OS BA V.: Rozsudok vo veci ‘nbusr123’
Prinášame rozhodnutie Okresného súdu Bratislava V. v trestnej veci ‘nabúrania sa’ do systému Národného Bezpečnostného Úradu, známeho aj ako prípad ‘nbusr123’.
Súd: Okresný súd Bratislava V.
Sudca: Mgr. Marcela Kosová
Spisová značka: 1 5T 18/2009-1160
ROZSUDOK
V MENE SLOVENSKEJ REPUBLIKYOkresný súd Bratislava V, samosudkyňou Mgr. Marcelou Kosovou, v trestnej veci proti obžalovaným Xxxxxxxx Xxxxxxxxx a Xxxxxxxxx Xxxxxxxxx pre prečin porušovania tajomstva prepravovaných správ podľa § 196 ods. 1 písm. c) Tr. zák. a prečin porušovania a zneužitia záznamu na nosiči informácii podľa § 247 ods. 1 písm. c) Trestného zákona a § 247 ods. 2 písm. a), písm. b) Trestného zákona formou spolupáchateľstva podľa § 20 Trestného zákona na hlavnom pojednávaní konanom dňa 14.10.2010, takto
rozhodol:
Obžalovaný
Xxxxx Xxxxxxx
nar. xx.xx.xxxx/xxxx v Xxxxxxxxxx, trvale bytom Xxxxxxxxxx, ul. Xxxxxx č. xxxx/x, samostatne zárobkovo činná osoba,Obžalovaný
Xxxxxx Xxxxxx
nar. xx.xx.xxxx/xxxx v Xxxxxxxxxxxxx, trvale bytom Xxxxxxxx, ul. Xxxxxxxxxxxxx č. xxx, okres Xxxxxxxxxx, študent Xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx v Xxxxx,sa oslobodzujú
podľa § 285 písm. c) Tr. por. spod obžaloby Špeciálneho prokurátora zo dňa 17.08.2009 sp. zn. VII/1 Gv 31/06 pre skutok, ktorého sa mali dopustiť na tom skutkovom základe, že
obvinení Xxxxx Xxxxxxx vystupujúci pod nickom „br“ a Xxxxxx Xxxxxx používajúci nick „tuxo“ po vzájomnej dohode a koordinovanou súčinnosťou postupne v priebehu roka 2006, najneskôr k 2. aprílu 2006 z neznámeho miesta vykonali najprv neoprávnený počítačový prienik na server slúžiaci na prístup do internetu a pošty s internetovou adresou
http://www.sousmi.sk, vtedy patriaci Strednému odborného učilišťu strojárskemu, ul. Močarianská č. 1, Michalovce (ďalej len SOUS), ktorej nástupcom je Stredná odborná škola technická, ul. Partizánska 1, Michalovce a vtedajším jej providerom spoločnosť Minet Slovakia, s. r. o. Štefánikova 44, Michalovce, ktorej externým spolupracovníkom bol obv. Xxxxxx Xxxxxx, a to tým spôsobom, že do tohto servera zaviedli škodlivý počítačový kód tzv. exploti typu back-door s použitím php scriptu, následne neoprávnene upravil rôzne dátové údaje, tohto servera, získali heslá užívateľov root heslo, prostredníctvom ktorého preberali kontrolu nad celým serverom http://www.sousmi.sk, čím ho využili ako pamäťovú stránku pre hackovacie nástroje a spúšťanie útokov pre iné pracovné stanice pripojené do siete Internet,
následne po neúspešných pokusoch počnúc 2. aprílom 2006, najneskôr od 8. apríla 2006 sa obvinení Xxxxx Xxxxxxx a Xxxxxx Xxxxxx zneužitím bezpečnostnej diery v php verzii 3 aj z IP adresy xxx.xxx.xxx.xxx patriacej SOUS Michalovce a ďalších adries pripojili na verejnú zónu serverov Národného bezpečnostného úrad SR, ul. Budatínska 30, Bratislava (ďalej len NBÚ) a prenikli na webové stránky, mailový server, proxy server a archív mailovej korešpondencie úradu za použitia script injekction do sú borov PHP a web URL, čo im umožnilo prístup do systému verejnej počítačovej zóny NBÚ a preskúmanie jeho štruktúry; zaslaním Ďalších súborov od systému obvinení dňa 20. apríla 2006 zistili prihlasovacie heslo „nbsr 123“, po prelomení ktorého vykonali do 26. apríla 2006 všeobecný prieskum serverov NBÚ a modifikovali ich binárne súbory,
čím Strednej odbornej škole technickej, ul. Partizánska 1, Michalovce a Národného bezpečnostnému úradu SR, ul. Budatínska 30, Bratislava spôsobili ujmu spočívajúcu v prelomení ochrany a tajomstva počítačových dát týchto inštitúcii a Národnému bezpečnostému úradu SR tiež ujmu spočívajúcu v poškodení mena a postavenia tohto úradu,
právne kvalifikovaný ako prečin porušovania tajomstva prepravovaných správ formou spolupáchateľstva podľa § 20, § 196 ods. 1 písm. c) Tr. zák. a prečin poškodzovania a zneužitia záznamu na nosiči informácii formou spolupáchateľstva podľa § 20, § 247 ods. 1 písm. c) Tr. zákona a § 247 ods. 2 písm. a), písm. b) Trestného zákona,
nakoľko nebolo dokázané, že skutok spáchali obžalovaní.
Odôvodnenie
Prokurátor Úradu špeciálnej prokuratúry GP SR Bratislava dňa 19.08.2009 pod sp. zn. VII/1 Gv 31/06 podal na Okresný súd Bratislava V obžalobu na obvinených Xxxxxx Xxxxxxxxx a Xxxxxxx Xxxxxxx pre prečin porušovania tajomstva prepravovaných správ podľa § 196 ods. 1 písm. c) Trestného zákona formou spolupáchateľstva podľa § 20 Tr. zák. a prečin poškodzovania zneužitia záznamu na nosiči informácii podľa § 247 ods. 1 písm. c) Tr. zák. a § 247 ods. 2 písm. a), písm. b) Trestného zákona formou spolupáchateľstva podľa § 20 Tr. zák. na skutkovom základe uvedenom v obžalobe.
Okresný súd Bratislava V na základe podanej obžaloby vydal vo veci dňa 08.09.2009 pod sp. zn. 5T 18/09 trestný rozkaz, ktorým uznal obvinených Xxxxxx Xxxxxxxxx a Xxxxxxxx
Xxxxxxx vinnými zo žalovaných prečinov a obom uložil úhrnné tresty odňatia slobody vo výmere 1 rok s odkladom ich výkonu na skúšobnú dobu v trvaní 2 roky.
Proti takto vydanému trestnému rozkazu obvinený Xxxxxx Xxxxxx aj obvinený Xxxxx Xxxxxxx podali v zákonnej lehote odpor.
Samosudkyňa Okresného súdu určila vo veci termín hlavného pojednávania. Na hlavnom pojednávaní boli vykonané dôkazy a to výsluchom obžalovaného Xxxxxxx Xxxxxxx, znalca xxx. Xxxxxx Xxxxxxx, znalca xxx. Xxxxxxx Xxxxxxxx, znalca xxx. Xxxxxx Xxxxx, svedka xxxx. Xxxxx Xxxxxxxxxxxx, svedka xxx. Xxxxxxxxx Xxxxxxxx, svedka xxx. Xxxxxx Xxxxxxx, svedka Xxxxx Xxxxx, svedka xxx. Xxxx Xxxxx, prečítaním a oboznámením listinných dôkazov nachádzajúcich sa v spisovom materiáli.
Obžalovaný Xxxxx Xxxxxxx v zmysle § 257 ods. 1 Tr. por. vyhlásil, že sa cíti byť nevinný a ďalej využil svoje právo a tak v prípravnom konaní, ako i na hlavnom pojednávaní odmietol vo veci vypovedať.
Obžalovaný Xxxxxx Xxxxxx v zmysle § 257 ods. 1 Tr. por. vyhlásil, že sa cíti byť nevinný. V prípravnom konaní využil svoje právo a vo veci nevypovedal. Na hlavnom pojednávaní uviedol, že nevykonal žiadny útok ani na Národný bezpečnostný úrad SR (ďalej len NBÚ), ani na v tom čase Stredné odborné učilište strojárske v Michalovciach (ďalej len SOUS). Je pravdou, že pracoval pre spoločnosť Minet Slovakia Michalovce, ale bola to len kamarátska výpomoc. Na základe tejto spolupráce mal prístup k počítaču SOUS Michalovce, kde sa niekoľko krát prihlasoval a riešil nejaké veci. V Minet Slovakia spravoval počítače. Keďže mal prístup k počítaču SOUS nemal dôvod počítač tohto učilišťa hackovať, lebo mal k nemu plný administratívny prístup. Zdôraznil, že nehackoval ani počítače NBÚ. Myslí si, že celá vec je proti nemu vykonštruovaná, keďže podľa spisového materiálu došlo k hacknutiu NBÚ z mnohých IP adries s ktorými on nemá nič spoločné. Len jedna z nich, ktorá patrila SOUS mala byť zdrojom útoku. Podotkol, že asi mesiac predtým, ako sa zaisťovali PC servera Misteria bol v USA a ani nemal teda možnosť podávať žiadne informácie médiám a v konečnom dôsledku ani vykonať takýto útok, pretože tam nemal prístup k počítaču. Potvrdil, že jeho matka pracovala v ekologickom sektore spoločnosti, ktorá mala sídlo v budove Chemko, nespomína si na jej presnú adresu, pretože používa jej súkromnú mailovú adresu. Čo sa týka jeho sestry Xxxxx, adresa xxxxxxx@xxxxxx.cxx nie je adresou jeho sestry.
Obžalovaný ďalej uviedol, že ICQ v minulosti používal, ale nikdy nepoužíval nick „tuxo“. Spoluobžalovaného nepozná a nie je si vedomý, že by s ním virtuálne komunikoval. Prvý krát ho videl 01.12.2009 na hlavnom pojednávaní.
Znalec xxx. Xxxxx Xxxxxx na hlavnom pojednávaní uviedol, že sa pridržiava záverov znaleckého posudku vypracovaného v prípravnom konaní. Tento sa týkal len servera „onyx.hysteria.sk“, ktorý obsahoval 6 pevných diskov, ktoré boli usporiadané. Pri skúmaní bolo potrebné sprístupniť obsah poľa, ktorý obsahoval 6 logických oddielov nazvaných md0 až md5. Oddiely md0 až md4 predstavovali systémovú časť servera a oddiel md5 predstavoval jeho dátovú časť. Pri skúmaní týchto oddielov boli zistené skutočnosti, majúce určitý súvis s predmetnou trestnou vecou, hlavne v dátovom oddiely md5. V adresári užívateľa s prezývkou „tuxo“ sa nachádza súbor „bash_history“, ktorý predstavuje históriu zadaných príkazov týmto užívateľom v rámci jeho virtuálneho sedenia a prihlásení na serveri „onyx.hysteria.sk“. V tomto súbore bolo zistené zadane príkazu root@sousmi.sk, ktorý
predstavoval pokus o prihlásenie sa na server http://www.sousmi.sk pod užívateľským kontom „root“, cez ssh, čo je vlastne program, ktorého účelom je pripojiť sa na vzdialený server zabezpečeným spôsobom. V tomto súbore sa nachádzal aj príkaz – zadaný textový reťazec „tesOr@tarantino.websupport.sk“.
Čo sa týka užívateľa s nickom „br“ v čase vypracovania znaleckého posudku nemal vedomosť o tom, že by niekto mal oficiálny prístup k doméne http://www.sousmi.sk. Až dnes od obžalovaného zistil, že robil administrátora v tejto doméne.
V súbore „viminfo“ sa nachádzajú súbory programu v ktorom sa nachádzajú uložené zadané príkazy. Takýto súbor môže obsahovať aj rôzne vyhľadávania použité na serveri, prípadne aj obsah elektronickej komunikácie. Bol tu nájdený text predstavujúci elektronickú komunikáciu užívateľa pristupujúceho pod nickom „br“, ktorá obsahovala skutočnosti zjavne sa týkajúce predmetnej veci. V domácom adresári užívateľa „br“ na tomto serveri boli nájdené dva grafické súbory, z ktorých jeden s názvom „xx.jpg“ predstavuje screenshooty, to znamená grafický obrázok, na ktorom sa nachádza vyobrazený stav obrazovky v reálnom čase. Na tomto je zobrazené prihlásenie sa v lokalite s názvom „www.nbusr.sk“. Tento súbor bol naposledy modifikovaný dňa 24.04.2006. Súbor s názvom „nbusr2.png“ predstavuje tiež screenshooty obrazovky počítača na ktorom je prihlásený užívateľ „br“ a sú na ňom znázornené spustené tri konzoly – terminály, kde v každej z nich je zobrazené zrealizované pripojenie sa k lokalitám http://www.nbusr.sk, mail.nbusr.sk, archive.nbusr.sk. Na pozadí sa nachádza okno s vyobrazením komunikačného programu a zoznamom kontaktov medzi ktorými sa vyskytuje aj užívateľ „tuxo“. Súbor „nbusr2.png“ bol naposledy modifikovaný dňa 20.04.2006, čo je počiatok obdobia prieniku na servery NBÚ, ako i z doby medializácie prípadu.
V domovskom adresári sa zároveň nachádzal súbor s názvom „cv.doc“, ktorý obsahuje pravdepodobne životopis užívateľa s prezývkou „br“ a uvádza skutočnosti, ako meno a priezvisko, adresa, dátum narodenia a ostatné údaje osobného charakteru. Znalec podotkol, že k serveru užívateľa „br“ mohol mať prístup každý kto poznal prihlasovacie údaje a za bežných okolností aj administrátor. Užívateľov s administratívnymi právami môže byť aj viac.
Čo sa týka užívateľov „br“ a „tuxo“ a inými nickmi, ako napr. „mifo“, „woody“ a podobne podstatný rozdiel spočíva v tom, že u iných užívateľov neboli zistené grafické údaje s takou výpovednou hodnotou, ako boli zistené u užívateľa „br“, ktoré v jeho prípade potvrdzujú prítomnosť na strojoch NBÚ. Rovnako u ostatných nickov nebol zistený výskyt textových reťazcov „testOr@tarantino.websupport.sk“ a reťazec „sousmi.sk“, v takej miere ako u daných dvoch užívateľov. Je potrebné podotknúť, že aj u iných užívateľov sa v histórii elektronickej komunikácie vyskytovali vyjadrenia majúce spojitosť s vyšetrovanou trestnou vecou.
Znalec ďalej uviedol, že „hash“ – ako určitý číselný jednoznačný identifikátor, slúži na identifikáciu digitálnej stopy, keďže je to pamäťové médium, ktoré obsahuje dáta, ktorých číselná hodnota sa dá vyjadriť prostredníctvom algoritmu. Identifikuje nezmennosť dátové obsahu tejto stopy. Čo sa týka zaistených serverov „onyx.hysteria.sk“, dátový obsah sa nachádzal na ray poli z ktorého boli vykladané jeho logické oddiely a obsah ktorých bol vykopírovaný na služobné disky. Znalec sa nevedel vyjadriť, či bol vykonaný hash v počiatočných diskoch ray poľa. Nepamätal si, či oni sami vykonávali takýto hash, keďže
obsah poľa bol skúmaný len na úrovni existujúcich súborov, keďže súborový systém obsiahnutý na serveri na úrovni vymazaných dát nie je podporovaný im dostupnými forenznými nástrojmi. Znalci vykopírovali iba existujúce súbory zo zaistených diskov a údaje, ktoré sú uvedené v znaleckom posudku sú iba na úrovni existujúcich súborov a preto hash pôvodného média by nebol totožný s údajmi, ktoré skúmali, keďže neskúmali disky ako také, ale len ich logické oddiely obsahujúce vykopírované údaje. Je možné vytvoriť hash na serveri ako aj je možné vytvoriť image disku servera, ktorý aj bol vytvorený a bol uložený na jednotlivé disky dodané vyšetrovateľom. Tie dáta, ktoré mali skopírované, boli pozmenené do tej miery, že nie je možné zachovať dátum vytvorenia súboru. Čo sa týka zaznamenanej komunikácie medzi osobami „br“ a „tuxo“, nejde o zachytenie súvislej komunikácie, ale ide o jednotlivé čriepky, ktoré sú očíslované tak, ako išli od začiatku po koniec súboru. Tento súbor je len logom toho, že sa takéto niečo udialo a nebolo úlohou znalcov ich časovo identifikovať.
Čo sa týka súboru „viminfo“ ide o textový editor, ktorý zaznamenáva text, ktorý sa udial v nejakej časovej následnosti. Je ho možné ďalej upraviť, je možné doňho písať text, mazať text a robiť iné úpravy – imitácie, ako s každým textovým súborom takéhoto typu. Znalec nevedel vylúčiť s určitosťou, že nebol na serveri použitý alebo implementovaný nejaký škodlivý kód – trojan. Na odhalenie škodlivého kódu bol použitý antivírusový program, pričom však nie je vylúčené, že by nemusel byť škodlivý kód týmto programom odhalený. Čo sa týka screenshootu vo vzťahu k užívateľovi „br“ – na základe časovej pečiatky, ktorú však je možné meniť, vizuálny obsah potvrdzoval prítomnosť užívateľa „br“, pracujúceho na stroji shadow, teda že bol pripojený vzdialene cez konzolu na serveri NBÚ.
Na otázku obžalovaného Xxxxxx Xxxxxxxxx, či je možné vytvoriť takúto obrazovku s iným textom bez toho, aby bola osoba reálne pripojená na tomto serveri, uviedol znalec, že samozrejme. Grafické súbory ako bežné súbory by mohli byť stiahnuté z internetu. Záverom znalec uviedol, že nestotožňoval prítomných obžalovaných s užívateľmi vystupujúcimi pod nickom „tuxo“ a „br“. Preto sa nevie vyjadriť k tomu, kedy konkrétne boli obžalovaní pripojení na serveri „hysteria“.
Znalec xxx. Xxxxxx Xxxxxxx predniesol obsah zistení premietnutých v podanom znaleckom posudku i na hlavnom pojednávaní. Mali predložených 9 pevných diskov, ktoré boli podrobené detailnej analýze podľa požiadaviek a otázok obsiahnutých v uznesení. Disky ktoré boli predložené neboli jednoznačne identifikované. Boli doložené ako samostatné dátové zariadenia bez ďalších komponentov, ako napr. počítač. Disk označený ako „archív1“ bol preskúmaný štandardnými metódami, ktoré sa používajú pre analýzu. Vizuálne obsahoval dáta, ktoré nebolo možné sprístupniť na logickej úrovni. Technicky poškodený nebol, bol úplne funkčný. Dá sa predpokladať, že to bol archívny disk. Relevantné dáta z tohto konkrétneho disku zistené neboli, čo platí aj pre disky „archív2“ a „archív3“. Išlo pravdepodobne o súčasti logického dátového poľa, ktoré bez hardwaru v ktorom boli umiestnené nie je možné sprístupniť. Ďalší disk označený ako „mail“ bol preskúmaný štandardnými prostriedkami a metódami používanými na analýzu pamäťových médií a to na úrovni existujúcich aj vymazaných dát. Boli tu staršie dáta, ale tieto boli obnovené pre potreby skúmania. Na pevnom disku bol vyhľadávaný reťazec „passthru“, ktorý bol súčasťou reťazca použitého ako bezpečnostná diera. Z logov, v ktorých bol reťazec zistený možno vyčítať IP adresu pripojenia z ktorého bola zadávaná požiadavka na tento systém. Log obsahuje i dátum a čas, kedy bola táto požiadavka zadávaná. Ide o 08.04.2006, 17,26 hod., kedy bol tento reťazec použitý. Keďže tieto disky neboli identifikované možno len
predpokladať, že patrili NBÚ. Rovnaké zistenia v podstate platia aj pre ďalší disk s názvom „web primárny“. Tu zistený nárast pripojení poukazuje na to, že bezpečnostná diera bola zneužitá častejšie. Log neobsahuje či zaznamenaná požiadavka bola vykonaná kladne, a vôbec neplatí, že na zaevidovanú požiadavku existuje odozva žiadaného servera. Disk s označením „web sec“ tiež obsahuje už spomínané logy v ECLF formáte. Podľa dostupných záznamov týchto logov možno povedať, že prvý pokus o zneužitie bezpečnostnej diery na serveri NBÚ bol vykonaný dňa 08.04.2006 o 03:19:30 hod. V uvedenom dotaze na serveri bola konkrétne syntaxom zadaná požiadavka na zaslanie odpovede servera na e-mailovú adresu „xxxxxxxxxxxgmail.com“. Logy obsahujú aj ďalšie pokusy o zneužitie, ktoré prichádzali v dňoch 19.04.2006 – 21.04.2006. Čo sa týka dňa 08.04.2006 je nemožné sa jednoznačne vyjadriť o stave spracovania požiadavky, keďže zo znaleckého pohľadu, nie je informácia, či sa to podarilo. Pri spracovávaní znaleckého posudku bola dostupná správa FBI a určite boli jej informácie spracované, posudok bol však vypracovaný nezávisle na informáciách FBI.
Znalec ďalej uviedol, že predložený pevný disk označený „sousmi“ obsahoval takzvané image súbory „sousmi“ a „xnd-sousmi“. Tieto súbory boli obrazom pevných diskov SOU v Michalovciach. Boli preskúmané štandardnými metódami na analýzu pamäťových médií a to na úrovni existujúcich i na úrovni vymazaných súborov. Prvý disk teda disk „sousmi“ bolo možné sprístupniť na logickej úrovni. Boli zistené súbory súvisiace so šetrenou vecou. Zaujímavý a významný pre šetrenie bol súbor “known_hosts“, ktorý obsahuje IP adresy a vygenerované kľúče pre prístup. Je tam zapísaná IP adresa „nbusr.sk“, súbor neobsahuje časy, kedy došlo k pripojeniu, obsahuje tiež IP adresu „mail.nbusr.sk“, bolo rovnako zistené pripájanie sa na adresu „netlab.sk“. V súbore „lomos“ v ktorom sa nachádza uložená práca s konzolou, bolo zistené pripájanie sa na lokalitu „rc.bai.netlab.sk“ pod užívateľským menom „Xxxxx“ na ktorom figuruje aj IP adresa „xx.xxx.xx.xxx“, ktorá patrí „mail.nbusr.sk“. Nachádza sa tam i IP adresa patriaca SOU v Michalovciach. V rovnakom adresári sa nachádzal súbor s názvom „clog“, ktorý obsahuje užívateľské mená s priradenými heslami, prislúchajúce rôznym webovým lokalitám, kde sa vyskytujú aj IP adresy prislúchajúce NBÚ.
Disky „proxy1“ a „proxy2“ boli súčasťou jedného RAID poľa, ktoré bolo po úpravách sprístupnené na logickej úrovni. Bol hľadaný reťazec, ktorý by mohol nasvedčovať pokusu o prienik na server, kde bol v súbore „bash_history“ zistený výskyt adresy patriacej http://www.sousmi.sk.
Ďalej bolo zistené, že dňa 21.04.2006 boli do systému inštalované trójske kone, konkrétne súbory „secureshell“ a „sshd“. V týchto súboroch sa nachádza prístupové meno „nbusr“ a heslo „nbusrxxx“. Tieto údaje nehovoria o žiadnom úspešnom alebo neúspešnom pripojení, ide o heslo, ktoré bolo zbierané na serveri a bolo nájdené na disku „sousmi“ v súbore „clog“. Ako sa tam to heslo dostalo a ďalšie okolnosti sa zistiť nedá. Neboli zistené také informácie na základe ktorých by sa dalo konštatovať, že útočník uskutočnil všeobecný prieskum servera NBÚ, ale pokiaľ užívateľ systému „sousmi“ disponoval menom a heslom, ktokoľvek používal meno a heslo mohol sa pripojiť na lokalitu, pohybovať sa tam a prezerať všetky dostupné údaje ku ktorým mal prístup na základe hesla. Či takýto užívateľ si skutočne tieto údaje aj prezeral sa zistiť nedá. Na otázku prokurátora znalec uviedol, že z hľadiska znaleckého zistenia boli významné dátumy a to dátum prvého zisteného využitia bezpečnostnej diery – 08.04.2006, dátum inštalácie trójskeho koňa do systému proxy – 21.04.2006 a dátum poslednej modifikácie súboru „bash_history“ a súboru „known_hosts“ na systéme „proxy“ – 26.04.2006. Dátum poslednej modifikácie súborov je zaujímavý z pohľadu podobnosti dátumov iných ďalších zistení na komunikáciu. Bližší čas, kedy došlo k spojeniu systému „proxy – nbu“ a „sousmi“ sa nedá bližšie špecifikovať, keďže sú to údaje, ktorépoukazujú na prebehnutú komunikáciu, ale presný čas a dátum sa povedať nedá. Záverom znalec uviedol, že by nevedeli identifikovať fyzickú osobu, ktorá zadávala príkaz na pripojenie na server NBÚ a SOU, nakoľko to nebolo úlohou posudku. Nemožno ani identifikovať užívateľa na serveri „sousmi“, ktorý sa mohol napojiť na NBÚ. Nemožno ani identifikovať užívateľov, ktorí sa napojili na „sousmi“. Znalec ďalej uviedol, že súbor „known_hosts“ môže byť ručne menený, čiže pokiaľ by sa niekto napájal zo „sousmi“ na „nbusr“ a upravil by „known_hosts“, tak nie je možné zistiť, či sa napájal. Takýto súbor vlastní každý jeden užívateľ. Prístup k takémuto súboru je zabezpečený nastavením oprávnení daného systému. „Superuser“ môže meniť všetko, avšak štandardne sú systémy nastavené tak, že by sa nemali navzájom vedieť meniť. Dá sa však zmeniť patričným oprávnením dátum modifikácie súborov „clog“ a „slog“. V znaleckom posudku neexistuje žiadna informácia, ktorá by súvisela s konkrétnou fyzickou osobou.
Znalec na otázky obhajcu následne uviedol, že nevie presne uviesť z koľkých IP adries bola snaha o využitie bezpečnostnej diery vo vzťahu k NBÚ, nie je ani zistené, ktorá adresa bola prvá. Rovnako nebolo zisťované odkiaľ boli IP adresy uvádzané v znaleckom posudku.Znalec xxx. Xxxxx Xxxxx na hlavnom pojednávaní uviedol, že predmetom ich znaleckého skúmania bolo 26 diskov a 2 image (obrazy pevných diskov). Tieto disky boli v RAID poli vyskladaním dátumového poľa, následne boli tieto dáta skúmané. Skúmanie bolo zamerané na vyhľadávanie znakových reťazcov, bola uskutočnená analýza log súborov, identifikácia programov z obdobia 20.04.2006 o 09,38 hod. s časovým posunom ± 5 hodín. Bola vykonaná antivírusová kontrola zameraná na výskyt škodlivého kódu, ktorý by umožňoval vzdialený prístup, resp. pripojenie k týmto počítačom. Výsledok skúmania bol negatívny. V súboroch „history“ bola zachytená ICQ elektronická komunikácia užívateľa vedeného pod prezývkou „br“, ktorého ICQ identifikačné číslo je xxxxxxxxx s užívateľom vedeným pod prezývkou „tuxo“, ktorého ICQ identifikačné číslo je xxxxxxxxx. Čo sa týka zaregistrovania profilu na ICQ serveri, tieto informácie sa neoverujú, keďže nie je povinnosť zadávať skutočné a pravdivé údaje. Bol zistený čas poslednej modifikácie – zmeny obsahu súboru. Znalci pracovali len s digitálnymi dátami, nepreklápali to na fyzické osoby. Nie je možné zistiť, kedy bola vedená celá komunikácia v ktorej sa používajú reťazce NBÚ. Samotná komunikácia bola uložená v súbore „history“ a domovskom adresári užívateľa „br“, pričom názov adresára je ICQ číslo. Dátum a čas vytvorenia adresára nie je možné zistiť. Znalec na záver uviedol, že pod rovnakým nickom môže komunikovať aj viacero osôb.
Svedok xxxx. Xxxx Xxxxxxxxxxx na hlavnom pojednávaní, ako i v prípravnom konaní uviedol, že o skutočnosti, že bol hacknutý NBÚ sa dozvedel ako vtedajší hovorca NBÚ od novinárky z denníka SME dňa 26.04.2006 presne o 12,00 hod. telefonicky. Po zistení, že skutočne došlo k prienikom do verejnej zóny serverov NBÚ, túto skutočnosť následne novinárke potvrdil. Pred týmto dátumom nemal úrad nijaké informácie o možnej bezpečnostnej diere. Svedok zdôraznil, že úrad žiadnu škodu nedefinoval, keďže priznal prienik hneď od začiatku, takže škoda nebola spôsobená ani napr. poškodením mena. Podľa názoru svedka k poškodeniu mena úradu došlo, pričom však je otázne ktorým konaním, pretože napr. okolo celej tejto udalosti sa napísalo množstvo nepravdivých článkov, čím tiež mohlo vzniknúť poškodenie dobrého mena úradu. Po zistení prieniku NBÚ nepoužíval ďalej heslo „nbusrxxx“. Toto heslo sa však v médiách preceňovalo, keďže na prienik do verejného servera NBÚ bolo potrebných niekoľko krokov a zľahčovanie to vo vzťahu k heslu „nbusrxxx“ nie je na mieste. Nakoľko úrad vykonáva len to, čo mu je zákonom dovolené, nie je možné, aby úrad sám zisťoval možných páchateľov prieniku do servera.
Svedok xxx. Xxxxxxxx Xxxxxxx uviedol, že v čase skutku nepracoval ako riaditeľ Stredného odborného učilišťa v Michalovciach, keďže až dňom 01.09.2007 sa stal riaditeľom nástupníckej školy – Združenej strednej školy v Michalovciach. Bývalý riaditeľ dal pokyn pracovníkom, aby sa zabezpečilo, že sa v budúcnosti nemôže už niečo podobné stať. Na celú udalosť sa prišlo tak, že prišli na školu pracovníci FBI z USA a sprevádzal ich jeden pán z počítačovej kriminálky z Bratislavy a títo oznámili, že došlo k prieniku na server školy. Providerom bola v tej dobe spoločnosť Minet Slovakia s.r.o., pričom táto aj v súčasnosti zostala providerom na pracovisku pôvodnej školy. Svedok uviedol, že mu nie je známa akákoľvek škoda, ktorá by im bola spôsobená.
Svedok xxx. Xxxxx Xxxxxx ako správca počítačovej siete Združenej strednej školy v Michalovciach uviedol, že začiatkom mesiaca júl 2006 im bolo políciou oznámené a to za prítomnosti pánov z FBI, že nejakí hackeri prenikli do NBÚ a jedna z IP adries bola doména ich školy http://www.sousmi.sk. Svedok im oznámil, že nič podozrivé nezistili a že správu domény majú na starosti vo firme Minet Slovakia s.r.o. Na ich serveri neboli vymazané alebo zneužité nejaké údaje, keďže ide o server na prístup do internetu a pošty, kde sa ani žiadne zneužiteľné informácie nenachádzajú. Svedok vyjadril názor, že Minet zrejme doplatila na to, že využívali externých pracovníkov. Záverom svedok uviedol, že administrátor má prístup ku všetkému a nepotrebuje hackovať vlastný server, jedine vtedy, ak by sa snažil získať iné prístupy.
Svedok Xxxx Xxxx uviedol, že od roku 2006 pracoval ako vedúci odboru prevádzky informačných systémov NBÚ do kompetencie ktorého spadá správa dotknutej predmetnej časti systému, ktorý bol hacknutý. O útoku sa dozvedel od priameho nadriadeného xxx. Xxxxxx. Následne podnikol kroky na zistenie prijatia opatrení na obmedzenie možného útoku. Bola zrealizovaná prvotná analýza, pri ktorej nebolo možné v tom čase definovať rozsah prieniku. Bol preto povolaný pracovník firmy NETLAB plus, s.r.o.. Tento pracovník potvrdil, že útok bol vedený no boli chýbajúce komplexné záznamy z logov, čiže boli zaznamenané len fragmenty útoku. Sieť bola po útoku dočasne odpojená. Boli archivované disky zo všetkých kľúčových serverov u ktorých sa predpokladalo vykonanie expertízy. Išlo o disky z www servera, mailového servera, archívneho mailového servera a proxy servera. Všetky sieťové infraštruktúry v zmysle definovania aktív NBÚ sa môžu používať výlučne len pre komunikáciu, ktorá neobsahuje utajované skutočnosti. Takéto siete sú fyzicky oddelené od ostatných počítačových sietí a teda je vylúčené, aby prišlo k úniku utajovaných skutočností. I tento svedok uviedol, že útokom NBÚ nevznikla žiadna priama finančná škoda. Zdôraznil, že úrad mal v pláne zastaralú architektúru, ktorá bola napadnutá nahradiť v tom čase inou, čo bolo verejne deklarované v rámci plánu činnosti úradu. Vo vzťahu k dobe prieniku uviedol, že na základe odhadu sa úrad stal predmetom záujmu pravdepodobne už v skoršom období, čiže popis útoku ako bol deklarovaný v médiách útočníkmi na stránke „blackhole.sk“ nemá plnú vypovedaciu hodnotu a je pravdepodobne nekompletný. Podľa rozsahu a spôsobu prevedenia útoku išlo o útok dlhodobo plánovaný, premyslený a finančne asi aj náročný. Svedok vyjadril súhlas s tým, že heslo na základe ktorého útočníci vnikli do siete bolo primitívne, ale nie do takej miery, aby bolo uhádnuteľné na prvý krát.
Svedok xxx. Xxx Xxxx, ako majiteľ a konateľ spoločnosti NETLAB plus, s.r.o. uviedol, že je dodávateľov väčšiny systémov špeciálne nezabezpečenej IT infraštruktúry pre NBÚ. Čo sa týka hesla „nbusrxxx“ išlo o testovacie heslo, ktoré malo byť pracovníkmi NBÚ následne zmenené. Toto heslo vzniklo z dôvodu možnosti otestovať dodávané zariadenia odberateľom pred prevzatím zariadení do prevádzky. Heslo zodpovedá zvyklostiam výrobcov pre štandardné ešte neutajené nastavenia. Charakterizuje názov organizácie, ako internetová
doména. Jej použitie odsúhlasili a vymysleli zamestnanci NBÚ, číslo xxx podľa zvyklosti výrobcov a dodávateľov doplnili zamestnanci NETLAB plus. Použitie tohto hesla bolo definované len pre testovacie obdobie – od januára 2001 na 2 týždne. Potom malo byť internými správcami siete NBÚ zmenené. Podľa typu bezpečnosti znaky by mali prevyšovať 10 znakov a nemali by byť jednoznačne odvoditeľné. Toto testovacie heslo bolo používané aj naďalej pri dodávkach, keďže nevznikla požiadavka na jeho zmenu. Svedok zdôraznil, že malo byť vždy používané iba na testovaciu dobu, ktorá trvala vždy maximálne 2 týždne počas testovania systému. Uviedol ďalej, že je zvyklosťou meniť heslá každé 3 mesiace a majú mať komplikovanejšiu štruktúru než alfanumerické znaky. Heslo „nbusrxxx“ rozhodne vyhovovalo zásadám bezpečnej prevádzky, za čo mali byť zodpovední interní správcovia siete NBÚ. O prieniku hackerov na verejnú sieť NBÚ sa dozvedel od zamestnancov NBÚ a jeho firma bola požiadaná o preverenie týchto skutočností, čo aj urobili a potvrdili. Po vzájomnej dohode s NBÚ, táto sieť bola odpojená od vonkajšej siete. V žiadnom prípade nemohlo dôjsť k úniku utajovaných skutočností, nakoľko sieť obsahujúca utajované skutočnosti je fyzicky odpojená od verejnej siete. Čo sa týka skutočnosti, že heslo „nbusrxxx“ bolo používané v NBÚ od roku 2001 do roku 2006, svedok uviedol, že vo vzťahu k ich firme to vyriešili tak, že zamestnanci neoboznamujú odberateľov s testovacími heslami, lebo sa na nich v tomto spoľahnúť nedá.
Z listinných dôkazov vykonaných na hlavnom pojednávaní – záverečná správa FBI, výpis a analýza chatovej komunikácie, zápisnice o vykonaní prehliadok, zápisnice o vykonaní domových prehliadok, úradné a operatívne záznamy nevyplývajú žiadne skutočnosti, ktoré by zosobnili osoby obžalovaných s osobami, ktoré mali vykonať napojenie sa na server SOU či následne NBÚ.
Z dôkazov majúcich výpovednú hodnotu jednak k samotnému skutku, ako i k osobám obžalovaných , ktoré súd vykonal na hlavnom pojednávaní dospel k záveru, že nebolo dokázané, že žalovaného skutku sa dopustili obžalovaný Xxxxx Xxxxxxx a Xxxxxx Xxxxxx. Nebolo preukázané, že by sa do servera NBÚ „nabúrali“ obžalovaní Xxxxxx Xxxxxx a Xxxxx Xxxxxxx. Z vykonaného dokazovania bolo síce preukázané, že server NBÚ bol nezákonným spôsobom napadnutý, avšak ani z jedného dôkazu vykonaného tak v prípravnom konaní, ako i na hlavnom pojednávaní nebolo bez pochýb preukázané, že týmito osobami boli práve obžalovaní. V tejto súvislosti vyznieva logicky obrana obžalovaného Xxxxx Xxxxxxx v tom, že keďže mal prístup k počítaču SOUS nemal dôvod počítač tohto učilišťa hackovať, lebo mal k nemu plný administratívny prístup. Ani jeden zo znalcov vypočutých na hlavnom pojednávaní neuviedol, že by „hackerov“ stotožnil s osobami obžalovaných. Znalci nevedeli identifikovať fyzickú osobu, ktorá zadávala príkaz na pripojenie na server NBÚ a SOU. Nemožno ani identifikovať užívateľa na serveri „sousmi“, ktorý sa mohol napojiť na NBÚ. Nemožno ani identifikovať užívateľov, ktorí sa napojili na „sousmi“. Súbor „known_hosts“ môže byť ručne menený, čiže pokiaľ by sa niekto napájal zo „sousmi“ na „nbusr“ a upravil by „known_hosts“, tak nie je možné zistiť, či sa napájal. Takýto súbor vlastní každý jeden užívateľ. Prístup k takémuto súboru je zabezpečený nastavením oprávnení daného systému. „Superuser“ môže meniť všetko. Dá sa zmeniť patričným oprávnením dátum modifikácie súborov „clog“ a „slog“. V znaleckých posudkoch neexistuje žiadna informácia, ktorá by súvisela s konkrétnou fyzickou osobou. Neexistuje ucelená reťaz či už priamych, alebo i nepriamych dôkazov, ktoré by jednoznačne a bez pochýb preukazovali obžalovaným predmetnú trestnú činnosť. Skutok sa stal, ale nespáchali ho podľa názoru okresného súdu obžalovaní. Prístupové logy na serveroch SOUS boli hackerom vyčistené, teda nebolo možné v konaní preukázať, z akých adries bolo pristupované na server SOUS. Útok bol vykonaný z neznámeho miesta.
V konaní nebolo preukázané, že nicky „br“ a „tuxo“ používali obžalovaní. Stotožnenie nickov je postavené na súboroch a informáciách, ktorými mohla disponovať tretia strana. Tvrdenie, že informácie z emailovej komunikácie o hmotnosti, výške a zdravotnom stave komunikujúcich nezameniteľne identifikujú obžalovaných nie je podložené žiadnym analytickým dôkazovým materiálom, odhliadnuc od skutočnosti, že i aj tieto informácie mohli byť prístupné tretej strane. Emailové adresy rodinných príslušníkov je pomerne ľahké získať, navyše tieto adresy boli zo strany obžalovaných spochybnené. Nebola dokázaná autenticita screenshoot súborov „xx.jpg“ a „nbusr2.png“. V tejto súvislosti opätovne bola účinná obrana obhajoby, že ide o digitálne obrázky, tieto sa dajú v grafickom editore nakresliť. Aj v prípade, že by táto autenticita bola potvrdená, stále je na mieste nevyvrátená pochybnosť, či tieto obrazovky zaznamenali „br“ a „tuxo“ alebo im ich niekto poslal ako „trofej“.
Nebolo v konaní preukázané, že „br“ a „tuxo“ vykonali útok. Tvrdenie, že len obžalovaní mali vo svojich domovských adresároch súbory „xx.jpg“ a „nbusr2png“ so screenshootmi sa vzťahuje len na server „onyx.hystoria.sk“. Neboli preskúmané „všetky počítače na svete“ a spomínané súbory sa k používateľom týchto nickov mohli dostať inou cestou od tretej strany. Pri zaistení serverov ICQ komunikácie nebolo preukázané, že by bolo jednoznačne zabezpečené nemožnosť zmeny údajov v tejto komunikácii. Dokonca aj znalec uviedol, že sa tu nachádzali trójske kone, resp. že takúto možnosť nie je možné vylúčiť. Táto situácia nebola zabezpečená ani tzv. hashom.
V neposlednom rade je treba konštatovať, že heslo, ktoré bolo zneužité, bolo heslom testovacím, a malo byť zmenené pracovníkmi NBÚ, čo sa však niekoľko rokov nestalo. Toto heslo bolo primitívnym spôsobom zistiteľné, korešponduje s názvom organizácie, a preto je ako jedno z prvých možných, ktoré by akákoľvek, aj počítačovo menej zdatná osoba, vyskúšala pri pokusoch dostať sa do serverov tejto organizácie. K prelomeniu tohto hesla teda neboli potrebné nejaké osobitné znalosti v IT oblasti.
Okresný súd musí konštatovať, že v predmetnej trestnej veci proti sebe stáli všeobecné tvrdenia polície a prokuratúry, že útok viedli obžalovaní proti konkrétnym obhajobným tvrdeniam ich samotných. Na základe vykonaného dokazovania súd nemal praktickú istotu, že skutku uvedeného v tomto rozsudku sa dopustili obžalovaní. Opakovane je potrebné zdôrazniť, že bolo preukázané, že útok bol vedený z neznámeho miesta, napriek zaisteným počítačom nebol ani fyzicky identifikovaný počítač, ktorý by bol na takéto niečo použitý a teda je logické, že nemohla byť ani bez pochýb stotožnená konkrétna osoba, či osoby, ktoré by takýto útok viedli. Keby sa aj obžalobe podarilo identifikovať konkrétny počítač, stále by nemal súd preukázané kto fyzicky za počítačom sedel a vykonával v ňom úkony alebo pokyny.
Súd dôsledne rešpektoval zásadu voľného hodnotenia dôkazov, pri ktorej súd nemal na výber, ktoré z vykonaných dôkazov vyhodnotí a ktoré nie, preto dôsledne vyhodnotil dôkazy v prospech i neprospech obžalovaných a dospel k záveru, že je na mieste použitie zásady in dubio pro reo.
Ani jedna organizácia, či už stredné učilište, alebo NBÚ si neuplatnila nárok na náhradu škody, nakoľko im podľa ich tvrdení žiadna škoda nevznikla. Zástupca NBÚ dokonca uviedol, že ak vznikla NBÚ nejaká morálna škoda, tak nie v súvislosti so samotným útokom, ale s následnou publicitou, v dôsledku ktorej bolo poškodené dobré meno tejto organizácie.
Okresný súd teda musel konštatovať, že nebolo dokázané, že skutok, ktorý je uvedený v obžalobe spáchali obžalovaní, a preto ich spod obžaloby oslobodil podľa § 285 písm. c) Tr. por.
Poučenie:
Proti tomuto rozsudku možno podať odvolanie do 15 dní odo dňa jeho oznámenia prostredníctvom podpísaného súdu na Krajský súd v Bratislave.V Bratislave dňa 20.12.2010
Mgr. Marcela Kosová
samosudkyňaZa správnosť vyhotovenia:
Lenka Miklušová
Odpovedať