„Polcszámra gyűjtötték be a CD-ket, tízet-tizenötöt is beraktak egy-egy zacskóba, lezárták és aláírták. Azt is kértem, hogy külön csomagolják el őket, és egyenként ragasszák le a zacskókat, de nekik bedobálva is megfelelt” – sorolta a rendőrségi házkutatással és az adathordozók lefoglalásával kapcsolatos panaszait a Magyar

Horváth József © Magyar Hírlap - Hegedűs Róbert

Hírlapnak Horváth József, az UD Zrt. vezetője. A megfigyelési ügyben érintett biztonsági cég ügyvédje, Futó Barnabás pedig a hvg.hu-nak azt kifogásolta, hogy nem lehettek jelen, amikor a lefoglalt adathordozókat a szakértők kicsomagolták. „Emiatt fennáll a lehetősége az adatok manipulálásának is” – vélekedett Futó. A Fővárosi Főügyészség ellenben elutasította a házkutatásokkal kapcsolatos panaszokat, azt állítva: minden törvényesen, rendben zajlott és mindenről jegyzőkönyv készült.

„A számítástechnikai adathordozókat ugyanúgy kell lefoglalni, mint más tárgyi eszközöket. Mindenről részletes jegyzőkönyv készül” – magyarázta a hvg.hu-nak az egyik megkérdezett igazságügyi szakértő, aki szerint a „bontatlan bűnjelek” – a szakzsargon itt a becsomagolt adathordozókra utal – kicsomagolásánál jelen lehetnek azok is, akiknél a lefoglalás történt. Mivel az adatok lementése akár több órát is igénybe vehet, a lefoglalt adathordozókat becsomagolva egy másik helyszínre viszik, ügyelve arra, hogy a csomagolás ne sérüljön.

A megfigyelési botrány

MSZP-s belviták kísérik az UD Zrt. tevékenységét vizsgáló parlamenti bizottság megalakulását. A testület alighanem átnézi majd molos kapcsolatait is. Tovább.

A szakértők soha nem az eredeti, lefoglalt adathordozóval dolgoznak, ezért van szükség az adatok másolására. Az adatok mennyiségétől függ, hogy az igazságügyisek milyen más adathordozóra mentik át azokat – így ez lehet egy CD vagy akár winchester vagy bármi más is. Kicsomagolás után "ujjlenyomatot vesznek" az adathordozókról. Az adathordozón rögzített adatokra vonatkozóan ugyanis kiszámítható egy ún. hash szám, ez lesz végeredményben az „ujjlenyomat”. Ha később – akár a vizsgálatok vagy a mentés során – bármit is manipulálnának az eszközön, az kiderülne, hiszen akkor a hash szám is megváltozna. Ráadásul az adatokat a szakértők írásvédő eszközökön keresztül másolják le, ezért sem tudják módosítani a lefoglalt eszközökön lévő adatokat. Csak másolják azokat.

„Minek kockáztatnánk?”

Elméletileg persze előfordulhat, hogy a szakértők nem tartják be ezeket a szabályokat, s a hash számot csak azután rögzítik, hogy módosították az adatokat. (Az kizárt, hogy miután egyszer már „levették” az „ujjlenyomatot” és módosítottak valamit az adathordozón, akkor ugyanolyan hash számot kapjanak – majdhogynem lehetetlen, hogy a világon két ugyanolyan hash számú adathordozó legyen.)

Az adatok manipulálása azonban azért sem valószínű és életszerű, mert bár az igazságügyi szakértők a rendőrség megrendelésére, de tőle függetlenül dolgoznak. Az általunk megkérdezett igazságügyi szakértők szerint éppen ezért túl nagy ára lenne annak, ha bárki közülük erre vetemedne. „Legtöbbször azt sem tudom, milyen ügyön dolgozom” – nyilatkozta egyikük. „Mi csak megkapjuk és kicsomagoljuk az adathordozókat. Bár a papírokon rajta van egy név és a cselekmény, amivel az eszközök tulajdonosát gyanúsítják, mi csak az eszközökön lévő adatokra koncentrálunk, nem ránk tartozik a többi” – magyarázta a szakértő.  A másolás után az adathordozót visszaadják a tulajdonosnak. A hatóság megteheti, hogy az eszközöket napokkal, hetekkel később juttassa vissza a gazdájának, ebben semmi törvénytelen nincs, de legtöbbször a másolás után már vissza is viszik azokat.

A szakértők nemcsak másolnak, hanem dolgoznak is a már kimentett adatokon. Például árulkodó nyomokat keresnek. Megesik, hogy jelszavas területre tévednek. A gyanúsított nem köteles elárulni a jelszót, ezért általában először csak tanúként szerepel az ügyben. Tanúként viszont kötelezhetik a vallomástételre, azaz a jelszót is meg kell mondania. Ha ezek után sem tudják meg a jelszót, a feltöréssel próbálkoznak. „Van, amit fel lehet törni és van, amit hasznos időn belül nem lehet” – mondja a szakértő. Azaz van, aminek feltöréséhez egy emberöltőnyi idő is kevés.

A gyanúsított persze még mindig állíthatja, hogy a szakértők által megtalált bűnjelet – például egy fotót vagy egy dokumentumot – nem ő tette fel a számítógépére. „Ha például egy pedofíliával gyanúsított személy számítógépén, az ideiglenes mappában találunk pedofil képeket, az nem jelenti feltétlenül azt, hogy a gyanúsított töltötte le a gépére. Megeshet, hogy csak egy weboldalra tévedt, akár akaratán kívül is, ahonnan ezek a képek automatikusan letöltődtek az ideiglenes mappába.”

De ha valóban „sáros” a felhasználó, akkor más nyom is árulkodik arról. „Nehéz úgy tevékenykedni egy számítógépen, hogy annak ne maradjon nyoma” – mondja a szakértő, hozzátéve, hogy természetesen semmi sem lehetetlen. „A számítógépes adatot, a természetéből adódóan mindenki képes akár nyom nélkül módosítani. Amennyiben például nincs napló (ami rögzíti a gépen végzett tevékenységet – a szerk.) a távolról megtámadott webszerveren, akkor nincs kiinduló adat sem.” Megfelelő programok ugyanakkor lehetővé teszik azt, hogy a felhasználó által már régen letöröltnek hitt adatokat bányásszanak elő a merevlemezről. Ám egyáltalán nem biztos, hogy a keresett adatokat abban az időben tették fel, módosították vagy törölték a számítógépről, amilyen időt a gép mutat, mivel a „rendszer dátuma szerinti idő” és a valós idő különbözhet is.

Lényegesen nehezebb azt bizonyítani, hogy egy adott számítógépről követtek-e el betörést, azaz behatoltak-e például egy távoli szerverre. Az önmagában semmit nem jelent, ha a rendőrség csúcsminőségű számítógépeket foglal le. „Távoli számítógépre való betöréshez nem szükséges csúcsminőségű gép. Titkosított állomány feltöréséhez viszont kell, de ezt egy célhardver is gyorsíthatja. Elosztott, úgynevezett DDOS támadás esetén például annyi adattal áraszthatják el a megtámadott szervert, amennyit már nem bír el” – mondja a szakértő. A legtöbb betörést anonimizer (a felhasználóknak névtelenséget biztosító) hálózatok segítségével követik el: a tettesek számítógépről számítógépre, szerverről szerverre ugrálnak, amíg el nem jutnak a célszerverhez. Ilyenkor ugyan a szakértők megpróbálhatják a megtámadott gépről visszakövetni a támadók útját, de ez sokszor szinte lehetetlen.