Digitalna forenzika - University of Ljubljana · Opis predmeta –nadalj. •predavanja: vključno z vsaj dvema vabljenima predavanjima •domače naloge (DN): •štiri domače naloge

DigitalnaforenzikaAndrejBrodnik

AndrejBrodnik:Digitalnaforenzika

Digitalnaforenzika

• predavanja:dr.AndrejBrodnik• vaje:dr.GašperFele-Žorž• e-viri:učilnica


Opispredmeta

• Literatura:• EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)• DFRWS(DigitalForensicsResearchConference):http://www.dfrws.org/• DigitalInvestigation– Elsevier:http://www.journals.elsevier.com/digital-investigation/• SSDDFJ(SmallScaleDigitalDeviceForensicsJournal):http://www.ssddfj.org/• IFIPWorkingGroup11.9DigitalForensics:http://www.ifip119.org/• IJDCF(InternationalJournalofDigitalCrimeandForensics):http://www.igi-global.com/Bookstore/TitleDetails.aspx?TitleId=1112


Opispredmeta– nadalj.

• predavanja:vključnozvsajdvemavabljenimapredavanjima• domačenaloge(DN):

• štiridomačenalogeizvsebinepredavanj(!),vajinknjige• nalogevučilnici• oddatiPDFdatoteko• zapozitivno:vsakanalogavsaj20%inpovprečjevsaj40%

• laboratorijskinalogi(LN):• dvepraktičnilaboratorijskinalogi• nalogipostavljenivučilnici,kamorsetudioddajarezultate• zapozitivno:vsakavsaj20%inpovprečjevsaj50%



• seminarskanaloga(SN):• skupinabomoralaprebrati:znanstveničlanekizrevijealikonference,knjige,orodjaalipodobno• predstavitev(20minut)inpisniizdelek,kigakolegirecenzirajoternakoncudokončniizdelek• časovnirazpored:

• do7.3.izbiraskupine;do14.3.vsakaskupinaoddapredlogtemesvojeseminarskenaloge,kisejopotrdioziromazavrnevendarnajkasnejedo21.3.potrdi;

• do2.5.oddanapredstavitev;do9.5.oddanaseminarska;do23.5.recenzija;do6.6.dokončnobesedilo;

• vmajuinjunijupredstavitveseminarskihnalog• zapozitivno:oddanivsiizdelkiinvsaj40%izpredstavitveter40%izkončnegapisnegaizdelkatervsaj50%izskupneoceneseminarskenaloge



• pisniizpit(PI):• samoenpisniizpitintosredileta(predvidomavtednu2.5.)• zapozitivno:vsaj50%

• skupnaocenpredmeta:

1/3*PI +1/3*SN +1/3*(½*LN+½*DN)


Okvirniprogram

• Uvodinosnove• Preiskavaelektronskenapravezuvodomvkazenskipostopek• Računalniki– strojnaoprema• Operacijskisistemi(MSWindows,Unix/Linux)


� Računalniškaomrežja

� Mobilnenaprave

� Izvajanjedigitalnepreiskave

� Digitalnaforenzikaslik

slikenaprosojnicahsoizknjige©2011:EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)

Okvirniprogram– nadlj.

• vabljenapredavanja:• DigitalnaforenzikavPoliciji(Policija)• Varovanjeosebnihpodatkov(Informacijskapooblaščenka)• Digitalnaforenzikaomrežij(SI-CERT)


Uvodinosnovepoglavja1– 5


Osnovedigitalneforenzike

poglavje1• Kajjedigitalnidokaz?

• Digitalnidokazjekaterikolidigitalnipodatek,kijeshranjenaliprenešeninomogočadokazalizanikanje[kriminalnega]dejanja.

• Kajjetoračunalniškisistem?

• odprtiračunalniškisistemi• komunikacijskisistemi• vgrajenisistemi


Osnovedigitalneforenzike

• zaizvajanjeforenzičnepreiskavenidovoljznanje,ampaksezahtevacertificiranostosebja,organizacije,laboratorija,...


Principidigitalneforenzike

• uporabaznanostizapotrebeprava• pomenrazlikovanjagotovostiinverjetnosti:

Neobstojdokazanidokazoneobstoju!

• pripravainhranjenjegradivazamorebitnisodnispor


Izmenjavadokaza

Izmenjavadokaznegagradivamedžrtvijoinstorilcem(aliprizoriščem)Locardovprincipizmenjave


• prstni odtisi(natipkovnici)

• e-poštainzabeležke

• zabeležkeoobiskovanihstraneh

• komunikacijske sledi

• ...

Dokazi

• dokaziimajoskupnelastnosti(vsiprogramitevrste)inposebnelastnosti(konkretnenastavite)• dajedigitalnidokazsprejemljivnasodišču:

• morabitipravilnoobdelan(zajet)in• morabitihranjennaforenzičnopravilennačin

• zatojepotrebnobeležitivseakcijenaprizorišču


Dokazi

• zagotavljanjeavtentičnosti:1. vsebinamorabitinespremenjena2. vsebinamoraizviratisprizorišča(beleženjevrstnegaredaposedovanja

dokaza– dokaznaveriga)3. dodatneinformacijeorokovanjuzdokazi


Celovitostdokaza

• sprejetaoblikazagotavljanjacelovitostidokazajepodpisovanjezrazpršilnofunkcijo• MD5,SHA-1,...


Ravnanjezdokazi

• objektivnostdokaza• vsebujeinterpretacijoinpredstavitevdokaza

• ponovljivostanalizedokaza


Izzivirokovanjazdigitalnimidokazi

• ostankialirekonstrukcijaniistokotcelotnogradivo:• rekonstruiranadatoteka,kijebilaizbrisana,niistokotdelčkile-te• ostankiposlanee-pošteniistokotcelotnae-pošta

• povezavamed(digitalnim)dokazominstorilcemnivednoočitna• podatkinisovečni

• podatkioprometunaomrežju


Izzivirokovanjazdigitalnimidokazi

• dokazinisonujnobreznapak• administratorježebilposkušalrešitipobrisanodatoteko• sistemskiadministratorjespremenilvsebino,dabizavarovalsistem• prišlojedonapakeprizajemupodatkov(nestandardnipostopek)• prizajemupodatkovjebiluporabljenokuženmedij• medijsshranjenimipodatkisejepoškodoval• ...


Digitalnisvetniločenodrealnega

• primer:kupecjeprekoeBaykupildobrino• caseexample:AuctionFraud,2000;str.29

• podatkilahkopridejoizpovsemnepričakovanihmest


Razvojjezikaraziskaveračunalniškihzločinov

poglavje2• nazačetkunibiloračunalnikovinzakonješčitilsamomaterialnedokaze• digitalnidokazivključujejo:

• računalniška(datotečna)forenzika• omrežnaforenzika• mobilnaforenzika• slabogramje(malware)forenzika

• pomembnarazlikamedpreiskovanjeminanalizopodatkov• preiskovanjevključujezajem,organizacijo,...• analizapredstavljadejanskoobravnavodokazov


Vlogaračunalnika

PoParkerju:1. predmet(objekt)zločina

• krajaračunalnikaaliuničenje

2. osebek(subjekt)zločina– zločinjebilnarejenspomočjoračunalnika• okužbaračunalnika

3. orodjezapripravoin/aliizvedbozločina• kopiranjedokumentov

4. uporabaposvojihlastnostihvzločinu(symbol)• ponujanjestoritevalizmožnostiračunalniškihstoritev:dobitkinaborzi,...

• virpodatkov(!!)– ostankidatotek,e-pošte,...


Vlogaračunalnika

USDOJ(USDepartmentofJustice):• strojnaopremakotpredmetalirezultatzločina• strojnaopremakotinstrument• strojnaopremakotdokaz• informacijakotpredmetalirezultatzločina• informacijakotinstrument• informacijakotdokaz


Digitalnidokaznasodišču

poglavje3digitalnidokaznasodišču


Nalogeizvedenca

• predstavitevdokaznegagradiva:• nepodlečivplivom• odklanjatiprezgodajpostavljaneteorije• rabaznanstveneresnicezapotrebepravnegaprocesa

• ACMCodeofethics• IEEECodeofethics


Sprejemljivostgradiva

• petosnovnihpravil:1. relevantnostgradivazaprimer2. avtentičnostgradiva(zajem,sledljivost,...)3. nisogovorice(dokazsamnisogovorice,čenigovorecprisoten)4. najboljšimožendokaz(originalinkopija)5. dokaznogradivobrezpotrebenenapeljujenazaključke

• nalogzapreiskavo


Stopnjezanesljivosti


� vbeležkahimamozapis:

2009-04-03 02:28:10 W3SVC1 10.10.10.50 GET /images/snakeoil13.jpg-80-192.168.1.1 Mozilla/4.0+(compatible;+MSIE+6.0;Windows+NT+5.1) 200 0 0

� kaj sklepamoiznjega?

� stopnjezanesljivosti:

• (1)skorajzagotovo;(2)zeloverjetno;(3)verjetno;(4)zelomožno;(5)možno

• statističnaverjetnost

Računalniškazakonodaja

poglavje4• zakonodajaZDA

• 50zakonodaj• zakonodajaWashingonDC• zveznazakonodaja


Računalniškazakonodaja

poglavje5• zakonodajaES(EU)

• IrskainVelikaBritanijaločensistem– commonlaw• preostaledržave– civillaw

• skupnazakonodaja:• parlamentEU• Konvencijaoračunalniškihzločinih(ConventiononCybercrime),1.julij2004

• nistaratificiraliIrskainVelikaBritanija• Protokolodejanjihrasizmainksenofobije,1.marec2006


Zločininadintegritetoračunalnika

• Dostopdoračunalnikanidovoljen,čenamteganedovolilastnik• Primeri:

• hekerji• krajapodatkov• prestrezanjepodatkov• vplivanjenapodatkein/alisisteme(DOS,virusi)• ››napačna‹‹alinenamenskauporabaenote/naprave


Zločinispomočjoračunalnika

• ponarejanje• goljufija• zloraba


Zločinipovezanisvsebinopodatkov

• Zločini,kizadevajovsebinopodatkov• otroškapornografija• spletnozapeljevanje• rasizeminksenofobija


Ostalizločini

• kršenjeavtorskihpravic• računalniškoizsiljevanje• ...


Documents

Digitalna forenzika - University of Ljubljana · Opis predmeta –nadalj. •predavanja: vključno z vsaj dvema vabljenima predavanjima •domače naloge (DN): •štiri domače naloge