Metadane są najczęściej definiowane jako dane o danych (a set of data about other data). Nie jest to jednak definicja prawidłowa. Tak naprawdę, ze względu na różnorodność danych, które możemy zaliczać do metadanych, nie da się wypracować definicji uniwersalnej. Łatwej jest natomiast wymienić najczęściej spotykane rodzaje metadanych. Do tej kategorii zaliczamy m. in. nagłówki emailów, dane EXIF w plikach graficznych, dane o autorach, dacie utworzenia, modyfikacji i ostatniego dostępu w przypadku plików MS Word. Metadane znajdziemy również poza światem cybernetycznym. Na przykład, nazwa, obrazek na stronie tytułowej książki to są metadane. Mapa drogowa w nawigacji samochodowej to są metadane – dzięki nim lepiej radzimy sobie z obiektem bardziej skomplikowanym (teren realny).
Rys. 1. Nagłówek email
Metadane pełnią różne funkcje, z których główną jest identyfikacja, opis danych [podstawowych] i ułatwienie procesu korzystania z tych danych. W systemach komputerowych metadane plików dzielą się na dwie grupy – metadane aplikacji, programu oraz metadane systemowe. Mówiąc w uproszczeniu, te pierwsze są przekazywane razem z plikiem do nowej lokalizacji, na przykład, za pośrednictwem emailu lub serwisu społecznościowego. Metadane systemowe pozostają, natomiast, w pamięci komputera, na którym utworzono (modyfikowano) dany plik cyfrowy – są to m. in. zapisy w MFT, czyli Master File Table.
W zależności od rodzaju pliku, zawartość metadanych „dodawanych” przez aplikację, program, może być różna. W przypadku plików MS Word w metadanych znajdziemy informacje o dacie utworzenia, modyfikacji i ostatniego dostępu do pliku, o autorze (autorach w przypadku, kiedy plik był modyfikowany przez różne osoby), wersji Worda, czasie pracy z danym plikiem, liczbie słów.
Rys. 2. Metadane w plikach Word można zobaczyć otwierając zakładkę „Plik” i wybierając „Info”
Tego rodzaju dane mogą okazać się pomocne na przykład w sytuacji, kiedy chcemy ustalić kto stworzył dany dokument i kiedy. Dodatkowo w plikach .docx znajdziemy dane o rodzaju systemu operacyjnego, jego wersji, dacie ostatniego drukowania dokumentu (Rys. 3).
Rys. 3. Metadane w „ciele” pliku .docx (żeby je zobaczyć, musimy zmienić rozszerzenie pliku na .zip i otworzyć folder „docProps”)
W kryminalistyce cyfrowej częściej pojawia się jednak potrzeba ustalenia autentyczności plików graficznych – .jpg .bmp itd. W sprawach karnych może to być dowód sprawstwa (w przypadku plików-zdjęć pornograficznych ukazujących osoby nieletnie, zdjęć narkotyków zrobionych przez „handlarza” narkotykami w sieci Dark Web itd.) lub dowód przemawiający na korzyść obrony (w przypadku tzw. alibi cyfrowego). W sprawach cywilnych podobnego rodzaju dowody pojawiają się, na przykład, w sprawach patentowych – ustalenie pierwszeństwa, jeśli chodzi o wynalazek, sprawach rodzinnych, spadkowych. Można znaleźć i inne zastosowanie tego rodzaju danym. Na przykład, mamy zdjęcie, którego „twórcę” znamy (zdjęcie nr 1) oraz zdjęcie, którego „twórcę” nie znamy (zdjęcie nr. 2), ale potrafimy rozpoznać miejsce, gdzie zostało zrobione. Porównując metadane obu zdjęć ustalamy, że zdjęcie nr 2 zostało wykonane najprawdopodobniej przez tą samą osobę. Zbieżność metadanych w tym przypadku pomoże nam ustalić, kto jest „autorem” zdjęcia nr 2 oraz gdzie się znajdował, w czasie, kiedy było zrobione zdjęcie nr 2 – informacje te nie były dostępne na początku, wydedukowaliśmy to analizując i porównując metadane obu zdjęć (Rys. 4).
Rys. 4. Jeśli porównamy metadane tych dwóch zdjęć, to zobaczymy, że najprawdopodobniej zrobiła je ta sama osoba przy pomocy tego samego sprzętu – a więc, wiemy, gdzie ta osoba znajdowała się, kiedy było robione zdjęcie nr 2
Metadane tego rodzaju plików można zobaczyć przy pomocy narzędzia o nazwie ExifTool od Phila Harvey’a – jest to najstarsza tego rodzaju aplikacja dostępna w Internecie.
Rys. 5. Strona programu ExifTool
ExifTool pozwala na przeglądanie oraz modyfikację dowolnych metadanych w plikach graficznych. Za jego pomocą można również przeglądać metadane w innych rodzajach plików – .pdf .docx itd.
Najprościej jest ściągnąć wersję Windows Executable. Rozpakowujemy archiwum i korzystamy z programy po prostu przeciągając pliki na ikonkę z wielbłądem (Rys. 6).
Rys. 6. Ściągnięty i rozpakowany program
Jakiego rodzaju metadane możemy zobaczyć? Rodzaj sprzętu, na którym wykonano zdjęcie, jego model seryjny, data utworzenia, modyfikacji i ostatniego dostępu, koordynaty geograficzne miejsca, gdzie wykonano dane zdjęcie, dane techniczne (Rys. 7).
Rys. 7. Przykład metadanych (łącznie z koordynatami geograficznymi miejsca, gdzie było robione dane zdjęcie) w programie ExifTool
Analizując metadane plików zdjęciowych należy pamiętać o tym, że mogą one być łatwo zmienione – przy pomocy na przykład ExifTool. Istnieje kilka metod weryfikacji autentyczności plików zdjęciowych:
1. Zwracamy uwagę na to, co widzimy na zdjęciu – czy to, co widzimy na zdjęciu jest zgodne z tym, co widzimy w metadanych pliku (czy zgadza się pora roku, dnia, czy widać inne szczegóły, które pomogą ustalić, gdzie, w którym miejscu oraz kiedy wykonano przedmiotowe zdjęcie – rys. 8).
Rys. 8. Na tym zdjęciu można zobaczyć szczegóły, które pomogą zweryfikować autentyczność metadanych geograficznych
2. Analizujemy zgodność wewnętrzną metadanych. Należy pamiętać o tym, że data utworzenia pliku może być „starsza” lub „młodsza” od daty jego modyfikacji – te ostanie zdarza się w sytuacji, kiedy plik jest kopiowany do innej lokalizacji, do innego folderu – system operacyjny oznacza taki plik jako „nowoutworzony”, odpowiednio zmienia się też data utworzenia pliku. Bardziej stabilną jest data modyfikacji pliku – żeby ta data się zmieniła, plik musi być podany gruntownej modyfikacji – nie wystarczy, na przykład, tylko zmienić jego nazwę, trzeba zmienić zawartość (w przypadku zdjęć, na przykład, przy pomocy Photoshopu – rys. 9).
3. Analizujemy i porównujemy metadane w plikach eksperymentalnych – plikach wykonanych przy pomocy tego samego sprzętu
4. Analizujemy metadane systemowe, ich zgodność z metadanymi aplikacji zawartymi w pliku – warunkiem jest uzyskanie dostępu do komputera, na którym dany plik był otwierany lub zmieniany.
Rys. 9. Tego rodzaju manipulacja ze zdjęciem będzie powodowała automatyczną zmianę daty jego modyfikacji
Pytanie 1: Jaki jest najprostszy sposób na usunięcie oprogramowania szpiegowskiego z komputera. Czy trzeba zrobić format całego dysku?
W przypadku, kiedy tego rodzaju oprogramowanie zostało wykryte przez Państwa antywirus, należy posługiwać się wskazówkami antywirusa, tj. można wybrać opcję „skasuj zarażone pliki” lub “wylecz”. Jeśli zaś Państwa antywirus nie wykrywa obecności złośliwego oprogramowania, a są podejrzenia, że takie oprogramowanie jest w systemie, można skorzystać z takich narzędzi jak Dr.Web LiveDisk. Po uruchomieniu tego darmowego programu (z bootowalnego pendrive’a) można sprawdzić wszystkie podłączone do Państwa komputera nośniki i ewentualnie usunąć oprogramowanie złośliwe.
Formatowanie całego dysku twardego jest środkiem skrajnym. Robimy to w sytuacji, kiedy system operacyjny na naszym komputerze jest na tyle „zawirusowany”, że jego “leczenie” zajmie zbyt dużo czasu lub może skutkować uszkodzeniem jego funkcjonalności.
Niestety nie zawsze istnieje możliwość wykrycia wirusa przy pomocy programu antywirusowego. Program wirusowy może być tak zamaskowany, że antywirus nie znajdzie w nim znanych sygnatur wirusowych (tzw. obfuscation).
Rysunek 1. Strona Dr.Web LiveDisk
Pytanie 2. Na jakich zasadach działają przeglądarki typu Tor?
Kiedy używamy przeglądarki TOR, to przeglądarka taka nie zwraca się do stron internetowych bezpośrednio jak to robi każda inna, zwykła przeglądarka. Zamiast tego przeglądarka TOR łączy się z tymi stronami (serwerem, na którym umieszczono stronę) za pośrednictwem sieci TOR. Zgodnie z opisem z Wiki, “schemat połączenia wygląda w następujący sposób: Użytkownik → węzeł1 → węzeł2 → węzeł3 → Serwer docelowy”. Oznacza to, że kiedy wysyłamy z naszego komputera zapytanie do jakiegoś serwera, żeby wysłał on nam kopię konkretnej strony internetowej, to nie zwracamy się do serwera bezpośrednio. Zamiast tego oprogramowanie TOR …
… szyfruje nasze zapytanie i wysyła go do komputera-pośrednika – uczestnika (dobrowolnego) sieci TOR. Ten komputer przekazuje nasze zapytanie do innego komputera-pośrednika (bez rozszyfrowywania jego treści). Ten z kolei zwraca się do następnego, czyli trzeciego “węzła” w tej, zbudowanej specjalnie dla nas przez oprogramowanie TOR mini sieci. Dopiero trzeci komputer-węzeł ma klucz do rozszyfrowania naszego zapytania po czym wysyła zapytanie do serwera docelowego. Po uzyskaniu odpowiedzi serwera na nasze zapytanie, szyfruje ją i wysyła nam przez wskazane wyżej węzły mini sieci. Dzięki temu mechanizmowi serwer-adresat „myśli”, że to ten ostatni w „łańcuszku” komputer (węzeł nr 3) jest jego klientem. O nas, natomiast, nie wie nic.
Rysunek 3. Tor Browser wyświetla informacje o „węzłach” naszej mini sieci
Rysunek 4. Tor Browser ma opcję utworzenia nowej „persony”
Pytanie 3. Skoro wszelkie działania na komputerze są zapisywane, to czy warto używać Virtual Private Network?
Nawet jeśli nie zmieniamy oprogramowania na naszym komputerze na takie, które nie będzie zapisywało naszej aktywności, lub nie zmieniamy ustawień naszego oprogramowania, dysk twardy (HDD/SSD) w naszym komputerze pozostaje pod naszą kontrolą fizyczną. Jesteśmy w stanie w każdej chwili ten dysk zniszczyć – rozbić talerze HDD lub połamać „kostki” pamięci w dysku SSD. Nie używając środków anonimizacji w sieci Internet, takich jak na przykład VPN, narażamy się natomiast na to, że nasza aktywność w Sieci będzie „przywiązywana” do nas jako właścicieli konkretnego komputera/smartfona. Problem polega na tym, że nie jesteśmy w stanie uzyskać fizyczny dostęp do serwerów, na których są przechowywane te dane. Plus, nie jesteśmy nawet w stanie zlokalizować te serwery fizycznie. W związku z tym, minimalizacja danych, które trafiają do tych serwerów i mogą być „przywiązane” do nas, jest dobrą strategią zapewniającą pewną kontrolę nad naszymi własnymi danymi osobowymi.
Prawo: Na uwagę zasługuję też to, że zgodnie z ustawą Prawo telekomunikacyjne z dnia 16 lipca 2004 r. (Dz.U.2019.2460 t.j.), operatorzy publicznej sieci telekomunikacyjnej oraz dostawcy publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt „zatrzymywać i przechowywać dane [niezbędne do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego (inicjującego połączenie oraz tego, do którego kierowane jest połączenie), określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego] generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi.
Więc, organ ścigania może pójść „wstecz” o 12 miesięcy i odtworzyć całą naszą aktywność w sieci Internet oraz historię naszych przemieszczeń się. Problem polega też na tym, że mechanizm prawny kasowania takich danych nie jest do końca jasny – można założyć, że zgromadzone dane (wbrew pozorom nie zajmują one dużo miejsca) w zależności od operatora/dostawcy mogą być dostępne (dla organów ścigania i służ specjalnych) i po upływie 12 miesięcy. Co do śledzenia przez graczy prywatnych (korporacje internetowe, firmy handlujące naszymi danymi), to na uwagę zasługuję Unijna Dyrektywa „ciasteczkowa”.
Już wkrótce na naszym blogu opiszemy mechanizm identyfikacji użytkowników serwisów VPN przez organy ścigania. Zapisujcie się na naszego Newslettera lub polubcie nas na Facebooku!
Rysunek 4. Opcja rekonfiguracji połączenia z siecią Internet w przeglądarce Firefox (przekierowanie zapytań/odpowiedzi przez proxy-serwer)
Pytanie 5. Czy bezpieczniej jest korzystać z przeglądarek takich jak np. Opera niż z Google?
Jeśli chodzi o bezpieczeństwo w sensie anonimowości przy surfowaniu w Internecie, to zgodnie z informacją Electronic Frontier Fundation zajmującej się ochroną danych użytkowników sieci Internet, przeglądarka Chrome tego rodzaju bezpieczeństwa nam nie zapewnia. Jeśli zaś chodzi o wybór pomiędzy dwoma drugimi potężnymi graczami na rynku przeglądarek – Opera i Firefox – to jest to raczej sprawą gustu. Niestety, żadna z tych przeglądarek nie jest w pełni zabezpieczona przed śledzeniem „po wyjęciu z pudełka”. Konieczne będzie dokonanie zmiany pewnych ustawień. Fundacja EFF udostępnia na swojej stronie internetowej narzędzie do sprawdzenia czy Państwa przeglądarka jest „anonimowa” czy jednak posiada unikatowy „odcisk” – fingerprint umożliwiający śledzenie – panopticlick.eff.org.
Rysunek 5. Ustawienia prywatności w zakładce „Opcje” (przeglądarka Firefox)
Pytanie 5. Na jakiej zasadzie wykrywane są czyny zabronione dokonane za pomocą przeglądarek typu Tor?
Nie wiele jest wiadomo na ten temat, jeśli chodzi o środki techniczne/programowe deanonimizacji użytkowników sieci TOR na „wyposażeniu” organów ścigania, a szczególnie służb specjalnych (dlatego są skuteczne😊). Wiadomo natomiast, że taka identyfikacja jest możliwa, na przykład, przez „niezabezpieczone” aplikacje/programy, które łączą się z Siecią pomijając TOR, czy też przekierowywanie danych przez własną sieć. Jest też możliwość identyfikacji użytkownika sieci Tor na bazie indywidualnych upodobań oraz charakterystyk technicznych używanego sprzętu – język, rozmiar ekranu itd. Czasem sam użytkownik popełnia błąd, na przykład, używając pseudonimu, z którego korzysta w sieci TOR, w zwykłym Internecie – na formach, w czacie. Plusem jest to, że deweloperzy Tor Browser przez cały czas pracują nad tym, aby lepiej chronić użytkowników sieci Tor przed śledzeniem i deanonimizacją – pojawiające się „dziury” są od razu łatane (oczywiście, jeśli deweloperzy o nich wiedzą😉).
Dzisiejszy temat będzie nieco odbiegał od informatyki (śledczej), ale niestety też jest bardzo życiowy. Dotyczy on przyznawania się do winy, a mianowicie ewentualności wymuszenia przez Policję takiego przyznania się.
Kiedy przyznajemy się do popełnienia przestępstwa stwarzamy tym samym niesamowicie mocny obciążający dowód. Prawdziwe przyznanie może być żyznym źródłem nowych dowodów, które dotychczas były znane tylko sprawcy przestępstwa. Ono pomaga oskarżeniu zbudować silną sprawę w sytuacji, kiedy są dostępne tylko dowody poszlakowe. W niektórych przypadkach, jak np. zabójstwa bez ciała czy podpalenia lasów, trudno jest udowodnić winę podejrzewanego bez kooperacji z jego strony.
Niektóre techniki przesłuchania mogą powodować fałszywe przyznania się do winy, które z kolei są częstą przyczyną pomyłek sądowych. Chodzi tu przede wszystkim o przemoc fizyczną, tortury oraz manipulację. Zakaz używania tego rodzaju technik przez Policję i służby specjalne jest ugruntowany w prawie międzynarodowym i jest również obecny w prawie krajowym. Te ostatnie zawiera mechanizmy, które w ideale pozbawiają sensu naruszenie zakazu stosowania tortur czy innych form przemocy przez funkcjonariuszy. O tych mechanizmach oraz różnicach w ich implementacji w Polsce i Rosji oraz na poziomie europejskim w dzisiejszym artykule w języku angielskim.
