ZNALECKÝ POSUDEK. z oboru kybernetika



Podobné dokumenty
DODATEK KE ZNALECKÉMU POSUDKU. 1 Úvod

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

SADA VY_32_INOVACE_PP1

František Hudek. únor ročník

4 Microsoft Windows XP Jednoduše

Stručný obsah. Úvod 15. KAPITOLA 1 První kroky v systému Windows KAPITOLA 2 Hlavní panel a jeho možnosti 41. KAPITOLA 3 Soubory a složky 51

III/2 Inovace a zkvalitnění výuky prostřednictvím ICT EU-OVK-VZ-III/2-ZÁ-101

Minimální požadavky na systém Linux a Windows na jednom disku Zrušení instalace Mandriva Linuxu... 23

Co je to program? Program je posloupnost určitých pokynů (příkazů) sestavených k tomu, aby počítač vykonal námi požadovanou činnost.

Před instalací 25 Minimální požadavky na systém Linux a Windows na jednom disku Zrušení instalace Mandriva Linuxu...

Operační systém MS Windows XP Professional

TC-502L TC-60xL. Tenký klient

CMS. Centrální monitorovací systém. Manuál

KAPITOLA 2 - ZÁKLADNÍ POJMY INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ

TC-502L. Tenký klient

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

KAPITOLA 1 - ZÁKLADNÍ POJMY INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ

Sísyfos Systém evidence činností

DINOX IP kamery řady: DDC-xxxx DDR-xxxx DDX-xxxx DDB-xxxx

NSA GB HDD. Příručka k rychlé instalaci. Multimediální server s jedním diskem. Výchozí přihlašovací údaje. Webová adresa: nsa310 Heslo: 1234

Konfigurace pracovní stanice pro ISOP-Centrum verze

Softwarová konfigurace PC

Návod na instalaci a použití programu

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ SPOLEČNOST DECADIC PROJEKT FRAMETRIX

Práce s ovými schránkami v síti Selfnet

9. Software: programové vybavení počítače, aplikace

Příručka nastavení funkcí snímání

Compatibility List. GORDIC spol. s r. o. Verze

Instalace a základní administrátorské nastavení 602LAN SUITE 5 Groupware

Osnovy kurzů. pilotního projektu v rámci I. Etapy realizace SIPVZ. Systém dalšího vzdělávání veřejnosti. počítačová gramotnost

ICT plán školy 2013/2014

Uživatel počítačové sítě

Dokumentace. k projektu Czech POINT. Technická specifikace hardwarového a softwarového vybavení

B Series Waterproof Model. IP Kamera. Uživatelský manuál

Instalace demoverze

Informatika ročník

TACHOTel manuál 2015 AURIS CZ

Obsah. Úvod 9 Komu je kniha určena 11 Konvence použité v knize 11

Dokumentace. k projektu Czech POINT. Technická specifikace hardwarového a softwarového vybavení

Plán rozvoje informačních a komunikačních technologií. na Gymnáziu a Střední odborné škole Rokycany. Úvod. Služby Internetu

1. Informace a informatika

MS Windows 7. Milan Myšák. Příručka ke kurzu. Milan Myšák

Testovací protokol USB Token Cryptomate

1. DATOVÉ SCHRÁNKY OBECNÝ PŘÍSTUP K DATOVÉ SCHRÁNCE DATOVÉ ZPRÁVY... 3

1.2 Operační systémy, aplikace

verze GORDIC spol. s r. o.

Informatika teorie. Vladimír Hradecký

Programové vybavení počítačů operační systémy

Specifikace požadavků. POHODA Web Interface. Verze 1.0. Datum: Autor: Ondřej Šrámek

Inovace výuky prostřednictvím šablon pro SŠ

LINUX - INSTALACE & KONFIGURACE

Nová áplikáce etesty Př í přává PC ž ádátele

Základní informace a postup instalace systému ISAO

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

SKŘÍŇ PC. Základní součástí počítačové sestavy je skříň.

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Váš stylový multimediální společník v karamelově smetanovém provedení. Oficiální webové stránky VAIO Europe

Číslo a název šablony III/2 Inovace a zkvalitnění výuky prostřednictvím ICT H/01 Kuchař - Číšník. IKT Informační a komunikační technologie

Testovací protokol USB token etoken PRO 32K

Váš stylový multimediální společník v korálově růžovém provedení. Oficiální webové stránky VAIO Europe

Virtuální učebna: VMware VDI zefektivňuje výuku, zjednodušuje správu a snižuje náklady

Inteligentní řešení kamerového systému

CS monitorovací jednotky. Edice: Vytvořil: Luboš Fistr

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

APS mini.ed programová nadstavba pro základní vyhodnocení docházky. Příručka uživatele verze

ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY

Obsah. Kapitola 1. Kapitola 2. Kapitola 3. Úvodem 9

Přední panel SP3361 ADSL DATA LAN USB PWR

Informační Systém pro Psychiatrii HIPPO

Možnosti využití Windows Server 2003

ZÁKLADNÍ ŠKOLA A MATEŘSKÁ ŠKOLA KARLA KLOSTERMANNA ŽELEZNÁ RUDA, PŘÍSPĚVKOVÁ ORGANIZACE ICT PLÁN ŠKOLY

Podrobný postup pro vyplnění, odeslání a stažení žádosti o poskytnutí dotace prostřednictvím veřejnoprávní smlouvy v elektronickém systému dle

Specifikace VT 11 ks. Ultrabook dle specifikace v příloze č ks. 3G modem TP-LINK M5350

Instalace OS, nastavení systému

Předmět: informační a komunikační technologie

INTERNET. Vypracoval: Mgr. Marek Nývlt

Patrol Management System 2.0

Mgr. Jan Marenčík tel ,

IP kamera NCC800 NCC800WL. Instalační průvodce

ICT plán školy Střední odborná škola Jindřichův Hradec

ICT plán pro rok Sportovní gymnázium Dany a Emila Zátopkových, Ostrava, příspěvková organizace

ICT plán školy 2011/2012

Služby Internetu. Ing. Luděk Richter

Jazz pro Účetní (export) Příručka uživatele

Realizace novely zákona o evidenci. Ing. Jindřich Kolář Ředitel odboru rozvoje projektů a služeb egovernment Ministerstvo vnitra ČR

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

Modulární monitorovací systém Gradient Digitální systém pro záznam, archivaci a vyhodnocení telefonie.

IP kamery DIGITUS Plug&View

Co se realizovalo v přecházejícím roce:

Osnova kurzu OBSLUHA PC ZÁKLADNÍ ZNALOSTI. pilotního projektu v rámci I. Etapy realizace SIPVZ

Uživatelská příručka MWA Modul Podpora vzdálených kalibrací dle ILAC

Obslužný software. PAP ISO 9001

eliška 3.04 Průvodce instalací (verze pro Windows 7) w w w. n e s s. c o m

Chytrý osobní laptop s rychlým procesorem Intel, 4GB pamětí RAM a grafikou ATI. Oficiální webové stránky VAIO Europe

EW-7438APn Průvodce rychlou instalací

Transkript:

Ing. Jiří Berger Číslo dle znaleckého deníku: 289/71/2010 Číslo spisu: KRPM 14652/TČ 2009 140070 Znalci doručeno dne 28. července 2010 Policie ČR Krajské ředitelství policie Olomouckého kraje Služba kriminální policie a vyšetřování Odbor obecné kriminality 751 52 Přerov, U Výstaviště 18 V Praze dne 7. září 2010 Výtisk číslo: 1/2 Počet listů: 12 Přílohy: 1 CD R ZNALECKÝ POSUDEK z oboru kybernetika odvětví výpočetní technika Já, níže podepsaný Ing. Jiří Berger, bytem Hálkova 181, Veltrusy, 277 46, okres Mělník, jako znalec specializovaný na znaleckou činnost v oboru Kybernetika výpočetní technika, specializace Výpočetní a komunikační technika, bezpečnost informačních systémů, vydávám znalecký posudek na základě požadavku Policie České republiky: opatření ve smyslu ustanovení 105 odst. 1 trestního řádu ve věci trestného činu vraždy dle ust. 219 odst. 1 a 219 odst. 2 písm. a) trestního zákona, spáchaného ve spolupachatelství dle ust. 9 odst. 2 trestního zákona, kterého se měli dopustit obviněný Pavel Nárožný, nar. 5.6.1975 a obviněná Hana Nárožná, nar. 15.3.1946 tím, že v době od 14.30 dne 7.11.2009 do 21.30 dne 8.11.2009 v Přerově, v rodinném domě U Žebračky 108/22, fyzicky napadli v úmyslu usmrtit obyvatele tohoto domu. 1.1 Popis skutku (události) 1 Úvod Shora uvedený útvar Policie ČR vede trestní řízení ve věci trestného činu vraždy dle ust. 219 odst. 1 a 219 odst. 2 písm. a) trestního zákona, spáchaného ve spolupachatelství dle ust. 9 odst. 2 trestního zákona, kterého se měli dopustit obviněný Pavel Nárožný a obviněná Hana Nárožná. Výpočetní techniku, která může mít souvislost s šetřenou věcí, jsem přijal ke znaleckému zkoumání. 1.2 Věci, stopy a vzorky předložené ke zkoumání 1. Osobní počítač v bílé mini tower skříni bez označení, na čele s označením Zalman. Předán v zapečetěné papírové krabici. KRPM 14652/TČ 2009 140070 1

2. Bezdrátový router Netgear WGR614, v.č. WR62135SA070217. Předán v zapečetěné papírové obálce. 3. CD R médium označené KTV Přerov 77.242.86.166-11mesic.txt, které obsahuje přehled komunikace IP adresy 77.242.86.166 za předmětné období získaný z KTV Přerov. 4. CD R médium označené KTV Přerov Nárožný internet provoz, které obsahuje tentýž přehled komunikace rozdělený do více souborů. Z předmětů předložených ke zkoumání byla provedena fotodokumentace, která je uvedena v příloze znaleckého posudku. 1.3 Otázky, které mají být zodpovězeny Proveďte zkoumání počítačové jednotky označené Zalman, zajištěné při domovní prohlídce: 1. Uveďte základní popis a určete hardwarovou konfiguraci počítačové jednotky zajištěné při domovní prohlídce. 2. Uveďte, zda se liší systémový čas od času skutečného. 3. Zadokumentujte jednotlivé uživatelské účty, které byly na počítači vytvořeny. 4. Proveďte výpis veškerého aplikačního programového vybavení z pevných disků zkoumaného počítače. 5. Zjistěte, zda byla počítačová jednotka připojena k síti Internet, pokud ano, jakým způsobem. 6. Uveďte IP adresu, přes kterou byl počítač připojen sítě Internet. 7. Zjistěte, zda byl počítač nakonfigurován pro vzdálené připojení (ovládání z jiného počítače), resp. vyjádřete se, jaký operační systém používá předložené PC obviněného a zda tento operační systém umožňuje vzdálenou správu a pokud tomu tak je, uveďte, zda byla na předloženém počítači vykonávána dálková správa. 8. Zjistěte, jaké programy pro prohlížení internetových stránek jsou v počítači nainstalovány, zadokumentujte oblíbené položky. 9. Zadokumentujte historii navštívených stránek. 10. Zjistěte, zda se v počítači nachází nějaký klient pro práci s elektronickou poštou, pokud ano, uveďte jaký a zadokumentujte jeho nastavení, včetně všech e mailů, které se v počítači nachází. 11. V případě, že se v počítači nenachází žádný klient pro práci s elektronickou poštou, zjistěte, na jaké účty bylo z počítače přistupováno. 12. Zjistěte, zda se v počítači nachází nějaké další komunikační programy, pokud ano, jaké, zadokumentujte jejich nastavení včetně uložené komunikace. 13. Ve vztahu k výše uvedeným otázkám se pokuste rovněž obnovit smazané soubory na discích počítače. 14. Uveďte případné další skutečnosti zjištěné zkoumáním zajištěné počítačové jednotky. KRPM 14652/TČ 2009 140070 2

Proveďte zkoumání vydaného routeru zn. Netgear WGR614, v.č. WR62135SA070217: 15. Zjistěte, kterak je router nakonfigurován. 16. Zajistěte výpis logovacích souborů uložených v routeru. 17. Uveďte případné další skutečnosti zjištěné zkoumáním routeru. Z datové komunikace na CD nosiči předloženém společností Kabelová televize Přerov, a.s. proveďte zkoumání komunikace v časovém úseku od 18.15 dne 7.11.2009 do 03.45 dne 8.11.2009 a dále v časovém úseku od 22.00 dne 9.11.2009 do 00.36 dne 10.11.2009. 18. Určete, o jaký druh komunikace se jednalo (webový prohlížeč, aktualizace SW, komunikační klient atd.). 19. Uveďte případně další skutečnosti. Otázky zadané doplněním opatření ze dne 24.8.2010: 20. Zjistěte, zda byl předložený počítač (ozn. ZALMAN) spuštěn v době mezi 9.11.2009 a dnem, kdy bylo započato znalecké zkoumání počítače. 21. Byl-li počítač zapnut mezi 9.11.2009 a Vaším znaleckým zkoumáním, zjistěte, jaké soubory byly smazány či změněny v této době na obou discích. 22. Zjistěte z historie Firefoxu, jaké nicky byly používány na xchat.cz. 23. Zjistěte z historie Firefoxu s jakými nicky a kdy byla na xchat.cz zahájena komunikace v rozhodné době, tj. od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. 24. Uveďte veškeré přijaté a odeslané zprávy z ICQ klonu Miranda v době od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. 25. Uveďte, zda předložený router Netgear WGR614 ukládá přehledné logy a zda tyto byly smazány vypnutím routeru od elektřiny nebo zdali vypnutí elektřiny je nesmaže. 26. Uveďte další skutečnosti, které mohou mít význam pro trestní řízení. 2 Nález 2.1 Použité metody a prostředky laboratorní počítač typu PC operační systém GNU/Linux, live distribuce System Rescue CD verze 1.2.3 program GNU ddrescue verze 1.11 program Foremost verze 1.5.6 nástroj The Sleuth Kit verze 3.0.1 KRPM 14652/TČ 2009 140070 3

2.2 Zajištění dat Z předloženého osobního počítače byl vyjmut pevný disk byl připojen k laboratornímu počítači s operačním systémem GNU/Linux. Poté byl vytvořen identický obraz tohoto disku a uložen na pevný disk laboratorního počítače. Na takto vytvořeném obrazu bylo prováděno další zkoumání. Předložený router byl připojen k napájení do izolované počítačové sítě spolu s laboratorním počítačem. Z laboratorního počítače byl spuštěn webový prohlížeč, prostřednictvím kterého bylo za použití standardního přihlašovacího jména a hesla zjištěno nastavení routeru. 2.3 Analýza vzorků 2.3.1 Osobní počítač Předložený vzorek je osobní počítač v bílé mini tower skříni bez označení, se základní deskou Acorp 7KT266AL, procesorem AMD Athlon XP 2200+ 1,8 GHz a 1 GB RAM. V počítači je osazena přídavná grafická karta nvidia GeForce FX 5600XT a síťová karta Realtek 8139. Je instalován jeden pevný disk Seagate, model ST3200822A, o kapacitě 200 GB. Dále je instalována DVD-RW mechanika NEC, šuplík pro pevný disk ATA, 3,5 disketová mechanika a čtečka paměťových karet. Žádné vyjímatelné médium není vloženo. Nastavení. Pevný disk počítače je rozdělen na dva oddíly. Na prvním, o velikosti 2 GB, je nainstalován operační systém Microsoft Windows 2000 Professional a je zde část uživatelských dat. Druhý, o velikosti 198 GB, obsahuje uživatelská data. Počítač používal pouze uživatel Administrator, který se naposledy přihlásil dne 26.11.2009. Nastavený systémové datum a čas odpovídají místnímu času, operační systém má nastaveno časové pásmo pro střední Evropu. Počítač byl připojen do domácí počítačové sítě, kde měl přidělenu IP adresu 192.168.0.2, pro připojení k síti Internet pravděpodobně využíval předložený router (IP adresa 192.168.0.1). Více o připojení je uvedeno v kapitole 2.3.2. Uživatel pravděpodobně vlastní více počítačů, jak bylo zjištěno z nalezeného odkazu na http:// trodas.wz.cz/c.htm (viz soubor pc/pocitace.html v příloze znaleckého posudku), dle kterého je možné, že zkoumaný počítač není jediným počítačem v domácnosti. Možná také nejde o hlavní počítač, čemuž nasvědčuje vedle uvedeného seznamu (kde je tento podle konfigurace nazván PC duron ) i popis 77.242.86.166 trodas u mati, nalezený v nastavení software pro webová diskuzní fóra, a také nalezený odkaz http://192.168.0.6/trodas/ib/index.php?act=st&f=5&t=53, který zřejmě směřuje na jiný počítač v domácí síti (v dokumentu D:/Install/netgear.cfg.txt nazvaný server ). Software. Následující seznam uvádí veškerý nalezený software instalovaný na předloženém počítači. ACDsee AC3 ACM Codec AC3 Filter Adobe Illustrator Adobe Photoshop 6.0 Alcohol 120 Audacity AudioGrabber AVI Mux BS Player BulletProof FTP Server Call of Duty CCleaner CD Bremse CD Speed CPU Burn CPU Burn-in CPUHeat CPU Mark CPU Z Crimson Editor Daemon Tools DISCInfo Diskeeper Professional Edition DriveImage DriveSpeed Duke Nukem 3D DVDdecrypter DVDInfo Pro DVD Subber KRPM 14652/TČ 2009 140070 4

EasyRecovery Easy Video Joiner 5.21 emule 0.49.2 FinalReality FlashFXP Font Creator FreeRapid Google Earth Pro GSpot HDTach HDTune HDTV to MPEG2 HFSLIP HijackThis Chaos Pro IsoBuster Java 6 jdoom JPGAvi Lame Lavalys Everest Ultimate LightWave Macromedia Dreamweaver Malwarebytes Microsoft Windows 2000 Pro Miranda 0.8.0 Modbin Mozilla Firefox 3.0.14 MP3 Direct Cut MP3 Gain Need for Speed 5 Nero Burning ROM NoClone Opera 9.02 Paint Shop Pro Prime 95 PureVideo QuickTime Alternative QTracker QuarkXPress RealAlternative RegSeeker 1.52 RepairVideo ResHacker ReStream 0.9.0 RightMark Audio RightMark 3D Sound Rootki Hook Analyzer Rootkit Revealer Routi 0.03 RunScanner ScreenGrab Skype 3.8 SmartRipper Soldier of Fortune 2 SpeedFan SubRip SubtitleWorkshop SWiSH Max2 TestDisk TexBmp The Bat! 3.60.07 TMPGenc Tor 0.2.0.34 TouchStone Software Undelete Plus UFO: X-COM Undelete Plus 2.94 utorrent 1.6.1 Video Fixer VID Thumbnailer Virtual Dub Virtual Dub Mod VisualRoute VLC Player WinAMP WinCMD InterVideo WinDVD Platinum 5 WinGED 2000 WinISO WMV Join Xara Studio XL View XVI32 7Zip Webové stránky. Hlavním webovým prohlížečem uživatele byl Mozilla Firefox, méně pak Microsoft Internet Explorer a Opera. Historie navštívených stránek ze všech těchto prohlížečů zahrnuje období od 29.10. do 26.11.2009, záznamy jiných období nebyly nalezeny. Uložené webové stránky, které si prohlížeč průběžně ukládá (tzv. cache), byly při posledním přihlášení uživatele dne 26.11.2009 odstraněny a jejich původní obsah před tímto datem se nepodařilo obnovit. Pro přístup k elektronické poště používal uživatel aplikaci The Bat!, kde bylo nalezeno nastavení pro účty ax2@seznam.cz, bbone@seznam.cz, trodas@seznam.cz a xchatbot@seznam.cz. Zde byla nalezena pouze jediná zpráva (viz pc/e-mail.eml v příloze znaleckého posudku). Uživatel dále přistupoval prostřednictvím webového rozhraní ke schránkám bbone@seznam.cz, trodas@seznam.cz a trodas@gmail.com. Zprávy z těchto schránek nebyly nalezeny. V nastavení komunikace v síti AIM měl vyplněnu adresu bbone25@seznam.cz a v síti MSN adresu trodas cr@hotmail.com, dle nalezených informací však tyto schránky nevyužíval. Komunikace. Uživatel komunikoval v síti Skype (účet trodas ) a prostřednitcvím aplikace Miranda v síti ICQ (účet 144990310 trodas ), zajištěná historie komunikace byla převedena do formátu HTML a je uvedena v příloze znaleckého posudku. Dále v této aplikaci komunikoval v sítích AIM (účet angrytrodas ) a MSN (účet trodas, byly zajištěny jen kontakty). Uživatel také komunikoval v síti IRC prostřednictvím aplikace mirc, kde pravděpodobně vystupoval pod přezdívkou trodas nebo trodas41, nebyly však nalezeny žádné záznamy komunikace. Vedle toho také uživatel aktivně vystupoval na fóru xchat.centrum.cz. Nebyly zjištěny přezdívky, pod KRPM 14652/TČ 2009 140070 5

kterými zde uživatel vystupoval, od 18.15 dne 7.11. byl dle zajištěné historie navštívených webových stránek pouze v místnosti č. 5136824, nazvané Submise a dominance. Zde vedl hovor s několika uživateli: datum a čas přezdívka datum a čas přezdívka 7.11. 18:24:38 tva komteska 7.11. 18:33:51 beatk4 7.11. 18:45:33 dyduskaa 7.11. 18:57:18 terezka-a 7.11. 19:15:24 lucinka666 7.11. 19:34:19 fergie.ska 7.11. 19:59:24 martina1710 7.11. 20:35:48 yvik35 7.11. 20:42:50 lu na 7.11. 20:43:16 neposednazrzecka 7.11. 21:15:52 zuja 7.11. 21:20:56 theodor.a.adorno 7.11. 21:50:32 lucygirl 7.11. 22:02:19 male.zvire 7.11. 22:11:21 chytra jak radio 7.11. 22:32:24 renina 7.11. 23:02:20 maariquita 7.11. 23:55:44 apocalypta 8.11. 01:19:07 72radka72 8.11. 03:07:45 macinka86 Aktivita v zájmovém období. Po zájmovém datu 9.11.2009 byl, na základě analýzy systémového záznamu, počítač spouštěn ve dnech 10.11., 13.11., 25.11. a 26.11.2009. Pokud došlo k posunutí systémového času zpět do minulosti, není možné tuto skutečnost jednoznačně prokázat a uvedené údaje mohou být zkreslené. Vzhledem k nalezeným informacím je však posunutí času nepravděpodobné. Analýzou souborového systému byly v tomto období zjištěny následující změny souborů. Nebyly zjištěny žádné významné změny ani mazání důležitých dat. datum a čas aktivita 10.11. návštěva osobního seznamu odkazů (C:/Temp/) 13.11. instalace software Undelete Plus pro obnovu smazaných souborů smazání návrhu blíže neurčených webových stránek (obrázky a stránky v PHP) prohlížení webu (Mozilla Firefox) 25.11. spuštění aplikace QuickTime pro prohlížení video souborů spuštění aplikace emule pro sdílení souborů v síti Internet prohlížení webu (Mozilla Firefox) 26.11. spuštění aplikace emule pro sdílení souborů v síti Internet spuštění aplikace Google Earth prohlížení webu (Mozilla Firefox) V záznamu webového prohlížeče jsou z těchto dnů následující informace. Ty lze vzhledem k aktivitě uživatele v jiných dnech hodnotit jako nestandardní. datum a čas aktivita 13.11. 08:28 přístup k aplikaci Google Earth 13.11. 09:03 prohlédnutí seznamu počítačů (viz pc/pocitace.html v příloze) 13.11. 09:34 hledání Přerov, Malá tratidla na www.mapy.cz 25.11. 12:51 prohlédnutí seznamu počítačů z externího média (H:/zaloha/Documents/trodas/) 26.11. 09:36 návštěva osobního seznamu odkazů D:/Documents/HomePage/ 26.11. 09:46 hledání Sadové náměstí 19, Olomouc na amapy.centrum.cz a amapy.atlas.cz 26.11. 09:56 prohlédnutí dvou fotografií na fotoalba.centrum.cz 26.11. 10:22 návštěva osobního seznamu odkazů Další zjištění. Velké množství uživatelských dat tvoří pornografické materiály s BDSM tématikou, z nalezené elektronické komunikace pak vyplývá, že se uživatel o toto téma aktivně zajímal. Část těchto dat je uvedena v příloze znaleckého posudku. KRPM 14652/TČ 2009 140070 6

2.3.2 Router Po spuštění routeru byla z jeho webového rozhraní (přístupného na základě hesla poskytnutého obviněným) zjištěna veškerá dostupná nastavení, viz obrázky jednotlivých obrazovek v adresáři router v příloze znaleckého posudku. Zde bylo zjištěno, že router používá pro vnější rozhraní privátní IP adresu 10.0.3.138 a vnější veřejnou IP adresu tedy spojení přiděluje až poskytovatel připojení k síti Internet. Nastavení routeru je standardní, TCP a UDP porty 65335 65534 jsou propouštěny do vnitřní sítě na IP adresu 192.168.0.2, která odpovídá výše zkoumanému osobnímu počítači. Využití těchto portů je diskutováno dále v kapitole 2.3.3. Bezdrátové rozhraní routeru je vypnuto, přistupovat k routeru tedy mohou pouze počítače připojené prostřednictvím pevné počítačové sítě. Veškeré záznamy routeru jsou při jeho vypnutí vymazány, protože jsou ukládány do takového typu paměti, který vyžaduje trvalé napájení. Informace z doby zajištění routeru tedy nejsou k dispozici. Vytvářené záznamy navíc obvykle neobsahují kompletní výpis spojení, aby nedošlo k přeplnění paměti, ale pouze zachycují výjimečné stavy. Z mnoha indicií nalezených na zkoumaném osobním počítači vyplývá, že veřejnou IP adresou uživatele je pravděpodobně 77.242.86.166, která patří společnosti Kabelová televize Přerov, a.s. 2.3.3 Internetový provoz Předložený výpis síťového provozu IP adresy 77.242.86.166 zahrnuje obě zájmová období, tedy 7.11.2009 18.15 až 8.11.2009 03.45 a 9.11.2009 22.00 až 10.11.2009 00.36. Některý z počítačů v této domácnosti, nebo alespoň router, byl v této době zapnutý. Dle nalezených informací byl pravděpodobně zapnutý právě zkoumaný osobní počítač. Velké množství spojení probíhá na UDP portu 65534 a TCP portu 65533. Na těchto portech byl spuštěn software emule, který slouží pro výměnu souborů mezi uživateli Internetu v sítích edonkey a Kad. Na UDP portu 65510 byl dále spuštěn software utorrent pro sdílení dat v síti BitTorrent. Obě tyto služby byly spuštěny v obou zájmových obdobích, mohou však být spuštěny a pracují aniž by musel být uživatel u počítače fyzicky přítomen. Další okruh spojení jsou přístupy k webovým stránkám na TCP portech 80 a 443. Zde uživatel přistupoval k běžným službám, jak je zřejmé i z historie navštívených webových stránek. Vedle seznam.cz, facebook.com nebo google.com navštěvoval nejvíce stránku xchat.centrum.cz, stejně jako v jiných dnech. K těmto webovým službám uživatel přistupoval po celé první z uvedených období, tedy dnech 7. 8.11. Seznam všech takto navštívených adres a serverů je uveden v příloze znaleckého posudku. Ve druhém období, tedy dnech 9. 10.11., není žádný takový přístup zaznamenán a je tedy možné, s ohledem na aktivitu uživatele v jiných dnech, že v této době nebyl u počítače vůbec přítomen (první následující záznam je ze dne 10.11. z 08.14). Některá spojení jsou charakteru pokusu o průnik do počítače ze sítě Internet, většinou jsou realizovány jedním datovým paketem obsahujícím žádost o navázání komunikace. Takovéto pokusy jsou v provozu sítě Internet běžné a nevypovídají nic o aktivitě uživatele. O zbývajících přibližně 300 spojeních se nepodařilo zjistit nic bližšího, jde o přenos dat na velkém množství nestandardních TCP a UDP portů na mnoho různých počítačů. Uživatel byl naposledy dne 8.11.2009 připojen do anonymizační sítě Tor, která může vykazovat podobné chování a mohlo by to být vysvětlením provozu v prvním zájmovém období. O původu komunikací ve druhém zájmovém KRPM 14652/TČ 2009 140070 7

období není nic známo. 3.1 Obsah přiloženého CD R média 3 Závěr CD R médium, které je přílohou znaleckého posudku, obsahuje informace o zkoumaných vzorcích, fotodokumentaci, zajištěná data a další zjištěné informace. foto/ fotodokumentace vzorků předaných ke zkoumání pc/ informace získané z předloženého osobního počítače data/ část nalezených dat s BDSM tématikou icq trodas/ historie komunikace v síti ICQ převedená do formátu HTML skype trodas/ historie komunikace v síti Skype převedená do formátu HTML email.eml jediný e mail nalezený v klientské aplikaci elektronické pošty icq 7 11 2009.html zajištěná ICQ komunikace v požadovaném období msn kontakty.html nalezené kontakty v síti MSN oblibene.csv soupis oblíbených položek webového prohlížeče pocitace.html nalezený soupis počítačů, které pravděpodobně uživatel vlastní soubory1.csv aktuální výpis souborů z prvního oddílu pevného disku soubory2.csv aktuální výpis souborů ze druhého oddílu pevného disku www.csv výpis navštívených webových stránek provoz/ informace zjištěné z výpisu síťového provozu nezname.txt výpis neidentifikovaných spojení nezname servery.txt výpis serverů z neidentifikovaných spojení obdobi 7-8.txt výpis spojení v období 7.11.2009 18.15 až 8.11.2009 obdobi 9-10.txt výpis spojení v období 9.11.2009 22.00 až 10.11.2009 00.36 www.csv výpis navštívených webových stránek v prvním zájmovém období www servery.txt výpis webových serverů navštívených v prvním zájmovém období router/ informace získané z předloženého routeru netgear.cfg.txt nalezené informace o nastavení routeru, které si uživatel vedl *.png snímek okna webového prohlížeče s nastavením routeru posudek.pdf znalecký posudek ve formátu PDF Soubory soubory?.csv obsahují výpis souborů ve formátu CSV (oddělováno středníkem) v kódování UTF-8 a obsahuje sloupce: datum a čas poslední změny souboru, velikost souboru, umístění souboru. Soubory www.csv obsahují výpis navštívených webových stránek. Tento výpis je ve formátu CSV (oddělováno středníkem) a obsahuje sloupce: datum a čas přístupu ke stránce, cestu (URL). Soubor oblibene.csv obsahuje výpis oblíbených položek webového prohlížeče. Tento výpis je ve formátu CSV (oddělováno středníkem) a obsahuje sloupce: datum a čas vytvoření položky, cestu (URL), název. 3.2 Odpovědi Proveďte zkoumání počítačové jednotky označené Zalman, zajištěné při domovní prohlídce: KRPM 14652/TČ 2009 140070 8

1. Uveďte základní popis a určete hardwarovou konfiguraci počítačové jednotky zajištěné při domovní prohlídce. Odpověď: Předložený vzorek je osobní počítač v bílé mini tower skříni bez označení, konfigurace je uvedena výše v kapitole 2.3.1. 2. Uveďte, zda se liší systémový čas od času skutečného. Odpověď: Nastavený systémové datum a čas odpovídají místnímu času, operační systém má nastaveno časové pásmo pro střední Evropu. 3. Zadokumentujte jednotlivé uživatelské účty, které byly na počítači vytvořeny. Odpověď: Počítač využíval pouze uživatel Administrator, ten se naposledy přihlásil dne 26.11.2009. 4. Proveďte výpis veškerého aplikačního programového vybavení z pevných disků zkoumaného počítače. Odpověď: Soupis veškerého nalezeného software je uveden výše v kapitole 2.3.1. 5. Zjistěte, zda byla počítačová jednotka připojena k síti Internet, pokud ano, jakým způsobem. Odpověď: Předložený osobní počítač přistupoval k síti Internet, a to prostřednictvím předloženého routeru připojeného v domácí počítačové síti. 6. Uveďte IP adresu, přes kterou byl počítač připojen sítě Internet. Odpověď: Počítač byl připojen do domácí počítačové sítě, kde měl nastavenu privátní IP adresu 192.168.0.2. K síti Internet přistupoval prostřednictvím předloženého routeru, který využíval privátní IP adresu 10.0.3.138. Přidělení veřejné IP adresy tedy dělá až poskytovatel připojení k síti Internet. 7. Zjistěte, zda byl počítač nakonfigurován pro vzdálené připojení (ovládání z jiného počítače), resp. vyjádřete se, jaký operační systém používá předložené PC obviněného a zda tento operační systém umožňuje vzdálenou správu a pokud tomu tak je, uveďte, zda byla na předloženém počítači vykonávána dálková správa. Odpověď: Nainstalovaný operační systém neumožňuje vzdálenou správu a nebyl nalezen ani žádný další software, který by vzdálenou správu umožňoval. 8. Zjistěte, jaké programy pro prohlížení internetových stránek jsou v počítači nainstalovány, zadokumentujte oblíbené položky. Odpověď: Uživatel používal především prohlížeč Mozilla Firefox, méně pak Microsoft Internet Explorer a Opera. Výpis oblíbených položek je uveden v příloze znaleckého posudku v souboru pc/oblibene.csv. 9. Zadokumentujte historii navštívených stránek. Odpověď: Nalezená historie navštívených stránek zahrnuje období od 29.10.2009 do zajištění počítače dne 26.11.2009 a je uvedena v příloze znaleckého posudku v souboru pc/www.csv. 10. Zjistěte, zda se v počítači nachází nějaký klient pro práci s elektronickou poštou, pokud ano, uveďte jaký a zadokumentujte jeho nastavení, včetně všech e mailů, které se v počítači nachází. Odpověď: Uživatel používal aplikaci The Bat!, kde bylo nalezeno nastavení pro účty ax2@seznam.cz, bbone@seznam.cz, trodas@seznam.cz a xchatbot@seznam.cz. Byla zde nalezena pouze jediná zpráva. KRPM 14652/TČ 2009 140070 9

11. V případě, že se v počítači nenachází žádný klient pro práci s elektronickou poštou, zjistěte, na jaké účty bylo z počítače přistupováno. Odpověď: Uživatel používal pro několik účtů aplikaci The Bat!, prostřednictvím webového prohlížeče pak přistupoval ke schránkám bbone@seznam.cz, trodas@seznam.cz a trodas@gmail.com. Zprávy z těchto schránek nebyly nalezeny. 12. Zjistěte, zda se v počítači nachází nějaké další komunikační programy, pokud ano, jaké, zadokumentujte jejich nastavení včetně uložené komunikace. Odpověď: Uživatel používal aplikace Miranda pro komunikaci v sítích ICQ (účet 144990310 trodas ), MSN (účet trodas ) a AIM (účet angrytrodas ), dále mirc pro komunikaci v síti IRC (přezdívka trodas ) a Skype (účet trodas ). Historie komunikace, kterou se podařilo zajistit, je uvedena v příloze znaleckého posudku. 13. Ve vztahu k výše uvedeným otázkám se pokuste rovněž obnovit smazané soubory na discích počítače. Odpověď: Výše uvedené závěry vycházejí z existujících souborů a i dat, která se podařilo obnovit. 14. Uveďte případné další skutečnosti zjištěné zkoumáním zajištěné počítačové jednotky. Odpověď: Uživatel pravděpodobně vlastní a provozuje více počítačů, viz soubor pc/pocitace.html v příloze znaleckého posudku. Dále uživatel uchovával velké množství pornografických materiálů s BDSM tématikou, z nalezené elektronické komunikace pak vyplývá, že se o toto téma zajímal. Část těchto dat je uvedena v příloze znaleckého posudku. Proveďte zkoumání vydaného routeru zn. Netgear WGR614, v.č. WR62135SA070217: 15. Zjistěte, kterak je router nakonfigurován. Odpověď: Router je nakonfigurován pro přístup výhradně pomocí pevné počítačové sítě. IP adresa jeho vnějšího rozhraní je privátní 10.0.3.138 a veřejnou IP adresu tedy přiděluje až poskytovatel připojení k síti Internet. TCP/UDP porty 65335 65534 jsou propouštěny do vnitřní sítě na IP adresu 192.168.0.2, která patří zkoumanému osobnímu počítači. Na těchto portech uživatel např. sdílel data v sítích edonkey a BitTorrent. 16. Zajistěte výpis logovacích souborů uložených v routeru. Odpověď: Při vypnutí routeru jsou veškeré záznamy vymazány a nebyly tak po jeho zapnutí k dispozici. 17. Uveďte případné další skutečnosti zjištěné zkoumáním routeru. Odpověď: Nebyly zjištěny žádné další relevantní skutečnosti. Z datové komunikace na CD nosiči předloženém společností Kabelová televize Přerov, a.s. proveďte zkoumání komunikace v časovém úseku od 18.15 dne 7.11.2009 do 03.45 dne 8.11.2009 a dále v časovém úseku od 22.00 dne 9.11.2009 do 00.36 dne 10.11.2009. 18. Určete, o jaký druh komunikace se jednalo (webový prohlížeč, aktualizace SW, komunikační klient atd.). Odpověď: Rozbor jednotlivých komunikací je uveden výše v kapitole 2.3.3. Z něj vyplývá, že přestože byl zkoumaný osobní počítač zapnutý, uživatel u něj ve druhém zájmovém období pravděpodobně nebyl, narozdíl od prvního období, vůbec přítomen. KRPM 14652/TČ 2009 140070 10

19. Uveďte případně další skutečnosti. Odpověď: Nebyly zjištěny žádné další relevantní skutečnosti. Otázky zadané doplněním opatření ze dne 24.8.2010: 20. Zjistěte, zda byl předložený počítač (ozn. ZALMAN) spuštěn v době mezi 9.11.2009 a dnem, kdy bylo započato znalecké zkoumání počítače. Odpověď: Předložený počítač byl dle systémového záznamu spouštěn ve dnech 10.11., 13.11., 25.11. a 26.11.2009. 21. Byl-li počítač zapnut mezi 9.11.2009 a Vaším znaleckým zkoumáním, zjistěte, jaké soubory byly smazány či změněny v této době na obou discích. Odpověď: V této době byl spouštěn webový prohlížeč, přehrávač video souborů nebo sdílení souborů v síti Internet. Byl také nainstalován software pro obnovu smazaných souborů. Z uživatelských dat byl upraven a archivován osobní seznam odkazů (rozcestník na různé webové stránky) a smazán blíže neurčený návrh webových stránek. 22. Zjistěte z historie Firefoxu, jaké nicky byly používány na xchat.cz. Odpověď: Nebyly zjištěny přezdívky, pod kterými uživatel na serveru vystupoval. 23. Zjistěte z historie Firefoxu s jakými nicky a kdy byla na xchat.cz zahájena komunikace v rozhodné době, tj. od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. Odpověď: Uživatel byl v tomto období výhradně v místnosti Submise a dominance, kde vedl hovor s celkem 20ti uživateli, viz seznam včetně časů uvedený výše. 24. Uveďte veškeré přijaté a odeslané zprávy z ICQ klonu Miranda v době od 18.15 dne 7.11.2009 do 03.40 dne 8.11.2009. Odpověď: Z uvedeného období bylo zajištěno pouze 22 zpráv, které jsou v příloze znaleckého posudku uvedeny samostatně vedle celé zajištěné historie komunikace. 25. Uveďte, zda předložený router Netgear WGR614 ukládá přehledné logy a zda tyto byly smazány vypnutím routeru od elektřiny nebo zdali vypnutí elektřiny je nesmaže. Odpověď: Veškeré záznamy routeru jsou při jeho vypnutí vymazány, protože jsou ukládány do takového typu paměti, který vyžaduje trvalé napájení. Vytvářené záznamy navíc obvykle neobsahují kompletní výpis spojení, aby nedošlo k přeplnění paměti, ale pouze zachycují výjimečné stavy. 26. Uveďte další skutečnosti, které mohou mít význam pro trestní řízení. Odpověď: Nebyly zjištěny žádné další relevantní skutečnosti. Znalecký posudek jsem podal jako znalec jmenovaný rozhodnutím Krajského soudu v Praze ze dne 20.6.2007 č.j. spr. 4127/2005 pro základní obor kybernetika, pro odvětví výpočetní technika se specializací výpočetní a komunikační technika, bezpečnost informačních systémů. Znalecký úkon je zapsán pod pořadovým číslem 289/71/2010 znaleckého deníku. Znalečné a náhradu nákladů účtuji podle připojené likvidace. Zkoumání provedl a znalecký posudek zpracoval: KRPM 14652/TČ 2009 140070 11

Ing. Jiří Berger soudní znalec v oboru kybernetika, odvětví výpočetní technika KRPM 14652/TČ 2009 140070 12

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář