A felhő koncepciója szerint az informatika kapacitások (legyenek azok bármifélék is) olyan szolgáltatásként kell nyújtani, mint a közművek szolgáltatják a vizet, az elektromos energiát, a gázt és még néhány további alapszolgáltatást.
Ezek a rendszer a szolgáltatás típusa szerinti megközelítés alapján 3+1 fő kategóriába sorolhatók, melyek a következők:
- Software as a Service (SaaS) - > a szolgáltató alkalmazásainak használata;
- Platform as a Service (PaaS) - > ügyfél alkalmazásainak futtása;
- Infrastructure as a Service (IaaS) - > számítási, tárolási hálózati és egyéb kapacitások és erőforrások bérlése;
- Storage as a Service (StaaS) - > tárhely szolháltatás (mely besorolható ugyan az IaaS szolgáltatások közé, de elterjedtségéből adódóan külön is tárgyalható).
A rendszerek informatikai oldalról egy fizikai infrastruktúrára épülő virtualizált környezetben megjelenő valós idejű szolgáltatásokként foghatók fel, melyek lényeges különbségeket mutatnak a Digital Forensic Science vizsgálati tárgyához a számítógéphez, vagy adattárolóhoz képest[1].
Ebben a környezetben az igazságügyi informatikai szakértői gyakorlatban (a szerző saját ügystatisztikája szerint) a SaaS típusú felhőszolgáltatások vizsgálata a leggyakoribb. A vizsgálat tárgya lehet például a gyanúsított Google Mail fiókja, OneDrive, GoogleDrive, vagy egyéb felhőtárának tartalma. A kinyert adatok bizonyítékként történő felhasználhatósága a kinyerés módszertana mellett döntően attól függ, hogy mit tekintünk (digitális) bizonyítéknak. Tekintsük át röviden a magyar és nemzetközi definíciókat.
A büntetőeljárásról szóló 1998. évi XIX. törvény (Be.) szerint a bizonyítás eszközei a következők:
"76. § (1) A bizonyítás eszközei a tanúvallomás, a szakvélemény, a tárgyi bizonyítási eszköz, az okirat és a terhelt vallomása."
Az informatikai tartalmak ezek közül (különös módon) a tárgyi bizonyíték kategóriába tartoznak, illetve közvetett módon megjelenek a szakvéleménynél is. A tárgyi bizonyítékról így fogalmaz a Be.:
"115. § (1) Tárgyi bizonyítási eszköz minden olyan tárgy (dolog), amely a bizonyítandó tény bizonyítására alkalmas ... az elkövető nyomait hordozza, vagy a bűncselekmény elkövetése útján jött létre, amelyet a bűncselekmény elkövetéséhez eszközül használtak, vagy amelyre a bűncselekményt elkövették."
Az informatikai bizonyítékok fentieknél pontosabb definíciója az Inter-national Organization on Computer Evidence (IOCE) megfogalmazásában vált ismertté az alábbiak szerint:
Digital Evidence - Information stored or transmitted in binary form that may be relied upon in court.
Bizonyító erejű információk, melyeket bináris formában tároltak, vagy továbbítottak.
Original Digital Evidence - Physical items and those data objects, which are associated with those items at the time of seizure.
Fizikai tárgyak és azok az adatok, melyek kapcsolatban álltak ezen tárgyakkal a lefoglalás idején.
Duplicate Digital Evidence - A duplicate is an accurate digital reproduction of all data objects contained on the original physical item.
Pontos digitális reprodukciója valamennyi adatnak, melyet az eredeti fizikai tárgy tartalmazott.
Copy - A copy is an accurate reproduction of information contained in the data objects independent of the original physical item.
Pontos - az eredeti fizikai tárgytól független - reprodukciója az adat objektumokban tárolt információknak (a szerző fordítása).
Amint az kiolvasható a meghatározásokból, a digitális bizonyíték statikus adatként jelenik meg, melyet egy fizikai tárgy tárol (original physical item). A felhőszolgáltatásokban megjelenő digitális bizonyítékok jellemzően dinamikus digitális tartalmak (események, folyamatok, adatok változása), melyek a network forensic és a mobile forensic területéhez állnak közelebb, ahol a számítógépes hálózati forgalom, illetve a mobiltelefon készülékek kapcsolódási adatainak elemzése áll a vizsgálat középpontjában.
A dinamikus digitális bizonyíték (dynamic digital evidence) fogalmának megalkotásakor az előzőek miatt különös fontosságra tesz szert a dinamikus jellemzőt leíró időbélyeg (timestamp), illetve annak hitelessége és pontossága.
Az előző tényekből adódóan különös helyzet alakult ki a digitális bizonyíték fogalmával kapcsolatban, nevezetesen: a nyomozati és bírói munkába még be sem ágyazódott fogalomkör máris frissítésre, kiegészítésre szorul. Amint azt majd a későbbiekben látjuk, ez a kiegészítés nem csupán a tartalmi elemekre vonatkozik, hanem a digitális bizonyíték megbízhatósági szintjére is, melyet a bizonyíték kinyerésének körülményei fognak döntően meghatározni.
- 86/87 -
A felhőszolgáltatásokkal kapcsolatos forenzikus vizsgálatok módszertani meghatározása már szabványosított computer forensic követelményeivel összehasonlítva történhet meg a legegyszerűbben. A vonatkozó nemzetközi szabvány az ISO/IEC 27037:2012, Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence (Információtechnológia - Biztonsági eljárások - Segédlet a digitális bizonyítékok azonosításához, összegyűjtéséhez, kinyeréséhez és megőrzéséhez).
A két terület követelmény- és eljárásrendszere az Incident Management and Forensics Working Group 2013-as tanulmánya alapján[2] a következőkben foglalhatók össze:
A hagyományos számítógépvizsgálat során a szakértő dokumentálja az elvégzett műveleteket, felsorolja azokat az eszközöket amelyeket megvizsgál (merevlemez, optikai vagy SSD tár stb.), leírja a vizsgálathoz használt szakértői berendezések főbb adatait (pl. forezikus duplikátor, írásvédő stb. A követelmény teljesülése esetén utólag megállapíthatóvá válik, hogy az eljárás tartalmazott-e olyan lépést mely a bizonyíték módosulásához vezetett (pl. írásvédő eszköz hiánya, berendezés bekapcsolása stb.). A követelmény a szakértői vélemény és annak mellékletei formájában valósul meg.
A felhőszolgáltatás esetén a szakértő nem fér hozzá a fizikai eszközhöz, mely a megszerzendő tartalmat tárolja, ráadásul a tartalom több eszközön történő megoszlása (az adatok több kiszolgáló gép több háttértárolóján elosztva találhatók) sem követhető a szakértő által. A tűnékeny (volatile) adatokhoz történő hozzáférés (pl. memória tartalom) az előzőekhez hasonlóan nem valósítható meg. A szakértő a felhőszolgáltatáshoz annak szoftveres komponensein keresztül férhet hozzá, a szolgáltatás típusától függő (lásd részletesen a felhőszolgáltatás műszaki tartalma részt) eltérő mélységben.
A dokumentálhatóság az előzőekből adódóan a szakértő által alkalmazott szoftver és hardver eszközök dokumentálását, valamint a felhőszolgáltatás különböző hozzáférési szintjeihez történő kapcsolódás leírását tartalmazhatja. A vizsgált tartalomra vonatkozó adatok hiánya megbízhatósági deficitet jelent a felhőszolgáltatás vizsgálatának hátrányára.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
