למי שלא עוקב, הלמו פותח את הפה בסדרת פוסטים עם ממתקים מהמשפט שבו הוא בדיוק זוכה, חלקם משמעותיים יותר וחלקם פחות. השבוע הוא הזכיר איך המשטרה ביקשה למסמר אותו לשולחן החקירות כדי להבין למה תקף אתרי ממשלה עם כלי פריצה כמו "פרוקסי" ו"פיירפוקס" במקום לגלוש עם אקספלונטר כמו כל הנתינים. הוא גם ציין שלצורך כך הם הפעילו את חוק נתוני תקשורת חודשים ארוכים לפני שהנ"ל נכנס לתוקף. אבל אולי הפרט הכי מענין שמשה מתאר כאן בסאגה מסתתר בסיפור הראיות שאספו מהמחשב שלו: זה הדיסק או שזה לא הדיסק? הוא מתאר איך בזמן ההעתקה של הדיסק הביתי שלו, יצרה המשטרה HASH מסוג MD5 ונתנה לו חתיכת נייר. את הדיסק המקורי צריך להחזיר הרי בשלב כלשהוא לנאשם אז ברור שצריך לעשות את הבדיקות על העתק, אבל מה בדיוק התוקף של ראיות מחשב שנאספו מביתו של נחקר, ואיך לוודא אותן? איך יוכיח הנאשם בבית המשפט אם הדיסק שונה או לא?
ובכן במקרה של הלמו זה היה פשוט, כשהדיסק הגיע כראיה הוא ביקש לראות שמופק אותו HASH כמו בזמן ההעתקה, ואכן, מפליא לגמרי (NOT!) התקבל מספר אחר. לי זה ברור למה, אבל מדהים אותי שמהשטרה מספיק מודעת לזה שצריך לייצר האש אבל לא יודעת איך ומה. הנה מספר עובדות:
1. האם הHASH הופק מכלל הדיסק? מחיצה בודדת? מהדיסק המקורי או מההעתק? האם זה הועתק ע"י GHOST שלא בשיטת RAW כך שיעברו כ הביטים התועים על הדיסק, כולל אלו של קבצים שהיו ונמחקו?
2. האם המשטרה בחוכמתה ניסתה לעשות BOOT מהדיסק או לחבר אותו "חי" למחשב חלונות במקום לקרוא אותו במצב ללא כתיבה, וכך שינתה timestamp של מערכת הקבצים?
3. האם המשטרה חשבה אולי על הרעיון המדהים של שימוש בהאש לכל קלאסטר סקטור? כך הם היו יכולים לדעת מה נשתנה?
4. האם המשטרה שמעה ש-MD5 נפרץ ואין לסמוך עליו יותר? (כנראה שלא, כי אז הם היו בשמחה שותלים ראיות ודואגים שהHASH יצא נכון).
5. אולי בגלל זה המשטרה מבקשת שתשבע שיש לך אחות גם אם תצליח להוכיח שאין לך.
אבל רגע, זה לא סוף סיפור הדיסק של הלמו… המשטרה לא התבלבלה מכך שיצא מספר HASH חדש ומיד הכריזה שהחדש הוא הנכון ויש להתעלם מהישן. הרי מי צריך הוכחות אמיתיות במדינת משטרה?