Embed Size (px)
Citation preview
1/2/17
1
DigitalnaforenzikaAndrejBrodnik
AndrejBrodnik:Digitalnaforenzika
Digitalnaforenzika
• predavanja:dr.AndrejBrodnik• vaje:dr.GašperFele-Žorž• e-viri:učilnica
AndrejBrodnik:Digitalnaforenzika
Opispredmeta
• Literatura:• EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)• DFRWS(DigitalForensicsResearchConference):http://www.dfrws.org/• DigitalInvestigation– Elsevier:http://www.journals.elsevier.com/digital-investigation/• SSDDFJ(SmallScaleDigitalDeviceForensicsJournal):http://www.ssddfj.org/• IFIPWorkingGroup11.9DigitalForensics:http://www.ifip119.org/• IJDCF(InternationalJournalofDigitalCrimeandForensics):http://www.igi-global.com/Bookstore/TitleDetails.aspx?TitleId=1112
AndrejBrodnik:Digitalnaforenzika
1/2/17
2
Opispredmeta– nadalj.
• predavanja:vključnozvsajdvemavabljenimapredavanjima• domačenaloge(DN):• štiridomačenalogeizvsebinepredavanj(!),vajinknjige• nalogevučilnici• oddatiPDFdatoteko• zapozitivno:vsakanalogavsaj20%inpovprečjevsaj40%
• laboratorijskinalogi(LN):• dvepraktičnilaboratorijskinalogi• nalogipostavljenivučilnici,kamorsetudioddajarezultate• zapozitivno:vsakavsaj20%inpovprečjevsaj50%
AndrejBrodnik:Digitalnaforenzika
Opispredmeta– nadalj.
• seminarskanaloga(SN):• skupinabomoralaprebrati:znanstveničlanekizrevijealikonference,knjige,orodjaalipodobno• predstavitev(20minut)inpisniizdelek,kigakolegirecenzirajoternakoncudokončniizdelek• časovnirazpored:
• do7.3.izbiraskupine;do14.3.vsakaskupinaoddapredlogtemesvojeseminarskenaloge,kisejopotrdioziromazavrnevendarnajkasnejedo21.3.potrdi;
• do2.5.oddanapredstavitev;do9.5.oddanaseminarska;do23.5.recenzija;do6.6.dokončnobesedilo;
• vmajuinjunijupredstavitveseminarskihnalog• zapozitivno:oddanivsiizdelkiinvsaj40%izpredstavitveter40%izkončnegapisnegaizdelkatervsaj50%izskupneoceneseminarskenaloge
AndrejBrodnik:Digitalnaforenzika
Opispredmeta– nadalj.
• pisniizpit(PI):• samoenpisniizpitintosredileta(predvidomavtednu2.5.)• zapozitivno:vsaj50%
• skupnaocenpredmeta:
1/3*PI +1/3*SN +1/3*(½*LN+½*DN)
AndrejBrodnik:Digitalnaforenzika
1/2/17
3
Okvirniprogram
• Uvodinosnove• Preiskavaelektronskenapravezuvodomvkazenskipostopek• Računalniki– strojnaoprema• Operacijskisistemi(MSWindows,Unix/Linux)
AndrejBrodnik:Digitalnaforenzika
� Računalniškaomrežja
� Mobilnenaprave
� Izvajanjedigitalnepreiskave
� Digitalnaforenzikaslik
slikenaprosojnicahsoizknjige©2011:EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)
Okvirniprogram– nadlj.
• vabljenapredavanja:• DigitalnaforenzikavPoliciji(Policija)• Varovanjeosebnihpodatkov(Informacijskapooblaščenka)• Digitalnaforenzikaomrežij(SI-CERT)
AndrejBrodnik:Digitalnaforenzika
Uvodinosnovepoglavja1– 5
AndrejBrodnik:Digitalnaforenzika
1/2/17
4
Osnovedigitalneforenzike
poglavje1• Kajjedigitalnidokaz?
• Digitalnidokazjekaterikolidigitalnipodatek,kijeshranjenaliprenešeninomogočadokazalizanikanje[kriminalnega]dejanja.
• Kajjetoračunalniškisistem?
• odprtiračunalniškisistemi• komunikacijskisistemi• vgrajenisistemi
AndrejBrodnik:Digitalnaforenzika
Osnovedigitalneforenzike
• zaizvajanjeforenzičnepreiskavenidovoljznanje,ampaksezahtevacertificiranostosebja,organizacije,laboratorija,...
AndrejBrodnik:Digitalnaforenzika
Principidigitalneforenzike
• uporabaznanostizapotrebeprava• pomenrazlikovanjagotovostiinverjetnosti:
Neobstojdokazanidokazoneobstoju!
• pripravainhranjenjegradivazamorebitnisodnispor
AndrejBrodnik:Digitalnaforenzika
1/2/17
5
Izmenjavadokaza
Izmenjavadokaznegagradivamedžrtvijoinstorilcem(aliprizoriščem)Locardovprincipizmenjave
AndrejBrodnik:Digitalnaforenzika
• prstni odtisi(natipkovnici)
• e-poštainzabeležke
• zabeležkeoobiskovanihstraneh
• komunikacijske sledi
• ...
Dokazi
• dokaziimajoskupnelastnosti(vsiprogramitevrste)inposebnelastnosti(konkretnenastavite)• dajedigitalnidokazsprejemljivnasodišču:• morabitipravilnoobdelan(zajet)in• morabitihranjennaforenzičnopravilennačin
• zatojepotrebnobeležitivseakcijenaprizorišču
AndrejBrodnik:Digitalnaforenzika
Dokazi
• zagotavljanjeavtentičnosti:1. vsebinamorabitinespremenjena2. vsebinamoraizviratisprizorišča(beleženjevrstnegaredaposedovanja
dokaza– dokaznaveriga)3. dodatneinformacijeorokovanjuzdokazi
AndrejBrodnik:Digitalnaforenzika
1/2/17
6
Celovitostdokaza
• sprejetaoblikazagotavljanjacelovitostidokazajepodpisovanjezrazpršilnofunkcijo• MD5,SHA-1,...
AndrejBrodnik:Digitalnaforenzika
Ravnanjezdokazi
• objektivnostdokaza• vsebujeinterpretacijoinpredstavitevdokaza
• ponovljivostanalizedokaza
AndrejBrodnik:Digitalnaforenzika
Izzivirokovanjazdigitalnimidokazi
• ostankialirekonstrukcijaniistokotcelotnogradivo:• rekonstruiranadatoteka,kijebilaizbrisana,niistokotdelčkile-te• ostankiposlanee-pošteniistokotcelotnae-pošta
• povezavamed(digitalnim)dokazominstorilcemnivednoočitna• podatkinisovečni• podatkioprometunaomrežju
AndrejBrodnik:Digitalnaforenzika
1/2/17
7
Izzivirokovanjazdigitalnimidokazi
• dokazinisonujnobreznapak• administratorježebilposkušalrešitipobrisanodatoteko• sistemskiadministratorjespremenilvsebino,dabizavarovalsistem• prišlojedonapakeprizajemupodatkov(nestandardnipostopek)• prizajemupodatkovjebiluporabljenokuženmedij• medijsshranjenimipodatkisejepoškodoval• ...
AndrejBrodnik:Digitalnaforenzika
Digitalnisvetniločenodrealnega
• primer:kupecjeprekoeBaykupildobrino• caseexample:AuctionFraud,2000;str.29
• podatkilahkopridejoizpovsemnepričakovanihmest
AndrejBrodnik:Digitalnaforenzika
Razvojjezikaraziskaveračunalniškihzločinov
poglavje2• nazačetkunibiloračunalnikovinzakonješčitilsamomaterialnedokaze• digitalnidokazivključujejo:• računalniška(datotečna)forenzika• omrežnaforenzika• mobilnaforenzika• slabogramje(malware)forenzika
• pomembnarazlikamedpreiskovanjeminanalizopodatkov• preiskovanjevključujezajem,organizacijo,...• analizapredstavljadejanskoobravnavodokazov
AndrejBrodnik:Digitalnaforenzika
1/2/17
8
Vlogaračunalnika
PoParkerju:1. predmet(objekt)zločina
• krajaračunalnikaaliuničenje
2. osebek(subjekt)zločina– zločinjebilnarejenspomočjoračunalnika• okužbaračunalnika
3. orodjezapripravoin/aliizvedbozločina• kopiranjedokumentov
4. uporabaposvojihlastnostihvzločinu(symbol)• ponujanjestoritevalizmožnostiračunalniškihstoritev:dobitkinaborzi,...
• virpodatkov(!!)– ostankidatotek,e-pošte,...
AndrejBrodnik:Digitalnaforenzika
Vlogaračunalnika
USDOJ(USDepartmentofJustice):• strojnaopremakotpredmetalirezultatzločina• strojnaopremakotinstrument• strojnaopremakotdokaz• informacijakotpredmetalirezultatzločina• informacijakotinstrument• informacijakotdokaz
AndrejBrodnik:Digitalnaforenzika
Digitalnidokaznasodišču
poglavje3digitalnidokaznasodišču
AndrejBrodnik:Digitalnaforenzika
1/2/17
9
Nalogeizvedenca
• predstavitevdokaznegagradiva:• nepodlečivplivom• odklanjatiprezgodajpostavljaneteorije• rabaznanstveneresnicezapotrebepravnegaprocesa
• ACMCodeofethics• IEEECodeofethics
AndrejBrodnik:Digitalnaforenzika
Sprejemljivostgradiva
• petosnovnihpravil:1. relevantnostgradivazaprimer2. avtentičnostgradiva(zajem,sledljivost,...)3. nisogovorice(dokazsamnisogovorice,čenigovorecprisoten)4. najboljšimožendokaz(originalinkopija)5. dokaznogradivobrezpotrebenenapeljujenazaključke
• nalogzapreiskavo
AndrejBrodnik:Digitalnaforenzika
Stopnjezanesljivosti
AndrejBrodnik:Digitalnaforenzika
� vbeležkahimamozapis:
2009-04-03 02:28:10 W3SVC1 10.10.10.50 GET /images/snakeoil13.jpg-80-192.168.1.1 Mozilla/4.0+(compatible;+MSIE+6.0;Windows+NT+5.1) 200 0 0
� kaj sklepamoiznjega?
� stopnjezanesljivosti:
• (1)skorajzagotovo;(2)zeloverjetno;(3)verjetno;(4)zelomožno;(5)možno
• statističnaverjetnost
1/2/17
10
Računalniškazakonodaja
poglavje4• zakonodajaZDA• 50zakonodaj• zakonodajaWashingonDC• zveznazakonodaja
AndrejBrodnik:Digitalnaforenzika
Računalniškazakonodaja
poglavje5• zakonodajaES(EU)• IrskainVelikaBritanijaločensistem– commonlaw• preostaledržave– civillaw
• skupnazakonodaja:• parlamentEU• Konvencijaoračunalniškihzločinih(ConventiononCybercrime),1.julij2004
• nistaratificiraliIrskainVelikaBritanija• Protokolodejanjihrasizmainksenofobije,1.marec2006
AndrejBrodnik:Digitalnaforenzika
Zločininadintegritetoračunalnika
• Dostopdoračunalnikanidovoljen,čenamteganedovolilastnik• Primeri:• hekerji• krajapodatkov• prestrezanjepodatkov• vplivanjenapodatkein/alisisteme(DOS,virusi)• ››napačna‹‹alinenamenskauporabaenote/naprave
AndrejBrodnik:Digitalnaforenzika
1/2/17
11
Zločinispomočjoračunalnika
• ponarejanje• goljufija• zloraba
AndrejBrodnik:Digitalnaforenzika
Zločinipovezanisvsebinopodatkov
• Zločini,kizadevajovsebinopodatkov• otroškapornografija• spletnozapeljevanje• rasizeminksenofobija
AndrejBrodnik:Digitalnaforenzika
Ostalizločini
• kršenjeavtorskihpravic• računalniškoizsiljevanje• ...
AndrejBrodnik:Digitalnaforenzika
