evropski” blok IP naslovov kupilo od nemškega podjetja Nacamar Data Communications (Nemčija in Češka sta sosedi), z združitvijo pa je nato ta bazen IP naslovov “pripadel” podjetju Tinet.

S tem je lokacija strežnika z nelegalno vsebino najverjetneje razkrita, oziroma je postalo jasno, da je potrebno preiskavo usmeriti na Češko. Seveda je na omenjeni lokaciji mogočih več scenarijev – na ugotovljenem IP naslovu se lahko nahaja posredniški spletni strežnik, na strežnik je morda nekdo vdrl in podtaknil nelegalne vsebine ali kaj tretjega. Morda pa preiskava s pomočjo plačila za najem strežnika odkrije pravega lastnika nelegalnih vsebin.

In še za konec: nekaj tednov po tem, ko je prijavo začela obravnavati slovenska policija je bila sporna domena preusmerjena na nek drug IP naslov – tokrat v Južni Koreji v omrežju Hanaro Telecoma.

Šola in Pensilvanije, ki je članica združenja šol Lower Merion School District je namreč lansko leto svojim učencem razdelila 2300 Applovih prenosnih računalnikov, ki naj bi jim pomagali pri učenju. Uporaba šolskih računalnikov je bila obvezna, učenci niso smeli uporabljati svojih računalnikov (če so v šoli uporabljali svoje računalnike so jim jih zasegli), šolski računalniki pa so bili za učence zaklenjeni (ni bilo mogoče nameščati ali odstranjevati programske opreme). Učencem, ki bi zaščito na računalnikih odstranili (tim. jailbreaking; gre za postopek s katerim je računalnik mogoče “odkleniti” in na njem nameščati ter poganjati poljubne programe), je grozil izpis iz šole. Težava pa je bila v tem, da je šola na vse prenosne računalnike namestila programsko opremo za oddaljeni nadzor.

Upravitelji šolskega informacijskega sistema so namreč na prenosne računalnike dijakov namestili programsko opremo za oddaljeno upravljanje z računalniki in oddaljeni nadzor LANRev. S pomočjo programa so šolski delavci lahko oddaljeno upravljali z računalnikom (npr. nameščali ali odstranjevali programe, odpravljali napake, itd.), program pa je omogočal tudi oddaljeni nadzor (preko omrežja oz. interneta). Tako so upravitelji šolskega informacijskega sistem lahko pregledovali vsebino namizja (zaslona) računalnika, program pa je omogočal tudi vklapljanje vgrajene spletne kamere in s tem prikrito opazovanje dijakov. Nadzor nad dijaki so izvajali tako v času pouka, kot tudi pri dijakih doma. Šola je sicer kot uradni razlog navedla, da nadzor med drugim izvajajo tudi zato, da bi v primeru kraje prenosnika lahko izsledili tatu, vendar o možnosti snemanja z vgrajeno videokamero dijakov in njihovih staršev niso obvestili. Nadzorni program je namreč upraviteljem omogočal, da so v primeru kraje prenosnika odkrili njegov IP naslov ter preko vgrajene spletne kamere zajeli sliko in tako posneli morebitnega tatu (zmožnosti programa v videoprispevku opisuje Mike Perbix iz Lower Meriton School District; njegova izjava se nahaja od 7:46 dalje).

Prikriti videonadzor s programom LANRev, levo posnetek namizja, desno slika iz vgrajene kamere.

Nekateri dijaki so sicer opazili, da se kamera na računalniku občasno vklaplja (lučka pri kameri je za kratek čas posvetila), vendar so jim na šoli vedno odgovorili, da gre za napako. Nekateri tehnično bolj podkovani dijaki so sicer kamere prelepili s črnim trakom, večina pa niti ni ugotovila za kaj bi pravzaprav lahko šlo, saj se z vgrajeno programsko opremo ni dalo ugotoviti kaj se dogaja.

Vendar pa ni šlo za napako, pač pa za sistematično vohunjenje nad učenci, čeprav šola trdi, da so omenjeni videonadzor uporabili samo 42-krat. Kot na svojem blogu opisuje Aaron Rhodes, je bilo delovanje nadzornega programja prikrito, klub temu pa je s pomočjo digitalno forenzične analize uspel ugotoviti kaj vse se je s programom dalo početi, odkril pa je tudi postopek s katerim je mogoče ugotoviti ali je na računalniku nameščen nadzorni program LANRev (s pomočjo tim. skeniranja IP naslova ciljnega računalnika z orodjem Nmap; Rhodes je odkril omrežni prstni odtis programa LANRev, ki ga že vključil v bazo omrežnih prstnih odtisov Nmap-a).

Vmesnik za oddaljeni nadzor računalnikov.

Vsekakor gre za hud poseg v zasebnost dijakov, zato so Robbins oziroma njegovi starši proti šoli sredi februarja letos že vložili tožbo (primer Blake J. Robbins v. Lower Merion School District). Konec februarja je nato zvezno sodišče šolam iz Lower Meriton School District v Pensilvaniji naložilo, da morajo takoj prenehati z videonadzorom učencev preko prenosnih računalnikov, prav tako pa do začetka sodnega postopka ne smejo uničiti nobenih datotek oziroma digitalnih dokazov o svojem početju. Prenosnik Robbinsa bo digitalno forenzično pregledan. Šola zdaj sicer zanika, da bi videonadzor preko spletnih kamer na prenosnikih uporabljala za namene disciplinskih postopkov proti dijakom.

Podjetje Absolute Software, ki proizvaja nadzorni program LANRev, je medtem že napovedalo, da bodo funkcijo nadzora preko spletne kamere onemogočili. Podjetje sicer proizvaja in trži tudi znani program za odkrivanje lokacije (s pomočjo IP naslova) ukradenih prenosnikov LoJack for laptops. Program v določenih časovnih intervalih sporoči svoje podatke in IP naslov v nadzorni center podjetja Absolute Software in v primeru kraje je nato lokacijo prenosnika s pomočjo teh podatkov mogoče izslediti. Program LoJack vsebuje tim. Persistence Module, ki onemogoča oziroma zelo otežuje odstranjevanje tega nadzornega programa. Avtorji programa so v sodelovanju z vodilnimi proizvajalci računalnikov razvili tehnologijo, ki onemogoča odstranitev programa LoJack tudi v primeru, da storilec izbriše celotno vsebino trdega diska ukradenega računalnika (!) in operacijski sistem naloži na novo (!). LoJackov Persistence Module je namreč povezan z BIOS-om računalnika, zato LoJack preživi vsako brisanje, menjavo diska ter celo nadgradnjo BIOS-a (tim. BIOS flash), po ocenah pa naj bi vsaj 60% novih prenosnikov že vsebovalo strojno (BIOS) podporo za LoJack.

Težava pa je v tem, da se je leta 2009 na konferenci Black Hat Briefings izkazalo, da ta nadzorna tehnologija vsebuje resno napako, zaradi katere je mogoče to tehnologijo obrniti proti lastniku takega prenosnika. Argentinska raziskovalca Anibal Sacco in Alfredo Ortega sta namreč pokazala, da je zaradi napake v zasnovi Persistence Modula na računalnik s to funkcionalnostjo (tudi v primeru, ko uporabnik ni namestil programa LoJack) mogoče namestiti virus oz. BIOS korenski komplet. Posledica tega je ta, da virusov na tako okuženem računalniku ni več mogoče odstraniti. Njune ugotovitve je kasneje potrdila še raziskava podjetja Corelabs.

Vsekakor se lahko resno vprašamo kakšne nadzorne tehnologije so že nameščene na naših računalnikih, pa se tega niti ne zavedamo, pa tudi kakšne varnostne ranljivosti imajo te tehnologije in kdaj se bodo le-te obrnile proti nam. Zaskrbljujoče je tudi dejstvo, da primer v Harrinton High School očitno ni osamljen, saj prenosnike v učnem procesu s podobno nadzorno tehnologijo uporabljajo tudi nekatere druge šole v ZDA. Vsekakor gre za pomemben dogodek, ki terja resen razmislek o pravici do zasebnosti in nadzoru s pomočjo sodobnih tehnologij.

DODATEK iz dne 26. februarja 2010: na spletu se je pojavil videoposnetek, ki prikazuje, kako šolski uslužbenci spremljajo dijake in jim v primeru, da niso dovolj prizadevni pošljejo sporočilo, naj se vrnejo nazaj na delo.

Te dni pa podobna odločitev prihaja tudi iz ZDA, kjer je Vrhovno sodišče zvezne države Ohio v primeru State of Ohio v. Antwuan Smith (State v. Smith, Slip Opinion No. 2009-Ohio-6426) presodilo, da policija potrebuje sodno odredbo, če želi zakonito preiskati mobilni telefon osumljenca.

Primer se je začel 21. januarja 2007, ko so zaradi zaužitja prekomerne količine droge v bolnišnico sprejeli pacientko Wendy Thomas Northern. Med pogovorom s policijo je Northernova poklicala osebo, ki ji je prodala drogo (Antwauna Smitha) in se dogovorila za prodajo droge v njegovem stanovanju, policija pa je pogovor posnela ter Smitha aretirala na njegovem domu. Med aretacijo so mu zasegli mobilni telefon, našli pa so tudi drogo. Mobilni telefon so preiskali in našli dokaze, da se je obtoženi res pogovarjal z Northernovo. Smithovega soglasja ali sodne odredbe za preiskavo policija ni imela.

Med sojenjem je sodišče dovolilo uporabo seznama klicev in telefonskih številk iz zaseženega telefona, ne pa tudi uporabe fotografij, ki jih je policija na telefonu našla med preiskavo. Obtoženi je bil obsojen na 12 let zaporne kazni in plačilo 10.000 USD, vendar se je pritožil in zahteval zavrženje dokazov, najdenih na njegovem mobilnem telefonu.

Vrhovno sodišče zvezne države Ohio je nato razsodilo, da je preiskava zaseženega mobilnega telefona brez odredbe oziroma soglasja obtoženega nezakonita. Pomembno vprašanje za presojo upravičenosti preiskave zaseženega mobilnega telefona je bilo, ali je mobilni telefon mogoče obravnavati kot tim. zaprto posodo (ang. closed container), ki jo policist sme odpreti in preiskati. Sodišče se je postavilo na stališče, da so sodobni mobilni telefoni naprave, ki hranijo številne osebne podatke (poleg seznama klicev še fotografije, videoposnetke, elektronsko pošto, finančne podatke, itd.), zato imamo posamezniki na njih visoko pričakovano zasebnost in jih ni mogoče obravnavati kot zaprto posodo (tim. closed container), ki jo policija zaseže in preišče v okviru preiskave.

Kljub temu sodišče dopušča možnost zakonitega pregleda mobilnega telefona brez odredbe, in sicer v dveh primerih: če je to nujno za varnost policistov ali v primeru suma, da bi osumljeni utegnil izbrisati podatke. Vendar pa je v drugem primeru sodišče zapisalo, da je v primeru suma, da bo osumljeni skušal uničiti (izbrisati) podatke na mobilnem telefonu, le-tega dovoljeno le zaseči in shraniti dokler sodišče ne izda odredbe za preiskavo, nikakor pa preiskave ni dovoljeno opraviti “preventivno”.

Kot rečeno podobna načela glede preiskovanja mobilnih telefonov in ostalih elektronskih naprav veljajo tudi v Sloveniji, pri nas pa je podrobneje področje preiskav elektronskih naprav uredila novela Zakona o kazenskem postopku (ZKP-J) o kateri smo že pisali.

O odločitvi Vrhovnega sodišča zvezne države Ohio poročajo tudi na spletni strani Inštituta za forenziko informacijskih tehnologij, ki se med drugim ukvarja tudi s forenzičnimi pregledi mobilnih telefonov.

2. oktobra je bila v Uradnem listu objavljena novela Zakona o kazenskem postopku (ZKP-J), ki v členih 219.a in 223.a opredeljuje postopke forenzičnega zasega podatkov v kazenskem postopku in nekatere posege v komunikacijsko zasebnost. Ker gre za pomembne spremembe, ki se tičejo predvsem preiskave tim. kiberkriminala oziroma se bodo omenjene določbe uporabljale tudi v kazensko preiskovalnih postopkih pri preiskavah različnih elektronskih naprav, si bomo v nadaljevanju pogledali nekaj bistvenih novosti, ki jih na tem področju prinaša novela zakona.

“Pobudo” za spremembo zakona je dalo Ustavno sodišče, ki je oktobra 2008 v razsodbi Up-106/05 presodilo, da poseg v svobodo komuniciranja ni dovoljen brez predhodnega dovoljenja sodišča ter da so prometni podatki sestavni del vsebine komunikacije, torej tudi del komunikacijske zasebnosti.

Ustavno sodišče je namreč odločalo o pritožbi posameznika, ki je bil pred Okrožnim sodiščem v Novi Gorici obsojen za kaznivo dejanje neupravičenega prometa z mamili. V kazenskem postopku je zatrjeval, da so bili podatki, ki so se nahajali na zaseženi SIM kartici, pridobljeni brez odredbe preiskovalnega sodnika, zato naj bi šlo za nedovoljene dokaze. Policija je namreč pritožniku med zakonito izvedeno preiskavo zasegla mobilni telefon ter ga nato, vključno s SIM kartico pregledala. Po pritožnikovem mnenju pa naj bi bilo to preiskovanje nezakonito, saj policija ni pridobila še (dodatne) odredbe za nadzor nadzor telekomunikacij.

Ustavno sodišče je v odločitvi ugodilo pritožniku ter s tem postavilo jasne meje posegov v tajnost občil. Posebej je tudi poudarilo stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije. To razumevanje prometnih podatkov je bilo v nekaterih pravnih krogih sicer nekoliko kritizirano, dejstvo pa je, da je skladno z razsodbo Evropskega sodišča za človekove pravice iz leta 1984, ko je ESČP v primeru Malone proti Veliki Britaniji (Malone v. Velika Britanija, odločba z dne 02. 08. 1984) zapisalo, da so prometni podatki integralni element telefonskih komunikacij. Velja sicer pripomniti, da ima ameriški pravni sistem do tega vprašanja nekoliko drugačno stališče, saj je Vrhovno sodišče ZDA leta 1979 v primeru Smith proti Maryland (Smith v. Maryland, 242 U.S. 735 (1979)) presodilo, da prometni podatki o telefonskih pogovorih niso zaščiteni s četrtim amandmajem ter s tem uvedlo ločevanje prometnih podatkov od same vsebine komunikacije.

Kakorkoli že, Ustavno sodišče je oktobra 2008 presodilo, da varstvo komunikacijske zasebnosti obsega tudi izpise iz telefona in SIM kartice oziroma podatke shranjene v naročnikovi terminalni napravi ter s tem tudi posredno opozorilo, da je pravna ureditev tovrstnih posegov v zasebnost v času novih tehnologij zastarela in potrebna dopolnitve.

V začetku leta 2009 se je zato pričel pripravljati predlog sprememb Zakona o kazenskem postopku, ki naj bi zapolnil novo “odkrito” pravno praznino, pri pripravi katerega sem z nekaterimi sodelavci iz Inštituta za forenziko informacijskih tehnologij (brezplačno) sodeloval tudi sam. Omenjene spremembe namreč zadevajo tako informatiko in digitalno forenziko, kot tudi vprašanje zasebnosti in varstva človekovih pravic. (Moje) osnovno izhodišče pa je bilo, da je zaradi razvoja informacijske tehnologije potrebno zakonodajo na tem področju modernizirati. Dosedanja praksa, ko je policija v kazenskem postopku kot dokaz obravnavala predvsem komunikacijsko napravo – in jo za potrebe kazenskega postopka tudi zasegla – je namreč po mojem mnenju zastarela. Razvoj tehnologije namreč zahteva pogled iz radikalno drugačne perspektive – tisto, kar je za dokazni postopek bistveno namreč ni fizična naprava, pač pa predvsem podatki na njej.

Zamislimo si namreč naslednjo situacijo. Storilec se ukvarja s prodajo nedovoljenih mamil, pri čemer pa s svojimi strankami komunicira preko elektronske pošte. Pri tem uporablja računalnike v javnih knjižnicah, s pomočjo katerih se preko spletnega vmesnika povezuje v svoj poštni predal pri ponudniku elektronske pošte.

V danem primeru se podatki, potrebni za kazenski postopek nahajajo na poštnem strežniku storilčevega ponudnika elektronske pošte in morebiti še v začasnem pomnilniku spletnega brskalnika na računalnikih v javni knjižnici, ki jih je storilec uporabil za spletni dostop do svojega poštnega predala.

Če je torej dokazni postopek usmerjen na napravo, bi v danem primeru torej policija lahko zasegla celoten poštni strežnik ponudnika elektronske pošte (ki se v primeru večjih ponudnikov elektronske pošte lahko nahaja celo v velikih kontejnerjih) ter morda tudi vse računalnike v knjižnici, ki jih je storilec uporabljal za dostop do svojega poštnega predala. Ker bi bile vse zasežene naprave nedvomno vključene v izvršitev kaznivega dejanja oziroma bi bilo kaznivo dejanje storjeno z njihovo uporabo, bi lahko ostale zasežene praktično do konca sodnega postopka, saj bi bile dokaz v kazenskem postopku. Če je torej zaseg naprave še nekako smiseln v primeru mobilnega telefona osumljenca, pa temu v času sodobnih, po možnosti razpršenih komunikacijskih sistemov (zlasti tim. oblačnega računalništva (ang. cloud computing)) zagotovo ni več tako.

V nadaljevanju si torej poglejmo posamezne novosti, ki jih prinaša novela in predvsem razmisleke, ki so privedli do oblikovanja posameznih določb.

219.a/1 člen ZKP-J

(1) Preiskava elektronskih in z njo povezanih naprav ter nosilcev elektronskih podatkov (elektronska naprava), kot so telefon, telefaks, računalnik, disketa, optični mediji in spominske kartice, se zaradi pridobitve podatkov v elektronski obliki lahko opravi, če so podani utemeljeni razlogi za sum, da je bilo storjeno kaznivo dejanje in je podana verjetnost, da elektronska naprava vsebuje elektronske podatke:
– na podlagi katerih je mogoče osumljenca ali obdolženca identificirati, odkriti ali prijeti ali odkriti sledove kaznivega dejanja, ki so pomembni za kazenski postopek, ali
– ki jih je mogoče uporabiti kot dokaz v kazenskem postopku.

Člen najprej jasno opredeli elektronske naprave, ki vključujejo tudi nosilce elektronskih podatkov pri čemer se ne omejuje na trenutno znane naprave, pač pa je za definicijo elektronske naprave bistveno, da vsebuje elektronske podatke. Nadalje je določen namen preiskave, ki je predvsem pridobiti podatke v elektronski obliki. S tem se zakon jasno osredotoča na zaseg podatkov in ne več na zaseg nosilcev podatkov. Za kazensko preiskavo so namreč bistveni elektronski podatki (ki imajo tudi status dokaza), ne pa konkreten fizični medij, na katerem se nahajajo. Določba tudi opredeli kdaj je preiskava elektronskih naprav dopustna ter pri tem podaja ustrezen zahtevani dokazni standard.

219.a/2 člen ZKP-J

(2) Preiskava se opravi na podlagi vnaprejšnje pisne privolitve imetnika ter policiji znanih in dosegljivih uporabnikov elektronske naprave, ki na njej utemeljeno pričakujejo zasebnost (uporabnik), ali na podlagi obrazložene pisne odredbe sodišča, izdane na predlog državnega tožilca. Če se preiskava opravi na podlagi odredbe sodišča, se izvod te odredbe pred začetkom preiskave izroči imetniku oziroma uporabniku elektronske naprave, ki naj se preišče.

V drugem odstavku 219.a člena novela ZKP določa pravno podlago za izvedbo preiskave. Le-ta je lahko soglasje imetnika oziroma vseh znanih in dosegljivih uporabnikov, ki na tej napravi utemeljeno pričakujejo zasebnost ali obrazložena pisna odredba sodišča.

Prva možnost bo uporabna v vseh tistih primerih, ko gre za elektronske dokaze na napravi v lasti žrtve kaznivega dejanja, npr. za preiskavo računalnika na katerega je nekdo vdrl ali npr. iz njega ukradel neke podatke. Pomembno je, da se v tem primeru zahteva soglasje vseh znanih in dosegljivih uporabnikov in ne zgolj lastnika ali trenutnega imetnika naprave.

Dikcija, ki bi predvidevala zgolj soglasje imetnika ali lastnika naprave bi lahko privedla do zlorab, zlasti v primeru podjetij ali posameznikov, ki so lastniki poštnih strežnikov. Ideja je sicer povzeta iz tuje sodne prakse, konkretno iz primera Steve Jackson Games v. U.S. Secret Service (Steve Jackson Games v. U.S. Secret Service, 36 F.3d 457 (1994)), kjer je Vrhovno sodišče ZDA ugotovilo, da zaplemba in uničenje elektronske pošte uporabnikov, ki niso ničesar osumljeni, uporabljajo pa isti strežnik kot osumljenec, predstavlja kršitev in je zato nedopustna.

Druga možnost, uporaba obrazložene pisne odredbe sodišča, izdane na predlog državnega tožilca, pa bo seveda prišla prav v primerih “klasičnih” kazenskih preiskav, ob čemer je seveda upoštevana zgoraj omenjena zahteva Ustavnega sodišča po predhodnem dovoljenju sodišča za poseg v komunikacijsko zasebnost.

219.a/3 člen ZKP-J

(3) Predlog in odredba o preiskavi elektronske naprave morata vsebovati:
– podatke, ki omogočajo identifikacijo elektronske naprave, ki se bo preiskala;
– utemeljitev razlogov za preiskavo;
– opredelitev vsebine podatkov, ki se iščejo;
– druge pomembne okoliščine, ki narekujejo uporabo tega preiskovalnega dejanja in določajo način njegove izvršitve.

Tretji odstavek 219.a člena določa elemente, ki jih morata vsebovati predlog in odredba o preiskavi elektronske naprave. Eden izmed zahtevanih elementov je tudi opredelitev vsebine podatkov, ki se iščejo.

Gre za pomembno določbo, ki odpira možnosti za modernizacijo razumevanja elektronske naprave kot listine. V dosedanji praksi je za pregled npr. računalnika veljalo razumevanje računalnika kot spisa. Pregled tako ni bil osredotočen samo na določene podatke, pač pa je preiskava lahko obsegala preiskavo celotnega računalnika. S tem se je vzpostavila analogija z zaprtim prostorom, kjer velja, da ko je odredba za preiskavo odobrena, je na tej podlagi mogoče preiskati celoten zaprt prostor in pri tem v kazenskem postopku uporabiti vse dokaze v zvezi s kaznivimi dejanji, ki jih organi pri tem odkrijejo.

Takšno razumevanje elektronskih naprav po mojem mnenju v svetu postaja preseženo, kar nakazuje primer United States v. Carey (United States v. Carey, 172 F.3d 1268, 1273-75 (10th Cir. 1999)). V primeru je šlo za pritožbo osumljenca, ki je bil aretiran zaradi suma trgovanja z mamili. Digitalni forenziki so mu pregledali računalnik zaradi suma, da bodo na njem našli dokaze o trgovanju z nedovoljenimi mamili, pri pregledu pa so našli datoteko z otroško pornografijo.

Preiskovalci so nato več kot pet ur preiskovali datoteke z namenom iskanja otroške pornografije in o njenem posedovanju našli številne dokaze, ne pa tudi dokazov v zvezi s prodajo mamil. Osumljenca so nato obdolžili posedovanja otroške pornografije.

Obtoženec se je pritožil, a so se preiskovalci sklicevali na doktrino “plain view”. Sodišče pa je pritožbi ugodilo in zavrglo dokaze o posedovanju otroške pornografije, pri čemer so pojasnili, da lahko računalniki vsebujejo veliko različnih informacij, kar ustvarja večje možnosti za zlorabe zasebnosti. Naključna najdba prve datoteke z otroško pornografijo tako še predstavlja tim. “plain view”, za nadaljnjo preiskavo v tej smeri pa bi bilo potrebno pridobiti dodatno odredbo. Podobna je bila namreč odločitev sodišča v Wyomingu, kjer so v primeru United States v. Walser (United States v. Walser, 275 F.3d 981 (10th Cir. 2001)), preiskovalci ravno tako na podlagi naloga za preiskavo računalnika v zvezi s prodajo nedovoljenih mamil, naleteli na datoteko, ki je kazala na otroško pornografijo. Vendar pa so v tem primeru preiskavo takoj prekinili in pridobili novo odredbo za preiskavo v zvezi z otroško pornografijo. V tem primeru je sodišče nato dovolilo uporabo tako zbranih dokazov.

219.a/4 in 219.a/5 člen ZKP-J

(4) Če se preiskava elektronske naprave odredi v odredbi za hišno ali osebno preiskavo, za izdajo tega dela odredbe in njeno izvršitev veljajo pogoji in postopki iz tega člena. V tem primeru tudi predlog za hišno ali osebno preiskavo poda državni tožilec.

(5) Izjemoma, če pisne odredbe ni mogoče pravočasno pridobiti ter če obstaja neposredna in resna nevarnost za varnost ljudi ali premoženja, lahko preiskovalni sodnik na ustni predlog državnega tožilca odredi preiskavo elektronske naprave z ustno odredbo. O predlogu državnega tožilca in odredbi preiskovalni sodnik izdela uradni zaznamek. Pisna odredba mora biti izdana najpozneje v dvanajstih urah po izdaji ustne odredbe, sicer policija, ki je odredbo izvršila, zapisniško uniči ali izbriše shranjene ali kopirane podatke in o tem v osmih dneh obvesti preiskovalnega sodnika, državnega tožilca in imetnika oziroma uporabnika elektronske naprave, če je znan.

Peti odstavek novele opredeljuje tim. nujne primere, v katerih je do podatkov potrebno priti čim prej, hkrati pa uvaja tudi ustrezne varovalke, ki preprečujejo možne zlorabe teh nujnih primerov.

Med tim. nujne primere se štejejo vse tiste situacije, kjer pisne odredbe ni mogoče pravočasno pridobiti ter hkrati obstaja neposredna in resna nevarnost za varnost ljudi ali premoženja. V teh primerih preiskavo z ustno odredbo odredi preiskovalni sodnik na ustni predlog državnega tožilca. Ob tem se izdela uradni zaznamek, pisna odredba pa mora biti izdana najpozneje v dvanajstih urah. Če temu ni tako, je potrebno zasežene podatke uničiti in jih ni mogoče uporabiti v kazenskem postopku. Ob tem je pomembno tudi to, da je v takem primeru o tem v osmih dneh potrebno obvestiti tudi imetnika oziroma uporabnika elektronske naprave (če je znan) saj gre v takem primeru za poseg v njegovo pravico do zasebnosti.

219.a/6 člen ZKP-J

(6) Imetnik oziroma uporabnik elektronske naprave mora omogočiti dostop do naprave, predložiti šifrirne ključe oziroma šifrirna gesla in pojasnila o uporabi naprave, ki so potrebna, da se doseže namen preiskave. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca ali obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen).

Pomembne varovalke pri varstvu človekovih pravic, hkrati pa tudi nekaj novosti v kazenski postopek, uvaja tudi 6. odstavek 219.a člena. Le-ta namreč določa, da mora imetnik oziroma uporabnik elektronske naprave na zahtevo preiskovalcev predložiti šifrirne ključe in pojasnila o uporabi naprave. Za osebe, ki tega ne bi želele storiti, so predvidena tudi prisilna dejanja (celo zapor).

Vendar pa velja poudariti, da ta določba velja samo za tim. priče v postopku, ne pa tudi za osumljence ali obdolžence, njihove zakonce ter bližnje krvne sorodnike (oziroma vse osebe iz 236. člena ZKP) oz. osebe, ki ne smejo biti zaslišane kot priče (osebe iz 235. člena ZKP), s čimer se izrecno upošteva privilegij zoper samoobtožbo.

Kljub temu je smiselno opozoriti, da obveznost imetnika elektronske naprave glede pojasnil o uporabi naprave ne sme biti nesorazmerna oziroma, da ga preiskovalci zaradi npr. svojega neznanja ne smejo nesorazmerno obremeniti in od njega zahtevati nekakšnega brezplačnega strokovnega svetovanja.

Vprašanje razkritja šifrirnih ključev sicer v zadnjih letih postaja eno pomembnejših vprašanj tim. informacijskega prava. Danes je namreč na trgu dostopnih kar nekaj izredno uporabniško prijaznih in hkrati celo brezplačnih kriptografskih produktov, s katerimi lahko uporabniki šifrirajo podatke na svojih trdih diskih in drugih nosilcih podatkov oziroma kar celotne nosilce podatkov. Vsebina šifriranih podatkov je preiskovalcem nedostopna, kar ima seveda posledice tudi za kazenski postopek in preiskanost kaznivih dejanj. Problema razkritja šifrirnih ključev se sicer različne države lotevajo na različne načine.

V ZDA so se tako načeloma postavili na stališče, da razkritje gesla predstavlja obliko pričanja in da torej osumljencu šifrirnega gesla ni potrebno razkriti. Od stališča so sicer mogoče tudi določene izjeme, kar se je pokazalo v primeru In re Boucher (United States v. Boucher, 2007 WL 4246473). V tem primeru je namreč mejna policija leta 2006 nekomu zasegla prenosni računalnik. Računalnik je bil vključen, na njem pa je bil aktiven šifrirni kontejner (v sistemu je bil viden kot dodaten disk). Mejna policija je nato računalnik pregledala in na njem (na aktiviranem šifrirnem kontejnerju) našla vsebine povezane z otroško pornografijo. Računalnik so nato zasegli in ugasnili, pri tem pa nevede deaktivirali oz. odklopili šifrirni kontejner. Ko so računalnik ponovno vključili, so preiskovalci ugotovili, da do šifriranih vsebin povezanih z otroško pornografijo brez gesla ne morejo. Na zaslišanju so nato predlagali, da osumljenec vnese geslo, česar pa le-ta seveda ni želel storiti. Preiskovalci so nato predlagali, da osumljeni vnese geslo brez prisotnosti policistov ali ostalih vladnih uslužbencev in policiji omogoči le dostop do šifriranega diska.

Podobno rešitev so pred tem v ZDA uporabili že v primeru People proti Price. V primeru, ki se je zgodil na višjem kalifornijskem sodišču v ZDA, je tožilstvo uspešno izsililo šifrirno geslo od obtoženca. Vendar v tem primeru gesla niso uporabili za pridobitev dokazov, temveč za ugotavljanje, ali naj policija obtoženemu vrne zaplenjeni računalnik. V računalniku je bilo namreč več šifriranih datotek, za katere je policija domnevala, da vsebujejo otroško pornografijo. Obtoženec je želel dokazati, da v njegovem računalniku ni otroške pornografije (in s tem pridobiti računalnik nazaj), zato so preiskovalci zagnali šifrirni program do točke, ko je treba vpisati geslo, obtoženec pa je geslo povedal zapriseženemu sodnemu uradniku in ta je geslo vpisal brez navzočnosti preiskovalcev. Preiskovalci so nato dokončali postopek dešifriranja datotek (in našli otroško pornografijo ter nato računalnika niso vrnili).

Leta 2007 je sodišče v primeru In re Boucher (In Re Boucher, 2007 WL 4246473) presodilo, da bi bilo razkritje gesla oblika pričanja, zahteva po razkritju pa bi predstavljala kršitev petega amandmaja ameriške ustave, ki prepoveduje samoobtožbo.

Vendar pa je v začetku leta 2009 pri zadevi prišlo do preobrata. Zvezni sodnik iz Vermonta je namreč presodil, da mora obdolženi omogočiti dostop do vsebine šifriranega diska, katerega vsebino so pred tem že videli mejni policisti. Temelj za tako odločitev pa je bilo dejstvo, da je obdolženi pred tem policistom že pokazal dešifrirano vsebino diska. V nasprotnem primeru bi prepoved samoobtožbe veljala, osumljencu pa gesla ne bi bilo treba povedati.

Povsem drugačen pristop pa je ubrala Velika Britanija, ki je leta 2000 sprejela Regulation of Investigatory Powers Act (RIPA). Zakon je bil oktobra 2007 dopolnjen tako, da sedaj v tretjem poglavju z naslovom “Investigation of electronic data protected by encryption etc.” predvideva prisilna dejanja (do 2 leti zaporne kazni) za imetnika šifrirnega ključa, ki preiskovalcem ne želi omogočiti dostopa do nešifriranih podatkov ali izročiti šifrirnih ključev.

Pred tem so podobne zahteve sprejeli le v nekaj državah (Singapurju in Maleziji) ter v nekaterih o tem zgolj razmišljali. Podobne zahteve sicer vsebuje tudi Irski leta 2000 sprejeti Electronic Commerce Act v 27.c in 28. členu, vendar se ne razlagajo tako restriktivno, kot v Veliki Britaniji.

Omenjene določbe v RIPA so bile sicer sprejeta predvsem z namenom boja proti ekstremnim oblikam kriminala in terorizmu, precej kritik pa je poželo dejstvo, da so bile omenjene določbe zakona prvikrat uporabljene ne proti teroristom, pač pa proti članom skupine, ki se je zavzemala za pravice živali.

Določbe RIPA sprožajo številna vprašanja, od tega, da ne spoštujejo privilegija zoper samoobtožbo, do tega, da so morda celo povsem neučinkovite, saj ni verjetno, da bi bili obdolženci, ki jim grozi kazen višja od dveh let zapora, pripravljeni šifrirne ključe razkriti in s tem “sprejeti” višjo kazen. Dejstvo je tudi, da bi bili zaradi takih določil lahko kaznovani celo nedolžni posamezniki, ki bi ključe izgubili oz. gesla pozabili ali pa bo jih nekdo drug naredil v njihovem imenu.

Na problem je humorno pokazal tudi britanski projekt ‘Dear Jack’, kjer je skupina britanskih aktivistov v protestu ob podobnemu zakonu leta 1999 britanskemu notranjemu ministru Jacku Strawu poslala pismo, v katerem je bilo s šifrirnim ključem, narejenim v njegovem imenu, zašifrirano priznanje izmišljenega zločina, šifrirni ključ pa so uničili. Aktivisti so mu v javnem pismu napisali, da upajo, da “so pokazali, da zaradi tega zakona ne bodo kaznovani le tisti, ki so zagrešili zločin, pač pa tudi nedolžni posamezniki”.

Dodatne težave (za zakon) pa predstavlja tudi tehnika tim. verodostojnega zanikanja (ang. plausible deniability). Gre za tehniko, ki omogoča skrivanje šifriranih podatkov, njeno uporabo pa omogoča tudi znan (brezplačni) šifrirni program TrueCrypt.

Običajno šifrirni programi omogočajo le izdelavo tim. šifrirnega kontejnerja (navadno v obliki posebne datoteke), v katerega je nato mogoče shranjevati podatke (npr. datoteke). Podatki so seveda dostopni le s šifrirnim ključem. V primeru verodostojnega zanikanja, pa se znotraj šifrirnega kontejnerja ustvari še en, skrit šifrirni kontejner, ki ga je mogoče odkleniti z drugim šifrirnim ključem. Če torej uporabnik osnovni šifrirni kontejner odpre z enim ključem, se pokažejo eni podatki, če ga odpre z drugim, se pokažejo drugi podatki. Sistem je zasnovan tako, da ni mogoče ugotoviti ali dani šifrirni kontejner vsebuje še skrit šifrirni kontejner, hkrati pa je gnezdenje skritih šifrirnih kontejnerjev mogoče v neskončnost (prvi šifrirni kontejner vsebuje skrit drugi šifrirni kontejner, ta tretjega, spet ta četrtega, itd., vsak pa ima svoje geslo oz. šifrirni ključ).

Uporabnik, ki bo torej prisiljen razkriti šifrirne ključe, bo v primeru uporabe verodostojnega zanikanja v program za dešifriranje podatkov mirno vpisal prvo geslo, ki bo razkrilo zanj povsem neobremenilne podatke. S tem pa določbe zakonodaje, ki zahteva razkritje šifrirnih ključev v praksi postanejo povsem neuporabne.

219.a/7 in 219.a/8 člen ZKP-J

(7) Preiskava se opravi tako, da se ohrani integriteta izvirnih podatkov in možnost njihove uporabe v nadaljnjem postopku. Preiskava mora biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda.

(8) Preiskavo opravi strokovno usposobljena oseba. O preiskavi se napravi zapisnik, ki med drugim obsega:
– identifikacijo elektronske naprave, ki je bila pregledana;
– datum ter uro začetka in konca preiskave oziroma ločeno za več preiskav, če preiskava ni bila opravljena v enem delu;
– morebitne sodelujoče in navzoče osebe pri preiskavi;
– številko odredbe in sodišče, ki jo je izdalo;
– način izvedbe preiskave;
– ugotovitve preiskave in druge pomembne okoliščine.

Bistvena novost, ki jo prinašata 7. in 8. odstavek 219.a člena ZKP je uzakonitev oz. zahteva po spoštovanju postopkov digitalne forenzike pri preiskavi. Ob tem se izrecno zahteva zagotovitev integritete podatkov ter vodenje ustrezne dokumentacije (tim. skrbniške verige, ang. chain of custody) v obliki zapisnika. Le po pravilih forenzične stroke zaseženi podatki, ki ohranijo svojo integriteto, imajo namreč lahko status veljavnega dokaza.

Pomembno določilo je tudi tisto, ki določa, da mora biti preiskava opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda. Določba je pomembna zlasti v primeru preiskav na večuporabniških sistemih, hkrati pa preiskovalcem nalaga, da se potrudijo podatke zaseči čim hitreje in na način, ki je kar najmanj obremenilen za lastnika naprave.

V nasprotnem primeru bi se namreč lahko zgodilo, da npr. žrtve kiberkriminala kaznivih dejanj ne bi želela prijavljati, saj bi se lahko bale, da jim bo preiskava povzročila dodatno škodo v obliki poškodovanja naprave ali onemogočenja njene uporabe za čas trajanja kazenskega postopka. Preveč restriktivno postopanje policije pri preiskovanju elektronskih naprav, bi namreč lahko žrtvam povzročalo dodatno (poslovno) škodo, posledica pa bi bil lahko povečan upad interesa za prijavo kaznivih dejanj iz področja računalniške kriminalitete.

219.a/9, 219.a/10 in 219.a/11 člen ZKP-J

(9) Če se pri preiskavi najdejo podatki, ki niso v zvezi s kaznivim dejanjem, zaradi katerega je bila preiskava odrejena, temveč kažejo na drugo kaznivo dejanje, za katero se storilec preganja po uradni dolžnosti, se zasežejo tudi ti. To se navede v zapisnik in takoj sporoči državnemu tožilcu, da začne kazenski pregon. Ti podatki pa se takoj uničijo, če državni tožilec spozna, da ni razloga za kazenski pregon in tudi ne kakšnega drugega zakonskega razloga, da bi se morali podatki vzeti. O uničenju se sestavi zapisnik.

(10) Če v tem členu ni določeno drugače, se za odreditev in izvršitev odredbe o preiskavi elektronske naprave smiselno uporabljajo določbe tretjega in četrtega odstavka 215. člena ter četrtega, petega in sedmega odstavka 216. člena tega zakona.

(11) Če je bila preiskava elektronske naprave opravljena brez odredbe sodišča ali v nasprotju z njo ali brez pisne privolitve iz drugega odstavka tega člena, sodišče svoje odločbe ne sme opreti na zapisnik o preiskavi in na tako pridobljene podatke.

Kot smo ugotavljali že pri komentarju 3. odstavka 219.a člena ZKP se postavlja vprašanje ustreznosti uporabe “plain view” doktrine na področju elektronskih naprav, ki hranijo številne zasebne podatke enega ali več njihovih uporabnikov. Kot je bilo prikazano, je razumevanje elektronskih naprav kot spisa v svetu že preseženo, kar velja zlasti za večuporabniške sisteme (že omenjeni primer Steve Jackson Games v. U.S. Secret Service, 36 F.3d 457 (1994)).

Vendar pa pri tem trčimo na povsem praktičen problem. Dejstvo namreč je, da je digitalne podatke mogoče razmeroma enostavno skrivati na različna mesta v elektronski napravi. Tako je npr. mogoče besedilni dokument “skriti” v filmsko datoteko, posebej problematično pa je skrivanje podatkov na tim. prazen prostor oz. digitalno forenzično iskanje izbrisanih podatkov. Običajno brisanje podatkov (npr. datotek na trdem disku) namreč le-teh ne odstrani trajno, na voljo pa so različne tehnike, ki že izbrisane podatke rekonstruirajo delno ali v celoti. Ker so podatki, ključni za kazenski pregon lahko skriti ali izbrisani (in se posledično nahajajo na tim. praznem prostoru nosilca podatkov), je seveda razumljivo, da je v okviru digitalno forenzične preiskave potrebno preiskati celoten nosilec podatkov. Ob tem pa trčimo na problem rekonstrukcije oz. najdenja dokazov o drugih kaznivih dejanjih ali celo podatkov drugih oseb, ki skupaj z osumljencem uporabljajo npr. isti računalnik.

Vsekakor gre za zapleteno vprašanje, ki v novem ZKP verjetno ni povsem dokončno razrešeno, po mojem mnenju pa zahteva po opredelitvi vsebine podatkov, ki se iščejo iz 3. odstavka 219.a člena ZKP, odpira možnosti za radikalnejšo spremembo pristopa pri preiskovanju elektronskih naprav.

223.a/1 člen ZKP-J

(1) Če se zaseže elektronska naprava (prvi odstavek 219.a člena) zaradi oprave preiskave, se podatki v elektronski obliki zavarujejo tako, da se shranijo na drug ustrezen nosilec podatkov na način, da se ohrani istovetnost in integriteta podatkov ter možnost njihove uporabe v nadaljnjem postopku ali se izdela istovetna kopija celotnega nosilca podatkov, pri čemer se zagotovi integriteta kopije teh podatkov. Če to ni mogoče, se elektronska naprava zapečati, če je mogoče, pa samo tisti del elektronske naprave, ki naj bi vseboval iskane podatke.

Prvi odstavek 223.a člena ZKP določa digitalno forenzična pravila za zaseg podatkov. Pri tem ni bistveno na katerem nosilcu podatkov se podatki nahajajo, bistveno je, da se ohrani istovetnost in integriteta podatkov. Šele če kopiranje podatkov iz elektronske naprave ni mogoče, je dovoljeno zaseči celotno napravo oziroma po možnosti samo tisti del, ki vsebuje iskane podatke.

Določba tako omogoča da imetnik elektronske naprave le-to čim prej dobi vrnjeno nazaj (oziroma vsaj nekatere njene dele), hkrati pa preiskovalcem ni potrebno hraniti (in skladiščiti) nepotrebnih naprav, pač pa lahko hranijo samo tisto, kar je za kazenski postopek pravzaprav bistveno – istovetne kopije podatkov.

223.a/2 člen ZKP-J

(2) Če je bila elektronska naprava zasežena brez odredbe sodišča in je bila zaradi zavarovanja podatkov izdelana njihova kopija, vendar sodišče v dvanajstih urah ni izdalo odredbe za preiskavo po petem odstavku 219.a člena tega zakona oziroma ni bila dana privolitev po drugem odstavku 219.a člena tega zakona, policija zapisniško trajno uniči izdelano kopijo in o tem v osmih dneh pisno obvesti preiskovalnega sodnika, državnega tožilca in imetnika oziroma uporabnika elektronske naprave, če je znan.

Navedena odločba v bistvu le ponovno poudarja načelo, ki je zapisano že v 5. odstavku 219.a člena, gre pa seveda za varovalko, ki preprečuje zlorabe tim. nujnih primerov.

223.a/3 člen ZKP-J

(3) Imetnik, uporabnik, upravljavec ali skrbnik elektronske naprave oziroma tisti, ki ima do nje dostop, mora na zahtevo organa, ki jo je zasegel, takoj ukreniti, kar je potrebno in je v njegovi moči, da se onemogoči uničenje, spreminjanje ali prikrivanje podatkov. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca, obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen).

Podobno kot v 219.a/6 členu, ki opredeljuje dolžnost izročitve šifrirnih ključev in pojasnil o delovanju naprave, tudi ta člen opredeljuje dolžnosti oseb, ki imajo do naprave dostop oz. z njo upravljajo. Dolžnost teh oseb (z enakimi izjemami kot v 219.a/6 členu) je predvsem, da takoj ukrenejo vse potrebno in – kar je še posebej pomembno – je v njihovi moči, da se zavarujejo dokaze oz. onemogočijo uničenje, spreminjanje ali prikrivanje podatkov. Tipičen primer uporabe določbe tega člena bi bila npr. zahteva za zavarovanje dnevniških zapisov, ki se v informacijskih sistemih hranijo določen čas, po preteku določenega časa, pa se starejši zapisi izbrišejo.

223.a/4 in 223.a/5 člen ZKP-J

(4) Imetnika naprave se povabi, naj bo sam, njegov zastopnik, odvetnik ali strokovnjak navzoč pri zavarovanju podatkov po prvem odstavku tega člena. Če se ne odzove vabilu, če je odsoten ali če ni znan, se zavarovanje podatkov in izdelava istovetne kopije opravi v njegovi nenavzočnosti. Zavarovanje podatkov opravi ustrezno usposobljena oseba.

(5) Pri zavarovanju podatkov se v zapisnik zapiše tudi kontrolna vrednost, oziroma se na drug ustrezen način v zapisniku zagotovi možnost naknadnega preverjanja istovetnosti in integritete zavarovanih podatkov. Izvod zapisnika se izroči osebi iz prejšnjega odstavka, ki je bila navzoča pri zavarovanju podatkov.

Navedeni odstavek daje imetniku naprave možnost, da je prisoten pri zavarovanju oz. zasegu (kopiranju) podatkov (ne pa tudi pri sami preiskavi). Kopiranje podatkov po pravilih digitalno forenzične stroke namreč zahteva tudi izračun tim. kontrolne vsote. Gre za poseben postopek, ki na podlagi matematičnega algoritma izračunavanja kontrolnih vsot (ang. hash values) izračuna unikatni digitalni prstni odtis podatkov (v obliki števila). Za kopijo podatkov, ki ima enako kontrolno vsoto velja, da je istovetna originalnim podatkom. Če pa pride do kakršnekoli (pooblaščene ali nepooblaščene, namerne ali nenamerne) spremembe podatkov, se kontrolna vsota teh podatkov spremeni in ne moremo več govoriti o istovetni kopiji, posledično pa tak dokaz ni več veljaven. Praviloma se za izračun uporabljata algoritma MD5 in SHA oziroma njegove podrazličice, čeprav se uporaba MD5 v svetu opušča, saj je bilo leta 2005 dokazano, da MD5 ni več ustrezen oz. ne daje ustreznih zagotovil za zagotavljanje integritete podatkov.

Z izračunom kontrolne vsote in prisotnostjo imetnika naprave se zagotovi, da je zagotovljena integriteta zaseženih podatkov in da je kasneje mogoče dokazati ali je prišlo do spremembe podatkov (npr. podtikanja ali prikrivanja dokazov s strani preiskovalcev ali drugih oseb) ali ne. Ker gre seveda za postopek, pri katerem je potrebno določeno tehnično znanje, je v zakonu imetniku naprave dana možnost, da k zavarovanju dokazov povabi tudi strokovnjaka, ki mu zaupa.

223.a/6 ZKP-J

(6) Zaseg in zavarovanje podatkov morata biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter se ne povzroča nesorazmerna škoda zaradi nezmožnosti uporabe elektronske naprave.

Podobno kot v 219.a/7 členu je tudi tukaj navedena varovalna določba glede zasega in zavarovanja podatkov.

223.a/7 ZKP-J

(7) Kopije zaseženih podatkov se hranijo, dokler je to potrebno za postopek. Elektronska naprava se hrani, dokler podatki niso shranjeni na način, ki zagotovi istovetnost in integriteto zaseženih podatkov, vendar ne več kakor tri mesece od dneva pridobitve. Če izdelava takšne kopije podatkov ni mogoča, se elektronska naprava ali del elektronske naprave, ki vsebuje iskane podatke, hrani, dokler je to potrebno za postopek, vendar ne več kakor šest mesecev od dneva pridobitve, razen če je bila zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja oziroma je sama elektronska naprava dokaz v kazenskem postopku.

Precejšnjo novost predstavlja tudi sedmi odstavek 223.a člena. Določa namreč pravila glede hrambe kopije podatkov in vračanja pridobljene elektronske naprave (nosilca podatkov). Osnovno načelo, ki ga uveljavlja zakon je, da se sama naprava čim hitreje vrne imetniku, kopija podatkov pa se hrani dokler je to potrebno za kazenski postopek.

Vsekakor je napravo potrebno shraniti vsaj dokler podatki niso v skladu s pravili digitalno forenzične stroke ustrezno zaseženi (prekopirani). To obdobje pa lahko traja največ tri mesece, nato pa se naprava imetniku vrne.

Seveda pa je mogoča tudi situacija, ko kopije digitalnih podatkov ni mogoče izdelati, ko gre npr. za kakšno posebno elektronsko napravo, ki ne omogoča prenosa podatkov na zunanji medij. V tem primeru je uveljavljeno načelo, da se elektronska naprava oziroma – če je mogoče – samo njen del, hrani dokler je to potrebno za postopek. Tudi tukaj zakon uvaja varovalko – hramba je omejena na največ šest mesecev – a s pridržkom: razen če je bila zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja oziroma je sama elektronska naprava dokaz v kazenskem postopku.

Zakon torej uveljavlja načelo, da se elektronska naprava čim prej po zasegu podatkov na njej vrne imetniku, saj za kazenski pregon ni bistven nosilec podatkov, pač pa vsebina podatkov. Kljub temu se postavlja vprašanje kaj storiti v primerih, ko zakonodaja zahteva odvzem inkriminiranih podatkov.

223.a/8 člen sicer predvideva izločitev in uničenje podatkov, ki se ne smejo hraniti. Pri tem se opira na 498. člen ZKP, ki v prvem odstavku določa, da se predmeti, ki se po kazenskem zakonu smejo ali morajo vzeti, vzamejo tudi tedaj, kadar se kazenski postopek ne konča z obsodilno sodbo, če je nevarno da bi bili uporabljeni za kaznivo dejanje ali če to zahtevajo koristi splošne varnosti ali razlogi morale.

Vendar pa se 223.a/8 člen izrecno nanaša na zasežene kopije podatkov, ne pa na originalne podatke (na originalnem nosilcu podatkov). Za primer si zamislimo situacijo, kjer je storilec ukradel in si na svoj računalnik prekopiral bazo osebnih podatkov ali pa si je na računalnik naložil npr. vsebine povezane z otroško pornografijo. V slednjem primeru Kazenski zakonik v 5. odstavku 176. člena določa, da se takšno gradivo vzame ali njegova uporaba ustrezno onemogoči. V praksi se tako zastavlja vprašanje ali nosilce podatkov s takšno vsebino imetniku takoj po izdelavi ustrezne digitalno forenzične kopije vrniti ali ne.

Odgovor na to vprašanje gotovo ni enoznačen, saj je verjetno, da se na istem nosilcu podatkov poleg inkriminiranih podatkov nahajajo tudi drugi podatki, morda gre celo za podatke drugih, s storilcem povsem nepovezanih oseb. Tipičen primer bi bil recimo spletni strežnik z več (med seboj nepovezanimi) uporabniki, pri čemer eden izmed uporabnikov na svoj del strežnika naloži inkriminirane vsebine, spletne strani ostalih uporabnikov istega sistema pa ne vsebujejo nič nezakonitega. V takem primeru je verjetno nesorazmerno odvzeti in uničiti celoten nosilec podatkov. Zastavlja se tudi vprašanje, kdaj do odkritja inkriminiranih vsebih sploh pride. Obstoj spornih vsebin ob sami izdelavi kopije podatkov še ni potrjen in ga bo morda razkrila šele kasnejša (in dalj časa) trajajoča preiskava.

Ko pa inkriminirani podatki enkrat so identificirani, pa je verjetno najbolj smiselno izvesti izbris zgolj inkriminiranih podatkov, npr. zgolj fotografij in filmov povezanih z otroško pornografijo. S tem se inkriminirano gradivo odvzame oz. njegova uporaba onemogoči, hkrati pa se ne poseže v druge, povsem nesporne podatke. Vseeno pa velja opozoriti, da mora biti tak izbris opravljen na ustrezen način, ki (storilcu) kasneje onemogoča rekonstrukcijo izbrisanih podatkov.

223.a/8 ZKP-J

(8) Kopije podatkov, pridobljene v skladu z določbami tega člena, ki se ne nanašajo na kazenski pregon in za katere ni kakšnega drugega zakonskega razloga, da bi se smeli hraniti (498. člen), se izločijo iz spisa, če je to mogoče in se zapisniško uničijo, o čemer se v osmih dneh obvestijo preiskovalni sodnik, državni tožilec in imetnik elektronske naprave.

Zadnja določba, ki jo obravnavamo na tem mestu pa določa pravila glede izločitve zaseženih podatkov, ki se ne nanašajo na kazenski pregon, npr. elektronskih sporočil ali datotek ostalih uporabnikov informacijskega sistema. Pri tem zakon uporablja dikcijo “če je to mogoče”, kar se nanaša na vse tiste primere, ko dela podatkov morda ni mogoče izločiti, saj bi s tem npr. posegli v integriteto zaseženih podatkov ali kako drugače poškodovali podatke, potrebne za kazenski pregon.

Sklep

Novela Zakona o kazenskem postopku torej prinaša kar nekaj novosti. Novela je bila pripravljena na podlagi tehtnih strokovnih razmislekov in ob upoštevanju varstva človekovih pravic. Poleg visokih standardov varstva zasebnosti dokončno postavlja tudi ustrezne standarde glede uporabe načel digitalne forenzike v kazenskih postopkih. Kljub temu razvoj tehnologije vedno prehiteva pravo in tudi sedanja ureditev utegne v prihodnosti pokazati nekatere pomanjkljivosti, na katere sem v članku skušal tudi opozoriti. Vseeno pa novela po mojem mnenju predstavlja pomembno modernizacijo slovenskega pravnega reda na področju tim. informacijskega prava, kar je gotovo dobrodošlo.

Udeleženci so se med drugim lahko seznanili s problematiko kiberkriminala, zlorabami osebnih podatkov v digitalnem okolju, zasebnostjo na delovnem mestu, problematiko jurisdikcije za kiberkriminalna dejanja, pomenom digitalne forenzike pri preiskovanju in številnimi drugimi temami. Vabljeni k ogledu.