20. 6. 2018
ID: 107705upozornění pro uživatele

Antedatování dokumentů – datum a čas u elektronických souborů

Zdroj: shutterstock.com

U elektronických dokumentů může nastat situace, kdy se potřebujeme ujistit o době jejich vzniku nebo naopak potřebujeme potvrdit své pochyby o této době. Datace nějakého dokumentu často hraje roli ve sporech s konkurencí nebo bývalými zaměstnanci ohledně krádeže know-how, vynášení informací nebo sexuálního obtěžování.

logo Filip Volavka

Zfalšovat dobu vzniku například elektronické faktury je snadné, ale naštěstí na to jde přijít. Někdy stačí porovnat víc zdrojů informací o době vzniku, někdy je potřeba hlubší technická analýza.

Manipulaci s datem můžeme uvést i na konkrétním příkladu popsaném v jednom rozhodnutí Nejvyššího správního soudu.

Příklad antedatování z praxe

V rozhodnutí soudu čj. 13 KS 3/2017–77  je popsáno pochybení soudkyně, kterého se dopustila tím, že nerozhodla o dalším trvání vazby obžalovaného ve stanovené lhůtě. Teprve po dotazu zástupkyně obžalovaného si uvědomila pochybení a o den později vyhotovila antedatované usnesení o trvání vazby. Na základě tohoto antedatovaného rozhodnutí musel obžalovaný setrvat ve vazbě další týden, což pociťoval jako újmu.

Okresní soud nařídil domovní prohlídku u soudkyně a prohlídku její kanceláře. Podle protokolů z těchto prohlídek byla zajištěna data z pracovního počítače soudkyně jakož i ze síťového disku a také z domácího počítače a z notebooků, které soudkyně používala k pracovním účelům prostřednictvím tzv. vzdáleného přístupu. Dále okresní soud dodal tzv.“printscreeny“ z jejich interního systému, které dokládají, kdy soudkyně vložila usnesení do systému ISAS, který používá okresní soud pro ukládání informací o spisech, rozhodnutích a dalších věcech.

Znalecký posudek, který vyhotovil Kriminalistický ústav Praha, Policie ČR, stanovil, že se usnesení nachází na počítači soudkyně a bylo vytvořeno o den později, než mělo být vyhotoveno.

Ze shromážděných důkazů vyplynulo, že usnesení bylo vyhotoveno ex post a antedatováno. Soud nakonec soudkyni uznal vinnou z kárného provinění a snížil ji plat o 25 % na jeden rok.

Pohled znalce

Stanovení data a času vypadá jako jednoduchá záležitost. Podíváme se na datum souboru a vše je jasné. Úkol stanovení data a času může být mnohem složitější. Pro představu zde uvedu hlavní faktory, ke kterým je třeba přihlížet při zkoumání data a času elektronických souborů.

Filip Volavka_1
Obrázek 1 – ukázka libovolného zapsaného data v těle dokumentu


Datum napsané přímo v těle dokumentu (obr. 1) může změnit kdokoliv velmi snadno. Často je dokument určen k tisku a datu se dodá autentičnost podepsáním, případně notářským ověřením. Pokud máme tedy pouze elektronický soubor, který někde v těle dokumentu obsahuje datum, nelze se na něj spoléhat.

Filip Volavka_2
Obrázek 2 - ukázka dat vytvoření, změny a otevření v souborovém systému na počítači s MS Windows 10

Spolehlivějším údajem než datum v těle dokumentu je datum přiřazené souborovým systémem (obr. 2). Počítač zaznamená, kdy byl který soubor vytvořen, změněn nebo pouze přečten. Často stačí změnit systémové datum, soubor vytvořit a poté posunout datum zpět. To je jednoduchý postup, který však lze odhalit forenzní analýzou použitého počítače. Jiné způsoby, jak měnit takové datumy, už nejsou tak jednoduché a uživatel potřebuje speciální program, který to umí. Interpretace datumů také nemusí být úplně jednoduchá. Je nutné přihlédnout k časovému pásmu a k nastavení hodin počítače, kde se soubor vyskytoval. Někdy se hodiny synchronizují z internetu, ale někdy mohou být posunuty o několik hodin nebo i dní. Dále hraje roli operační systém nebo akce, která se se souborem děje a souborový systém. Tak může být rozdíl v časech při přetažení myší nebo kopírováním v příkazové řádce. Jinak se chová kopírování souborů na počítači s Windows a jinak na Max OS X.

Filip Volavka_3
Obrázek 3 - ukázka data v metadatech v programu Microsoft Word 2016 – volba Soubor/Informace

Dalším údajem o datu vytvoření dokumentu bývají metadata obsažená přímo ve zkoumaném dokumentu (obr. 3). Například MS Word standardně uchovává informaci o datu vytvoření a poslední modifikace. Toto datum lze změnit snadno například dočasným posunem hodin počítače nebo složitěji úpravou zdrojového souboru.

Filip Volavka_4
Obrázek 4 - ukázka data a souvisejícího souboru v logu operačního systému – program Prohlížeč události v MS Windows 10

Údaje o datu a čase vytváří i jiné programy a operační systém. Například při nějaké chybě kopírování nebo čtení vznikne na počítači záznam v logu nebo se zaznamenávají naposled otevřené soubory (obr. 4). Zde je to trochu horší se spolehlivostí, protože máme záznam pouze o názvu souboru a nelze zaručit, zda obsah byl stejný, jako v době kopírování.

Filip Volavka_5
Obrázek 5 - ukázka logu ze systému ochrany úniku informací Fortinet FortiOS

Poslední kategorií o časových údajích nějakého dokumentu jsou záznamy na jiném počítači, severu nebo síťovém prvku (obr. 5). Takové údaje lze falšovat velmi obtížně, protože vyžadují přístup k jinému počítači a také znalost, jak takový údaj změnit. Může se jednat třeba o záznam na firewallu o stažení nějakého souboru z internetu nebo záznam z DLP (systém ochrany před únikem dat) o odeslání citlivých dat emailem. Za externí zdroj informace o datu a čase lze také považovat časové razítko. Ty falšovat prakticky nelze a jsou proto nejspolehlivější. Časové razítko znamená, že nějaká externí autorita vydává garanci, že daný soubor existoval v konkrétním čase. Časové razítko je placená služba často poskytovaná s elektronickým podpisem.

Když se budeme zabývat zkoumáním doby vzniku elektronického souboru, je dobré postupovat opatrně. Při zkoumání dat je možné zničit stopy, které zbyly po falšování datumů nebo je kontaminovat tak, že nebudou dostatečně průkazné. Pokud předpokládáme, že by mohl datum vzniku souboru být rozhodující informací v soudním řízení, je lepší konzultovat veškeré kroky dopředu s technickým odborníkem nejlépe soudním znalcem.

Závěr

S pokusy o antedatování elektronických dokumentů se setkáváme všichni a často to ani nezjistíme. Některé údaje o datu a čase lze falšovat velmi jednoduše, některé pouze obtížně nebo vůbec. Když si potřebujeme prověřit datum elektronického dokumentu, může být k dispozici pět uvedených zdrojů informace o datu a čase elektronického souboru. Někdy je potřeba získat přístup k počítači, kde soubor vznikl nebo získat informace z externího zdroje. Důležité je získat, co nejvíce informací o době vzniku zkoumaného souboru a ty navzájem porovnávat. Pokud máme podezření na úmyslnou manipulaci s datem a jedná se o kritickou věc, je dobré přizvat soudního znalce.

Filip Volavka_6

Ing. Filip Volavka

Ing. Filip Volavka,
soudní znalec v oboru IT


Opletalova 55
110 00 Praha 1
 
Mob.:       +420 733 169 155
Tel.:         +420 221 419 711
Fax:         +420 221 419 712
e-mail:  filip.volavka@surveilligence.com



© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz