Embed Size (px)
DESCRIPTION
short ppt on digital evidence
Citation preview
i n t
e g
r i r
a n
a
s i g
u r
n o
s t
Digitalni dokazi
Damir Delija, dr. sc. E.E.
2 Sadržaj
Priroda digitalnih dokaza
Principi istraga računalne forenzike
Uloga “first respondera”
Metodologija forenzičkih istraga
4 Računala, podaci i zločini
Računalni kriminal
• Bilo koje kriminalno djelo koje uključuje računalnu i ostalu elektronsku opremu
Tri kategorije
• Računalo je CILJ napada i/ili incidenta
• Računalo je SREDSTVO napada i/ili incidenta
• Obavezno korištenje i zloporaba IT opreme (npr. hakiranje drugih IT sustava)
Računala i digitalni podaci su danas dio praktički svake aktivnosti, pa tako i dokazi vezani uz druge vrste zločina mogu biti digitalni
5
Računalna forenzika i digitalni dokazi
Računalna forenzika
• Procesi ili procedure koje uključuju nadzor, prikupljanje, analizu i prezentaciju digitalnih dokaza kao sastavni dio istraga kriminalnih radnji i/ili neprimjerenog korištenja računala i druge elektronske opreme
Digitalni dokaz
• Svaka informacija ili dio informacije koja ima snagu dokaza za određeni događaj, a pohranjena je ili prenesena u digitalnom obliku
Ne možemo ih vidjeti, ne možemo ih dodirnuti, ne možemo ih osjetiti !!!
6
Zakonski aspekti računalne forenzike
Što je računalna forenzika, treba li i kako biti definirana zakonom?
Tko treba vršiti forenzičke istrage u kriminalnim istragama?
Kad u istragu treba uključiti stručnjaka?
Kako osigurati da nalazi računalne forenzike budu prihvaćeni na sudu?
Računalna forenzika kombinira pravo i računalnu znanost
7 Pitanje: tko treba vršiti istrage?
Otvoreno pitanje stručnosti
• Koja je potrebna edukacija, koje kvalifikacije treba imati stručnjak za računalnu forenziku?
• Područje neprestano se razvija
• Stalno pračenje, edukacija, certificiranje
Zadaća first respodera
• Što treba znati osoba koja dodje u dodir sa digitalnim dokazima
SWGDE – međunarodne organizacije
• Kategorije edukacije za osobe koje prikupljaju, čuvaju, analiziraju i istražuju digitalne dokaze (ili direktno nadgledaju ove funkcije)
8 Prihvatljivost dokaza na sudu
Prikupljanje dokaza na propisan tj legano prihvatljiv način
Pri tome mora biti garantirano:
• Autentičnost
• Integritet
• Ponovljivost
• Odgovornost istražitelja
9 Praksa u svijetu
Association of Chief Police Officers (ACPO)
• Guidelines on Computer Evidence
• Prihvaćeno na sudovima u UK
Scientific Working Group on Digital Evidences (SWGDE)
• Best Practices for Computer Forensics
• Data Integrity within Computer Forensics
• Guidelines & Recommendations for Training in Digital & Multimedia Evidence
US Department of Justice
• Forensic Examination of Digital Evidence: A Guide for Law Enforcement
10 Značajke digitalnih dokaza
Prisutni su u svim digitalnim uređajima
• gdje god ima digitalnih podataka
Vezani su uz komunikaciju među ljudima i pohranu / “pamćenje” događaja
Značajke digitalnih dokaza
• Digitalni dokazi se mogu lako uništiti, najčešće bez ikakvih tragova o tome
• Tragove (ne)djela nije lako sakriti, ali ih jednako tako nije jednostavno niti pronaći
Metodologija računalne forenzike
Alati računalne forenzike
11
Što se nalazi na digitalnom mediju
Statičke datoteke/ podaci
• Adresari
• Elektronska pošta
• Multimedijske datoteke
• Kalendar
• Baze podataka
• Spreadsheet datoteke
• Dokumenti
• Komprimirane datoteke
• “Misnamed” datoteke
• Steganografija
• Šifrirane datoteke
Dinamičke datoteke / podaci
• Log datoteke
• Printer spooler
• Cookies
• Swap datoteke
• History files
• Temporary files
• Sakrivene datoteke
12
Što se nalazi u memoriji uređaja?
Promjenjivi (“ishlapljivi”) podaci • Živi podaci u registrima
• Podaci o mrežnim spajanjima
• Podaci o procesima koji se izvršavaju
• Podaci o otvorenim datotekama
Isključi napajanje – podaci su nepovratno izgubljeni !
13
Što je danas forenzički moguće, a što ne?
Moguće je: • Povrat obrisanih datoteka
• Datum i vrijeme nastanka, promjene i brisanja
• Koji je medij za pohranu bio spojen na koje računalo
• Koje su aplikacije bile instalirane
• Web koji je korisnik posjetio
• Utvrditi da je osoba pogledala neku sliku
• Utvrditi što je isprintano
• Povrat obrisane/formatirane particije diska
Komplicirano:
• Povrat “wipe” datoteke
Skoro nemoguće:
• Povrat podataka ako je medij fizički uništen
• Dekriptirati podatke ako je korišten barem 128-bitni ključ
14 Principi digitalne forenzike
Niti jedna poduzeta akcija ne smije promijeniti podatke koji se nalaze na računalu ili na nekom drugom mediju
Samo u izuzetnim situacijama, istrage se mogu vršiti na originalnim podacima na računalu
Kompletan proces istrage mora biti jasno i precizno dokumentiran.
Na osobi odgovornoj za provođenje istrage leži kompletna odgovornost za poštivanje svih propisa vezanih uz istrage računalne forenzike
15 Proces istrage
Definiranje vlastitih operativnih postupaka
Ocjena digitalnih dokaza
Uzimanje digitalnih dokaza
Ispitivanje dokaza
Generiranje izvještaja
16
17
18
20
Identifikacija računala ili druge elektronske opreme koja
je predmet istrage
Osigurati lokaciju istrage i odmaknuti sve osobe od
identificirane opreme kao i priključaka napajanja
Da li je oprema uključena?
Ne diraj tipkovnicuDa li je stručnjak na
raspolaganju?
NE
Ne slučaj savjete vlasnika/
korisnika opreme !!!
Fotografiraj ekran, napravi
bilješke što se nalazi na ekranu
Neka printer dovrši printanjeOznači i fotografiraj sve
komponente opreme
Neka stručnjak pripremi sve za
izuzimanje
DA
DA
NE
Ne uključuj opremu !!!
Ospoji sve priključene kablove
Pažljivo zapakiraj i dokumentiraj
svu zapakiranu opremu
Osiguraj da sve komponente
imaju odgovarajuće natpise
Potraži bilo kakve bilješke koje
mogu imati važne podatke (npr.
lozinke i sl.)
Zatraži od korisnika lozinke za
pristup računalu
Pošalji opremu na forenzičko
isitivanje
Što treba biti izuzeto
Za rekonstrukciju sustava:
Glavna jedinica - obično kutija za koju su
priključeni monitor i tipkovnica
Tipkovnica i monitor
Svi kablovi
Napajanje
Hard diskovi
Razni «donglovi»
Modemi
Za ekstrakciju dokaza:
Mediji za pohranu podataka (diskete, CD,
DVD, ZIP, trake i sl.)
PCMCIA kartice
Hard diskovi koji nisu spojeni na računalo
Za pomoć u istrazi:
Upute od računala
Sav softver na licu mjesta
Papiri sa zapisanim lozinkama
Ključevi
Za usporednu printanih materijala:
Printeri
Isprinti
Papir za printere
Transport
Rukuj svom opremom sa iznimnom
pažnjom
Drži svu opremu daleko od izvora
elektromagnetskih zračenja, kao što su
zvučnici, radio aparati, grijani prozori i/ili
sjedišta i sl.
Stavi diskove i drugu elektronsku opremu
u anti-statičke vrećice
Ne savijaj diskete i ni lijepi oznake
direktno na njih
Monitore prevozi na stražnjem sjedalu sa
ekranom okrenutim prema dole
PDA uređaje smjesti u papirnatu vrećicu
Tipkovnice, kablove, miš, modem smjesti
u posebne vrećice. Ne stavljaj ništa teško
na njih
24 Ispitivanje dokaza (1)
Odvija se u dvije faze
• Ekstrakcija podataka
• Analiza ekstrahiranih podataka
Ekstrakcija
• Fizička
Keyword pretrage, file carving, struktura particija …
• Logička
Aktivne datoteke, obrisane, file slack …
Password protected, komprimirane i šifrirane datoteke
25 Ispitivanje dokaza (2)
Analiza ekstrahiranih podataka
• Određivanje važnosti podataka za istragu
Primjeri analize
• Analiza atributa datuma i vremena
Analiza metapodataka
Analiza logova
• Analiza sakrivenih podataka
Usporedba zaglavlja i ekstenzije datoteke
Šifrirane i komprimirane datoteke
Analiza HPA
Steganografgija i sl.
26 Ispitivanje dokaza (3)
Primjeri analize (nastavak)
• Analiza datoteka i aplikacija
Imena datoteka i sadržaj
Broj i vrsta operacijskih sustava
Temporary datoteke, browsing history
• Analiza vlasništva
Utvrditi tko je što radio
Analiza ne mora dovesti do jasnih zaključaka
Promatrati istragu u cjelini
28 Znanja
• Svaki sudionik istrage mora znati prepoznati i sačuvati digitalne dokaze, tj ne ugroziti ih i sigurno ih predati na daljnje procesiranje
• mora znati što su to digitalni dokazi i kako ih prepoznati i kako sa njima postupati, te imati znanja i alate za osnovnu trijažu
Nivo Encase First Responder, Forensic 1
• Na nivou veće PU potrebno je moći odraditi sve korake obrade digitalnih dokaza, ekstrakciju, procesiranje, analizu
• detaljno poznavanje operacijskih sustava i aplikacija na njima, mobilnih uređaja, poznavanje alata za digitalnu forenziku
Nivo Encase Forensic 1, Forensic 2, Advanced Forensic
• Na nivou I.V mora se moći izvesti obrade digitalnih dokaza koje traže posebne alate, vještine i postupke sa oštećenim, nepoznatim ili specifičnim artefaktima
• ekspertno znanje pojedinih područja digitalne forenzike uz specijalizaciju i posebnu opremu ili postupke (laboratorij za rekonstrukciju oštećenih diskova, analizu flasheva, enkripcija i sl)
nivo EnCase expert training Linux Mac, Interent artifacts, CEIC konferencije
29
Važnost profesionalne edukacije i certificiranja
Kontinuirano praćenje i usavršavanje • Razvoj alata
• Evolucija kriminalnih djela
• Razvoj informatičkog okruženja
• Povratna informacija o tome što i kako treba usavršavati
Držanje koraka sa razvojem tehnologije
Držanje koraka sa razvojem metodologije digitalne forenzike
Garancija osposobljenosti • veća snaga iskaza prema trećoj strani
• dokaz kompetencije pred sudom
