2013 obrada digitalnih dokaza

i n t

e g

r i r

a n

a

s i g

u r

n o

s t

Digitalni dokazi

Damir Delija, dr. sc. E.E.

2 Sadržaj

Priroda digitalnih dokaza

Principi istraga računalne forenzike

Uloga “first respondera”

Metodologija forenzičkih istraga

4 Računala, podaci i zločini

Računalni kriminal

• Bilo koje kriminalno djelo koje uključuje računalnu i ostalu elektronsku opremu

Tri kategorije

• Računalo je CILJ napada i/ili incidenta

• Računalo je SREDSTVO napada i/ili incidenta

• Obavezno korištenje i zloporaba IT opreme (npr. hakiranje drugih IT sustava)

Računala i digitalni podaci su danas dio praktički svake aktivnosti, pa tako i dokazi vezani uz druge vrste zločina mogu biti digitalni

5

Računalna forenzika i digitalni dokazi

Računalna forenzika

• Procesi ili procedure koje uključuju nadzor, prikupljanje, analizu i prezentaciju digitalnih dokaza kao sastavni dio istraga kriminalnih radnji i/ili neprimjerenog korištenja računala i druge elektronske opreme

Digitalni dokaz

• Svaka informacija ili dio informacije koja ima snagu dokaza za određeni događaj, a pohranjena je ili prenesena u digitalnom obliku

Ne možemo ih vidjeti, ne možemo ih dodirnuti, ne možemo ih osjetiti !!!

6

Zakonski aspekti računalne forenzike

Što je računalna forenzika, treba li i kako biti definirana zakonom?

Tko treba vršiti forenzičke istrage u kriminalnim istragama?

Kad u istragu treba uključiti stručnjaka?

Kako osigurati da nalazi računalne forenzike budu prihvaćeni na sudu?

Računalna forenzika kombinira pravo i računalnu znanost

7 Pitanje: tko treba vršiti istrage?

Otvoreno pitanje stručnosti

• Koja je potrebna edukacija, koje kvalifikacije treba imati stručnjak za računalnu forenziku?

• Područje neprestano se razvija

• Stalno pračenje, edukacija, certificiranje

Zadaća first respodera

• Što treba znati osoba koja dodje u dodir sa digitalnim dokazima

SWGDE – međunarodne organizacije

• Kategorije edukacije za osobe koje prikupljaju, čuvaju, analiziraju i istražuju digitalne dokaze (ili direktno nadgledaju ove funkcije)

8 Prihvatljivost dokaza na sudu

Prikupljanje dokaza na propisan tj legano prihvatljiv način

Pri tome mora biti garantirano:

• Autentičnost

• Integritet

• Ponovljivost

• Odgovornost istražitelja

9 Praksa u svijetu

Association of Chief Police Officers (ACPO)

• Guidelines on Computer Evidence

• Prihvaćeno na sudovima u UK

Scientific Working Group on Digital Evidences (SWGDE)

• Best Practices for Computer Forensics

• Data Integrity within Computer Forensics

• Guidelines & Recommendations for Training in Digital & Multimedia Evidence

US Department of Justice

• Forensic Examination of Digital Evidence: A Guide for Law Enforcement

10 Značajke digitalnih dokaza

Prisutni su u svim digitalnim uređajima

• gdje god ima digitalnih podataka

Vezani su uz komunikaciju među ljudima i pohranu / “pamćenje” događaja

Značajke digitalnih dokaza

• Digitalni dokazi se mogu lako uništiti, najčešće bez ikakvih tragova o tome

• Tragove (ne)djela nije lako sakriti, ali ih jednako tako nije jednostavno niti pronaći

Metodologija računalne forenzike

Alati računalne forenzike

11

Što se nalazi na digitalnom mediju

Statičke datoteke/ podaci

• Adresari

• Elektronska pošta

• Multimedijske datoteke

• Kalendar

• Baze podataka

• Spreadsheet datoteke

• Dokumenti

• Komprimirane datoteke

• “Misnamed” datoteke

• Steganografija

• Šifrirane datoteke

Dinamičke datoteke / podaci

• Log datoteke

• Printer spooler

• Cookies

• Swap datoteke

• History files

• Temporary files

• Sakrivene datoteke

12

Što se nalazi u memoriji uređaja?

Promjenjivi (“ishlapljivi”) podaci • Živi podaci u registrima

• Podaci o mrežnim spajanjima

• Podaci o procesima koji se izvršavaju

• Podaci o otvorenim datotekama

Isključi napajanje – podaci su nepovratno izgubljeni !

13

Što je danas forenzički moguće, a što ne?

Moguće je: • Povrat obrisanih datoteka

• Datum i vrijeme nastanka, promjene i brisanja

• Koji je medij za pohranu bio spojen na koje računalo

• Koje su aplikacije bile instalirane

• Web koji je korisnik posjetio

• Utvrditi da je osoba pogledala neku sliku

• Utvrditi što je isprintano

• Povrat obrisane/formatirane particije diska

Komplicirano:

• Povrat “wipe” datoteke

Skoro nemoguće:

• Povrat podataka ako je medij fizički uništen

• Dekriptirati podatke ako je korišten barem 128-bitni ključ

14 Principi digitalne forenzike

Niti jedna poduzeta akcija ne smije promijeniti podatke koji se nalaze na računalu ili na nekom drugom mediju

Samo u izuzetnim situacijama, istrage se mogu vršiti na originalnim podacima na računalu

Kompletan proces istrage mora biti jasno i precizno dokumentiran.

Na osobi odgovornoj za provođenje istrage leži kompletna odgovornost za poštivanje svih propisa vezanih uz istrage računalne forenzike

15 Proces istrage

Definiranje vlastitih operativnih postupaka

Ocjena digitalnih dokaza

Uzimanje digitalnih dokaza

Ispitivanje dokaza

Generiranje izvještaja

16

17

18

20

Identifikacija računala ili druge elektronske opreme koja

je predmet istrage

Osigurati lokaciju istrage i odmaknuti sve osobe od

identificirane opreme kao i priključaka napajanja

Da li je oprema uključena?

Ne diraj tipkovnicuDa li je stručnjak na

raspolaganju?

NE

Ne slučaj savjete vlasnika/

korisnika opreme !!!

Fotografiraj ekran, napravi

bilješke što se nalazi na ekranu

Neka printer dovrši printanjeOznači i fotografiraj sve

komponente opreme

Neka stručnjak pripremi sve za

izuzimanje

DA

DA

NE

Ne uključuj opremu !!!

Ospoji sve priključene kablove

Pažljivo zapakiraj i dokumentiraj

svu zapakiranu opremu

Osiguraj da sve komponente

imaju odgovarajuće natpise

Potraži bilo kakve bilješke koje

mogu imati važne podatke (npr.

lozinke i sl.)

Zatraži od korisnika lozinke za

pristup računalu

Pošalji opremu na forenzičko

isitivanje

Što treba biti izuzeto

Za rekonstrukciju sustava:

Glavna jedinica - obično kutija za koju su

priključeni monitor i tipkovnica

Tipkovnica i monitor

Svi kablovi

Napajanje

Hard diskovi

Razni «donglovi»

Modemi

Za ekstrakciju dokaza:

Mediji za pohranu podataka (diskete, CD,

DVD, ZIP, trake i sl.)

PCMCIA kartice

Hard diskovi koji nisu spojeni na računalo

Za pomoć u istrazi:

Upute od računala

Sav softver na licu mjesta

Papiri sa zapisanim lozinkama

Ključevi

Za usporednu printanih materijala:

Printeri

Isprinti

Papir za printere

Transport

Rukuj svom opremom sa iznimnom

pažnjom

Drži svu opremu daleko od izvora

elektromagnetskih zračenja, kao što su

zvučnici, radio aparati, grijani prozori i/ili

sjedišta i sl.

Stavi diskove i drugu elektronsku opremu

u anti-statičke vrećice

Ne savijaj diskete i ni lijepi oznake

direktno na njih

Monitore prevozi na stražnjem sjedalu sa

ekranom okrenutim prema dole

PDA uređaje smjesti u papirnatu vrećicu

Tipkovnice, kablove, miš, modem smjesti

u posebne vrećice. Ne stavljaj ništa teško

na njih

24 Ispitivanje dokaza (1)

Odvija se u dvije faze

• Ekstrakcija podataka

• Analiza ekstrahiranih podataka

Ekstrakcija

• Fizička

­ Keyword pretrage, file carving, struktura particija …

• Logička

­ Aktivne datoteke, obrisane, file slack …

­ Password protected, komprimirane i šifrirane datoteke

25 Ispitivanje dokaza (2)

Analiza ekstrahiranih podataka

• Određivanje važnosti podataka za istragu

Primjeri analize

• Analiza atributa datuma i vremena

­ Analiza metapodataka

­ Analiza logova

• Analiza sakrivenih podataka

­ Usporedba zaglavlja i ekstenzije datoteke

­ Šifrirane i komprimirane datoteke

­ Analiza HPA

­ Steganografgija i sl.

26 Ispitivanje dokaza (3)

Primjeri analize (nastavak)

• Analiza datoteka i aplikacija

­ Imena datoteka i sadržaj

­ Broj i vrsta operacijskih sustava

­ Temporary datoteke, browsing history

• Analiza vlasništva

­ Utvrditi tko je što radio

Analiza ne mora dovesti do jasnih zaključaka

Promatrati istragu u cjelini

28 Znanja

• Svaki sudionik istrage mora znati prepoznati i sačuvati digitalne dokaze, tj ne ugroziti ih i sigurno ih predati na daljnje procesiranje

• mora znati što su to digitalni dokazi i kako ih prepoznati i kako sa njima postupati, te imati znanja i alate za osnovnu trijažu

Nivo Encase First Responder, Forensic 1

• Na nivou veće PU potrebno je moći odraditi sve korake obrade digitalnih dokaza, ekstrakciju, procesiranje, analizu

• detaljno poznavanje operacijskih sustava i aplikacija na njima, mobilnih uređaja, poznavanje alata za digitalnu forenziku

Nivo Encase Forensic 1, Forensic 2, Advanced Forensic

• Na nivou I.V mora se moći izvesti obrade digitalnih dokaza koje traže posebne alate, vještine i postupke sa oštećenim, nepoznatim ili specifičnim artefaktima

• ekspertno znanje pojedinih područja digitalne forenzike uz specijalizaciju i posebnu opremu ili postupke (laboratorij za rekonstrukciju oštećenih diskova, analizu flasheva, enkripcija i sl)

nivo EnCase expert training Linux Mac, Interent artifacts, CEIC konferencije

29

Važnost profesionalne edukacije i certificiranja

Kontinuirano praćenje i usavršavanje • Razvoj alata

• Evolucija kriminalnih djela

• Razvoj informatičkog okruženja

• Povratna informacija o tome što i kako treba usavršavati

Držanje koraka sa razvojem tehnologije

Držanje koraka sa razvojem metodologije digitalne forenzike

Garancija osposobljenosti • veća snaga iskaza prema trećoj strani

• dokaz kompetencije pred sudom

30 Pitanja

?

Metodologija računalne forenzike

damir.delija@insig2.eu