Hlavní navigace

Vyšetřování kyberzločinů: jaká je realita?

10. 1. 2008
Doba čtení: 10 minut

Sdílet

Autor: 74287
Je tomu zhruba rok, co v Česku začalo první velké vyšetřování domácích uživatelů, sdílejících autorská díla. Mnoho vašich dotazů od té doby směřovalo na práci vyšetřovatelů podobných případů. Podařilo se nám vyzpovídat jednu ze zainteresovaných osob, asistujících policii u „kyberzločinů“. Jak je to tedy se šifrováním disků a které důkazy soud obvykle uzná? Co radí běžným uživatelům, aby se vyhnuli problémům s policií?

Poznámka redakce: výjimečně přinášíme rozhovor s osobou, která si přála zůstat v anonymitě, takže zde tentokrát nenajdete obvyklý infobox s informacemi o zpovídané straně. Redakci je však jméno dotyčného známo.

Řeknete nám něco o tom, kde jste své zkušenosti získal?

V podstatě jsem k nim přišel docela snadno. Podnikám v oblasti odborných poradců, což je dlouhý název pro člověka, který rozumí dané věci víc než ten, kdo neví nic. Díky tomu jsem spolupracoval se soudními znalci a Policií ČR. Nebylo to tak snadné, jak se zdá, ale zhruba takhle to bylo.

U kolika případů jste asistoval?

Přímo já přibližně u dvaceti, další se odehrávaly tak trochu okolo mě. V současné době se už věnuji jiným věcem, které se více dotýkají Internetu jako trhu.

Čeho se „vaše“ případy týkaly?

To je různé, nejčastěji se jednalo o klasické piráty, kteří doma pálí hromady DVD tak dlouho, až u nich někdo z IFPI nebo podobné organizace udělá kontrolní nákup. Další případy se týkaly různého sledování aktivit na Internetu, dohledávání uložených souborů, obsahu počítače, posuzování hardwaru a softwaru.

Domácí uživatelé, kteří si autorská díla stahují, mezi nimi nebyli?

Uživatel, který si stáhnul film, je u nás beztrestný (což je dle mého osobního názoru zcela v pořádku).

To je pravda, ale někdy musí také sdílet, přičemž policie už takové domácí uživatele vyšetřovala…

Lze ale říci, že jednotlivec, který se nijak neprezentuje veřejně, jako že má levné „zálohy“ filmů, nikoho nezajímá.

První velký zásah policie proti domácím uživatelům výměnných sítí proběhl v Česku loni v prosinci. Přestože iniciátor razie, Česká protipirátská unie, tvrdil, že Klášterec a Kadaň byly jen špičkou ledovce a „sdíleče“ čeká rozsáhlejší celostátní akce, vedoucí oddělení informační kriminality Policejního prezidia ČR Karel Kuchařík v rozhovoru na Lupě prohlásil, že se žádný „internetový Kryštof“ nechystá. Postup vyšetřování pak poodhalil v druhé části rozhovoru.

Takže nějaké aktivní vyhledávání „sdílečů“ neprobíhá?

Ano i ne. Je to asi takhle: policie jedná až na základě trestního oznámení, popřípadě nějaké podobné informace – pokud někdo někoho „práskne“, zabývá se tím. Technicky je ovšem pro ni velice těžké aktivně takové osoby vyhledávat jen tak sama od sebe. Trestní oznámení většinou podává IFPI, OSA a jim podobné organizace.

Nebezpečný je hlavně Direct Connect

Jak takové oznámení identifikuje jednotlivé uživatele a co potřebuje policie, aby jim vinu dokázala?

V takových případech jsou oznámení většinou dost nepřesná, tj. třeba ve stylu „tato IP adresa poskytovala v ten a ten čas tento a tento obsah“ či někdo udá uživatele s nickem „Franta“ na Direct Connect (DC) hubu XY. Maximum je IP adresa, ale ta v podstatě nic neřeší.

Jak pak postupuje policie?

Policie se samozřejmě věcí začne zabývat. První, co zjišťuje, je, jaké jsou její možnosti. Jestli je schopná nějak snadno zjistit, kdo a jak nabízí to, co je věcí trestního oznámení. Pokud se jedná o webovou stránku, hledá jejího autora.

Tady je třeba si uvědomit, že celý postup je komplikovaný ještě tím, že povolení k prohlídce a další svolení musí vydat soud na základě nějakých zjištěných informací. Soud na základě toho, že jsem si z dané IP něco stáhnul, nic takového nevydá.

Jak probíhá vyšetřování, týká-li se výměnných sítí?

Tam nastupuje celkem mravenčí práce. Většinou je taková věc odložena pro nedostatek důkazů.

Pokud se začne vyšetřovat, tak se musí nějak smysluplně získat důkaz o nějakém nelegálním konání. Takže se provede nějaké stažení toho sdíleného díla v rámci znalecké kanceláře. Což je trošku tenký led, ale lze jej použít. Pokud se najde důkaz, že skutečně k něčemu takovému dochází, tak policie většinou získá soudní povolení. Například u DC hubu by nejspíš šla zabavit ten hub a věci jeho provozovatelů. Tenhle postup je poměrně málo proveditelný například u torrentu, tam je někdy těžké jednoznačně dokázat, kdo vlastně sdílel.

Kolika takových povolení k domovní prohlídce jste byl svědkem?

Dvou nebo tří, v Česku jich však proběhlo určitě víc, většinou proti DC hubům. Tam je snadné zjistit uživatele. Proti torrentům se, pokud vím, zatím úspěšně nezakročilo. Je tam těžké dokázat, že tento uživatel skutečně poskytl to konkrétní dílo. Pokud poskytne část, která není sama o sobě ověřitelná, opět to není použitelný důkaz. Navíc hodně uživatelů je „schovaných“ za routerem, kdy není snadné určit, kdo konkrétně sdílel. To je pak samozřejmě nemožné vyšetřovat.

Dobře. Takže se provede domovní prohlídka, zabaví zařízení a zkoumá. Jak?

Zkoumání zajišťuje soudní znalec, přičemž každý to dělá trochu jinak. Základem je ale vždy jednoznačný popis hardwaru a identifikace konkrétního počítače.

Zajímá vás, jak probíhá domovní prohlídka a na co při ní máte právo? Na základě čeho vydá soud povolení k jejímu provedení, kdy policie může zabavit vaše věci a kdy je musí vrátit? Pak nevynechejte články Poskytnutí údajů o telekomunikačním provozu a domovní prohlídka a Poskytnutí údajů o telekomunikačním provozu a domovní prohlídka

Šifrovat? Ano, ale…

Co když je třeba disk zašifrovaný?

Pokud se zná heslo, tak se zkoumá obsah disku. Pokud ne, je to nemožné.

Samozřejmě je však snaha heslo získat, buď od majitele věci, nebo jinak. Například získat administrátorské heslo do Windows XP je práce na pět minut. Rozšifrovat linuxový diskový oddíl se silnou šifrou je bez znalosti hesla prakticky nereálné. Takový disk se označí za nečitelný.

Přihlíží pak soud k tomu, jakým způsobem se informace získaly?

Soud může pracovat jen s informací, která byla získána legálně. Pokud se tak nestalo, taková informace z pohledu soudu jakoby neexistovala. Pokud se šifra disku zlomí, bere se to prostě tak, jako že údaj byl zjištěn. Otázka tedy nezní jak, ale co je na disku.

Předpokládám ale, ze nutit uživatele ke sdělení hesla nelze.

Nelze, i když většina uživatelů nevydrží tempo vyšetřování.

Co to znamená?

Je až s podivem, kolika lidem „změknou kolena“, když je vyšetřuje policie. Prostředí a výslech jsou zkrátka hodně nepříjemné a zapracuje nervozita.

U těch, kteří heslo neprozradí, je to bráno jako přitěžující okolnost?

To je otázka na soud. Je k tomu takové pořekadlo: „Přiznání je polehčující okolnost, ovšem o výši trestu nerozhoduje.“ Pokud je veškerý důkazní materiál na zašifrovaném disku, který nikdo nepřečte, tak ten důkazní materiál de facto neexistuje. Na šifrování má právo každý.

Ve Velké Británii nedávno vešel v platnost zákon, podle kterého je zatajení hesla k šifrované informaci trestné. Za jeho nevyzrazení hrozí obviněným až pětileté vězení. Více např. na serveru The Register.

Jak dlouho takové vyšetřování obvykle trvá?

To záleží na množství zkoumaného materiálu. Příkladem může být akce, kdy policie zabavila víc jak 5000 DVD a CD disků. Každý z nich se musí zkontrolovat a prověřit jejich obsah atd., což trvalo víc jak půl roku. Celé vyšetřování bylo samozřejmě delší, jeho součástí byly i odposlechy. Takže takový případ se může táhnout třeba i rok, než se dostane k soudu.

Jak obvykle dopadá zabavené zařízení?

To upravuje zákon, ale v podstatě jde o to, jestli se prokáže trestná činnost, nebo ne. Pokud ano, součástí trestu bývá propadnutí věci (trest určuje soud, ale tohle je takřka pravidlo). Takový počítač potom levně koupíte v aukci. DVD a CD, na kterých je něco nelegálního, se samozřejmě likvidují.

Jak se prokazuje, že daný čin provedl skutečně konkrétní člověk (počítač obvykle používá víc lidí)?

To je často problém. Pokud nelze určit konkrétního člověka, policie to odloží. Obecně může být postupů mnoho. Může se zkoumat například uživatelský profil ve Windows, kde jsou uložena data. Hledají se různé souvislosti, stále ale platí, že k soudu může jít jen případ s konkrétním jménem. Pokud by se našly důkazy, že zákon porušovalo více uživatelů, může to dojít až tak daleko, že se věc posuzuje jako zločinné spolčení.

Zločinné rodinné spolčení?

Teoreticky je to možné. Tady ale opět platí, že policie musí věc jednoznačně doložit.

Lze odhadnout, kolik případů se odloží (ať už z důvodu nenalezení konkrétního pachatele, nebo kvůli chybějícím důkazům)?

Těžko říct, policie je na tohle dost opatrná. Od dob Mironetu si podobné věci hodně hlídá a snaží se nejít naslepo.

U vyšetřování případu Mironetu jste byl?

Nebyl, je to ale myslím tak známý případ, že je to tak, jako by u něj byl každý, kdo se v tomto prostředí jen trochu pohybuje.

Vyšetřuje policie také jiné typy „kyberzločinů“ než porušení autorských práv?

Jistě, i když podíl takových případů je jen malé procento. Už je to delší dobu, kdy se např. řešily takzvané dialery. Zjišťovalo se tehdy, zda dialer nainstaloval uživatel, popřípadě jestli tento dialer byl jasně označen jako dialer a bylo tam řečeno, kolik připojení skrz něj stojí.

To lze dokázat?

Ano. Například pokud víte, odkud byl dialer stáhnut (pomocí souborů v cache prohlížeče). Je to poměrně složitá věc, protože je nutné dokázat, že provozovatel služby chtěl uživatele takto poškodit.

Relativně často se také vyšetřuje internetová kriminalita jako součást vyšetřování dalších trestných činů. Samozřejmě však nevím o všem.

A bankovní podvody? Phishing?

Bankovní podvody se v ČR zatím příliš nerozšířily. Navíc většinou nespadají do oblasti výpočetní techniky. Phishing už ano. Pokud vynechám podvodné e-maily z Afriky, tak v ČR proběhla snad jen jedna vlna. Tu jsem neřešil, ale ten e-mail mi přišel domů taky.

A uměl byste vypátrat jeho pachatele?

Vlastně jsem ho tenkrát hledal jen tak pro zajímavost. Tehdy v tom e-mailu byla přímo adresa na server, kde bylo ono podvodné bankovnictví, takže stačil whois. Ovšem hledání rusky hovořící osoby, s patrně falešným jménem, někde na Kajmanských ostrovech rád přenechám někomu jinému.

Je něco, co vás u případů, kde jste asistoval, překvapilo – ať už na práci policie, nebo v chování podezřelých?

Toho je hodně. Podezřelý, který seděl půl hodiny na WC a patrně jedl sešit, kde měl zapsané adresy zákazníků. Často také rozdílný přístup policistů. Na každého (podezřelého) totiž platí něco jiného, někdo je dost vyděšený už tím, že přijela policie, jiný klade odpor. Většinou stačí, aby na místo dorazil někdo, kdo má větší slovní razanci a je po problémech.

Co by si myslím měl každý uvědomit, je fakt, že rozdíl v pozici policie a zločincem je obecně jen ten, že policie bývá o krok napřed. Je nutností, aby policie znala, jaké metody používá ten, kdo páchá trestný čin. Navíc má mnohem více možností, jak pachatele najít, zajistit důkazy a chytit ho. Například odposlech je dnes věc velice snadná, police pouze předá operátorům telefonní čísla a soudní povolení. Operátor dodá hovory jako na podnose.

Legislativa není dobrá

Co byste tedy radil uživatelům, pohybujícím se dnes po (českém) Internetu, chtějí-li se podobným problémům vyhnout?

Základem je myslím zkusit se jim vyhnout na základě zdravého úsudku. Za druhé je dobré si uvědomit, že anonymita je na Internetu dost nízká.

Spousta lidí dnes ale často ani neví, že něco nějaký problém může způsobit.

Máte pravdu, bohužel neznalost neomlouvá. Podle mě je legislativa v tomhle bodu velice špatná.

Co jí chybí?

Osobně si myslím, že v právním státě by neměly existovat organizace typu OSA. Zákon by měl lépe definovat, co je duševní vlastnictví. Dám vám příklad: máte CD nebo DVD a na něm zálohy toho, co jste „upirátil u kamaráda“ – takže nějaký ten software a nějaký film. Z toho DVD si uděláte doma kopii, načež se u vás z nějakého důvodu zastaví policie. Rázem jste způsobili dvakrát vetší škodu.

Stačí na tom DVD mít řekněme AutoCAD, pokud z něj máte další kopii, už máte dva AutoCADy atd. Bohužel OSA a IFPI se v tomto ohledu nechovají korektně.

V jakém smyslu?

Jejich výpočet škody je často až absurdní, tady by měl zákon jasně stanovit, jak to vlastně je.

CIF 24 - tip - superearly cena

Přečtěte si pohled z druhé strany: ředitelka české pobočky IFPI říká, že sdílení poškozuje umělce.

Soud jejich výpočty obvykle respektuje?

U určování trestné odpovědnosti cenu určuje znalec (kus x nejnižší cena). Pokud jde ale o vymáhání škody, je to jinak: tam vydavatel nebo jeho zástupce určuje škodu, která mu vznikla. Například kopie Vratných lahví měla vydavatele přijít myslím na 5 milionů. Jak k tomu dospěl? Jeden uživatel udělal kopii, nasdílel ji, a tady se přehled ztrácí. Je to asi takovýto vzoreček: A x B x (tady jsou nějaká kouzla) = 5 milionů. Kdybych stejně chtěl peníze za přejetou slepici, asi by se soud divil. Vždyť za jednu slepici jsem mohl mít za rok slepičí farmu a miliony zisků…

Obáváte se, že by i vás mohla negativně zasáhnout policejní protipirátská akce?

Byl pro vás článek přínosný?

Autor článku

Autor je ředitelem médií vydavatelství Internet Info. V letech 2005 – 2008 působil jako šéfredaktor serveru Lupa.cz. Vystudoval Fakultu informatiky MU a Fakultu sociálních věd UK. Online komunikaci se věnuje i na svém blogu www.alesmiklik.cz.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).