3. Računala, podaci i zločini 4
Računalni kriminal
• Bilo koje kriminalno djelo koje uključuje računalnu i
ostalu elektronsku opremu
Tri kategorije
• Računalo je CILJ napada i/ili incidenta
• Računalo je SREDSTVO napada i/ili incidenta
• Obavezno korištenje i zloporaba IT opreme (npr.
hakiranje drugih IT sustava)
Računala i digitalni podaci su danas dio
praktički svake aktivnosti, pa tako i dokazi
vezani uz druge vrste zločina mogu biti
digitalni
4. Računalna forenzika i digitalni
dokazi 5
Računalna forenzika
• Procesi ili procedure koje uključuju nadzor,
prikupljanje, analizu i prezentaciju digitalnih
dokaza kao sastavni dio istraga kriminalnih radnji
i/ili neprimjerenog korištenja računala i druge
elektronske opreme
Digitalni dokaz
• Svaka informacija ili dio informacije koja ima snagu
dokaza za određeni događaj, a pohranjena je ili
prenesena u digitalnom obliku
Ne možemo ih vidjeti, ne možemo ih dodirnuti, ne možemo ih osjetiti !!!
5. Zakonski aspekti računalne
forenzike 6
Što je računalna forenzika, treba li i kako biti
definirana zakonom?
Tko treba vršiti forenzičke istrage u
kriminalnim istragama?
Kad u istragu treba uključiti stručnjaka?
Kako osigurati da nalazi računalne forenzike
budu prihvaćeni na sudu?
Računalna forenzika kombinira pravo i
računalnu znanost
6. Pitanje: tko treba vršiti istrage? 7
Otvoreno pitanje stručnosti
• Koja je potrebna edukacija, koje kvalifikacije treba
imati stručnjak za računalnu forenziku?
• Područje neprestano se razvija
• Stalno pračenje, edukacija, certificiranje
Zadaća first respodera
• Što treba znati osoba koja dodje u dodir sa digitalnim
dokazima
SWGDE – međunarodne organizacije
• Kategorije edukacije za osobe koje prikupljaju,
čuvaju, analiziraju i istražuju digitalne dokaze (ili
direktno nadgledaju ove funkcije)
7. Prihvatljivost dokaza na sudu 8
Prikupljanje dokaza na propisan tj legano
prihvatljiv način
Pri tome mora biti garantirano:
• Autentičnost
• Integritet
• Ponovljivost
• Odgovornost istražitelja
8. Praksa u svijetu 9
Association of Chief Police Officers (ACPO)
• Guidelines on Computer Evidence
• Prihvaćeno na sudovima u UK
Scientific Working Group on Digital Evidences
(SWGDE)
• Best Practices for Computer Forensics
• Data Integrity within Computer Forensics
• Guidelines & Recommendations for Training in Digital
& Multimedia Evidence
US Department of Justice
• Forensic Examination of Digital Evidence: A Guide for
Law Enforcement
9. Značajke digitalnih dokaza 10
Prisutni su u svim digitalnim uređajima
• gdje god ima digitalnih podataka
Vezani su uz komunikaciju među ljudima i
pohranu / “pamćenje” događaja
Značajke digitalnih dokaza
• Digitalni dokazi se mogu lako uništiti, najčešće bez
ikakvih tragova o tome
• Tragove (ne)djela nije lako sakriti, ali ih jednako tako
nije jednostavno niti pronaći
Metodologija Alati
računalne forenzike računalne forenzike
10. Što se nalazi na digitalnom
mediju 11
Statičke datoteke/ podaci
• Adresari
• Elektronska pošta
• Multimedijske datoteke
Dinamičke datoteke /
• Kalendar
podaci
• Baze podataka
• Log datoteke
• Spreadsheet datoteke
• Printer spooler
• Dokumenti
• Cookies
• Komprimirane datoteke
• Swap datoteke
• “Misnamed” datoteke
• History files
• Steganografija
• Temporary files
• Šifrirane datoteke
• Sakrivene datoteke
11. Što se nalazi u memoriji
uređaja?
12
Promjenjivi (“ishlapljivi”) podaci
• Živi podaci u registrima
• Podaci o mrežnim spajanjima
• Podaci o procesima koji se izvršavaju
• Podaci o otvorenim datotekama
Isključi napajanje – podaci su nepovratno izgubljeni !
12. Što je danas forenzički moguće,
a što ne? 13
Moguće je: Komplicirano:
• Povrat obrisanih datoteka • Povrat “wipe” datoteke
• Datum i vrijeme nastanka,
promjene i brisanja
• Koji je medij za pohranu bio Skoro nemoguće:
spojen na koje računalo • Povrat podataka ako je
• Koje su aplikacije bile medij fizički uništen
instalirane • Dekriptirati podatke
• Web koji je korisnik posjetio ako je korišten barem
• Utvrditi da je osoba 128-bitni ključ
pogledala neku sliku
• Utvrditi što je isprintano
• Povrat obrisane/formatirane
particije diska
13. Principi digitalne forenzike 14
Niti jedna poduzeta akcija ne smije promijeniti
podatke koji se nalaze na računalu ili na
nekom drugom mediju
Samo u izuzetnim situacijama, istrage se mogu
vršiti na originalnim podacima na računalu
Kompletan proces istrage mora biti jasno i
precizno dokumentiran.
Na osobi odgovornoj za provođenje istrage leži
kompletna odgovornost za poštivanje svih
propisa vezanih uz istrage računalne forenzike
18. Identifikacija računala ili druge elektronske opreme koja
je predmet istrage
Osigurati lokaciju istrage i odmaknuti sve osobe od
identificirane opreme kao i priključaka napajanja
NE
Da li je oprema uključena? 20
DA
Da li je stručnjak na NE
Ne diraj tipkovnicu
raspolaganju?
DA
Ne slučaj savjete vlasnika/
korisnika opreme !!!
Neka stručnjak pripremi sve za Fotografiraj ekran, napravi
izuzimanje bilješke što se nalazi na ekranu
Označi i fotografiraj sve
Ne uključuj opremu !!! Neka printer dovrši printanje
komponente opreme
Transport Što treba biti izuzeto
Ospoji sve priključene kablove
Rukuj svom opremom sa iznimnom
pažnjom Za rekonstrukciju sustava:
Drži svu opremu daleko od izvora Glavna jedinica - obično kutija za koju su
elektromagnetskih zračenja, kao što su priključeni monitor i tipkovnica
zvučnici, radio aparati, grijani prozori i/ili Pažljivo zapakiraj i dokumentiraj Tipkovnica i monitor
sjedišta i sl. svu zapakiranu opremu Svi kablovi
Napajanje
Stavi diskove i drugu elektronsku opremu Hard diskovi
u anti-statičke vrećice Razni «donglovi»
Modemi
Ne savijaj diskete i ni lijepi oznake
direktno na njih
Osiguraj da sve komponente Za ekstrakciju dokaza:
imaju odgovarajuće natpise
Monitore prevozi na stražnjem sjedalu sa Mediji za pohranu podataka (diskete, CD,
ekranom okrenutim prema dole DVD, ZIP, trake i sl.)
PCMCIA kartice
PDA uređaje smjesti u papirnatu vrećicu Hard diskovi koji nisu spojeni na računalo
Potraži bilo kakve bilješke koje
Tipkovnice, kablove, miš, modem smjesti mogu imati važne podatke (npr. Za pomoć u istrazi:
u posebne vrećice. Ne stavljaj ništa teško lozinke i sl.)
na njih Upute od računala
Sav softver na licu mjesta
Papiri sa zapisanim lozinkama
Ključevi
Zatraži od korisnika lozinke za
pristup računalu Za usporednu printanih materijala:
Printeri
Isprinti
Papir za printere
Pošalji opremu na forenzičko
isitivanje
19. Ispitivanje dokaza (1) 24
Odvija se u dvije faze
• Ekstrakcija podataka
• Analiza ekstrahiranih podataka
Ekstrakcija
• Fizička
Keyword pretrage, file carving, struktura particija …
• Logička
Aktivne datoteke, obrisane, file slack …
Password protected, komprimirane i šifrirane datoteke
20. Ispitivanje dokaza (2) 25
Analiza ekstrahiranih podataka
• Određivanje važnosti podataka za istragu
Primjeri analize
• Analiza atributa datuma i vremena
Analiza metapodataka
Analiza logova
• Analiza sakrivenih podataka
Usporedba zaglavlja i ekstenzije datoteke
Šifrirane i komprimirane datoteke
Analiza HPA
Steganografgija i sl.
21. Ispitivanje dokaza (3) 26
Primjeri analize (nastavak)
• Analiza datoteka i aplikacija
Imena datoteka i sadržaj
Broj i vrsta operacijskih sustava
Temporary datoteke, browsing history
• Analiza vlasništva
Utvrditi tko je što radio
Analiza ne mora dovesti do jasnih zaključaka
Promatrati istragu u cjelini
22. Znanja 28
• Svaki sudionik istrage mora znati prepoznati i sačuvati
digitalne dokaze, tj ne ugroziti ih i sigurno ih predati na
daljnje procesiranje
• mora znati što su to digitalni dokazi i kako ih prepoznati i kako sa
njima postupati, te imati znanja i alate za osnovnu trijažu
Nivo Encase First Responder, Forensic 1
• Na nivou veće PU potrebno je moći odraditi sve korake obrade
digitalnih dokaza, ekstrakciju, procesiranje, analizu
• detaljno poznavanje operacijskih sustava i aplikacija na njima,
mobilnih uređaja, poznavanje alata za digitalnu forenziku
Nivo Encase Forensic 1, Forensic 2, Advanced Forensic
• Na nivou I.V mora se moći izvesti obrade digitalnih dokaza
koje traže posebne alate, vještine i postupke sa oštećenim,
nepoznatim ili specifičnim artefaktima
• ekspertno znanje pojedinih područja digitalne forenzike uz
specijalizaciju i posebnu opremu ili postupke (laboratorij za
rekonstrukciju oštećenih diskova, analizu flasheva, enkripcija i sl)
nivo EnCase expert training Linux Mac, Interent artifacts, CEIC
konferencije
23. Važnost profesionalne edukacije
i certificiranja 29
Kontinuirano praćenje i usavršavanje
• Razvoj alata
• Evolucija kriminalnih djela
• Razvoj informatičkog okruženja
• Povratna informacija o tome što i kako treba
usavršavati
Držanje koraka sa razvojem tehnologije
Držanje koraka sa razvojem metodologije
digitalne forenzike
Garancija osposobljenosti
• veća snaga iskaza prema trećoj strani
• dokaz kompetencije pred sudom
24. Pitanja 30
?
damir.delija@insig2.eu
Metodologija računalne forenzike