UNIVERZITET SINGIDUNUM
Prof. dr Milan Milosavljevi
Doc. dr Gojko Grubor
ISTRAGA KOMPJUTERSKOG
KRIMINALA
MŠ - HŠ Beograd,
ISTRAGA KOMPJUTERSKOG KRIMINALA
MŠ-HŠ Autori:
Prof. dr Milan Milosavljevi
Doc. dr Gojko Grubor
Recenzen:
Prof. dr Milovan Staniši
Prof. dr Branko Kovaevi
Izdava:
UNIVERZITET SINGIDUNUM
Beograd, Danijelova 32
www.singidunum.ac.rs
Za izdavaa:
Prof. dr Milovan Staniši
Tehnika obrada:
Novak Njeguš
Dizajn korica:
Milan Nikoli
Godina izdanja:
2009.
Tiraž:
300 primeraka
Štampa:
UGURA print, Beograd
www.cugura.rs
ISBN: 978-86-7912-
SADRŽAJ
I. METODOLOKE OSNOVE ISTRAGE
KOMPJUTERSKOG KRIMINALA
UVOD
3
1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGE
KOMPJUTERSKOG KRIMINALA
6
1.1 KRATAK PREGLED RAZVOA DIGITALNE FORENZIKE ISTRAGE
KOMPUTERSKOG KRIMINALA I ANALIZE DIGITALNIH DOKAZA
1.2 STANDARDIZACIA PROCEDURA DIGITALNE FORENZIKE ISTRAGE
kompjuterskog kriminla
1.2.1 Denicije kljunih termina digitalne forenzike istrage
1.2.2 Principi upravljanja digitalnim dokazima
1.2.3 Struktura standardne opera
vne procedure
1.2.4 Standardi i kriterijumi digitalne forenzike istrage
1.2.4.1 Standardi i kriterijumi 1.1
1.2.4.2 Standardi i kriterijumi 1.2
1.2.4.3 Standardi i kriterijumi 1.3
1.2.4.4 Standardi i kriterijumi 1.4
1.2.4.5 Standardi i kriterijumi 1.5
1.2.4.6 Standardi i kriterijumi 1.6
1.2.4.7 Standardi i kriterijumi 1.7
1.2.4.8 Standard prihvatljivos
procedure
1.2.5 Standardizacija procedure privremenog oduzimanja
raunara kao dokaznog materijala
1.2.6 Procedura za obezbeivanje kopija dokaza
1.2.7 Standardna procedura naunog karaktera digitalnog dokaza
1.2.8 Standardna procedura tes
ranja forenzikih alata
1.2.9 Legalni zahtevi za digitalne dokaze
1.2.10 Dostupnost standardnih procedura i alata
1.2.11 Tela za akreditaciju standarda digitalnih forenzikih laboratorija
REZIME
PITANA ZA PONAVLANE
8
10
10
11
12
13
13
13
13
14
14
14
15
15
15
17
18
19
21
21
22
23
24
2. ISTRAGA KOMPJUTERSKOG KRIMINALA
2.1 ZVANINA ISTRAGA KOMPUTERSKOG KRIMINALA
2.2 KORPORACISKA DIGITALNA FORENZIKA ISTRAGA
2.2.1 Uspostavljanje ma za upravljanje kompjuterskim incidentom
2.2.2 Procedura odreivanja karaktera kompjuterskog incidenta
2.2.3 Model troškova korporacijske forenzike istrage
25
27
30
31
33
SŽJ
III
2.3 PROCES KORPORACISKE ISTRAGE
2.4 ISTRAGA AKTIVNOG INCIDENTA STUDIA SLUAA
2.4.1 Scenario u kojem je napada na mreži
2.4.1.1 Sluaj direktnog napada
2.4.1.2 Sluaj napada preko telefonske centrale
2.4.1.3 Mrežne tehnike za postavljanja zamke i praenje traga napadaa
2.5 TIM ZA ISTRAGU KOMPUTERSKOG KRIMINALA
2.5.1 Interventni m za korporacijsku istragu kompjuterskog incidenta
2.6 REZULTATI KORPORACISKE ISTRAGE KOMPUTERSKOG INCIDENTNA
REZIME
PITANA ZA PONAVLANE
3. FUNKCIONALNI MODELI DIGITALNE FORENZIKE ISTRAGE
3.1 MODEL ISTRAGE FIZIKOG MESTA KRIVINOG DELA
3.2 MODEL ZVANINE ISTRAGE DIGITALNOG MESTA KRIVINOG DELA
3.3 KORPORACISKI MODEL ISTRAGE KOMPUTERSKOG INCIDENTA
3.4 MODEL INTEGRISANIH PROCESA DIGITALNE FORENZIKE ISTRAGE
3.4.1 Faza pripreme
3.4.2 Faza razvoja
3.4.2.1 Faza detekcije i izveštavanja
3.4.2.2 Faza potvrde i autorizacije
3.4.3 Faza istrage zikog mesta krivinog dela
3.4.3.1 Faza obezbeivanja (ksiranja) zikog mesta krivinog dela
3.4.3.2 Faza revizije zikog mesta krivinog dela
3.4.3.3 Faza dokumentovanja zikog mesta krivinog dela
3.4.3.4 Faza pretrage i sakupljanja dokaza sa zikog
mesta krivinog dela
3.4.3.5 Faza rekonstrukcije zikog mesta krivinog dela
3.4.3.6 Faza ekspertskog svedoenja/veštaenja zikog
mesta krivinog dela
3.4.4 Faza istrage digitalnog mesta krivinog dela
3.4.4.1 Faza ksiranja digitalnog mesta krivinog dela
3.4.4.2 Faza pretrage digitalnog mesta krivinog dela
3.4.4.3 Faza dokumentovanja digitalnog mesta krivinog dela
3.4.4.4 Faza sakupljanja digitalnih dokaza sa digitalnog
mesta krivinog dela
3.4.4.5 Faza rekonstrukcije digitalnog mesta krivinog dela
3.4.4.6 Faza prezentacije digitalnog mesta krivinog dela
3.4.4.7 Faza provere
3.5 MODEL DOMENA SLUAA DIGITALNE FORENZIKE ISTRAGE
REZIME
PITANA ZA PONAVLANE
IV
I J 37
42
42
43
44
44
47
47
48
50
51
52
52
53
53
54
57
57
58
58
58
59
59
60
60
61
61
62
63
63
64
65
65
66
66
67
70
71
4. DIGITALNI DOKAZ
72
4.1 DIGITALNI KOMPUTERSKI DOKAZ
4.2 PRAVOSUDNI ASPEKT DIGITALNIH KOMPUTERSKIH DOKAZA
4.3 UPRAVLANE DIGITALNIM DOKAZIMA
4.3.1 Procedura sakupljanja posrednih kompjuterskih dokaza
4.4 KORISNICI KOMPUTERSKIH DIGITALNIH DOKAZA
4.5 PRIPREMA DIGITALNIH DOKAZA ZA VEŠTAENE PRED SUDOM
4.6 PREPORUKE IOCE ZA UPRAVLANE DIGITALNIM DOKAZIMA
REZIME
PITANA ZA PONAVLANE
KLUNI TERMINI
LITERATURA
72
73
75
76
78
79
79
81
82
83
84
II. TENOLOKE OSNOVE DIGITALNE
FORENZIKE ISTRAGE
UVOD
89
1. DIGITALNA FORENZIKA NAUKA
90
REZIME
PITANA ZA PONAVLANE
93
94
2. FORENZIKA AKVIZICIJA DIGITALNI PODATAKA
95
2.1 FUNKCIONALNI MODEL FORENZIKE AKVIZICIE DIGITALNIH PODATAKA
2.1.1 Lokardov princip razmene materije
2.1.2 Redosled sakupljanja nestabilnih podataka
2.2 AKTIVNA FORENZIKA AKVIZICIA
2.2.1 Razvoj ak
vne forenzike akvizicije
2.2.2 Metodi ak
vne digitalne forenzike akvizicije
2.2.3 Izbor i priprema forenzikih alata za ak
vnu akviziciju
2.2.4 Prednos
i nedostaci ak
vne forenzike akvizicije
REZIME
PITANA ZA PONAVLANE
3. FORENZIKA ANALIZA DIGITALNI PODATAKA
95
95
97
98
99
107
113
118
124
126
127
3.1 DIGITALNA FORENZIKA ANALIZA
3.1.1 Forenzika analiza sovera
3.1.2 Forenzika analiza raunara
3.1.3 Forenzika analiza u virtuelnom okruženju
3.1.3.1 Studija sluaja digitalne forenzike analize virtuelne mašine
3.1.4 Digitalna forenzika analizaraunarske mreže
3.1.5 Forenzika analiza kiberne
kog prostora
SŽJ
127
127
128
129
131
132
135
V
3.2 ZNAA SLOEVA APSTRAKCIE ZA DIGITALNU FORENZIKU ANALIZU
3.2.1 Greške u slojevima apstrakcije
3.2.2 Karakteris
ke slojeva apstrakcije
3.2.3 Apstrakcioni slojevi FAT fajl sistema
3.2.4 Zahtevi za alate za digitalnu forenziku analizu
3.3 UTICA SKRIVANA DIGITALNIH DOKAZA NA TEHNIKE FORENZIKE ANALIZE
3.4 PROCES FORENZIKE ANALIZE VRSTOG DISKA
3.4.1 Tok procesa digitalne forenzike analize
3.4.2 IACS procedura kompletnog ispi
vanja vrstog diska
REZIME
PITANA ZA PONAVLANE
4. FORENZIKI ALATI
4.1 RAZVO FORENZIKIH ALATA
4.2 OPŠTE KARAKTERISTIKE
4.2.1 Tehnike i ala
za akviziciju digitalnih podataka
4.2.2 Validacija i diskriminacija podataka
4.2.3 Ekstrakcija digitalnih podataka
4.2.4 Rekonstrukcija osumnjienog diska
4.2.4.1 Forenziki ala
za oporavak fragmen
ranog fajla
4.2.5 Izveštavanje o digitalnim dokazima
4.3 HARDVERSKI FORENZIKI ALATI
4.3.1 Blokatori upisivanja i drugi hardverski forenziki ala
4.4 SOFTVERSKI FORENZIKI ALATI
4.4.1 Forenziki ala
komandne linije
4.4.2 Soverski forenziki alat zatvorenog koda EnCase v4 GUI pa
4.4.3 Analiza Access Data FTK forenzikog alata
4.4.4 Forenziki ala
otvorenog izvornog koda
4.4.4.1 Znaaj poznavanja izvornog koda forenzikih alata
4.4.4.2 Forenziki ala
otvorenog koda
4.4.4.3 SPADA forenziki alat na bazi Linux OS
4.4.4.4 Prdnos
i nedostaci Linux baziranih forenzikih alata
4.4.5 Kompara
vni pregled funkcija kljunih forenzikih alata
4.4.6 Validacija i tes
ranje forenzikih alata
4.4.6.1 Razvoj procesa validacije forenzikih alata
4.4.6.2 Proces tes
ranja soverskih forenzikih alata
4.4.6.3 Procedura za validaciju forenzikog alata
4.5 STUDIA SLUAA: AKVIZICIA IZVRŠNIH FALOVA, RUTKITOVA,
ZADNIH VRATA I SNIFERA
4.5.1 Rutkit ala
4.5.1.1 Podela rutkit alata
4.5.1.2 Napad rutkit ala
ma
4.5.2 Detekcija rutkitova, zadnjih vrata i mrežnih snifera
VI
I J 140
141
142
143
146
147
149
149
155
157
159
160
160
161
162
164
165
167
168
170
170
172
180
180
181
199
222
222
224
227
236
238
239
239
239
242
243
243
244
245
248
4.5.2.1 Detekcija prisustva rutkitova
4.5.2.2 Detekcija prisustva zadnjih vrata
4.5.2.3 Detekcija prisustva mrežnih snifera
REZIME
PITANA ZA PONAVLANE
KLUNI TERMINI
LITERATURA
248
251
254
255
257
258
262
III. SVEDOENJE I VETAENJE U INFORMACIONO
KOMUNIKACIONIM TENOLOGIJAMA
1. ISKUSTVA SVEDOENJA I VETAENJA IZ DRUGI
NAUNOTENIKI DISCIPLINA
267
1.1 SUDSKI VEŠTACI ZA SAOBRAA
267
1.2 EKSPERTI ZA FORENZIKU ANALIZU UMETNIKIH DELA
1.3 FORENZIAR GEOLOG I EKSPERT ZA TANE GROBNICE
1.4 ISKUSTVA IZ SUDSKE MEDICINE
1.5 FORENZIKI ENTOMOLOZI
REZIME
PITANA ZA PONAVLANE
267
267
268
268
269
269
2. SPECIFINOSTI SVEDOENJA I VETAENJA
U KOMPJUTERSKOM KRIMINALU
270
2.1 PRIPREMA DOKAZA ZA SUDSKI PROCES
2.2 PRELIMINARNA PRIPREMA TUIOCA
2.3 KOMUNIKACIE U PREDISTRANOM POSTUPKU
2.4 DEFINISANE USLOVA ZA IZNOŠENE DIGITALNIH DOKAZA
2.5 PRIHVATLIVOST KOMPUTERSKI GENERISANIH DIGITALNIH
DOKAZA NA SUDU
2.6 SVEDOENE I VEŠTAENE IKT EKSPERTA
2.6.1 Edukovanje pravosudnih organa
2.6.2 Veštaenje i naune metode dokazivanja kompjuterskog kriminala
2.6.2.1 Rekonstrukcija dogoaja u sudskom postupku
kompjuterskog kriminala
2.6.2.2 Instruisanje porote
REZIME
PITANA ZA PONAVLANE
KLUNI TERMINI
LITERATURA
PRILOG I
PRILOG II
SŽJ
272
272
272
273
273
274
275
275
275
276
277
278
279
281
282
287
VII
SPISAK SLIKA
Slika 1.1 Skladište uvanja digitalnih dokaza
Slika 1.2 Daubert princip prihvatljivos
digitalnih dokaza na sudu
Slika 2.1 Hipote
ka distribucija vrednos
i troškovi za otvaranje,
standardizovane (levo) i zatvorene, autorske (desno) plaorme
Slika 3.1 Fiziko mesto krivinog dela kompjuterskog kriminala
Slika 3.2 Faze modela integrisanih procesa digitalne forenzike istrage
Slika 3.3 Faze i interakcija istrage zikog i digitalnog mesta krivinog dela
Slika 3.4 Faze forenzike istrage digitalnog mesta krivinog dela
Slika 1.1 Proces digitalne forenzike
Slika 2.1 Sadržaj šifrovanog fajla u AccessData FTK Imager alatu
Slika 2.2 Sadržaj dešifrovanog fajla u AccessData FTK Imager alatu
Slika 2.3 Par
cija E šifrovana sa BestCrypt alatom
Slika 2.4 Forenzika slika šifrovanog HD u AccessData FTK Imager alatu
Slika 2.5 Operacija išenja fajlova pomou BestCrypt alata
Slika 2.6 Prozor uzimanja imidža u ProDiscover IR forenzikom alatu
Slika 2.7 Dešifrovani dokument u RAM memoriji u ProDiscover IR alatu
Slika 2.8 Pogled na sadržaj zike memorije u ProDiscover IR alatu
koji indicira da je BestCrypt proces ak
van
Slika 2.9 Dešifrovani sadržaj HD u toku ak
vne akvizicije sa forenzikim
alatom ProDiscover IR
Slika 2.10 Helix forenziki alat za upravljanje incidentom,
oporavak podataka i forenziko podizanje ispi
vanog sistema
Slika 2.11 Ak
vna akvizicija pomou forenzikog alata Helix
Slika 2.12 GUI alat Nigilant (32)
Slika 2.13 Uspostavljanje veze pomou Remote Admnistrator
Slika 2.14 Radmin Viewer
Slika 2.15 Sistemsko vreme i datum u Windows XP OS
Slika 2.16 GUI klijent za kopiranje fajla
Slika 2.17 Prikaz svih USB ureaja povezanih na raunar u USBDeview alatu
Slika 2.18 Primer sistemskih informacija dobijenih ak
vnom
akvizicijom sa LiveWire alatom
Slika 2.19 Pogled na ak
vne procese u LiveWire forenzikom alatu
Slika 2.20 Otkrivanje šifre za rad keylogger-a u memoriji sa LiveWire alatom
Slika 2.21 Trag Hacker Defender-a u zikoj memoriji u LiveWire alatu
Slika 2.22 Drugi pogled na Hacker Defender u RAM memoriji u LiveWire alatu
Slika 3.1 Proces dualne analize podataka
Slika 3.2 Ulazni i izlazni podaci apstrakcionog sloja
Slika 3.3 Slojevi apstrakcije HTML dokumenta
Slika 3.4 Tok procesa digitalne forenzike analize
Slika 4.1 Primer prozora u WinHex alatu Northon Commander-a
VIII
I J 14
19
35
52
56
59
62
91
101
102
102
103
104
104
105
106
107
108
109
110
114
115
115
118
119
120
121
121
122
122
131
140
143
152
163
Slika 4.2 Prikaz thumbnalis slika u foremzikom alatu File Hound
Slika 4.3 Tipovi hardverskih blokatora
Slika 4.4 Primeri IDEi SATA diskova
Slika 4.5 Sakupljanje podataka sa klasinih 3,5 ina IDE diskova
Slika 4.6 Sakupljanje podataka sa klasinih 3,5 ina SATA diskova
Slika 4.7 Sakupljanje podataka sa notebook diskova od 2,5 ina
Slika 4.8 Sakupljanje podataka sa malih vrs
h diskova
Slika 4.9 Sakupljanje podataka sa eš memorije (a) mikrodiskova (b)
i PCCard (PCMCIA) adapter (c)
Slika 4.10 SATA adapter za sakupljanje podataka sa SATA diskova (a) i SATA
adapter prikljuen na SATA disk
Slika 4.11 Adapter 1,8 ina ZIF za prikljuivanje Hitachi ZIF diskova
Slika 4.12 CD/DVD robot
Slika 4.13 Otvaranje novog sluaja u EnCase alatu
Slika 4.14 Otvaranje dijaloga Op
ons u En Case alatu
Slika 4.15 Dodavanje dokaznog materija novom sluaju u EnCase alatu
Slika 4.16 Odabir fajlova za pretraživanje
Slika 4.17 Verikacija novog sluaja
Slika 4.18 Dodavanje sirovih imidž fajlova u EnCase alatu
Slika 4.19 Indeksiranje fajlova u EnCase alatu
Slika 4.20 Odrivanje bezbedonosnog iden
katora dokaza
Slika 4.21 Ak
viranje skriptova u EnCase alatu
Slika 4.22 Izbor fajlova i foldera za oporavak
Slika 4.23 Pretraživanje po kljunoj rei u EnCase alatu
Slika 4.24 itanje Outlook Express .DBX fajlova u EnCase alatu
Slika 4.25 Kreiranje butabilne diskete u EnCase alatu
Slika 4.26 Završetak kreiranja butabilne diskete u EnCase alatu
Slika 4.27 Zakljuavanje i otkljuavanje hard diskova
Slika 4.28 Oporavak izbrisanih foldera u EnCase alatu
Slika 4.29 Forma
rana NTFS par
cija
Slika 4.30 Dodavanje novih potpisa fajla u EnCase alatu
Slika 4.31 Generisanje heš vrednos
za izabrane fajlove
Slika 4.32 Snimak trenutnog stanja sistema
Slika 4.33 Izbor i selekcija diska za brisanje sa prepisivanjem u EnCase alatu
Slika 4.34 Simultano indeksiranje velikog broja slika relevantnih za istragu
Slika 4.35 Eksportovanje izveštaja u EnCase alatu
Slika 4.36 Prikaz heš vrednos
u FTK alatu
Slika 4.37 Poetni prozor FTK forenzikog alata
Slika 4.38 Odabir pa dokaza
Slika 4.39 Odabir pa imidža
Slika 4.40 Kreiranje imidža
Slika 4.41 Verikovanje rezultata imidžovanja nezaražene USB memorije
Slika 4.42 Verikovanje rezultata imidžovanja zaražene USB memorije
SŽJ
169
174
174
175
175
176
176
176
177
177
179
182
183
184
184
185
185
186
187
187
188
189
190
190
191
192
193
193
194
195
196
197
198
198
199
200
201
202
202
203
203
IX
Slika 4.43 TXT fajl generisan polse imidžovanja virusom
nezaraženog (a) i zaraženog (b) USB
Slika 4.44 Generalije o sluaju i forenziaru
Slika 4.45 Case Log opcije
Slika 4.46 Processes to Perform opcija
Slika 4.47 Rena Case
Slika 4.48 Rene index opcija
Slika 4.49 Add Evidence opcija
Slika 4.50 Dodavanje imidža dva USB memorijska ureaja kao dokaza
Slika 4.51 Napredne opcije Rene Evidence i rene Index
Slika 4.52 Obrada dokaza
Slika 4.53 Kar
ca Overview
Slika 4.54 Obeležen prepoznat maliciozni program na zaraženom USB
Slika 4.55 Pregled sadržaja kompresovanog fajla
Slika 4.56 Kar
ca Explore
Slika 4.57 Kar
ca Graphics
Slika 4.58 Kar
ca Search
Slika 4.59 Generalne informacije o svojstvima fajla
Slika 4.60 Informacije o sadržaju fajla
Slika 4.61 Pregled karakteris
ka malicioznog programa
Slika 4.62 Deo FTK log izveštaja
Slika 4.63 Podešavanje za prikaz Bookmark-ova
Slika 4.64 Odabir svojstava Bookmark-a i prikaz u izveštaju
Slika 4.65 Podešavanje prikaza grakih elemenata u izveštaju
Slika 4.66 Odabir putanje izveštaja i proizvoljnog grakog elementa
Slika 4.67 Poetna strana izveštaja (index.htm)
Slika 4.68 Pregled fajlova u izveštaju
Slika 4.69 Pregled dokaza u izveštaju
Slika 4.70 Prikaz grakih elemenata u izveštaju
Slika 4.71 Desktop SPADA forenzikog alata
Slika 4.72 Ak
viranje POST procesa za pristup BIOS setup-u
Slika 4.73 Podešavanje BIOS-a u SPADA alatu
Slika 4.74 SPADA meni za butovanje
Slika 4.75 Ak
viranje procesa inicijalne pretrage sa SPADA alatom
Slika 4.76 Otvaranje QTParted aplikacije u SPADA alatu
Slika 4.77 Ak
viranje Mediand aplikacije u SPADA alatu
Slika 4.78 MediaFind prozor u SPADA alatu
Slika 4.79 Rezulta
MediaFind aplikacije
Slika 4.80 Otvaranje Terminal prozora u SPADA alatu
Slika 4.81 Proširivanje Terminal prozora u SPADA alatu na puni ekran
Slika 4.82 ProDoscover forenziki alat
Slika 4.83 SuperScan forenziki alat
X
I J 204
204
205
206
206
207
207
208
208
209
209
210
210
211
212
212
213
213
214
215
216
216
217
218
218
219
219
220
227
228
228
229
229
230
231
231
232
233
234
249
253
SPISAK TABELA
Tabela 1.1 Pomeranje vektora napada na IKT sisteme
Tabela 1.2 Primeri kategorija koncepta objekata
za digitalnu forenziku istragu
Tabela 1.3 Primeri provere meusobnih odnosa koncepata
Tabela 2.1 Karta konvencije bajta – B(Byte)
Tabela 3.1 Anali
ka vremenska radna karta sistemskih log podataka
Tabela 3.2 Slojevi apstrakcije FAT fajl sistemu
Tabela 3.3 Primeri dokumentovanja procesa digitalne forenzike analize
Tabela 4.1 Pregled funkcija FTK forenzikog alata
Tabela 4.2 Tabela 4.1 Korespondirajue DOS i Linux komandne linije
Tabela 4.3 Svievi za za denisanje naina rada ls komande
Tabela 4.4 Uporedni pregled osnovnih funkcija relevantnih forenzikih alata
Tabela 4.5 Glavne oznake u Unix/linux string komandama3
Tabela P2.1 Pozna
ji SID iden
katori
SŽJ
10
67
68
100
138
145
153
221
233
235
238
251
287
XI
D
E
O
I
METODOLOKE OSNOVE ISTRAGE
KOMPJUTERSKOG KRIMINALA
Cilj ove glave je da se denišu i opišu
metodološke osnove istrage kompjuterskog
kriminala koje obezbeuju opmalni funkcionalni model za istragu kompjuterskog kriminala.
Kada proitaju ovu glavu, studen e razume
osnovne funkcionalne modele za zvaninu i korporacijsku istragu kompjuterskog kriminala,
specinos istrage digitalnih dokaza, znaaj
digitalne forenzike istrage za upravljanje
kompjuterskim incidentom i prednos procesa
integrisane istrage zikog i digitalnog mesta
krivinog dela kompjuterskog kriminala.
UVOD
Uporedo sa razvojem i implementacijom raunarskih mreža u sistem globalne mreže - Intereneta, rastu i potencijalne opasnos
od razlii
h napada sa Interneta, ukljuujui brojne maliciozne programe i napade ljudskog faktora - hakera, krakera, vandala
i kompjuterskih kriminalaca i terorista. Raunarske mreže Internet pa nude brojne
prednos
i omoguavaju izuzetno poveanje ekasnos
rada i smanjenje troškova, ali
predstavljaju i kri
nu taku bezbednos
, sa stanovišta rizika za raspoloživost, integritet i poverljivost informacija, servisa i aplikacija. U literaturi su objavljene brojne taksonomije pretnji i metode analize faktora rizika za raunarske sisteme i mreža Internet
pa. Iako su ranijih godina napadi na raunarske mreže Internet pa bili pretežno eksterni, novije analize pokazuju da mnogo vee nansijske gubitke i drugu štetu nanosi
širok spektar internih napada. Razlozi za to leže u samoj prirodi intranet mreža u kojima
interni uesnici nisu samo zaposleni u datoj organizaciji i za koje postoji odreeni stepen poverenja, ve i poslovni partneri, zaposleni u rmama podružnicama, kooperan
,
dostavljai i drugi uesnici iz ekstranet mreža, koji iz razloga jednostavnos
korišenja i
poveanja ekasnos
i produk
vnos
rada imaju vrlo slina, ako ne i ista prava pristupa
intranet mreži kao i zaposleni u datoj organizaciji. Pored nansijske dobi
registrovani
su brojni mo
vi za razne vrste hakerskih i drugih napada na mreže državnih organa,
ukljuujui: izazov i potrebu za samopotvrivanjem, zna
želju za proboj visokotehnoloških sistema zaš
te u ovim mrežama, maliciozne namere - krau osetljivih informacija,
špijunažu i namerna ošteenja informacija, aplikacija i sistema. U nekoliko poslednjih
godina deluju organizacije profesionalnih hakera koji organizovano rade na principu s
caja prota od preduzimanja razlii
h oblika kompjuterskog kriminala. Ove organizacije hakera korumpiraju (zombiraju) brojne nezaš
ene raunare individualnih korisnika
širom sveta, sa kojima ili posredstvom kojih napadaju ciljne web sajtove distribuiranim
napadom odbijanja servisa (DDoS) i drugim povima napada. Vektor napada pomeren
je sa korporacijskih servera koji se sve bolje š
te na slabo zaš
ene ili nezaš
ene raunare individualnih korisnika, koje korumpiraju preuzimaju kontrolu i koriste za kriminalne ak
vnos
. Krajem 2007 godine u Rusiji je registrovana mreža (tzv. botnet) od 1,4
miliona zombiranih raunara.
M J 3
Pod kompjuterskim kriminalom u najširem smislu podrazumevaju se krivina dela
prema krivinom zakonu nacionalne države, u koja su na bilo koji nain ukljueni raunarski sistemi i mreže. U kompjuterskom i kiberne
kom kriminalu (cybercrime) raunari se koriste kao predmet napada i krae, izmene ili uništavanja podataka, kao
alat za izvršavanje tradicionalnih oblika kriminala i za skladištenje kompromitujueg
materijala.
Glavni cilj istrage kompjuterskog kriminala je, kao i sluaju klasinog kriminala, izgradi
za pravosudne organe neoboriv ili vrst dokaz krivice, i/ili dokaz za oslobaanje
osumnjienog, i/ili pravedno sankcionisanje uinjenog dela. Kljunu metodologiju istrage i dokazivanja kompjuterskog kriminala obezbeuje metodologija istrage klasinog kriminala, sa specinos
ma istrage osetljivih, lako promenljivih i po svojoj prirodi
posrednih digitalnih dokaza. Digitalna forenzika nauka (1999) obezbeuje primenu
nauno derivirani i dokazanih metoda za: uvanje, sakupljanje, validaciju, idenkaciju, analizu, interpretaciju, dokumentovanje i prezentaciju digitalnih dokaza iz razlii
h
izvora digitalnih podataka sa ciljem rekonstrukcije dogaaja krivinog dela kompjuterskog kriminala ili zloupotrebe raunara. U oblas
digitalne forenzike prvo je denisana
Kompjuterska forenzika (FBI): “Kompjuterska forenzika je aplikacija nauke i sistemskog
inženjerstva na legalne probleme digitalnih dokaza”. Denicije i kategorije digitalne forenzike su pokretna meta, koja pra
promene u raunarskim tehnologijama, elektronici
i komunikacijama.
Za pravosudnu prihvatljivost digitalnih dokaza osnovne prepreke su osetljivost i
promenljivost digitalnih podataka i inherentna posrednost digitalnih dokaza. Naime,
u sluaju klasinog kriminala neoboriv dokaz, na primer ubistva, je pištolj u ruci ubice.
Takav neposredan dokaz u sluaju kompjuterskog kriminala gotovo je nemogue obezbedi
, ali je mogue izgradi
vrst, neoboriv digitalni dokaz bez tzv. puko
na, od niza
posrednih digitalnih dokaza, kakvi su po svojoj prirodi svi digitalni podaci uskladišteni ili
generisani u raunarskom sistemu.
Prema deniciji IOCE1 u oblas
forenzikih nauka, digitalni dokaz je svaka informacija u digitalnom obliku koja ima dokazujuu ili oslobaajuu vrednost, ili vrednost
osnovane sumnje i koja je, ili uskladištena, ili prenesena u takvom obliku. U procesima zvanine istrage, prikupljanja, analize i prezentacije digitalnih dokaza potrebno je
pridržava
se odreenih principa, koji odreuju proces upravljanja digitalnim dokazima. U svakom sluaju kompjuterskog kriminala, od trenutka otkrivanja do prezentacije digitalnih dokaza na sudu, prema iskustvima najbolje digitalne forenzike prakse,
op
malne rezultate daje mski rad od najmanje tri profesionalca: zvaninog organa
istrage, tužioca i eksperta u oblas
informaciono komunikacionih tehnologija (IKT).
Sudska praksa prihvata kompjuterski generisane i memorisane digitalne dokaze pod
odreenim uslovima. Transformacija digitalnih podataka u formi niza kodiranih bita u
sudski dokaz, apstraktan je proces koji može naves
sudiju i porotu da dovedu u pitanje
auten
nost i integritet kompjuterski generisanog dokaza. U tom smislu, moraju se
na nacionalnom nivou, kroz zakon ili podzakonska akta, propisa
odgovarajue pro1 Internaonal Organizaon of Computer Evidence (hp://www.ioce.org)
4
I J cedure, koje obuhvataju: proceduru rukovanja i uvanja digitalnih dokaza i proceduru
za forenziku akviziciju/sakupljanje, analizu/dokazivanje i veštaenje/svedoenje digitalnih dokaza. Pojam akvizicije i analize je u ovom radu korišen u smislu otkrivanja,
sakupljanja, izvlaenja i dokazivanja digitalnih podataka u dokaznom postupku istrage
kompjuterskog kriminala.
Kada sud ne poznaje pitanja o kojima se raspravlja, poziva ili svedoke eksperte, ili
sudske veštake. Oblast kompjuterskog i kiberne
kog kriminala u koju su ukljueni kompleksni IKT sistemi najbolji je primer sudske prakse gde se pino zahteva ekspertsko
svedoenje, ili veštaenje. Odluku o tome da li je neki IKT ekspert dovoljno kvalikovan, pravosudni organi razrešavaju prihvatanjem ser
kata profesionalnog strukovnog
udruženja, ili profesionalne interesne zajednice o osposobljenos
.
U svakoj nacionalnoj državi uspostavljaju se tela i ins
tucije za akreditaciju i ser
kaciju iz predmetne naune oblas
2. Sud treba da prihva
da je odreeni IKT expert
kvalikovan, ako ima relevantni ser
kat ovih tela i ins
tucija. Iako se reputacija tela i
ins
tucija koje daju ser
kate procenjuje u svakom konkretnom sluaju, sud obino ne
sumnja u takve preporuke. Priroda naune eksper
ze je takva da je grupa, organizovana u strukovano udruženje, zainteresovana da zaš
standarde u odreenoj naunoj
oblas
. Nažalost, u IKT oblas
povi ekspertskh grupa i udruženja se razlikuju po formi i
funkcijama od drugih naunih i profesionalnih zajednica. Tako nekompetentan ekspert
lako može ugrozi
otkrivanje injenica, ako ih sam pravi, ili izmišlja nepostojee standarde u toku svedoenja.
Ozbiljan problem nastaje i kada, zbog moralnog stava, jedan IKT ekspert ne može
suprotstavi
stav drugom, ili zauze
suprotan stav u toku svedoenja/veštaenja, iako
je suoen sa legalnim zahtevom da svedoi krajnje objek
vno. Ta praksa je esta zbog
profesionalne solidarnos
IKT eksperata, koji pri tome mogu pripada
istoj interesnoj
zajednici IKT eksperata.
2 U Srbiji nadležno telo za akreditacije zove se ATS-Akreditaciono telo Srbije (ranije YUAT).
M J 5
1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGE
KOMPJUTERSKOG KRIMINALA
Uporedo sa ubrzanom informa
zacijom društva i ulaskom Interneta u sve oblas
društvenog i privatnog života ljudi, kompjuterski kriminal postaje dominantan oblik
zloupotreba, kršenja zakona i drugih normi ponašanja. Novi oblici napada na raunare
i raunarske mreže javljaju se velikom brzinom, a novi povi kompjuterskog kriminala
prak
no zavise samo od mašte malicioznih napadaa. Osnovne elemente krivinog
dela kompjuterskog kriminala ine:
• dogaaj, odnosno, šta se dogodilo u ispi
vanom sluaju,
• okolnos
, ili kako se dogodilo i
• mentalno stanje poinioca kriminala, što je potrebno za klasikaciju kriminala
i prolisanje kompjuterskih kriminalaca.
Glavne kategorije kompjuterskog kriminala mogu se grupisa
na bazi uloge raunara u izvršavanju krivinog dela kompjuterskog kriminala, gde raunar može bi
:
• cilj napada (upad u raunar, kraa podataka),
• sredstvo za napad (prevare sa kredi
nim kar
cama, slanje spama i slika),
• povezan sa klasinim kriminalom (trgovina drogom i ljudima, deija pornograja i dr.) i
• repozitorijum (skladište) digitalnih dokaza kompjuterskog kriminala.
Takoe, u porastu je i klasian kriminal povezan sa raunarom, kao što su povreda
intelektualne svojine (neovlašeno kopiranje i kraa autorskih prava) i piraterija sovera.
Tipovi kompjuterskog kriminala su brojni, a naješi su:
• kraa raunarskih servisa,
• neovlašeni pristup,
• piraterija sovera,
• otkrivanje, kraa i izmena raunarskih podataka i informacija,
• iznuivanje pomou raunara,
• neovlašeni pristup bazama podataka,
• zloupotreba ukradene lozinke,
• prenos destruk
vnih virusa i
• industrijska i poli
ka špijunaža.
Generalno, digitalnu forenziku istragu koriste e
ri društvena sektora:
1. Zvanini organi istrage kompjuterskog kriminala (policija, tužilaštvo i sudstvo);
2. Organi odbrane (vojska, državna bezbednost);
6
I J 3. Korporacije i vee organizacije, za upravljanje kompjuterskim incidentom
sopstvenim kapacite
ma, i
4. Profesionalne organizacije za oporavak podataka iz sluajno/namerno
ošteenih raunarskih sistema.
U kojoj meri zasbrinjava kompjuterski kriminal , govori i injenica da su vlade više
zemalja u svetu prepoznale rastui rizik kompjuterskog kriminala kao kljune faktore
informaciong ratovanja u budunos
. Posledice od uništavanja raunarskih sistema i
mreža, ometanja i špijunaže elektronskog poslovanja, e-trgovine, e-vlade, e-bankarstva, nuklearnih i elektrodis
bu
vih postrojenja, saobraajnih mreža i drugih umreženih
sistema, mogu bi
potencijalno katastrofalne. Hakeri iz svih delova sveta udružuju se u
veoma kompaktne organizacije, sposobne da za proboje u mreže i web servere preko
Interneta angažuju raunarsku mo i resurse koji su ravni monim super raunarima
(primer proboja DES kriptografskog algoritma sredinom 1990-
h).
U Estoniji, gde je informa
zacija društva na zavidnom svetskom nivou (implemen
rane su e-Uprava, e-line karte, e-pasoši, e-saobraajna dozvola i e-socijalna/zdravstvena kar
ca). U prolee 2007. kompjuterski/kiberne
ki kriminalci (cyber criminals),
navodno iz Rusije, napali su banke, vladine agencije i poli
ke stranke u Estoniji. Cela
zemlja je nakratko bila u potpunos
oine i postala tako prvo poprište informacionog
ratovanja. Slini su napadi zabeleženi i na Gruziju 2008. godine, u vreme sukoba s Rusijom, kao i u Kirgistanu.
U toku 2007. nemake obaveštajne službe su objavile kiberne
ke napade iz Kine,
na nekoliko nemakih ministarstava i vladin web portal, s ciljem otkrivanja poverljivih
informacija. Navodno su kineski hakeri postali tako uporni u svojim pokušajima industrijske špijunaže da je kancelarka Angela Merkel otvoreno zatražila od kineskih diplomata da se napadi prekinu. U periodu 2007/8. godine zabeleženi su masovni napadi na
web sajtove vlade Republike Srbije i Srpske pravoslavne crkve.
Kompleksni, kompjuterski upravljani sistemi i kompjuterske mreže su najranjivije
infrastrukture i zato bi mogle bi
glavna meta terorista. Ameriki strunjaci ve godinama upozoravaju na mogui “elektronski Pearl Harbor”, “digitalni 11. septembar” ili
“Cybergeddon”, a u svom izveštaju Kongresu navode kako upravo Kina “agresivno razvija svoje ratne cyber veš
ne i tehnologije” i kako bi “uskoro mogla bi
u znaajnoj prednos
” pred drugim nacijama. Mediji su ve objavljivali ves
o kiber (cyber) ratovima
meu islamis
kim grupama na Bliskom istoku. Svi ovi inciden
otvoraju brojna pitanja
o tome da li se zaista radi o ratu, ili novom vidu kriminala - kompjutrskom državnom
terorizmu i da li su opravdani adekvatni odgovori države.
Na sastancima NATO-a, takoe se vode burne rasprave o tome da li kiber napade
treba tre
ra
kao oružane napade i da li treba razvija
sopstvene kadrove i tehnologiju
za obranu od napada u kiber prostoru? Iako ove rasprave do sada nisu dale jasne odgovore, neke informacije ukazuju da neke države ve posveuju adekvatnu pažnju tom
pitanju. Naime, Nemaka vlada je (poetkom 2009.) odobrila nacrt zakona kojim bi se
pojaala bezbednost informacija i komunikacijskih kanala u državnim IKT sistemima, a
o kojem uskoro treba da raspravlja i Bundestag.
M J 7
Kakve posledice ostavlja kompjuterski kriminal u svetu, najbolje ilustruju neke ak
vnos
na nivou brojnih država u svetu. Poetkom 2009. u gradu Reinbachu kraj Bonna,
nemaka vojska je poela pripremu jedinice, sastavljene od 76 vojnika-hakera za novi
p ratovanja – informaciono (digitalno) ratovanje. Vojnici su obrazovani na Bundeswehrovim odeljenjima za IKT, a nove ratne metode uvežbavaju na svom glavnom oružju raunarima. Ovi hakeri-ratnici, treba da budu osposobljeni za obranu od kiber napada,
ali i za - napade u kiber prostoru.
1.1 KRATAK PREGLED RAZVOJA DIGITALNE FORENZIKE ISTRAGE
KOMPJUTERSKOG KRIMINALA I ANALIZE DIGITALNI DOKAZA
U toku 1984. FBI3 je poeo razvoj laboratorije i programa za ispi
vanje kompjuterskih dokaza koji je izrastao u jedinstveni CART (Computer Analysis and Response Team)
m, kasnije formiran u mnogim organizacijama u SAD. Danas je trend da se forenzika
analiza raunara vrši u dobro opremljenoj laboratoriji. Meu
m, u tom periodu u SAD
je oko 70% osposobljenih zvaninih agencija radilo ovaj posao bez razvijenih procedura
za taj rad. Takoe, je evoluirao naziv «edinice za kompjutersku forenziku analizu» na
«Jedinicu za digitalne dokaze».
Pojavom digitalnog videa i audia uvodi se pojam digitalnih dokaza. Meunarodna
organizacija za kompjuterske dokaze - IOCE (Internaonal Organizaon on Computer
Evidence) je formirana 1997. Tehnika radna grupa za kompjuterske dokaze - TWGDE
(Technical Working Group for Digital Evidence) održala je prvi radni sastanak 17. juna
1998. sa ciljem razvoja organizacionih procedura i relevantnih dokumenata za forenziku
istragu digitalnih dokaza. Federalna kriminalis
ka laboratorija SAD je februara 1999.
promenila ime TWGDE u SWGDE (Scienc Working Group for Digital Evidence). Ova
se grupa sastaje najmanje jednom godišnje, a lanovi mogu bi
pred sudom zakle
(zvanini organi) i ne-zakle
eksper
i naunici. U poetku je koncept pronalaženja
«latentnog-skrivenog dokaza u kompjuteru» nazvan kompjuterskom forenzikom
analizom. Kompjuterska forenzika analiza za manje od 20 godina pouzdano uva
digitalne podatke, oporavlja izbrisane podatke, rekonstruiše kompjuterske dogaaje,
odvraa napadae, nudi dosta dobrih proizvoda i procedura za podršku. Kompjuterska
forenzika analiza primenjuje se u sluajevima: hakerskog upada, pronevere, pedolskog kruga, imigracione prevare, trgovine drogom, falsikovanja kreditnih kar
ca, piraterije sovera, izbornog zakona, obscenih publikacija, falsikata, ubistava, seksualnog
uznemiravanja, krae podataka-industrijske špijunaže, razvoda.
Uputstvo za pretragu i privremeno oduzimanje raunara objavilo je Ministarstvo
pravde SAD (Do), 1994:
3 FBI - Federal Bureau of Inves
ga
on, SAD
8
I J • hardver kao zabranjeno sredstvo ili pomo za izvršavanje kriminala (klonirani
mobilni telefon, ukraden mikroš);
• hardver kao instrument izvršavanja kriminala (znaajna uloga u kriminalu snifer paketa, ita kreditnih kar
ca; distribucija deije pornograje)
• hardver kao dokaz (svaki hardverski ureaj koji ima jedinstvenu karakteris
ku
da prikaže digitalni dokaz – sliku, podatak);
• informacija kao zabranjeno sredstvo ili pomo za izvršavanje kriminala (u
nekim zemljama korišenje jake kriptozaš
te je ilegalno, piratski sover,
ukradene trgovake tajne, liste lozinki, deija pornograja);
• informacija kao instrument izvršavanja kriminala (automa
zovani hakerski
ala
, keyloger-ski sover za snimanje otkucaja na tastaturi, krekeri lozinki);
• informacija kao dokaz (raunar neprekidno ostavlja tragove bita, log fajlovi
pristupa, e-mail poruke, upotreba kreditnih kar
ca, priznanice, telefonski
pozivi .
FBI je 1999. sponzorisala razvoj SWGIT (Scienc Working Group in Imaging Technologies). «Glavna misija SWGIT je da olakša integraciju tehnologije i sistema digitalne
obrade slika u pravosudni sistem, obezbeujui denicije i preporuke za akviziciju,
skladištenje, procesiranje, analizu, prenos i izlazni format slika».
Na bazi specinos
tehnika i alata i metoda istrage u forenzikoj praksi su diferencirane sledee glavne oblas
digitalne forenzike, [3]:
• forenzika raunara (akvizicija i analiza HD i prenosivih medija);
• mrežna forenzika (upada u mrežu, zloupotreba itd.);
• forenzika sovera (ispi
vanje malicioznih kodova, malware itd.)
• ak
vna (živa) forenzika sistema (kompromitovanih hostova- servera,
zloupotreba sistema itd.).
U poetnoj fazi razvoja digitalnu forenziku koris
li su primarno zvanini državni organi istrage kompjuterskog kriminala (policija, vojska i pravosue). Savremeni trend
umrežavanja lokalnih mreža primenom Internet tehnologija (intranet i ekstranet
mreže), razvojem bežinih mreža, e-poslovanja i mobilnog poslovanja (m-poslovanja),
za
m web servisa servisno orijen
sanih aplikacija, znaajno su poveani zahtevi za bezbednost informacija i e-transakcija na svim nivoima poslovnih IKT sistema. Savremeni
sistemi zaš
te postaju sve kompleksniji, kako se pomera težište osetljivos
poslovnih
IKT sistema, javljaju novi povi rizika, menjaju metodi napada sa Interneta, a vektor
napada pomera sa usamljenih hakera, sitnih prevaranata na web-u, poplave virusa i
drugih malicioznih kodova i retkih napada na web servise, na napade organizovanih
profesionalnih hakera, industrijskih kiber (cyber) špijuna i kompjuterskih kiber kriminalaca (tabela 1.1).
M J 9
Tabela 1.1 Pomeranje vektora napada na IKT sisteme
1996
2007/2008
Hakeri iz hobija
Rentabilni profesionalni hakeri
Prevaran
na web sajtovima
Kriminalci
Virusi i drugi malicozni programi
Napadi odbijanja servisa (DoS, DDoS)
Retki napadi na web sajtove
Kraa iden
teta
Stalni napadi na web sajtove
Za upravljanje kompjuterskim incidentom u ovakvom okruženju zahtevaju se
forenzika znanja i forenzike tehnike i ala
za otkrivanje i otklanjanje uzroka kompleksnih incidenata. Savremenih korisnici digitalne forenzike su:
• policija,
• vojska,
• pravosudni sistem (tužilaštvo i pravosue),
• rme koje se profesionalno bave oporavkom podataka iz raunara,
• korporacije za upravljanje kompjuterskim incidentom.
Glavni indikatori razvoja digitalne forenzike u proteklom periodu ukazuju da hardver
postaje sve osetljiviji na napade, zbog sve vee kompleksnos
, što znai da se mogu
oekiva
eše subverzije hardvera. Na primer, re-ešovanjem rmware vrstog diska
(HD), ili drugih sekundarnih periferijskih memorija mogu se sakri
podaci, ili uini
HD/memorija neitljivom. U tom smislu, forenziar ne može verova
šta je na hardveru. Generalno, sistem zaš
te može u
ca
na proces forenzike akvizicije i analize. Na
primer, forenziar može naii na HD zaš
en lozinkom (lozinkom) sa kojeg nije mogue
odredi
ak ni osnovne informacije, kao što su veliina diska i slika
Kratak istorijski pregled evolucije forenzike analize digitalnih dokaza dat je u Prilogu I, [29].
1.2 STANDARDIZACIJA PROCEDURA DIGITALNE FORENZIKE ISTRAGE
KOMPJUTERSKOG KRIMINALA
1.2.1 Denicije kljunih termina digitalne forenzike istrage
Evidentno je da informaciono komunikacione tehnologije najekasnije globalizuju
svet. Posledica je da se poinilac kompjuterskog kriminala javlja u jednom pravosudnom
sistemu, a digitalni podaci koji dokazuju taj kriminal mogu se nalazi
u nekom drugom
pravosudnom sistemu. Radna grupa SWGDE (SAD) je dala prvu deniciju digitalnih
10
I J dokaza - DE (Digital Evidence) i predlog standarda za razmenu DE izmeu suverenih
en
teta. Digitalizacijom audio i video signala i klasine fotograje došlo je do ubrzane
konvergencije pomenu
h tehnologija i integracije u raunaru. Tako i termin kompjuterski digitalni dokaz (CDE) evoluira u digitalni dokaz (DE). Sa pravnog i tehnikog aspekta
razmene DE, glavni zahtevi su postojanje jedinstvenih standarda, principa, kriterijuma
i procedura digitalne forenzike istrage kompjuterskog kriminala.
Dokument standarda je struktuiran kroz: uvod, denicije i standarde (principe i kriterijume) i diskusiju i usklaen sa zvaninim Uputstvom - American Society of Crime
Laboratory Directors/Laboratory Accreditaon Board Manual, a sadrži denicije termina, standarda i principa kojih se treba pridržava
u radu sa digitalnim dokazima, [4],
[22].
Digitalni dokaz: DD je svaka informacija koja ima dokazujuu vrednost koja je ili
uskladištena ili prenesena u binarnoj (digitalnoj) formi. DD ukljuuje kompjuterski
dokaz, digitalni audio, digitalni video, mobilni telefon, digitalnu fax mašinu itd. Digitalni dokaz je informacija uskladištena ili prenesena u binarnoj formi na koju se sud
može osloni.
Akvizicija digitalnih dokaza (ADE): ADE poinje kada su informacije i/ili ziki predme skupljeni i uskladišteni za potrebe ispivanja. Termin DE implicira da je skupljanje DE obavio neko koga sud prepoznaje, da je proces skupljanja DE legalan i u
skladi sa zakonskom regulavom i da je skupljeni materijal sud prihvao kao dokazni materijal. Objek podataka i zikalni objek postaju dokazi samo kada ih takvim
vide regularni zvanini organi istrage i pravosua.
Objek podataka: Objek ili informacije koje su pridružene zikim predmema i
koji imaju potencijalnu dokazujuu vrednost. Objek podataka se mogu pojavi u
raznim formama, ali se ne sme menja originalna informacija.
Fiziki predmet: Predme u kojima mogu bi uskladišteni objek podataka ili informacije i/ili sa kojima su objek podataka preneseni.
Originalni digitalni dokaz: Fiziki predme i objek podataka pridruženi m predmema u vreme akvizicije ili privremenog oduzimanja predmeta.
Duplikat digitalnog dokaza: Precizna digitalna reprodukcija svih objekata podataka
koji se sadrže u originalnom zikom predmetu.
Kopija digitalnog dokaza: Precizna reprodukcija informacija koje su sadržane na
originalnom zikom predmetu, nezavisno od originalnog zikog predmeta.
1.2.2 Principi upravljanja digitalnim dokazima
U procesima zvanine istrage, prikupljanja, analize i prezentacije digitalnih dokaza
potrebno je pridržava
se odreenih principa, koji odreuju proces upravljanja digitalnim dokazima. IOCE principi treba da, [14], [22]:
M J 11
•
•
•
•
•
•
budu konzistentni sa svim legalnim sistemima,
dopuštaju korišenje sa uobiajenim jezikom,
budu trajni i meunarodno prihvatljivi,
ulivaju poverenje i obezbeuju integritet DE,
budu primenjivi na sve vrste DE,
budu primenljivi na svim nivoima, od pojedinca, preko zvaninih agencije, do
najvišeg nacionalnog nivoa.
Principi nisu plan implementacije. Oni treba da budu dizajnirani tako da dopuste
svakom legalnom en
tetu da kreira program koji odgovara situaciji. Primenom ovih
Principa u skladu sa preporukama IOCE, upravljanje digitalnim dokazima (istraga, akvizicija, analiza, rukovanje i održavanje) postaje prihvatljivo i iskoris
vo i izvan nacionalnih granica.
Glavni IOCE principi upravljanja digitalnim dokazima su:
U toku akvizicije DE, preduzete akcije ne treba da unose nikakvu izmenu h DE.
1. Ako je potrebno da neko pristupi originalnom DE, mora bi
kompetentan u
oblas
digitalne forenzike.
2. Sve ak
vnos
koje se odnose na akviziciju, pristup, skladištenje ili transfer DE
moraju bi
potpuno dokumentovane, sauvane i raspoložive za reviziju.
3. Lice je odgovorno za sve ak
vnos
preduzete prema DE dok su u njegovom
posedu.
4. Svaka agencija/organizacija odgovorna za akviziciju, pristup, skladištenje ili
prenos DE je odgovorna za usklaenost svoje prakse sa ovim principima.
Da bi se osigurala bezbedna akvizicija (otkrivanje, ksiranje i izvlaenje), upravljanje
(skupljanje, uvanje i prenos) i forenzika analiza digitalnih dokaza i da bi se sauvao
integritet i pouzdanost dokaza, zvanini istražni i korporacijski organi za forenziku istragu i analizu digitalnih dokaza, moraju uspostavi
i održava
ekasni sistem kontrole
kvaliteta. Standardna radna procedura – SOP (Standard Operaon Procedure) je dokumentovano uputstvo za kontrolu kvaliteta celokupnog postupka istrage, akvizicije,
upravljanja i forenzike analize digitalnih dokaza. SOP mora obuhva
propisno registrovanje svih ak
vnos
istrage kompjuterskog incidenta/kriminala, kao i korišenje
drugih, u kriminalis
ci široko prihvaenih procedura, opreme i materijala.
1.2.3 Struktura standardne operavne procedure
Kada se formulišu standardne radne procedure treba ukljuit sledee elemente:
• Naslov – treba da sadrži ime procedure;
• Namena – zašto, kada i ko koris
proceduru;
12
I J • Oprema/materijal/standardi/kontrole - iden
kuje koji se predme
zahtevaju
za izvršavanje procedure. Ovo može ukljui
opremu za zaš
tu, hardver, sover
i naine kongurisanja.
• Opis procedure – opis korak-po-korak kako se procedura izvodi. Ako je neophodno procedura treba da sadrži mere opreza koje treba preduze
da se minimizira
degradacija.
• Kalibracija – opisuje svaki korak koji se zahteva da se osigura tanost i pouzdanost procedure. Gde je primenljivo, treba dokumentova
podešavanje instrumenata i proceduru kalibracije.
• Kalkulacija - opisuje bilo koju matema
ku operaciju koja je primenjena u proceduri.
• Ogranienja – opisuju sve akcije, interpretacije, ili opremu koja nije odgovarajua
za proceduru.
• Sigurnost - iden
kuje i adresira potencijalne hazarde kod korišenja procedure.
• Reference - iden
kuje interna i eksterna dokumenta koja agencija/ korporacija
koris
za generisanje procedure i koja se odnose na proceduru i njene principe.
1.2.4 Standardi i kriterijumi digitalne forenzike istrage
1.2.4.1. Standardi i kriterijumi 1.1
Sve agencije koje zaplenjuju i/ili ispituju digitalnu opremu moraju vodi
i održava
odgovarajui SOP dokument, potpisan od strane nadležnog menadžera, koji sadrži jasno denisane sve elemente poli
ke i procedura.
SOP mora bi
obavezna za zvanine i korporacijske forenzike organe zbog prihvatanja rezultata i zakljuaka na sudu.
1.2.4.2 Standardi i kriterijumi 1.2
Menadžment agencije mora revidira
SOP jedanput godišnje da obezbede neprekidnost njihove ekasnos
i pogodnos
za primenu, zbog brzih tehnološki promena.
1.2.4.3 Standardi i kriterijumi 1.3
Korišene procedure moraju bi
generalno prihvaene u oblas
forenzike istrage,
akvizicije i analize digitalnih dokaza i da ih u akviziciji, analizi i uvanju podržavaju
naune metode. U izboru metoda evaluacije naune vrednos
forenzikih tehnika i
procedura mora se bi
eksibilan. Validnost procedure treba uspostavlja
demonstriranjem tanos
i pouzdanos
specine tehnike. U tom smislu korisna je javna
nauna rasprava.
M J 13
1.2.4.4 Standardi i kriterijumi 1.4
Agencija mora posedova
pisanu kopiju odgovarajuih tehnikih procedura koje koris
u radu. Potrebni hardverski i soverski elemen
forenzikih alata moraju bi
navedeni u spisku uz opis propisanih koraka za upotrebu i jasno navedena sva ogranienja
upotrebe tehnika i alata. Lica koja primenjuju procedure moraju bi
dobro upoznata sa
njima i dobro obuena za rad sa korišenim ala
ma.
1.2.4.5 Standardi i kriterijumi 1.5
Agencija mora koris
adekvatne hardverske i soverske forenzike alate koji su
ekasni za realizaciju procedura akvizicije i/ili analize digitalnih dokaza. Treba bi
dovoljno eksibilan u pogledu raznovrsnos
izbora metoda koje su najbolje za konkretni
problem. Hardverski i soverski ala
za akviziciju i/ili analizu digitalnih dokaza moraju
bi
tes
rani i da poseduju važei ser
kat o verikaciji funkcionalnog kvaliteta nadležne
nacionalne ins
tucije za akreditaciju i moraju bi
u dobrom radnom stanju.
1.2.4.6 Standardi i kriterijumi 1.6
Sve ak
vnos
koje se odnose na akviziciju (privremeno oduzimanje), skladištenje,
ispi
vanje/analizu, prenos digitalnih dokaza moraju bi
registrovane u pisanoj formi
i na raspolaganju za pregled i svedoenje/veštaenje. Generalno dokumentacija koja
podržava zakljuke forenzike analize mora bi
tako pripremljena da ih drugo kompetentno lice može izne
i u odsustvu originalnog autora. Mora se uspostavi
i održava
lanac uvanja dokaza za sve digitalne dokaze, (slika 1.1).
Slika 1.1 Skladište uvanja digitalnih dokaza
Stalno se moraju vodi
pisane zabeleške i zapažanja o sluaju (mas
lom ili dijagrami
u kolor hemijskoj olovci) sa inicijalima autora kod svake korekcije (precrtane jednom
crtom). Svaka zabeleška mora bi
lino potpisana, sa inicijalima, digitalno potpisana ili
sa drugom iden
kacionom oznakom autora.
14
I J 1.2.4.7 Standardi i kriterijumi 1.7
Bilo koja akcija koja ima potencijal da izmeni, ošte
ili uniš
bilo koji aspekt originalnog dokaza mora se izvršava
od strane kvalikovanog lica na forenziki ispravan
nain. Svaki metod izvršavanja forenzike akcije mora bi
dokumentovan, taan, pouzdan, kontrolabilan i ponovljiv. Obueno forenziko osoblje mora koris
kvalitetne
forenzike hardverske i soverske alate i odgovarajuu opremu.
1.2.4.8 Standard prihvatljivos procedure
Za veinu soverskih forenzikih alata nisu pozna
programski izvorni kodovi, veina
procedura nije objavljeno i nisu podvrgnute javnoj raspravi ni
su opšte prihvaene.
Forenziki ala
sa zatvorenim kodom koji su tes
rani na nauno prihvatljivoj i ponovljivoj osnovi i iji je broj i p grešaka poznat i objavljen mogu se ravnopravno koris
sa ala
ma sa otvorenim programskim kodom. Primer takvih alata je EnCase 4.0 koji je
tes
ran u NIST laboratoriji.
Forenziki ala
sa otvorenim izvornim kodom imaju objavljene procedure, pa
forenziar može odlui
da li da koris
alat ili ne [15].
1.2.5 Standardizacija procedure privremenog oduzimanja raunara kao dokaznog
materijala
Generalno u digitalnoj forenzici raunarskog sistema, potencijalni izvori digitalnih
dokaza mogu se nai u brojnim hardverskim i programskim komponentama sistema, [3]:
• HD, magnetna traka, eksterni/pokretni mediji za skladištenje podataka,
• log fajlovi mrežne infrastrukture (rewall, IDS/IPS, proxy server itd.),
• aplikacije i log fajlovi bezbednosno relevantnih dogaaja (tragova za audit),
• e-mail,
• sadržaj drugih servera (Windows zajedniki fajlovi, web serveri, baze podataka itd.),
• uhvaeni mrežni saobraaj.
Osnovni problemi DF istrage su osetljivost digitalnih podataka - lako brisanje i izmena digitalnih podataka i kratkotrajnost u odreenom stanju raunarskog sistema. Na
primer, startovanjem ažuriranja PC sa Windows XP plaormom, menjaju se sto
ne podataka o datumu i vremenu (vremenskih peata) i veliki broj fajlova. Prikljuivanje HD
ili USB, takoe, menja vremenske peate fajl sistema, a iskljuivanjem raunara gube
se podaci iz promenljive radne memorije (RAM-a). U odreenim uslovima akvizicija
(izvlaenje) digitalnih dokaza postaje veoma teška, na primer:
• mrežni saobraaj postoji samo nekoliko milisekundi na žinoj/kablovskoj
mrežnoj infrastrukturi;
M J 15
• upad i napad mogu bi
izvedeni izuzetno sos
ciranim rutkit tehnikama za
ubacivanje i skrivanje prisustva zadnjih vrata;
• ak
van rad napadnutog sistema (npr. servera) može onemogui
akviziciju
digitalnih dokaza, ako ga nije mogue iskljui
ili privremeno oduze
;
• an
forenzike ak
vnos
mogu sprei
akviziciju digitalnih podataka.
Standardna procedura za otkrivanje i privremeno oduzimanje raunara kao dokaznog
materijala u sluaju kompjuterskog incidenta sadrži sledee elemente (FBI, SAD), [2]:
1. Pretraga mesta krivinog dela kompjuterskog kriminala:
• Snimi
na forenziki raunar i logova
sve dokaze uzete na mestu krivnog
dela.
• Ako se raunarski sistem ne može privremeno oduze
iz nekog razloga, uze
dve zike slike (imidža) HD osumnjienog raunara na forenziki sterilan
HD.
• Ako se osumnjieni raunarski sistem može privremeno oduze
, izvrši
demontažu sistema u skladu sa procedurom iskljuivanja (ako je raunar
ukljuen), oznai
sve demon
rane kablove i pripadajue u
nice parovima
jedinstvenih brojeva, oznai
, takoe, sve odvojene elemente sistema (CPU
kuište, tastaturu, miša, diskete, op
ke diskove i druge medije) i spakova
za
bezbedan transport do forenzike laboratorije za ispi
vanje.
• Registrova
detaljno sve informacije o vlasniku kompromitovanog raunarskog
sistema.
• Izradi
detaljan izveštaj sa opisom svih preduze
h akcija u toku pretrage mesta krivinog dela i privremenog oduzimanja raunarskog sistema.
• Sve ak
vnos
pretrage na mestu krivinog dela vrši
u skladu sa standardnom opera
vnom procedurom.
2. Integritet digitalnih podataka:
• edina sigurnost za integritet podataka je kredibilitet forenziara/ istraživaa,
koji ima znanje i iskustvo za propisno procesiranje elektronskih dokaza.
3. Izveštaj o procesiranju i strukturi osumnjienog D:
• Spisak imena ukljuenog personala.
• Snimak vremena i mesta prikljuivanja.
4. Idenkacija ispivanog materijala:
• Imena i serijski brojevi sve korišene opreme i programa u osumnjienom
raunarskom sistemu.
• Izveštaj o ostalim informacijama sakupljenim u predistražnom postupku.
5. Uspostavljanje lanca uvanja digitalnih dokaza:
• Uspostavi
i održava
lanac uvanja integriteta digitalnih i drugih pova
dokaza do završetka sudskog procesa u skladu sa principima i SOP.
16
I J 6. Uslovi uvanja digitalnih i drugih dokaza:
• uva
elektronske i druge dokaze u propisanim uslovima temperature,
vlažnos
, prašine, magnetskih polja itd.
7. Procedura procesiranja dokaza sa D:
• U zavisnos
od plaorme osumnjienog raunara, primeni
SOP za
iskljuivanje/podizanje (butovanje) raunara i uzimanje forenzikog imidža za
analizu.
• Za forenziku analizu obezbedi
dve imidž kopije osumnjienog HD.
8. Idenkaciono oznaavanje ostalih medija za skladištenje (osim D):
• Sve medije za skladištenje podataka (trake, printerski kertridži, zip ili opi diskovi, USB, CD ROM, DVD i druge prenosive dokaze), privremeno oduzete za
ispi
vanje, treba propisno oznai
i dokumentova
prema sledeem:
- sadržaj,
- podaci ser
kovani/tes
rani/ispitani,
- ime forenziara-anali
ara,
- zaš
ta diska od upisivanja pre pregleda, kopiranja, analize kopije (ne originala), an
virusno skeniranje,
- oznai
svaku disketu, CD, DVD, USB sa a-1, a-2 itd.,
- odštampa
direktorijum sa svakog ispi
vanog medija,
- ako se u ovoj fazi otkriju informacije koje predstavljaju dokaz, odštampa
sadržaj tog fajla i oznai
štampani materijal sa istom alfanumerikom
oznakom.
1.2.6 Procedure za obezbeivanje kopija dokaza
Procedure za obezbeivanje kopija dokaza za javnog branioca, advokata odbrane, itd:
1. Pod is
m uslovima napravi
radnu ziku kopiju – forenziki imidž (kopiju bitpo-bit) originalnog osumnjienog/ispi
vanog HD sa potencijalnim dokazima i
jedan forenziki imidž kao referentni za eventualne pravosudne potrebe.
2. Štampa
za izveštaj sa radne forenzike kopije, sve dok sadržaj ne postane
suviše velik za potrebe istrage u celini. Ako takav izveštaj postaje preobiman,
onda saže
pisani izveštaj, a u prilogu podne
kopiju elektronskog dokaza.
3. Podaci sadržani u memorijskim ureajima i medijima samo za itanje,
ponekad se traže kao dokazi u formi štampane kopije.
4. Referentnu kopiju uva
u celom lancu istrage za sluaj da sud ili druga strana
sumnjaju i/ili zahtevaju da se dokaže integritet digitalnih dokaza, tj. da se
dokaže da digitalni dokazi nisu izmenjeni pod u
cajem forenzikih alata u
procesu analize i pripreme digitalnog dokaza za glavni pretres.
M J 17
- Tehnika prezentacija pred sudom:
- ednostavna i skoro osloboena kompjuterske tehnologije;
- PowerPoint prezentacija koja jednostavno objašnjava kompleksni koncept;
- Poseban kompjuterski kriminal na Internetu;
- Kako radi Internet.
1.2.7 Standardna procedura naunog karaktera digitalnog dokaza
Kako je digitalni podatak i potencijalni digitalni dokaz po svojoj prirodi veoma osetljiv na promene i uništavanje (brisanje) i u suš
ni uvek posredan dokaz za sud, može
se lako doves
u pitanje prihvatljivost digitalnog dokaza pred sudom, na zahtev druge
strane ili samog suda. Kako je broj sluajeva kompjuterskog kriminala naglo rastao, bilo
je potrebno obezbedi
neoborive argumente za dokazivanje da se digitalni podatak
može kopira
, uva
i procesira
u raunarskom sistemu, a da pri tome ne doe do
izmene digitalnih podataka koji ine vrs
(neoborivi) digitalni dokaz, u odnosu na to
kakvi su podaci bili u osumnjienom raunaru u trenutku akvizicije podataka i da,
takoe, nisu izmenjeni u odnosu na stanje u osumnjienom raunaru pre same akvizicije i primene forenzikog alata. Ovakve argumente, u principu, mogu obezbedi
samo
nauno dokazane i priznate tehnike, procesi i metodi akvizicije i analize digitalnih podataka, [39]. Ovakva procedura, koja se smatra bazinom procedurom digitalne forenzike,
poznata je kao Daubert Gudlines4, ili Daubert standardna procedura uslova za prihvatljivost digitalnog dokaza pred sudom, koja mora bi
takva da se:
• izvoenje dokaza može po zahtevu suda verikova
;
• pozna
stepen grešaka koje procedura unosi u digitalni dokaz može dokaza
;
• objavi u vrhunskom, višestruko recenziranom naunom asopisu, dok konferencijski radovi nisu prihvatljivi i
• da se prihvata u relevantnim naunim krugovima.
Istraživanje (2004) u SAD je potvrdilo da razumevanje znaaja Daubert principa za
prihvatljivost digitalnog dokaza na sudu znaajno varira, (slika 1.2).
4
18
Sudski sluaj Daubert vs. Merrell Dow Pharmaceucals Vrhovni sud SAD je prihva
o kao referentni za
prihvatljivost ekpertskog naunog mišljenja za svedoenje/veštaenje u svim sluajevima federalnog
suda.
I J Slika 1.2 Daubert princip prihvatljivos digitalnih dokaza na sudu, [3]
Najvei stepen razumavanja je zahtev da je za forenziki alat poznat stepen greške
koju unosi i da se to na zahtev suda može testom dokaza
. Standardna Daubert procedura obuhvata uslove za forenziku prihvatljivost soverskih alata i tehnika za primenu
alata, procedura akvizicije, analize i uvanja digitalnih dokaza, kao i ponovljivos
procedure za tes
ranje forenzikih alata na zahtev suda. Do danas je nekoliko alata za digitalnu
forenziku analizu podvrgnuto ovoj standardnoj proceduri (npr. EnCase, FTK i dr.).
1.2.8 Standardna procedura tesranja forenzikih alata
Iako još uvek ne postoji opšte prihvaena i konzistentna standardna procedura za
tes
ranje alata za forenziku akviziciju i analizu digitalnih podataka u oblas
javne digitalne forenzike prihvata se ser
kacija radne grupe NIST-a specijalizovane za tes
ranje
alata za forenziku raunara - NIST CFTT (NIST Computer Forensic Tool Tesng). U interesnoj zajednici digitalne forenzike preovlauje mišljenje da forenzike alate treba
da tes
raju i ser
kuju još i vendori (proizvoai i isporuioci) alata i sami korisnici –
digitalni forenziari, [6], [11].
Do sada5 je NIST CFTT grupa razvila metodologiju samo za uzimanje zike (miror,
slike ili imidža vrstog diska). Procedura uzimanja zike slike diska sadrži samo izvoenje
testova koji verikuju oekivane funkcije soverskog alata, a ne podrazumeva kontrolu
5
do 2006, u toku je razvoj više procedura za tes
ranje drugih funkcija forenzikih alata.
M J 19
izvornog koda. U tom smislu, zbog mogunos
kontrole koda, osnovne funkcije alata sa
otvorenim izvornim kodom je lakše tes
ra
i lakše je razvi
ekasnije testove. Iako do
sada nema objavljenog konzistentnog predloga metoda i procesa za proraun stepena
grešaka hardversko/soverskih alata za digitalnu forenziku analizu, dostupni su rezulta
brojnih testova forenzikih alata sa zatvorenim izvornim kodom. Cilj ovih testova
je da se nedvosmisleno dokaže da neki forenziki alat unosi poznat p i broj grešaka,
što se može dokaza
ponavljanjem procedure testa. Od velike pomoi je i injenica da
je zbog komercijalnih razloga u najboljem interesu vendora alata da je ova greška što
je mogue manja, što opravdava i zahteve za ser
kaciju alata od strane vendora. Stepen grešaka forenzikog alata treba da ukljuuje, pored funkcionalnih grešaka i greške
u programiranju ili bagove. Aplikacije soverskih alata sa zatvorenim izvornim kodom
mogu kri
skrivene bagove, koji nisu dokumentovani pa ostaju nepozna
i u sledeoj
verziji proizvoda. Nasuprot, aplikacije forenzikih alata sa otvorenim izvornim kodom
omoguavaju poreenje dve verzije alata i otkrivanje eventualnih bagova koji su ostali
skriveni u prethodnoj verziji.
Tes
ranje forenzikih alata u NIST CFTT programu je, bez sumnje, kri
no za digitalnu forenziku sa aspekta zahteva za prihvatljivost alata pred sudom. Meu
m,
postojei zahtev za vendorsko ispi
vanje alata, u principu ima drugaiji cilj. NIST Ispituje da li alat radi ono šta je pretpostavljeno da treba da radi da bi bio prihvatljiv za
sud, dok vendori alata ispituju šta je pretpostavljeno da alat radi u razlii
m situacijama
i ovo ispi
vanje traje znatno duže i znatno je skuplje od tes
ranja NIST-a. Na primer,
kompanija ProDiscover ima skup od 500 sluajeva tes
ranja svih forenzikih plaormi i alata koje ova razvija. Ipak, zbog sos
cirane prirode sovera i brojnih varijan
i permutacija sistemskih programa, nije realno zahteva
primenu nekog alata u svim
forenzikim situacijama i sluajevima. Drugim reima, nije mogue potpuno simulira
i tes
ranjem obuhva
sve potencijalne kombinacije forenzikog hardvera i sovera
u vrlo razlii
m, realnim sluajevima kompjuterskog kriminala. U praksi, proizvoai
forenzikog sovera, za sada uspevaju samo da iden
kuju veinu kri
nih bagova, ali
nije neobino da se ala
popravljaju u novim verzijama6, na bazi povratnih informacija
korisnika iz forenzike zajednice. Tu je najvei problem što forenziari ne mogu vendorima dostavi
fajlove sa dokazima o manifestaciji bagova zbog zahteva za zaš
tom
privatnos
i/ili tajnos
, a drugi razlog je što do sada forenziki ala
generalno imaju
slab sistem upravljanja greškama. Tako se javila potreba da forenziki alat treba da
ima log fajl grešaka, ime bi korisnici mogli obaves
vendore o problemima rada sa
alatom bez ugrožavanja privatnos
i tajnos
predmetnog lica u analiziranom sluaju ili
otkrivanja osetljivih informacija. Takoe, na ovaj nain bi forenziar registrovao problem, koji bi u suprotnom mogao osta
nezapažen.
Meu
m, ostaje problem što se log fajl grešaka forenzikog alata može u unakrsnom
ispi
vanju u sudskom procesu zloupotrebi
za prolongiranje istrage i samog procesa,
ukazivanjem na nepouzdanost primenjenog alata, ili dovoenjem u sumnju integritet
relevantnih digitalnih dokaza.
6
20
krpe („peuju“) kao standardni soveri proizvedeni agilnim metodima.
I J Opšte je mišljenje u forenzikoj interesnoj zajednici da je potrebno razvi
standarde
koji denišu oekivana ponašanja forenzikih alata. Na primer, postoji potreba za standardnim formatom skladišta (baza podataka), formatom uvoza/izvoza (XML, CSV), za
skupom zajednikih indeksa i heš vrednos
i za denisanjem procesa i termina. Problem je dilema o tome ko treba da razvija takve standarde: korisnici, vendori ili konzorcijum za digitalnu forenziku. Oigledno je da bi standardizacija, na primer, formata
za skladištenje digitalnih dokaza znaajno poveala interoperabilnost i kompa
bilnost
forenzikih alata. Sa aspekta prakse digitalne forenzike akvizicije i analize, forenziar
zahteva da ima razliite poglede na is
sadržaj sa razlii
m ala
ma. Na primer, Access
Data (alat FTK) ima lozoju da „forenziki alat treba koris toliko dugo koliko daje
oekivane informacije forenziaru“. Takoe, postoji potreba za veom automa
zacijom
ru
nskih poslova i redosleda izvršavanja zadataka forenzikih alata, kao i uvoenjem
ekspertnih sistema u proces digitalne forenzike akvizicije i analize.
1.2.9 Legalni zahtevi za digitalne dokaze
Oblast digitalne forenzike nauke i forenzike akvizicije i analize digitalnih dokaza još
uvek je u razvoju. Nije poznato ni
pouzdano utvreno da li se kao digitalni dokaz treba
smatra
nauno potvren dokaz ili izlazni rezultat automa
zovanog forenzikog alata i
primenjenih forenzikih tehnika.
Bez obzira na ovakvo stanje, moraju bi
zadovoljeni neki zahtevi da bi se ulazni
digitalni podatak u pravosudni sluaj kompjuterskog kriminala smatrao prihvatljivim
digitalnim dokazom. Meu
m, nauno potvren digitalni dokaz mora bi
istovremeno
i relevantan i pouzdan (neoboriv) za konkretni sluaj. Pouzdanost naunog dokaza se
dokazuje primenom standarda koji zahteva da se procedura dokaznog postupka može
tes
ra
, verikova
i da je metod tes
ranja nauno priznat. Relevantnost digitalnog
dokaza odreuje sud u kontekstu sluaja, a na bazi njegove vrednos
za optuživanje ili
oslobaanje od krivine odgovornos
. Naješe same digitalne dokaze treba podrža
i sa drugim, zikim dokazima iz procesa istrage, ukljuujui i rezultate ispi
vanja
svedoka, o
ske prsta, razne zabeleške i druge indikatore koji upuuju na iden
tet
osumnjienog. Višestruko podržani digitalni dokazi imaju veu prihvatljivost na sudu.
1.2.10 Dostupnost standardnih procedura i alata
Pojavom vrhunskih naunih asopisa (Internaonal Journal of Digital Evidence i dr.)
obajvljenji su i postali šire dostupni brojni radovi iz oblas
forenzikih alata za akviziciju
i analizu digitalnih dokaza sa višestrukom recenzijom. Takoe, objavljeni su brojni, dokumentovani podaci i detalji o tome kako rade i procesiraju razlii
fajl sistemi ili kako se
oporavljaju izbrisani fajlovi na HD i koliki stepen grešaka unose komercijalni forenziki
ala
. Pri tome neki fajl sistemi kao što je NFTS nisu ak ni javno dokumentovani – imaju
M J 21
zatvoren izvorni programski kod. Kako fajl sistemi nisu dizajnirani da imaju neizbrisive
fajlove, forenziari za analizu digitalnih dokaza ne mogu zna
koju proceduru koriste
njihovi ala
u izvršavanju ovih nedokumentovanih akcija.
Zato se za soverske forenzike alate sa zatvorenim programskim kôdom (npr.
EnCase 4.0) zahteva višestruko tes
ranje i objavljivanje rezultata testa sa stepenom
greške koju alat unosi, što je prihvatljiva praksa za gotovo sve pravosudne sisteme u
zapadnim zemljama. Sa druge strane, proizvoai alata sa otvorenim izvornim kodom
uvek korektno objavljuju svoje procedure, pošto je izvorni kod na raspolaganju svakom
korisniku koji ga može proita
i proveri tanost procedure.
1.2.11 Tela za akreditaciju standarda digitalnih forenzikih laboratorija
Direkcija amerikog udruženja kriminalis
kih laboratorija (Bord laboratorija) za
akreditaciju (ASCLD/LAB) je telo za akreditaciju koje propisuje kriterijume i standarde,
koje specine naune i tehnike discipline moraju zadovolji
i radu forenzikih laboratorija za digitalne dokaze. Ovo telo izdaje Prirunik za akreditaciju koji sadrži: principe,
standarde i kriterijume, kao i diskusije (pošto su standardi u razvoju). Prirunik je namenjen za rad menadžmenta forenzikih laboratorija, radnog osoblja, kvalikovanih
lica-specijalista i laboratorijske opreme.
U SAD je na federalnom nivou osnovana Asocijacija forenzikih naunika za analizu
digitalnih dokaza (AAFS). lanovi AAFS su najeminentniji naunici koji se bave disciplinama u ovim oblas
ma, a od njih su mnogi i akademici. Asocijacija zahteva najmanje
50 lanova za formiranje sekcije u nekoj državi. Novi lanovi se prijavljuju generalnoj
sekciji, iz koje se po potrebi mogu formira
odvojene specijalis
ke sekcije.
edan od brojnih problema u oblas
digitalne forenzike istrage - haos u ser
kaciji
eksperata za forenziku analizu digitalnih dokaza, može se razreši
samo ako se konzistentno primene usvojeni principi na sve oblas
digitalne forenzike za sudsku praksu.
Ser
kacija profesija u oblas
digitalne forenzike treba da bude zajedniko pitanje i
jedinstveno usklaena na meunarodnom nivou. Moraju postoja
univerzalne mere za
ocenu individualne kompetentnos
i ekspertskih znanja i veš
na. Tehnologija digitalne
forenzike istrage, akvizicije i analize zahteva razvoj standarda i protokola. Za prak
nu
primenu u forenzikoj praksi zahteva se obuka i edukacija koja se završava tes
ranjem
steenih znanja i veš
na u procesu ser
kacije. Nacionalni centri za ser
kaciju eksperata digitalne forenzike moraju radi
u bliskoj korelaciji sa meunarodnim telima za
ser
kacije u ovoj oblas
, [6].
22
I J REZIME
Zašto je potreban zakonski i pravni okvir za digitalnu forenziku istragu, sakupljanje (akviziciju), dokazivanje (analizu) i sankcionisanje (veštaenje/svedoenje
i suenje) sluajeva kompjuterskog kriminala? Nacionalni zakon o borbi pro
v
kompjuterskog kriminala je neophodan i neizbežan, zbog realnog trenda globalnog rasta kompjuterskog kriminala u svetu, kao formalni okvir za razvoj nacionalnih kapaciteta za istragu, dokazivanje i sankcionisanje krivinih dela kompjuterskog kriminala. Pravni okvir se zahteva za potrebe nacionalnog pravosua i
usaglašavanje prakse pavosudnih sistema na meunarodnom nivou, zbog globalnog, transnacionalnog karaktera kompjuterskog kriminala. Standardi i formalne
opera
vne procedure istrage, akvizicije i analize digitalnih dokaza kompjuterskog
kriminala neophodne su zbog kompleksnos
i delikatnos
zadataka i specine
prirode digitalnih dokaza.
Svaki sluaj istrage kompjuterskog kriminala zahteva razvoj biznis plana za uspostavljanje forenzikih kapaciiteta (javnih/korporacijskih), detaljnog plana projekta forenzike istrage, programa, vremenskog plana, budžeta i kadrova. Krajnji
cilj digitalne forenzike istrage je prikupi
dovoljno podataka i informacija da se
krivino delo kompjuterskog kriminala dokaže pred sudom. Nažalost konzistentna tehnologija neophodna za rešenje svih sluajeva kompjuterskog kriminala još
uvek ne postoji. Digitalni forenziar treba zna
da svaki upad u rauanrski i IKT
sistem ostavlja brojne tragove, bez obzira koliko su teški za praenje i otkrivanje.
Svaki kompjuterski kriminal je rešiv uz veliko strpljenje i dovoljno znanja i upornos
.
Generalno, istraga kompjuterskog kriminala zahteva mnogo vremena, rada i
novca, pa veš
eksper
mogue oduži
procedure u nedogled u cilju s
canja neopravdane koris
. Zato je potrebno uspostavi
i koris
formalne, struktuirane,
zakonski i pravno zasnovane, procedure istrage, akvizicije i analize digitalnih
dokaza kompjuterskog kriminala. U najjednostavnijem sluaju zakonski okvir za
istragu kompjuterskog kriminala mora obezbedi
najmanje proceduru za voenje
istrage o sluaju kompjuterskog kriminala. Što su jasnije denisani proces, metodi
i tehnologije istrage sluajeva kompjuterskog kriminala, to je vea verovatnoa za
uspešan ishod istrage.
Najsigurniji istražni postupak u sluaju kompjuterskog kriminala je pa striktnog sprovoenja propisane procedure i izvršavanje ak
vnos
korak po korak.
Prvo se mora done
zakljuak da je napad izvršen, a za
m proceni
karakter incidenta i done
odluku o nivou korporacijske, odnosno, zvanine istrage.
Znaajno je što se u ciklinom procesu upravljanja kompjuterskim incidentom,
na osnovu rezultata digitalne forenzike istrage, mogu otkloni
uzroci, a ne samo
posledice svih bezbednosih ranjivos
raunarskog sistema i mreža, koje se otkriju
u sistemu zaš
te i me poboljša
otpornost IKT sistema na nove napade.
M J 23
PITANJA ZA PONAVLJANJE
1. Nabrojte osnovne elemente kompjuterskog kriminala.
2. Koje su glavne kategorije kompjuterskog kriminala sa aspekta uloge
raunara?
3. Navedite neke pove kompjuterskog kriminala.
4. Ko su glavni korisnici digitalne forenzike istrage?
5. Koje su glavne oblas
digitalne forenzike?
6. Denišite digitalni dokaz.
7. Koji su glavni IOEC principi upravljanja digitalnim dokazima?
8. Koje glavne elemente treba da sadrži standardna opera
vna procedura digitalne forenzike istrage?
9. Navedite Daubert principe prihvatljivos
digitalnih dokaza pred sudom.
10.Objasnite pod kojim uslovima sud priznaje digitalne dokaze.
24
I J 2. ISTRAGA KOMPJUTERSKOG KRIMINALA
2.1 ZVANINA ISTRAGA KOMPJUTERSKOG KRIMINALA
Generalno, digitalna forenzika istraga deli u dve osnovne kategorije, [3]:
• zvaninu (javnu) i
• korporacijsku (privatnu) digitalnu forenziku istragu.
Zvanina (javna) digitalna forenzika istraga ukljuuje policijske organe istrage, specijalno tužilaštvo i specijalno sudstvo za borbu pro
v visokotehnološkog (kompjuterskog) kriminala. Ovi organi treba da rade u skladu sa brojnim zakonima kao što su:
Zakon o krivinom postupku, Zakon o borbi prov visokotehnološkog kriminala, Zakon
o zaš informacija i informacionih sistema, Zakon o digitalnom dokazu, Zakon o elektronskom potpisu, Zakonu o elektronskoj trgovini i dugi neophodni zakoni koji regulišu
ukupno savremeno elektronsko poslovanje. Takoe, zvanini organi istrage kompjuterskog kriminala treba da rade prema strogo utvrenim standardnim operavnim procedurama (SOP) za: pretragu, privremeno oduzimanje i ispi
vanje raunarskih sistema i
drugih mrežnih ureaja, akviziciju digiotalnih podataka/dokaza sa razlii
h platvormi
i slika, u cilju otkrivanja validnih digitalnih dokaza. U sluaju zvanine istrage istražni
organi moraju dobro poznava
i razume
sve zakone i propise koji se odnose na kompjuterski kriminal, ukljuujui standardne lokalne procedure za pretragu i utvrivanje
sluaja krivinog dela kompjuterskog kriminala.
U procesu utvrivanja karaktera krivinog dela kompjuterskog kriminala, istražni organ mora traži
odgovore na brojna pitanja, kao što su:
1. Šta je bilo sredstvo izvršavanja krivinog dela?
2. Da li su raunarski sistem i mreža poslužili kao jednostavan prolaz za izvršavanje
krivinog dela?
3. Da li je u pitanju kraa, provala ili vandalizam u sistemu?
4. Da li je napada ugrozio neiju privatnost i druga prava, ili uznemiravao preko
Voice IP ili e-mail servisa?
Raunarski sistem i raunarska mreža mogu bi
sredstva za izvršavanje krivinog
dela i u tom smislu ne razlikuju se od pajsera provalnika za upad u tui stan, ili kalauza
kradljivca kola. Raunarski sistemi su kao sredstvo za izvršavanje krivinog dela, ili predmet krivinog dela, ukljueni u brojne i ozbiljne zloine.
U izgradnji sluaja krivinog dela kompjuterskog kriminala mogu se razlikova
tri
glavne faze:
• postojanje sluaja izvršenja krivinog dela kompjuterskog kriminala,
• istraga krivinog dela kompjuterskog kriminala i
• suenje.
M J 25
Opš
proces zvanine istrage kompjuterskog incidenta, sa pristupom istrazi po modelu “korak po korak”, gde svaki korak u okviru jedne faze istrage vodi u drugi i obezbeuje kontrolnu listu ak
vnos
u okviru svake od sledee 4 faze, [18], [20]:
• inicijalna istraga,
• ulazak u trag napadau,
• otkrivanje iden
teta napadaa i
• hapšenje.
U realnom sluaju krivimog dela kompjuterskog kriminala pian proces istrage
kree od prijave kompjuterskog incidenta zvaninim organima istrage (policiji). U fazi
predistražnih radnji i pretrage istražni organi sakupljaju dovoljno dokaza za osnovanu
sumnju i pokretanje tužbe pro
v osumnjienog poinioca (nekada može bi
i nepoznat-NN poinila). O svojim nalazima policija upoznaje tužioca koji obezbeuje nalog
za istragu od istražnog sudije i pokree zvaninu istragu. Sa sudskim nalogo u gotovo
svim pravosudnim sistemima organi istrage kompjuterskog kriminala mogu legalno privremeno oduzima
osumnjieni raunarski sistem ili uzima
ziku sliku vrstog diska,
radi forenzike akvizicije i analize digitalnih dokaza.
Iako policija svake države š
javna dobra svojih graana, ne treba oekiva
da svaki policajac bude IKT ekspert i da sve faze istrage kompjuterskog kriminala izvršavam
samostalno. U tom smislu, preporuena su tri nivoa potrebnih strunih znanja i veš
na
zvaninih organa istrage, [5]:
1. Nivo: Osposobljenost za akviziciju digitalnih podataka i privremeno uvanje integriteta i propisno održavanje digitalnih dokaza. Ove poslove treba da obavljaju regularni kriminalis
ki tehniari (policajci) sa osnovnim informa
kim znanjima i osnovnim
kursom digitalne forenzike;
2. Nivo: Osposobljenost za upravljanje procesom istrage visokotehnološkog kriminala. Organi istrage se osposobljavaju da postavljaju pitanja, ispituju informante (svedoke) razumeju IKT terminologiju i šta može, a šta ne može bi
izvueno iz digitalnih
podataka. Ove poslove treba da obavljaju kriminalis
ki inspektori (policajci) sa završenim specijalis
kim kursom za digitalnu forenziku istragu kompjuterskog kriminala
i oporavak digitalnih podataka, ukljuujui i osnove digitalne forenzike raunarskih sistema.
3. Nivo: Specijalno osposobljeni policajci za izvlaenje, ispi
vanje i analizu digitalnih
dokaza, koje normalno izvršavaju specijalis
za digitalnu forenziku analizu raunara
i raunarskih mreža, ili kiberne
ku (cyber) istragu kompjuterskih i Internet prevara.
Zvanini organi istrage osposobljeni sa ovim znanjima i veš
nama mogu kompetentno
da upravljaju sluajem krivinog dela kompjuterskog kriminala, uspešno obezbeuju
resurse za istragu, procenjuju obim istrage, delegiraju uloge i lica za sakupljanje i procesiranje informacija koje se odnose na osumnjienog, kao i za akviziciju i analizu digitalnih podataka iz ošteenog, posrednih i osumnjienog raunara i izgradnju vrs
h dokaza. Posao istražitelja kompjuterskog kriminala završava se kada se pomou propisane
26
I J procedure (SOP) i prihvatljive metodologije izvuku relevantni i vrs
digitalni dokazi iz
procesom akvizicije obezbeenih i drugih izvora podataka.
Istražitelj kompjuterskog kriminala, pre privremenog oduzimanja raunarskog sistema radi akvizicije i analize digitalnih dokaza, dostavlja sve preliminarne dokaze (zike, digitalne i slika) o osnovanoj sumnji tužiocu za visokotehnološki kriminal i zahteva
nalog za pretragu. Specijalni tužilac za visokotehnološki kriminal podnosi specijalnom
sudiji za visokotehnološki kriminal zahtev za nalog za pretres imovine osumnjienog u
kojem iznosi poznate injenice iz predistražnog postupka i prilaže raspoložive dokaze
o poinjenom krivinom delu. Na osnovu ovog zahteva i dokaza o osnovanoj sumnji,
specijalni sudija za visokotehnološki kriminal izdaje nalog za pretres stana i raunarskog
sistema osumnjienog.
2.2 KORPORACIJSKA DIGITALNA FORENZIKA ISTRAGA
Savremeni novi mobilni telefoni, Bluetooth ureaji, kompaktne eš memorijski
ureaji i razni PDA mogu izvrši
gotovo sve zadatke kao laptop raunari, ukljuujui
i udaljeni pristup raunarskoj mreži bez znanja organizacije. Ovo je samo deo sistema
nove tehnologije koji zahteva zaš
tu u IKT sistemu organizacije, ali predstavlja i izazov
za primenu tehnika i alata korporacijske digitalne forenzike za rekonstrukciju kompjuterskog incidenta. U uslovima dinamiki promenljivih kombinovanih pretnji koje mogu
iskoris
brojne slabos
web servisa i raunarskih mreža organizacije, razumevanje
uzroka i spreavanje ponavljanja incidenta jednako je važno kao i sam sistem zaš
te
organizacije. Za otkrivanje uzroka i otklanjanje ranjivos
koje su dovele do incidenta,
organizacija uvek može iznajmi
retke specijaliste za digitalnu forenziku, ali je za sada
ta usluga najskuplji servis u sektoru zaš
te informacija, što je naješe ograniavajui
faktor. Iako je korporacijska digitalna forenzika u ranoj fazi razvoja, izazovi i rizici koje
donose nove, mobilne tehnologije nesumnjivo e u
ca
na sve veu primenu forenzikih
tehnika i alata u upravljanju kompjuterskim incidentom u organizaciji.
U kontekstu upravljanja kompjuterskim bezbednosnim incidentom u korporacijskom IKT sistemu, metodologija i tehnologija digitalne forenzike istrage obezbeuju
stabilnu i kompletnu celinu u ranjivom mrežnom okruženju sa uspostavljenim poli
kama zaš
te, implemen
ranim sistemom zaš
te i uspostavljenim kapacite
ma za upravljanje kompjuterskim incidentom. Dobra je praksa da korporacijski digitalni forenziar
mski radi sa administratorima sistema, mreže i zaš
te i drugim specijalis
ma zaš
te
u cilju obezbeivanja prihvatljivog nivoa zaš
te raunarskih sistema i bezbednog
rada raunarske mreže u Internet okruženju. Iako sve tri grupe specijalista u velikim
sistemima naješe rade samostalno, u sluaju glavnog kompjuterskog incidenta sve
tri grupe uvek rade zajedno. Ovakav koraboravni7 rad obezbeuje ekasno i efek
vno
trajno saniranje kompjuterskog incidenta u organizaciji, sa sopstvenim resursima i bez
7 rad lanova ma na razlii
m izvorima indikatora i dokaza istog kompjuterskog incidenta.
M J 27
pozivanja spoljnih specijalista. Specijalis
za sisteme zaš
te, analizu rizika i ranjivos
sistema i mreža imaju iskustvo iz administracije sistema i mreža i poznaju neku metodologiju za analizu i ublažavanje rizika. Specijalis
za upravljanje kompjuterskim incidentom poznaju automa
zovane detektore upada (IDS/IPS pa), monitorišu logove
logikih mrežnih barijera (rewalls), otkrivaju, prate, iden
kuju i spreavaju upade u
raunarske mreže i, u sluaju napada, pomažu forenziarima da rekonstruišu napad,
oporave podatke i iden
kuju napadaa. Digitalni forenziari ispituju napadnute, kompromitovane ili osumnjiene raunarske sisteme, ukljuujui i posredne raunare, koji
sadrže potencijalne dokaze o kompjuterskom incidentu/kriminalu i dostavljaju nalaze o
nainu napada lanovima druga dva ma za efek
vno ksiranje i trajno otklanjanje otkrivenih ranjivos
sistema. Bliskom saradnjom ovih specijalista, efek
vno se spreava
ponavljanje istog ili slinog incidenta i dugorono podiže bezbednost sistema na viši
nivo.
Potrebu za razvojem korporacijske digitalne forenzike mogu generisa
razlii
izvori, [3].
• interni zahtevi poli
ke zaš
te korporacije/organizacije za upravljanje kompjuterskim incidentom;
• spoljni faktori kao što su meunarodni zahtevi za standardizaciju i usklaivanje
upravljanja zaš
tom informacija, zadržavanja informacija itd.;
• razvoj sos
ciranih hakerskih alata i veš
na napada na raunarske sisteme i
mreže;
• nacionalni zakoni i regula
ve koji postoje u veini zemalja, mogu zahteva
uspostavljanje nekih oblika forenzikih kapaciteta za borbu pro
v kompjuterskog kriminala, kao što su zakoni o zadržavanju informacija (npr. Švajcarski
zakon ISP log retenon), regula
ve i standardi u industriji, zdravstvu, nansijskom sektoru itd.;
• standardi industrijske najbolje prakse u oblas
zaš
te informacija, kao što su
ISO/IEC 27001 (17799:2005) i drugi serije ISO/IEC 27k meunarodni standardi
za zaš
tu informacija, koji preporuuje procedure za skupljanje informacija
i dokaza, analizu i procenu incidenata, zadržavanje e-mail poruka i slika, ili
IAAC (Informaon Assurance Advisory Council) smernice, koje daju uputstva
za obezbeivanje korporacijskih forenzikih kapaciteta;
• objavljivanje forenzikih procedura i alata u višestruko recenziranim naunim
asopisima kao što su Digital Invesgaon Journal, The Internaonal Journal
of Digital Forensics & Incident Response i drugim.
Ako neka korporacija/organizacija odlui da uspostavi sopstvene kapacitete za digitalnu forenziku istragu na bazi internih potreba i zahteva poli
ke zaš
te za upravljanje kompjuterskim incidentom, oekuje se da zvanini državni organi za borbu pro
v
kompjuterskog kriminala u svakoj nacionalnoj državi obezbede:
• pomo legalnim movima korporacija/organizacija za upravljanje kompjut28
I J erskim incidentom kod otkrivanja uzroka incidenta i napadaa, posebno iz
drugog domena zaš
te (drugog ISP), ili drugog pravosudnog sistema u kojima
korporacijski organi istrage nemaju nikakvu nadležnost;
• usaglašavanje korporacijske poli
ke/standarda zaš
te sa lokalnim zakonima i
regula
vama, što može bi
od velike koris
za razvoj forenzikih kapaciteta;
• preporuke i procedure za kontrolu (auding) sistema zaš
te i
• informacije za obrazovanje u oblas
digitalne forenzike (npr. Internaonal
Journal of Digital Evidence i slika).
Uspostavljanje korporacijskih kapaciteta za digitalnu forenziku može se pozi
vno odrazi
i u oblas
upravljanja ljudskim resursima. Proces korporacijske digitalne forenzike
istrage, forenzike tehnike i ala
mogu obezbedi
kljune informacije za razliite aspekte upravljanja ljudskim resursima, kao što su: otpuštanje zaposlenih i ukidanje radnih
mesta, upravljanje zaposlenim, disciplinske akcije, procena ekstremnih sluajeva (smr
,
samoubistava, kidnapovanja) i slika Od korporacijskih forenzikih kapaciteta velike koris
mogu ima
i razliita stalna/privremena tela i movi koji se formiraju u korporaciji,
kao što su movi za: istragu klasinih prevara i kriminala, upravljanje kompjuterskim
incidentom i vanrednim dogaajem, upravljanje rizikom, procenu rizika, kontrolu rizika
od kompjuterskog kriminala, upravljanje kon
nuitetom poslovanja itd. Sve ove uloge
imaju potrebu da koriste usluge kompetentnog centralnog ma za zaš
tu informacija sa
digitalnim forenziarom koji dobro poznaje forenzike tehnike i alate.
Korporacijski kapacite
za digitalnu forenziku mogu, takoe, odigra
znaajnu ulogu
za zaš
tu intelektualne svojine, ugleda i brendova korporacije, ispi
vanjem lažnih web
sajtova, phishing napada itd.
U IKT sistemu korporacije, forenziki kapacite
su od kljunog znaaja za analizu tragova upada u sistem, ispi
vanje povreda poli
ka zaš
te, utvrivanje zloupotreba IKT
infrastrukture, analizu prisustva logikih bombi, rutkit tehnika, zadnjih vrata, trojanaca
i drugih malicioznih kodova. Forenzike alate i tehnike, korporacija može koris
i za:
• verikaciju procedura za saniranje korporacijskih diskova za skladištenje brisanjem sa prepisivanjem (wiping),
• verikaciju implementacije šifarskih sistema na disku/u mreži,
• oporavak podataka sa pokvarenih HD i starih/zastarelih medija,
• oporavak lozinke na legi
mne zahteve,
• utvrivanje skrivenih grešaka i
• dizajn i arhitekturu IKT sistema koji obezbeuju uspostavljanje forenzikih kapaciteta korporacije.
Glavni problemi u procesu uspostavljanja forenzikih funkcionalnos
u korporaciji
su odreivanje osnovnih potreba/zahteva za digitalnog forenziara/
m forenziara i
nekih kljunih faktora za implementaciju uloge digitalnog forenziara u organizaciji.
Prirodno je da se uloga digitalnog forenziara uspostavlja u korporacijskom mu za
upravljanje kompjuterskim incidentom.
M J 29
2.2.1 Uspostavljanje ma za upravljanje kompjuterskim incidentom
Sa aspekta efek
vnos
sistema zaš
te, korporacijski m za upravljanje kompjuterskim incidentom u svim aspek
ma zaš
te informacija, ukljuujui korporacijsku
forenziku istragu, treba da bude centralizovan za sve delove korporacije. Tim može
bi
uspostavljen od kompetentnih zaposlenih koji obavljaju redovne poslovne zadatke,
a u mu rade po potrebi i u sluaju glavnog kompjuterskog incidenta. Neki ili svi lanovi
ma mogu bi
iznajmljeni, što može predstavlja
dodatnu ranjivost korporacije. Velike
korporacije mogu ima
poseban m samo za digitalnu forenziku istragu, akviziciju i
analizu. Tipini m za upravljanje bezbednosnim kompjuterskim incidentom treba da
ukljui sledee uloge/prole zaposlenih ili iznajmljenih specijalista:
1. Menadžer zaš
te informacija - CIO (Chief Informaon Ocer);
2. Administrator raunarskog sistema/mreže;
3. Specijalista za upravljanje i kontrolu bezbednosnog rizika;
4. Kontrolor sistema kvaliteta;
5. Predstavnici drugih mova (za vanredne dogaaje, usaglašenost standarda i
slika)
6. Digitalni forenziar;
7. Pravnik organizacije;
8. Menadžer za upravljanje ljudskim resursima.
Kljuni nedostatak centralizovanog upravljanja kompjuterskim incidentom i sistemom zaš
te u celini, može bi
injenica da se postepeno klasina paradigma savremenih organizovanih malicioznih, hakerskih napada sve više pomera na centralizovane
en
tete za upravljanje zaš
tom informacija u korporaciji/ organizaciji.
Veoma je korisno da korporacija generiše i implemen
ra Poliku digitalne forenzike
istrage sa saopštenjima koja omoguavaju ovlašenim zvaninim organima istrage da
pristupe sistemu i izvrše akviziciju digitalnih podataka u fazi ukljuivanja zvaninih organa istrage u korporacijsku forenziku istragu. Saopštenja ove poli
ke treba da sadrže
najmanje sledee zahteve za:
• zaš
tu osetljivih podataka,
• smanjenje rizika kod pristupa (kontrolisa
i logova
sve pristupe),
• denisano vreme zadržavanja informacija (e-mail poruka i dr.),
• usklaivanje sa legalnim i regulatornim zahtevima,
• odgovore na bezbednosne incidente,
• forenziki oporavak i istragu incidenta,
• uspostavljanje forenzikih resursa (kapaciteta) korporacije,
• obuku i osposobljavanje forenziara/
ma potrebnim znanjima i veš
nama,
• opremu forenzike laboratorije i terenskih forenzikih alata i
• iznajmljivanje spoljnih partnera i eksperata u sluaju potrebe.
30
I J Uspeh uspostavljanja korporacijskog ma za upravljanje kompjuterskim incidentom
sa sopstvenim kapacite
ma za korporacijsku digitalnu forenziku istragu, u najveoj
meri zavisi od podrške menadžmenta korporacije. U prvom redu, potrebno je ubedi menadžment da je takav m potreban korporaciji i da može done
vidljive koris
.
Pažnju treba usmeri
na razvoj opšte spremnos
korporacije da upravlja kompleksnim
kompjuterskim incidentom, analogno pripremi za pro
v požarnu zaš
tu. Sve razloge
treba ilustrova
sa najnovijim primerima štetnih posledica za brojne organizacije u
svetu od raznih pova zloupotreba raunara i kompjuterskog kriminala. Praksa zaš
te
nesumnjivo potvruje da je spremnost korporacija/organizacija da razviju i implemen
raju adekvatne sisteme zaš
te informacija, proporcionalna koliini akumuliranog straha
menadžmenta od posledica koje su imale druge sline korporacije/organizacije8. Dobro
je ilustrova
troškove jednog sluaja suenja kompjuterskog kriminala i me opravda
troškove uspostavljanja forenzikih kapaciteta korporacije. U ovom markenškom
procesu neophodno je razvija
svest o potrebi zaš
te i kod drugih grupa zaposlenih,
ukljuujui krajnje korisnike, i obezbedi
opšte razumevanje i podršku cele organizacije. U prezentaciju treba ukljui
tok procesa uspostavljanja kapaciteta korporacijske
digitalne forenzike istrage, potrebnu logis
ku i strunu podršku i naves
postojee
kompetentne, nacionalne digitalne forenzike centre.
Od posebnog znaaja je uspostavljanje pouzdane, potpune i ekasne komunikacije
izmeu zaposlenih i interventnog ma i obrnuto. Korisno je odredi
odgovorna lica i
naves
kontaktne informacije lanova ma iz razlii
h delova IKT sistema i organizacije
za potrebe sakupljanja digitalnih dokaza, kao i kontaktne informacije sa spoljnim saradnicima i konsultan
ma. Interventni m treba da deniše i objavi sve komunikacione
kanale, ukljuujui e-mail adresu, telefone, web lokaciju i dr.
Polika korporacijske digitalne forenzike istrage treba da zahteva obaveznu obuku
za s
canje razlii
h znanja i veš
na iz oblas
zaš
te IKT sistema, upravljanja rizikom,
upravljanja bezbednosnim incidentom i digitalne forenzike istrage, akvizicije, oporavka podataka, analize i prezentacije digitalnih dokaza. Težište na obuci treba da bude na
poznavanju metoda i procedura, razumevanju novih forenzikih tehnika i alata. Cilj je
da u korporacijskom mu za upravljanje kompjuterskim incidentom budu serkovani
lanovi iz relevantnih oblas
, kao što su CISSP (Cered Informaon System Security
Professionals) za zaš
tu IKT sistema ili na primer, EnCE (EnCase Examiner) – ovlašeni
forenziar za ispi
vanja sa EnCAse forenzikim alatom i slika
2.2.2 Procedura odreivanja karaktera kompjuterskog incidenta
Sta
s
ki gledano prosean kompjuterski incident naješe nije kriminalni akt.
Meu
m, u toku predistražnih i istražnih radnji treba verova
indikacijama istrage, a
ne sta
s
kim pokazateljima. Na bazi rezultata procesa odreivanja karaktera kompjuterskog incidenta, ak i površnog i preliminarnog uvida u posledice incidenta, vlasnik
8 Istraživanje kompanije ORACLE u toku 2008. godine.
M J 31
sistema donosi odluku da li e nastavi
istragu unutar organizacije sopstvenim kapacite
ma, iznajmi
spoljne saradnike – eksperte, sluaj preda
zvaninim organima istrage, podii optužbu i slika
U svakom sluaju korporacijske, kombinovane ili zvanine istrage karaktera kompjuterskog incidenta, treba:
• Napravi
detaljan izveštaj o svim nalazima, dokumentova
izveštaj i nalaze i
da
predlog/preporuku za dalji postupak;
• Dokazne materijale pažljivo markira
obojenom samolepljivom nalepnicom /
trakom, sor
ra
u odvojene koverte sa detaljnim oznakama o sadržaju svake.
Oznaka treba da ima mesta za potpis lica koje preuzima dokazni materijal u
daljem postupku. Oznaku stavi
preko strane koverte koja se lepi, tako da se
pokaže da koverta nije otvarana;
• Kada se neki fajl memoriše kao digitalni dokaz, mora se zaš
od izmene. Za
zaš
tu integriteta treba koris
standardni hash program (SHA-256, SHA-512
i dr.) koji daje jedinstven sažetak fajla. Svaka i najmanja promena u fajlu menja
hash vrednost fajla. Za
m se sažetak fajla zajedno sa fajlom digitalnog dokaza
šifruje javnim kljuem asimetrinog algoritma (raspoloživog na Internetu) i
memoriše. Tako zaš
en dokaz se kada zatreba dešifruje privatnim kljuem
(matema
kim parom javnog kljua) i verikuje se hash vrednost sa is
m hash
algoritmom. Ako je ova vrednost jednaka originalnoj vrednos
hash-a upravo
dešifrovanog fajla sa digitalnim dokazom, onda nije bilo izmene i dokaz je prihvatljiv na sudu. Na slian nain, integritet fajla sa digitalnim dokazom može
se bezbedno skladiš
i prenosi
primenom digitalnog ser
kata i digitalnog
potpisa u uspostavljenom PKI sistemu;
• Dobro je u izveštaju pomenu
svaki pojedinani dokaz pod jedinstvenim
brojem evidencije na kover
, što olakšava kasnije snalaženje;
• Izveštaj treba poe
sa kratkim sadržajem incidenta (Execuve Summary) u
kojem se opisuje incident, metod istraživanja i generalne zakljuke po redosledu izvedenih dokaza. U posebnom poglavlju detaljno opisa
svaki navedeni
zakljuak posebno ukazujui na vrste (neoborive) dokaze koji podržavaju ili
osporavaju postavljenu hipotezu i zakljuke;
• Vremenska evidencija je najbolji dokaz za zakljuivanje o incidentu. Ako
se obezbedi dokaz o vremenskoj liniji upada u sistem, u svim log fajlovima
mrežnih ureaja i napadnutog raunara, onda je to vrst dokaz za sluaj. Treba ima
na umu da se vreme i datum lako menjaju, pa je potrebno ovaj dokaz
podupre
sa drugim dokazima iz napadnutog raunara;
• Najniži rezultat istrage mora bi
dovoljan za odluku na nivou organizacije
- šta dalje uradi
sa istragom: obustavi
, nastavi
u organizaciji ili preda
zvaninim organima. Ta odluka najviše zavisi od prezentacije zakljuaka i materijalnih dokaza za svaki zakljuak;
32
I J • Izveštaj treba završi
sa preporukom kako sprei
da se incident ne ponovi i
šta dalje uini
sa istražnim postupkom.
2.2.3 Model troškova korporacijske forenzike istrage
Zahtevi za uspostavljanje digitalne forenzike laboratorije i rad na terenu treba da
sadrže specikaciju kategorija (ne konkretnih proizvoda) neophodnih hardverskih i soverskih forenzikih alata, kao što su forenziki raunarski sistemi za akviziciju, analizu i
tes
ranje, blokatori upisivanja, komercijalni ala
zatvorenog izvornog koda, ala
Linux/
otvorenog koda i druga stacionarna/mobilna laboratorijska oprema (npr., stari mediji
drajveri i tehnologija).
Na kraju korporacijska poli
ka zaš
te treba da preporui referentne izvora za obuku
iz oblas
digitalne forenzike istrage kao što su: web lokacije9, relevantni asopisi10 i
relevantni ala
- komercijalni sa zatvorenim izvornim kodom (EnCase, FTK itd.) i sa otvorenim izvornim kodom (Linux, Sleuthkit itd.).
Kada se kompjuterski incident dogodi, kri
an faktor je brzina reakcije. U poetnoj
praksi forenzike istrage kompjuterskog kriminala, pokazalo se da su podaci otkriveni
u toku prvih sedam dana bili kri
ni za uspešan oporavak. Danas je to vreme znatno
krae i reda je nekoliko asova.
Za donošenje odluke o ukljuivanju internog, ili eksternog ma u digitalnu forenziku
istragu, organizacija treba da razmotri i izbalansira sledee faktore, [27]: troškove,
vreme odgovora i osetljivost podataka
Troškovi obuhvataju nabavku, ažuriranje i održavanje forenzikog sovera, hardvera i opreme koja se koris
za skupljanje i ispi
vanje podataka, a može ukljuiva
i
dodatnu ziku zaš
tu od njihove kompromitacije. Drugi znaajni troškovi ukljuuju
obuku osoblja i troškove rada, koji su posebno znaajni za profesionalne forenziare.
Generalno, retko su troškovi angažovanja spoljnih forenziara skuplji od troškova interne forenzike istrage.
ednostavan model troškova forenzikog ispi
vanja digitalnih ureaja pretpostavlja
da postoji skup nekompa
bilnih plaormi, razlii
h tehnologija i oekivani broj ureaja
za forenziko ispi
vanje i da razvoj metoda za forenziku akviziciju i analizu ima neke
ksne troškove. Pretpostavlja se da su ovi troškovi is
za jednu tehnologiju, iako je
u praksi skuplji reverzni inženjering autorskog formata digitalnih podataka, nego razvoj sovera za procesiranje otvorenog standarda. Meu
m, u ovom modelu mere se
troškovi porasta forenzike akvizicije i analize zbog nekompa
bilnos
plaormi (hardvera i sistemskog sovera), odnosno formata (OS, fajl sistema, brauzera, e-mail sistema
i slika). Model, takoe, pretpostavlja da je F » MC, pa su ukupni troškovi – c(M) za
analizu digitalnih ureaja jednaki:
9 www.e-evidence.info; www.forensicswiki.org; www.forensicfocus.com i dr.
10 Elsevier’s Digital Inves
ga
on ournal, Interna
onal ournal of Digital Forensics & Incident Response,
Interna
onal ournal of Digital Evidence (IDE) i dr.
M J 33
gde je:
M – broj nekompa
bilnih plaormi digitalnih ureaja,
i – broj razli
h tehnologija digitalnih ureaja,
mi – oekivani broj ureaja digitalnih ureaja,
F – visoki ksni troškovi ekstrakcije digitalnih podataka,
MC – marginalni troškovi ispi
vanja (rada forenziara na akviziciji i analizi).
U visoko distribuiranom zatvorenom okruženju (npr., u mreži ekstranet pa) sa
mnogo nekompa
bilnih formata, |M| je velik, pa su i ukljueni troškovi veliki. Ako su
sistemi bazirani samo na nekoliko otvorenih standarda, tada su troškovi mnogo niži.
Takoe, se uzima u obzir da dominira nekoliko popularnih tehnologija, distribuiranih
u svetu, koje se u odreenom okruženju mogu sves
na nekoliko relevantnih tehnologija, što je i sluaj sa mobilnim telefonima (Simens, Motorola, Nokia, Sony Ericson,
LG i Samsung). Treba oekiva
razliitu distribuciju zavisno da li preovlauje otvoreni
ili zatvoreni (vlasniki) standard formata. Ova distribucija može ima
veliki u
caj na
stepen razvoja validne tehnike za ekstrakciju digitalnih podataka iz digitalnih ureaja.
Pretpostavimo da su sve i-te plaorme, potencijalno ciljne za forenziko ispi
vanje,
poreane po zastupljenos
(popularnos
), tako da je, [3]:
m1 > m2 > : : : mi |M|
Sada se može denisa
funkcija vrednos
:
v(i) = mi * * u,
gde je:
u – oekivana korisnost ekstrahovanih podataka (dokazujua ili oslobaajua
vrednost digitalnog dokaza).
Na slici 2.1 prikazan je dijagram zavisnos
funkcija vrednos
v(i) prema troškovima
c(i), gde je c(i) = F + MC * * mi, za dve razliite vrednos
distribucija. Dijagram na levoj
strani odgovara koncentrovanoj distribuciji na nekoliko standardnih plaormi, dok se
dijagram na desnoj strani odnosi na distribuciju u kojoj dominiraju zatvoreni forma
.
Treba zapazi
da se taka u kojoj troškovi premašuju korist (vrednost) dos
že mnogo
brže kada se koriste zatvoreni (vlasniki) sistemi. Tako da nisu samo ukupni troškovi
ekstrakcije digitalnih podataka vei kod forenzike vlasnikih (zatvorenih) sistema, nego
se uveavaju dalje socijalni troškovi sa poveanjem broja takvih plaormi koje ne garantuju razvoj odgovarajuih soverskih alata za oporavak podataka.
34
I J Slika 2.1 Hipote
ka distribucije vrednos
i troškovi za otvorene, standardizovane
(levo) i zatvorene, autorske (desno) plaorme
Vreme odgovora na kompjuterski incident postaje sve krae. Personal lociran na
lokaciji incidenta može inicira
forenziku istragu znatno brže od iznajmljenog ma.
Takoe, za ziki distribuirane organizacije personal na lokaciji incidenta može brže
reagova
nego m iz centra organizacije.
Osetljivost podataka može u
ca
da organizacija odustane da angažuje spoljni
forenziki m, koji za analizu treba da uzme ziku kopiju (imidž) vrstog diska i pri
tome ima pristup svim podacima, pošto na disku mogu bi
važne privatne informacije,
nansijski izveštaji, ili druge osetljive informacije. Meu
m, ako postoje indicije da je
lan internog ma umešan u incident, onda je bolje angažova
spoljni forenziki m.
Upravljanje bezbednosnim kompjuterskim incidentom može bi
ekasnije i efek
vnije, ako se forenzike procedure ugrade u životni ciklus sistema IKT zaš
te, kao na
primer:
• regularno bekapova
sisteme i održava
prethodne bekape odreeni vremenski period,
• omogui
regularnu kontrolu (audit) radnih stanica, servera i mrežnih
ureaja,
• prosleiva
rezultate kontrole u centralizovane log servere,
• kongurisa
log fajlove aplikacija kri
nih za misiju za kontrolu (audit),
ukljuujui eviden
ranje pokušaja ponovljenog auten
kovanja,
• održava
bazu sažetaka (hash funkcija) fajlova za uobiajene sistemske i aplika
vne sovere i proverava
integritet sovera za važne sisteme,
• održava
evidenciju osnovne (baseline) konguracije mreže i sistema,
• u skladu sa pravosudnim zahtevima, uspostavi
poli
ku zadržavanja podataka za potrebe revizije istorije ak
vnos
sistema i mreže u sluaju incidenta,
kao i uništavanja nepotrebnih podataka, i
M J 35
• razvija
forenzika uputstva i procedure konzistentno sa poli
kama organizacije i svim primenljivim zakonima, a u razvoj uputstava i procedura ukljui
tehnike eksperte, pravne savetnike i menadžment.
Forenzike tehnike i ala
korisni su i za mnoge druge pove zadataka, kao što su:
• Otkrivanje grešaka, pronalaženje virtuelne i zike lokacije hosta u nekorektno kongurisasnoj mreži, rešavanje nekog funkcionalnog problema aplikacija,
snimanje i revizija tekueg OS i podešavanje konguracije aplikacije hosta.
• Monitorisanje log datoteka, kao što su analiza ulaza i koordinacija ulaza u log
fajl iz više sistema, što može pomoi kod upravljanja kompjuterskim incidentom, iden
kovanja povreda poli
ka, kontrole (auding) i drugih zadataka
zaš
te.
• Oporavak podataka izgubljenih u sistemu, ukljuujui podatke koji su sluajno,
ili namerno izbrisani, ili na drugi nain modikovani. Koliina podataka koji se
mogu oporavi
zavisi od sluaja.
• Akvizicija podataka iz hosta koji se premešta, ili povlai iz primene. Na primer,
kada korisnik napušta organizaciju, podaci sa njegove radne stanice mogu se
skinu
forenzikim alatom i uskladiš
za kasniju upotrebu, a mediji sanira
na forenziki nain, da se uklone svi originalni podaci korisnika.
• Obaveza po dužnos/usklaenost sa regulavom, u skladu sa zakonom,
zahteva se da organizacije zaš
te osetljive podatke i održavaju odreene
evidencije za potrebe kontrole (auding-a). Takoe, zaš
ene informacije su
izložene i dostupne i drugim en
te
ma, pa se od organizacija zahteva da ih
eviden
raju. Sve ove zadatke mogu obavi
forenziki ala
.
Primarni korisnici forenzikih alata i tehnika unutar neke organizacije, obino se
dele u sledee grupe:
• Istražitelj unutar organizacije naješe dolaze iz redova kontrolnih organa/
inspekcije i kontrole kvaliteta, a odgovorni su za istragu navoda o zloupotrebama u IKT sistemu. Tipino koriste brojne forenzike tehnike i alate. U istragu mogu bi
ukljueni i drugi organi, kao što su pravnici, predstavnik za
ljudske resurse, zvanini organ istrage i drugi lanovi izvan organizacije koji
nisu deo internog ma za istragu.
• IKT Profesionalci, ukljuujui osoblje za tehniku podršku sistema i administratore sistema, mreže i zaš
te. U toku ru
nskog izvršavanja poslova, oni
mogu koris
rela
vno mali broj forenzikih tehnika i alata, specinih za
njihove oblas
rada, npr., za monitoring, detekciju grešaka i oporavak podataka.
• Tim za upravljanje kompjuterskim incidentom odgovara na razliite bezbednosne kompjuterske incidente. Tipino koris
veliki broj razlii
h forenzikih
tehnika i alata u toku svoje istrage kompjuterskog incidenata.
36
I J 2.3 PROCES KORPORACIJSKE ISTRAGE
U odnosu na zvaninu digitalnu forenziku istragu, istrag! kompjuterskog incidenta
na korporacijskom nivou, može se smatra
predistražni
postupkm zvanine istrage
kompjuterskog incidenta/kriminala, ! odvija se u tri glavne faze, [18], [21]:
• pokretanje istrage,
• odreivanje karaktera kompjuterskog incidenta i
• analiza prikupljenih digitalnih podataka.
Pokretanje istrage obuhvata obezbeivanje mesta incidenta, pretragu, akviziciju
dokaza, izradu hipoteze o upadu i istraživanje alterna
vnih objašnjenja.
Odreivanje karaktera incidenta obuhvata analizu incidenta, analizu dokaza sakupljenih u prvoj fazi zajedno sa alterna
vnim objašnjenjima i odreivanje karaktera incidenta – da li je bezbednosni incident krivino delo, ili prirodan dogoaj.
Analiza digitalnih podataka obuhvata analizu celokupnog digitalnog i analognog
dokaznog materijala, pripremu digitalnih dokaza za prezentaciju incidenta i drugih nalaza istrage vlasniku IKT sistema, ili zvaninim organima, ako to vlasnik odobri.
Procedura korporacijske istrage kompjuterskog incidenta, u opštem sluaju, treba
da obuhvata i sledee postupke, [18]:
• proveru evidencija, log fajlova, kao i ostalih informacija o osumnjienom,
• ispi
vanje informanata,
• kontrolu svih faza istrage,
• pripremu organa za pretragu (lociranje kompromitvanog raunara),
• pretres resursa osumnjienog i
• prikupljanje i analizu dokaza.
Dok se težište klasine istrage krivinog dela uvek usmerava na svedoke i osumnjiene,
u korporacijskoj istrazi kompjuterskog incidenta najbolje rezultate daje mski rad iskusnih organa istrage i eksperata za IKT. U istrazi kompjuterskog kriminala, generalno, ne
postoji superpolicajac koji sam može reši
ak i rela
vno jednostavniji sluaj kompjuterskog kriminala. Na is
nain, mskim radom treba istraživa
i kompjuterske incidente
na korporacijskom nivou, u kojem treba da uestvuju najmanje administrator zaš
te,
administrator sistema i forenziar. Svaki uesnik ima svoj zadatak u skladu sa svojom
specijalizacijom i znanjem.
Za istragu na korporacijskom nivou primenljiva su, gotovo uvek prve tri faze zvanine
istrage (osim hapšenja), koje su primenljive za vlas
tu istragu u okviru korporacije. Da
bi uspeh korporacijske istrage kompjuterskog incidenta bio potpun, ove tri faze istrage
treba izvršava
kroz sukcesivno izvršavanje 7 sledeih koraka (originalno 6 Rosenblaovih), [38]:
• Eliminis
oiglednos
;
M J 37
•
•
•
•
•
•
Postavi
hipotezu o napadu;
Rekonstruisa
krivino delo;
Otkri
trag do osumnjienog raunara sa koga je napad izvršen;
Analizira
izvorni, ciljni i posredne raunare;
Skupi
dokaze, ukljuujui, ako je mogue i sam raunar i
Preda
nalaze i dokazni materijal korporacijskim, ili zvaninim organima istrage za dalji postupak.
Eliminisanje oiglednos: Istraga poinje sa eleminisanjem oigledno nemogueg
u sluaju incidenta u IKT sistemu. Najvažnije je odredi
da li se bezbednosni incident
stvarno dogodio, jer raunarski sistem može pas
iz mnogo razloga. Na primer, ako
nema modema na napadnutom raunaru, sigurno je da napad nije došao telefonskom
linijom, nego iz lokalne mreže, ili samog napadnutog raunara. Potrebno je vrlo pažljivo
evaluira
putanje prema napadnutom raunaru i analizira
mehanizme kontrole
pristupa na mestu upada. U sluaju napada sa Interneta broj moguih izvora prak
no
je neogranien. Ako se ne suzi polje vektora moguih napada, ne postoji ni najmanja
nada da e se napada sa Interneta otkri
. Osim tehnikog aspekta, mora se analizira
i ljudski faktor. Na primer, od 4 administratora može se iskljui
samo onaj koji je bio na
planinarenju, bez struje i telefona.
Za voenje preliminarnog informa
vnog razgovora sa oevidcima i svedocima treba:
• sakupi
informacije o pozadini i okruženju napadnutog raunara,
• sakupi
detaljne informacije o incidentu sa aspekta žrtve napada,
• sakupi
dokaze o incidentu na napadnutom raunaru (ne posrednim) i
• utvrdi
tragove i dokumentova
procenjenu nastalu štetu u novanim jedinicama.
Izrada hipoteze o napadu: Cilj procesa stvaranja hipoteze o napadu je razume
kako
je napada ušao u sistem. Treba teoretski analizira
napad, mapiranjem svih moguih
vektora napada - pristupnih putanja raunaru žrtve, kontrola pristupa raunaru i log
fajlovima raunara žrtve, korišenjem istog pa forenzikog raunara i OS.
Drugi korak u izradi hipoteze napada je tes
ranje hipote
kih putanja i ACL (kontrolnih lista pristupa) svih korisnika i superkorisnika koji imaju pravo pristupa raunaru
žrtve, da bi se utvrdilo da li su potencijalni napadai. Odreuje se vreme, datum i okolnos
napada itd. U ovoj fazi važno je ne ukljuiva
raunar, ako ve nije ukljuen, ili
ne iskljuiva
ga ako je ukljuen, jer ne treba pravi
nikakve promene na napadnutom raunaru, posebno ako je u pitanju neki Microso OS. Možda još postoje vredni
dokazi na vrstom disku raunara, koji bi se mogli ošte
ili uniš
nepropisnim radom
na napadnutom raunaru. Obavezno je iskljui
raunar iz mreže, raspoji
modem sa
linije, a ako je neophodno iskljui
napajanje raunara izvlaenjem kabla za napajanje
sa zadnje strane raunara.
38
I J Rekonstrukcija krivinog dela: Kompjuterski kriminal se, za razliku od ubistva ili
pljake, može rekonstruisa
tes
ranjem uspostavljene hipoteze napada, gde se može
sazna
kojim putem je napada pristupio raunaru. Za
m, poinje rad u cilju prikupljanja informacija nephodnih da se opravda eventualno postavljanje zamke za napadaa, za
ulaženje u trag telefonskoj liniji koju je napada koris
o i informacija koje mogu suzi
listu osumnjienih, ili potvrdi
da napada nije iz redova zaposlenih.
U ovom koraku, forenziki raunar za simulaciju napadnutog raunara treba kongurisa
što je mogue bliže stvarnoj konguraciji raunara žrtve - interna konguracija, logovanje, mrežne veze, kontrola pristupa. Ako je napadnu
raunar PC, treba
ga bu
ra
sa pokretnog DOS butabilnog medija bez Windows OS i uze
ziku sliku HD
(bit-po-bit) korišenjem forenzikog alata (npr., FTK, EnCase, SafeBack, Sydex). Za
m
se zika slika restaurira na forenzikom raunaru i dobije se taan miror ili imidž slika
napadnutog raunara. Ako se dobije is
rezulatat kakav je dobio napada poinje proces shvatanja kako je raunar napadnut, što još uvek ne mora vodi
do napadaa, ali
sigurno smanjuje listu osumnjienih.
Rekonstrukcija traga do osumnjienog raunara: Veina kompjuterskih kriminalaca
su veoma veš
, retko zabrljaju i padaju u zamku, ali se ipak dešava, što daje prednost istražnom organu. Zato je traženje logikih grešaka prvi korak za ulazak u trag
napadau. Sam kompjuter ostavlja tragove u brojnim pristupanim i skrivenim zonama
na vrstom disku (HD), pa forenziar mora zna
gde sve raunar ostavlja tragove. Velika prednost istraživaa kompjuterskog kriminala je u razumevanju funkcionisanja OS,
fajl sistema, hardvera, interfejsa, komunikacija u i izvan raunara, koji skrivaju zamke,
ak i za najveš
je hakere. ak i kôd (virusa, na primer) kojeg programer napiše, može
sadržava
indiciju o njegovom iden
tetu, koju vešt forenziar može otkri
.
Raunari su ekstremno konzistentni i predvidljivi u nainu procesiranja podataka.
Ako se raunar ne ponaša oekivano za to postoje samo dva razloga: ili forenziar ne
razume kako raunar treba da se ponaša, ili je došlo do izmene u programu. To je od
velike pomoi u istražnom postupku. Ako, je na primer, potpuno poznato kako neka aplikacija na svakom nivou procesira podatke, a u nekoj taki ih procesira nešto drugaije,
to znai da treba pronai logike greške u indikacijama koje su nastale u toku istrage.
Ako postoji anomalija zbog koje dolazi do pada aplikacije, što samo po sebi nije
neobino i ne sumnjajui na kriminal, treba analizira
log podatke za taj period. Log fajl
indicira prekongurisane podatke, ali programske izmene mogu osta
nezapažene. Na
primer, u jednom sluaju forenziar nije uoio izmenu malog bloka kôda koja ukazuje
da se programer logovao u inkriminisano vreme i programski izmenio vreme logovanja.
Tako je bilo gotovo nemogue dokaza
ovu izmenu na sudu i sluaj je odbaen, a programer nije optužen. Meu
m, to je bio prvi skriveni tok i logino, ako je log usmeravao
na programera morao je postoja
i drugi dokaz koji to podržava, ali ih nije bilo. Istraga
kompjuterskog kriminala nije iskljuivo tehnike prirode, ali tehniki aspekt mora ima
smisla. Ignorisanje bilo koje anomalije može doves
do pogrešnog zakljuka. Ovo je
najteži deo istrage. Ako trag vodi izvan IKT sistema kojem pripada napadnu
raunar,
onda se trag mora rekonstruisa
na Internetu.
M J 39
Iskusni napada nikada ne napada direktno sa svog raunara nego koris
više korumpiranih, posrednih raunara. Napada uspostavlja Trojanca, zamku (trap door), ili
zadnja vrata (backdoor) rutkit tehnikama na posredni raunar i koris
lanac naloga
ovog raunara da dospe do ciljnog raunara žrtve ili slabo zaš
enog raunara u sluaju
phishing napada (pecanja žrtve). Naješe nema geografske korelacije izmeu posrednih raunara i napadaa, a napada esto menja log fajlove da zametne trag. Na s
nain i napada - zaposleni iz mreže može napas
sa udaljene lokacije.
Rekonstrukcija traga napada podrazumeva da se „otkriju znakovi pored svakog puta“
kojim je napada prošao, tj. logovi svakog ulaza u servere, rutere i telefonske centrale,
pri emu mogu nasta
sledei problemi:
• ne postoje, neadekvatni su ili izmenjeni logovi za vremenski period napada,
• isprekidana zaustavljanja izmeu izvora napada i raunara žrtve,
• uskraena saradnja administratora posrednih raunara,
• lažiranje IP adresa (spoong adresa),
• direktni konzolni pristup napadnutom raunaru prikriven izmenom log fajla,
• izmena logova napadnutog raunara, ili drugi trikovi za maskiranje
neovlašnog pristupa,
• postoji samo jedan pokušaj pristupa, bez daljih šansi za traganjem itd.
Rekonstrukcija traga u raunaru u velikoj meri zavisi od log fajlova. Ako je u napad
ukljueno više raunara treba uporedi
vremensku liniju log fajlova svih raunara. Osnovni problem je namerna izmena log podataka nekog posrednog raunara, što dovodi
do pogrešnih zakljuaka forenziara. Log podatke mogu izmeni
i forenziari i drugi
subjek
, što predstavlja problem za pravosue. Zato, ako se izvlae log i drugi podaci,
forenziar obavezno treba da kopira dve zike kopije, jednu referentnu za dokazni
postupak, a drugu za radnu kopiju.
Predavanje nalaza i dokaznog materijala korporacijskim, ili zvaninim organima istrage za dalji postupak, forenziar vrši iskljuivo po odobrenju vlasnika napadnutog
sistema, koji odluuje o daljem toku istrage. U ovoj taki istrage ispoljavaju se i osnovni
problemi korporacijske istrage. Prvi problem je što organizacije, pino, ne pripremaju
svoje organe za istragu, a drugi što ova lica, koliko god da su osposobljena, ne mogu
istraživa
izvan svoje organizacije. Sledei problem je što moraju vodi
rauna o objavljivanju podataka o upadu u IKT sistem organizacije, zbog klijenata, kupaca, potrošaa,
ugleda organizacije i brojnih drugih faktora.
Za korporacijsku digitalnu forenziku istragu organizacija mora uspostavi
forenzike
kapacitete u okviru interventnog ma za upravljanje kompjuterskim incidentom.
Kljune preporuke za uspostavljanje i organizaciju forenzikih kapaciteta u organizaciju
su, [25], [40]:
• Uspostavi
kapacitete za kompjutersku i mrežnu forenziku. Ako organizacija
istragu kompjuterskog incidenta vrši na forenziki ispravan nain, menadžer
može brže i lakše done
ispravnu odluku o daljim akcijama;
40
I J • asno odredi
koji deo forenzikih poslova izvršava interni, a koji deo eksterni
forenziki m na bazi procene individualnih veš
na i sposobnos
, troškova,
vremena za odgovor i osetljivos
podataka;
• Obezbedi
robusne forenzike kapacitete za interventni m za upravljanje
kompjuterskim incidentom, ukljuujui prak
nu obuku lanova ma na aktuelnim forenzikim kursevima za primenu novih forenzikih tehnika i alata;
• U forenzikim ak
vnos
ma obezbedi
ueše više uloga iz organizacije,
ukljuujui specijalsiste zaš
te, forenziare, IKT profesionalce-informa
are,
menadžere, pravnike, savetnike, personal za upravljanje ljudskim resursima,
kontrolore i ziko obezbeenje, koji treba da shvate svoje uloge i odgovornos
u forenzikoj istrazi, da se adekvatno obue i upoznaju sa odnosnim
poli
kama, uputstvima i procedurama;
• Forenzike ak
vnos
precizno obuhva
u poli
kama IKT zaš
te, a organizacija može denisa
i posebnu poli
ku za digitalnu forenziku istragu, uspostavi
m za forenziku istragu i osposobi
druge zapolsene sa ulogama
i odgovornos
ma za izvršavanje forenzikih zadataka. Ova poli
ka treba da
ukljui najmanje sledee:
- Saopštenje koje jasno deniše uloge i odgovornos
svih zaposlenih i spolja
angažovanih uesnika u izvršavanju forenzikih zadataka, jasno navodei
koga i pod kojim okolnos
ma treba kontak
ra
u organizaciji;
- Uputstva i procedure za forenzike akcije koje pod normalnim i posebnim
okolnos
ma treba, a koje ne treba primenjiva
i da obuhvate upotrebu
an
-forenzikih alata i tehnika i nain upravljanja osetljivim nenamerno
izloženim informacijama;
- Forenzike ak
vnos
ugradi
u životni ciklus IKT sistema, što omoguava
ekasnije i efek
vnije upravljanje brojnim inciden
ma. Primer su kontrola
host raunara i uspostavljanje poli
ke zadržavanja podataka za reviziju istorije ak
vnos
sistema i mreže.
- Izradi
i održava
uputstva i procedure za izvršavanje forenzikih zadataka. Uputstvo treba da ukljui generalnu metodologiju za istragu bezbednosnog kompjuterskog incidenta koristei forenzike tehnike, a procedure
treba da objasne kako se izvršavaju ru
nski zadaci i primenjuju forenzike
tehnike i ala.
M J 41
2.4 ISTRAGA AKTIVNOG INCIDENTA STUDIJA SLUAJA
Sa legalnog, tehnikog i e
kog aspekta ovo pitanje je veoma kompleksno. Napadai
ostavljaju razne zamke i vremenske bombe koje se ak
viraju u neodreeno vreme u
korumpiranom raunaru. Da bi se analizirale mogunos
i odredile procedure istrage
a
vnog incidenta pretpostavlja se scenario u kome je napada još na mreži i neka je u
mreži ak
viran ISS skener i neka se koris
forenziki alat SafeSuite na web lokaciji ISP
(Internet servis provajdera).
Napadai na IKT sistem, odnosno raunarsku mrežu ili pojedinaan raunar, nakon
prvog upada, naješe ostavljaju razne zamke (zadnja vrata, trojance), a njihovo prisustvo vešto prikrivaju rutkit tehnikama. Stvarnu štetu/zloupotrebu ovi programi u napadnutom raunaru nanose kasnije bez vidljivih tragova za korisnika. U sluaju otkrivanja
napada, primenjuju se razliite ak
vnos
i odgovarajue mrežne tehnike za postavljanje zamki za presretanje, ulazak u trag, praenje traga i hvatanje napadaa. U sluaju
on-line napada mogue su situacije da je, [20]:
• napada još uvek na mreži,
• u toku direktan napad preko modema (ADSL, kablovskog,…) ili je
• u toku dial-up napad preko telefonske mreže.
2.4.1 Scenario u kojem je napada na mreži
Za simulaciju reagovanja na sluaj napada na IKT sistem u kojem je napada još uvek
na mreži, ak
virani su ISS skener, programski alat SafeSuite, prema lokaciji web servis
provajdera. Izvršeno je ispi
vanje otpornos
sistema zaš
te, simulacijom klasinog
hakerskog napada i napada struktuiranim simulatorom kombinovanih napada.
Normalno je, da dobro zaš
ena mreža ima rewall zaš
tu od raznih napada sa
Interneta. Ovaj p zaš
te ima odvojen DNS (Domain Name Server) sa ogranienim pravima pristupa za pose
oce izvan sistema. Namena servera je da onemogui napadau
izvan sistema da pronae hostove (servere) koji su unutar sistema i da onemogui
pokušaj postavljanja zadnjih vrata, koja bi im omoguila uspešno zaobilaženje rewall-a. Meu
m, imena hostova su prisutna u drugim, skrivenim delovima razdvojnog
DNS, pa je hakeru potrebno samo da zna kako da ih pronae. Naravno, na mreži bez
rewall zaš
te dostupan alat obezbeuje kompletnu listu hostova i PC-a u mreži, internoj za kompaniju, ali eksternoj za javno korišenje.
Sa ovom listom u posedu lako je njuška
po raunarima u potrazi za lozinkom u
nekom od njih. Ako se uspešno krekuje lozinka, pogotovo onih raunara koji su namenjeni da budu unutar mreže i koji imaju manje robustan sistem zaš
te od onih za
javni pristup, lako je vide
konrguraciju servera, što je otvoren poziv za napad. Ako
napada ne uspe krekova
lozinku, taj klijent je bezbedan za rad na web-u.
42
I J U simulacionom testu lako je unutar mreže otkriven PC sa Win 95 OS. PC je bio
logovan na mrežu preko Telnet servisa, koji dopušta pristup sa lozinkom gost. Na prvi
pokušaj pogaanja lozinke sledilo je pitanje”Ko ste vi”. Ono što je sledilo ilustruje primer hvatanja napadaa u toku napada. Na odgovor da je u pitanju test i kontrola otpornos
sistema zaš
te, vlasnik raunara nije proverio da li je to tano, što je bila velika
greška. Drugim reima, ako se uspostavi kontakt sa napadaem u toku napada i ako se
ovaj predstavi, odmah treba preduze
akciju za proveru njegovog iden
teta.
Napada na liniji predstavlja specijalni p pretnje. On zna da je otkriven, ali i da je
raunar koji mu je dopus
o pristup - ranjiv. Od tog trenutka vlasnik raunara treba da
preduzme hitne mere. Mora sazna
kako je napada ušao u sistem. Ako je u pitanju
PC sa Windows OS, lako je utvrdi
upad sa korišenjem naloga gosta. Ako je u pitanju
Unix plaorma host raunara, treba nekoloko neposrednih koraka da se otkrije šta se
dešava. Napadi koji dolaze sa dial-up veze (telefona) mogu bi
lakši za otkrivanje. Postoje dva osnovna napada direktnim biranjem telefona:
• direktan napad na raunar i
• napad na sistem centrale.
2.4.1.1 Sluaj direktnog napada
Interesantno je koliko slabo u praksi sistem administratori zaš
uju direktno vezane
modeme na kri
nim hostovima.
U sluaju nezaš
enog modema na Unix mašini, mogue je setova
com port sa
modemom za automatski odgovor. Iste mogunos
imaju Windows OS. Postoji mnogo
programa za udaljeni pristupa, kao što su: PCAnywhere, LapLink, ReachOut i stari CarbonCopy. Svi ovi programi imaju ogranienu zaš
tu lozinkom. Kada je napada jednom
izabrao vaš broj i nalazi se na liniji i u raunaru, jedina je mogunost da mu se ue u
trag, angažovanje telefonske kompanije, što podrazumeva ukljuivanje zvaninih organa istrage. Tu se mnoge organizacije prelome i prestanu traga
za napadaem. U tom
trenutku treba pra
ak
vnos
napadaa u internoj mreži. Omiljen trik napadaa je
postavljanje snifera i kupljenje lozinke. Potrebno je odredi
koji nalog je napada ukrao
i upao u telefonski sistem. Za
m treba pra
trag napadaa u mreži i otkri
šta radi.
Ovaj proces zahteva uporno proveravanje više log fajlova u serverima mreže.
Neki povi sovera za daljinski pristup zahtevaju da host PC bude logovan na lokalnu mrežu (LAN) da bi dopus
o legi
mnim uesnicima pristup LANu. Kada ve dobije
pristup PCu, napada može luta
po LANu kao legalni PC korisnik. Ovde log podaci mogu
bi
od slabe koris
, jer su podaci o legi
mnim korisnicima pomešani sa maskiranim
napadaima.
Ako je napadnu
raunar imao ak
viran sistem logovanja, može se uz pomo vlasnika raunara odredi
kada se neovlašeni napad dogodio i koris
to kao polaznu taku
istrage akcija napadaa. Iako ova potraga lii na traženje igle u plastu sena, forenziki
ala
nude mogua rešenja. To su ala
za otkrivanje podataka u skrivenim zonama HD
M J 43
(slack i nealocirani prostori klastera, swap fajlovi i dr.). Može se desi
da ime ili adresa
napadaa ostane zapisana u ovim zonama. Mogue je, takoe, da se cela ekskurzija
napadaa kroz mrežu pojavi na udaljenom raunaru kroz kojeg je napada pristupio u
mrežu (prvo birao telefonom). Ako se napravi miror slika tog raunara i analizira, tu je
sve što je potrebno za otkrivanje traga napadaa u mreži. ak i kada napada više nije
na mreži, mogue mu je postavi
zamku za sledei napad. Kada se otkrije napada na
linji postoji mogunost da se zadrži dovoljno dugo dok se ne postavi zamka za praenje
traga, prekine veza u kom sluaju treba oekiva
da se napada vra
, ili uini nešto da
se napada uplaši i više nikada ne vra
natrag.
Ako se donese odluka za postavljanje zamke i praenje traga napadaa, kako e se
to uradi
zavisi od toga kako je napada prikljuen. Ako napada dolazi sa Interneta, ili
spoljne RM, potrebna je saradnja sa administratorima duž puta kretanja napadaa, a
ako napada dolazi preko telefonske linije, potrebna je saradnja sa telefonskom kompanijom.
2.4.1.2 Sluaj napada preko telefonske centrale
U sluaju napada na telefonsku centralu potreban je sudski nalog za postavljanje
zamke za napadaa (prisluškivanje linije) i praenje traga napadaa. Uporeivanjem
vremena pristupa u log fajlu napadnutog raunara sa vremenom pristupa u pen registru svih dolaznih poziva u telefonskoj centrali, može se otkri
trag napadaa. Potpuni
sistem zamke i praenja traga prikuplja informacije koje prolaze telefonskom linijom,
kao i izvore poziva.
Postavljanje zamke i praenje traga u sluaju mrežnog pristupa znatno je teže. U
veini sluajeva samo se može nagaa
odakle napada sa Interneta dolazi, pošto
’skae’ iz sistema u sistem da bi izbegao detekciju (IDS/IPS). Važno je krenu
u akciju vrlo
brzo i uz pomo neposrednog sistem administratora može se otkri
trag napadaa.
Pažljivi napada uvek proverava da li je administrator mreže na liniji. edan od
naina da se skrene pažnja sa administratora je uklanjanje svih referenci koje upuuju
na administratora, a drugi davanje benignog naloga i maskiranje naloga administratora,
kako rade i hakeri. Na primer, vešt napada obino ulazi u sistem pomou ukradenog
naloga. Kada administrator lis
ra korisnike na lniji (on line), napada vidi samo poznate
login podatke. Administrator uvek treba da izbegava logovanje sa konzole u rutu. Ako
administrator trenutno izvrši zadatak može se dobro sakri
i posmatra
napadaa bez
podizanja alarma.
2.4.1.3 Mrežne tehnike za postavljanja zamke i praenje traga napadaa
U traganju za lokacijom napadaa na liniji, treba poe
sa otkrivanjem IP adrese,
ili punog imena domena lokacije napadaa. Ovim podacima ne treba previše verova
.
44
I J Ime napadaa uglavnom nije stvarno, nego je to samo lokacija na kojoj je ukrao nalog.
Podatak treba zapisa
kao i sistemsko vreme na napadnutom raunaru.
Dalje je potrebno vide
šta napada radi u sistemu, posmatranjem tekuih procesa
(u Task manageru kod Windows OS). Treba uoi
sve procese koje nije mogue objasni
, a registrova
proces u kojem se sumnja da je napada u toku.
Posebno treba usmeri
pažnju na skenere (snifere), omiljeno sredstvo hakera za
traženje lozinke. Veš
hakeri obino preimenuju snifer, mul
pliciranjem instanci deamon ili servisa. Za mnogo više informacija o tome odakle dolazi napada moraju se
primeni
isto hakerske tehnike sa puno veš
ne, brzine i pogaanja, zavisno od toga
šta se vidi, kao u borbi dva iskusna hakera.
Za
m treba pokuša
sazna
nešto o sajtu sa koga je napad došao, ako ne o samom
napadau, ono o nalogu kojeg je ukrao. Odgovarajuim komandama (zavisno od platforme) saznaju se izvorna lokacija, ime i broj telefona administratora lokacije. Može se
sazna
nešto o ukradenom nalogu sa te lokacije. Ne treba bi
iznenaen ako pripada
samom administratoru te web lokacije. Ako je administrator koopera
van i sa ovim
informacijama može se poe
traganje za napadaem reverznim putem.
Ako je mogue treba izvrši
svaki online zadatak sa drugog raunara, da se izbegne
skretanje pažnje na forenziarske ak
vnos
. Ceo ovaj postupak ne sme da traje više
od par minuta. Sve akcije treba zabeleži
, vremena, adrese, korisnika imena i drugo.
Meu
m postoji itav skup okolnos
vezanih za napad sa telefonske linije umesto
preko Interneta. Za ove ak
vnos
potrebno je saradnja i odobrenje nadležnih zvaninih
organa. Generalno svako postavljanje zamke napadau podleže zakonu o prisluškivanju
linija. Kako se e-mail smatra “tranzitom” podataka po žici, to i snifovanje e-pošte pripada tom zakonu. Ako napadnu
IKT sistem ima sistem zaš
te koji neprekidno skenira
mrežni saobraaj i skuplja informacije o normalnim ak
vnos
ma, a posebno o neregluarnos
ma, šanse za ulazak u trag napadau su znatno vee. Ako se ignoriše otkriveni
napada na liniji, posledice mogu bi
ošteenja sistema. Drugo, napada može iskoris
neki sistem za novi napad u ili izvan tog sistema, što može nane
i druge vrste
štete. Uplaši
se i pobei potpuno je amaterski. Iskusan napada može o
i, ako mu
se administrator suprotstavi, ali se sigurno vraa. Ne preporuuje se ulazak u dijalog sa
napadaem. To je gubljenje vremena i ništa se ne pos
že.
Zamke (zadnja vrata, Trojanci) su mehanizmi koje hakeri ostavljaju na napadnutom
raunaru, a koji im omoguavaju kasniji povratak, bez nove kompromitacije raunara.
Ideja je da se zamka postavi na nekoj ulaznoj taki u kompromitovani raunar, tako da
je administrator ne otkrije i ukloni. Ako administrator otkrije metod originalnog upada,
može zatvori
rupu i sprei
upad napadaa. Meu
m, dobro skrivanje zamke je izbor
napadaa. Ovaj mehanizam omoguava napadau da se bezbrižno vra
kasnije i završi
napad, posebno kada je otkriven na liniji, >18@.
Potrebno je pra
razvoj i upozna
se sa brojnim malicioznim metodama i tehnikama hakera za postavljanje zamki, kao i osposobi
administratore da razumeju kako
da spree napadae da se vrate u kompromitovani sistem. Zamke za veinu napadaa
M J 45
obezbeuju nevidljiv povratak u mašinu u najkraem vremenu, ak i kada administrator pokuša da je obezbedi, na primer promenom svih lozinki i u veini sluajeva izbegavanje logovanja.
U nekim sluajevima hakeri koriste ranjivos
(bagove) sistema kao jedine zamke.
Tako ranjivost sistema ostaje jedina nedetektovana zamka u sistemu. Zavisno od pa
plaorme napadnutog raunara razvijen je veliki broj zamki koje se mogu svrsta
u
brojne, esto promenljive kategirije: za krekovanje lozinke, „Rhosts++”, za eksumu i
mestamp, za login fajlovu, postavljene daljinski (telnet), za servise, Cronjob, za biblioteke, u kernelu, u fajl sistemu, na butabilnom bloku itd.
Hakeri naješe žele sakri
programe koje kasnije ak
viraju. To su naješe krekeri
lozinki ili sniferi. Postoji nekoliko metoda skrivanja zamki od kojih su naješe:
• promena imena u ime drugog procesa,
• preimenovanje sniferskog programa u legi
man servis kao u syslog, koji se
ak
vira kad administrator kuca neku komandu, ili gleda koji procesi su ak
vni,
a pojavi se ime standardnog servisa,
• modikovana biblioteka ru
na tako da se na komandu ne pokazuju svi procesi,
• peovana (zakrpljena) zamka u ru
nu koju ak
vira prekid rada, tako da se ona
ne pojavljuju u tabeli ak
vnih procesa i
• modikovani kernel tako da se neki procesi ne vide.
Hakeri ne samo da žele sakri
svoj trag u mašini, nego ga žele što je mogue više
sakri
i u mrežnom saobraaju. Ove zamke za mrežni saobraaj ponekad dopuštaju
hakeru da dobije pristup kroz rewall. Postoj brojni programi zamki za mrežni saobraaj
koji omoguavaju hakeru da se postavi na odreeni broj porta mašine i dobije pristup bez korišenja normalnih servisa. Pošto mrežni saobraaj ide preko nestandardnog mrežnog porta, administrator može previde
hakera u saobraaju. Ove zamke za
mrežni saobraaj pino koriste TCP, UDP i ICMP, ali mogu koris
razne vrste paketa,
ukljuujui i šifrovanu zamku.
Haker može postavi
zamku za TCP šel na neki visok broj porta, po mogunos
gde
rewall ne blokira taj TCP port. esto su zadnja vrata zaš
ena lozinkom, tako da kada
se administrator konektuje na njega, pristup šelu se trenutno nee vide
. Administrator može traži
ove veze sa Netstat alatom da otkrije koji se portovi slušaju i gde i
odakle idu tekue veze. Ovaj p zadnjih vrata esto omoguava hakeru da probije TCP
Wrapper tehnologiju. Ova zadnja vrata mogu bi
ak
virana na SMTP portu, kroz koji
mnogi rewalls dopuštaju saobraaj za e-poštu.
Savremeni proak
vni sistemi za detekciju i spreavanje upada u sistem (IPS-Intrusion
Protecon Systems) obezbeuju inteligentnu tehniku za hvatanje napadaa poznatu
kao up meda (honypot). Ove tehnike omoguavaju ’zarobljavanje’ hakera u napadnutom sistemu, kada se jednom otkrije. Generalna tehnika honypot obuhvata sledee
ak
vnos
, [9]:
46
I J • Sazna
koji nalog haker koris
za pristup sistemu. Ako je nalog ukraden, stvarnom vlasniku da
novi nalog, a ukradeni drža
ak
vnim. Promeni
prava
ukradenog naloga da se ogranie njegove mogunos
da kreira direktorijume
koji sadrže vrlo velike i sumnjive fajlove;
• Ako haker dugo luta sistemom prime
e rekonguraciju i posta
sumnjiav.
Takoe verovatno nije sasvim poznato koja e informacija doves
u iskušenje
hakera da je preuzme (daunloduje);
• Cilj je smes
hakera u bezopasnu zonu sistema (što je teško uini
ako haker
ue u rut), doves
ga u zabludu i naves
na vrlo obimno daunlodovanje. U
toku dugog procesa daunlodovanja, izuava
napadaa i pokušava
ui u trag
izvora napada;
• Iako je vreme dugo, nema garancije da e haker osta
svo vreme u sistemu,
može jednostavno prei na drugi kompromitovani raunar i traži
to tamo. Kada
haker pronae da je fajl lažan, uinie virtuelni prekid gubi mu se svaki trag;
• Drugi problem je što haker može pobei, alarmiran rekonguracijom sistema.
Zato je honypot poslednje rešenje;
• Ako se želi sudsko gonjenje napadaa u primenu ove tehnike treba ukljui
zvanine organe istrage.
2.5 TIM ZA ISTRAGU KOMPJUTERSKOG KRIMINALA
Istragu kompjuterskog kriminala mogu ekasno vrši
samo visoko-specijalizovani
struni kadrovi u interventnim movima nadležnih državnih organa sa odgovarajuim
kapacite
ma. Takav pristup jedino omoguava valjanu istragu i nain da se sakupe,
sauvaju i na sudu veštae digitalni dokazi o izvršenom kompjuterskom kriminalu.
Uspešan i ekasan rad interventnih mova može se obezbedi
samo odgovarajuom
specijalis
kom obukom lanova ma, [25].
2.5.1 Interventni m za korporacijsku istragu kompjuterskog incidenta
Naješa praksa je da organizacije izvrše vlas
tu inicijalnu istragu kompjuterskog
incidenta na nivou organizacije, utvrde karakter incidenta i tek onda, donesu odluku o
pozivanju zvaninih organa istrage kompjuterskog kriminala. Uloga korporacijskih organa za istragu zloupotreba u IKT sistemu ograniena je zato što veina organizacija
nije opremljena odgovarajuim kapacite
ma za forenziku istragu i analizu i što ovi organi istrage nemaju sva zakonska ovlašenja za otkrivanje traga do napadaa i zaplenu
raunarskih sistema napadaa kao dokaznog materijala.
Dobro rešenje je angažovanje strunog konsultanta za inicijalnu istragu, akviziciju
i forenziku analizu digitalnih dokaza i vodi
istragu vlas
m snagama, najmanje do
M J 47
trenutka utvrivanja prirode incidenta i donošenja odluke o (ne)ukljuivanju zvaninih
istražnih organa, što se na kraju naješe uini. Organizacija, može formira
svoj interventni m (CIRT) za brzo reagovanje i istragu kompjuterskog incidenta, a prazninu u
stalnom mu popuni
pridruženim (pomonim) lanovima - strunim konsultantom,
naješe tehnikim ekspertom u oblas
zaš
te IKT sistema, kontrole (auding) sistema
zaš
te i digitalnim forenziarom. Naravno, konsultant može bi
i privatna informa
ka
rma sa znanjem i iskustvom u ovoj oblas
, kadrovski i materijalno opremljena i osposobljena za istragu i forenziku analizu digitalnih dokaza, [10].
2.6 REZULTATI KORPORACIJSKE ISTRAGE KOMPJUTERSKOG
INCIDENTNA
Generalno, istraga kompjuterskog kriminala i drugih sluajeva zloupotreba u IKT
sistema esto se može završi
bez hapšenja, suenja i sankcionisanja poinioca, što se
dešava iz više razloga:
• Gubljenja traga, kada proe suviše vremena od incidenta i nema dokaza;
• Nekompletnog logovanja, ili uopšte nema logovanja;
• Cena istrage je vea nego gubici nastali usled incidenta i nije rentabilno nastavi
istragu;
• Velik prostor skrivanja poinioca (Internet), a incident se dogodio samo jedanput, sa malo ili bez imalo dokaza;
• Incident nije sasvim odreen, nije jasno da li je, ili nije bezbednosni incident;
• Ne može se nepobitno ukaza
na poinioca i nema dovoljno dokaza;
• Postoji poli
ki, ili drugi pri
sak da se istraga zaustavi;
• Zataškavanje istrage itd.
Ako se izvrši i komple
ra istraga kompjuterskog incidenta obavezno je dostavi
Izveštaj o istrazi. U sluaju korporacijske istrage Izveštaj se dostavlja vlasniku sistema za
dalje odluivanje o sudbini istrage, ili nadležnim zvaninim organima za dalji pravosudni
postupak. Dokument Izveštaj o istrazi treba da sadrži najmanje sledee celine [34]:
48
I J Apstrakt istrage
Opis dogoaja
Kratka metodologija istrage
Kratak opis skupljanja dokaza i metoda uvanja is
h
Zakljuak sa kratkim uopštenim rezonima
Metodološki detalji
Istraga
Skupljanje i uvanje dokaza
Nalaz 1 – Opis
Diskusija
Dokazi koji potvruju
..............................................
Nalaz N – Opis
Diskusija
Dokazi koji potvruju
Kratak sadržaj i zakljuci
Dodatak
Lista ispitanih (intervijuisanih)
Lista dokaza
Sw i ala
korišeni u istrazi
IT eksper
i konsultan
Kontak
na mes
ma koja su saraivala (posrednici)
Drugi važni lis
nzi i informacije
Važno je naglasi
da li je prikupljanje i uvanje dokaza bilo/nije u skladu sa zakonom
o istražnom postupku i da li su informa
vni razgovori i saslušanja u toku istrage propisno vršeni primenom 7-stepenog metoda:
1. pripreme strategije saslušanja,
2. voenja razgovora,
3. uspostavljanja kredibiliteta kod osumnjienog,
4. smanjenje otpora osumnjienog,
5. dobijanje (izvlaenje) priznanja,
6. razvoj i eksploatacija priznanja i
7. profesionalno zatvaranje saslušanja.
M J 49
REZIME
Proces digitalne forenzike istrage nije jednostavan ni
is
za sve pove kriminala, ali postoje neke slinos
- svi povi zahtevaju strukturu istražnog procesa, profesionalce koji razumeju predmetnu metodologiju i tehnologiju i profesionalce koji
vode istražni postupak. Obe ove sposobnos
se retko mogu nai u jednoj osobi. Za
m, svi povi kompjuterskog kriminala zahtevaju odgovore na pitanja: ko, šta, gde,
kada i zašto?
Najvei deo digitalne forenzike odnosi se na forenziku raunarskih sistema, ili
kompjuersku forenziku. Digitalna forenzika raunarske mreže, ukljuujui i Internet
ili kiberneka forenzika, otkriva i sakuplja informacije o tome kako je napada dobio
pristup raunarskoj mreži. Generalno, digitalna forenzika istraga može se podeli
u dve osnovne kategorije: zvanina (javna) i korporacijska (privatna) digitalna
forenzika istraga.
Opš
proces zvanine istrage bezbednosnog kompjuterskog incidenta, sa pristupom istrazi po modelu »korak po korak”, obuhvata: inicijalnu istragu (pretragu), ulazak u trag napadau, otkrivanje iden
teta napadaa i hapšenje.
Korporacijsku digitalnu forenziku istragu, organizacija može izvrši
sopstvenim
mom, iznajmljenim mom ili kombinovanim mom. Kada rezulta
istrage ukažu
na trag napadaa izvan organizacije ili se zahteva hapšenje napadaa, mora se
angažova
zvanini organ istrage. Proces korporacijske istrage u veini sluajeva
obuhvata tri kljune faze: pokretanje istrage, odreivanje karaktera kompjuterskog
incidenta i analizu prikupljenih digitalnih podataka.
Da bi uspeh korporacijske istrage kompjuterskog incidenta bio potpun, ove tri
faze istrage treba izvršava
kroz sukcesivno izvršavanje 7 sledeih koraka: eliminisa
oiglednos
, postavi
hipotezu o napadu, rekonstruisa
krivino delo, otkri
trag do
osumnjienog raunara sa koga je napad izvršen, analizira
izvorni, ciljni i posredne
raunare, skupi
dokaze, ukljuujui, ako je mogue i sam raunarski sistem i preda
nalaze i dokazni materijal korporacijskim, ili zvaninim organima istrage za dalji
postupak.
Istraga ak
vnog kompjuterskog incidenta veoma je kompleksna sa legalnog,
tehnikog i e
kog aspekta i naješe zahteva angažovanje ISP i telefonskih provajdera izvan granica države napadnutog raunara. Istraga ak
vnog on-line napada
može obuhva
sluaj: napadaa na mreži, direktan napad preko modema i dial-up
napad preko telefonkse mreže.
Brojni bezbednosni kompjuterski inciden
ukljuujui i kompjuterski kriminal mogli bi se upravlja
ekasnije i efek
vnije, ako se forenzike procedure ugrade u životni
ciklus sistema IKT zaš
te. Vee organizacije pino izgrauju sopstvene kapacitete za
upravljanje kompjuterskim incidentom, ukljuujui uspostavljanje interventnog ma.
Ovaj m pored tehniki kompetentnih lica treba da ukljui i predstavnika izvršnih
mendžera, pravnika i menadžera za upravljanje ljudskim resursima i korporacijskog
digitalnog forenziara. Korporacijski m dostavlja izveštaj o rezulta
ma istrage vlasniku/menadžeru organizacije, koji donose odluku o daljem toku istrage.
50
I J PITANJA ZA PONAVLJANJE
1. Navedite neka pitanja na koja zvanini organ istrage mora nai odgovore u
utvrivanju karaktera krivinog dela kompjuterskog kriminala.
2. Nabrojte e
ri osnovne faze procesa zvanine istrage kompjuterskog incidenta.
3. Nabrojte i obrazložite tri kljuna faktora koji u
u na odluku organizacije o
ukljuivanju internog, ili eksternog ma u digitalnu forenziku istragu.
4. Nabrojte nekoliko pova zadataka u kojima se mogu koris
forenzike tehnike i ala
.
5. Navedite tri glavne grupe primarnih korisnika forenzikih alata i tehnika unutar neke organizacije.
6. Koje su tri glavne faze procesa korporacijske istrage?
7. Navedite šest kljunih koraka istrage kompjuterskog incidenta u svakoj fazi
istrage.
8. Opišite glavne probleme koji mogu nasta
kod predavanja nalaza i dokaznog
materijala korporacijskim, ili zvaninim organima istrage.
9. Nabrojte pet osnovnih preporuka za uspostavljanje forenzikih kapaciteta organizacije.
10.Koje su mogue situacije u sluaju ak
vnog online napada u toku?
11.Navedite op
malni sastav interventnog ma za korporacijsku istragu kompjuterskog incidenta.
M J 51
3. FUNKCIONALNI MODELI DIGITALNE FORENZIKE ISTRAGE
3.1 MODEL ISTRAGE FIZIKOG MESTA KRIVINOG DELA
Sa aspekta teorije istrage, konsultovana je brojna literatura za istragu zikog mesta
krivinog dela, [4], [8], [12]. Glavne faze istrage zikog mesta krivinog dela su:
• Obezbeivanje, ksiranje mesta krivinog dela: prvi korak je da se pomogne
povreenima, za
m sledi potraga za osumnjienima i hapšenje osumnjienih
i zadržavanje svih svedoka. Fiziko mesto krivinog dela mora bi
osigurano, a pristup omoguen samo ovlašenim licima, istražnim organima,
(kriminalis
ki inspektor, sudski istražitelj, forenziar sudske medicine itd.).
• Pretraga mesta krivinog dela: organ istrage pažljivo pretražuje mesto
krivinog dela, iden
kuje oigledne delove dokaza i kratkotrajne dokaze
(krv, sluz, sperma, pljuvaka itd.). Dokumentuju se poetna opažanja pa ko,
šta, gde, kada, kako i kreira poetna teorija - hipoteza sluaja.
• Dokumentovanje mesta krivinog dela: mesto krivinog dela dokumentuje
se fotograsanjem, skiciranjem i snimanjem digitalnog video snimka. Dokaze
treba jednoznano oznai
, potpuno dokumentova
i sakupi
za analizu.
• Istraga mesta krivinog dela: brojni obrasci istrage koriste se da bi se iden
kovali dodatni dokazi koji nisu otkriveni u predistražnom postupku (pretrazi). Teorija razvijena u pretrazi koris
se za istragu specinih dokaza koji
nedostaju (npr., oružje kojim je poinjeno ubistvo).
• Rekonstrukcija krivinog dela: dogaaji koji su se dogodili na mestu krivinog
dela odreuju se na osnovu izgleda mesta krivinog dela, mesta i pozicije
zikih dokaza, analiziranih rezultata iz forenzike laboratorije i naunih metoda primenjenih u istrazi i analizi dokaza. Ovaj opš
model omoguava kompletnu dokumentaciju mesta zloina i koris
iskustvo istražnog organa da bi
se došlo do korisnih dokaza. Svi ziki predme
ne mogu da se uzmu sa mesta
krivinog dela, tako da Faza Istrage mesta krivinog dela mora bi
potpuna
da bi se sakupili potrebni dokazi, ali ne sme se preoptere
laboratorija sa
predme
ma koji nemaju veze sa sluajem, (slika 3.1).
Slika 3.1 Fiziko mesto krivinog dela kompjuterskog kriminala
52
I J 3.2 MODEL ZVANINE ISTRAGE DIGITALNOG MESTA KRIVINOG DELA
U SAD “Department of Jusce” objavio je model procesa istrage u “Vodiu za istragu
elektronske scene zloina”,[9]. Vodi potpuno odgovara istrazi zikog mesta krivinog
dela, tako da je akcenat stavljen na zahteve istrage klasinog kriminala, a malo pažnje
se obraa na forenziku analizu izvora digitalnih podataka. Faze modela su sledee:
• Priprema: pripremi
opremu i alat potreban za istragu;
• Sakupljanje: nai i sakupi
elektronske (digitalne) dokaze;
• Osiguranje i procena mesta krivinog dela: obezbedi
mesto krivinog dela
radi bezbednos
lica i integriteta podatka i iden
kova
potencijalne dokaze;
• Dokumentovanje mesta krivinog dela: dokumentova
ziki opis mesta
krivinog dela ukljuujui fotograje raunarskog sistema;
• Sakupljanje dokaza: ala
ma za forenziku akvizicijui izvui podatke iz raunara,
privremeno oduze
ziki raunarski sistem, ili napravi
ziku (miror) kopiju
podataka na forenzikom raunarskom sistemu;
• Pregled/pretraga: tehniki pregled i ispi
vanje sistema radi nalaženja potencijalnih dokaza;
• Analiza: digitalna forenzika analiza hardverskim i/ili soverskim ala
ma digitalnih podataka raunarskog sistema i memorijskih medijuma; analiza rezultata tehnikog pregleda i drugog dokaznog materijala radi procene njihovog
znaaja za sluaj;
• Izveštavanje: izveštaj se pravi posle svakog sluaja kompjuterskog (incidenta)
kriminala.
3.3 KORPORACIJSKI MODEL ISTRAGE KOMPJUTERSKOG INCIDENTA
Funkcionalni korporacijski model istrage bezbednosnog kompjuterskog incidenta
obuhvata sledee faze, [17], [25]:
• Priprema za saniranje incidenta: sa odgovarajuom obukom i infrastrukturom;
• Detekcija incidenta: iden
kova
sumnjivi incident na bazi praenja
nagoveštaja i idnikatora;
• Prva reakcija: prepozna
i potvrdi
da se incident dogodio, sakupi
preliminarne, nestabilne i posredne dokaze (koji se vremenom degradiraju i lako namerno menjaju);
• Formulisanje strategije reakcije: na bazi pozna
h indikatora incidenta;
• Dupliranje dokaza incidenta: napravi
ziku (miror, imidž) sliku kompromitovanog/ ispi
vanog sistema;
M J 53
• Digitalna forenzika istraga: akvizicija i analiza digitalnih podataka, ispita
vanje sistema radi iden
kacije ko, šta i kako je izvršio napad;
• Implementacija mera zašte: izolova
kompromitovan sistem pre nego što se
oporave podaci i sistem vra
u normalni režim rada;
• Nadzor mreže: posmatra
mrežu radi praenja i iden
kacije ponovljenih napada;
• Oporavak sistema: vra
sistem u originalno stanje sa dodatnim, veim
merama zaš
te;
• Izveštavanje: dokumentova
sve ak
vnos
reakcije na incident i dostavi
izveštaj;
• Završna faza: revidira
proces saniranja incidenta, izvui potrebna iskustva i
eventualno poboljša
procese upravljanja bezbednosnim incidentom.
3.4 MODEL INTEGRISANI PROCESA DIGITALNE
FORENZIKE ISTRAGE
Ovaj model istrage koris
veinu faza prethodnih modela istrage, ali problemu prilazi sa druge take gledišta. Model koris
pretpostavku da je raunar sam po sebi mesto
krivinog dela, odnosno, digitalno mesto krivinog dela. Za otkrivanje zikih dokaza
kompjuterskog kriminala, model primenjuje metod i tehnike istrage zikog mesta
krivinog dela, koris
prirodne zakone o razmeni materije dva objekta u kontaktu11 i
bogata iskustva iz istrage klasinog kriminala. U istrazi digitalnog mesta krivinog dela
model koris
programski kôd – binarne zapise za otkrivanje digitalnih dokaza, [6].
U istrazi zikog mesta krivinog dela, najpozna
ja primenjena teorija je Lokardov
zakon razmene materije, [38]: “Kada dva objekta dou u kontakt, doi e do razmene
materije izmeu njih”. Na primer, dlake i vlakna sa tela zloinca esto se zadržavaju na
zikom mestu krivinog dela. Slian efekat se dešava u digitalnom mestu krivinog
dela. Privremeni fajlovi, sadržaj primarne (RAM) memorije koji je snimljen na vrstom
disku (tzv. Swap fajl), izbrisani delovi fajlova, mogu osta
u raunarskom sistemu u tzv.
fajl slack prostoru i nealociranom prostoru klastera na vrstom disku, zbog delovanja
sovera – aplikacija, pomonih alata, OS itd., koje je osumnjieni koris
o i izvršavao
u toku napada. Podaci ulaze i ostaju u digitalnom mestu krivinog dela, ostavljajui
tragove digitalnog dokaza iza sebe na raznim mes
ma u memorijskim elemen
ma
raunarskog sistema - hard disku, RAM memoriji, registrima, pokretnim memorijskim
elemen
ma (USB, CD-ROM, DVD) itd. Rad digitalnog forenziara u potpunos
zavisi od
rada opera
vnog sistema i aplika
vnih programa, zato što oni nezavisno od korisnika
kontrolišu koji dokaz je napisan i u kojem delu memorijskih lokacija.
11 Lokardov princip razmene materije.
54
I J Koristei koncept da je kompjuter sam za sebe digitalno mesto krivinog dela,
može se zrela teorija istrage zikog mesta krivinog dela u potpunos
primeni
na
digitalnu forenziku istragu. Pri tome se forenzika istraga digitalnog mesta krivinog
dela integriše sa istragom zikog mesta krivinog dela, tako da se mogu sakupi
svi
relevantni ziki i digitalni dokazi o ak
vnos
ma napadaa. U ovom modelu istrage
kompjuterskog kriminala, digitalno mesto krivinog dela može se smatra
sekundarnim
mestom krivinog dela, u odnosu na primarno ziko mesto krivinog dela – sto i prostorija u kojoj se nalazi ispi
vani raunar.
U ovoj oblas
, postoje brojne interpretacije i mišljenja oko terminologije i kljunih
rei. Da bi se spreila konfuzija, potreba je denisa
osnovne termine procesa digitalne
forenzike istrage, tako da najtanije odražavaju izabrani pristup problemu, [6], [8]:
• Fiziki dokaz: ziki objek
koji mogu potvrdi
da je krivino delo poinjeno i/
ili koji povezuju zloinca i žrtvu, i/ili zloin i zloinca. Primeri zikog dokaza u
kompjuterskom kriminalu su raunar, vrs
disk, PDA, CD-ROM itd. koji sadrže
digitalne dokaze o izvršenom krivinom delu kompjuterskog kriminala
• Digitalni dokaz: digitalni podatak koji može potvrdi
da je kompjuterski kriminal poinjen i koji može da dovede u vezu krivino delo kompjuterskog kriminala i njegovog izvršioca. Primeri digitalnog dokaza su digitalni podatak u
memoriji, na vrstom disku, ili u mobilnom telefonu koji ukazuje na pristup i
izvršenu akciju napadaa u ispi
vanom raunaru.
• Fiziko mesto krivinog dela: ziko okruženje gde postoje ziki dokazi
krivinog dela ili incidenta. Okruženje gde se prvo krivino delo dogodilo naziva se primarno ziko mesto krivinog dela (npr. prostorija sa raunarom iz
koje je osumnjieni napada izvršio napad), a sledee ziko mesto je sekundarno ziko mesto krivinog dela (npr., prostorija sa posrednim raunarom
preko kojeg je napada izvršio napad na raunar – žrtvu).
• Digitalno mesto krivinog dela: virtuelno okruženje koje se sastoji od hardvera i sovera gde postoje potencijalni digitalni dokazi krivinog dela kompjuterskog kriminala, ili kompjuterskog incidenta. Okruženje gde se prvi kriminalni akt dogodio je primarno digitalno mesto krivinog dela (npr., raunar
osumnjienog napadaa), a sledea mesta nazivaju se sekundarnim digitalnim
mesma krivinog dela (npr., posredni, kompromitovani raunar sa kojeg je
napada izvršio napad na raunar – žrtvu). esto se praenje traga napadaa
kree od napadnutog raunara, preko posrednih raunara, pa do raunara
napadaa, u kom sluaju je raunar žrtva primarno digitalno mesto krivinog
dela kompjuterskog kriminala.
• Revizija i analiza: oznaava da se neki objekat raunarskog sistema, ili
raunarske mreže, može procesira
na razliite forenziki ispravne naine, da
se iz njega mogu prikupi
, analizira
i kontrolisa
podaci, relevantni za izgrdanju vrs
h, neoborivih digitalnih dokaza.
M J 55
Model integrisanih procesa digitalne forenzike istrage primenljiv je na korporacijsku i zvaninu istragu. Zbog toga se izrazi “mesto krivinog dela” i “incident” koriste
u opštem smislu. Primeri zikog mesta krivinog dela kompjuterskog kriminala su
prostorija i sto na kome se nalazi raunar osumnjienog napadaa, centar za obradu
podataka u kojem je napadnu
server, soba za istragu deije pornograje, ili kola u
kojim je ubijen ovek, a na suvozaevom sedištu stoji otvoren laptop. Bezbednosni incident je bilo koja serija dogaaja koji se razlikuju od logovanih standardnih dogaaja u
raunarskom sistemu (events) i zahtevaju reagovanje interventnog ma za upravljanje
kompjuterskim incidentom, ili forenzikog ma za prikupljanje digitalnih dokaza. Ovo
ukljuuje upad u server, izdavanje naloga za pretres kue osumnjienog i reagovanje
specijalne jedinice MUP-a za borbu pro
v visokotehnološkog (kompjuterskog ) kriminala, na primer na hitni poziv 92 ili 911.
Pretpostavlja se da je veliina zikog mesta krivinog dela inicijalno denisana
prirodnim granicama neposrednog okruženja potencijalnih/pozna
h digitalnih dokaza.
Na primer, ukoliko je klasian zloin ubistva poinjen u kui, onda kua i imanje oko nje
mogu bi
inicijalno ziko mesto krivinog dela, a ova veliina se kasnije može poveava
ili smanjiva
, zavisno od novih dokaza koji se otkriju u toku istrage. Za raunarski sistem,
inicijalno digitalno mesto krivinog dela je pino virtuelno okruženje kreirano lokalnim hardverom, periferijamai sistemskim i aplika
vnim programima. Svaki pojedinani
raunar, ukljuen u incident, najbolje je tre
ra
kao zasebno digitalno mesto krivinog
dela kompjuterskog kriminala.
Model integrisanih procesa istrage kompjuterskog kriminala ima 17 faza organizovanih u pet grupa (slika 3.2), [6]:
• Faza pripreme;
• Faza razvoja;
• Faza istrage zikog mesta krivinog dela;
• Faza istrage digitalnog mesta krivinog dela;
• Faza provere (kontrole).
Slika 3.2 Faze modela integrisanih procesa digitalne forenzike istrage
56
I J Na slici 3.2. vidi se da se istrage zikog mesta izvodi uporedo sa istragom digitalnog mesta krivinog dela kompjuterskog kriminala. U izgradnji vrs
h, neoborivih
dokaza, rezulta
istrage digitalnog mesta krivinog dela integrišu se sa rezulta
ma istrage zikog mesta krivinog dela kompjuterskg kriminala.
3.4.1 Faza pripreme
Cilj ove faze je da osigura potpunu operavnu i infrastrukturnu pripremu i podršku
procesa digitalne forenzike istrage. Digitalni i ziki dokazi mogu bi
izgubljeni ukoliko
nisu sakupljeni, skladišteni i zaš
eni (uvani) na forenziki ispravan nain. Ova faza
traje u kon
nuitetu i nije vezana za konkretno krivino delo kompjuterskog kriminala ili
bezbednosnog incidenta, [6].
Operavna priprema obezbeuje obuku i opremu za lica koja e bi
ukljuena u
istragu incidenta. Ovo ukljuuje obuku interventnog ma za kompjuterski incident,
obuku laboratorijskih forenziara i lica koja e prima
inicijalne izveštaje o incidentu.
Forenzika oprema sa kojom interventni m pretražuje mesto krivinog dela mora bi
ispravna, potpuno sterilna i da predstavlja poslednja tehnološka rešenja. Oprema u
laboratoriji za digitalnu forenziku analizu i za terensku akviziciju digitalnih podataka/
dokaza mora, takoe, da bude održavana na visokom nivou funkcionalnos
, pouzdanos
i spremna za analizu svih dospelih podataka o incidentu.
Infrastrukturna priprema obezbeuje izvore iz kojih se generišu potrebni digitalni i
drugi podaci da bi se izvršila potpuna i detaljna istraga, jer ukoliko podaci ne postoje
nemogue je izvrši
istragu. Ova faza odnosi se samo na lica koja održavaju infrastrukturu u zikom okruženju koje bi potencijalno moglo bi
mesto kompjuterskog kriminala.
Fiziki primeri za ovu fazu su instalacije i rasporeivanje video nadzora i itaa kar
ca
da bi se snimila vremena i datumi pristupa zikom prostoru za vreme krivinog dela
kompjuterskog kriminala. Digitalni primeri infrastrukturne pripreme su kongurisanje
log fajlova za skladištenje bezbednosno relevantnih dogaaja na serverima i drugim
mrežnim ureajima i skupljanje log podataka na zaš
enom “log serveru”, sinhronizacija internih satova na serverima i raunarima sa protokolom za vremensku sinhronizaciju mrežnih ureaja - NTP (Network Time Protocol), projektovanje i implementacija
sistema osnovne zaš
te integriteta podataka sa heš algoritmom (MD5, SHA1, SHA256,
SHA512 i dr.) i upravljanje zaš
tom i promenama baze log podataka, [6].
3.4.2 Faza razvoja
Cilj ove faze je da obezbedi mehanizam za detekciju i potvrdu incidenta. Zadaci
modela koji se izvode u ovoj fazi dosta se razlikuju za zvaninu i korporacijsku istragu.
M J 57
3.4.2.1 Faza detekcije i izveštavanja
Detektuje incident i izveštava odgovorna lica o incidentu. Ovo se može obavi
pozivom 92, preko alarma mrežnog detektora upada - IDS (Intrussion Detecon System), ili online od agenta policije, koji istražuje ilegalne ak
vnos
. Ova faza deniše
poetak procesa istrage.
3.4.2.2 Faza potvrde i autorizacije
Nastavlja se u razlii
m smerovima, zavisno od situacije. Cilj ove faze je da se dobije
ovlašenje za istragu incidenta i mesta krivinog dela. U sluaju zvanine istrage, ovaj
korak podrazumeva obezbeivanje naloga za pretres, ili drugo legalno odobrenje, koje
mora bi
potkrepljeno sa dovoljno inicijalnih dokaza, ili osnovanom sumnjom.
Za sluaj korporacijske istrage incidenta, nalozi za pretres nisu potrebni dok god
se ne krše prava privatnos
, ili sluaj ne preraste kapacitete i sposobnos
korporacijskog ma za istragu, npr., meunarodni incident, zahtev za prisluškivanje telefona
osumnjienog, hapšenje i dr. U situaciji upada u server, ovaj korak ukljuuje interventni
m za odgovor na incidente koji proverava da li je sistem kompromitovan, tako što ispituju sumnjive ak
vnos
na mreži, ili traže maliciozne programe (rootkit-ove) u sistemu.
U toku ove analize uživo, važno je da se prema raunarskom sistemu m ophodi kao
prema mestu krivinog dela, da se primenjuje kompletna standardana operavna
procedura pristupa kompromitovanom raunaru i da se minimizira u
caj na ispi
vani
sistem. Posle potvrde da se incident zaista dogodio, neophodan je pristanak vlasnika
sistema da bi se preduzele naredne akcije: ukljuili zvanini organi istrage, ili ne iz bilo
kojeg razloga. Za servere ije je vreme ak
vnog rada kri
no za kompaniju, odobrenje
mora da se traži na nivou izvršne vlas
, [12], [25].
3.4.3 Faza istrage zikog mesta krivinog dela
Cilj ove faze je da prikupi i analizira zike dokaze i rekonstruiše akcije koje su dovele
do incidenta. edan od najvažnijih ciljeva forenzike digitalne istrage je da se iden
kuju ljudi koji su odgovorni za incidente i zbog toga su potrebni ziki dokazi. U zvaninom
modelu istrage, istragu zikog mesta krivinog dela vrše istražitelj-ekspert za istragu
zikog mesta krivinog dela i interventni m za reagovanje na kompjuterski incident,
ili m za ziko obezbeenje. Faze za istragu zikog mesta krivinog dela prikazane su
na slici 3.3.
58
I J Slika 3.3 Faze i interakcija istrage zikog i digitalnog mesta krivinog dela
3.4.3.1 Faza obezbeivanja (ksiranja) zikog mesta krivinog dela
Ista je za svaki p krivinog dela. Osnovne ak
vnos
koje se preduzimaju su:
• osiguranje izlaza,
• pomo ranjenima,
• zadržavanje osumnjienih i
• iden
kovanje svedoka.
U kompjuterskom incidentu, ziko mesto krivinog dela treba da se osigura koristei
iste procedure kao i kod zikog dogaaja koji nije digitalni. Na primer, u istrazi upada u
server, ova faza ukljuuje iden
kovanje lica koja su bila u centru za obradu podataka
u vreme incidenta i spreavanje ostalih lica da uu u centar polse incidnta, pošto neko
od zaposlenih može bi
odgovoran za incident. Ova faza obezbeuje mesto krivinog
dela od izmena, da bi se kasnije mogli sakupi
i iden
kova
dokazi i ne uva samo
odreene delove dokaznog materijala, ve celokupno ziko i digitalno mesto krivinog
dela kompjuterskog kriminala.
3.4.3.2 Faza revizije zikog mesta krivinog dela
Organ istrage (zvanini, korporacijski) prolazi i opservira ziko mesto krivinog dela
i obino je prva osoba koja reaguje na kompjuterski kriminal/incident. Cilj je da se iden
kuju oigledni delovi dokaznog materijala, osetljivi delovi zikog dokaza i razvije
poetna teorija (hipoteza) o krivinom delu. Na primer, u istrazi ubistva u stanu, u ovoj
fazi se pregleda ceo stan i iden
kuje kako je napada ušao, na kom mestu se ubistvo
dogodilo i šta se dogodilo sa žrtvom posle ubistva. Osetljivi digitalni dokazi moraju se
M J 59
odmah dokumentova
i sakupi
da se ne bi ošte
li. U digitalnom incidentu, primeri
zikih dokaza koji su iden
kovani u pretrazi ukljuuju broj i lokaciju raunara, mrežne
konekcije, PDAs (Personal Digital Assistant), broj i p mobilnog telefona, zapisane
lozinke na papiru, razne zabeleške o kantak
ma, štampani materijali i CD-ROM-ovi ili
neki drugi prenosivi mediji sa potencijalnim digitalnim dokazima. Pri završetku ove faze
istražni organi imaju ideju kako da obrade ziko mesto krivinog dela i koje specijalne
veš
ne su im potrebne za obradu. Ukoliko digitalni forenziar nije na uviaju u tom
trenutku, treba ga pozva
da doe i izvrši forenziku akviziciju dokaza. Raunar koji
radi i koji je prikljuen na mrežu smatra se osetljivim dokazom, jer se digitalni dokazi
koji se nalaze u njemu mogu izbrisa
daljinski, komandom sa udaljenog raunarskog
sistema ili nainom iskljuivanja raunara, ako je neophodno za privremeno oduzimanje ili uzimanje imidža. Zbog toga obavezno treba primenjiva
standardne opera
vne
procedure, kao što su: forenziki prihvatljivo iskljuivanje raunara sa mreže, koje zavisi
od vrste plaorme (Windows, Linux/Unix,...); pretraga, demontaža, oznaavanje i pakovanje opreme raunarskog sistema i mreže za privremeno oduzimanje i transport do
forenzike laboratorije za ispi
vanje; akvizicija digitalnih podataka/dokaza na forenziki
sterilne medijume itd.
3.4.3.3 Faza dokumentovanja zikog mesta krivinog dela
Istražitelj treba da pravi fotograje, skice i video snimke mesta krivinog dela i
zikih dokaza i da detaljno dokumentuje svaku ak
vnost u procesu pretrage. Cilj je
da se prikupi što više informacija tako da se sauvaju i zabeleže razmeštaj komponen
umreženog raunarskog sistema i važni detalji sa zikog mesta krivinog dela. Kod
digitalnog incidenta važno je da se dokumentuju i fotograšu konekcije na raunaru i
stanje u kojem je raunar zateen (ukljuen, prikljuen na Internet i slika), broj i veliina
vrs
h diskova i koliina RAM memorije. U nekim sluajevima, treba sauva
MAC12
adrese mrežnih kar
ca da bi se DHCP13 logovi mogli koris
za iden
kovanje sistemske
ak
vnos
. U ovoj fazi korisno je sauva
serijske brojeve i “jednoznane iden
kacione
oznake objekata raunarskog sistema”. Da bi se iden
kovalo šta treba sauva
, treba
uze
u obzir da forenzike labaratorije za analizu ne mogu naješe dobi
originalni
ziki hardver, ve samo ziku kopiju (imidž) vrstog diska. Treba dokumentova
sve
što bi moglo bi
od koris
za forenziku laboratoriju za analizu, ili kasniju rekonstrukciju
incidenta. Na kraju ove faze izrauje se izveštaj o pretrazi i incidentu.
3.4.3.4 Faza pretrage i sakupljanja dokaza sa zikog mesta krivinog dela
Obuhvata pretragu i detaljno prikupljanje dodatnih zikih dokaza iz dubine zikog
mesta krivinog dela. Pretraga može bi
usmerena prema nestalim delovima zikih
12 Mashine Address Code
13 Dynamic Host Conguraon Protocol
60
I J dokaza, kao što su oružje, ili može bi
metodina i ima
striktne obrasce (procedure)
pretrage. Svaki p dokaza treba da ima specine standardne procedure, za prikupljanje (akviziciju) digitalnih i drugih dokaza. Za digitalni incident u ovoj fazi traže se dodatni
mediji i digitalni ureaji sa mesta krivinog dela, koji mogu bi
izvor digitalnih dokaza.
Ova faza, takoe, ukljuuje kontak
ranje administratora radi obezbeivanja pristupnih
logova (access logs) baze podataka, promenljivih logova za “update” servera, logova
rewoll-ova, logova IDS/IPS sistema za detekciju i spreavanje upada i logova udaljenog
pristupa (remote access logs). Ovo je poslednja faza koja se vrši na realnom zikom
mestu krivinog dela kompjuterskog kriminala. Fiziki dokazi koji su prikupljeni sa mesta krivinog dela, šalju se u forenziku laboratoriju radi analize, a rezulta
se koriste u
sledeoj fazi, rekonstrukcije incidenta.
Faza pretrage i prikupljanja dokaza sa zikog mesta krivinog dela je faza u kojoj
poinje forenzika istraga digitalnog mesta krivinog dela. Raunarski sistem se smatra zikim dokazom pa e se i on privremeno oduze
kao dokazni materijal gde god
je mogue. Procedura prikupljanja dokumentuje kako se prikupljaju važni podaci sa
sistema koji je ak
van i kako se sistem iskljuuje.
3.4.3.5 Faza rekonstrukcije zikog mesta krivinog dela
Ukljuuje organizovanje rezultata analize prikupljenih zikih i digitalnih dokaza i
korišenje fotograja sa zikog mesta krivinog dela da bi se razvila hipoteza o incidentu. Za rad sa dokazima mora se koris
nauni metod, da bi se mogle tes
ra
hipoteze
o incidentu. Kod digitalnog incidenta, rezulta
istrage digitalnog mesta krivinog dela
povezuju se sa zikim dokazima, da bi se povezala osoba sa digitalnim dogaajem.
Primeri u ovoj fazi su povezivanje logova sa servera u centru za obradu podataka sa
login-ovima u radnoj stanici (napadnutom raunaru) i drugim mrežnim ureajima,
povezivanje chat ak
vnos
otkrivenih u sistemu i povezivanje ak
vnos
na kompromitovanom serveru sa ak
vnos
ma na kunom raunarskom sistemu osumnjienog i
na serveru ISP-a. Da bi bila efek
vna, u ovoj fazi treba ukljui
i konsultova
digitalne
forenziare za pomo oko povezivanja dogaaja sa više izvora digitalnih dokaza. Treba
zapazi
da rekonstrukcija zikog mesta krivinog dela nije isto što i “re-kreiranje zike
scene”, koje podrazumeva izradu zikog modela mesta krivinog dela.
3.4.3.6 Faza ekspertskog svedoenja/veštaenja zikog mesta krivinog dela
U ovoj fazi forenziar treba da svedoi ka ekspert ili veštai zike i digitalne dokaze
sudu ili upravi korporacije. Forenziar prezentuje dokaze i hipotezu koja je razvijena u
fazi rekonstrukcije zikog mesta krivinog dela.
M J 61
3.4.4 Faza istrage digitalnog mesta krivinog dela
Faza istraga digitalnog mesta krivinog dela poinje kada su ziki digitalni ureaji i
drugi dokazni materijali prikupljeni kao ziki dokazi sa ziko mesto krivinog dela, ili
kada je sauvan analizirani mrežni saobraaj radi obezbeivanja dokaza. Ova faza prilazi
raunarskom sistemu kao zikom mestu krivinog dela i pretražuje ga radi izvlaenja
digitalnih dokaza. Cilj je da se iden
kuju digitalni podaci o dogaajima na sistemu i
prezentuju istražnom organu zikog mesta krivinog dela.
U ovom modelu, svaki digitalni ureaj smatra se posebnim zikim mestom krivinog
dela. Konani rezulta
analize svakog digitalnog ureaja šalju se u Fazu rekonstrukcije zikog mesta krivinog dela, u kojoj e bi
iden
kovane veze izmeu digitalnih
ureaja. Ovo omoguava da se analize razlii
h pova ureaja izvrše na razlii
m mes
ma. Fizika mesta krivinog dela kompjuterskog kriminala organizovana su u primarna
i sekundarna mesta krivinog dela, gde su primarna mesta ona gde se prvo krivino
delo dogodilo, [3]. Digitalna mesta krivinog dela mogu, takoe, da se organizuju u
primarna i sekundarna mesta krivinog dela. Na primer, server koji je kompromitovan bio bi primarno mesto krivinog dela, a log server koji je kompromitovan kasnije
zbog izmene log podataka koji su u vezi sa upadom, bio bi sekundarno digitalna mesto
krivinog dela.
Digitalni forenziar istražuje digitalno mesto krivinog dela kroz sledee faze, (slika 3.4).
Slika 3.4 Faze forenzike istrage digitalnog mesta krivinog dela
62
I J 3.4.4.1 Faza ksiranja digitalnog mesta krivinog dela
Ova faza obuhvata obezbeivanje ulaza/izlaza ka/od digitalnog mesta krivinog
dela i zaš
tu integriteta digitalnih dokaza koji se lako mogu izmeni
. U zikom svetu,
ovome odgovara smanjenje broja o
saka stopala na zikom mestu krivinog dela i
sakupljanje zikih dokaza koji se mogu vremenom izgubi
. U digitalnom okruženju
ovo bi znailo izolaciju raunarskog sistema od raunarske mreže, sakupljanje nestabilnih i lako promenljivih podataka koji bi mogli bi
izgubljeni kada se sistem iskljui
(npr. iz RAM memorije) i iden
kovanje bilo kakvih sumnjivih procesa, koji su ak
vni u sistemu. Sumnjive korisnike, koji su ulogovani na sistem, treba registrova
i po
mogunos
ispita
. Log fajlovi se mogu smatra
za oevidce digitalnog krivinog dela
i moraju bi
obezbeeni ukoliko postoji pretnja da mogu bi
izbrisani, pre nego što se
sistem ziki iskopira. Treba zapazi
da drugi modeli koriste termin “uvanje” u smislu
ouvanje samih digitalnih dokaza u celokupnom lancu istrage od pretrage do završetka
sudskog procesa. U ovom modelu “uva se” celokupno digitalno okruženje. U stvari,
nijedan digitalni dokaz nije još iden
kovan, kada se ova faza izvršava. edna od prednos
digitalnog u odnosu na ziko okruženje je u tome da se digitalno okruženje može
lako kopira
. Zato, je uobiajeno u ovoj fazi da se napravi kompletna zika (miror) slika
bit-po-bit, ili imidž sistema na forenzikom raunaru, da bi se mogao kasnije analizira
u forenzikoj laboratoriji. Preporuuje se uzimanje najmnje dva imidža osumnjienog
raunara – jedan radni i jedan referentni kao dokaz da forenziar i forenziki alat nisu
uneli izmene digitalnih podataka primenom forenzikih tehnika i alata u fazi forenzike
akvizicije i analize. Fizika kopija osumnjienog raunara – svih diskova/par
cija uva celokupno digitalno mesto krivinog dela, dok obine backup kopije sistema uvaju samo
dodeljene (alocirane) podatke u digitalnom mestu krivinog dela. Kompromitovani
kri
ni raunarski sistemi mogu se sa forenzike zike slike brzo oporavi
, prikljui
na mrežu i vra
u funkciju poslovnog sistema. Neki sluajevi zahtevaju da originalni
vrs
disk ostane ziki dokaz sve dok je sluaj u toku. Ako u ovoj fazi skeneri mrežnog
saobraaja snime ilegalni tok mrežnog saobraaja, ovaj se snimak smatra referentnim
(neizmenjenim) stanjem mreže i može se koris
kao vrst digitalni dokaz.
3.4.4.2 Faza pretrage digitalnog mesta krivinog dela
Ova se faza pino odvija u forenzikoj laboratoriji na jednoj od forenzikih replika (imidža) digitalnog mesta krivinog dela. Meu
m, u sluaju nemogunos
privremenog oduzimanja ili iskljuivanje kompromitovanog sistema (npr. veliki korporacijski
server kojeg nije mogue iskljui
), ova se faza može izvrši
uživo u zikom okruženju
sa tehnikama i ala
ma akvne akvizicije raunara u radu, iako je za digitalnu forenziku
akviziciju i analizu uvek poželjno laboratorijsko okruženje, zato što pruža kontrolisane
uslove, a rezulta
se mogu ponovi
sa drugom, referentnom replikom sistema, ako to
M J 63
zahtevaju sudski organi. Iako se Faza pretrage izvodi na ak
vnom (živom) sistemu14,
ipak treba napravi
forenziku sliku sistema, tako da se svaki prikupljeni digitalni dokaz
može verikova
u kontrolisanom laboratorijskom okruženju. Ova faza se ponekad radi
na terenu da bi se utvrdilo da li sistem treba privremeno oduze
i nosi
u laboratoriju
na potpunu forenziku analizu. Pretraga na terenu raunarskog sistema koji se privremeno ne oduzima iz bilo kojeg razloga, treba da se izvodi na sistemu butovanom sa
butabilnog CD/diskete i u forenziki sigurnom okruženju tako da digitalni podaci/dokazi
ostanu nepromenjeni.
U Fazi pretrage pronalaze se oigledni delovi digitalnih dokaza za datu vrstu krivinog
dela kompjterskog kriminala. Na primer, u sluaju deije pornograje istražitelj e prikupi
sve .jpeg i .gif i druge slike sa memorijskih medijuma sistema i iden
kova
one
koje bi mogli da se koriste kao dokazi. U sluaju upada u server, forenziki istražitelj
traži oigledne znakove instalacije rootkit tehnika, analizira logove aplikacija i traži nove
konguracione fajlove. U drugim sluajevima, mogu se analizira
Internet keš i Internet
istorija na HTML pretraživau. Kada se analizira mrežni saobraaj o nekom incidentu,
u ovoj fazi mogu se analizira
sav saobraaj u vremenskom okviru incidenta i ltrira
odreeni portovi i hostovi. U Fazi pretrage procenjuje se veš
na osumnjienog i analiziraju tehnike i ala
koje treba dokaza
u istrazi. Istražitelj u ovoj taki može konsultova
eksperte u oblas
kriptologije, digitalne forenzike analize, ili eksperte za oporavak podataka ukoliko su neki nestali, ili bili izbrisani.
3.4.4.3 Faza dokumentovanja digitalnog mesta krivinog dela
U ovoj fazi pravilno se dokumentuju digitalni dokazi koji su sakupljeni i otkriveni u
fazi akvizicije. Fizike kopije sistema koje se uzimaju u Fazi ksiranja digitalnog mesta
krivinog dela, imaju istu ulogu kao i skice i video zapisi zikog mesta krivinog dela.
Svaki deo digitalnog dokaza koji se pronae u toku forenzike analize imidža sistema
mora bi
jasno dokumentovan. Ova faza dokumentuje pojedinane delove dokaza i ne
kreira nalni izveštaj o incidentu. Finalni izveštaj forenzike digitalne analize pravi se u
Fazi prezentacije.
Digitalni dokazi mogu postoja
u razlii
m apstraktnim slojevima raunarskog
sistema i moraju se dokumentova
pomou specinih forenzikih alata dizajniranih za
izvlaenje podataka sa h slojeva, [4]. Na primer, fajl se može dokumentova
sa punim
imenom putanje, klastera i sektora na disku, koje koris
taj fajl sistem. Mrežni podaci
se mogu dokumentova
sa izvornom i ciljnom adresom na raznim mrežnim nivoima.
Kako su digitalni dokazi promenljivi i mogu ostavi
malo tragova, treba primeni
neku
kriptografsku heš vrednost (MD5, SHA1 SHA256,...), na delove digitalnih dokaza u fazi
skupljanja, da bi se po zahtevu suda mogao dokaza
nepromenjen integritet dokaza.
U ovoj fazi formira se lanac neprekidnog uvanja integriteta i nadzora dokaza, da bi
dokazi bili validni i prihvatljivi na sudu. U forenzikoj praksi istrage digitalnih dokaza,
14 tzv. živa ili realna forenzika akvizicija
64
I J Faza dokumentovanja nije strogo odvojena, zato što se digitalni dokazi dokumentuju
od neprekidno od trenutka otkrivanja i akvizicije do pripreme dokaza za prezentaciju
(svedoenje/veštaenje) pred sudom.
3.4.4.4 Faza sakupljanja digitalnih dokaza sa digitalnog mesta krivinog dela
Sastoji se od potpune digitalne forenzike akvizicije relevantnih podataka iz
raunarskog sistema, radi izvlaenja digitalnih dokaza. Ova faza koris
rezultate iz Faze
pretrage da bi se usredsredila na dodatne indikatore koji upuuju na digitalne dokaze i odgovarajue pove analize. Na primer, u ovoj fazi može se izvrši
pretraga po
kljunoj rei za ispi
vani sluaj, ukoliko su kljune rei iden
kovane iz drugih dokaza.
Nedodeljeni (nealocirani) prostori fajl sistema mogu se izvui i obradi
izbrisani fajlovi.
Mogu se pra
i analizira
ak
vnos
korisnika nad fajlovima, kao i svi mrežni pake
sakupljeni soverom za monitoring mrežnog saobraaja. U nekim sluajevima, prikladno je pregleda
sadržaj svakog klastera (zika pretraga), ili svakog fajla (logika pretraga). Kao što postoje razliite tehnike istrage zikog mesta krivinog dela, tako postoje i
razliite tehnike forenzike akvizicije i analize digitalnog mesta krivinog dela.
Najvei deo vremena digitalne forenzike istrage potroši se u ovoj fazi. U digitalnom
okruženju, dokazi su kopirani iz digitalnog mesta krivinog dela, ali odatle nisu uklonjeni, što nije sluaj u realnom zikom svetu. Za neke pove kompjuterskih incidenata,
uobiajeno je da u ovoj fazi rade zajedno klasini i tehniki osposobljeni istražitelji,
zbog ogranienog broja obuenih istražitelja za digitalnu forenziku istragu. Na primer,
tehniki osposobljen istražitelj e izvui sve slike iz sistema i posla
ih ne-tehnikim
istražiteljima koji e analizira
svaku sliku i iden
kova
one koje bi se mogle koris
kao dokaz. Ova faza slina je Fazi ispivanja u drugim modelima istrage.
3.4.4.5 Faza rekonstrukcije digitalnog mesta krivinog dela
Ova se faza sastoji iz sastavljanja neoborivog, vrstog digitalnog dokaza bez tzv. puko
na. Digitalni dokazi se mogu razvrsta
i proceni
na osnovu toga koliko su uverljivi i
pouzdani, [4]. Podaci koji zahtevaju složene tehnike analize, kao što su analize izvršnih
fajlova ili dešifrovanje, izvode se u ovoj fazi, a njihovi rezulta
se koriste za izgradnju
vrstog dokaza. Ova faza koris
stroge naune metode da bi se dokazi mogli tes
ra
i da bi se odbacile druge hipoteze, koje se potencijalno mogu zasniva
na digitalnom
dokazu. U ovoj fazi se utvruje kako je digitalni dokaz dospeo tamo i šta njegovo postojanje znai. Kada digitalni dokaz nije dovoljan, uverljiv ili potpuno nedostaje, obnavlja
se Faza pretrage da se otkriju i iden
kuju dodatni, novi dokazi. Na primer, u sluaju
upada u server, ova faza može doves
u vezu eksplotaciju ranjivih servisa sa instalacijom rootkit-a i razvojem mrežnog snier-a. Izvorišna IP adresa mrežne konekcije može
ukaza
na potrebu analize sekundarnog digitalnog mesta krivinog dela – posrednog
raunara. Ova faza je slina Fazi analize u drugim modelima.
M J 65
3.4.4.6 Faza prezentacije digitalnog mesta krivinog dela
Ova faza obuhvata prezentovanje otkrivenih digitalnih dokaza mu za istragu
zikog mesta krivinog dela i pripremu za ekspertsko svedoenje ili veštaenje pred
sudom. Rezultate iz digitalne istrage, m za istragu zikog mesta krivinog dela koris
u Fazi rekonstrukcije krivinog dela kompjuterskog kriminala. Istražtelj zikog mesta
krivinog dela integriše rezultate iz istrage svakog digitalnog mesta krivinog dela. U
ovoj fazi dokumentuju se i prezentuju otkria u odreenim mes
ma krivinog dela,
ostalim organima istrage. Korisno je i preporuuje se da m za ziku i digitalnu istragu
bude jedinstven, jer je lakše ostvari
potpunu komunikaciju u kojoj se brže razmenjuju
kvalitetnije informacije izmeu lanova istog ma.
3.4.4.7 Faza provere
Ovo je nalna faza i sastoji se od revizije i kontrole integralnog procesa istrage, da bi
se iden
kovale oblas
koje se mogu poboljša
. Za digitalni kompjuterski incident, ovo
ukljuuje analizu kvaliteta rada organa istrage i koliko dobro su izvršene zika i digitalna istraga svaka za sebe, koliko dobro su uraene zika i digitalna istraga zajedno i
da li postoji dovoljno zikih i digitalnih dokaza da bi se sluaj rešio. Rezultat ove faze
mogu bi
nove poboljšane procedure istrage, dodatna obuka, ili ništa ukoliko je sve
ispalo kako je planirano.
U procesu digitalne forenzike istrage kompromitovanog/osumnjienog raunarskog
sistema na zikom mestu krivinog dela, forenziki istražitelj digitalnih podataka (digitalni forenziar) uobiajeno preduzima sledee korake, [7], [20]:
• sprovodi formalnu proceduru pretrage zikog i digitalnog mesta krivinog
dela,
• ksira ziko i digitalno mesto krivinog dela,
• dokumentuje ziko i digitalno mesto krivinog dela,
• zašuje osumnjieni raunar od izmene podataka i unošenja virusa/trojanca,
• iskljuuje raunarski sistem,
• oznaava i pakuje sve komponente raunarskog sistema,
• privremeno oduzima raunarski sistem, ili imidž HD i svih drugih medijuma
(radnu i referentnu kopiju), ako to nije mogue i
• prenosi privremeno oduze
raunarski sistem u forenziku laboratoriju za
forenziku analizu.
66
I J 3.5 MODEL DOMENA SLUAJA DIGITALNE FORENZIKE ISTRAGE
U funkcionalnom modelovanju procesa digitalne forenzike istrage, od velike
pomoi za forenziare može bi
korišenje modela domena sluaja digitalne forenzike
istrage, [1].
Generalni pristup modelovanju domena sluaja digitalne forenzike istrage je upotreba UML (Unied Modelling Language) alata za opisivanje kljunih, rela
vno nezavisnih koncepata objekata, njihovih atributa i meusobnih veza u oblas
forenzike
istrage sluaja. Model generiše koncepte objekata ekstrakcijom imenica i glagola iz dokumenata sluaja kao što su polazne injenice i okolnos
, nalog za istragu, nalog za
pretres stana, izveštaj o hapšenju, izveštaj o incidentu itd. Pri tome je važno zadrža
koncepte dovoljno generikim, tako da se mogu višekratno koris
u domenu slinih
sluajeva, kao što je prikazano u tabeli 1.2.
Tabela 1.2 Primeri kategorija koncepata objekata za digitalnu forenziku istragu
Kategorija koncepta objekata
Primer
Fiziki ili opipljiv objekat
Mobilni telefon, HD, CD-R, DVD-RW disk i slika
Opis neke stvari
Marke
nški izveštaj, Izveštaj o incidentu
Mesta (lokacije)
Kua, ulica, automobil
Transakcije
Isplata, prodaja, deponovanje novca, e-mail
transakcija
Uloge ljudi
rtva, osumnjieni, svedok
Kontejner ispi
vanih objekata
Baza podataka, HD-i
Objek
u kontejneru
Fajlovi, transakcije
Raunar ili elektro-mehaniki sistem
Repozitorijum podataka ili baza podataka na
Internetu, sistem za autorizaciju kreditnih kar
ca
Koncep
apstraktnih imenica
Mo
v, alibi, nevinost, siromaštvo
Organizacije
Maja, odeljenje korporacije, državna
organizacija
Dogaaj
Pljaka, sastanak, telefonski poziv, pristup fajlu
Pravila i poli
ke
Zakon, procedure, poli
ke zaš
te korporacije
Finansijski, poslovni, ugovorni i pravni zapisi
Ugovor o zaposlenju, ren
ranje, potvrda, nalog
za pretres
Servisi
Letako uputstvo, uputstvo za eksplozive i slika
M J 67
tribu su karakteris
ke koje denišu koncepte objekata i predstavljaju informacije
koje su bitne za digitalnu forenziku istragu. Pre svega, lista atributa treba da bude dovoljno detaljna da obezbedi jedinstvenu diferencijaciju dogaaja u jednom konceptu
objekta. Imena koncepata objekta i pripadajui atribu
su najznaajnije informacije
za potrebe planiranja procesa forenzike istrage. Meu
m, potrebne su dodatne informacije koje se odnose na koncepte objekata i druge informacije koje mogu pomoi
organu istrage da razume pozadinu i okolnos
u ispi
vanom sluaju. Takva lista u formi
tabele (Tabela 1.3) može se koris
kao kontrolna (ek) lista za iden
kaciju potencijalnih odnosa izmeu izabranih koncepata objekata u sluaju i bi
od velike koris
istražitelju.
Tabela 1.3 Primeri provere meusobnih odnosa koncepata
Kategorije
Primeri
A je zika par
cija B
DVD disk – radna stanica
A je logika par
cija B
Mapiranje mreže – Upad u mrežu
A je ziki sadržan u/na B
Korišeni CD-R disk – CD sluaj
A je opis za B
Readme fajl – Izvršni program
A poseduje B
Osumnjieni – nosilac (za lansiranje napada)
A je lan B
Osumnjieni – kriminalna banda
A je organizaciona jedinica B
IKT odeljenje – organizacija
A koris
ili upravlja sa B
Sistem administrator – RM kompanije
A je specijalizovana verzija uopštenog B
Sistem administrator – zaposleni organizacije
A komunicira sa B
Osumnjieni – društvena grupa
A je poznat/registrovan/izvešten u B
Registar e-pošte – mrežni logovi
Prak
na implementacija ovakvog pristupa kroz aplikaciju nekog forenzikog alata
za automa
zaciju ovog modela još je u ranoj razvojnoj fazi. Dobra iskustva se mogu
izvui iz oblas
IKT sistema u zdravstvu (medicini).
Forenzika praksa smatra da je „velika“ koliina podataka od 20GB-2TB
(1terabajt=1TB"1010B). Objavljen je sluaj procesiranja podataka od 450TB sa magnetnih traka za bekapovanje sa zadatkom otkrivanja jedinstvenih fajlova preko kljunih
rei. Ispostavilo se da je svega 6% materijala sadržavalo relevantne podatke. Za ovu
forenziku analizu angažovani su sledei namenski ureaji i drugi resursi: 75 reproducera trake, 7 servera, 32 radne stanice, 7 forenziara, rad od 24/7 u trajanju od 60 dana,
sa ukupnim troškovima od 259.000 USD$.
68
I J Generalno, najvei problemi u procesu digitalne forenzike istrage su brzina procesiranja po pravilu velike koliine digitalnih podataka, skretanje pravca istrage sluaja,
veliki i lozinkom zaš
eni vrs
diskovi. Informacije iz predistražnog postupka, inicijalne
pretrage i istrage zikog i digitalnog mesta krivinog dela kompjuterskog kriminala/
incidenta, kao što su dobra dokumentacija o tome šta se traži, šta su prioritetna pitanja i šta je oekivani izlaz digitalne forenzike analize, mogu pomoi forenziaru da se
usredsredi na ispi
vanje i analizu relevantnih podataka za izgradnju vrs
h digitalnih
dokaza.
Ako se ispituju sistemi RAID diskova sa kapacitetom od više terabajta (TB), redukcija imidžovanja može se pos
i integracijom seta hash funkcija sa alatom za uzimanje
imidža diskova. U mrežnoj forenzici za redukciju koliine akvizicijom sakupljenih podataka mogu se koris
tehnike uzorkovanja intercepcije mrežnog saobraaja, kao
i bolja klasikacija relevantnih i nekorisnih podataka. Drugi pristup je da se primeni
proak
vno inkrementalno uzimanje imidža iz korporacijskog visoko distribuiranog IKT
okruženja. Posedovanje takvih imidža može u sluaju kompjuterskog incidenta/kriminala da
forenziaru veliku prednost u procesiranju sluaja.
Ostale ideje za smanjenje problema velikog obima podataka za analizu je primena
ekspertnih sistema (ES) i veštake inteligencije (VI) u oblas
ma gde bi ova primena
mogla bi
zaista efek
vna i ekasna. Takvo rešenje bi moglo bi
primena procesiranja
na bazi prirodnog jezika za automa
zaciju kratkog sadržaja sluaja i pretraživanja h
sadržaja umesto klasinog (search) pretraživanja na bazi kljune rei celokupnog obima
podataka. Takoe, bi se primenom VI, ali i bez nje, mogle grupisa
slike na bazi predenisanog kriterijuma, na primer, „sve grupne fotograje ljudi“ u jedan fajl zajedno sa
pripadajuim kriterijumom, što bi za forenziara bila velika pomo.
Denisanje forenzikog cilja je metodološki veoma korisna faza digitalne forenzike
istrage, [6].
Denisanje forenzikog cilja je taka u kojoj forenziki anali
ar formuliše proces
pretraživanja digitalnih podataka, a rezulta
pretraživanja su ciljni objek
. Za razliku od
drugih faza procesa forenzike analize, denisanje forenzikog cilja zahteva intenzivniji
rad forenziara, ali može omogui
automa
zovanu podršku forenzikih alata. Primer
je alat koji posle pretraživanja fajlova sugeriše dalje pretraživanje ostalih objekata raunarskog sistema, kao što su drugi fajlovi sa slinim imenom, drugi fajlovi u istom direktorijumu ili fajlovi sa slinim sadržajem, vremenski pea
ili povi aplkacija. Detekcija
razliitos
(Outlier Detekon) traži objekte koji su sakriveni ili se znaajno razlikuju od
njihovog neposrednog okruženja.
M J 69
REZIME
Istragu dogaaja koji predstavljaju zloupotrebu u IKT sistemima i istragu kompjuterskog kriminala mogu ekasno vrši
samo visoko-specijalizovani struni kadrovi u interventnim movima sa odgovarajuim kapacite
ma. Rezulta
korporacijske istrage treba da se prikažu u izveštaju interventnog korporacijskog ma
u standardnom formatu.
Integracijom zvaninog modela istrage klasinog kriminala i specinos
modela istrage bezbednosnog kompjuterskog incidenta, dobije se integrisani model
istrage kompjuterskog kriminala koji celovito posmatra ziko mesto krivinog
dela kao primarno i digitalno mesto krivinog dela kao sekundarno mesto krivinog dela kompjuterskog kriminala. Ovaj model omoguava kompletnu dokumentaciju mesta zloina i koris
iskustvo klasine istrage da bi se došlo do korisnih dokaza.
U funkcionalnom modelovanju procesa digitalne forenzike istrage, od velike
pomoi za forenziare može bi
korišenje UML modela domena sluaja digitalne forenzike istrage, koji generiše koncepte objekata ekstrakcijom imenica
i glagola iz dokumenata sluaja kao što su polazne injenice i okolnos
, nalog
za istragu, nalog za pretres stana, izveštaj o hapšenju, izveštaj o incidentu itd.
Atribu
opisuju svojstva koncepata objekata i predstavljaju informacije bitne za
digitalnu forenziku istragu, a u kombinaciji sa dodatnim informacijama iz procesa istrage može se koris
kao ek-lista za iden
kaciju potencijalnih odnosa
izmeu izabranih koncepata objekata u sluaju, što može bi
od velike koris
istražitelju.
U forenzikoj praksi jedan od najznaajnijih problema je ispi
vanje velike koliine digitalnih podataka. Pored brojnih tehnika za smanjenje koliine digitalnih
podataka za imidžovanje i analizu, potencijalno se mogu koris
ekspertni sistemi i veštaka inteligencija. Korisna faza digitalne forenzike istrage je denisanje
forenzikog cilja pretraživanja digitalnih podataka, gde su rezulta
pretraživanja
ciljni objek
analize.
70
I J PITANJA ZA PONAVLJANJE
1. Navedite glavne faze istrage zikog mesta krivinog dela klasinog kriminala.
2. Navedite faze modela zvanine istrage digitalnog mesta krivinog dela.
3. Navedite glavne faze korporacijskog modela istrage bezbednosnog kompjuterskog incidenta.
4. Šta predstavlja ispi
vani raunar u modelu integrisanih procesa digitalne
forenzike istrage?
5. Šta je ispi
vani raunar u sluaju kompjuterskog kriminala u odnosu na primarno ziko mesto krivinog dela?
6. Denišite digitalni dokaz.
7. Navedite pet osnovnih grupa organizovanja faza modela integrisanih procesa
istrage kompjuterskog kriminala.
8. Navedite sve faze istrage digitalnog mesta krivinog dela.
9. Opišite fazu dokumentovanja digitalnog mesta krivinog dela.
10.Opišite fazu rekonstrukcije digitalnog mesta krivinog dela.
11.Zašto je koristan model domena sluaja digitalne forenzike istrage?
M J 71
4. DIGITALNI DOKAZ
4.1 DIGITALNI KOMPJUTERSKI DOKAZ
Prema deniciji IOCE u oblas
digitalne forenzike nauke, digitalni dokaz je svaka
informacija u digitalnom obliku koja ima dokazujuu vrednost, a koja je ili uskladištena
ili prenesena u takvom obliku. Pojam digitalnog dokaza ukljuuje kompjuterski
uskladištene i kompjuterski generisane dokazne informacije, digitalizovane audio i video dokazne signale, signale sa digitalnog mobilnog telefona, informacije sa digitalnih
faks mašina i signale drugih digitalnih ureaja. Znai, digitalni dokaz je bilo koja informacija generisana, obraivana, uskladištena, ili prenesena u digitalnom obliku na koju
se sud može osloni
kao validnu, tj. svaka binarna informacija, sastavljena od digitalnih
1 i 0, uskladištena ili prenesena u digitalnoj formi, kao i druge mogue kopije orginalne
digitalne informacije koje imaju dokazujuu vrednost i na koje se sud može osloni
, u
kontekstu forenzike akvizicije, analize i prezentacije dokaza pred sudom.
Digitalni kompjuterski dokaz formira se iz gomile posrednih digitalnih podataka, od
kojih se ni jedan ne sme iskljui
iz bilo kog razloga. Digitalni podaci moraju bi
potpuni, da se meusobno dopunjuju (prepliui) i da nemaju tzv. puko
na za donošenje
zakljuaka, odnosno za utvrivanje vrstog digitalnog dokaza.
Generalni IOCE principi rada sa digitalnim dokazima harmonizuju metode i praksu
izmeu država, što garantuje uzajamnu prihvatljivost digitalnih dokaza u razlii
m pravosudnim sistemima. Sudska praksa prihvata kompjuterski generisane i kompjuterski
memorisane digitalne dokaze pod odgovarajuim uslovima. Transformacija digitalnih
podataka iz serije kodiranih bita u sudski dokaz je apstraktan proces koji može naves
sudiju i porotu da dovedu u pitanje auten
nost i integritet kompjuterski generisanog
dokaza. Zato treba da postoje procedure za rukovanje i uvanje, kao i procedure za
akviziciju i analizu digitalnih dokaza sa vrstog diska i drugih medijuma, odnosno, ne
smiju se podaci izmeni
, manipulisa
ili ošte
ni u jednom koraku istrage, [17], [22].
Najteže je dobi
digitalne dokaze bez tzv. puko
na, koji potpuno pokrivaju zakljuke
i objašnjenja. U izgradnji vrs
h (neoborivih) digitalnih dokaza utvruje se: šta se stvarno desilo, šta je izgubljeno, koliki je iznos štete i da li se stvarno dogodilo krivino
delo kompjuterskog kriminala. Pri tome se mora zadrža
potpuna objek
vnost. Kada
se rekonstruiše hipoteza o dogoaju, tada poinje prikupljanje dokaza. Dokaze treba
prikuplja
na mestu krivinog dela kompjuterskog kriminala, jer to može bi
jedini kontakt sa stvarnim dokazima. Treba radi
metodino, strpljivo sakuplja
kljune dokaze i
kri
ki se vraa
na postavljenu hipotezu, tražei odgovore na pitanja: zašto dokaz nije
dobar, gde se izgubila neka važna injenica, kako nai dokaz koji popunjava prazninu,
šta uradi
ako se dokaz pronae itd.? U ovoj fazi istrage jednako je važno dokaza
kao
i opovrgnu
dokaz.
72
I J Dakle, treba sakuplja
sve posredne dokaze sa lica mesta, ne samo što digitalni
forenziar misli da treba, nego i sve ono što može potencijalno indicira
šta se stvarno
dogodilo. U procesu akvizicije digitalnih dokaza, treba generalno snimi
listu fajlova i
logova kao dokaze, ak i bez ikakve ideje šta se stvarno dogodilo. Treba ima
u dokaznom materijalu svaki fajl koji potencijalno može sadržava
dokaz, pre nego što se fajl
prepiše, ili izmeni. Nakon inicijalne pretrage (bez privremenog oduzimanja raunara),
treba se okrenu
prvobitnoj hipotezi i dogradi
je detaljnije sa prikupljenim dokazima. Velika je verovatnoa da je propušten neki važan dokaz, što je dobar argument
da se raunar privremeno oduzme, dok traje istraga, što nije uvek lako. Sve posredne
digitalne i druge zike dokaze, koji zajedno ine dokazni materijal, treba tre
ra
kao
da direktno vode ka nepobitnom dokazivanju izvršenog krivinog dela i kao da su svi
jednako važni i kri
ni za konkretni sluaj. Tek tada poinje proces izgradnje vrstog
dokaza bez tzv. puko
na, odnosno, izgradnja neoborivog dokaza. Potrebno je, dakle,
mnogo posrednog dokaznog materijala za samo jedan vrs
dokaz.
U kompjuterskom incidentu postoje tri osnovne kategorije digitalnih podataka koji
mogu ini
digitalni dokaz:
• Promenljivi podaci ili informacije koje se gube nakon iskljuivanja raunara,
kao što su podaci u radnoj memoriji (RAM), rezidentni memorijski programi itd. Ovi podaci se mogu izgubi
u toku procesa regularnog iskljuivanja
raunara. Otuda je veoma važno do kraja precizno sprovodi
proceduru
akvizicije. Pre iskljuivanja raunara treba odmah ispita
, locira
i izvui osetljive i šifrovane podatke, jer se može desi
da se posle iskljuivanja ne može
doi do njih (npr. vlasnik kljua ili smart kar
ce za pristup je nekoopera
van
ili mrtav itd.);
• Osetljivi podaci ili podaci uskladišteni na vrstom disku (HD) koji se lako mogu
izmeni
, kao što je, npr. poslednje vreme pristupa log datoteci itd;
• Privremeno dostupni podaci, ili podaci uskladišteni na HD kojima se može
pristupi
samo u odreeno vreme (npr. šifrovani podaci):
4.2 PRAVOSUDNI ASPEKT DIGITALNI KOMPJUTERSKI DOKAZA
Podse
mo se kako istražitelji, pravnici i sudije denišu dokazni materijal. Postoje
formalna pravila sakupljanja dokaznog materijala, što treba da deniše norma
vni akt
(pravilnik ili uputstvo). U anglosaksonskom sistemu postoji i zakon sluaja (case law)
koji pokriva denicije i oekivane ishode bazirane na iskustvima i odlukama drugih sudova, a govori kako druge sudije i porote interpre
raju is
zakon.
Kompjuterski kriminal je uneo poseban problem u oblast sudskog veštaenja i
svedoenja. Pravilo klasinog svedoenja kaže da svedok može svedoi
samo ako je
oevidac, odnosno samo o onome što je lino iskusio (uo, video, zna), a ne iz druge
M J 73
ruke, što se smatra posrednim dokazom, poznat u žargonu kao “rekla – kazala”, [11].
Meu
m, kod raunara imamo upravo sluaj da se, sve što se nalazi u njemu, može
sves
pod kategoriju posrednih “rekla – kazala” dokaze. Naime, ništa direktno vezano
za dogaaj se ne vidi u raunaru, jer se login fajlova može naknadno izmeni
, promeni
datume fajlova, izbrisa
ili izmeni
dokument, što prak
no znai da samo osoba
koja je izazvala kompjuterski incident (kompjuterski kriminalac) ima direktno saznanje
o tome i jedini je oevidac, odnosno neposredan svedok. Dakle, kompjuterski podaci
se mogu koris
kao dokazi za svedoenje samo ako su veoma pažljivo preuze
i ako
zadovoljavaju specine kriterijume u procesima forenzike akvizicije, analize i sudskog veštaenja. Ovi su kriterijumi kri
ni u pogledu spsobnos
digitalnog forenziara
da sakupi što više posrednih dokaza pomou kojih se dolazi do neoborivog dokaza.
Prak
no, posredni su svi dokazi u kompjuterskom krivinom delu, koji se sakupe
akvizicijom i analizom samog sovera, raunara i/ili raunarske mreže. Da bi posredni
dokaz bio prihvatljiv za sud mora bi
takav da potvruje hipotezu o vrstom dokazu, ili
da je pobija. Drugo, mora postoja
dokaz da je podatak u log fajlu, kao posredni dokaz,
nastao u normalnom radnom procesu. Na primer u sluaju pada servera, potrebno
je ima
vrste dokaze da je poinilac bio logovan kada je server pao. Ovo je dovoljno
vrst dokaz da nadležni istražitelj službeno zahteva prisluškivanje linije osumnjienog i
snimi vreme pristupa serveru. Ovo vreme se kasnije uporeuje sa login podacima u log
fajlovima raunara i ak
vnos
ma drugih mrežnih ureaja, što utvruje neoboriv dokaz
pristupa serveru.
Kompjuterski dokaz mora bi
auten
an. Sudski veštak za IKT (IKT veštak), mora
potvrdi
da je dokaz nepromenjen u odnosu na orginalno stanje. Ovo je od kri
nog
znaaja za prihvatanje dokaza na sudu15. Kako su dokazi pribavljeni, uvani, prenošeni,
zaš
eni od izmena i kako se sa njima manipulisalo, kljuni su elemen
da li e bi
na
sudu prihvaeni ili odbaeni. Prethodno, originalno, stanje digitalnih dokaza moraju
utvrdi
svedoci eksper
ili sudski veštaci za IKT, kao i forenziari i organi istrage koji su
te dokaze sakupili, uvali, analizirali i rukovali njima.
Digitalni kompjuterski dokazi moraju zadovolji
i sve ostale zahteve pravosudnih
organa, koji se odnose na sudske dokaze i to:
• ako je potrebno koris
kopiju, ona mora bi
najbolja,
• ako je original na raspolaganju onda kopija ne važi,
• kopija može zadovolji
sve zahteve za izvoenje dokaza (npr., prin
ng login
fajlova), ako postoji originalni fajl u kompjuteru za poreenje,
• sudski veštak za IKT mora svedoi
kako je kopija napravljena (npr., štampana
kopija login fajlova) kao i druge detalje rukovanja sa fajlom i štampanom kopijom.
15 forensic evidence.
74
I J 4.3 UPRAVLJANJE DIGITALNIM DOKAZIMA
Upravljanje digitalnim dokazima koje obuhvata sakupljanje, prenos, analizu i
uvanje, zahteva posebnu diskusiju. Dokazi se uvaju tokom itavog lanca istrage,
voenja procesa, dokaznog postupka (akvizicije i analize), glavnog pretresa (suenja
i presude), što znai da je dokaz u posedu suda od trenutka akvizicije do donošenja
presude. Prikupljeni dokazi se moraju uva
od štetnih u
caja koji mogu doves
do
ošteenja: toplote, hladnoe, vode, elektromagnetnog dejstva itd. Svaki fajl sa dokazima treba bekapova
i uskladiš
zajedno sa digitalnim potpisom (DS), npr. algoritmom
SHA25616, koji kreira sigurnu heš (hash) funkciju (sažetak fajla). Sud može prihva
digitalno potpisan (heširan) dokaz kao orginalan, jer svaka izmena fajla menja vrednost
heša koji je digitalni peat potpisa, što se lako utvruje poreenjem. Dobro je memorisa
digitalni potpis u tekst podataka digitalnog dokaza, sve šifrova
i tako uskladiš
i uva
, [7], [21], [24].
U oblas
korporacijske i zvanine istrage kompjuterskog incidenta, moraju bi
pouzdani ne samo svedoci i eksper
, nego i soverski i hardverski ala
za forenziku akviziciju
i analizu digitalnih podataka. Naelno, soverski i hardverski forenziki ala
, programi
za praenje saobraaja i detekciju upada u radnu memoriju treba da budu namenski,
komercijalno dostupni proizvodi sa ser
katom o pouzdanos
za ovu vrstu poslova.
Tako npr., dokazi sakupljeni sa nepouzdanim i ne-ser
kovanim forenzikim ala
ma,
mogu bi
problema
ni, ili odbaeni od strane suda. Zato treba dokaza
da stavljanje
snifera17 na mrežu nije namenjeno za prisluškivanje privatnih lica i ugrožavanje njihovih
ljudskih prava, nego za dokazivanje upada neovlašenog lica u IKT sistem.
Digitalni dokaz podrazumeva da postoji pravo vlasništva nad IKT sistemom, fajlovima, informacijama i programima koji su ošteeni. Drugim reima, ako se ne može
dokaza
da je nešto lino (privatno), onda se ne može ni optuži
neko da je to ukrao,
ošte
o i/ili izmenio. Prava vlasništva nad informacionom imovinom18 – podacima i informacijama u IKT sistemima uspostavljaju se primenom, tajnih lozinki, mehanizama
kriptozaš
te i drugih mehanizama za kontrolu pristupa, skrivenih fajlova, kao i raznih
upozorenja, koja sugerišu da je, na primer, neka informacija vlasništvo i da bez eksplicitne dozvole vlasnika nema pristupa, kopiranja ili otkrivanja.
U dokazivanju kompjuterskog incidenta najbolje je doi do osumnjienog raunara,
a kako to esto nije mogue onda barem do zike (miror) slike njegovog vrstog diska.
Na osnovu te slike treba formira
ispitni HD na forenzikom (ispitnom) raunaru, koji
mora bi
taan ziki duplikat HD raunara osumnjienog.
Ako inicijalna korporacijska istraga unutar IKT sistema utvrdi da je napad došao izvan
sistema korporacije i ako menadžer, ili vlasnik sistema donesu takvu odluku, onda se u
16 SHA256 –standardni 256-bitni heš algoritam iz serije SHA1, SHA128, SHA512,...
17 Snifer – skenerski ureaj za praenje rada osumnjienog u informacionom sistemu
18 Prema standardu ISO/IEC 27001 obuhvata: podatke, informacije, hardver, sover, mrežnu infrastrukturu i ljude
M J 75
toj taki moraju angažova
zvanini organi istrage, da bi se dobio nalog suda za pretres
i privremeno oduzimanje osumnjienog raunara, radi akvizicije digitalnih dokaza. Ako
je napad došao iz druge organizacije u istoj državi, treba doi do lokalnog administratora IKT sistema te organizacije i sa njim nastavi
istragu. Osumnjieni raunar obavezno
treba zaš
od kompromitacije, kad god se doe do njega.
4.3.1 Procedura sakupljanja posrednih kompjuterskih dokaza
Proces akvizicije koji obuhvata otkrivanje, iden
kaciju, izvlaenje i sakupljanje digitalnih kompjuterskih podataka, ukljuujui potencijalne digitalne dokaze, izvršava se
kroz više ak
vnos
. Ozbiljnija procedura skupljanja digitalnih dokaza treba da obuhva
najmanje sledee ak
vnos
, [10], [9], [17], [19]:
• Sakuplja
sve podatke koji podržavaju osnovnu hipotezu o tome kako je došlo
do kompjuterskog incidenta, odakle je napad potekao i šta je uraeno na napadnutom raunaru;
• Sakupi
sve podatke koji osporavqaju postavljenu hipotezu, da bi se podržalo
dato objašnjenje, ili lakše suprotstavilo argumen
ma druge strane u sporu. U
veini sluajeva, posebno u kriminalis
koj proceduri, treba ima
na umu da
obe strane (tužba i odbrana) žele da otkriju i podnesu neoborive dokaze;
• Sakupi
sve pokretne medijume (diskete, CD-ROM,...) otkrivene na lokaciji
osumnjienog raunara i analizira
ih. Ta analiza može se vrši
pomou programa za analizu pokretnih medija (npr. Sydex Anadisk za diskete). Takoe se
moraju sakupi
svi štampani materijali, rukopisi, zabeleške i dr., koji mogu
ukaza
na rasvetljavanje sluaja;
• Napravi
skice ili fotograsa
osumnjieni raunar i sve periferne ureaje;
oznai
i sauva
sve odvojene periferne ureaje i kablove raunarskog
sistema koji se privremeno oduzima, radi ponovne montaže u forenzikoj
laboratoriji;
• Ako postoje matrini ili impakt printeri, ukloni
ribon i stavi
novi; originalni
ribon ispita
kao dokazni materijal; ako postoji displej na kompjuterskom
ekranu, fotograsa
zateeno stanje;
• Iskljuivanje osumnjienog raunara je posebno osetljiva operacija. Zavisno
od opera
vnog sistema (OS), postoje dve mogunos
: ispi
vani raunar se
može iskljui
na klasian nain bez straha da e se izbrisa
dokazi o upadu, ili
se ne sme iskljuiva
regularnim putem, jer bi se iskljuivanjem mogli uniš
dokazi o upadu. Na primer, ako se Unix mašine ne iskljue regularno može
doi do ošteenja fajlova, ali ako se Windows mašina iskljui regularnom
(shatdown) metodom, može doi do gubitka potencijalnih dokaza;
• Pošto se u svim sistemima lako kreiraju an
-forenzike zamke, ili se mogu
koris
an
forenziki soveri za brisanje regularnih tragova u raunaru ,
76
I J •
•
•
•
•
forenziari treba da obrate posebnu pažnju na tzv. boby zamke za uništavanje
fajlova sa dokazima, ako se raunar ne iskljuuje regularnim metodom. Zato
uvek postoji dilema da li raunar, na primer sa Windows OS, iskljui
regularno i rizikova
i uništavanje nekih podataka, ili ga iskljui
nepropisno ime
se omoguava ak
viranje boby zamke koja može da uniš
gotovo sve dokaze.
Kako e postupi
u konkretnom sluaju, to mora proceni
sam istražitelj. U
svakom sluaju najbolje je koris
pomo eksperta za IKT, odnosno specijaliste za da
OS i plaormu, kome se mora dobro objasni
legalni aspekt
zahteva za zaš
tu integriteta digitalnih dokaza;
Ako je sigurno da postoji ugraena zamka, najbolje je raunar jednostavno
iskljui
iz mreže izvlaenjem kabla za napajanje sa zadnje strane raunara,
uz rizik da e bi
uništeni neki podaci. Naravno, neki raunari tako ne mogu
da se iskljue, npr., mainframe i mikrokompjuteri. Zato je najbolje angažova
eksperta za IKT, koji treba da onesposobi svaku logiku bombu sakrivenu u
osumnjienom/kompromitovanom raunaru;
Za rebu
ranje ispi
vanog, privremeno oduzetog raunara nikada ne treba koris
njegov OS i komandnu liniju. Raunar treba bu
ra
sa butabilnog diska/
CD, koji je ziki zaš
en od upisivanja, ime se spreava unošenje virusa, ili
sa CD ROM–a koji je zika slika OS;
Kada se završi rebu
ranje ispi
vanog sistema, prvo se uzima zika slika
HD–a (alatom pa Drivespay, X-Way Forensic i slika), za
m se sakupljaju drugi
dokazi i preliminarno ispituju. Najbolji nain za skladištenje zike slike HD je
op
ki disk (CD), jer je otporan na ošteenja usled elektromagnetnih zraenja
iz okruženja, tj. ne može se brisa
(osim ako je rewritable pa), a može se lako
kopira
;
Privremeno oduze
osumnjieni raunar sa svim periferijama, treba
uskladiš
na bezbedno mesto, zaš
eno od u
caja okoline, posebno elektromagnetnih polja i obezbedi
od neovlašenog pristupa, jer se veštak mora
zakle
na sudu da dokazni materijal nije bio dostupan neovlašenim licima;
Za razliku od pisanog dokaza, digitalni dokaz esto može egzis
ra
u razlii
m
forma
ma ranijih verzija, koje su još dostupne na HD. Poznavanjem lokacija
njihovog postojanja i korišenjem adekvatnih alata za forenziku akviziciju sa
razlii
h apstraktnih slojeva raunarskog sistema, ak i izmenjeni forma
is
h podataka mogu se lako otkri
. Proces akvizicije najbolje poznaje iskusni
forenziar, koji najbrže otkriva mogue dokaze. Osim toga, u sluaju preliminarnog ispi
vanja, otkrivanja i iden
kacije digitalnih dokaza na licu mesta, kada se raunar iz nekog razloga ne oduzima u cilju istrage, ni
se pravi
forenzika kopija HD, forenziar najbrže iden
kuje skrivena, nealocirana i
izbrisana mesta koja treba gleda
, znake koje treba traži
i dodatne izvore
informacija za relevantne dokaze, kao što su raniji forma
podataka, npr., u
Memos, Spreadsheets, itd., koji postoje na HD, ili u bekap mediju, ili razliito
M J 77
forma
rane verzije podataka, npr. .templets, .doc, .pdf i slika, bilo da su tako
namerno formirane ili su tre
rane drugim aplika
vnim programima, npr.,
Word processing, spreadsheet, e-mail, meline, sheduling, graphic.
Zaš
ta integriteta dokaza je kri
na faza. Iskusan forenziar mora obezbedi
:
• da ni jedan mogui dokaz ne bude ošteen, uništen ili kompromitovan na
neki nain sa procedurom forenzike akvizicije i analize raunara ili u
cajem
forenzikog alata,
• da se ni jedan mogui kompjuterski virus ne ubaci u ispi
vani raunar u toku
procesa akvizicije i analize,
• da se sa potencijalno relevantnim dokazima propisno manipuliše i da se is
š
te od eventualnih mehanikih ili elektromagnetskih ošteenja,
• da se uspostavi neprekidni lanac uvanja i održavanja integriteta dokaza,
• da funkcionalnost ispi
vanog sistema bude ugrožen što je mogue krae
vreme, ili nikako,
• da se dobije bilo koja potrebna informacija u toku forenzike akvizicije i analize, od saslušavanih lica, ili advokata koji su prema e
kom kodeksu dužni
pruži
sve neophodne informacije forenziaru.
4.4 KORISNICI KOMPJUTERSKI DIGITALNI DOKAZA
U procesu istrage kompjuterskog kriminala mnogi organi i ins
tucije mogu zahteva
i koris
kompjuterske digitalne dokaze, kao što su, [11], [14]:
• tužilaštvo,
• pravosudni organi u privatnom parnikom postupku (pronevera, razvod, diskriminacija, uznemiravanje i slika),
• osiguravajui zavodi, za moguu prevaru u sluajevima kompenzacije
ošteenih lica i slika,
• korporacije/organizacije (vlasnici napadnutog informacionog sistema),
• zvanini istražni organi (MUP, BIA, VBA),
• pojedinci (vlasnici napadnutog sistema) i
• ins
tucije, udruženja i samostalni IKT veštaci za potrebe veštaenja.
78
I J 4.5 PRIPREMA DIGITALNI DOKAZA ZA VETAENJE PRED SUDOM
Nezavisni ekspert za IKT koji pomaže istražnom organu u otkrivanju i akviziciji podataka treba da ima iskustvo iz široke oblas
informaciono komunikacionih tehnologija, a
posebnu obuku i veš
ne iz specine oblas
koju svedoi/veštai. Takav ekspert je uvek
od velike koris
kada se vrši istraga konkretnog kompjuterskog incidenta. Meu
m, iako
je osnovni dizajn raunara i aplika
vnog sovera esto sasvim slian kod veine OS, pa
se znanja iz jednog sistema lako prenose na drugi sistem, ipak za poslove akvizicije i
forenzike analize uvek treba angažova
kvalikovanog eksperta za IKT, specijalistu za
konkretni OS, program, plaormu, mrežu itd., [12], [20].
Digitalne dokaze od trenutka otkrivanja do zakljuno sa forenzikom analizom, treba uvek tre
ra
kao da e bi
prezen
rani na sudu. Na sudu u parnikom ili krivinom
postupku, zavisno od težine kompjuterskog incidenta, digitalne dokaze prezen
rasvedoi IKT ekspert, ili veštai zakle
sudski veštak za IKT, kvalikovan za predmetni
hardver i sover, krajnje objek
vno, tano, uverljivo i razumljivo. U najveem broju
sluajeva digitalne dokaze na sudu prezen
ra forenziar koji je u toku istrage vršio
akviziciju i forenziku analizu digitalnih dokaza. Naravno, obe strane u sporu mogu
zahteva
i druge, nezavisne veštake za IKT, što neminovno podrazumeva unakrsno ispi
vanje i sueljavanje mišljenja dva veštaka za IKT, podjednako is
h znanja i iskustava.
To je u praksi esto faktor odvraanja, pa vrhunski eksper
za IKT esto odbijaju sudsko
veštaenje i sueljavanje mišljenja sa drugim podjednako dobrim forenzikim ekspertom i radije prihvataju ulogu neutralnog strunog konsultanta tužioca, ili samog sudije,
nego odgovornog svedoka ili veštaka.
U pripremi za prezentaciju digitalnih dokaza na sudu svedoci/veštaci za IKT moraju
obavi
mnogobrojne konsultacije sa advokatom stranke koja ih angažuje (tužilaštva ili
odbrane), za izbor metodae prezentacije (korišenje pomonih audio – vizuelnih sredstava, strategiju nastupa i slika), a sami se psihiki pripremaju za unakrsno ispi
vanje i
eventualno suoavanje sa svedoenjem drugog veštaka.
4.6 PREPORUKE IOCE ZA UPRAVLJANJE DIGITALNIM DOKAZIMA
Preporuke IOCE denišu postupke sa prikupljenim i obraenim dokazma, [22]:
• Za skladištenje i uvanje zike kopije digitalnih dokaza nisu prihvatljivi instant lm polaroid pa, indžekt printeri, ink printeri, termalni voštano – papirni printeri, dye sublimacioni printeri, suvo srebreni printeri, laserski printeri i elektrosta
ki printeri.
• Za uvanje originalne zike kopije digitalnih dokaza prihvatljivi su, zbog
kvaliteta, trajnos
i pouzdanos
klasini lmovi na bazi srebro – oksida, CD
ROM za jednokratno upisivanje (ne RW) i DVD-R za jednokratno snimanje.
M J 79
• Za uvanje originalne zike kopije digitalnih dokaza mogu se koris
, uz kontrolu eventualnih gubitaka podataka posebno razvijan instant lm, fotografski print, diskete, magnetne trake, HD, prenosni magnetni mediji, kompakt
eš memorija, PC kar
ce, smart kar
ce, prenosni magnetno–op
ki diskovi i
magnetno–op
ki diskovi za jedno upisivanje.
• Za analizu treba koris
radnu ziku kopiju, a jednu ziku kopiju osumnjienog raunara sauva
kao referentni dokaz integriteta.
• Dokumentacija za analizu zike slike osumnjienog raunara mora bi
tana,
detaljna, neporeciva i napravljena na poverljivom forenzikom sistemu.
• Verikacija referentne i analizirane radne kopije mora bi
obavezna i da nepobitno potvruje da nije bilo povrede integriteta originalnih dokaza.
• uvanje referentne zike kopije u lancu istrage je stroga obaveza od pokretanja istrage i otkrivanja dokaza do svedoenja/veštaenja na sudu.
Procedura za upravljanje digitalnim dokazom mora se administar
vno propisa
u
svakom pravosudnom sistemu i mora postoja
zakonska obaveza svakog pojedinca da
uva integritet dokaza u lancu digitalne forenzike istrage.
80
I J REZIME
Digitalni dokaz je svaka informacija uskladištena ili prenesena u digitalnoj formi, koja ima dokazujuu vrednost i na koju se sud može osloni
. Pojam digitalnog
dokaza ukljuuje kompjuterski uskladištene i generisane dokaze, digitalni audio
i video materijal, digitalni zapisi na mobilnom telefonu, digitalnoj fax mašini i
drugim digitalnim ureajima.
Oekuje se da forenzika analiza digitalnih dokaza otkrije najviše potrebnih
podataka za izgradnju vrstog, neoborivog digitalnog dokaza, jer postoji velika
razlika izmeu kompjuterskog digitalnog dokaza u raunaru (computer evidence)
i vrs
h, neoborivih dokaza (proof) prihvatljivih na sudu. Neoborivi, vrs
dokaz
nepobitno uspostavlja injenice, ali sadrži i subjek
vnu interpretaciju kompjuterskog digitalnog dokaza koju izvodi forenziar. Kompjuterski digitalni dokaz u
raunaru je objekvan digitalni podatak i može se koris
u meri u kojoj se može
dokaza
da nije izmenjen.
Pri akviziciji kompjuterskih digitalnih dokaza treba uvek verova
u indikacije
koje pokazuje istraga, sve dok se ne sastave svi delii posrednih digitalnih dokaza
u vrs
dokaz bez tzv. puko
na. Treba tražite nekonzistentnos
, ali prihva
i
ono što se vidi, bez racionalizacije. Ako se u toku forenzike akvizicije digitalnih
dokaza dobiju koniktni podaci, treba se vra
korak unazad i pokuša
otkri
šta se stvarno vidi. Možda konikt uopšte i ne postoji. Ukoliko konikt postoji, ne
pokušava
njegovo rešavanje racionalizacijom.
Ni u kom sluaju ne menja
ništa u ispi
vanim raunarima, sa kojih se u procesu akvizicije digitalnih dokaza sakupljaju digitalni podaci i ne objavljiva
nalaze
forenzike analize digitalnih dokaza u toku istrage. Treba uvek rauna
da e
sluaj ii na sud, a napada bi u meuvremenu mogao izmeni
svoj raunar i
izbrisa
sve podatke i eventualne tragove napada, koji mogu bi
potencijalni
digitalni dokazi.
U periodu nepostojanja nacionalne zakonske regula
ve, preporuka, standarda, principa i procedura za istragu sluajeva kompjuterskog kriminala i
zloupotreba IKT, akviziciju i analizu digitalnih dokaza i veštaenja pred sudom,
treba u što je mogue veoj meri koris
odgovarajua, meunardodno priznata
rešenja i najbolju praksu digitalne forenzike (IOCE).
M J 81
PITANJA ZA PONAVLJANJE
1. Opišite kako se formira digitalni kompjuterski dokaz.
2. Koje su tri osnovne kategorije digitalnih podataka koje postoje u kompjuterskom incidentu postoje?
3. Navedite glavne pravosudne zahteve za prihvatljivost digitalnih dokaza.
4. Koja tehnika obezbeuje zaš
tu integriteta digitalnih dokaza u celokupnom
lancu istrage?
5. Zašto je nedovoljna tehnika bekapovanja za skupljanje (akviziciju) digitalnih
dokaza?
6. Kako se sve naziva proces uzimanja bit po bit slike ispi
vanog raunara?
7. Koji en
te
mogu bi
korisnici digitalnih dokaza?
8. Navedite neki od problema i zahteve za pripremu digitalnih dokaza za
veštaenje pred sudom.
9. Koji su sve mediji prihvatljivi za uvanje originalne zike kopije digitalnih
dokaza?
10.Zašto se preporuuje uzimanje dve zike kopije ispi
vanog diska?
82
I J KLJUNI TERMINI
Digitalna forenzika: Aplikacija nauke na iden
kaciju, sakupljanje, ispi
vanje i
analizu podataka š
tei integritet informacija i održavajui striktno lanac uvanja
podataka.
Digitalni dokaz: Obuhvata svaki i sve digitalne podatke koji mogu nesumnjivo
dokaza
da je krivino delo kompjuterskog kriminala izvršeno ili može poveza
delo i poinioca ili delo i žrtvu.
Fiziki dokaz: Svaki ziki objekat koji može uspostavi
dokaz da je kriminalno
delo uinjeno, ili poveza
kriminal i žrtvu, ili kriminal i poinioca.
Forenzika nauke: Primena nauke na sudske zakonom obuhvaene sluajeve.
Kiberneki kriminal (Cybercrime): Svako krivino delo gde nain izvršenja, ili
potpis ukljuuje upotrebu raunarkih mreža na bilo koji nain.
Kiberneki prostor (Cyberspace): Odnosi se na konekcije i konceptualne lokacije kreirane korišenjem raunarskih mreža. U svakodnevnoj upotrebi postao je
sinonim za Internet.
Kompjuterski kriminal: Ukljuuje krau raunarskih servisa, neovlašeni pristup zaš
enim raunarima, soversku pirateriju, izmenu ili krau elektronski
uskladištenih informacija, iznuivanje izvršeno upotrebom raunara, neovlašen
pristup bankama i kraa novca, saobraaj sa ukradenim lozinkom i idn
tetom i
transmisija destruk
vnih virusa ili komandi.
Mesto krivinog dela (Crime Scene): Lokacija gde se dogodilo kriminalno delo.
Primarno mesto krivinog dela: Lokacija na kojoj je osumnjieni poinio najvei
deo napada na žrtvu.
Rekonstrukcija kriminala: Odreivanje akcija koje su dovele do izvršavanja
krivinog dela. Može se izvrši
na bazi izjava svedoka, priznanja osumnjienog ,
izjave žive žrtve ili ispi
vanja i interpretacije zikih i digitalnih dokaza. Neko ga
deniše kao proces rekonstrukcije mesta krivinog dela, što nije adekvatno, jer
se mogu rekonstruisa
samo ak
vnos
koje su dovele do krivinog dela.
Sekundarno mesto krivinog dela: Svaka lokacija izvan primarnog mesta krivinog
dela na kojoj mogu bi
dokazi o krivinom delu. U kompjuterskom kriminalu to
je osumnjieni raunar.
M J 83
LITERATURA
1. Bogan C. & Dampier Dr David, Preparing for Large-Scale Invesgaons with Case
Domain Modeling“, CS 483, Washington State Universit, Spring 2009.
2.Brodsky S. L, Tesfying in Court: Guidelines and maxims for the Expert Witness, Washington, DC, American Psychological Associa
on, 1991.
3. Bruce . Nikkel, The Role of Digital Forensics within a Corporate Organizaon, BSA
Conference, Vienna, May 2006.
4. Carrier B., Dening Digital Forensic Examinaon and Analysis Tools Using Abstracon
Layers, Interna
onal ournal of Digital Evidence, Winter 2003.
5. Carrier B., Spa#ord H. E., Geng Physical with the Digital Invesgaon Process, Interna
onal ournal of Digital Evidence, Vol. 2, Iss. 2, CERIAS, Purdue University, 2003.
6. Carrier B. &Spa#ord E., Automated Digital target denion Using Oulier Analysis,
CS 483, Washington State Universit, Spring 2009.
7. Carvey H., Windows Forensic Analysis DVD toolkit, Syngress Publishing Inc., www.
syngress.com, 2007.
8. Casey E., Digital Evidence and Computer Crime, Academic Press, 2000.
9. Farmer D., Wietse V., Forensic Discovery, h'p://www.sh2.com/forensics, 2006.
10. Federal Rule of Digital Evidence, h'p://www.house.gov./judiciary/ evid2001.pdf,
USA gov., 2002.
11. Gary E. Fisher, Computer forensics Guidance, NIST, www.nist.com, 2001.
12. Grance T., Kent K., Kim B., Computer Security Incident Handling Guide, NIST Special
Publica
on 800-61, anuary 2004.
13. Grimes R. A., Honeypots for Windows, www.amazon.com, 2006.
14. Grubor G., Osnove Kompjuterskog kriminala, skripta, Univerziitet Singidunum,
Fakultet za poslovnu informa
ku, 2006, Beograd.
15. h'p://www.atstake.com.
16. h'p://www.ens.org,
17. hp://www.iacis.org/.
18. h'p://www.ncjrs.org, Electronic Crime Scene Invesgaon: A Guide for First Responders, 2001.
19. h'p://www.ojp.usdoj.gov/nij/pubs.htm
20. Icove D., Segar K., VonStorch W., Computer Crime, A Crimeghter's Handbook, O'Reilly
& Associates, 2004.
21. Informa
on Security Forum, The standard of Good Pratcce for Digital Forensic,
www.isf.com, 2006.
22. IOCE, IOCE Princips & Denions, IOCE 2. Conference, London, 7. 10. 1999.
23. ISF, The standard of Good Pratcce for Informaon Security, www.isf.com, 2006.
24. ames S., Nordby ., Forensic Science: An Introducon to Scienc and Invesgave
Techniques, CRC Press, 2003.
25. Kent K., Chevalier S., Grance T., Guide to Integrang Forensic Techniques into Incident
Response, NIST SP 800-86, 2006.
26. Lee H., and all, Henry Lee's Crime Scene Handbook, Academic Press, 2001.
84
I J 27. Matson .V., Eecve Expert Tesmony, 3rd edi
on Boca Raton, Press, p.71, 1999.
28. Miloševi, M., Struna lica u krivinom postupku, Beograd: Policijska akademija,
1996.
29. Mocas Dr. Sarah, Topics in Computer Science Introducon to Digital Forensics, CS 483,
Washington State Universit, Spring 2009Na
onal Policing Improvement Agency, Core
Skills in Data Recovery & AnalysisCourse Reference Book V2.01, Bradford, UK, May
2007.
30. NI (Na
onal center for Forensic Science), Digital Evidence in the Courtroom: A guide
for Preparing Digital Evidence for courtroom Presentaon, mart 12, 2003.
31. Petrovi R. S., Kompjuterski kriminal II Izdanje, MUP Republike Srbije, 2001.
32. Pe+nari D., Cmdr., Handling Digital Evidence from Seizure to Court Presentaon,
IOCE conference, juni 2000.
33. Pollit M. Mark, Report on Digital Evidence, (FBI CART report, DC Washington, USA),
Interpol Forensic Science Symposium, Lyon, France, 16 - 19. 10. 2001.
34. Republika Srbija, Predlog krivinog zakona, Glava 27-Krivina dela prov bezbednos
raunarskih podataka, lan 298-304, 2003.
35. Republika Srbija, Zakon o borbi prov visoko tehnološkog (kompjuterskog) kriminala,
2005.
36. Rosenbla', K. S., High Technology Crime — Invesgang Cases Involving Computers,
KSK Publica
ons, San ose, CA, 1995.
37. Rosenbla', K. S., High Technology Crime — Invesgang Cases Involving Computers,
KSK Publica
ons, San ose, CA, 1995.
38. Smith F. C., Gurley R. B., A Guide to Forensic Tesmony – The art and Pracce of
Presenng tesmony as an Expert Technical Witness, Addison – Wesley, Boston SAD,
2002.
39. Steel C., Windows Forensic, The Field Guide for Corporate Computer Invesgaons,
ohn Wiley&Sons, 2006.
40. Whitcomb C M., A Historical perspecve of Digital Evidence: A Forensic Scienst’s
View, Interna
onal ournal of Digital Evidence, vol.1, issuue 1, 2002.
41. www.<i.gov./hq/lab/fsc/backissu/oct2000/computer.html
M J 85
D
E
O
II
TEHNOLOŠKE OSNOVE DIGITALNE
FORENZIKE ISTRAGE
Cilj ove glave je da se denišu i opišu osnovne forenzike tehnike i ala za istragu,
akviziciju i analizu digitalnih dokaza. Razumevanjem potrebe za neprekidan razvoj funkcionalnos forenzikih alata za razliite apstrakcione slojeve, kao i zahteva za razvoj alata za
specine forenzike zadatke, ali i za integrisanje funkcija forenzikih alata u set alata za
terenski rad i laboratorijsku analizu, studen se
osposobljavaju za samostalan izbor opmalnih
forenzikih tehnika i alata za konkretni sluaj
digitalne forenzike istrage, akvizicije i analize.
UVOD
Ranih 90-
h razvijeni su prvi ala
za istragu i ispi
vanje digitalnih podataka. Asocijacija specijalista za istragu kompjuterskih podataka - IACIS (Informaon Associaon of
Computer Invesgave Specialists) organizuje obuku za digitalnu forenziku istragu. Za
uspešnu digitalnu forenziku istragu potrebno je dobro poznava
razliite plaorme:
DOS, MSDOS, Windows 9x/NT/2000/XP/Vista, UNIX/Linux, Machintosh i dr. Znaajne
resurse za digitalnu forenziku istragu predstavlja mreža eksperata za digitalnu forenziku raunarskih sistema i drugih profesionalaca i održavanje kontakata putem e-mail
poruka sa specijalis
ma razlii
h disciplina, [21].
Brojni savremeni forenziki ala
koriste se istovremeno i za akviziciju i analizu digitalnih podataka. Dele se u kategoriju hardverskih i sofverskih alata. Kriterijumi za izbor
i izbor adekvatnog specijalizovanog alata, ili seta forenzikih alata, znaajnija su pitanja
za svakog forenziara, nego preporuke pojedinanih forenzikih alata.
Forenziki ala
se neprestano razvijaju, modernizuju, popravljaju i reklamiraju. Zato
je korisno proveri
web lokacije pozna
h proizvoaa i vide
kakve su karakteris
ke
forenzikih alata poslednje generacije. Savremeni soverski forenziki ala
sa GUI interfejsom mogu zahteva
znatne resurse raunarskog sistema o emu treba razmišlja
kod nabavke forenzikog alata.
Da bi se obezbedio neophodni integritet digitalnih podataka, kao i poznavanje stepena greške koju alat unosi, potrebno je poznava
pouzdani metod tes
ranja validnos
forenzikog alata.
> @Y\ 89
1. DIGITALNA FORENZIKA NAUKA
Digitalna forenzika nauka deniše se kao »korišenje nauno deriviranih i dokazanih
metoda za sakupljanje, uvanje, idenkaciju, analizu, interpretaciju, dokumentovanje
i prezentaciju digitalnih dokaza deriviranih iz izvora digitalnih podataka, a namenjenih za lakšu rekonstrukciju dogaaja koji se smatraju krivinim delom, ili neovlašenim
ometanjem planiranih operacija raunarskih sistma i mreža«, [28], [29].
Ova denicija pokriva široke aspekte digitalne forenzike od akvizicije podataka do
legalnih akcija u pravosudnom postupku.
Proces digitalne forenzike na najvišem nivou apstrakcije ukljuuje akviziciju (sakupljanje) podataka iz nekog izvora - HD kompromitovanog raunara, drugog medija,
memorije i slika, analizu podataka i ekstrakciju dokaza, uvanje dokaza u lancu istrage
i svedoenje (veštaenje) dokaza pred sudom. U ovom poglavlju opisani su teorija i zahtevi za akviziciju i analizu digitalnih podataka i ekstrakciju dokaza iz prikupljenih podataka; opisana je priroda alata za digitalnu forenziku, date denicije i zahtevi. Postojei
digitalni forenziki ala
daju rezultate koji se uspešno koriste pred sudom. Digitalna
forenzika nauka obezbedila je forenzike alate za rela
vno lagan i pouzdan pristup
organa za digitalnu istragu osetljivim digitalnim podacima, ali pino nedostaju metodi
za verikaciju korektnos
rada ovih alata, što je neophodno kada se digitalna forenzka
posmatra sa naunog aspekta.
Proces digitalne forenzike obuhvata sledee 4 glavne faze (slika 1.1), [5], [22]:
• Sakupljanje (akvizicija): iden
kacija, validacija, oznaavanje, snimanje i izvlaenje podataka iz moguih izvora podataka, sledei procedure koje š
te
integritet podataka.
• Ispivanje: forenziko procesiranje sakupljenih podataka korišenjem kombinacije automa
zovanih i manuelnih metoda i procena ekstrahovanih podataka od posebnog interesa, uz ouvanje integriteta podataka.
• Analiza: analiziranje rezultata ispi
vanja, legalno opravdanim metodama i
tehnikama, iden
kovanje potencijalnih digitalnih dokaza, primenom nauno deriviranih i dokazanih metoda koje mogu koris
za rekonstrukciju dogaaja u istrazi kompjuterskog kriminala.
• Izveštavanje: formiraju se vrs
dokazi i priprema prezentacija dokaza pred
sudom kroz ekspertsko svedoenje ili veštaenje. Izveštavanje rezultata analize, može ukljui
opis primenjenih akcija, koji objašnjava kako su izabrani ala
i procedure i odreuje koje druge akcije treba da se izvrše, npr. forenziko
ispi
vanje dodatnih izvora podataka, iden
kovane ranjivos
, poboljšavanje
postojeih kontrola zaš
te, preporuke za poboljšavanje poli
ka, procedura,
alata i drugih aspekata procesa digitalne forenzike.
90
I J Slika 1.1 Proces digitalne forenzike
Generalno, digitalni dokazi koje istraga treba, nalaze se analizom i evaluacijom svih
podataka sakupljenih u fazi akvizicije digitalnih podataka. Kao i u istrazi klasinog kriminala, da bi otkrili is
nu digitalni istražitelji moraju iden
kova
podatke koji formiraju:
• optužujue dokaze, verikuju postojee podatke i teorije (hipoteze),
• oslobaajue dokaze, suprostavljaju se postojeim podacima i hipotezi, i
• indikatore pokušaja sakrivanja podataka.
Da bi se otkrili svi ovi povi dokaza, sakupljeni podaci moraju se analizira
i iden
kova
potencijalni dokazi koji podržavaju postavljenu hipotezu, ili se suprostavljaju
postavljenoj hipotezi, ili ukazuju na sakrivanje podataka.
U radu sa digitalnim podacima, u procesu akvizicije i analize, forenziar se mora
pridržava
glavnih principa za rad sa kompjuterskim digitalnim dokazima, koje su sa
neznatnim varijacijama, propisale brojne meunarodne organizacije (IOCE, NIST, FBI),
[24], [7], [27], [38]:
Princip 1: Ni jedna ak
vnost agencije ili forenziara ne sme izmeni
podatke koji se
naleze u raunaru ili medijumima za skladištenje i koji mogu bi
potencijalni dokazi
za sud.
Princip 2: U posebnim okolnos
ma kada organ istrage, forenziar ili drugo lice mora
pristupi
originalnim podacima, to lice mora bi
kompetentno i mora da
dokaz
koji objašnjava znaaj i implikacije te ak
vnost.
Princip 3: Treba kreira
i uva
u celokupnom lancu istrage kontrolne tragove i druge zapise svih procesa izvršenih nad kompjuterskim elektronskim dokazima, da bi se
obezbedila nezavisna forenzika analiza h procesa sa is
m rezulta
ma.
Princip 4: Lice nadležno za istragu sluaja kompjuterskog kriminala odgovorno je
za obezbeivanje sprovoenja svih ak
vnos
forenzike istrage, akvizicije, analize i
prezentacije u skladu sa zakonskom regula
vom i ovim proncipima.
> @Y\ 91
Sa porastom kapaciteta sistema za skladištenje podataka, analiza svakog bita podataka prak
no je „nemogua misija“. Sakupljeni podaci su pino serije bajtova podataka
sa HD ili mrežnih ureaja. Ovakve sirove podatke teško je razume
. U sluaju sistema
sa više diskova, RAID ili Volume Managament pa, sakupljeni podaci sa jednog diska
ne mogu se analizira
sve dok se ne spoje sa podacima sa drugih diskova korišenjem
kompleksnih algoritama. Problem kompleksnos u digitalnoj forenzici po
e i otuda
što su sakupljeni podaci pino u najnižem i najsirovijem formatu, koji je esto težak
za ljudsko razumevanje. Iako ih nije nemogue interpre
ra
, zahtevaju visok stepen
znanja i veš
na što se ne može traži
od pinih istražitelja digitalnih podataka.
Problem kompleksnos
se rešava upotrebom alata za prevoenje podataka kroz
jedan ili više slojeva apstrakcije sve dok ne budu razumljivi za ljudsku interpretaciju. Na
primer, za gledanje sadržaja direktorijuma iz imidža (zike slike) fajl sistema, struktura
fajl sistema mora bi
procesirana tako da se na displeju prikaže odgovarajua struktura
podataka. Podaci koji predstavljaju sadržaj direktorijuma postoje u imidžu fajl sistema
uzetom u fazi akvizicije podataka, ali u suviše niskom forma
za iden
kaciju. Direktorijum je sloj apstrakcije u fajl sistemu. Primeri drugih slojeva apstrakcije su:
• ASCII19,
• HTML20 fajl,
• Windows Registry,
• alarm IDS (Intrusion Detec
on System) i
• izvorni kôd.
Namena alata za digitalnu forenziku analizu je da tano predstavi sve podatke na
sloju apstrakcije i u formatu koje forenziar može efek
vno koris
za iden
kaciju
dokaza. Zahtevani sloj apstrakcije zavisi od veš
ne forenziara i zahteva istrage. Na
primer, u nekim sluajevima posmatranje sadržaja bloka sirovih podataka sa HD je
adekvatno, dok se u drugim sluajevima zahteva procesiranje bloka sa HD kao strukture
fajl sistema. Moraju postoja
ala
koji obezbeuju obe opcije.
Glavne kategorije procesa digitalne forenzike analize mogu se denisa
i
korišenjem koncepta apstrakcionih slojeva, za razliku od ranijih denicija koje su zavisile od strunos
i znanja forenziara, [3]. Koncept apstrakcionih slojeva koris
se za
denisanje zahteva za alate za digitalnu forenziku analizu. U odnosu na slojeve apstrakcije raunarskog sistema i pripadajue digitalne podatake proizvedeni su ala
za
analizu h podataka sa razlii
m stepenom denisanos
, slabije opisanim svojstvima i
povima grešaka koje apstrakcioni slojevi proizvode kada se koriste sa forenzikim ala
ma. Koncept digitalnih forenzikih alata za apstrakcione slojeve raunarskog sistema
odgovara svim povima digitalne forenzike analize, ukljuujui i podelu na analizu
medija, programskog kôda i raunarske mreže.
19 American Standard Code for Informa
on Interchange
20 Hipertext Markup Language, jezik za izradui forma
ranje HTTP stranice
92
I J REZIME
Digitalna forenzika nauka (digitalna forenzika) ukljuuje sakupljanje, uvanje,
dokazivanje i ekspertsko svedoenje/veštaenje digitalnih dokaza pred sudom,
u sluajevima upravljanja kompjuterskim incidentom, kompjuterskog kriminala,
civilne parnice, ili administra
vnih zahteva. Digitalna forenzika nauka pokriva
široke aspekte digitalne forenzike od akvizicije podataka do legalnih akcija u
pravosudnom postupku. Najvei deo digitalne forenzike odnosi se na forenziku
raunarskih sistema, ili kompjutersku forenziku.
Za razliku od procesa oporavka sluajno izgubljenih ili izbrisanih podataka,
digitalna forenzika raunarskog sistema oporavlja podatke koje je korisnik namerno sakrio ili izbrisao, sa ciljem da obezbedi validnost podataka za dokaze
pred sudom. Dobra je praksa da u sluaju bezbednosnog kompjuterskog incidenta digitalni forenziar mski radi sa administratorom sistema/mreže, specijalistom za zaš
tu i iskusnim istražiteljom klasinog kriminala.
Kao i u istrazi klasinog kriminala, da bi otkrili is
nu organi istrage moraju
iden
kova
podatke koji formiraju optužujue dokaze, oslobaajue dokaze ili
indikatore pokušaja sakrivanja podataka. Za upravljanje digitalnim dokazima u
celom lancu istrage uspostavljena su 4 osnovna principa (FBI, NIST, IOCE) kojih se
digitalni forenziari i istražitelji moraju pridržava
.
Analiza prikupljenih podataka sa porastom kapaciteta HD i pojavom RAID diskova, postala je suviše kompleksna i prak
no „nemogua misija“. Problem kompleksnos
u digitalnoj forenzici po
u i otuda što su sakupljeni podaci pino
u najnižem, sirovom formatu, teškom za razumevanje, pa zahtevaju upotrebu
alata za prevoenje podataka kroz jedan ili više slojeva apstrakcije sve dok ne
budu razumljivi za ljudsku interpretaciju.
Glavne kategorije digitalne forenzike analize mogu se denisa
i korišenjem
koncepta apstrakcionih slojeva, za razliku od ranijih denicija koje su zavisile
samo od strunos
i znanja forenziara. Koncept apstrakcionih slojeva koris
se
za denisanje zahteva za alate za digitalnu forenziku analizu. Koncept digitalnih
forenzikih alata za apstrakcione slojeve raunarskog sistema odgovara svim povima digitalne forenzike analize, ukljuujui i podelu na analizu medija, programskog kôda i raunarske mreže.
Digitalni forenziki ala sa otvorenim izvornim kodom (Linux pa) postali su
naješe korišeni soverski alat za akviziciju i forenziku analizu digitalnih dokaza, zato što obezbeuju analiarima: veu kontrolu u radu sa digitalnim dokazima nego ala sa zatvorenim izvornim kodom; tesranje i verikaciju onoga
što sami ala rade; precizniji alat za forenziku analizu digitalnih dokaza; lakše
otkrivanje skrivenih podataka i bolji alat za dokazivanje pouzdanos naunog
dokaza kvaliteta forenzikih alata.
> @Y\ 93
Meu
m, forenziki ala
sa zatvorenim programskim kodom postaju na is
nain prihvatljivi u brojnim pravosudnim sistemima, ako su nauno potvreni i
tes
rani, ako im je poznat nivo grešaka i ako se testovi mogu ponovi
i da
iste
rezultate na zahtev suda.
PITANJA ZA PONAVLJANJE
1.
2.
3.
4.
5.
6.
7.
8.
94
Kada su razvijeni prvi ala
za istragu i ispi
vanje digitalnih podataka?
Koje su osnovne kategorije podele forenzikih alata?
Kako se deniše digitalna forenzika nauka?
Koje su osnovne faze procesa digitalne forenzike?
Koje podatke moraju ortkri
digitalni istražitelji pred sudom?
Denišite glavne principe za rad sa kompjuterskim digitalnim dokazima.
Koja su dva glavna faktora kompleksnos
istrage digitalnih dokaza?
Koji se koncept koris
za denisanje glavnih kategorija procesa digitalne
forenzike i alata za digitalnu forenziku akviziciju i analizu?
I J 2. FORENZIKA AKVIZICIJA DIGITALNI PODATAKA
2.1 FUNKCIONALNI MODEL FORENZIKE AKVIZICIJE DIGITALNI
PODATAKA
Akvizicija digitalnih podataka, prva glavna faza digitalne forenzike, analogna uzimanju o
ska prsta, obuhvata procese otkrivanja, iden
kacije i izvlaenja digitalnih
podataka za potrebe forenzike analize digitalnih dokaza. Generalno, u procesu klasine
(posmortem) digitalne forenzike akvizicije potrebno je uze
ziu kopiju (imidž) svakog ispi
vanog medija (HD, CD, FD, eš memorija) i imidž memorisa
na poverljiv,
forenziki sterilan disk. Ako je mogue treba snimi
sve locirane i nealocirane podatke
sa kompromitovanog raunara.
Funkcionalni model digitalne forenzike akvizicije pino koris
koncept sledeih
apstrakcionih slojeva, [27]:
• odreivanje slojeva ulaza i izlaza (I/O),
• pripisivanja operacija itanja i upisivanja za pripadajue forenzike alate i
• vremensko peaenje operacija itanja i upisivanja.
Korišeni apstrakcioni slojevi u ovom modelu su: aplikacioni programi (I/O slojevi), fajl sistem, upravljanje medijima, ziki mediji i sloj umrežavnja. Operacije itanja
i upisivanja obuhvataju razliite apstrakcione slojeve, a tes
ranje modela ukljuuje
kompleksne forenzike operacije sa primenom DD alata komandne linije za uzimanje
zikog imidža diska, slanje izlaznog imidža preko mreže sa Netcat alatom na forenziki
server, za
m izvlaenje imidža na drugi forenziki raunar za analizu. Vremena upisivanja i itanja mogu da se registruju na razlii
m mes
ma. Primena modela može
bi
korisna za ponovljivost procesa forenzike istrage i dokazivanje uvanja integriteta
podataka.
2.1.1 Lokardov princip razmene materije
U procesu forenzikog ispi
vanja raunara u radu, forenziari i lanovi interventnog ma treba da imaju na umu važan princip – da e doi do promene u sistemu
koji je u radu posle interakcije korisnika, ili forenziara sa sistemom. U sistemu koji je
u radu, promene e se dogodi
jednostavno zbog protoka vremena, rada procesora,
skladištenja i brisanja podataka, uspostavljanja i ukidanja mrežnih konekcija itd. Neke
promene se dešavaju i kada je sistem samo ukljuen i nema nikakvih ak
vnos
sa interfejsa. Promene se dešavaju i kada forenziar pokrene forenziki alat za uzimanje imidža.
Ak
viranje bilo kog programa izaziva upisivanje informacija u ziku memoriju, a zika
memorija koju ve zauzima neki proces u radu može isprazni
svoj sadržaj u page ili
swap fajl. Kada forenziar sakupi informacije i pošalje ih izvan sistema kroz forenziki
sigurne komunikacione kanale u fornziki server, kreira se nova mrežna konekcija.
> @Y\ 95
Sve ove promene mogu se zajedno objasni
Lokardovim21, principom razmene materije: kada dva objekta dou u kontakt izmeu njih se razmenjuje ili prenosi materija,
[5]. Fiziki primer Lokardovog principa je, kada automobil udari u oveka, a forenziar
ispituje žrtvu i locira materijal koji je dislociran sa mesta udesa. Is
se princip odnosi i
na digitalno okruženje, na primer, kada dva raunara komuniciraju u mreži, inforamacije se razmenjuju izmeu njih. Informacija o jednom raunarau pojavie se u memoriji
procesa i/ili log fajlovima, registrima itd., u drugom raunaru, ili kada se prenosni USB
disk prikljui na Windows raunarski sistem, rezidenta informacija o ureaju ostaje u
raunaru. Kada forenziar pristupi raunaru u radu, dogaaju se promene u sistemu
kako se izvršava forenziki program i podaci kopiraju sa sistema. Ove promene mogu
bi
prelezne – memorija procesa, mrežne konekcije, ili trajne – log fajlovi, ulazi Registra, keš fajlovi (Internet istorija). Za demosntraciju Lokardovog principa razmene
materije može se iskoris
jednostavan mrežni alat kao što je netcat (nc.exe u Windows sistemu) za pisanje i itanje informacija kroz mrežne konekcije. Programi koje
forenziar koris
za skupljanje informacija mogu ima
druge efekte na ak
vni sistem.
Na primer, neki forenziki alat treba da ita nekoliko kljueva registra u Windows XP
OS. Putanja do ovih kljueva se upisuje u RAM memoriju. Kako Windows XP OS izvršava
prefetching aplikaciju, uzimanje podataka iz memorije i skladištenje u registar procesora pre njihovog korišenja, kada forenziar ak
vira program kojeg je korisnik ve ak
virao na sistemu, bie modikovano vreme poslednjeg pristupa korisnika prefatch fajlu,
kao i sadržaj samog prefatch fajla. Ako program kojeg forenziar pokrene nije ranije
korišen, bie kreiran novi prefatch fajl u prefatch direktorijumu, pod pretpostavkom
da prefatch direktorijum nije dos
gao svoj 128. po redu .pf granini fajl. Forenziari
ne samo da moraju zna
da se ove promene dešavaju, ve ih moraju i dokumentova
i objasni
efekte svojih akcija na sistem u razumnom obimu, ako to sud zahteva. Na
primer, forenziar treba da utvrdi koji su .pf fajlovi u XP prefeach direktorijumu rezultat
njegovih ak
vnos
, a koji ak
vnos
korisnika. Isto važi i za vrednos
upisane u Registre.
Akcija forenziara ažurira vreme poslednjeg upisa entrija (ulaza) u kljuevima Registara.
Neke od ovih promena nisu rezultat akcije forenzikih alata, nego ih pravi Windows
Explorer, jednostavno zbog injenice da je sistem ak
van. Tes
ranjem i razumevanjem funkcionalnos
forenzikih alata, forenziar može dokumentova
i objasni
koji
su artefak
na sistemu rezultat akcija forenziara, a koji su rezultat akcija korisnika ili
napadaa, [6].
Sve nestabilne informacije nemaju jednako vreme trajanja. Na primer, mrežne
konekcije nestaju ponekad za nekoliko minuta, ako se ne koriste. Ovo se može vide
gledanjem mrežnih konekcija u netstat.exe alatu. Meu
m, sistemsko vreme se
menja mnogo brže, dok e sadržaj Clipboard osta
sve dok se ne promeni, ili napajanje
sistema ne iskljui. Pored toga neki procesi, kao što su servisi, rade dugo vremena, dok
drugi procesi rade ekstremno kratko vreme, brzo izvršavajui svoje zadatke pre brisanja
iz RAM memorije. Ovo znai da forenziar treba da sakuplja neke nestabilne informacije pre drugih nestabilnih informacija. Generalno, forenziar može sa sistema u radu
21 Dr. Edmond Locard, poetkom 20. stolea
96
I J sakupi
znaajne informacije, vodei detaljne zabeleške o svakoj akciji, svakoj razlici
izmeu UTC (Universal Time Control), lokalnog i sistemskog vremena i tako minimizira
u
caj promena datuma na konkretni sluaj i nekoliko godina kasnije, ako to zahtevaju
pravosudni organi, [5].
2.1.2 Redosled sakupljanja nestabilnih podataka
Forenziar prvo treba da sakupi informacije o statusu mrežnih konekcija, a najmanje
promenljive informacije kao što je zika konguracija sistema, treba sakuplja
poslednje.
U veini sluajeva kompjuterskog kriminala, civilne parnice, ili interne korporacijske istrage ne postoje predenisani uslovi za primenu forenzike istrage ak
vnog
raunara, pošto postoje brojni sluajevi gde se nestabilne informacije uopšte ne
zahtevaju i ne razmatraju. Razlozi za forenziko ispi
vanje ak
vnog raunara više zavise od specinos
okruženja (poli
ke, regula
va i zakona) i prirode smog sluaja, a
naješe sam forenziar treba da donese tu odluku. Na primer, administrator mreže
zapazi neobian saobraaj u mreži, kojeg alarmira IDS/IPS sistem, a proverom log fajla
rewall-a utvren je vremenski sinhronizam koji dokazuje da je napad došao iz mreže,
što potvruje i MAC22 adresa, ali je potrebno ovom saobraaju pridruži
proces, ili korisnika. U tom sluaju forenziar treba da izvrši ispi
vanje ak
vnog sistema, da deni
vno utvrdi izvor sumnjivog saobraaja i koji ga proces generiše, da sakupi inforamcije
o ak
vnim procesima i mrežnim konekcijama, pre iskljuivanja sistema. Druge informacije sakupljene u ovom ispi
vanju mogu pokaza
da je neko logovan u sistem daljinskim pristupom preko više mrežnih logovanja, ili kroz zadnja vrata (back door), ili je
ak
vni proces pokrenut kao planirani zadatak (Scheduled Task). Takoe, ovo ispi
vanje
je nezamenljivo za utvrivanje da je u korumpiranom raunaru ak
van Trojanac.
Generalno, sakupljanje informacija iz RAM memorije i njihova analiza su rela
vno
nove oblas
digitalne forenzike (od 2005. godine). Iz RAM memorije mogu se izvui
sledee informacije, [5]:
• sistemsko vreme,
• logovani korisnici,
• otvoreni fajlovi,
• mrežne informacije,
• mrežne konekcije,
• informacije o ak
vnim procesima,
• mapiranje procesa i portova,
• memorija procesa,
• status mreže,
22 Media Access Control (MAC) – mašinska kontrolna adresa mrežnih ureaja
> @Y\ 97
•
•
•
•
•
sadržaj Clipboard-a,
informacije o servisu/drajveru,
istorija komandi,
mapirani drajvovi,
deljeni fajlovi/direktorijumi.
2.2 AKTIVNA FORENZIKA AKVIZICIJA
Postoje brojna pitanja sa kojim se forenziari suoavaju kada iskljue osumnjieni
raunarski sistem/e i sakupljaju imidže sa vrs
h diskova za ispi
vanje, od kojih su
najznaajniji gubici zbog prekida e-transakcija savremenih poslovnih IKT sistema, u uslovima porasta e-trgovine i e-poslovanja uopšte. Tome treba doda
da brojne organizacije na bazi SLA (Service-Level Agreements) ugovora imaju garanciju da e sistemi bi
u
radu 99,999% vremena (izuzev vremenskog prozora za održavanje). Za uzimanje imidža
savremenih vrs
h diskova velikog kapaciteta, na primer, 750GB u RAID23 aranžmanu sa
5 ili 8 ovakvih diskova, oigledno je potrebno više asova, što za organizaciju može bi
neprihvatljivo, ako je za akviziciju diska od 80GB potrebno više od 4 sata. Pored toga
esto nije potrebno vrši
akviziciju svih podataka, ako je u fazi pretrage i predistražnom
postupku otkriveno koji p dokaza treba traži
. Takoe, brojni maliciozni programi za
krau personalnih informacija – lozinki, linih fajlova i drugih linih podataka, ne budu
upisani na vrs
disk nego ostaju samo u prmarnoj RAM memoriji, što znai kada se
sistem iskljui sve ove informacije nestaju, [5].
U nekim sluajevima, pre ulaska u klasino forenziko ispi
vanje raunara, forenziar
ima potrebu da sakupi neke informacije iz sistema koji je još u radu pre njegovog
iskljuivanja i akvizicije bit-po-bit imidža vrstog diska. Informacije za koje forenziar
može bi
najviše zainteresovan su promenljive, nestabilne (volale) i kratkotrajne informacije, koje prestaju da postoje kada se napajanje raunara iskljui. Ove nestabilne
informacije obino postoje u zikoj memoriji - RAM-u i sastoje se od informacija o procesima, mrežnim vezama, sadržajima clipboard-a itd. Ove informacije opisuju stanje
sistema u trenutku kada je forenziar ispred njega. Forenziki istraživa može esto bi
u situaciji da izvrši brzo akviziciju podataka da bi odredio prirodu incidenta.
Na raspolaganju su ala
i tehnike za sakupljanje nestabilnih informacija iz ak
vnog
(živog) sistema, koje daju bolji uvid u stanje sistema i vei obim ukupnih relevantnih informacija. Dakle, forenziko ispivanje akvnog raunara (live response) obuhvata procenu ak
vnog sistema u radu i sakupljanje nestabilnih, a u nekim sluajevima i drugih
informacija. Sa ovim ne treba meša
pojam akvne akvizicije podataka sa raunara u
radu (live acquision) koja znai uzimanje imidža vrstog diska sa raunara u radu.
23 RAID - Redundant Area of Inexpensive Discs
98
I J 2.2.1 Razvoj akvne forenzike akvizicije
Tehnologija je evoluirala na takav nain da je ak
vna digitalne forenzika akvizicija stvarno jedina opcija na raspolaganju pod odreenim okolnos
ma. U prošlos
,
raunarske mreže su bile jednostavnije. Savremene raunarske mreže su visoko distribuirane na više lokacija, što otežava posao administratorima sistema, mreža i zaš
te
IKT sistema. Mnoge organizacije imaju više raunara na jednoj lokaciji, a nekoliko
lokacija u gradu, zemlji ili na kon
nentu. Takoe, upravljanje IKT resursima na web
sajtu i web servisima može bi
veoma težak zadatak. U klasinoj digitalnoj forenzikoj
istrazi problem bi mogao nasta
ako bi se iskljuivali raunari sa mreže da bi se sprovela
forenzika istraga svake sumnjive žalbe, bezbednosnog dogaaja ili kompromitovanog
hosta, zbog u
caja na operacije raunarskih resursa i web servise. Trijaža incidenata je
veoma esta praksa kada se dijagnos
kuju problemi u mreži. To je prva reakcija, i ne
pretpostavlja se odmah da je izvršen napad ili da je sistem ugrožen. U okruženju ak
vne forenzike akvizicije, korporacijski forenziar bi mogao da se uloguje sa daljine, da
vidi tekue procese, sadržaj zike memorije i donese odluku da li da se uzima imidž24
udaljenim pristupom ili da se raunar ziki odstrani sa mreže radi daljeg forenzikog
ispi
vanja. Metodologija ak
vne forenzike akvizicije omoguava održavanje-uvanje
opera
vne gotovos
svih mrežnih resursa.
Znaajan razlog za razvoj ak
vne forenzike akvizicije je brzi razvoj sekundarnih (online) medijuma za skladištenja – HD. Na primer, neka je kompromitovan server intranet
mreže organizacije, koji radi 24 asa, a ima HD kapaciteta 630 TB. (terabajta). Snimanje
zike slike (imidža) ovog HD na forenziki HD manjeg kapaciteta , ak i sa kompresijom
podataka trajalo bi veoma dugo i ne bi rešilo problem. Kompresija poveava vreme
koje je potrebno za imidžovanje HD servera, jer algoritam kompresije zahteva vreme
da ispita i ukloni suvišne detalje pre kompresije. Meu
m, i dalje bi bilo nemogue da
se komprimuje vei HD na manji, recimo, USB eksterni disk. Ako bi se klasina akvizicija
ovog HD vršila na forenziki HD iste veliine ostaje problem vremena potrebnog za
akviziciju. Na primer, neka se koris
ICS Image MASSter Solo-3 IT alat za imidžovanje,
koji može da duplira HD brzinom od 3 GB u minu
. Za uzimanje imidža HD od 630TB,
oigledno bi bilo neprak
no, zbog potrebnog vremena:
630TB = 630 x 1TB=630x1,099,511,627,776 B = 6,926,923,254,988,880 B
Vreme potrebno za akviziciju – Ta je:
Ta= 630 TB/3GB= 6926923254988880B/3221225472B =
2150400 minuta=35840sa= 1493dana=preko 4 godine
24 Image (imidž) - zika slika bit po bit
> @Y\ 99
U gornjem primeru su primenjene tane veliine konverzije bajta (B) u bite (b), gde
je 1B=8b, prikazane u tabeli 2.1.
Tabela 2.1 Karta konverzije bajta – B (Byte)
Veliina drajva - Numeriki prikaz
1 kB 1,024 b (bita)
1 MB 1,048,576 b
1 GB 1,073,741,824 b
1 TB 1,099,511,627,776 b
1 PB (petabajt)1,125,899,906,842,624 b
1 EB (exabyte) 1,152,921,504,606,840,000 b
Kako se vidi iz prethodnog primera, imidžovanje celog HD ove i sline veliine jedanna-jedan, apsolutno nije prak
no. ak i da se akvizicija izvrši dodatnim resursima,
analiza ove koliine digitalnih podataka bila bi preterano obimna i prak
no neprihvatljiva. Razlika u sprovoenju analize tako velikog obima podataka, može se uporedi
sa ispi
vanjem svake osobe koja živi u gradu gde se desio kasian zloin, umesto ispi
vanja svake osobe u bloku gde se zloin desio.
Na kraju, iskljuivanje servera iz ovog primera, takoe, nije mogua opcija jer bi
oigledna posledica bila velika ekonomska šteta za datu organizaciju. Mnogi IKT sistemi
izvršavaju kri
ne poslovne zadatke, npr. zdravstveni IKT sistemi, sistemi za podršku
transporta itd., i ne mogu bi
iskljueni bez štetnih posledica za poslovne procese.
Korišenje šifrovanja fajlova je poraslo tokom poslednjih nekoliko godina. Kada se
izvrši šifrovanje objekta podataka25 sadržaj tog objekta je za forenziara neitljiv. Šifrovanje se primenjuje da sakrije, a nekada i komprimuje sadržaj objekta podataka. Šifrovanje se primenjuje na objekte podataka na jedan od sledeih naina:
1. Šifrovanje na nivou fajla, u kojem su šifrovani pojedinani fajlovi. Na slici 2.1 je
prikazan sadržaj šifrovanog fajla u forenzikom ala
FTK, [39].
25 Objek podataka - objek
ili informacije koje su pridružene zikim predme
ma i koji imaju potencijalnu dokaznu vrednost. Objek
podataka se mogu pojavi
u raznim forma
ma, ali se ne sme menja
orginalna informacija.
100 I J Slika 2.1 Sadržaj šifrovanog fajla u AccessData FTK Imager alatu
Da bi forenziki istražitelj sproveo klasinu analizu (postmortem analizu26), on mora
prvo dešifrova
fajl. Na slici 2.2 prikazan je dešifrovan fajl. Ako istražitelj nema pristup
lozinki šifrovanog fajla, ovo bi moglo bi
jako teško i vremenski zahtevno. U sluaju da
se nema lozinke može se koris
program za krekovanje. Ako je lozinka prevelika ili je
fajl šifrovan jakim šifarskim algoritmom ovaj proces dešifrovanja bi mogao bit neuspešan, pa bi preostala samo neka od kriptoanali
kih metoda (npr. brutalna sila).
26 Analiza iskljuenog raunarskog sistema
> @Y\ 101
Slika 2.2 Sadržaj dešifrovanog fajla u AccessData FTK Imager alatu
2. Podaci se šifruju na nivou nosioca podataka (volumena, par
cije). U sledeem
primeru (slika 2.3), nosilac podataka je šifrovan unutar vrstog diska (HD).
Slika 2.3 Par
cija E šifrovana sa BestCrypt alatom
102 I J 3. Šifrovan je ceo HD. Na slici 2.4 prikazan je šifrovan ceo vrs
disk u forenzikom
alatu FTK. Oigledno, ceo sadržaj diska je neitak i ima malu vrednost za forenzikog
islednika.
Slika 2.4 Forenzika slika šifrovanog HD u AccessData FTK Imager alatu
Kada sprovode klasinu (postmortem) forenziku akviziciju/analizu prema prve dve
metode šifrovanja, forenziari se esto nadaju da e možda nai artefakte (ostatke)
šifrovanih fajlova u otvorenom tekstu u nealociranom prostoru HD. Ove artefakte fajl
sistem se nekada kreira nakon jednog otvaranja dokumenta, ili kada se iskljui napajanje tokom prikazivanja fajla na ekranu monitora. Program BestCrypt omoguava otvaranje šifrovanog fajla u privremeni folder, a onda sigurno briše fajl kada se program
zatvori (slika 2.5).
> @Y\ 103
Slika 2.5 Operacija išenja fajlova pomou BestCrypt alata
Kada se primenjuje ak
vna forenzika akvizicija, šanse da se vidi sadržaj šifrovanog
fajla su znatno vee. Kada je dokument u otvorenom tekstu otvoren i pripremljen za
šifrovanje, bie uitan u ziku primarnu memoriju (RAM). U ak
vnom forenzikom
okruženju, islednik može uze
imidž zike memorije raunarskog sistema i skupi
korisne informacije (delove ili ceo otvoreni tekst) za dešifrovanje šifrovanog fajla. Sadržaj
zike RAM memorije treba ispita
pre iskljuivanja napajanja. Slika 2.6 prikazuje jedan
primer kako se može uze
imidž zike memorije korišenjem mrežnog forenzikog
alata ProDiscover IR, [42].
Slika 2.6 Prozor uzimanja imidža u ProDiscover IR forenzikom alatu
104 I J Sa uzetog imidža RAM memorije, može se pregleda
sadržaj. Na slici 2.7 se vidi
otvoreni tekst sadržaja šifrovanog fajla, prikazan u heksadecimalnom i itljivom ASCII
formatu u forenzikom alatu ProDiscover IR. Rekonstrukcija ove originalne informacije
bila je mogua, jer je fajl dešifrovan od strane korisnika koji je trenutno (u toku akvizicije) radio na dokumentu.
Slika 2.7 Dešifrovani dokument u RAM memoriji u ProDiscover IR alatu
Na slici 2.8 se može vide
da je BestCrypt program ak
van u zikoj memoriji. Vidi
se na donjem desnom panelu.
> @Y\ 105
Slika 2.8 Pogled na sadržaj zike memorije u ProDiscover IR alatu koji indicira da je
BestCrypt proces ak
van
Takoe, u sluaju šifrovanja celog HD, forenziki istraživa bi mogao da vidi sadržaj
diska koristei tehnologiju za ak
vnu forenziku akviziciju. Naime, zbog toga što je HD
trenutno korišen (ak
van) u toku akvizicije, on je normalno dešifrovan. Na slici 2.9
prikazana je mogunost da se u alatu ProDiscover IR vidi dešifrovan sadržaj ispi
vanog
HD.
106 I J Slika 2.9 Dešifrovani sadržaj HD u toku ak
vne akvizicije sa forenzikim alatom
ProDiscover IR
Kao što se vidi iz prethodnih primera u digitalnoj forenzikoj istrazi savremenih poslovnih IKT sistema, šifrovanje i drugi razlozi predstavljaju brojne problema za tradicionalnu forenziku istragu. Svi ovi primeri ukazuju da je ak
vna digitalna forenzika
akvizicija neophodna opcija i da se sa tehnikama ak
vne istrage mogu prevazii ovi
problemi i prepreke.
2.2.2 Metodi akvne digitalne forenzike akvizicije
Generalno, metodi ak
vne digitalne forenzike akvizicije mogu se klasikova
u
odnosu na razliite kriterijume. Uobiajeni kriterijumi klasikacije ak
vne forenzike
akvizicije su u odnosu na:
• tehnike i ala
za povezivanja forenzikog raunara na ispi
vani raunarski sistem i
• metode pristupa forenziara ispi
vanom raunaru.
> @Y\ 107
U odnosu na tehnike i alate za povezivanja forenzikog raunara na ispivani
raunarski sistem, u svetu postoje brojne kompanija koje proizvode forenzike sovere
za odgovor na incidente, ak
vnu mrežnu akviziciju i forenziku istragu, od koji su pozna
je: Guidance Soware, Technologies Pathways, Wetstone Technologies, ASR Data,
E-fense i E-Trust by CA. Na bazi ovih sovera proizvoai su razvili brojne modele tehnika i alata za povezivanje forenzikog raunara na ispi
vani sistem u procesu ak
vne
forenzike istrage, koji se generalno mogu grupisa
u tri kategorije:
• Pre-Deployed Agent model je prvi primenjen metod, gde se specijalni sover
instalira pre incidenta i potrebe za forenzikim ispi
vanjem, obino je sakriven od krajnjeg korisnika i ak
vira se kada se uspostavi forenziki udaljeni
pristup.
• Direct Connect model, koji se trenutno najviše koris
, je drugi metod gde je
ciljni raunar za ak
vnu akviziciju direktno povezan sa udaljenom forenzikom
mašinom, a sover je ubaen u RAM memoriju. Veza ostaje ak
vna sve dok
se udaljena forenzika mašina ne iskljui.
• Trei metod je On Demand Connecon model gde se kompjuter povezuje sa
ciljnom forenzikom mašinom, a sover ubacuje u memoriju za specini
forenziki zadatak. Kada je zadatak akvizicije preko udaljene mašine završen,
veza se trenutno raskida.
• Neki soveri koriste butabilni forenziki disk sa setom alata za akviziciju i
analizu (npr. elix rme E-fense). Tokom ak
vne akvizicije, disk se uitava na
ak
vnu ispi
vanu mašinu, a kompletom forenzikih alata za ispi
vanje inicira
se virtuelna sesija za akviziciju podataka na forenziku mašinu. Na slici 2.10
prikazan je butabilni CD-ROM disk sa setom elix alata koji omoguava da se
izvrši ak
vna forenzika akvizicija i istraga.
Slika 2.10 Helix forenziki alat za upravljanje incidentom, oporavak podataka i
forenziko podizanje ispi
vanog sistema
108 I J Na slici 2.11 prikazan je prozor za uzimanje imidža ak
vnom forenzikom akvizicijom pomou seta forenzikih alata elix.
Slika 2.11 Ak
vna akvizicija pomou forenzikog alata Helix
Klasikacija u odnosu na kriterijum pristupa u forenzikoj praksi ak
vne akvizicije,
zavisi od brojnih faktora. Naime, koji e od navedenih modela povezivanja na ispi
vani raunar forenziar primeni
u forenzikoj praksi, zavisi od više faktora, od kojih
se neki ne mogu kontrolisa
. Najbolji pristup je ima
potpuno razumevanje o tome
šta je forenziaru dostupno u konkretnom sluaju i okruženju i šta može ukljui
u set
forenzikih alata, pa na bazi toga done
odluku o tome kako radi
. U odnosu na kriterijum pristupa ispi
vanom raunaru, razlikuju se tri bazina aplika
vna metoda ak
vne
akvizicije raunara sa Windows plaormom, [5]:
• lokalna ak
vna akvizicija,
• ak
vna akvizicija udaljenim pristupom i
• hibridna ak
vna akvizicija.
Metod lokalne akvizicije ak
vnog raunara podrazumeva da forenziar sedi za
tastaturom ispi
vanog sistema u radu, unosi komande i skladiš
informacije lokalno,
direktno na forenziki vrs
ili prenosni disk (unutrašnji/spoljni HD ili USB), ili ih šalje
zaš
enim kanalima na zajedniki mrežni lokalni forenziki server. Lokalno sakupljanje
informacija sa nekoliko sistema može bi
znatno brže nego lociranje mrežne konekcije
ili bežini pristup mreži. Sa odgovarajuim kapacitetom spoljne memorije, svim potrebnim forenzikim ala
ma uskladištenim na op
kim diskovima (CD, DVD) i sa pravim
nivoom pristupa, forenziar može brzo i ekasno sakupi
potrebne informacije. Najjednostavniji nain da se implemen
ra metodologija lokalne ak
vne akvizicije je sa krei> @Y\ 109
ranjem bach fajla i nekog skripta, na primer, Perl skripta koji se upiše samo jedanput i
sa ovom komandom pokree se alat automatski. Primer jednostavnog bach fajla koji se
može koris
u toku forenzike akvizicije ak
vnog raunara izgleda kao:
tlist.exe –c > %1\tlist-c.log
tlist.exe –t > %1\tlist-t.log
tlist.exe –s > %1\tlist-s.log
openports.exe –fport > %1\openports-fport.log
netstat.exe –ano > %1\netstat-ano.log
Ovde su data tri korisnika alata (tlist, openports, netstat) i pet skriptova komandi.
Ovi fajlovi se memorišu kao local.bat i ukljue se na CD/DVD sa forenzikim ala
ma.
Na CD/DVD treba doda
sigurne kopije komande procesora (cmd.exe) za svaki OS. Pre
ak
viranja batch fajla, treba pogleda
u sistem i vide
koji su mrežni diskovi (drajvovi)
raspoloživi, ili ubaci
USB memoriju u sistem i vide
koje se slovo diska dobija (npr.,
G:\), za
m ak
vira
bach fajl (ako je CD-ROM/DVD na D par
ciji):
D:\>local.bat F:
Kada se bach fajl komple
ra, na USB-u e bi
pet fajlova. Zavisno od vrste podataka
koje forenziar želi izvui iz sistema, u batch fajl se mogu doda
razliite komande.
Postoji nekiliko raspoloživih forenzikih alata dizajniranih za ak
vnu lokalnu akviziciju
podataka sa raunara u radu, kao što su: Incident Response Collecon Report (IRCR) v.
2.60 i Windows Forensic Toolkit 61. (WFT). Iako se ovi ala
razlikuju po implementaciji
i izlazima, osnovne funkcionalnos
oba alata su u suš
ni jednake: ak
viraju eksterne
izvršne fajlove koje kontroliše Windows batch fajl i lokalno skladište izlazne rezultate.
WFT alat skladiš
sirove podatke i dopušta forenziaru da pošalje izlaze komandi u
HTML format izveštaja.
Drugi pristup za razvoj metodologije ak
vne lokalne forenzike akvizicije raunarskog
sistema je da se enkapsulira što je mogue više funkcija u jednu aplikaciju koja koris
Windows API, kao što je alat Nigilant32 (Agile Risk Management LLC). Nigilant32 koris
is
Windows API poziv kojeg koriste spoljni ala
za sakupljanje nestabilnih informacija
sa sistema, (slika 2.12). Alat ima mogunost da izvrši proveru fajl sistema i isprazni
sadržaj zike memorije, (RAM).
Slika 2.12 GUI alat Nigilant (32)
110 I J Forenziki ala
koji koriste batch fajl upotrebljavaju izvršne fajlove koji koriste iste,
ili sline Windows API pozive kao i drugi ala
pa Nigilant32.
Metod akvizicije udaljenim pristupom generalno se sastoji od serije komandi koje
se izvršavaju na kompromitovanom sistemu slanjem instrukcija kroz mrežu. Ovaj metod
je koristan za akviziciju podataka sa više raunarskih sistema, pošto se proces logovanja
u sistem i komande mogu lako automa
zova
. Neki ala
rade odlino u kombinaciji sa
psexec.exe (SysInternals.com), a dodatne informacije mogu se lako sakupi
korišenjem
WMI (Window Management Instrumentaon). Bez obzira koji pristup forenziar primeni treba da ima na umu da su mu potrebni lini iden
kacioni podaci za logovanje
u svaki sistem i da svaki put kada se uloguje, ak
vira komande, sakuplja podatke i šalje
ih u forenziki raunar, ostavlja tragove u log fajlu bezbednosno relevantnih dogaaja
(Security Event Log ) korumpiranog raunara.
Ovo znai da se redosled sakupljanja nestabilnih podataka mora neznatno pomeri
i da treba prvo sakuplja
podatke iz sadržaja log fajlova bezbednosno relevantnih dogaaja. Windows batch fajl se može koris
kao baza za implementaciju ove
metodologije. Uzimajui tri argumenta u komandnoj liniji – ime ili IP adresu sistema i
korisniko ime/lozinka informacije za logovanje, forenziar može napravi
skript serije
komandi za sakupljanje potrebnih informacija. Neke komande za izvršavanje trebaju fajl
psexec.exe, koji kopira izvršni fajl na udaljeni sistem, pokree ga i dopušta forenziaru
da sakuplja izlaze sa standardnog izlaza (STDOUT), ili preusmeri izlaz na fajl, kao kada
se komande koriste lokalno. Druge komande e uze
UNC27 putanju (\\) i informacije
za logovanje kao argumente, pa nema potrebe za korišenja fajla psexec.exe. Konano,
WMI se može implemen
ra
preko VBScripta ili Perl za sakupljanje podataka. Microso obezbeuje repozitorijum 63.skript sa brojnim primerima WMI kôda implemen
ranim u razlii
m jezicima za ukljuivanje Perl64. Implementacija batch fajla lokalne
metodologije za metodologiju udaljenog pristupa prilino je trivijalna:
psexec.exe \\%1 –u %2 –p %3 -c tlist.exe –c > tlist-c.log
psexec.exe \\%1 –u %2 –p %3 -c tlist.exe –t > tlist-t.log
psexec.exe \\%1 –u %2 –p %3 -c tlist.exe –s > tlist-s.log
psexec.exe \\%1 –u %2 –p %3 -c openports.exe –fport > openports-fport.log
psexec.exe \\%1 –u %2 –p %3 c:\windows\system32\netstat.exe –ano >
%1\netstat-ano.log
Ovaj batch fajl (remote.bat) nalazi se u sistemu forenziara i ak
vira se, na primer,
na sledei nain:
C:\forensics\case007>remote.bat 192.168.0.7 Administrator password
Kada se jednom batch fajl komple
ra, forenziar ima na izlazu komande u 5 fajlova,
spremne za analizu. Ako forenziar nije vešt programer, a želi koris
WMI za sakupljanje informacija udaljenim pristupom, korisno je pogleda
fajl wmic.exe. Ovaj fajl
sadrži primere sakupljanja liste instaliranih zakrpa sa udaljenog sistema, [40]. Cela kla27 Uniform Naming Conven
on
> @Y\ 111
sa fajlova Win.32 može se ispita
sa wmic.exe. Na primer, da se na ekranu udaljenog
sistema prikaže ak
vni proces na lokalnom raunaru može se koris
prilino jednostavna i direktna komanda:
C:\>wmic PROCESS GET ProcessId,Name,ExecutablePath
Ukljuivanjem nekoliko wmic.exe komandi u batch fajl, forenziar može sakupi
širi
opseg podataka sa udaljenog sistema, korišenjem dodatnih svieva kao što su:
/Node:
/User:
/Password:
Forenziar može preusmeri
izlaz u fajl razliitog pa CSV28 (za otvaranje u Excel-u ili
parsiranje u Perlu) ili HTML tabele.
Sa druge strane administrator može koris
ove komande za kompajliranje liste inventara hardvera i sovera i odreivanje sistema koji zahtevaju ažuriranje sa novim
zakrpama i slika WMI je moan interfejs za upravljanje Windows sistemima, wmic.
exe obezbeuje lagan pristup za automa
zovane komande. Sa ispravnim upravljanjem
greškama, oporavkom sistema i logiovanjem u hodu, ovo može bi
visoko efek
van i
skalabilan metod za brzo sakupljanje informacija sa brojnih raunarskih sistema, upravljanje i skladištenje rezultata akvizicije sa jedne centralne lokacije. Ovakvu metodologiju implemen
ra komercijalno raspoloživ alat ProDiscover Incident Response
(Technology Pathways), [43]. Sa centralne lokacije forenzar može instalira
jednog
soverskog inteligentnog agenta, preko kojeg e traži
korisne informacije, a za
m
ga izbrisa
. Pomou ProScript API ovog alata forenziar može sa dodatnim skriptom
(u Perl npr.) u programu automa
zova
ceo proces, što minimizira broj logovanja u
log fajlu bezbednosno relevantnih dogaaja i koliinu sovera kojeg treba instalira
na sistem za udaljeni pristup. ProDiscover IR, takoe poseduje dodatne kapacitete za
izvlaenje sadržaja iz zike memorije, kao i za druge funkcije ak
vne akvizicije podataka sa raunara u radu.
Osnovno ogranienje metoda ak
vne akvizicije digitalnih podataka sa udaljenim
pristupom je što se forenziar mora logova
na sistem kroz raunarsku mrežu. Ako je
na bilo koji nain ogranien sistem logovanja preko NetBIOS (Windows plaorme), na
primer NetBIOS nije instaliran, rewalls/ruteri blokiraju protokole i slika, ovaj se metod
nee moi primeni
.
ibridni metod akvne akvizicije je kombinacija lokalne i metodologije ak
vne
akvizicije sa udaljenim pristupom. Naješe se primenjuje u situacijama kada se
forenziar ne može ulogova
u sisteme sa udaljene lokacije, a želi sakupi
sve informacije sa više sistema i uskladiš
podatke na centralnoj lokaciji. Forenziar ili asistent
tada odlaze do sistema sa forenziki sterilnim CD ili USB i blokatorom upisivanja, pristupa sistemu i ak
vira forenziki alat za akviziciju (sakupljanje) digitalnih podataka/dokaza. Kada se forenziki ala
ak
viraju, svaki od njih šalje izlaz preko mreže na centralni
forenziki server. Na ovaj nain ne vrši se logovanje sa udaljenim pristupom, poverljivi
28 Comma Separated Value – ekstenzija fajla koji sadrži tabele (baze podataka)
112 I J forenziki ala
vrše akviziciju sa neizmenjenih izvora podataka, a vrlo malo ima upisa
na HD korumpiranog raunara (’žrtve’). Dakle, sa dobrim planiranjem, smanjenjem
grešaka koje alat unosi, redukcijom ulaznih komandi (npr., sa jednim skriptom izvršava
se automatski pet komandi), forenziar može minimizira
interakcije sa korumpiranim
sistemom sa kojeg se vrši akvizicija podataka. Najjednostavniji nain primene hibridnog
metoda ak
vne akvizicije je sa upotrebom bach fajla.
2.2.3 Izbor i priprema forenzikih alata za akvnu akviziciju
Sve informacije raspoložive u ak
vnoj akviziciji mogu se izvlai
odgovarajuim ala
ma i to:
• Alama komandne linije (CLI-Commande Line Interface) koji imaju najmanji
“o
sak u memoriji”, što znai da koriste manje memorije, oslanjaju se na
manje DLL (Dynamic Link Libraries) raunarskog sistema i samim m imaju
manji u
caj na promene u sistemu. Ovi se ala
lakše koriste, jednostavni su,
izvršavaju specine funkcije i lako se automa
zju kroz korišenje batch ili
skript fajlova, a izlaze šalje na interfejs komandne linije;
• Alama GUI pa interfejsa, gde se pino zahteva skladištenje izlaza u neki
fajl u fajl sistemu. Kako je cilj forenzikog ispi
vanja ak
vnog raunara da se
ostvari što manji u
caj na ispi
vani sistem, forenziar treba da izbegava upotrebu GUI alata koji upisuje izlazne rezultate u fajl sistem, ali ne po svaku
cenu. Ako forenziar zna kako e podatke izvui iz fajl sistema i ako alat odgovara nameni, onda ga treba koris
.
Osnovni koraci u dokumentovanju, verikaciji i vrednovanju forenzikog alata ine
sta
ko i dinamiko tes
ranje alata, [33].
• Stako tesranje ukljuuje dokumentovanje jedinstvenog iden
katora o
alatu, kao što su:
• URL sa kojeg je dobijen soverski forenziki alat,
• veliina fajla,
• kriptografski heš za fajl, dobijen korišenjem poznatog heš algoritma,
• izvlaenje informacija iz fajla, kao što su PE (Portable Executable ) hederi, p
fajla, import/export tabele itd.
Ove se informacije lako izvlae korišenjem alata komandne linije i programskih jezika, a ceo proces sakupljanja podataka može se automa
zova
.
Dinamiko tesranje podrazumeva ak
van rad forenzikog alata i korišenje programa za monitorisanje promena koje alat izaziva u sistemu Registara i fajl sistemu, pa
RegMon i FileMon. Ak
vni procesi pristupaju kljuevima i fajlovima Registra, ali isto i
kreiranim i modikovanim fajlovima. Alat pa Wireshark može se koris
za monitorisanje ulaznog i izlaznog saobraaja u/iz sistema za tes
ranje forenzikih alata, posebno
ako sta
ka analiza alata otkrije da alat uvozi mrežne funkcije iz drugih DLL.
> @Y\ 113
Primer izvlaenja sistemskog vremena pomou Remote Administrator (Radmin)
programskog alata.
Radmin je mul
funkcionalni program za daljinsku kontrolu, koji omoguava da se sa
daljine posmatra ili radi na jednoj ili više mrežnih kompjutera sa radne stanice. Može se
vide
ekran udaljenog raunara na sopstvenom monitoru preko prozora ili preko celog
ekrana. Svako pokretanje miša ili signali sa tastature posmatranog raunara, prenose
se direktno ka udaljenom raunaru. Radmin omoguava rad na svakom udaljenom
raunaru ukoliko je prikljuen na Internet ili LAN. Nije potrebna ni brza konekcija, modem 56K je dovoljno brz da obezbedi 5-10 slika u sekundi. U okviru LAN, 100-500 slika
u sekundi je uobiajena brzina prenosa. U Radmin alatu brzina može bi
podešavana.
Sistem Radmin alata ukljuuje dve aplikacije:
• Radmin Server, koji se instalira na udaljenom raunaru i
• Radmin Viewer na lokalnom raunaru koji prikazuje ekran udaljenog
raunara.
Mehanizam zaš
te podataka u prenosu u Radmin programi je 256 bitna AES šifarski
sistem. Za auten
kaciju koris
Kerberos protokol sa novim metodom auten
kacije
zasnovanim na Die-Hellman razmeni kljua od 2048 bita. Radmin informacije o DNS
i korisnikom imenu dodaju se u log fajl.
Radmin nema specijalne hardverske zahteve, dovoljan je raunar koji može da radi
na Windows 95 ili novijim opera
vnim sistemima. Radmin Viewer može funkcionisa
ak i na 486 raunarima sa 8 MB RAM i na Windows 9x/ME/NT/2000/XP/2003 Server/
Vista 32-bit. Radmin Server može radi
na Windows 2000/XP/2003 Server/Vista 32bit. Za sve opera
vne sisteme, raunar bi trebao da ima instaliran TCP/IP protokol.
Kada se pokrene Radmin Viewer na lokalnom raunar, klikne se
„Connect to“
dugme, unese IP adresa ili DNS ime udaljenog raunara, izabere „Full Control“ metod
povezivanja i klikne OK dugme, (slika 2.13). Ovom metodom se preuzima potpuna kontrola nad udaljenim raunarom.
Slika 2.13 Uspostavljanje veze pomou Remote Administrator
114 I J Za
m se unese ID za logovanje i lozinka prema setovanju Radmin Servera ispi
vanog raunara, (slika 2.14).
Slika 2.14 Radmin Viewer
Desktop udaljenog raunara e se pojavi
unutar prozora na udaljenom raunaru.
Radmin takoe nudi i dodatne metode za rad sa udaljenim raunarom: može se
poveza
preko shell-a slinog Telnet-u, samo posmatra
udaljeni ekran, koris
audio
chat sa korisnikom udaljenog raunara ili koris
le transfer režim povezivanja.
Na ovaj nain, forenziar može npr. izvui sistemsko lokalno vreme i datum na bazi
vremenske zone i usklaivanja vremena sa dnevnom svetlos
, korišenjem jednostavnog Perl skripta, kao što je:
print locame (me).”\n”,
ili za prikazivanje vremena u GMT formatu sa skriptom:
print gmme(me).”\n”.
Sistemsko vreme i datum iz Command Promt u Windows XP OS prikazano je na slici
2.15.
Slika 2.15 Sistemsko vreme i datum u Windows XP OS
> @Y\ 115
U sluaju e
kog hakinga, kada forenziar ne želi da osumnjieni zna da je istraga
u toku, može se umesto Radmin alata koris
alat ProDiscover Suite koji podržava
stealth mode29.
Forenziarima je na raspolaganju širok spektar alata sa razlii
m funkcionalnos
ma i namenama. U procesu ak
vne akvizicije prak
no je koris
alat koji obezbeuje
transport sakupljenih informacija sa udaljenog raunarskog sistema do centralnog forenzikog servera. Dobar alat za ovu svrhu je Netcat [28], tzv. „TCP/IP švajcarski nož“,
zbog raznovrsnih mogunos
. Pored brojnih funkcija, u ovom sluaju alat se koris
za
transport informacija sa jednog sistema na drugi. Prvo se mora podesi
’primalac’ na
forenzikom serveru sa komandom:
D:\forensics>nc –L –p 80 > case007.txt
Ova komandna linija kaže alatu Netcat (nc.exe) da sluša na portu 80 (na kojem se
teško ostvaruje zadržavanje nc.exe fajla otvorenim kada se konekcija zatvori) i da sve
što doe na taj port preusmeri u fajl nazvan case007.txt. Sa ovim podešavanjem, lako
se može modikova
batch fajl umesto upisivanja izlaza komandi za fajlove, a za
m
posla
kroz netcat do primaoca na forenzikom serveru sledeim instrukcijama:
tlist.exe –c | nc %1 %2
tlist.exe –t | nc %1 %2
tlist.exe –s | nc %1 %2
openports.exe –fport | nc %1 %2
netstat.exe –ano | nc %1 %2
Ovaj fajl se uskladiš
kao hybrid.bat, za
m se lansira iz komandne linije, na primer,
sa D:\, gde se nalazi forenziki CD-ROM/DVD:
D:\>remote.bat 192.168.1.10 80
Kada se jednom pokrene ovaj batch fajl, svi podaci se bezbedno prenose sa ispi
vanog (korumpiranog, osumnjienog raunara) na forenziki server za bezbedno uvanje
i forenziku analizu.
Metodologiju ak
vne akvizicije implemen
ra nekoliko freeware forenzikih alata,
npr., Forensic Server Project (FSP) - alat otvorenog koda, pisan u Perl-u i besplatan. Ideja za FSP je nastala posle upotrebe netcat, gde forenziar pokree alat na kompromitovanom sistemu sa forenzikog CD/DVD-a, a za
m kanališe izlaze komandi kroz netcat,
koji je odgovoran za slanje informacija na centralni forenziki server. Ovaj metod dobro
funkcioniše u nekim situacijama, ali kada se broj komandi povea i komande imaju
vei opseg argumenata, raste broj grešaka i proces metoda postaje težak za primenu.
Tako je nastao alat Forensic Server Project, koji automa
zuje sakupljanje, skladištenje
i upravljanje podacima ak
vne akvizicije. FSP alat sadrži dve komponente: serversku i
klijentsku. Serverska komponenta je poznata kao FSP. Forenziar treba da kopira fajlove sa FSP na forenziku radnu stanicu – forenziki Laptop i kada se ak
vira - FSP e
eka
na mrežnu konekcije. FSP upravlja sa zadacima, logovanjem i skladištenjem u
29 skriven, pritajen metod
116 I J forenzikom sluaju. Kada se ostvari konekcija od klijentske komponente, FSP reaguje
u skladu sa razlii
m komandama koje dobija. Tekua iteracija klijentske komponente FRU (First Responder Ulity), unosi se na raunar žrtve sa forenzikog CD ili USB. FRU je
jednostavan uslužni alat koji se koris
za sakupljanje informacija sa kompromitovanog
raunara. Kada FRU primi komandu, uzima izlaz komande i šalje ga na FSP, koji skladiš
informacije i loguje ak
vnos
na forenzikom serveru. FRU može da sakuplja specine
vrednos
registra, ili vrednos
specinih kljueva registra.
Kada su sve komande pokrenute i svi podaci sakupljeni, FRU saopštava FSP da može
zatvori
log fajl. FRU se kontroliše sa fajlom za inicijalizaciju - .ini fajl (slian INI fajlovima starog OS Windows 3.11) koji sadrži 4 sekcije za: kongurisanje (Conguraons),
komande (Commands), separaciju (Separators) i imenovanje (Names).
[Conguraon] – sa podrazumevanim setovanjem da se FRU konektuje sa FSP preko porta 80, što se može promeni
sa komandne linije;
[Commands] – izlis
ra TTP alate za sakupljanje informacija, što može bi
bilo koji
Windows portabilni izvršni fajl (PE-Portabile Executable) koji šalje svoj izlaz na konzolu
forenzikog servera. Format ove sekcije je razliit i vrlo važan. Format svake linije izgleda:
<index>=<command line>::<lename>.
Index je naredba koju forenziar želi da se izvrši, npr., za odreivanje redosleda izvršavanja komandi. Komandna linija sadrži komande kao u komandnom promtu na raunaru.
[Separators] - prve dve sekcije su odvojene znakom jednakos
( = ) iza kojeg sledi
znak (::), a konane sekcije jedne od ovih linija odvojene su sa (;), a ako više alata (npr.
psloglist.exe od SysInternals.com) imaju mogunos
korišenja ovog znaka, onda treba
izabra
neki drugi znak.
[Names] – ime fajla koji treba da se generiše, naješe ime alata sa .dat ekstenzijom. Na ovaj nain podaci se mogu sakuplja
sa više sistema koristei istu ak
vnu
instancu FSP.
Važno je zna
da treba izmeni
ime TTP alata kojeg forenziar koris
sa FRU, pošto
alat interak
vno reaguje sa kompromitovanim sistemom. Dobra ideja je da su imena
fajlova jedinstvena (npr., kao f_ ili fru_) da bi se artefak
na korumpiranom raunaru
razlikovali od standardnih artefakta Windows OS. edan primer uzet iz FRU INI fajla
izgleda:
6=openports.exe -fport::openports.dat
Postoje i druge klijentske komponente dostupne za kopiranje fajlova i slanje digitalnih podataka sa kompromitovanog raunara. Korišenjem FCLI klijenta za kopiranje
fajlova forenziar jednostavno ak
vira klijenta i selektuje File za
m Cong da ue u IP
adresu i port FSP servera. Za
m selektuje File | Open i izabere fajlove koje želi kopira
.
Kada su fajlovi za kopiranje selektovani, forenziar jednostavno klikne OK komandu.
FCLI prvo sakuplja MAC vremena fajla i druge metapodatke, za
m rauna heš vrednost
> @Y\ 117
fajla (MD5, SHA-1,...). Ove se informacije šalju FSP serverskoj komponen
na forenzikom raunaru. Za
m FCLI kopira binarne sadržaje fajla na forenziki server. Kada se operacija kopiranja komple
ra, FSP servera rauna heš vrednos
kopiranog fajla i verikuje
prema vrednos
ma heša dobijenim od FCLI pre operacije kopiranja. Sve ove ak
vnos
se dogaaju automatski, bez ikakve interakcije forenziara i sve ih FSP loguje. Na slici
2.16. prikazan je GUI klijenta za kopiranje fajla ili FCLI komponente.
Slika 2.16 GUI klijent za kopiranje fajla
Forenziki alat Forensic Server Project se isporuuje na DVD-u, na kome su ukljueni lmovi koji ilustruju kako se podešava alat za upotrebu i daju instrukcije gde se može
nabavi
potreban ureaj za reprodukciju.
2.2.4 Prednos i nedostaci akvne forenzike akvizicije
U sluaju kompjuterskog incidenta, organizacije, odnosno, administratori esto pribegavaju naizgled najjeinijem rešenju pa “wipe-and-reload” - forma
raju i izbrišu
HD sa prepisivanjem, a za
m ponovo instaliraju OS sa istog medija, ažuriraju sve zakrpe i hoiksove (hoix), a reinstaliraju aplikacije i podatke sa medijuma za bekapovanje. Meu
m, ovakav pristup ne može, pre svega, odredi
kako se incident dogodio.
Takoe, korisnik može misli
da je izvedenom operacijom otklonio uzrok incidenta, što
apsolutno ne mora bi
sluaj. Svi inciden
se ne dogaaju zbog neinstaliranja zakrpa, ili
hoiksova. Ponekad uzrok incidenta mogu bi
slaba lozinka, ili nepostojanje lozinke na
nalogu korisnika ili aplikaciji, kao što je sa lozinka na SQL Serveru, ili loše kongurisani
servis. Nikakav skup zakrpa ne može otkloni
da se ovi uzroci incidenta ne ponove. Ako
korisnici/vlasnici sistema ne utvrde kako se incident dogodio i ne otklone uzrok, velika
je verovatnoa da e se incident ponovo dogodi
.
118 I J Ak
vna forenzika istraga i akvizicija omoguavaju forenzikim islednicima da otkriju znaajne informaciju koje bi nestale pri klasinoj (postmortem) istrazi iskljuenog
raunara. Ove informacije mogu ima
znaajan u
caj na forenziku istragu, a mogu
ukljuiva
podatke iz zike memorije (RAM), ak
vne procese, logove dogaaja,
mrežne informacije, sadržaji clipboard-a, registrovane drajvere i servise.
Na primer, mali forenziki alat USBDeview pravi listu svih USB ureaja koji su prethodno bili korišeni na ispi
vanom raunaru i svih USB ureaja koji su trenutno povezani sa ispi
vanim raunarom. USBDeview se može koris
i na raunaru kojem se
pristupa daljinskim putem. Za svaki USB ureaj prikazuju se proširene informacije, kao
što su: naziv ureaja/opis, p ureaja, serijski broj ureaja za masovno skladištenje,
datum/vreme kada je ureaj prikljuen, iden
kacioni broj proizvoaa, iden
kacioni
broj proizvoda itd., (slika 2.15). USBDeview takoe omoguava da se deinstaliraju USB
ureaji koji su prethodno korišeni i da se diskonektuju USB ureaji koji su trenutno
povezani sa raunarom.
Slika 2.17 Prikaz svih USB ureaja povezanih na raunar u USBDeview alatu
Ak
vni servisi nam govore o povima servisa koji se mogu izvršava
na raunaru.
Ovi servisi se izvršavaju sa mnogo veim prioritetom nego procesi i mnogi korisnici nisu
svesni da oni uopšte postoje. Zbog pinog nedostatka pažnje krajnjeg korisnika, oni
postaju glavna meta napada za hakere. Tehnikama i ala
ma ak
vne forenzike istrage i
akvizicije, mogu se vide
stanja ovih servisa, koja bi mogla bi
odluujua za dalji tok istrage. Na primer, haker bi mogao da iskljui servis za McShield u McAee Anvirusnom
programu, a onda se kasnije vra
i napas
mašinu malicioznim soverom.
U sluajevima registrovanih drajvera, diskutabilno je da li se može dobi
lista drajvera u klasinoj istrazi. Ako se na mestu krivinog dela kompjuterskog kriminala i sprovodi ak
vna istraga, mogao bi se vide
drajver za, na primer, digitalnu kameru, koja
bi mogla da se potraži u okruženju. Ali ako je lokacija napuštena, a drajver kamere
se otkrije kasnije, forenziar se može samo nada
da se kamera još uvek nalazi na
> @Y\ 119
istom mestu. Uvid u registrovane drajvere daje forenzikim islednicima informacije o
perifernim ureajima sumnjive namene. Na slici 2.18 ilustrovane neke polazne sistemske informacije koje se mogu dobi
o stanju sistema ak
vnom forenzikom akvizicijom
pomou alata LiveWire forme Wetstone.
Slika 2.18 Primer sistemskih informacija dobijenih ak
vnom
akvizicijom sa LiveWire alatom
Uvid u ak
vne procese sa povezanim otvorenim mrežnim portovima je jedan od
najvažnijih zadataka analize stanja sistema. Uvid u sistem i tana procena o tome koji je
proces ak
van i koje portove oni koriste, kri
na je faza za trijažu podataka za istragu.
Na slici 2.19 dat je detaljni prikaz ak
vnih procesa ciljne mašine pod istragom, gde se ne
vide samo nazivi procesa ve i prioritet, broj zadatka, broj obrade (handl-ova), utrošak
memorije i vreme ispravnog rada. Sve to je važno zna
ako forenziar pokušava proceni
šta neko trenutno radi ili šta je radio u prošlos
. U klasinoj digitalnoj forenzikoj
istrazi, sadržaj zika memorije (RAM) je potencijalno najvažniji deo izgubljenih dokaza. U ak
vnoj forenzikoj akviziciji, ovaj odluujui deo dokaza se lako prikuplja, bilo da
se ceo sadržaj RAM-a uzima lokalno ili sa udaljenim pristupom.
120 I J Slika 2.19 Pogled na ak
vne procese u LiveWire forenzikom alatu
Na slici 2.20 može se u heksadecimalnom pretraživau LiveWire forenzikog alata
vide
sirovi binarni sadržaj imidža zike memorije sa otkrivenim keylogger-om.
Slika 2.20 Otkrivanje šifre za rad keylogger-a u memoriji sa LiveWire alatom
> @Y\ 121
U klasinoj istrazi i akviziciji sadržaj neobraenih podataka koji obezbeuje RAM
memorija, gubi se ako se mašina iskljui. Memorija sadrži brojne dokaze - od korisnikih
naloga, lozinki, nesauvanih sadržaja dokumenata i malicioznih programa.
Znaajno je da se analizom podataka u imidžu RAM memorije, uzetom u procesu
ak
vne forenzike akvizicije mogu otkri
maliciozni programi, Trojanci i rutkit ala
,
kao što je Hacker Defender program, popularan rutkit alat koji je sposoban da prikriva
procese, fajlove i ak otvorene portove. Kada se ovaj program izvrši u napadnutom
raunaru, on krije svaki fajl koji sadrži prex „hxdef“. Kao rezultat, fajl „hxdef100.ini,“
koji je deo Hacker Defender programa se sakriva im se Hacker Defender izvrši. Ovaj
fajl je tada sakriven od svih korisnika i ak i od samog Windows Explorer-a. Meu
m,
fajl još uvek postoji u zikoj (RAM) memoriji. Primenom tehnika ak
vne forenzike
akvizicije, može se uze
imidž RAM memorije i iden
kova
fajl “hxdef100.ini” u heksadecimalnom pretraživau koji je smešten u RAM-u (slika 2.19). Is
metod se može
koris
da se otkrije bilo koji fajl ili proces koji Hacker Defender krije (slika 2.20). U toku
procesa klasine forenzike istrage i akvizicije, neki fajlovi ili procesi sakriveni Hacker
Defender alatom mogu bi
nedostupni forenzikom istražitelju. Slike 2.21 i 2.22 pokazuju digitalni dokaz o prisustvu Hacker Defender rutkit programa u zikoj memoriji
ispi
vanog raunara.
Slika 2.21 Trag acker Defender-a u zikoj memoriji u LiveWire alatu
Slika 2.22 Drugi pogled na acker Defender u RAM memoriji u LiveWire alatu
Dakle, istraživanje stanja kompjuterskog sistema je važan deo svake digitalne
forenzike istrage. Mogu se sakupi
dragocene informacije o sluaju, smanji
rizik gubljenja podataka koji bi mogli bi
kljuni za istragu i sprei
sporove sa drugom stranom u sluaju.
Naime, esto se u ak
vnoj istrazi previdi mrežno okruženje u kojem ciljni raunar
radi. Podaci koji su u upotrebi u mrežnim barijerama (rewalls), ruterima, detektorima upada u sistem (IDS/IPS) itd., podjednako su važni za forenziara za rekonstrukciju
122 I J cele slike dogaaja. Tako, na primer, u sluaju otkrivanja acker Defender rutkit alata
u ispi
vanom raunaru, advokat odbrane može tvrdi
da je mašina njegovog klijenta
bila kompromitovana i da njegov klijent nije mogao izvrši
krivino delo kompjuterskog kriminala. Provera logova mrežnih barijera može pokaza
da je ak
vnost acker
Defender programa na ovom raunaru bila blokirana. Forenziki istražitelj treba da u
procesu ak
vne akvizicije prikupi što više informacija o mrežnoj ak
vnos
napadaa.
U tom smislu može se instalira
skener (snier) paketa sa odgovarajuom dozvolom
za rad i izvrši
analiza paketa. Ovom tehnikom bi se moglo odredi
da li je neko bio
prikljuen na osumnjienu mašinu pre sprovoenja analize. Dakle, mogu se nai dodatni dokazi i izvan raunara koji se ispituje.
> @Y\ 123
REZIME
Akvizicija digitalnih podataka, prva glavna faza digitalne forenzike, analogna
uzimanju o
ska prsta, obuhvata procese otkrivanja, iden
kacije i izvlaenja digitalnih podataka za potrebe forenzike analize digitalnih dokaza. U procesu klasine (posmortem) digitalne forenzike akvizicije potrebno je uze
ziu kopiju
(imidž) svakog ispi
vanog medija (HD, CD, FD, eš memorija) i memorisa
ga na
poverljiv, forenziki sterilan disk.
Funkcionalni model digitalne forenzike akvizicije pino koris
koncept apstrakcionih slojeva: odreivanja ulaza i izlaza (I/O), pripisivanja operacija itanja
i upisivanja za pripadajue forenzike alate i vremensko peaenje operacija itanja i upisivanja.
U sluaju klasine forenzike akvizicije, forenziar izvlai podatke iz privremeno oduzetog osumnjienog raunara uzimanjem forenzikog imidža (dve kopije),
a za
m ispi
vanje vrši na radnoj kopiji imidža na forenzikom raunaru.
U procesu ak
vne forenzike akvizicije raunara u radu, forenziari i lanovi
interventnog ma treba da imaju na umu važan princip – da e doi do promene u sistemu koji je u radu posle interakcije korisnika, ili forenziara sa sistemom. Kada forenziar u procesu akvizicije pristupa raunaru u radu, dogaaju
se promene u sistemu (tzv. Lokardov princip razmene materije) kako se izvršava
forenziki program i podaci imidžuju na forenziki sistem. Ove promene mogu
bi
prelezne – memorija procesa, mrežne konekcije, ili trajne – log fajlovi, ulazi
Registra, keš fajlovi (Internet istorija).
Do razvoja metoda, tehnika i alata ak
vne digitalne forenzike akvizicije i istrage (ak
vne digitalne forenzike) doveli su brojni faktori, od kojih su najznaajniji ubrzan razvoj kapaciteta memorijskih medija za skladištenje i ogromna koliina podataka za akviziciju i analizu, pre svega HD (reda TB), za
m razvoj raznih
an
forenzikih tahnika i alata za skrivanje tragova i brisanje podataka i informacija koje mogu kompromitova
i doves
u vezu napadaa sa incidentom ili dogaajem kompjuterskog kriminala. Odgovore na ova pitanja nisu davale tehnike
i ala
klasine (postmortem) akvizicije iskljuenog raunara.
U odnosu na tehnike i alate za povezivanja forenzikog raunara na ispivani raunarski sistem u procesu ak
vne forenzike akvizicije, mogu se grupisa
tri kategorije modela tehnika i alata: Pre-Deployed Agent model, Direct Connect
model i On Demand Connecon model.
U odnosu na nain pristupa ispi
vanom raunaru uradu, postoje tri osnovna
metoda ak
vne akvizicije sa: lokalnim pristupom, udaljenim pristupom i hibridnim pristupom. Poznavanje ovih metoda i posedovanje alata koji implemen
raju njihove procese akvizicije, znaajno poveavaju eksibilnost i kapacitet
forenziara za sakupljanje digitalnih podataka i informacija, relevantnih za sluaj
124 I J kompjuterskog incidenta/kriminala. Koji e metod ak
vne akvizicije forenziar
koris
, zavisi od faktora kao što su postojea infrastruktura mreže, mogunos
forenziara za implementaciju metoda, pa esto i kultura rada i poli
ka struktura organizacije.
U primeni svakog metoda forenziar mora bi
svestan injenice da njegove
akcije ostavljaju artefakte na kompromitovanom sistemu, kao što su upisivanja
u Registar prikljuenog USB, izmena više fajlova, a izvršni imidži mogu bi
smešteni u memoriju. Meu
m, ove izmene mogu bi
kvan
kovane, a sve akcije
primene metoda ak
vne akvizicije forenziar treba da dokumentuje i da ih može
objasni
na zahtev suda.
Iako nema vrstog pravila kada forenziar treba da primeni ak
vnu akviziciju,
treba ima
na umu da brojni en
te
i regulatorna tela zahtevaju obaveznu primenu specinh kontrola (mehanizama i mera) zaš
te raunarskih sistema i mreža, ukljuujui i ogranienja prava pristupa osetljivim linim podacima i poverljivim informacijama, kao i injenicu da ak
vna akvizicija postaje sve znaajnija u
uslovima svremenog elektronskog poslovanja, gde je iskljuivanje raunarskih
sistema (npr. korporacijskih servera) za potrebe klasine akvizicije uzimanjem
imidža HD kompromitovanog raunara veoma teško ili neizvodljivo (npr., ne dozvoljava vlasnik sistema).
U sluaju da je na sistemu ak
virana tzv. odbrana sa Trojancem, ak
vna akvizicija može pomoi da se utvrdi da li je Trojanac ak
van u trenutku sakupljanja
informacija kao i da li je odgovoran za kompromitaciju ispi
vanog raunara, što
može iskoris
odbrana. Klijentska komponenta forenzikog alata za ak
vnu
akviziciju sakuplja informacije o ak
vnim procesima, servisima i drugim oblas
ma gde se mogu otkri
Trojanci ili artefak
za ubacivanje i skrivanje zadnjih vrata
(rutkitovi), na osnovu kojih forenziar može zakljui
da li su ak
vni u trenutku
akvizicije informacija.
> @Y\ 125
PITANJA ZA PONAVLJANJE
1. Denišite digitalnu forenziku nauku (digitalnu forenziku).
2. Navedite glavne faze procesa digitalne forenzike.
3. Koje podatke moraju otkri
organi istrage u procesu digitalne forenzike istrage?
4. Navedite i denišite glavna e
ri principa za rad sa kompjuterskim digitalnim
dokazima.
5. Koje korake/ak
vnos
pino preduzima forenziar u procesu akvizicije digitalnih podataka?
6. Koji je osnovni znaaj ak
vne (žive, realne) akvizicije raunara u radu?
7. Objasnite Lokardov princip razmene materije primenjen na istragu kompjuterskog incidenta/kriminala.
8. Navedite redosled sakupljanja podataka u procesu žive akvizicije.
9. Nabrojte neke od informacija koje se mogu izvui iz RAM memorije raunara
u radu.
10.Navedite tri osnovna metoda ak
vne akvizicije.
11.Koja tehnika obezbeuje najjednostavniji nain primene hibridnog metoda
ak
vne akvizicije?
12.Navedite kljune prednos
ak
vne forenzike akvizicije.
126 I J 3. FORENZIKA ANALIZA DIGITALNI PODATAKA
3.1 DIGITALNA FORENZIKA ANALIZA
Pojam kompromitovanog raunara naješe se odnosi na napadnu raunar („žrtvu”), ali, za potrebe forenzike analize zavisno od konteksta, može obuhvata
i osumnjieni izvorni, ili posredni raunar, jer je u praksi istrage digitalnih dokaza esto neophodno izvrši
forenziku analizu raunara sa kojeg je izvršen napad, napadnutog
raunara i nekog od posrednih raunara, na primer preko ijeg naloga je napada ušao
u sistem. Dakle, kompromitovani raunar je i osumnjieni raunar koji sadrži i distribuira kompromitujue materiajle, na primer deiju pornograju i slika, ali i korumpiran
(zombiran) raunar u kojem napada drži skrivene ilegalne materijale, bez znanja vlasnika/korisnika raunara [28].
Klasikacije digitalne forenzike analize mogu bi
na bazi više kriterijuma. Uobiajena klasikacija je na bazi izvor digitalnih podataka.
Forenzika analiza digitalnih podataka, prema izvoru digitalnih podataka, može se
klasikova
u tri glavne oblas
:
• forenziku analizu sovera,
• forenziku analizu raunara i
• forenziku analizu kiberne
kog prostora i raunarskih mreža.
3.1.1 Digitalna forenzika analiza sovera
Digitalna forenzika analiza sovera, uglavnom visoko teoretski posao, najosetljiviji
je deo digitalne forenzike analize. Razzvoj tehnika i izrada soverskih alata za forenziku analizu sovera je težak i složen posao, [6]. Klju za iden
kaciju autora malicioznog
kôda je u selekciji odgovarajueg korpusa elemenata kôda i iden
kaciji une
h odgovarajuih linih karaktersi
ka autora za kasnije uporeivanje [25].
Oigledan problem je što autori malicioznih kôdova preduzimaju velike mere da
sakriju svoj s
l. Drugi manje vidljiv problem forenzike analize sovera je što izvorni
kôd analiziranog sovera nikada nije poznat. Ako se primeni inverzni inženjering sa izvornim kôdom kompajlera, može se rekonstruisa
izvorni kôd programa. Meu
m, na
njega u
e kompajlerski kôd, koji u inverznoj rekonstrukciji vraa samo jedan programski kôd, koji ne mora obavezno bi
pravi. Naime, is
kôd otkriven za vreme dekompajliranja može ima
bilo koji od nekoliko razlii
h orginalnih izvornih instrukcija.
Ipak postoje karakteris
ke u izvršnom kôdu koje mogu bi
korisne za anali
ara.
Na primer, struktura podataka i algoritmi mogu bi
jedinstveni za nekog programera
i mogu sugerisa
iden
tet, ako se posmatraju zajedno sa drugim faktorima istrage.
> @Y\ 127
Informacije o korišenom kompajleru i izvornom sistemu mogu bi
umetnute u kompajlerski kôd. Programerske greške takoe mogu bi
konzistentne i individualne su, pa
ukazuju na iden
tet programera.
Raspoloživost orginalnog izvornog kôda programa je od presudnog znaaja i korisniji
od kompajlerskog izvornog kôda. Neke od iden
kacionih karakteris
ka su, [25]:
• selektovani jezik,
• metod forma
ranja,
• s
l komentara,
• imena varijabli,
• spelovanje i grama
ka,
• korišenje karakteris
ka jezika,
• izvršni putevi,
• bagovi i dr.
Obino kiber-pankeri dodaju pseudonime i druge komentare u svoj kôd, što profesionalci ne ine. Pisci virusa obino spadaju u kiber-pankere, dok pisci logikih bombi i
sopstvenih alata za upad nisu u toj kategoriji.
Druga oblast problema je kada deo kôda orginalnog programera napada izmeni,
što forenziara dovodi do programera, a ne do napadaa. Kod analize malicioznog kôda
korisno je suzi
listu pozna
h mogunos
na prihvatljiv nivo i nastoja
prikupi
što
više uzoraka kôda napisanog od strane osumnjienog, eliminišui eventualne tragove
do programera.
3.1.2 Forenzika analiza raunara
Forenzika analiza raunara je aplikacija ispi
vanja raunara i tehnika analize komponen
raunara u cilju otkrivanja potencijalno legalno prihvatljivih dokaza, generisanih, ili uskladištenih u raunaru. Kompjuterski specijalis
mogu primeni
brojne
metode i tehnike za otkrivanje podataka koji se nalaze u raunarskom sistemu, ili za
oporavak sluajno izbrisanih, šifrovanih, ili ošteenih fajlova podataka, koje mogu pomoi kod izgradnje neoborivog digitalnog dokaza za pravosudni postupak. Meu
m, za
otkrivanje, izvlaenje i oporavak namerno izbrisanih, ošteenih ili sakrivenih podataka
u raunarskom sistemu, potrebana su dodatna znanja, veš
ne, forenzike tehnike i ala
i iskusni digitalni forenziari.
Forenzika analiza raunara je najobimniji deo digitalne forenzike, jer se u krajnjem
sluaju brojni tragovi napada iz, ili izvan lokalne mreže, ili sa Interneta, uvek nalaze
u nekom raunarskom sistemu – krajnjem raunaru, serveru, ruteru itd. Ova oblast
digitalne forenzike detaljno je obraena u II Delu udžbenika Digitalna forenzika raunarskog sistema.
128 I J 3.1.3 Forenzika analiza u virtuelnom okruženju
Virtuelizacija je stari koncept, prvi put uveden 1960-
h, sa pojavom mainframe
raunara. Ponovo je uvedena u personalnim raunarima 1990-
h, a danas su na raspolaganju: Microso Virtual PC (2007), VMWare set soverskih alata (VMWare, 2007),
sover otvorenog koda (besplatan) QEMU (Bellard, 2007) i nekoliko drugih. Virtuelna
mašina (VM) je soverski proizvod koji omoguava korisniku da kreira jedno ili više
okruženja (plaormi) od kojih svako simulira svoj skup hardverskih komponen
(CPU,
vrs
disk, memoriju, mrežne kontrolere i druge hardverske komponente) i sopstveni
sover. Idealno je kada se svaka virtuelna mašina radi i ponaša se kao potpuno nezavisan raunar sa sopstvenim opera
vnim sistemom i hardverom. Korisnik može kontrolisa
svako okruženje nezavisno i, ako je potrebno, umreži
virtuelne raunare zajedno ili ih spoji
na eksternu ziku mrežu, [1].
Iskustva iz forenzike prakse pokazala su ogranienja virtuelnog okruženja (VMWare, 2007) i da klasian metod akvizicije i analize digitalnih podataka ne može bi
automatski primenjen. Predložen je novi pristup u kojem se konvencionalno i virtuelno
okruženje procesiraju nezavisno ime se skrauje vreme analize i može se koris
manje
kvalikovano osoblje za forenziku analizu.
Okruženje kreirano sa VMWare znatno se razlikuje od originalnog raunarskog
sistema, a osim toga mala je verovatnoa da sam VMWare može proizves
sudski prihvatljive dokaze. U novom pristupu dva okruženja, konvencionalno virtuelno, koriste se
konkurentno i nezavisno. Posle forenziki ispravne akvizicije imidža vrstog diska prave
se dve kopije. edna kopija se hešuje, uva i procesira striktno prema proceduri uvanja
imidža u celom lancu istrage, a druga kopija imidža se daje tehniaru (ne forenziaru)
koji radi na njoj u mašini sa virtuelnim okruženjem ne obraajui pažnju na striktne
forenzike procedure. Svaki nalaz se dokumentuje i predaje kvalikovanom forenziaru
koji nalaze potvruje u skladu sa forenzikim procedurama. Dodatna prednost je što
virtuelno okruženje olakšava demonstraciju nalaza ne tehnikim licima
Proces klasine digitalne forenzike istrage sadrži brojne korake, a može se generalno enkapsulira
u e
ri kljune faze, [1]:
• pristup,
• akviziciju,
• analizu i
• prezentaciju (izveštavanje).
U fazi akvizicije forenziar sakuplja što je mogue više promenljivih podataka sa ak
vnog sistema, za
m iskljuuje raunar i kreira forenziki (bit po bit) imidž svih medijuma za skladištenje. Pošto je DD imidž is
kao original, može se kopira
na disk istog
ili veeg kapaciteta i butova
na drugi raunarski sistem. Ovakav pristup je neprak
an
za re-kreiranje originalnog okruženja zbog brojnih moguih hardverskih kombinacija.
> @Y\ 129
Ako se forenziki imidž butuje na mašinu sa razliitom konguracijom hardvera, opera
vni sistem e otkri
ove razlike i pokuša
(u nekim sluajevima neuspešno) da instalira
nedostajui drajver. Pored toga, neki instalirani servisi i soverski proizvodi mogu odbi
da startuju, ili se može desi
da se sistem uopšte ne butuje. Slian problem postoji i u
VM, koja simulira samo neke osnovne hardverske komponente, pošto nije kreirana da
obezbedi punu podršku širokom opsegu hardverskih ureaja. Obezbeeni DD imidž se
nee moi neposredno instalira
na VM, pošto VM zahteva dodatne fajlove koji sadrže
informacije o okruženju u kojem se butuje. Ovaj problem mogu reši
razlii
soverski
proizvodi koji kreiraju ove dodatne fajlove sa parametrima zahtevanim za VM. Neki od
ovih uslužnih alata su:
• EnCase Physical Disk Emulator (PDE), komercijalni proizvod (EnCase Forensic
Modules, 2007),
• ProDiscover familija komercijalnih i besplatnih alata (Technology Pathways),
LLC (ProDiscover, 2007),
• Live View, besplatan alat (Gnu Public License – GPL, 2007)
Iako su postojale sumnje u vrednost VMWare alata za virtuelno butovanje u procesu forenzike istrage (Fogie, 2004), pošto se zahtevaju brojne izmene originalnog
okruženja, ako se želi imidž butova
na VM. Takoe, kada se sistem butuje na VM novi
podaci se upisuju na originalni imidž i menjaju ih, što forenziki nije prihvatljivo. Zlatno
pravilo da se forenzika analiza vrši na imidžu - bit po bit zikoj slici originalnog ispi
vanog diska, u virtuelnom okruženju je nesumnjivo narušeno.
Australijski ins
tut za kriminologiju je izdao smernice (McKemmish, 1999) sa preporukom da proces analize digitalnih dokaza treba da bude usaglašen sa sledeim osnovnim principima:
• Minimalno rukovanje i rad sa originalnim raunarskim sistemom i vrs
m diskom;
• Nalog za bilo kakvu izmenu i dokumentovanje izmene;
• Usaglašenost sa pravilima rukovanja sa digitalnim dokazima;
• Ne radi
ništa izvan opsega sopstvenog znanja i veš
ne forenzike analize.
Tanost procesa analize može se znaajno povea
, a vreme analize podataka skra
ako se proces proširi ukljuivanjem dve paralelne linije istrage, kao na slici 3.1.
130 I J Slika 3.1 Proces dualne analize podataka
U modelu se koris
personala sa dva nivoa forenzikih kompetencija:
• manje iskusnih kompjuterskih tehniara i
• iskusnih forenziara.
Manje iskusni forenziki/kompjuterski tehniar radi po zadatku, ne mora da striktno sledi pravila metoda forenzike istrage i nikada ne unosi rezultate istrage direktno
u formalni proces izveštavanja. Uloga tehniara je da u kopiji materijala proveri sve
što je od potencijalnog interesa i za
m podnese izveštaj profesionalnom forenziaru
istraživau. Zadatak kompjuterskog tehniara je da dobijeni imidž butuje na virtuelnoj
mašini, tre
ra je kao normalan živi raunarski sistem i pretražuje sve detalje relevantne
za istragu. Metod kojeg koris
kompjuterski tehniar na vrši validaciju integriteta dobijenog imiža što nema posledica za istragu. Sve nalaze predaje iskusnom forenziaru
na verikaciju i dalju istragu. Da bi instalirao imidž na VM mašinu tehniar treba da
instalira dodatne drajvere (npr. LiveView) koji deni
vno kontaminiraju imidž i prema
tome rezulta
ovog ispi
vanja nebi bili prihvatljivi na sudu
Osposobljeni i iskusni profesionalni forenziki istraživai rade striktno prema metodama digitalne forenzike istrage raunarskog sistema. Forenziar koris
standardne
forenzike tehnike i procedure da potvrdi rezultate analize tehniara i u izveštaj unosi
samo rezultate koji su forenziki potvreni.
3.1.3.1 Studija sluaja digitalne forenzike analize virtuelne mašine
U forenzikom sluaju primene ovog modela sa VMWare alatom, kompjuterski
tehniar je otkrio dva interesantna fajla - DriveHQ i Simple File Shredder. Prvi fajl je
predstavljao web adresu skladišta podataka na web serveru. Tehniar je otkrio da je
> @Y\ 131
pristup skladištu podataka zaš
en lozinkom i posle primene nekoliko alata za oporavak (krekovanje) lozinke uspeo dešifrova
lozinku alatom Aqua Deskperience. Drugi fajl
je an
-forenziki program za eliminisanje digitalnih podataka iz raunara. Tehniar je
sve nalaze i rezultate istrage dostavio forenziaru. Digitalni forenziar je zakljuio da je
prvi fajl iznajmljeni repozitorijum što je ukazivalo da su potencijalni dokazi verovatno
odlagani u tom skladištu. Na osnovu drugog fajla, forenziar je zakljuio da osumnjieni
koris
an
-forenziki alat za brisanje dokaza, što je znailo da je verovatno malo dokaza
ostalo na ispi
vanom raunaru i da je potrebna dalja istraga na referentnom, forenziki
zaš
enom imidžu u pokušaju otkrivanja novih dokaza sa forenzikim tehnikama i ala
ma, kao i istraga odloženih podataka u web serveru.
Za bolju procenu digitalne forenzike analize virtuelnih mašina potrebno je jasnije
denisa
zadatke tehniara i ispita
druge sovere za virtuelizaciju sa svim prednos
ma i nedostacima.
3.1.4 Digitalna forenzika analiza raunarske mreže
Digitalni forenziar raunarske mreže mora da poznaje brojne metode raznih vrsta
mrežnih napada da bi mogao odredi
forenziki metod i tehniku za spreavanje ponavljanja i otklanjanje uzroka napada, [43].
Karakteris
ni i naješi povi napada na raunarske mreže i primarni naini odbrane su:
1. DoS/DDoS napad može da se izvrši na:
- mrežnom sloju slanjem malicioznog datagrama koji spreava mrežne
konekcije ili
- aplikavnom sloju gde neka maliciozno programirana aplikacija daje komandu sistemskom programu, koja izaziva ekstremno korišenje procesora ili zaustavlja rad raunara. Tipian primer je bombardovanje nekorisnom e-poštom – spamom i obaranje e-mail servera.
Odbrana: višeslojnim sistemom mrežne zaš
te (rewalls, DMZ30) sprei
sumnjivi mrežni saobraaj da s
gne do hosta (servera) i sumnjive komande
programa, ime se može minimizira
rizik DoS/DDoS napada.
2. Spoong:
- lažno predstavljanje gde host ili aplikacija napadaa imi
ra akcije drugog
hosta ili aplikacije.
- Primer je ranjivost BSD rlogin servisa koji imi
ra TCP konekciju sa drugog
hosta, pogaanjem brojeva TCP sekvence i sledei IP adrese iz mrežnih
paketa.
30 DMZ – demilitarizovana zona u kojoj se nalaze ureaji dostupni sa Interneta – auten
kacioni server,
proxy server, web server, exchange server (e-pošte) itd.
132 I J Odbrana:
- verikacija auten
nos
datagrama i komandi;
- sprei
ru
ranje datagrama sa neispravnim IP adresama izvora i
- uves
nepredvidljivost u mehanizme kontrole konekcije, kao što su brojevi
TCP sekvence i alokacija dinamike IP adrese portova.
3. Prisluškivanje:
- Najjednostavniji p napada, gde se host konguriše da prisluškuje i
hvata mrežni saobraaj koji mu ne pripada. Pažljivo napisan program
za prisluškivanje mrežnog saobraaja može pokupi
lozinke iz log fajla
mrežnih konekcija korisnika;
- Posebno je ranjiv emisioni (broadcast) p mreža kao što je Ethernet.
Odbrana:
- izbegava
broadcast mrežne tehnologije i nameta
korišenje sistema
kriptozaš
te informacija na komunikacionim linijama,
- ltriranje IP sa rewalls je korisno, za spreavanje neovlašenog pristupa
kao i DoS napada na mrežnom sloju i IP spoong tehnika, ali nije ekasno za spreavanje iskorišenja ranjivos
mrežnih servisa ili programa i
prisluškivanja.
Mrežna zaš
ta poinje sa auten
kacijom korisnika u auten
kacionom i autorizacionom serveru (A&AS) u DMZ, naješe korisnikog imena i lozinki. Auten
kovanim korisnicima, rewall kongurisan na bazi implementacije poli
ke zaš
te, A&AS
omoguava pristup servisima za koje su autorizovani. Iako se efek
vni za spreavanje
neovlašenog pristupa ove kontrole mrežne zaš
te ne spreavaju transmisiju kroz
mrežu malicioznih programa i potencijalno štetnih sadržaja.
Honeypots tehnike su u suš
ni resursi - mamci dostupni sa Interneta. Mogu se razmes
u mreži sa skenerima za monitoring mrežnog saobraaja i IDS/IPS sistemima za
rano upozorenje upada u raunarsku mrežu. Napadai koriste razliite tehnike u nastojanju da kompromituju dostupni resurs-mamac. Za to vreme, administratori zaš
te
mogu izuava
tehnike napada u toku samog napada, a posebno posle napada. Rezulta
analize mogu se koris
za dalje jaanje sistema zaš
te aktuelne raunarske mreže.
Generalno, bazini ala
za mrežnu zaš
tu su:
• Logike barijere (Firewalls) za saobraaj u/iz mreže;
• An
virusni programi (AVP);
• Programi za zaš
tu od napada sa Interneta;
• aka auten
kacija (PKI infrastruktura, jednokratna lozinka, smart kar
ce sa
digitalnim ser
katom);
• Mrežni skener (Netwark Analyzer) za kontrolu mrežnog saobraaja;
• IDS/IPS sistem za detekciju upada u raunarsku mrežu.
> @Y\ 133
Digitalna forenzika raunarske mreže ili mrežna forenzika je proces sakupljanja informacija koje se kreu kroz mrežu i koji pokušava da poveže na neki nain raspoložive
forenzike kapacitete za digitalnu forenziku istragu, akviziciju i analizu mrežnih digitalnih podataka. Mrežni forenziki ala
su hardversko – soverski ureaji koji automa
zuju ovaj proces. Forenzika bežine mreže je proces sakupljanja informacija koje se
kreu kroz bežinu mrežu i koji pokušava da poveže na neki nain raspoložive forenzike kapacitete za digitalnu forenziku istragu, akviziciju i analizu digitalnih podataka iz
bežine mrežne.
Pozna
ji mrežni forenziki ala
sa otvorenim izvornim kodom su: Wireshark; Kismet; Snort; OSSEC; NetworkMiner, koji je na raspolaganju na SourceForge i Xplico
i NFAT, Internet/IP dekoder saobraaja kojeg podržavaju sledee protokoli: HTTP, SIP,
FTP, IMAP, POP, SMTP, TCP, UDP, IPv4, IPv6.
NetworkMiner je mrežni forenziki alat za analizu mrežnih podataka, a NFAT (Network Forensic Analysis Tool) je mrežni forenziki alat za Windows plaorme. Alat se
može koris
kao pasivni mrežni skener (snier) koji hvata mrežne pakete da bi detektovao OS, sesije, imena hostova, otvorene portove itd. bez propuštanja bilo kojeg saobraaja u mrežu. Namena alata je da sakupi podatke, kao što su potencijalni digitalni dokazi upada u mrežu (incidenta/kriminala), iz mrežnih hostova i drugih mrežnih ureaja,
a manje podatke o mrežnom saobraaju. Glavni pogled je host centrini, tj. informacije
su grupisane po hostovima, a ree se prikazuju kao lista paketa/frejmova.
Relevantni mrežni, digitalni forenziki ala
za dubinsku analizu zasnovani na data
mining tehnikama su:
• E-Detecve,
• ManTech Internaonal Corporaon,
• Network Instruments,
• NetDetector, (NIKSUN)
• PacketMoon,
• NetIntercept, (Sandstorm)
• NetBeholder (Mera Systems),
• Trac Monitor (InfoWatch)
Relevantni sistemi/ala
zasnovani na protoku saobraaja (Flow-Based Systems) su:
• Arbor Networks
• GraniteEdge Networks
• Lancope (h'p://www.lancope.com)
• Mazu Networks (h'p://www.mazunetworks.com)
Hibridni sistemi za mrežnu forenziku kombinuju analizu protoka saobraaja, dubinsku analizu, monitorisanje bezbednosnih dogaaja i izveštavanje incidenata. Tipino
rešenje je Q1 Labs (h'p://www.q1labs.com).
134 I J Težinu problema digitalne forenzike istrage, akvizicije i analize raunarske mreže
usložava kompleksnost pova mreža koje moraju bi
obuhvaene:
• raunarske i komunikacione mreže,
• telekomunikacione mreže (žine, bežine, op
ke),
• transportne mreže (putne, železnike, avionske, pomorske),
• humane mreže (teroris
ke mreže, mreže trgovine drogom, mreže
meuljudskih odnosa - Facebook i slika).
U ovom kontekstu digitalna forenzika istraga raunarske mreže pino pra
sledei
osnovni proces:
• Istragu poe
od napadnute mašine;
• Pra
trag do drugih posrednih mašina, sve do izvora napada, koristei tesnu
saradnju sa ISP i telekomunikacionim provajderima u odnosnim regionima/
državama,
• Koris
tehnike vizuelizacije traga napada u pogoenoj, kompromitovanoj/
posrednoj mašini i interakcije svih ukljuenih mreža i ureaja.
3.1.5 Forenzika analiza kibernekog prostora
Forenziku analizu kiberne
kog prostora bez sumnje je najkompleksnija oblast
digitalne forenzike i može bi
veoma spor i naporan proces. Osnovni zahtev je uspostavljanje legalne saradnje država u borbi pro
v kompjuterskog kriminala, ukljuujui
usklaivanje standarda za kvalitet digitalne forenzike istrage – pretragu, akviziciju,
analizu, prezentaciju i upravljanje digitalnim dokazima. Obino je potrebno da napada
bude na liniji, da bi rela
vno brzo bio uhvaen. Neophodna je saradnja telefonskih
kompanija i Internet servis provajdera (ISP), kao i zvaninih istražnih organa specijalne
policije, [22].
U generikoj proceduri otkrivanja traga napadau sa Interneta, treba sagleda
IP
adrese u login fajlu napadnutog raunara i izvorne IP adrese koje su uhva
li mrežni
ureaji zaš
te – skeneri saobraaja (sniferi), IDS/IPS sistemi i Firewals, kao i druge informacije dobijene korišenjem alata pa:
• ReverseFinger,
• Nslookup,
• TraceRoute itd.
Sve ovo za hvatanje profesionalnog napadaa može bi
nedovoljno, ali je polazna
taka i dobra osnova za poetak forenzike istrage kibrne
kog prostora.
Za hvatanje napadaa sa Interneta i praenje ak
vnos
na napadnutom sistemu,
veoma je važno obezbedi
što više podataka o online ima u posrednim raunarima.
Nažalost, h podataka nikada nema dovoljno u log fajlovama. Treba poi od toga da
> @Y\ 135
kompetentan napada verovatno povremeno uskae u web lokacije i ostavlja zamke za
upad (
pa trojanca ili trap doors) primenom rutkit tehnika koje istovremeno prikrivaju
njihovo prisustvo, pre nego što kasnije sam preduzme napad u potpuno neodreeno
vreme.
U log datoteci raunara sa Unix plaormom treba traži
, [6]:
Vreme logovanja i izlogovanja, npr., pomou alata pa Lastlog;
• Analizira
anomalije u Lastlog, korišenjem alata za analizu log fajlova, kao
što su npr., Chklastlog;
• Izvorne IP adresa, koje se analizom Syslog ili drugih logova mogu otkri
. Syslog
mora bi
prethodno kongurisan za ovaj p informacija. On može proizves
neku od nekoliko Messages fajlova. Drugi logovi mogu bi
iz TCP wrapers
instaliranog na kri
nim servisima. Sline informacije postoje u NT logovima.
Win 95 i NetWare nude malo, ili nimalo informacija o logovanju, dok log fajlovi Win 2000/XP/2003 OS daju prihvatljiv nivo log podataka;
• Kada se otkrije najbliža web lokacija sa koje se napada ulogovao treba uspostavi
vezu sa administratorom te lokacije. Odatle treba ii na sledeu
lokaciju i ako ima sree dobi
IP adresu izvora, idui po tragu napada unazad.
Ako je napada još uvek online može se koris
alat (
pa Reverse Finger,
Route Trace) za otkrivanje lokacije napadaa. Ako napada koris
posredni
raunar, što je naješe sluaj, ovaj alat nije od koris
i tu se istraga zaustavlja.
• Izvor napada sa Interneta esto mogu bi
administratorski serveri velikih ISP.
Korišenjem TCP wrapera u Telnet servisu može se iden
kova
izvor napada. Wrapers log fajl registruje svaki pokušaj legalnog i ilegalnog logovanja,
kao i odbijanja logovanja. Login fajlovi mogu da ne otkriju iden
tet stvarnog
napadaa. Zato treba bi
zadovoljan ako se otkrije mašina sa koje je napad
izvršen. Za uspešnu potragu za napadaem treba locira
izvornu mašinu, precizno vreme napada i IP adresu napadnutog raunara (žrtve).
• Ako se, meu
m, napad ponavlja mogu se svi ovi podaci uhva
skenerom
za kontrolu mrežnog saobraaja (sniferom). IDS/IPS se mogu kongurisa
da
reaguju alarmom na pakete koji sadrže sumnjive IP adrese; kada se ak
viraju
alarmi, snimaju se sve transakcije sa te adrese. Sos
cirani IDS/IPS mogu detaljno snimi
itav scenario napada (npr., Real Secure IPS, Internet Security
Systems). Real Secure soverski alat zavisi od prola napada i iden
kuje
pokušaje sumnjivih napada; može preduze
i specine akcije kao što je detaljno logovanje. Ovako detaljno dokumentovano logovanje veoma pomaže
u forenzikoj analizi napada i može bi
vrst dokaz ako se propisno sauva
integritet podataka. Neki IDS programi pos
žu iste rezultate, oitavanjem log
fajlova u realnom vremenu i preduzimanjem skriptovanih akcija. Primer je
alat: ITA, AXENT Technologies. Ovi su programi više usmereni na napadnute
hostove, dok su sniferiski povi programa fokusirani na ak
vnos
u mreži. U
136 I J traganju za napadaem koji ponavlja napad treba instalira
oba ova programa. Obino se nastoji prikupi
što više dokaza da bi se moglo osnovano obra
zvaninom organima istrage kompjuterskog kriminala za dalji tok istrage.
• Za napad u IKT sistem preko telefonske modemske veze, postavljenje zamke
za napadaa i traganje za njim podrazumeva ukljuivanje zvaninih organa
istrage. Ako je napada koris
o telefonsku liniju, prva lokacija koju je napada
koris
o posebno je znaajna za istragu. Ako je koris
o ISP vezu, obino postoji
dobro registrovan pristup napadaa u modemu koji je primio poziv. Veina
ISP koriste skup modema sa terminalnim serverima koji pripisuju IP adrese
sluajnim korisnicima koji biraju neki brojiz skupa modema. U datom vremenu napada log fajl registruje liniju sa koje je došao poziv. Odavde telefonska kompanija može odredi
odakle je poziv došao, što je za forenziara vrlo
korisno. Loše je što telefonski frikeri lako mogu hakerisa
telefonske linije i
sakri
stvarnu liniju sa koje pozivaju, što može bi
kraj istrage korporacijskih
organa i poetak zvanine policijske istrage.
Dakle, sistemski log fajlovi obezbeuju brojne dokaze o upadu u mrežu i host raunare. Problem je, meu
m, što ovi fajlovi imaju svoja ogranienja, kao što su:
• Mora se na sudu dokaza
da log fajl nije izmenjen, da bi imao dokaznu vrednost. Poznato je da log fajlovi mogu bi
modikovani pre otkrivanja od strane
digitalnog forenziara. Ako je log fajl locirana na napadnutoj mašini, tj. može
joj pristupi
administrator mreže, ili drugi supervizor, potrebno je dokaza
da
oni ili drugi superkorisnici sa is
m ovlaenjima nisu upali u log fajl i izmenili
ga pre akcije forenziara. Poznato je, takoe, da dobar napada obavezno
ois
log fajlove i mogue tragove nekom od an
-forenzikih tehnika. edina
opcija u ovom sluaju je obezbedi
validan dokaz koji pokazuje da fajl nije
izmenjen. Takav dokaz može bi
pre-kongurisan log fajl koji ne može bi
korumpiran, na primer, ITA od AXENT i RealSecure od ISS koji š
te log fajl od
modikacije, ili direktan svedok koji potvruje da su se dogaaji prikazani u
log datoteci stvarno desili. Bezbedan rad log fajla se može osigura
na više
naina. Najbolji metod je automatski skladiš
log fajl sa raunara žrtve na
log server mašinu namenjenu za arhiviranje logova (log host). Pristup log host
mašini treba da bude ekstremno ogranien i strogo kontrolisan. Log fajl treba
da bude bekapovan na pouzdan disk, ili drugi medijum, koje treba uva
kao
referentne dokaze.
• Drugo ogranienje log fajlova je njihova kompletnost. Koristan log fajl za analizu realizovanih dogaaja napada treba minimalno da sadrži sledee podatke:
vreme kada se dogaaj desio, IP adresu izvora dogaaja i prirodu dogaaja
(bezbednosni dogaaj - incident, regularan event). Najkompletniji logovi su
uvek zahtevni, troše resurse i smanjuju performanse raunarskog sistema.
Dakle, veliina log fajlova mora bi
kompromis izmeu zahteva forenzike
kompletnos
i funkcionalnos
.
> @Y\ 137
Najbolja forenzika praksa preporuuje da log fajlovi registruju sledee važne informacije:
• sve pristupe superkorisnika,
• sva logovanja pristupa i napuštanja sistema (login i logout),
• pokušaje korišenja bilo kojeg kontrolisanog servisa (npr. FTP, TELNET, Rservisa itd.),
• pokušaje pristupa kri
nim resursima (fajlu lozinki, kernelu, wrapper-u itd.) i
• detalje o e-mail porukama.
TCP wraperi i drugi programi obino pišu svoje logove u sistemski log fajl u Unix
sistemu. U NT Windows OS nema specijalizovanih programa kao wrappers, ali security log se može kongurisa
tako da sadrži više ili manje detalja. esto je zgodno na
Unix mašinu žrtve instalira
wrapper i pus
napadaa da napada dovoljno dugo da
se prikupe informacije o njemu i omogui izrada prola napadaa. Da bi se dobile informacije koje se ne pojavljuju u log fajlu, bilo da logovanje nije kompletno, ili uopšte
nema log fajla, može se koris
kompjuterska forenzika tehnika. Cilj je sakupi
informacije koje su ostale na HD. Prva mogunost je da je dogaaj logovan i log izbrisan, pre
nego što ga je forenziar pokupio. Za
m, da ostaci log fajla na HD mogu bi
ošteeni,
jer login program stalno prepisuje stare informacije novim, po principu FIFO (First inFirst out). Meu
m, analizom sektora HD i vremenskih fajlova mogue je potpuno rekonstruisa
log fajl.
Primer: Neka imamo log fajl na Unix raunaru žrtve koji nije kompletan. Sa alatom
pa Chklastlog možemo proveri
da li je log fajl menjan, ali alat ne garantuje da je
log fajl kompletan. Kako postoje veoma ekasni hakerski ala
koji mogu izmeni
log
fajl, cilj mul
plika
vne analize31 log fajlova je da se pronau razlike u onome što log
fajlovi pokazuju i stvarnih dogaaja. Nažalost, ova analiza je vrlo delikatna i dugotrajna,
posebno za velike fajlove, jer je potrebno ima
više log fajlova za is
dogaaj i uporedi
istovetnost vremena za iste dogaaje. Dobro je što obino ima više izvora ovih
log fajlova: napadnu
raunar koji može ima
TTPS program za višestruko, odvojeno
logovanje, za
m bezbednosni log, sistemski i aplika
vni logovi. Pored toga, potrebno je
dobro poznava
predmetni OS. Korisno je napravi
anali
ku radnu kartu za sistemske
log fajlove u mreži kao u tabeli T. 3.1.
Tabela 3.1 Anali
ka vremenska radna karta sistemskih log podataka
Sistemske log datoteke (is dogaaj)
Vremena
Log 1
Log2
Log3
15.12.2004 12:30
15.12.2004 12:35
15.12.2003 12:30
31 analize podataka iz log fajlova više mrežnih ureaja.
138 I J Korisno je analizira
SU (Swich User) log fajl, zato što napada esto ulazi u IKT sistem koristei jedan nalog i prelazi na drugi nalog unutar kompromitovanog sistema.
Kada se otkrije praznina u jednom log fajlu treba je popuni
vremenom za is
dogoaj
u drugim log fajlovima. Nije neuobiajeno da hakeri dodaju informacije u log fajlove,
da dovedu u zabludu forenziara. este su promene ID u log datotaci. Zato log datoteci nikada ne treba verova
na prvi pogled. Ako forenziar ne može nai još nešto da
korelira kri
nom log ulazu, treba pretpostavi
da nešto nedostaje. U kompleksnom
sistemu raunara ništa se ne dešava bez povoda. Uvek postoji neka indikacija da se neki
dogoaj dogodio. Na primer, treba ru
nski poredi
bezbednosni log fajl na raunaru sa
fajlom standardog logovanja grešaka - pogrešnih ulaza (entries) i slika i urgent log fajlom, sainjenim od ulaza deriviranih iz razlii
h izvora. Bezbednosni log je esto kombinacija bezebdnosnih dogoaja logovanih sa syslog fajlovima i onih logovanih sa TTPs32
bezbednosnim programom. Log grešaka dolazi iz sistemskih syslog fajlova, nakon što
naprave urgent log fajlove. Forenziar dodaje wrappers log fajlove bezbednosnim log
fajlovama u anali
koj radnoj kar
za svaki kri
an dogoaj i dobro ih analizira. Potrebno je više puta gleda
i meusobno poredi
log fajlove iz raznih mašina za is
(kri
ni)
dogoaj. Najbolje rešenje je ima
log host mašinu u koju treba smes
sve log fajlove
i tu ih kombinova
i analiz
ra
. Sklapanje (rekonstrukcija) velikih log fajlova sa HD je
veliki izazov, ali postoji više dobrih alata, [29]:
• TEXTSEARCH soverski alat: dobar za ASCII log fajlove; traži stringove vremena i teksta koji indiciraju dogaaje;
• ASAX (freeware paket) za Unix OS: dopušta kreiranje log parsing skripta, koji
može traži
razliite stringove teksta;
• ACL (Audit Command Language): ASAX alat za DOS /Windows OS;
• ASCII (CDL- Comma Delimited): format u kojeg se eksportuje log fajl, a CDL
dopušta itanje i analizu u bazi podataka spreadshit dokumenata, kao što su
Excel ili Lotus 1-2-3 itd.
• Zeitline: forenziki editor vremenske linije dogaaja, koji se fokusira na korelaciju i rekonstrukciju datuma/vremena dogaaja nekog incidenta iz razlii
h
izvora u raunarskoj mreži. Uvoz i normalizacija podataka o vremenskim
pea
ma u ovom alatu vrši se pomou ltera. Filteri se uitavaju dinamiki
tako da korsinik može sam razvi
novi lter, bez potrebe da rekompajlira program. Ovaj alat može pretraživa
dogaaje na bazi kljune rei i/ili zadatog
vremenskog opsega dogaaja. Alat dogaaje organizuje u hijerarhijsku strukturu, [2].
Kompleksna oblast digitalne forenzike kiberne
kog prostora zahteva detaljniju
obradu, što prevazilazi obim ovog udžbenika.
32 Trusted Third Party – trea strana od poverenja
> @Y\ 139
3.2 ZNAAJ SLOJEVA APSTRAKCIJE ZA DIGITALNU FORENZIKU
ANALIZU
Slojevi apstrakcije raunarskog sistema koriste se za analizu velike koliine podataka
u mnogo lakše upravljanom formatu. Oni su nužne karakteris
ke dizajna savremenih
digitalnih sistema, zato što su svi podaci, bez obzira na aplikacije, predstavljeni na disku, ili mreži u generikom formatu bita – (1 i 0). Za korišenje ovog generikog formata skladištenja digitalnih podataka za uobiajene aplikacije, aplikacija prevodi bitove u
strukturu koja zadovoljava njene potrebe. Uobiajeni format je sloj apstrakcije, [3].
Primer bazinog apstrakcionog sloja je ASCII kôd u kojem je svakom sloju engleskog alfabeta pripisan broj od 32-127. Kada se memoriše tekst fajl, slova se prevode
u njihove numerike reprezentacije i brojane vrednos
se memorišu na medijumu.
Gledanjem sirovih podataka fajla prikazuje se serija 1 i 0. Primenjujui ASCII sloj apstrakcije, numerike vrednos
se mapiraju prema odgovarajuim karakterima i fajl se
prikazuje kroz seriju slova, brojeva i simbola. Tekst editor je primer rada na ovom sloju
apstrakcije.
Svaki sloj apstrakcije može se opisa
kao funkcija ulaznih i izlaznih veliina. Ulazne
veliine u apstraktni sloj su kolekcija podataka i neki skup pravila za translaciju. Skup
pravila opisuje kako treba procesira
ulazne podatke i u veini sluajeva je specikacija
dizajna objekta. Izlazne veliine svakog sloja apstrakcije su podaci derivirani iz ulaznih
podataka sa marginom greške. U primeru ASCII sloja apstrakcije, ulazne veliine su binarni podaci i skup pravila za pretvaranje binarnih podataka u ASCII kôd. Izlazne veliine su alfanumerike reprezentacije. Izlazni podaci sa sloja mogu bi
ulazne veliine u
drugi sloj apstrakcije, bilo kao aktuelni podaci koje treba preves
, ili kao opisni metapodaci koji se koriste za prevoenje drugih ulaznih podataka. Ulazi i izlazi apstrakcionog
sloja ilustrovani su na slici 3.2.
Slika 3.2 Ulazni i izlazni podaci apstrakcionog sloja
U primeru ASCII koda, ako je izlaz prvog sloja apstrakcije bio tekst fajl u HTML dokumentu, karakteri bi bili ulazni podaci u HTML sloj apstrakcije, koji uzima ASCII podatke
i HTML specikaciju kao ulazne podatke i daje na izlazu forma
rani HTML dokument.
HTML pretraživa je pian primer alata koji prevodi prethodni ASCII sloj u HTML.
140 I J Primer opisnih meta podataka kao ulaznih veliina je blok pokazivaa (pointers) i
polja otkucaja na tastaturi (type elds) u, na primer, inode strukturu UNIX fajl sistema.
Inode struktura opisuje fajl i ukljuuje deskriptor koji indicira da li je inode za neki fajl,
direktorijum ili neki drugi specijalni p. Drugo inode polje je direktni blok pokaziva
koji sadrži neku adresu na kojoj je sadržaj fajla memorisan. Obe vrednos
koriste se
kao deskrip
vni podaci kada se procesira sledei sloj apstrakcije u fajl sistemu. Adresa
se koris
za iden
kaciju mesta na kojem treba ita
podatke u fajl sistemu, a vrednost
otkucaja tastature (type value) koris
se za iden
kaciju naina procesiranja podataka
fajla, pošto se direktorijum procesira razliito od fajla. U ovom sluaju, izlaz inode nije
jedini ulaz u sledei sloj, zato što ceo imidž fajl sistema treba da locira adresu bloka.
Slojevi apstrakcije dogaaju se na mnogim nivoima. Sam fajl sistem je sloj apstrakcije za niz bajtova sa diska. Unutar fajl sistema se nalaze dodatni slojevi apstrakcije, a
krajnji rezultat je manji niz bajtova u ulazu (entry) MFT33 koji predstavljaju fajl. Podaci
fajla se za
m primenjuju na aplika
vni sloj apstrakcije gde se dalje procesiraju.
Primeri alata za oporavak fragmen
ranog fajla (carving) na apstrakcionom sloju –
fajla u fajl sistemu, najbolje prikazuju sve prednos
korišenja koncepta apstrakcionih
slojeva raunarskog sistema i mreže za denisanje forenzikih alata.
3.2.1 Greške u slojevima apstrakcije
Svaki sloj apstrakcije može une
greške i zbog toga je margina greške izlazna vrednost svakog sloja apstrakcije. Sveobuhvatna lista grešaka koje se mogu une
u procesu forenzike istrage, još uvek nije komple
rana. Denisane su greške koje unose
forenziki ala
za analizu i proces krišenja slojeva apstrakcije. Nisu obuhvaene greške
nastale zbog prikrivanja traga napadaa, greške alata za uzimanje imidža kompromitovanog HD, ili pogrešne interpretacije rezultata analize. Apstrakcioni slojevi mogu une
dva pa grešaka, [2]:
• greška implementacije forenzikog alata i
• greška sloja apstrakcije.
Greška implementacije forenzikog alata unosi se zbog programskih i dizajnerskih
bagova forenzikog alata, kao što su programerske greške, nekorektna specikacija
alata, ili korektna specikacija alata, ali nekorektna specikacija originalne aplikacije.
Ovaj p grešaka najteže je prorauna
, jer zahteva brojna tes
ranja i revizije programskih kôdova. Kada se specini bag forenzikog alata jednom detektuje, is
se
ksira i izdaje se nova verzija alata. Redukciju grešaka digitalnih forenzikih alata vrše
malobrojni movi u svetu (npr., NIST Computer Frensics Tool Tesng Group). Da bi se
smanjio rizik od ovog pa greške, svaki alat mora ima
marginu greške implementacije
alata, proraunatu na bazi istorije bagova alata - broja bagova u poslednjim godinama
i ozbiljnos
posledica. U proraunu ovog pa greške teškoe nastaju kod zatvorenog
izvornog kôda aplikacije, gde se bagovi ne objavljuju i ksiraju se u tajnos
, pa te greške
nije mogue uze
u obzir.
33 Master File Table
> @Y\ 141
Greška sloja apstrakcije unosi se zbog simplikacije koja se koris
za generisanje
sloja apstrakcije. Ovaj p grešaka dešava se kada sloj apstrakcije nije deo originalnog
dizajna. Na primer, imidž fajl sistema ima nekoliko slojeva apstrakcije u svom dizajnu.
Kretanje sa jednog sloja apstrakcije na drugi unosi ovu grešku. Greška sloja apstrakcije
postoji u IDS sistemu koji reducira višestruke mrežne pakete u specini napad. Pošto
IDS ne zna sa 100% sigurnos
da su pake
deo napada, proizvode neku marginu greške.
Vrednost greške koju unosi IDS može bi
razliit za razliite pove napada, a vrednost
greške može se smanji
sa boljim tehnikama apstrakcije. Generalno problem grešaka
koje unose slojevi apstrakcije rezultat je zbirnih grešaka koje unosi svaki sloj apstrakcije.
Problem se rešava proraunom margine greške za svaki sloj i uraunavanjem ove greške
u analizi rezul
rajuih podataka. Da bi se ublažio rizik koji pra
ovu grešku potrebno
je ima
pristup ulazima u sloj apstrakcije, skupu pravila i izlaznim vrednos
ma za verikaciju translacije podataka.
3.2.3 Karakteriske slojeva apstrakcije
Slojevi apstrakcije i ala
za njihovo procesiranja mogu se opisa
kroz e
ri osnovne karakteris
ke. Greška apstrakcije može se iskoris
za opisivanje nekog sloja
apstrakcije kao sloj sa gubicima i sloj bez gubitaka. Sloj sa gubicima je onaj sa marginom greške apstrakcije veom od nule, a sloj bez gubitaka ima nultu marginu greške
apstrakcije. U ovu deniciju nije ukljuena greška implementacije alata, zato što je to
specina vrednost alata, a ne sloja apstrakcije. Primeri slojeva apstrakcije bez gubitaka
su slojevi apstrakcije fajl sistema i ASCII kôda, dok su primeri slojeva apstrakcije sa gubicima IDS alarmi.
Sloj apstrakcije može se opisa
sa svojim atribu
ma mapiranja. edan-prema-jedan
sloj ima jedinino mapiranje, tako da postoji korelacija jedan-prema-jedan izmeu svakog ulaza i svakog izlaza. U ovu kategoriju spadaju mnogi slojevi fajl sistema i ASCII
kôd. Ulazi ovih slojeva mogu se odredi
iz izlaza i skupa pravila. Više-prema-jedan sloj
ima ne-jdinino mapiranje, gde se neka izlana vrednost može generisa
sa više ulaznih
vrednos
. Primer je MD5 jednosmerna, heš funkcija. Teoretski dve ulazne vrednos
mogu generisa
istu vrednost MD5 eksume, iako je teško pronai te vrednos
. Drugi
primer više-prema-jedan sloja apstrakcije su IDS alarmi. Generalno niko ne može regenerisa
pakete koji su generisali neki IDS alarmi, koristei samo jedan alarm.
Mogu postoja
slojevi apstrakcije unutar sloja apstrakcije na višem nivou apstrakcije. U sluaju vrstog diska za skladištenje, postoje najmanje tri sloja apstrakcije na visokom nivou. Prvi je sloj medijuma koji prevodi jedinstveni format diska u generalni
format sektora LBA34 i CHS35 adresiranja koje obezbeuje hardverski interfejs. Drugi sloj
je fajl sistem koji prevodi sadržaj sektora u fajlove. Trei sloj apstrakcije je aplika
vni
sloj koji prevodi sadržaj fajlova u zahtevani format aplikacije - tekst, slika, graka.
34 Logical Block Addressing binarnih zapisa na HD
35 Cilinder Heads Sectors adresiranje binarnih zapisa na HD
142 I J Poslednji sloj u nivou apstrakcije zove se granini sloj. Izlaz iz ovog sloja ne koris
se kao ulaz u bilo koji drugi sloj na tom nivou. Na primer, sirovi sadržaj nekog fajla
je granini sloj u fajl sistemu. Prevoenje u ASCII i HTML vrši se na sloju aplika
vnog
nivoa. Nivoi i slojevi apstrakcije HTML dokumenta prikazani su na slici 3.3, [3].
Disk
eads
File system
Boot FAT
Sector Area
...
LBA
Sectors
...
Applicaon
Data
Area
ASCII
...
TML
File
Slika 3.3 Slojevi apstrakcije HTML dokumenta
Digitalni forenziki ala
za svaki sloj apstrakcije takoe se mogu svrsta
u razliite
kategorije. Tipina podela alata je na:
• translacione i
• prezentacione alate.
Translacioni ala za prevoenje sa jednog sloja apstrakcije na drugi, koriste skup
pravila translacije i ulazne podatke za generisanje izlaznih podataka. Namena ovih alata
je da prevede podatke na sledei sloj apstrakcije. Prezentacioni ala su oni koji uzimaju
podatke sa izlaza translacionih alata i prikazuju ih na displeju na nain koji je pogodan za forenziara. Sa aspekta forenziara, ova dva pa alata ne treba razdvaja
i u
veini sluajeva nisu razdvojeni u savremenim ala
ma (FTK, EnCase, iLook itd.). Slojevi
koji proizvode veliku koliinu izlaznih podataka mogu ih razdvoji
radi ekasnos
. Na
primer, neki translacioni alat može analizira
imidž nekog fajl sistema i prikaza
fajlove
i lis
nge direktorijuma po redosledu u kojem postoje u imidžu. Neki prezentacioni alat
može uze
te podatke i sor
ra
ih po direktorijumu da prikaže samo fajlove u datom
direktorijumu. Drugi prezentacioni alat može sor
ra
MTF ulaze (entrys) prema MAC36
vremenima - Modikacije, Pristupa i Izmene svakog fajla u datom direktorijumu i prikaza
vremensku liniju ak
vnos
analiziranog fajla. Is
podaci postoje u svakom rezultatu, ali u formatu koji zadovoljava razliite potrebe.
3.2.4 Apstrakcioni slojevi FAT fajl sistema
FAT 16 (File Allocaon Table) fajl sistem, jedan od osnovnih fajl sistema, još uvek je
u upotrebi u brojnim raunarima. FAT fajl sistem je model realnog zapisivanja podataka
na zikom vrstom disku i sastoji se iz tri glavne oblas
, [3], [28]:
36 Modicaon Access Change vremena
> @Y\ 143
But sektor koji sadrži adrese i veliine struktura u ovom specinom fajl sistemu,
ukljuujui i lokaciju FAT (File Allocaon Table) i oblas
podataka;
FAT (File Allocaon Table) koja sadrži ulaze (entrys) klastera i specicira koji je sledei
alocirani klaster, a koji je nealocirani klaster;
Oblast podataka koja je podeljena na konseku
vne sektore od po 512 bajta, svrstane
u klastere od po 2, 4, 8, 16 sektora, zavisno od veliine logikog diska. Klasteri skladište
sadržaj fajla, ili direktorijuma. Svaki klaster ima svoj ulaz (entry) kojim se adresira u FAT
tabeli.
Fajlovi su opisani sa strukturom entrija, koja je uskladištena u klasterima alociranim
u glavnom (parent) direktorijumu. Ova struktura sadrži ime fajla, vremena, veliinu i
poetni klaster. Preostali klasteri u fajlu, ako ih ima, nalaze se korišenjem FAT tabele.
FAT 32 fajl sistem ima sedam slojeva apstrakcije:
1. sloj apstrakcije koris
kao ulazne podatke upravo sliku logikih par
cija
zikog diska, pretpostavljajui da je akvizicija sirove par
cije diska izvršena
pomou alata kao što je UNIX DD komandna linija. Ovaj sloj koris
denisanu
strukturu but sektora iz kojeg ekstrahuje vrednos
veliine i lokacije. Primeri
ekstrahovanih vrednos
ukljuuju, [1]:
- startnu lokaciju FAT tabele,
- veliinu svake FAT tabele,
- broj FAT tabela,
- broj sektora po klasteru,
- lokaciju rut direktorijuma.
2. sloj apstrakcije uzima imidž i informaciju o FAT tabeli kao ulazne podatke i
daje FAT i oblast pdataka na izlazu. Izlazni podaci iz ovog sloja su sirovi podaci
iz imidža i nisu struktuirani.
3. i 4. sloj apstrakcije daju strukturu FAT tabeli i oblas
podataka, koji su iden
kovani u prethodnim slojevima apstrakcije. edan sloj uzima FAT oblast
i veliinu ulaza FAT tabele kao ulazne podatke, a obezbeuje entrije tabele
kao izlazne podatke. Drugi sloj uzima oblast podataka i veliinu klastera kao
ulazne podatke i obezbeuju klastere kao izlazne podatke. Sadržaj fajlova i
direktorijuma uskladišten je u klasterima u oblas
podataka.
5. sloj apstrakcije na nivou fajl sistema uzima klastere i vrednost pa fajla kao
ulazne podatke. Ako p odreuje neki fajl, onda je sirovi sadržaj klastera dat
kao izlazni podatak. Ako se p odnosi na direktorijum, onda je lista entrija
direktorijuma izlazni podatak. Ako je dat sirov sadržaj, tada je to granini sloj,
zato što ne postoji ništa drugo što se može procesira
slojevima apstrakcije
fajl sistema. Podaci se prenose na aplika
vni nivo. Ako su u prethodnom sloju
da
entriji direktorijuma, to je parcijalni opis nekog fajla ili direktorijuma,
pošto imamo samo prvi klaster u fajlu, a ne i ostale klastere.
144 I J 6. sloj uzima startni klaster i FAT kao ulazne podatke i generiše punu listu alociranih klastera kao izlazne podatke.
7. sloj uzima klastere, entrije direktorijuma i punu listu klastera kao ulazne podatke, a generiše bilo ceo sadržaj fajlova, ili lis
ng dirktorijuma. Ovaj sloj koris
prethodno opisani pe
sloj apstrakcije, pa je ovaj sloj granini, ako je dat sadržaj
fajla. Ovi slojevi apstrakcije u FAT fajl sistemu prikazani su u tabeli 3.2, [3].
Tabela 3.2 Slojevi apstrakcije FAT fajl sistemu
Input
output
1
File System Image
Booz Sector Values
2
FAT informa
on from SB
FAT and Data Area
3
FAT Area, FAT Entry Size
FAT Entries
4
Data Area, Cluster Size
Clusters
5
Cluster, Type
Directory Entries of Raw Content
6
Star
ng Cluster, FAT Entries
List of Allocated Clusters
7
All le meta-data, Clusters
All Directory Entries of Raw Content
Ala
za digitalnu forenziku analizu, dizajnirani za FAT fajl sistem sa navedenim
zahtevima, obezbeuju forenziaru ulazne i izlazne podatke za svaki od sedam slojeva
apstrakcije i mogu predstavi
izlaz svakog sloja u jednom, ili više formata.
Alat za digitalnu forenziku analizu, koji obezbeuje lis
ng sadržaja rut direktorijuma u FAT 32 fajl sistemu, treba da na imidžu fajl sistema uradi sledee:
• procesira sloj apstrakcije 1 da iden
kuje but sektor, ukljuujui lokaciju rut
direktorijuma,
• procesira sloj apstrakcije 2 da iden
kuje FAT tabelu i oblast podataka,
• procesira sloj apstrakcije 3 da dobije entrije u FAT tabeli,
• procesira sloj apstrakcije 4 da dobije klastere za direktorijum,
• koris
lokaciju rut direktorijuma da procesira sloj 6 za iden
kaciju svih alociranih klastera i
• procesira sloj apstrakcije 7 da dobije lis
ng svih imena u direktorijumu. Alat
za forma
ranje u ovom sluaju može prikaza
ili sve detalje o fajlu, ili samo
imena fajlova.
Alat koji ima pristup izlazima u svakom od navedenih koraka, obezbeuje laku verikaciju rezultata.
Postojanje slojeva apstrakcije sa greškom poveava se sa poveanjem broja logova,
mrežnih paketa i vremenskih linija ak
vnos
fajla za analizu. Apstrakcioni slojevi se koriste za redukciju broja entrija logova za analizu, grupisanjem is
h u dogoaje na višem
nivou apstrakcije. Ovo unosi greške u konani rezultat i zbog toga se mora potpuno
razume
i dokumentova
.
> @Y\ 145
Sa aspekta apstrakcionih slojeva, kompjuterska forenzika je analiza ostataka kompjuterskog incidenta ošteenog, ili korumpiranog raunara, pomou skupa tehnika koje su
analogne patološkom ispi
vanju leša ubijenog, a vrši se za pravosudne potrebe radi
otkrivanja dokaza u sluajevima krivinog dela kompjuterskog kriminala, povrede korporacijske poli
ke zaš
te informacija i prikupljanja obaveštajnih podataka putem IKT
sistema. Kompjuterska forenzika, sa aspekta apstrakcionih slojeva, obuhvata analizu
sledeih glavnih apstrakcionih slojeva raunarskog sistema:
Analiza zikih medija, sloja koji prevodi digitalne podatke za uobiajeno skladištenje
u raunaru, preko korisnikog interfejsa. Primeri su IDE, SCSI HD u kojima su bajtovi
granini sloj, kompakt eš memorija, memorijski ip, op
ki disk. Analiza ovog sloja
ukljuuje procesiranje standarnih slojeva raunara i oporavak izbrisanih podataka.
Analiza menadžmenta medija, odnosi se na sloj apstrakcije koji organizuje medijume za skladištenje. Granini sloj je druga kolekcija bajtova sa medijuma. Primeri ovog
sloja ukljuuju delenje HD u par
cije, organizovanje mul
plika
vnih RAID diskova u
logike diskove i integrisanje mul
plika
vnih memorijskih ipova u memorijski prostor.
Ovaj sloj možda ne postoji u svim povima medijuma, na primer, baza podataka može
pristupi
celom HD bez kreiranja par
cija.
Analiza sistema fajlova, odnosi se na sloj apstrakcije koji prevodi bajtove i sektore
iz par
cija HD u direktorijume i fajlove. Granini sloj je sadržaj fajlova. Analiza u ovom
sloju ukljuuje posmatranje direktorijuma i sadržaja fajlova i oporavljenih izbrisanih
fajlova.
Analiza aplikavnog sloja apstrakcije, koji prevodi podatke, pino uzete iz sistema
fajlova u korisniki iskoris
ve dokazne podatke (na primer, štampani materijal teksta,
dijagrama i slika).
3.2.5 Zahtevi za alate za digitalnu forenziku analizu
Na bazi navedenih denicija i ciljeva mogu se generisa
sledei zahtevi za digitalne
forenzike alate, [28]:
• Korisnost: Za rešavanje problema kompleksnos
i težine analize podataka u
najnižim forma
ma, ala
moraju obezbedi
podatke na sloju apstrakcije i u
formatu koji pomažu forenziaru. Minimalno forenziar mora ima
pristup
graninim slojevima apstrakcije.
• Sveobuhvatnost: Da bi iden
kovali optužujue i oslobaajue dokaze,
forenziari moraju ima
pristup svim izlaznim podacima na datom sloju apstrakcije.
• Tanost: Za rešavanje problema greške koju slojevi apstrakcije unose u izlazni
rezultat, ala
moraju obezbedi
tanost izlaznih podataka, a da se margina
greške može odredi
tako da se rezulta
mogu na odgovarajui nain interpre
ra
.
146 I J • Odreenost: Da bi se obezbedila tanost alata, alat mora uvek proizves
istu
izlaznu vrednost kada se primene iste ulazna vrednost i skup pravila translacije.
• Proverljivost: Da bi potvrdio tanost alata, forenziar treba da obezbedi
verikaciju dobijenih rezultata. Ova se verikacija može izvrši
manuelno, ili
koristei drugi i nezavisan skup alata. Zbog toga forenziar mora ima
pristup
ulaznim i izlaznim veliinama svakog sloja apstrakcije, tako da se izlaz može
verikova
.
• Zašta od upisivanja (read only): Iako nije neophodna karakteris
ka, ovaj
atribut alata visoko se preporuuje, pošto priroda digitalnih medija dopušta
lako uzimanje tane kopije podataka, kopije se mogu napravi
pre upotrebe
alata koji modikuju original. Za verikaciju integriteta rezultata analize, što
sud može zahteva
, potrebno je obezbedi
refrentnu kopiju ulaznog originala podataka (drugi imidž osumnjienog raunara).
3.3 UTICAJ SAKRIVANJA DIGITALNI DOKAZA NA TENIKE FORENZIKE
ANALIZE
Istraživanje je pokazalo da forenziari naješe susreu pet sledeih tehnika za
sakrivanje podataka, [ 24]:
• preimenovanje fajla (21%),
• šifrovanje (19%),
• steganograja (12%),
• rutkitovi (9%),
• fajl sistem (5%),
• prenosni medij (5%).
Pored toga svaki an
-forenziki alat kreira razliit opera
vni o
sak na fajl sistemu.
Ovaj o
sak ukljuuje nain na koji alat preimenuje fajlove koji se brišu i log fajlove koje
alat generiše. Zato je mogue dizajnira
forenziki uslužni alat koji automatski skenira
ove potpise fajlova u sistemu i otkriva da li je alat za preimenovanje fajlova korišen. U
toku je razvoj ovakvog alata.
Potreba za alatom koji automatski otkriva potpise an
-forenzikih programa otvara pitanja detekcije Trojanaca i tzv. „odbrane trojancima“ pred sudom. Naime, ako
je osumnjieni (ispi
vani) raunar napadnut Trojancem, onda osumnjieni može osnovano tvrdi
da je njegov raunar korumpiran i da ilegalne ak
vnos
nisu njegovo delo,
nego anonimnog napadaa. Tako ostaje dilema da li tužilac treba da dokaže da Trojanac
nije ukljuen u sluaj, ili odbrana – da jeste ukljuen.
> @Y\ 147
Za ovakve sluajeve mogu bi
korisni neki ala
koji vrše kompara
vnu analizu
sadržaja. edan primer je prezentacija razlii
h atributa blokova (klastera) diska u
bojama da se vidi da li se javlja neki vizuelni obrazac koji upuuje na maliciozni kod.
Forenziki alat Lazarus u Coroner Toolkit-u radi ovo u izvesnom stepenu, ali je kategorizacija podataka prilino uopštena. Takoe se može koris
forenziki alat Starlight37
za modelovanje i vizuelizaciju podataka fajl sistema. Drugi primer je da se generiše alat
za komparaciju sa generikom specikacijom, kao što je, na primer, PEG specikacija,
kojim se može otkri
povreda specikacije i na primer sakrivena pornografska slika
pod imenom word dokumenta (sa ekstenzijom .docx). Ovaj pristup obuhvata promenu
sintakse, tj. povrede protokola za ugraivanje informacije korupcijom FCT (File Control
Table) tabele u slici, nasuprot steganografske seman
ke, neeg ugraenog u sadržaj
gde, na primer, neka slika uva jedan znak sa kodiranom informacijom na sebi.
Istraživanja pokazuju da u procesu forenzike analize postoje faktori koji u
u da
se analiza digitalnih dokaza naješe vrši duže od oekivanih rokova postavljenih od
strane tužioca/odbrane. Glavnih sedam faktora, koji ine proces forenzike analize vremenski zahtevnim, su, [24 ]:
1. Veliina podataka (25%);
2. Loše planiranje procesa analize (10%);
3. Nedovoljna automa
zacija (7%);
4. Ulazno/izlazni protok podataka (7%);
5. Ogranieni ljudski i tehniki resursi (7%);
6. Dugo vreme uzimanja imidža diska (5%);
7. Ogranienje forenzikih alata (5%).
Ista istraživanja su potvrdila da su sledei faktori najvei nedostatak forenzikih (alata) kapaciteta za analizu podataka:
1. Brzina procesiranja (14%);
2. Automa
zacija procesiranja (12%);
3. Redukcija podataka za analizu (4%);
4. Šifrovanje (4%);
5. Veliki kapacitet diskova/par
cija (4%);
6. Osposobljenost za analizu (4%).
Perspek
vna forenzika tehnika za poveanje ukupne efek
vnos
i ekasnos
forenzike istrage je transparentna metodologija za selekvnu akviziciju, koja
omoguava ukupno smanjenje vremena potrebnog za akviziciju i analizu podataka, pomeranjem procesa ltracije sa procesa analize na sakupljanje (akviziciju) podataka. Ovo
ltriranje je ve delimino izvršeno u zikoj forenzikoj istrazi i otkrivanju e-dokaza upada u sistem. Ovaj nain sakupljanja podataka e znaajno promeni
tekue forenzike
tehnike, kada vreme i troškovi forenzikih resursa postanu preveliki za upravljanje.
37 h'p://starlight.pnl.gov
148 I J Bitan razlog za pomeranje fokusa metodologije akvizicije podataka je i injenica
da uzimanje zike slike (imidža) diskova sve više postaje legalni i nansijski rizik. Cilj
tekuih istraživanja je da se formalizuje jedna apstraktna metodologija koju može koris
celokupna forenzika zajednica u svetu. Ova bi metodologija ukljuivala iden
kaciju dokaza na mestu krivinog dela kompjuterskog kriminala i selek
vnu ekstrakciju iz
ak
vnih („živih“) i sta
kih (iskljuenih) raunarskih sistema, dok je proces uzimanje
imidža i analiza potskupa informacija rezervisan samo za specine situacije. Mogu
je legalni problem u ovoj metodologiji gde odbrana može tvrdi
da su propušteni potencijalno oslobaajui (exculpatory) dokazi. Nova metodologija može koris
analogiju modela e-otkrivanja koristei rentabilan okvir i koncept „slinos
“ heš vrednos
pozna
h fajlova sistemskih i aplika
vnih programa sa ispi
vanim fajlovima.
3.4 PROCES FORENZIKE ANALIZE VRSTOG DISKA
Poznato je da su gotovo sva forenzika ispi
vanja raunarskih medija meusobno
razliita i da se svaki ne može vodi
na is
nain zbog brojnih razloga. Ovu proceduru
forenzikog ispi
vanja vrstog diska preporuuje meunarodna asocijacija specijalista
za istragu kompjuterskih dokaza – IACIS (Internaonal Associaon of Computer Invesgaon Specialist) sa ciljem da promoviše i standardizuje proces forenzike akvizicije i
analize (ispi
vanje) kompjuterskih digitalnih dokaza.
• Glavni zahtevi za digitalnu forenziku akviziciju i analizu:
• Moraju se koris
forenziki sterilni mediji za ispi
vanje.
• Ispi
vanje mora sauva
integritet originalnih medija.
• Štampani materijal, kopije podataka i drugi artefak
koji su rezultat ispi
vanja
moraju bi
propisno oznaeni, kontrolisani i prenošeni.
3.4.1 Tok procesa digitalne forenzike analize
Dijagrami toka procesa digitalne forenzike analize prikazani su na slici 3.4.
> @Y\ 149
150 I J > @Y\ 151
Slika 3.4 Tok procesa digitalne forenzike analize
Dokumentacija procesa digitalne forenzika analize vodi se u listama prikazanim u
tabeli 3.3.
152 I J Tabela 3.3 Primeri dokumentovanja procesa digitalne forenzike analize
Lista vodeih podataka za istragu
Vodei podaci za istragu
Primedbe/zabeleške/poruke
Generalno ovo ukljuuje otvaranje fajla sluaja u
izabranom alatu i unos forenzikog imidža u fajl. Ovo
može takoe ukljui
re-kreiranje mrežnog okruženja
ili baze podataka za simulaciju originalnog okruženja.
Ova se sekcija koris
po potrebi:
Primeri vodeih podataka za istragu:
• Iden
kacija i ekstrakcija svih e-mail poruka i
izbrisanih fajlova
• Pretraga medija za dokaze deije pornograje
• Kongurisanje i uitavanje imidža baze podataka za data minig
• Oporavak svih izbrisanih fajlova i indeksa diskova/par
cija za reviziju od strane forenziara
na sluaju
Primer zabeleške:
• Obavezno no
ra
ime
forenziara na sluaju klada
se istraga/ispi
vanje završi
Lista ekstrahovanih podataka
Pripremljeni/ekstrahovani podaci
Primedbe/zabeleške/poruke
Lista pripremljenih/ekstrahovanih podataka je lista
stavki koje su pripremljene ili ekstrahovane za iden
kaciju dokazujuih podataka za forenziki sluaj/
zahtev.
Ova se sekcija koris
po potrebi:
Primeri pripremljenih/ekstrahovanih podataka:
• Imidž HD procesiran pomou FTK ili EnCase
forenzikog alata za trijažu podataka od strane
forenziara istrage
• Eksportovani fajlovi registara i instaliran alat
Registry viewer za forenziku analizu registara
• Uitani fajlovi imidža baze podataka na DB
server i spremni za istraživanje podataka (data
minig)
• Oporavak svih izbrisanih fajlova i indeksa diskova/par
cija za reviziju od strane forenziara
na sluaju
Primer zabeleške:
• Brojni fajlovi locirani u c:\
movies direktorijumu imaju
.avi ekstenziju, a u stvari su
Excel tabele.
> @Y\ 153
Lista relevantnih podataka
Relevantni podaci
Primedbe/zabeleške/poruke
relevantnih podataka je lista podataka koji su relevantni za forenziki sluaj/zahtev.
Ova se sekcija koris
po potrebi:
Primer relevantnih podataka:
• Ako forenziki sluaj otkriva podatke o falsikovanju i prevari sa kreditnim kar
cama, svi
podaci koji se odnose na brojeve kreditnih
kar
ca, slike, e-mail diskusije o izradi kreditnih
kar
ca, vreme i datum pretrage za programima za izradu brojeva kreditnih kar
ca,
relevantni su podaci za sluaj
Primer zabeleške:
• Prilog u Outlook
.pst>poruka5 ima virus u
sebi. Proverite sa AVP pre
slanja ili otvaranja poruke
• Iden
kovano i oporavljeno
12 e-mail poruka koje detaljno opisuju plan izvršenja
krivinog dela kompjuterskog kriminala
Lista novih izvora vodeih podataka
Novi izvori vodeih podataka
Primedbe/zabeleške/poruke
Lista novih izvora vodeih podataka je lista podataka
koje treba izvui za korabora
vnu potvrdu postojeih
dokaza ili dalju istragu.
Ova se sekcija koris
po potrebi:
Primer zabeleške:
• U toku forenzike analize HD subjekta . {ora
osumnjienog za prevare
sa kreditnim kar
cama, otkrivena je e-mail poruka da
je . {ore tražio od B. . da
se isplata izvrši sa mašine za
štampanje kreditnih kar
ca.
Primeri novih izvora vodeih podataka:
• E-mail adresa: [email protected]
• Log fajlovi sa FTP servera
• Pretplatnika informacija za neku IP adresu
• Log informacije za transakciju iz servera
Analiza rezultata
Analiza rezultata
Komentari/zabeleške/poruke
Lista znaajnih podataka koji daju odgovore na
forenzika pitanja: ko, šta, kada, gde i kako?
Primer rezultata analize:
• 1. \Windows\$NtUninstallKB887472$\10dat
Ova se sekcija koris
po potrebi
Primer zabeleške:
1. 10.data, 5 e-mail poruka i
stegano.exe pokazuju da
osumnjieni koris
steganografski alat da sakrije
10$ sliku u 10.dat u 11.03h,
1/04/09 i da je poslao licu …
u 11.10h 1/05/09
\data\sendbox.dbx\message5.eml
\Special Tools\stegano.exe
• 3. 1/04/09 1/05/09 - modikovana i poslata
slika licu X.Y.
154 I J 3.4.2 IACIS procedura kompletnog ispivanja vrstog diska
1. Uspostavi
forenziki sterilne uslove. Sveže pripremi
sve korišene medijume u toku procesa ispi
vanja, potpuno izbrisa
m(prepisivanjem) sve
nebitne podatke, skenira
na viruse i verikova
pre svake upotrebe.
2. Koris
samo licencirane sovere ili autorizovane za upotrebu od strane
ovlašenog forenziara ili zvanine državne agencije.
3. Fiziki ispita
originalni raunar, napravi
specine zabeleške i opisa
hardver. U komentarima naves
sve ono što je otkriveno neuobiajeno u zikom
ispi
vanju raunara.
4. Preduze
sve hardversko/soverske mere predostrožnos
u toku svakog
pristupa ili kopiranja originalnih medija, da se sprei prenošenje virusa,
destruk
vnih programa ili drugih nepotrebnih zapisa na/sa originalnih medija. Poznato je da zbog ogranienja hardvera i opera
vnog sistema ovo uvek
nee bi
mogue.
5. Proveri
sadržaj CMOS, kao i internog takta i registrova
korektnost datuma i
vremena. Vreme i datum internog takta je esto vrlo znaajno za utvrivanje
vremena i datuma kreiranja i modikacije ispi
vanog fajla.
6. Napravi
bit-po-bit (ziku, miror, imidž) kopiju originalnog diska, pošto se
originalni mediji obino ne koriste za stvarno ispi
vanje. Detaljno dokumentova
i opisa
proces kopiranja i iden
kacije hardvera, sovera i medija.
7. Ispita
logike par
cije kopije (klona ili imidža) originalnog vrstog diska, dokumentova
i opisa
šta je otkriveno.
8. Ispita
i dokumentova
podatke iz but rekorda, korisniki denisane konguracije sistema i fajlova opera
vnih komandi kao što su CONFIG.SYS i AUTOEXEC.BAT u FAT faj sistemima.
9. Restaurira
sve izbrisane fajlove koji se mogu oporavi
. Gde je prak
no i
mogue sve prve karaktere restauriranih fajlova promeni
sa HEX E5 u, na
primer, „-„ ili neko jedinstven karakter, za iden
kacione potrebe.
10.Napravi
spisak (lis
ng) svih fajlova, koje sadrži ispi
vani medijum, bez obzira
da li sadrži potencijalne dokaze ili ne.
11.Ako je pogodno (nije prevelika koliina materijala, nema vremenskih i drugih
ogranienja) ispita
fajl slack prostore svakog fajla na izgubljene ili skrivene
podatke.
12. Ako je pogodno (nije prevelika koliina materijala, nema vremenskih i drugih
ogranienja) ispita
sve nealocirane prostore svakog fajla na prisustvo izgubljenih ili skrivene podatke.
13.Ispita
sadržaje svakog fajla korisnikih podataka u rut direktorijumu i svakom folderu (ako postoji).
> @Y\ 155
14.Otvori
i ispita
sve fajlove zaš
ene lozinkom.
15.Za sve odgovarajue dokazujue digitalne podatke obezbedi
elektronsku ili
štampanu kopiju. Na svakom materijalu (štampanom, elektronskom) oznai
fajl u kome se nalaze dokazujui podaci. Oznai
sve materijalne dokaze,
sekvencijalno numerisa
i propisno obezbedi
i prenosi
.
16.Ispita
sve izvršne programe (executables) od specinog interesa. Fajlovi
korisnikih podataka kojima se ne može pristupi
na drugi nain treba ispita
ovaj put koristei prirodne aplikacije ispi
vanog raunara.
17.Propisno dokumentova
sve komentare i nalaze.
156 I J REZIME
Forenzika analiza digitalnih podataka, prema izvoru podataka, generalno se
deli na forenziku analizu sovera, raunara i kibernekog prostora i raunarske
mreže.
Analiza sovera je najosetljiviji, uglavnom visoko teoretski deo digitalne forenzike analize, a izrada soverskih alata za forenziku analizu sovera je težak i
složen posao. Klju za iden
kaciju autora malicioznog kôda je u selekciji odgovarajueg korpusa kôda i iden
kaciji odgovarajuih karaktersi
ka za uporeivanje.
Forenzika analiza raunara, najobimniji deo digitalne forenzike, je aplikacija ispi
vanja raunara i tehnika analize u cilju odreivanja potencijalno legalnih dokaza,
generisanih, ili uskladištenih u raunaru. U sluaju virtuelnih mašina na osumnjienom raunaru, iskustva iz forenzike prakse pokazala su ogranienja virtuelnog
okruženja (VMWare, 2007), kao i da se klasian metod akvizicije i analize digitalnih
podataka ne može automatski primeni
. Predložen je novi pristup u kojem se konvencionalno i virtuelno okruženje procesiraju nezavisno ime se skrauje vreme
analize i može se koris
manje kvalikovano osoblje za forenziku analizu.
Forenzika analizu kibernekog prostora je najkompleksnija oblast digitalne
forenzike i može bi
veoma spor proces. Osnovni zahtevi su uspostavljanje legalne
saradnje država i usklaivanje standarda kvaliteta – pretrage, akvizicije, analize,
prezentacije i upravljanja digitalnim dokazima. Za hvatanje napadaa sa Interneta
i praenje ak
vnos
na napadnutom sistemu, važno je obezbedi
što više podataka o online logovanju. Ako se napad ponavlja mogu se svi ovi podaci uhva
sa mrežnim skenerom (sniferom). Kako postoje ekasni hakerski ala
za izmenu
log fajla, preduzima se tehnika mul
plika
vne analize log fajlova iz više mrežnih
ureaja u cilju otkrivanja razlika u vremenskoj liniji zapisa u log fajlovima i stvarnih
dogoaja.
Slojevi apstrakcije raunarskog sistema koriste se za analizu velike koliine podataka u mnogo lakše upravljanom formatu i za izradu forenzikih alata za apstrakcioni sloj, na primer ASCII. Svaki sloj apstrakcije može une
grešku implementacije
forenzikog alata i grešku sloja apstrakcije. Margina greške je izlazna vrednost svakog sloja apstrakcije. Generalno, greške koje unose slojevi apstrakcije rezultat su
zbirnih grešaka koje unosi svaki sloj apstrakcije. Problem se rešava proraunom
margine greške za svaki sloj i uraunavanjem ove greške u analizi rezul
rajuih
podataka. Digitalni forenziki ala
za svaki sloj apstrakcije mogu se svrsta
u kategoriju translacionih alata, za prevoenje sa jednog sloja apstrakcije na drugi, ili
prezentacionih alata, za prikazivanje podataka na pogodan nain za forenziara.
Ova dva pa alata ne treba razdvaja
i u veini sluajeva nisu razdvojeni u savremenim ala
ma (FTK, EnCase, iLook itd.). Osnovni zahtevi za alate za digitalnu forenziku analizu su korisnost, sveobuhvatnost, odreenost, poverljivost i zaštu od
upisivanja.
> @Y\ 157
Sa aspekta apstrakcionih slojeva, kompjuterska forenzika obuhvata analizu zikih medija, menadžmenta medija, sistema fajlova i aplikavnog sloja apstrakcije raunarskog sistema; predstavlja analizu ostataka kompjuterskog incidenta
korumpiranog raunara, pomou skupa tehnika analognih patološkom ispi
vanju
leša ubijenog, a vrši se za pravosudne potrebe radi otkrivanja dokaza u sluajevima
krivinog dela kompjuterskog kriminala, povrede korporacijske poli
ke zaš
te informacija i prikupljanja obaveštajnih podataka putem IKT sistema. Digitalni forenziki ala
za svaki sloj apstrakcije mogu se svrsta
u kategoriju translacionih alata,
za prevoenje sa jednog sloja apstrakcije na drugi, ili prezentacionih alata, za prikazivanje podataka na pogodan nain za forenziara. Ova dva pa alata ne treba
razdvaja
i u veini sluajeva nisu razdvojeni u savremenim ala
ma (FTK, EnCase,
iLook itd.). Osnovni zahtevi za alate za digitalnu forenziku analizu su korisnost,
sveobuhvatnost, odreenost, poverljivost i zaštu od upisivanja.
Na proces digitalne forenzike analize mogu u
ca
razne an
forenzike ak
vnos
, od kojih se naješe susreu: preimenovanje fajla (21%), šifrovanje (19%),
steganograja (12%), rutkitovi (9%), fajl sistem (5%), prenosni medij (5%). Za estu
odbranu osumnjienog pred sudom da mu je raunar kompromitovan i da on nije
poinio krivino delo (tzv. „odbrana Trojancem“), mogu se koris
forenziki ala
koji vrše kompara
vnu analizu sadržaja.
Proces digitalne forenzike analize obuhvata tri kljune faze: pripremu i ekstrakciju podataka, iden
kaciju relevantnih podataka i analizu i izgradnju vrstog
digitalnog dokaza. Sve ak
vnos
analize dokumentuju se za potrebe forenzikog
izveštavanja i prezentacije dokaza.
158 I J PITANJA ZA PONAVLJANJE
1.
2.
3.
4.
Denišite pojam kompromitovanog raunara.
Koje su tri glavne oblas
forenzike analize digitalnih podataka?
Zašto je forenzika analiza sovera najzahtevniji i najkompleksniji zadatak?
Navedite neka kljuna pitanja koja forenziar mora razmatra
u proceduri
otkrivanja traga napadau sa Interneta.
5. Navedite dva osnovna pa grešaka koje mogu une
slojevi apstrakcije.
6. U koje dve osnovne kategorije mogu da se svrstaju digitalni forenziki ala
za
svaki sloj apstrakcije?
7. Navedite šest osnovnih zahteva za alate za digitalnu forenziku analizu.
8. Koliko slojeva apstrakcije ima FAT fajl sistem?
9. Šta predstavlja etvr
sloj apstrakcije FAT fajl sistema?
10.Kako se može denisa
kompjuterska forenzika sa aspekta apstrakcionih
slojeva?
11.Koja e
ri glavna apstrakciona sloja raunarskog sistema obuhvata kompjuterska forenzika analiza?
> @Y\ 159
4.FORENZIKI ALATI
4.1 RAZVOJ FORENZIKI ALATA
Evolucija alata za digitalnu forenziku istragu - akviziciju i analizu, [27]:
• Prvi ala
su malo pomagali u ispi
vanju privremeno oduze
h raunara i to na
nivou heksadecimalnog zapisa;
• U 1990-
m na raspolaganju su specijalizovani forenziki ala
:
- DD (Unix) za kopiranje i konverziju sirovih digitalnih podataka na niskom
nivou;
- Safeback za uzimanje imidža diska, razvijen za IRS;
- EnCase, set forenzikih alata sa GUI i interfejsom komandne linije;
- Sleuthkit kolekcija alata baziranih na Unix i Windows plaormama
• Mrežni ala
, ali ne specino za digitalnu forenziku u periodu od 2002-2003:
- Carnivore38 (FBI) korisniki prilagodljiv snifer paketa koji može monitorisa
sav Internet saobraaj ciljnog korisnika);
- Carnivore i nova verzija DCS-1000, nisu korišeni u FBI. FBI je koris
o nepozna
komercijalni proizvod za nadgledanje Interneta 30 puta u istragama
u tom periodu.
• Glavni problemi sa forenzikim ala
ma su:
- bagovi u soveru,
- promene u OS i hardveru raunara,
- kompleksnost,
- nedostatak standarda i razvoj standarda,
- ala
sa otvorenim izvornim kodom,
- poelo tes
ranje forenzikih alata.
• Istraživanje i iskustva iz prakse potvrdila su da su najvei nedostaci savremenih forenzikih alata:
- bagovi (15%),
- nedostatak standarda (10%),
- interoperabilnost (8%),
- automa
zacija (6%) i
- formalno tes
ranje (4%).
38 Carnivore soware, h'p://www.securityfocus.com/news/10307).
160 I J 4.2 OPTE KARAKTERISTIKE
Za opremanje digitalne forenzike laboratorije za terenske i stacionarne uslove
rada, treba odredi
koji su ala
najeksibilniji, najpouzdaniji i najrentabilniji za obavljanje poslova forenzike akvizcije i analize digitalnih dokaza. edan od zahteva je da
soverski forenziki ala
moraju bi
kompa
bilni najmanje sa sledeom generacijom
OS. Na primer, uvoenjem NTFS faj sistema u Windows NT OS, forenziari su imali
velike probleme zbog slabog poznavanja strukture i funkcionalnos
NTFS fajl sistema.
Proizvoai forenzikih soverskih alata morali su revidira
svoje alate za analizu novog fajl sistema, [28].
Uspostavljanje i održavanje digitalne forenzike laboratorije ukjluuje i formiranje
sofverske biblioteke – repozitorijuma, koji sadrži sve starije verzije forenzikih alata,
OS i drugih programa, kao što su stare verzije Windows i Linux OS. Ako nova verzija
forenzikog sofverskog alata ksira jedan bag, ali unese drugi, forenziar može koris
prethodnu stabilni (ksiranu) verziju istog alata.
Za digitalnu forenziku akviziciju i analizu potrebno je obezbedi
adekvatne forenzike hardverske i soverske alate - specine forenzike alate, ili soverski set alata,
koji obezbeuje izvršavanje nekoliko zadataka istovremeno. Sa setom forenzikih alata
forenziar može po potrebi koris
t alate sa komandnom linijom, ili GUI interfejsom.
Primer kolekcije forenzikih alata može se nai na [email protected] Sleuth Kit (TASK),
gde je na raspolaganju besplatan alat IBM Public Licence Version 1.0, baziran na starom alatu The Coroners Toolkit (TCT), prvom setu alata na raspolaganju forenziarima.
Ovaj set alata se delimino sastoji od komandne linije Unix komandi, kao što je fajl koji
pokušava da odredi vrstu fajla na bazi inicijalnog dela fajla (hedera), [7].
Kod nabavke forenzikog alata uvek treba ima
na umu vrste fajlova i podataka,
koje alat treba da analizira. Uvek se preporuuje namenski alat specijalizovan za odreenu vrstu podataka, na primer, za MS Access bazu ili e-mail poruke, pre nego neki
univerzalni alat koji izmeu ostalog analizira i ove podatke, zato što su strogo namenski ala
pouzdaniji za tu konkretnu funkciju. Sa druge strane, forenziar koji poseduje
višenamenski skup alata, na primer pa FTK, koji omoguava obavljanje više razlii
h
zadataka forenzike istrage, može brže i konfornije sa jednim alatom završi
sve raznovrsne zadatke. Razumno rešenje je da forenziar za terenski rad obezbedi rentabilan
skup alata koji izvršava što vei broj pinih forenzikih zadataka, sa odreenim specijalizovanim ala
ma koji brže i tanije izvršavaju datu funkciju. Pre nabavke forenzikog
sovera i donošenja odluke, treba evaluira
najmanje sledee karakteris
ke potencijalnih alata, [6]:
• OS na kojem forenziki alat radi,
• mogunost rada verzije alata na jednom ili više OS i da li proizvode iste rezultate u višenamenskom radu,
• mogunost analize više fajl sistema kao što su FAT, NTFS, Ex2fs,
> @Y\ 161
• mogunost korišenja nekog programskog alata za automa
zaciju funkcija i
zadataka koji se u alatu ponavljaju,
• mogunost automa
zovanog obavljanja nekih funkcija, koje mogu smanji
vreme analize podataka,
• reputaciju proizvoaa alata i dr.
4.2.1 Tehnike i ala za akviziciju digitalnih podataka
Akvizicija digitalnih podataka prvi je zadatak u forenzikoj istrazi raunara i podrazumeva pravljenje zike kopije bit-po-bit originalnog (osumnjienog, ispi
vanog) diska
raunara. Ova procedura spreava korupciju i ošteenje digitalnih podatataka na originalnom disku. Generalno, ala
za akvizicija digitalnih podataka, vrše sledee funkcije,
[5], [28]:
• kopiranje podataka sa zikog diska,
• kopiranje podataka sa logikog diska/par
cija,
• forma
ranje akvizicijskih podataka,
• akvizija komandnom linijom,
• akvizicija sa GUI ala
ma,
• udaljena akvizicija i
• verikacija.
Za akviziciju podataka bit-po-bit sa originalnog na forenziki disk postoje hardverski
i soverski forenziki ala
. Primeri hardverskih alata za uzimanje zike slike raunara
su: Image MaSSter Solo 2 Forensic komponenta sa rmware programom (Intelligence
Computer Soluons Inc.) koji može samostalno kopira
podatke sa originalnog na
forenziki disk. Druge aplikacije za akviziciju digitalnih podataka zahtevaju kombinaciju
hardverskih i soverskih komponen
. Na primer, EnCase alat ima za akviziciju digitalnih podataka DOS program En.exe i jednu funkciju u svojoj GUI Windows aplikaciji.
Za akviziciju podataka sa En.exe programom zahteva se da raunar radi sa MS-DOS
opera
vnim sistemom (OS), da ima 12 V konektor za napajanje i IDE ili SCSI kabl za
povezivanje. Windows aplikacija EnCase alata zahteva upotrebu hardverskog blokatora
upisivanja podataka na originalni disk, kao što je FastBloc za spreavanje Windows OS
da pristupi i korumpira originalni disk u procesu akvizicije.
U procesu akvizicije podataka soverskim ala
ma postoje dva metoda kopiranja:
• ziko kopiranje celog zikog diska i
• logiko kopiranje par
cija diska.
Veina soverskih alata za akviziciju ukljuuje jednu ili obe ove funkcije. Forma
koji su na raspolaganju za akviziciju diskova variraju od potpuno sirovih podataka u
binarnom zapisu do kompresovanih podataka specinih za proizvode. Sirovi podaci
162 I J su direktna kopija diska. Primer imidža sirovih podataka je izlaz UNIX i Linux šel DD
komandne linije. Primer formata sirovih podataka je jednostavna bit-po-bit kopija fajla
podataka, par
cije diska, ili celog diska. Alat za akviziciju sirovih podataka može kopira
podatke sa jednog diska na drugi disk, ili u jedan ili više segmen
ranih fajlova podataka.
Pošto je ovo zaista neizmenjena kopija, forenziar može gleda
sadržaj sirovih podataka imidža fajla sa heksadecimalnim editorom kao što su exWorkshop ili Winex. Heksadecimalni editori, pozna
ji kao diskeditori, kao što je Northon DiskEdit, obezbeuju
itanje podataka u heksadecimalnom zapisu i otvorenom tekstu, (slika 4.1)
Slika 4.1 Primer prozora u WinHex alatu Northon Commander-a
Veina alata za akviziciju može pravi
manje segmen
rane fajlove. Ovakvi ala
su na
primer SafeBack (NTI), X-Ways’ Replica i EnCase. Namena uzimanja segmen
ranih podataka sa diska je da se smanji ukupan obim i da se forenziki relevantni podaci mogu
skladiš
na mnje forenzike medijume, kao što su CD-ROM ili DVD-ROM.
Vendorski specikovani forma
nalaze se u ala
ma kao što su: EnCase, SafeBAck,
ASR Data SMART, X-Ways, Winex Forensic i Replika; forenziki ala
za uzimanje
imidža diska pa FRED (DII) i SavePort komanda Drive Spy alata. Neki od ovih alata
mogu napravi
bit-po-bit imidž fajlova sa kompresovanim ili nekompresovanim podacima. Kompresija imidža podataka može znaajno smanji
protreban kapacitet
forenzikog diska (do 50%). Na primer, podaci sa 30GB HD mogu se kompresova
na
HD od 16 ili 17GB. Ako su originalni podaci ve kompresovani (npr., ZIP, PEG ili GIF fajlovi), forenziki ala
ih više ne mogu kompresova
.
> @Y\ 163
Neki savremeni forenziki ala
mogu izvrši
akviziciju podataka sa ak
vnog
raunarskog sistema (u radu), udaljenim pristupom preko raunarske mreže i transportova
ih u forenziki server zaš
enim kanalom.
Svi savremeni forenziki ala
obezbeuju metod za verikaciju tanos
procesa
kopiranja podataka sa originalnog na forenziki disk. Na primer, EnCase alat zahteva
od forenziara da uzme MD5 ili SHA1 heš vrednost podataka sakupljenih u procesu
akvizicije, dok SafeBack uzima SHA 256 heš vrednost, a hardverski alat Image MaSStar
Solo uzima CRC 32 vrednost za zaš
tu integriteta imidžovanih podataka.
4.2.2 Validacija i diskriminacija podataka
Validacija i diskriminacija podataka elementarni su procesi u radu sa digitalnim podacima. Osnovne funkcije procesa validacije i diskriminacije podataka su, [29]:
• heširanje,
• ltracija i
• analiza hedera fajlova.
Proces validacije obezbeuje integritet kopiranih podataka i omoguava njihovu
diskriminaciju na dokazujue i nedokazujue podatke. Validacija podataka obezbeuje
se uzimanjem heš vrednos
(sažetka) sa nekim od raspoloživih algoritama, kao što su
CRC 32, MD5, SHA 1, SHA 256, SHA 384 ili SHA 512. Ova funkcija uzimanja heš vrednos
kopiranih imidž podataka standardna je karakteris
ka gotovo svih savremenih
forenzikih alata. Preporuuje se uzimanje heš vrednos
celog diska, kao i svakog fajla
na disku. Takve heš vrednos
su jedinstvene vrednos
podataka, kao o
sak prsta za
oveka i obezbeuju integritet podataka od prvog uzimanja heš vrednos
.
Proces diskriminacije, ukljuujui sor
ranje, pretraživanje i analizu svih ispi
vanih
digitalnih podataka, obezbeuje izgradnju vrs
h digitalnih dokaza. Namenjen je za
ltriranje - uklanjanje standardnih dobrih podataka od sumnjivih podataka. U dobre
podatke spadaju pozna
fajlovi kao što su sistemski (OS) i uobiajenih aplika
vnih programa (MS Word, Adobe i slika). Veina forenzikih alata obezbeuje tri metoda diskriminacije podataka:
• Nekoliko soverskih forenzikih alata mogu integrisa
skup heš vrednos
pozna
h fajlova. Ovi ala
uporeuju poznate fajlove sa is
m na osumnjienom
disku i ako se ne poklapaju upozoravaju forenziara da je fajl sumnjiv. Na ovaj
nain alat može znaajno smanji
koliinu podataka za analizu i izvlaenje
dokaza. Izmenjeni fajl sa velikom veovatnoom sadrži skriveni ilegalni podatak (sliku) ili maliciozni kod.
• Drugi metod za diskriminaciju podataka je analiza i verikacija informacija iz
hedera svih pova pozna
h fajlova. Na primer oznaka FIF ugraena je ispred
svih PEG fajlova.
• Trea grupa alata omoguava dodavanje jedinstvenih heš vrednos
podataka
hedera u bazu podataka alata, što poboljšava funkciju diskriminacije u fazi
164 I J analize. Pretraživanjem i uporeivanjem heš vrednos
hedera alata mogu se
locira
fajlovi koji su namerno izmenjeni ili zaraženi malicioznim programima.
Ova funkcija može se koris
i za lociranje skrivenih fajlova na disku/par
ciji.
4.2.3 Ekstrakcija digitalnih podataka
Ekstrakcija digitalnih podataka sa forenzikim ala
ma ima zadatak oporavka podataka u forenzikoj istrazi i zahtevniji je za upravljanje od svih ostalih funkcija alata.
Oporavak podataka je prvi korak u fazi analize ispivanih digitalnih podataka. Proces
ekstrakcije digitalnih podataka obuhvata više koraka, [29]:
• pregled i opservacija podataka,
• pretraživanje sa kljunom rei,
• rekonstrukcija podataka iz fragmenata izbrisanog fajla,
• dešifrovanje šifrovanih fajlova podataka i
• oznaavanje (markiranje) digitalnih dokaza.
Pregled i opservacija podataka: Veina forenzikih alata obezbeuje funkciju posmatranja podataka, a kako se i u kojem formatu podaci vide, zavisi od alata. Forenziki
alat Drive Spy (DII- Digital Intelligence Inc.), na primer, obezbeuje gledanje logike
par
cije osumnjienog diska i heksadecimalnog zapisa podataka u klasterima i sektorima diska. Ala
kao što su FTK, EnCase, Smart iLook, ProDiscover i dr. nude nekoliko razlii
h naina pregleda i posmatranja podataka, ukljuujui posmatranje logike
strukture fajlova i foldera (direktorijuma) na disku. Ovi ala
, takoe, pokazuju alocirane
(dodeljene) klastere sa podacima fajlova i nealocirane (nedodeljene) oblas
diska.
Posmatranje podataka u njihovom normalnom (prirodnom) formatu, znatno olakšava
analizu i donošenje zakljuaka relevantnih za istragu.
Pretraživanje po kljunoj rei uobiajeni je zadatak u ispi
vanju raunara. Ovim se
oporavljaju kljuni podaci. Kljunu re u istrazi odreuje forenziar na bazi raspoloživih
podataka o karakteru krivinog dela kompjuterskog kriminala, dobijenih u fazo
predistražnog postupka. Standardni pretraživai na bazi kljune rei obino generišu
suviše informacija, pa je potrebno ispita
da li forenziki alat dopušta kombinaciju
kljunih rei, što znatno skrauje vreme pretraživanja. Takoe, treba ispita
da li su
ala
selek
vni u izboru pa pretraživanih podataka, na primer, samo za e-mail poruke.
Neki forenziki ala
vrše indeksiranje svih rei na disku, kao na primer, FTK alat koji
koris
binarno indeksiranje (pravi tzv. b-stablo) sa dtSearch funkcijom. Ova funkcija
obezbeuje trenutno pronalaženje kljune rei i znatno ubrzava proces analize.
Dekompresija podataka: FTK alat takoe može dekompresova
arhivirane fajlove,
kao što su ZIP, MS PST i OST e-mail folderi i indeksira
njihov sadržaj. Drugi alat – iLook
ima ograniene kapacitete za indeksiranje i nudi samo nekoliko kljunih rei od interesa
za pretraživanje. I ovaj alat kreira fajl b-stabla indeksa koji se može gleda
po komple
ranju pretraživanja sa kljunom rei.
> @Y\ 165
Rekonstrukcija fragmenata fajlova izbrisanih sa osumnjienog diska (USA, carving;
eng. salvaging) znaajan je deo procesa forenzike istrage. Ekstrakcija podataka iz nealociranih prostora diska postala je uobiajen zadatak za forenziara. Lociranje informacija hedera fajla deo je ovog procesa. Veina alata analizira nealocirane prostore diska ili
imidža diska, locirajui fragmente, ili cele strukture fajlova koje se mogu rekonstruisa
i kopira
u novi fajl. Drive Spy alat može locira
podatke, ali zahteva mnogo manuelnog rada i metoda za kopiranje klastera u novi fajl. Napredniji ala
, kao što su EnCase,
FTK, ProDiscover, iLook i drugi GUI pa ala
, imaju ugraene funkcije koje automatski
rekonstruišu fragmen
rane podatke. Data Lier i Davory ala
specino su dizajnirani da rekonstruišu fajlove pozna
h podataka iz eksportovanog nealociranog prostora
diska. Data Lier ima interak
vne funkcije koje omoguavaju da forenziar doda druge
jedinstvene vrednos
podataka hedera u referentnu bazu alata.
Dešifrovanje šifrovanih fajlova podataka glavni je izazov za forenziara u ispi
vanju
raunara, pored analize i oporavka podataka. Šifrovan može bi
ceo disk, par
cija diska ili individualna poruka. Veina e-mail servisa, kao MS Outlook, obezbeuje zaš
tu
šifrovanjem PST foldera ili individualnih poruka. Mehanizmi za šifrovanje rangiraju od
specinih za odreenu plaormu – EFS u MS Wdows XP OS do TTPS (Trusted Third Party Service) provajdra proizvoda zaš
te – PGP ili GnuPG. Sa aspekta forenziara, šifrovani
fajlovi i sistemi su problem. Mnogi forenziki ala
pa FTK za oporavak lozinke mogu
generisa
potencijalnu listu za napad renikom na lozinku. Postoji izvesna šansa da je
lozinka upisana u privremeni (temporary) fajl, ili sistemski fajl na osumnjienom disku,
kao što je Pagele.sys. FTK alat generiše listu lozinki i šalje je u AD Password Recovery
Toolkit (PRTK) renik. PRTK prvo otvara listu renika lozinki za šifrovane fajlove. Ako
ovaj napad ne uspe ostaje kriptoanali
ki napad brutalnom silom, koji zahteva veliku
raunarsku mo i višeprocesorske mašine.
Oznaavanje (indeksiranje) digitalnih dokaza vrši se posle lociranja podataka –
glavnog zadatka u ispi
vanju raunara. Cilj oznaavanja podataka je da se forenziar
može po potrebi pozva
na oznaene podatke. Veina forenzikih alata koriste funkciju
oznaavanja digitalnih podataka za ubacivanje liste indeksiranih podataka u generator
za izveštavanje, koji proizvodi tehniki izveštaj o nalazima ispi
vanja raunara. Primer
jednostavnog generatora za izveštavanje je log fajl kojeg kreira Drive Spy alat. Pošto
je ovo alat komandne linije šel pa, on može memorisa
kljune rei za pretraživanje
sa ekrana, ali ako se koris
Output komanda Drive Spy kopira izlaz ekrana generisan
funkcijom traženja kljune rei u log fajl. Za posmatranje i analizu rezultata pretraživanja
po kljunoj rei, treba ih izvui iz Drive Spy alata i otvori
log fajl editorom teksta.
Forenziki ala
GUI pa, kao što su FTK, iLook, ProDiscover ili EnCase imaju opciju
oznaavanja digitalnih dokaza koje forenziar iden
kuje. Kada se podigne generator
za izveštavanje u FTK ili EnCase alatu, iden
katori (oznake) digitalnih dokaza se unose
u izveštaj. FTK i iLook generišu izveštaj u HTML formatu koji se može ita
u bilo kojem
web pretraživau. EnCase generiše izveštaj u RTF formatu dokumenta i može se ita
u veini word procesora.
166 I J 4.2.4 Rekonstrukcija osumnjienog diska
Ova funkcija u forenzikim ala
ma namenjena je da se regeneriše (re-kreira, ili
rekonstruiše) osumnjieni disk, što se pino radi sa zikog duplikata osumnjienog
HD. Prvi razlog za rekonstrukciju dogaaja na osumnjienom raunaru je da po zahtevu
suda forenziar može podii osumnjieni raunar i pokaza
šta se dogodilo u toku
kompjuterskog incidenta, ili krivinog dela. Drugi razlog za dupliranje osumnjienog diska je da se napravi iden
na kopija za potrebe drugih forenziara-odbrane, veštaenja.
Ako je zika kopija osumnjienog raunarskog sistema uzeta prema propisanoj proceduri akvizicije i sa prihvatljivim i pouzdanim forenzikim alatom, ta imidž kopija (duplikat) uobiajeno se smatra originalom osumnjienog raunara. Kopirani forenziki disk
je tani bit-po-bit duplikat osumnjienog originalnog diska. Osnovne funkcije u procesu
rekonstrukcije osumnjienog diska mogu bi
, [29]:
• kopiranje sa diska na disk,
• kopiranje sa zikog imidža na disk,
• kopiranje par
cije na par
ciju i
• kopiranje imidža par
cije na par
ciju.
Postoji nekoliko naina za rekonstrukciju forenzike bit-po-bit kopije osumnjienog
diska. Pod idealnim uslovima najbolji metod forenzikog dupliranja diska je
obezbeivanje HD istog modela i proizvoaa kao što je originalni osumnjieni HD.
Meu
m, ako je osumnjieni HD novije generacije, nije teško pronai is
p, ali za
starije proizvode to nije uvek mogue.
Najjednostavniji metod dupliranja diska je korišenje alata koji vrši direktno kopiranje sa originalnog na forenziki disk. Na raspolaganju je više alata koji to omoguavaju, a
besplatan je Linux DD Shel alat komandne linije. Ovaj dinamini alat ima, meu
m, veliki nedostatak pri kreiranju radnog duplikata sa originalnog diska: forenziki disk mora
bi idenan originalnom disku po CHS (cilindri, sektori, tragovi) podacima. Ako nije
na raspolaganju iden
an HD, forenzika radna stanica mora omogui
da se iz BIOS-a
manipuliše sa CHS podacima da bi se uparili sa originalnim vrednos
ma. Pri tome treba zna
da rmware forenzikog diska može u
ca
na korektnost ove tehnike. Neki
ala
mogu meri
geometrijske izmene osumnjienog diska prema forenzikom HD. Za
veinu svaremenih soverskih forenzikih alata forenziki disk mora bi
najmanje jednak, ili veeg kapaciteta od imidžovanog osumnjienog diska.
Za kopiranje sa diska na disk brži su hardverski nego soverski ala
za dupliranje
diska. Sledei hardverski i soverski ala
prilagoavaju geometriju CHS forenzikog
diska prema geometriji CHS originalnog, imidžovanog diska, [29], [44]:
a. Hardverski duplikatori:
- Logicube Forensic SF-5000,
- Logicube Forensic MD5,
- Image MaSStar Solo 2 Forensic HD Duplicator.
> @Y\ 167
b. Soverski duplikatori:
- SafeBack,
- SnapCopy.
Za kopiranje sa imidža na disk i imidža na par
ciju na raspolaganje su brojni ala
, ali su
znatno sporiji u prenosu podataka. Neki ala
koji vrše kopiranje sa imidža na disk su:
- SafeBack,
- Snap Back i
- EnCase.
Sva tri alata imaju specine formate podataka koji se mogu restaurira
samo sa
istom aplikacijom koja ih je generisala. Na primer, Safe Back imidž može se restaurira
samo sa is
m alatom, ako na glavnom pretresu sudija zahteva da forenziar demonstrira kako radi raunar osumnjienog. Za ovu demonstraciju forenziar mora ima
proizvod koji zaklanja (shadows) osumnjieni disk i spreava upisivanje/izmenu podataka na njemu. Ova tehnika zahteva hardverski ureaj kao što je Shadow Drive (Voom
Technology), koji spaja osumnjieni HD na IDE port samo za itanje, a drugi HD na port
za itanje-pisanje. Ovaj HD na portu za itanje-pisanje oznaava se kao zaklonjen HD.
Kada se Shadow Drive ureaj sa ova dva HD poveže na raunar, forenziar može pristupi
i podiza
aplikaciju na osumnjienom HD. Svi podaci koji bi se normalno upisivali na
osumnjieni disk, preusmeravaju se na zaklonjeni disk.
4.2.4.1 Forenziki ala za oporavak fragmenranog fajla
Forenziki alat Scalpel39 napisan na bazi alata Foremost 0.69, namenjen je za
forenziko procesiranje i oporavak fajlova (carving) sa forenzikog imidža na bazi analize hedera i futera. Alat brzo otkriva fajlove proizvoljne veliine na mašini sa skromnim
resursima. Eksperimen
su pokazali da je ovaj alat znatno brži od drugih, na primer od
Foremost alata i nešto brži od Winex i FTK alata. Scalpel pos
že ovako visoke performanse inicijalnim skeniranjem podataka koje treba slaga
(carve) i kreiranjem indeksa
lokacija hedera i futera. Za
m alat pravi redosled rada i vrši drugo skeniranje podataka
koje treba slaga
u fajlove u skladu sa opcijama u konguracionom fajlu. Konguracioni
fajl Scalpel v. 1.53 je kompa
bilan sa is
m fajlom Foremost alatom, ali se razlikuju opcije komandnih linija:
39 Autori su Golden Richard & Roussev Vassil
168 I J Znaaj kompara
vne analize alata za oporavak fajlova (carving) iz imidža je injenica
da razlii
ala
daju znatno razliite izlaze, što ukazuje na potrebu da se uvede više
konzistentnos
u metode oporavka fajlova.
Specian forenziki alat File ound (Gillam Blair, Rogers Marc) nude besplatan,
korisniki pogodan alat za zvanine organe istrage koji omoguava istražitelju da
pretraži i otkrije na HD hedere uobiajenih grakih fajlova: PNG, GIF, PG, WMF, BMP.
Kada se pretraživanje završi forenziar može koris
File ound za pregled thumbnails
slika i izabere slike za dalju analizu/reviziju (slika 4.2) koristei komparaciju i algoritam
za analizu boje kože.
Slika 4.2 Prikaz thumbnails slika u forenzikom alatu File ound
> @Y\ 169
IDEAL Technology Corporaon za automa
zaciju osnovnih forenzikih alata razvila
je koristan forenziki alat STRIKE (Real Time Exstracon of Aconable Intelligence) koji
brzo odreuje da li ispi
vani raunarski sistem sadrži tražene informacije, vršei brzu
trijažu na nekoliko raunara izmeu sto
ne pa i hiljadu raunara.
4.2.5 Izveštavanje o digitalnim dokazima
Da bi se proces forenzike analize i ispi
vanja diska komple
rao, potrebno je generisa
izveštaj o ispi
vanju. Pre pojave forenzikih alata koji rade na Windows OS, ovaj
izveštaj je zahtevao kopiranje podataka sa osumnjienog diska i manuelnu ekstrakciju
dokaza. Da bi se generisao izveštaj posle ekstrakcije dokaza, forenziar mora da ih kopira u poseban program kao što je neki Word procesor. Problem je bio sa ubacivanjem
podataka koji se ne mogu ita
u Word procesoru, kao što su baze podataka, graki
prikazi i dr., što je forenziar morao štampa
na papiru i prilaga
uz izveštaj, [29].
Savremeni forenziki ala
mogu generisa
elektronski izveštaj u razlii
m forma
ma - Word dokument, HTML, RTF ili PDF. Osnovne komponente procesa izveštavanja
su:
• log izveštaj i
• generator za izveštavanje.
Kao deo procesa validacije, potrebno je dokumentova
korake preduzete za dobijanje podataka sa osumnjienog diska. Veina forenzikih alata može generisa
izveštaj
o ak
vnos
, poznat kao log izveštaj, koji se može doda
konanom izveštaju forenziara
kao dodatni dokument o tome koji su koraci preduze
u toku ispi
vanja digitalnih podataka. Ovi podaci mogu bi
korisni ako se zahteva ponavljanje ispi
vanja. Za sluaj koji
zahteva direktan uvid, log izveštaj potvruje koje ak
vnos
su izvršene, a koji rezulta
su dobijeni iz originalne analize i ispi
vanja raunara. Sledei ala
su samo neki od onih
koji obezbeuju log izveštaje: FTK, iLook, X-Ways Forensic, Drve Spy.
4.3 ARDVERSKI FORENZIKI ALATI
Kako se brzo menjaju informaciono komunikacione tehnologije IKT sistema, tako se
zahteva i izbor izbor soverksih forenzikih alata za novi hardver. Veinu hardverskih
komponen
savremenih raunara proizvoai isporuuju sa srednjim vremenom otkaza (MTBF40) od oko 18 meseci. Kako se forenziki hardverski ala
, radne stanice i serveri
koriste intenzivno, zamenu i zanavljanje treba planira
najmanje svake 2 godine. Veina
snabdevaa raunarskih sistema i komponen
nude širok asor
man forenzikih radnih
stanica, koje korisnik može prilagodi
svojim potrebama. Generalno, forenzike radne
stanice mogu se podeli
u sledee tri kategorije, [29]:
40 Mean Time Between Failure – vreme izmeu dva otkaza
170 I J • Stacionarna radna stanica: raunarski sistem sa nekoliko kuišta za eksterne
HD i mnogo perifernih ureaja visokih performansi;
• Portabl radna stanica: laptop raunar sa ugraenim LCD monitorom i skoro
is
m brojem kuišta i perifernih ureaja kao stacionarna radna stanica;
• Prenosna radna stanica: obino laptop ugraen u transportnu torbu sa manjim brojem perifernih ureaja.
Forenziar treba zna
da PC ima ogranienja u korišenju broja periferijskih jedinica. Što se dodaje više periferijskih jedinica treba oekiva
više problema, naroito
kod starijih Windows 9x OS, pa je potrebno balansira
broj perifernih jedinica prema
korišenom OS.
Digitalna forenzika laboratorija policijske agencije treba da ima što vei broj
razlii
h forenzikih alata, sovera i hardvera da bi izvršila sve potencijalne zadatke
istrage kompjuterskog kriminala. Ako je mogue treba ima
po nekoliko (2-3) konguracije PC za istovremeni rad na razlii
m sluajevima, za
m komple
ra
repozitorijum
sovera i hardvera sa svim prethodnim verzijama aktuelnih plaormi.
Hardverska i soverska oprema u poslovnom okruženju namenjena za oporavak
sistema i inicijalnu korporacijsku forenziku istragu bezbednosnog kompjuterskog incidenta, može bi
znatno skromnija i usklaena sa povima IKT sistema koji se koriste u
poslovnom sistemu. Radnu stanicu za forenziku akviziciju i analizu digitalnih podataka
korisnici mogu izgradi
i u sopstvenom aranžmanu, s m da treba postavi
granicu
inves
cije za takav projekat. Izgradnja forenzike radne stanice nije toliko teška, koliko
može brzo posta
skupa, ako se dobro ne poznaju svi aspek
zahteva za hardversom i
soverom.
Problemi mogu nasta
u podršci periferijskim ureajima, koji mogu doi u konikt
ili da ne rade i slika Za sopstvenu gradnju forenzike radne stanice treba obavezno
obezbedi
punu hardversku podršku. Za
m je potrebno iden
kova
obim i p podataka koje treba analizira
. Na primer, ako treba analizira
SPARC diskove iz raunarske
mreže poslovnog sistema, treba u radnu stanicu ugradi
SPARC diskove sa blokatorom
upisivanja. U izgradnji sopstvene forenzike radne stanice mogu se koris
proizvodi
specinih proizvoaa od pojedinih komponen
do gotovih, komple
ranih radnih
stanica, prema zahtevanoj konguraciji. Na primer, FRED (DII41) kompletne radne stanice do jednostavne stanice za uzimanje imidža diskova pa FIRE IDE (DII).
Preporuke za nabavku/izgradnju forenzike radne stanice korisno je razmotri
pre
donošenja odluke, [29].
Odredi
gde e se vrši
akvizicija podataka, pa ako je to, na primer, na terenu treba
obezbedi
:
• blokator upisivanja, preko Fire Wire i USB 2.0 - blokator pa Fire Chief (DII) i
• forenziki Laptop raunar.
41 Forensic Recovery Evidence Devices, Digital Inteligence Incorpora
on, SAD
> @Y\ 171
Za redukciju hardvera koji se nosi, može se koris
Forensic Drive Dock (Wiebe
Tech) sa regularnim Drive Dock Fire Wire mostom.
Kod izbora raunara za stacionarnu ili prenosnu radnu stanicu, treba uze
pun tauer
pa raunar koji omoguava najvei broj proširenje, kao što su konvertori sa 2,5 ina na
3,5 ina za analizu Laptop HD na IDE HD, zaš
ene od upisivanja kontrolera. Treba uze
što je mogue više memorije i što potpuniju kolekciju razlii
h veliina HD. Radnu stanicu treba opremi
sa 400W (ili veim) izvorom za napajanje sa UPS42 bekapom; kablom
za podatke, SCSI drajv kar
com, eksternim Fire Wire i USB portovima, ergonominom
tastaturom i mišom, grakom kartom velike memorije i najmanje 17-innim monitorom. Za profesionalno forenziko ispi
vanje preporuuje se video karta visokih performansi i veliki monitor.
Hardverski forenziki ala
kreu se od jednostavnih jedno-namenskih komponen
do kompletnih forenzikih raunarskih sistema i servera. edno-namenske komponente mogu bi
ureaji pa AEC-7720WP Ultra Wide SCSI-to-IDE Bridge (ACCARD),
namenjen za spreavanje upisivanja podataka na IDE HD, koji je kablom povezan na
SCSI HD. Primer kompletnog raunarskog sistema je FRED ili DIBS Advance Forensic,
(DII) radna stanica. Brojni hardverski forenziki ala
imaju implemen
ran odgovarajui
program, tzv. rmware, programiran u samom alatu u EPROM memoriji i omoguavaju
ažuriranje programa, [44].
4.3.1 Blokatori upisivanja i drugi hardverski forenziki ala
Znaajan aspekt digitalnih dokaza, koji ga razlikuje od zikih i drugh pova dokaza,
je što se može kopira
do najsitnijih detalja - bajtova. Za razliku od, na primer, vatrenog
oružja, digitalni dokaz se prvo kopira, a za
m se analiza vrši na kopiji. Dakle, kopija, a ne
realni original, je „najbolji dokaz“ u digitalnoj forenzikoj analizi. Forenziar može napravi
tanu ziku kopiju vrstog diska, dok balis
ar ne može napravi
duplikat vatrenog
oružja. Otuda je akvizicija podataka iz osumnjienog raunara, pravljenjem zike kopije
(imidža) osumnjienog raunara, najznaajnija faza digitalne forenzike istrage.
Akvizicija digitalnih dokaza sa hardverskom tehnologijom ukljuuje, [44]:
• blokatore upisivanja,
• razne adaptere,
• CD/DVD diskove za akviziciju,
• SCSI diskovi i op
ki kanali.
Blokatori upisivanja su hardversko-sofverski ureaji za spreavanje upisivanja podataka na ispi
vani disk. U izgradnji, ili nabavci radne stanice za digitalnu forenziku
akviziciju i analizu treba obavezno planira
nabavku blokatora upisivanja u soverskoj,
ili hardverskoj izvedbi. Blokatori upisivanja spreavaju forenziare da sluajno upisuju
podatke na ispi
vani disk koji sadrži digitalne dokaze.
42 Uninterupable Power Suply, ureaj
172 I J Soverski blokatori upisivanja uobiajeno se koriste kada nisu na raspolaganju hardverski blokatori i predstavljaju racionalnu alterna
vu. Soverski blokatori upisivanja,
kao što su PDBlock (DII), pino radi u šel modu kao što je DOS. Kada se koris
PDBlock, potrebno je zna
da se menja Interupt 13 u BIOS-u ispi
vanog raunara, što
spreava bilo kakvo upisivanje u specikovani disk. Ako pokuša upisivanje podataka na
blokirani disk, javlja se alarm koji upozorava da se upisivanje ne može izvrši
.
Ovaj alat se ne može koris
sa Windows i MS DOS, nego samo u osnovnom DOS modu.
Hardverskim blokatorom upisivanja povezuju se ispi
vani disk sa dokazima na
forenziku radnu stanicu i pokree OS na uobiajen nain. Hardverski blokatori upisivanja idealni su za GUI forenzike alate, jer spreavaju svaki pokušaj Windows/Linux
OS da upisuje podatke na blokirani disk, na primer, Windows aplikacije ili Windows Explorer da otvaraju fajlove, ili Word procesor da ih ita. Ako se kopira Word Windows podatak na blokirani disk, na prozoru forenzike radne stanice se prikazuje da je kopiranje
uspešno izvršeno. Meu
m, blokator upisivanja u stvari prepiše i nulira sve te podatke.
Kada se na radnoj stanici potraži kopirani fajl na blokiranom disku, tamo ga nee bi
.
Postoje hardverski blokatori upisivanja koji se povezuju na raunar kroz FireWire,
USB 2.0 i SCSI kontroler. Veina ovih blokatora upisivanja omoguava forenziaru da
ukloni i ponovo spoji disk bez regularnog iskljuivanja (shut down) forenzike radne
stanice, što skrauje vreme procesiranja ispi
vanog diska, [44].
Pozna
ji proizvoai hardverskih i soverskih blokatora upisivanja su dostupni na
brojnim web adresama43.
Razlika izmeu soverskih i hardverskih blokatora zapisivanja zavisi od denicije
hardvera i sovera. Stvarno blokiranje upisivanja hardverom vrši se sa hardverskom
komponentom, kako samo ime implicira, koja se ne može reprogamira
posle implementacije dizajna. Meu
m, zbog kompleksnos
komunikacionih protokola (kao što su
IEEE 1394-FireWire, USB2.9 itd.), esto je neprak
no implemen
ra
iste hardverske
blokatore upisivanja.
Generalno, ono što se podrazumeva pod stvarnim hardverskim blokatorom zapisivanja, ustvari se vrši pomou kombinacije jednog ili više mikroprocesora i hardverske logike u jednom kolu ili ipu. Ovi ureaji su programabilni i esto reprogramabilni
za proizvoaa. Programi se nazivaju rmware, rela
vno su mali i na njihovu funkciju
ne u
e rad OS, pošto se standardni komunikacioni protokoli automatski podešavaju
nezavisno od bilo kojeg OS datog raunara. Ovo je, sa aspekta forenziara, osnovna
prednost metoda hardverskih blokatora upisivanja u odnosu na soverske.
Korišenjem hardverskih blokatora upisivanja mogu se skinu
digitalni podaci sa
brojnih pova vrs
h diskova, kao što su [44]:
• IDE vrs
diskovi od 3,5 ina, klasini sa 40-pinskim IDE konektorom,
• SATA vrs
diskovi od 2,5 i 3,5 ina, koji postaje preovlaujui u svim desktop
i veini notebook raunarima,
43 www.digitalintelligence.com; www.forensicpc.com
www.guidancesoware.com/products/access-prosuites.shtm; www.voomtech.com
www.mykeytech.com; www.wiebeteach.com; www.paraben-forensic.com/ lockdown.hatml
> @Y\ 173
• Notebook vrs
diskovi od 2,5 ina preovlaivali su u ovim raunarima od
poetka proizvodnje do nedavno,
• PCMCIA (PCCard) vrs
diskovi, koji nisu šire prihvaeni,
• 1,8 ina Toshiba vrs
diskovi, koji se esto koriste u originalnom iPod
ureaju,
• 1,8 ina Hitachi vrs
diskovi, koji se retko sreu u praksi,
• Kompaktni eš i mikrodiskovi, koji se preovlaujue koriste u digitalnim kamerama i u nekim iPod ureajima,
• SCSI vrs
diskovi, koji se preovlaujue koriste specijalno u starijim Machintosh i raunarima sa visokim performansama,
• Op
ki kanali (Fiber Chanels),
• ZIF kablovski diskovi koji se koriste u video iPods i postaju preovlaujui u
upotrebi.
Tipini hardverski blokatori izgledaju kao na slici 4.3.
Slika 4.3 Tipovi hardverskih blokatora
Poreenje IDE i SATA diskova prikazano je na slici 4.4. Dva SATA diska od 2,5 ina
iznad jednog IDE diska od 3,5 ina. IDE diskovi koriste trakas
kabl, a SATA diskovi koriste eksibilne kablove sline telefonskom kablu.
Slika 4.4 Primeri IDE i SATA diskova
174 I J Komplet blokatora upisivanja i adaptera za sakupljanje podataka sa klasinih 3,5 ina
IDE diskova (slika 4.5) obuhvata forenziki ComboDock koji se prikljuuje na klasini
3,5 ina IDE vrste diskove, ima FireWire+USB host pristup i paralelnu 40-pinsku IDE
konekciju, a obezbeuje blokirano upisivanje i brojne forenzike karakteris
ke.
Slika 4.5 Sakupljanje podataka sa klasinih 3,5 ina IDE diskova
Komplet blokatora upisivanja i adaptera za sakupljanje podatke sa 3,5 ina SATA
vrs
h diskova obuhvata (slika 4.6) forenziki SATADock koji se prikljuuje se na 3,5 ina
SATA vrs
disk, FireWire + USB pristup host raunaru i SATA konektor i obezbeuje
blokirano upisivanje i brojne forenzike karakteris
ke.
Slika 4.6 Sakupljanje podataka sa klasinih 3,5 ina SATA diskova
Komplet blokatora upisivanja i adaptera za sakupljanje podataka sa 2,5 ina notebook
vrs
h diskova obuhvata (slika 4.7) Forensic Notebook DriveDock, koji se prikljuuje
na 2,5 inna vrste diskove i FireWire + USB pristupe host raunaru, a obezbeuje
blokiranje upisivanja i brojne forenzike karakteris
ke.
> @Y\ 175
Slika 4.7 Sakupljanje podataka sa notebook diskova od 2,5 ina
Komplet blokatora upisivanja i adapteri za sakupljanje podataka sa malih vrs
h
diskova obuhvata, (slika 4.8a) PCCard (PCMCIA), kompakt eš/mikrodiskove, 1,8 ina
Toshiba diskove, SATA adaptere, 2,5 ina notebook, 1,8 ina ZIF Hitachi, a svi se spajaju
na forenziki ComboDock.
Slika 4.8 Sakupljanje podataka sa malih vrs
h diskova
Komplet blokatora upisivanja i adaptera za 1,8 ina Toshiba koji se uobiajeno koriste u starijim iPods, spajaju se forenzikim ComboDock-om, (slika 4.8b). Blokatori upisivanja sa 2,5 ina Notebook adapterom za 2,5 ina vrste diskove koji se uobiajeno
koriste u starijim Notebook raunarima. Takoe rade sa paralelno spojenim 1,8 ina
Hitachi diskovima. Spajaju se na forenziki ComboDock, (slika 4.8c). Blokatori upisivanja i 1-inni adapter za akviziciju digitalnih podataka sa eš memorija i mikrodiskova
povezuju se paralelno na forenziki ComboDock, (slika 4.9a,b).
Slika 4.9 Sakupljanje podataka sa eš memorije (a) mikrodiskova (b) i PCCard
(PCMCIA) adapter (c)
176 I J PCCard (PCMCIA) adapter, rela
vno redak, povezuje se paralelno i polarizuje kroz
montažnu stranu šinskog slota. Nema polarizacije pinova na konektoru. Povezuje se na
forenziki ComboDock, (slika 4.9c).
Blokatori upisivanja za akviziciju podataka sa SATA diskova koriste SATA adaptere
koji se spajaju na bilo koji SATA vrs
disk sa zikim ili logikim par
cijama. Ima indikator pristupa i spaja se na forenziki ComboDock, (Slika 4.10a).
Slika 4.10 SATA adapter za sakupljanje podataka sa SATA diskova (a) i SATA adapter
prikljuen na SATA disk (b)
SATA adapter se prikljuuje na bilo koji SATA disk sa zikom ili logikom par
cijom
bilo koje veliine, (Slika 4.10b).
Adapter 1,8 ina ZIF prikljuuje se na Hitachi ZIF diskove, ima ultra tanki kabl, debljine
0,2 ili 0,3 mm, koji se lako ošteuje. Preporuuje se obuka pre upotrebe. Uobiajeno
se spaja na forenziki ComboDock, (Slika 4.11). ZIF diskovi od 1,8 ina sa kablom su
najveeg kapaciteta za male notebook raunare i veeg kapaciteta za iPod uraaje.
Slika 4.11 Adapter 1,8 ina ZIFza prikljuivanje Hitachi ZIF diskova
> @Y\ 177
Akvizicija podataka sa opkih CD/DVD diskova za razliku od vrs
h diskova može
ima
varijacije. Imidži kreirani sa op
kih diskova mogu neznatno varira
svaki put
kada se imidž uzima, ak i kada se koriste is
disk i op
ki disk. Ovo je posledica brojnih
faktora, kao što je prisustvo es
ca prašine, ili ogrebo
na i korišenja manje robusnih algoritama, podložnijih greškama od onih koje koriste kontroleri vrs
h diskova.
Razmatrajui ove faktore svaka forenzika istraga koja ukljuuje dokaze na op
kim
medijima treba da ima e
ri sledea cilja i to:
• Izvrši
akviziciju imidža fajlova sa diska koji se mogu ita
i analizira
soverskim forenzikim ala
ma dizajniranim za tu namenu, pa FTK, EnCese, iLook,
xWay Forensic itd;
• Obezbedi
dokaz da originalni podaci na disku nisu izmenjeni u toku kopiranja, što se pos
že korišenjem forenziki poverljivog sovera za uzimanje
imidža diska, što zadovoljava CD/DVDImager. Forenziki ala
sa otvorenim
izvornim kodom na bazi Linux OS za uzimanje imidža su DD i CDRDAO, koji su
od velikog poverenja u forenzikoj zajednici. Za neke diskove može bi
potrebno da se Linix bazirani ala
zamene. Forenziar esto mora da isproba nekoliko alata pre nego što uspešno napravi imidž neobinog, ili problema
nog
op
kog diska. DD i CDRDAO ala
uspešni su za najvei broj op
kih diskova
u upotrebi;
• Obezbedi
dokaz da fajlovi sa imidža diska nisu izmenjeni posle inicijalnog
kreiranja, što se obezbeuje kreiranjem heš vrednos
uzetog imidža. Uzimanjem drugog heša imidža diska posle forenzike analize, može se dokaza
da
imidž nije menjan u toku ispi
vanja;
• Obezbedi uporeivanje imidža diska sa zikim dokazom. CD/DVDImager
uzima sliku svakog diska i skladiš
je sa imidžom diska. Heš vrednost fajla
imidža takoe se generiše tako da forenziar može kasnije potvrdi
da slika
nije bila izmenjena.
Dobra praksa forenzike akvizicije i analize je da se štampa kopija fajla izlaznog heša
posle sesije akvizicije podataka i da se ova kopija forenziki markira i uva u odvojenoj
bezbednoj lokaciji. Na taj nain forenziar kasnije može potvrdi
da nije bilo izmena na
imidžu posle akvizicije. Ako neko pristupi log datoteci heš vrednos
, može izmeni
i fajl
i heš log. Dakle, papirna kopija pojaava forenziki lanac uvanja dokaza.
U bolje opremnljenim forenzikim laboratorijama koriste se robo
za akviziciju digitalnih podataka. CD/DVD robot sa USB konektorima za ita i kameru ima ulazne i
izlazne podizae, CD/DVD ita, ruicu robora i kameru (Slika 4.12).
178 I J Slika 4.12 CD/DVD robot
RedPort alat za akviziciju sa SCSI i op
kih kanala razvijen je u saradnji sa ATTO i
spreava upisivanje na diskove. Radi na nivou host raunara, a ne u nekom spoljnom
mostu. Portovi se iden
kuju sa crvenim trakama.
Ureaj RP-PCIE-SCSI = Ao'sEPCI-5DRO-BR1 (a.k.a. EPCI-UL5D) automatski blokira
upisivanje svkog prikljuenog SCSI diska, za bezbedno izvlaenje podataka samo sa opcijom “itanje”. Koris
Brzi Ultra SCSI interfejs za podršku starijih SCSI proizvoda. Ima
brzinu prenosa podataka do 320MB/sec po kanalu. Može da radi na dva nezavisna SCSI
kanala. Poseduje x4PCI Express prikljuak na host raunar. Koris
naprednu ADS (Advanced Data Streaming) tehnologiju i ima drajvere za podršku Windows i Linux OS.
Podržava do 30 SCSI bus ID-s i može da radi preko kabla do 12 m dužine. Usaglašen je
sa RoHS44.
RP-PCIE-FC=Ao'sCTFC-42RO-BR1 (a.k.a. Celerity FC-42ES) automatski blokira upisivanje u svaki prkljueni FiberChanel ureaj, za bezbedno izvlaenje podataka samo
sa opcijom “itanje”. Sadrži 4GB-tni dvo-kanalni FiberChanel-host raunar adapter sa
brzinom prenosa podataka do 800 MB/s u punom dupleks modu. Brzina prenosa x8PCI
Express (PCIe) za konekciju sa hostom je 2GB/s. Koris
ADS tehnologiju i ima drajvere
za podršku Widows i Linux OS. Kompa
bilan je sa 2GB i 1GB starijim FibreChanel prozvodima. Ukljuuje dva 4Gb LC SFPa. Usklaen je sa RoHSC, [3].
44 Restricon of Hazardous Substances Direcve – Direk
va EU iz 2003 godine, efek
vna od 1.07.2006.
> @Y\ 179
4.4 SOFTVERSKI FORENZIKI ALATI
Soverski forenziki ala
grupišu se u dve osnovne kategorije:
• aplikacije komandne linije i
• GUI (Graphics User Interface) aplikacije.
Neki ala
namenjeni su za izvršavanje jednog zadatka, kao što je SafeBack45 alat
na bazi DOS komandne linije namenjen za akviziciju podataka sa diska. Primeri GUI
pa alata su EnCase46 i FTK47, namenjeni za obavljanje više forenzikih funkcija. Veina
GUI alata pino može izvrši
veinu zadataka akvizicije i analize digitalnih podataka u
raunarskom sistemu.
Znaajan aspekt soverskih forenzikih alata je sposobnost potpunog kopiranja, ili
uzimanja zike slike bit-po-bit ili imidža (eng. miror; imaging) osumnjienog diska, ili
drugog medijuma sa potencijalnim dokazima. Veina GUI alata mogu ita
i analizira
imidž fajlove i originalne diskove, kao što su najpozna
ji soverski forenziki ala
EnCase, FTK, X-Ways Forensic, iLook i dr.
4.4.1 Forenziki ala komandne linije
Forenziki ala sa komandnom linijom MS DOS za IBM PC fajl sisteme bili su prvi ala
za analizu i ekstrakciju podataka sa opi i vrstog diska. Prvi meu m ala
ma bio je
Norton DiskEditor. Kako su rasle potrebe razvijeni su forenziki programi za DOS, Windows, Apple, Net Ware i UNIX OS. Neki od ovih soverskih alata može izvui podatke
iz slobodnih (fajl slack) prostora i nealociarnih (nezauze
h) prostora fajl sistema; drugi
su namenjeni samo za izvlaenje izbrisanih fajlova. Savremeni forenziki programi su
mnogo robusniji, mogu pretraživa
po kljunoj rei, ili karakteru, rauna
heš vrednost, oporavi
izbrisani fajl, izvrši
analizu zikog i logikog diska i još mnogo toga.
edna od osnovnih prednos
alata komandne linije je što zahtevaju malo sistemskih
resursa - veina zauzima jedan butabilni opi disk i proizvodi izveštaj u tekst formatu.
Forenziki ala
komandne linije ogranieni su što ne mogu pretraživa
arhivske fajlove kao što su ZIP (.zip, .rar) i kabinetske (.cab) fajlove. Obino rade samo na MS FAT
fajl sistemu, izuzev MS DOS alata NTFS DOS (SysInternals) koji ekstrahuje podatke iz
NTFS fajl sistema.
Neki forenziki ala
komandne linije dizajnirani su specino za DOS/Windows platforme: NTI, Mars Ware, Ds2dump i ByteBack, a drugi za Machintosh i UNIX/Linux platforme (tzv. nix plaorme). Forenziki alat komandne linije - Dir komanda koja pokazuje
vlasnika fajla u raunaru sa više korisnika, ili u raunarskoj mreži, na raspolaganju je u
Windows 2000 i XP OS. Ak
vira se sledeim koracima:
45 NTI-Na
onal Technology Inc.
46 Guidance Soware
47 Access Data
180 I J • otvori
Start, za
m Run i ukuca
cmd za otvaranje šela komandne linije,
• ukuca
cd\ koji vraa na rut direktorijum,
• ukuca
dir/q>C:\Filowner.txt,
• koris
bilo koji tekst editor za otvaranje C:\Filowner.txt i itanje rezultata.
Forenziki ala komandne linije UNIX/Linux rade na brojnim nix plaormama, koje
se znaajno razlikuju od DOS/Windows sistema. Dugi niz godina nix plaorme nisu šire
prihvaene, ali su pojavom GUI pa nix plaormi postale znatno popularnije kod individualnih korisnika i u poslovnim sistemima. Neki od alata koji rade na nix plaormama su SMART (ASR Data), TCT (The Coroner’s Toolkit), TCT Autopsy i SleuthKit. Svi
ala
komandne linije zahtevaju veliko razumevanje MS DOS komandni i razlii
h fajl
sistema.
Forenziki ala sa GUI interfejsom pojednostavljuju forenziku akviziciju i analizu. Meu
m, potrebno je poznava
i koris
alate komandne linije, pošto neki GUI
forenziki ala
ne mogu otkri
svaki dokaz. Veina GUI alata dolazi u setu alata za više
zadataka (EnCase, FTK). GUI ala
imaju nekoliko prednos
: jednostavna upotreba,
mogunost obavljanja više zadataka i ne zahtevaju uenje starijih OS. Nedostci GUI
forenzikih alata su:
• zahtevaju velike raunarske resurse (RAM memoriju),
• proizvode nekonzistenten rezultate zbog pa korišenog OS (npr., Win XP Professional, ili Home Edi
on),
• stvaraju zavisnost forenziara od upotrebe samo jednog alata,
• u nekim situacijama ne rade pa se zahteva alat komandne linije u kompletu alata.
4.4.2 Soverski forenziki alat zatvorenog kôda EnCase v4 GUI pa
EnCase je najpozna
ji i prvi prihvaeni soverski alat zatvorenog programskog
koda, namanjen forenzikoj istrazi digitalnih dokaza. Smatra se jednim od najboljih i
naješe korišenih soverskih forenzikih alata. EnCase program omoguava i olakšava
forenziaru istragu, akviziciju i analizu dokaznog materijala. EnCase ima kvalitetan GUI
koji omoguava bolji i lakši pregled razlii
h fajlova kao što su izbrisani (deleted) fajlovi,
fajl slack i nealocirani prostori fajla. Ono što je svakako najvažnije za forenziara, jeste
da nema mogunost izmene podataka sa EnCase alatom, [8].
Interfejs: EnCase v. 4 je mnogo urednija od svoje prethodne verzije 3, a najnovija
verzija još je bolja. EnCase je organizovan po tabovima i postoji mogunost prikazivanja
veeg broja sluajeva, pri emu je svaki sluaj organizovan u okviru svog foldera. Tabovi
se mogu lako dodava
i uklanja
otvaranjem View menija.
Navigacija: U ovom atributu alata opisano je kako se kreira novi sluaj, dodaje i
prikazuje dokazni materijal. Nakon što je EnCase instaliran, na desktopu se pojavljuje
. Duplim klikom otvara se EnCase v. 4 za Windows.
ikona
> @Y\ 181
Ak
viranjem New u otvorenoj EnCase aplikaciji pojavljuje se dijalog za kreiranje novog sluaja (New Case). Unose se informacije kao što su ime sluaja, ime istraživaa,
folder za export i folder za privremene fajlove. Ak
viranjem opcije Finish kreiran je novi
prazan sluaj (slika 4.13).
Slika 4.13 Otvaranje novog sluaja u EnCase alatu
Trebalo bi vodi
rauna o tzv. Case Menagement-u koji podrazumeva dodeljivanje
imena sluajevima, ostavljanje prostora na disku za skladištenje dokaznog materijala,
imenovanje foldera za privremene (temporary) fajlove i dr. Case Menagement je osnova forenzike istrage dokaza.
EnCase ima mogunost otvaranja više sluajeva u isto vreme. Svaki e bi
u zasebnom folderu sa jedinstvenim imenom i svaki e ima
svoj Report View, Bookmark folder, Devices folder itd.
Dijalog Opons (slika 4.14) dobija se korišenjem putanje Tools->Opons sa linije
menija. U okviru ovog dijaloga nalaze se opcije za podešavanje vremena, boje, fontova,
EnScript-ova, backup case fajla export foldera, temporary foldera itd. Sve navedene
opcije se jednom mogu podesi
i koris
kao takve svaki sledei put u radu sa EnCase
alatom.
182 I J Slika 4.14 Otvaranje dijaloga Op
ons u En Case alatu
> @Y\ 183
Dodavanje dokaznog materijala novom sluaju vrši se na sledei nain:
• selekcijom Add Device na fajl meniju ili
• otvaranjem opcije Add Device na top toolbar-u, (slika 4.15).
Slika 4.15 Dodavanje dokaznog materija novom sluaju u EnCase alatu
Otvaranjem opcije Evidence Files i selekovanjem New vrši se odabir fajlova sa
odreene lokacije. Pretraživanje lokacije se završava ak
viranjem OK, (slika 4.16).
Slika 4.16 Odabir fajlova za pretraživanje
184 I J Novi folder se pojavljuje ispod foldera Evidence Files. Ak
viranjema prazne površine
ispred fajlova u levom prozoru (koja postaje zelena) selektuju se svi fajlovi, a dostupni
folderi i podfolderi se pojavljuju u desnom delu prozora.
Selektovanjem (plava linija) željenog dokaznog materijala (devices, volumes, oppy
disk, removable media itd.) sa desne strane vrši se odabir. Potrebno je nakon odabira
ak
vira
opciju Next.
Neophodna je još jedna (nalna) potvrda za unos dokaznog materijala pre ak
viranja opcije Finish. Nakon što je izvršena potvrda, ak
viranjem Finish završava se proces
dodavanja novog dokaznog materijala.
edna od opcija koja se nalazi u okviru dijaloga Add Devices je opcija Session. Ona
omoguava dodavanje dokaznog materijala koji je ve pregledan, ili na bilo koji nain
izmenjen.
Verikacija zapoinje nakon što su fajlovi unešeni. EnCase veriuje integritet fajlova.
Zapoinjanje ovog procesa podrazumeva itanje podataka i generisanje MD5 hash vrednos
, prikazivanje verikacije i prikazivanje hash vrednos
u vidu izveštaja, (slika 4.17).
Slika 4.17 Verikacija novog sluaja
Dodavanje sirovih imidž fajlova u EnCase vrši se korišenjem putanje File->Add Raw Image. Pojavljuje se dijalog u koji se unose ime, doda
h fajlova, odabirom postojeih ili dodavanjem novih, ili takozvanih chunk fajlova koji se nalaze u Components Files, (slika 4.18).
Slika 4.18 Dodavanje sirovih imidž fajlova u EnCase alatu
> @Y\ 185
Sledee što je neophodno uradi
jeste selektova
Image Type ak
viranjem
odgovarajue opcije izmeu None, Disk, Volume, CD-ROM. Kada su Image Type ili Paron Type izabrani, ak
viranjem OK može se vide
kompletan disk sa vidljivom strukturom fajlova.
Oznaavanje ili indeksiranje fajlova od interesa (bookmarks) vrši se selektovanjem
Bookmarks iz menija View. Bookmarks tab sadrži informacije koje su markirane kao
fajlovi od interesa. Indeksirani mogu bi
muziki fajlovi, slike, tekst i dr. Mogu se vide
u Table, Gallery ili Timeline prikazu, (slika 4.19).
Slika 4.19 Indeksiranje fajlova u EnCase alatu
EnCase je program koji sadrži raznovrsne opcije za pretraživanje. Meu pomenu
m
opcijama nalaze se i opcije za pretraživanje po pu podataka, opcije za pretraživanje po
ekstenzijama i uporeivanje is
h radi dokazivanja da li je došlo do promene odreenih
ekstenzija ili nije, pretraživanje po kljunim reima i mnoga druga.
Bezbednosni idenkator (SID) i odreeni skup dozvola ima svaki fajl, ili folder u
NTFS fajl sistemu. Iako se struktura fajlova razlikje u NTFS 4 i NTFS 5 fajl sistemu, EnCase
ekstrahuje pomenute informacije o fajlovima i folderima. EnCase radi sa Windows, Linux i Unix sistemima. Security IDs tab dozvoljava korisnicima da unesu „security ID“ za
odreeni dokazni materijal. Do ovog taba dolazi se korišenjem putanje View->Security
Ids, (slika 4.20). U PRILOGU 1 dat je spisak pozna
jih SID iden
katora u Windows opera
vnim sistemima.
186 I J Slika 4.20 Odreivanje bezbednosnog iden
katora dokaza
Skriptovi se akviraju opcijom Script do koje se dolazi korišenjem putanje View>Scripts. Naime, skriptovi su mali programi, ili makroi koji su dizajnirani kako bi
poboljšali automa
zaciju forenzike istrage i njenih procedura. Omoguena je manipulacija i pristup mnogim delovima EnCase interfejsa od pretrage indeksa do dodavanja
informacija izveštajima, (slika 4.21).
Slika 4.21 Ak
viranje skriptova u EnCase alatu
> @Y\ 187
Kopiranje/oporavak izbrisanih fajlova, EnCase vrši „byte-po-byte“. Sve što treba uradi
jeste ekira
fajl i desnim tasterom miša izabra
opciju Copy/unErase. Pojavie se
dijalog kojim se vrši odabir izmeu naina na koji e fajl bi
vraen, koji njegov deo
(ziki, logiki, RAM slack) i na kraju gde smes
taj fajl, (slika 4.22).
Slika 4.22 Izbor fajlova i foldera za oporavak
Takoe, mogue je isto uradi
i sa indeksima. Proces je iden
an opisanom bilo da
se koris
jedan ili više indeksa (bookmark-ova).
Pretraživanje po kljunoj rei iden
no je klasinoj „nd“ opciji u bilo kojoj aplikaciji.
Unutar dijaloga za pretraživanje neophodno je une
kljunu re i na taj nain izvrši
pretragu. Pored unošenja rei može se vrši
odabir po kome e bi
izvršena pretraga. Tako se može traži
Unicode, Big-Endian Unicode, UTF-8 i dr. Keywords tab nudi
više mogunos
. Pored malopreašnjeg naina pretrage (što podrazumeva formiranje
grupe) mogu se koris
ve formirane grupe za pretragu. Tako se, meu njima, nalaze i
pretrage e-mail adrese i web stranice, ili pretraga karaktera stranih jezika, (slika 4.23).
188 I J Slika 4.23 Pretraživanje po kljunoj rei u EnCase alatu
Pregled komponovanih fajlova pod kojim se podrazumevaju fajlovi sastavljeni od
više slojeva kao što su OLE48 (oce fajlovi), komprimovani fajlovi, registry fajlovi i email. Da bi se videla struktura komponovanih fajlova neophodno je selektova
fajl i
desnim tasterom miša izabra
opciju View File Structure.
EnCase v. 4 sadrži EnScript pod imenom File Mounter koji podržava rad sa komponovanim fajlovima, nudei brz i lak dolazak do njihove strukture.
Registry fajlovi u Windows OS sadrži vredne informacije koje su vezane za raunar
osumnjienog, a može im se pristupi
iz EnCase alata. U Win 95, 98 i ME OS nalaze se u
C:\Windows pod nazivom system.dat i user.dat. U Win NT 4.0, 2000 ili XP OS ovi fajlovi
se nalaze pod C:\%SYSTEMROOT%\system32\cong\ i nose imena secuty, soware,
SAM i system.
Kompresovani fajlovi: EnCase podržava rad sa kompresovanim fajlovima kao što su
WinZip(.zip), Gzip (.gz) i Unix .tar fajlovi. Da bi se otvorio kompresovani fajl neophodno
je desnim tasterom miša na fajl izabra
opciju View File Structure.
EnCase alat podržava rad sa Outlook Express e-mail .DBX fajlovima. Ovi fajlovi su
konvertovani u folder sa podgranom DBX volume ispod. Sa desne strane su izlistani
mail-ovi, a ispod u okviru Text taba se nalazi njihov sadržaj, (slika 4.24).
48 Object Linked Embedded, MS tehnologija na kojoj je baziran Microso Oce paket; podrazumevaju
npr. da se Excel tabele mogu nai u okviru Word dokumenta.
> @Y\ 189
Slika 4.24 itanje Outlook Express .DBX fajlova u EnCase alatu
Obrisani e-mail i aachment mogu se povra
sa nealociranog prostora klastera. Velika je verovatnoa da se ovi fajlovi nakon brisanja ne mogu povra
, jer su delimino/
potpuno prepisani, ali je zasigurno da se neki njegovi delovi mogu vide
. Base64 i UUE
Encoding aachment e bi
automatski prikazani u radu sa mail-ovima.
Rad sa MS Outlook e-mail-om iden
an je radu sa Outlook Expres-om. Kada EnCase izgradi Outlook .PSF fajl, on poruke konvertuje u RTF (Rich Text File) i ASCII tekst
forma
rani fajl (message.r i message.txt). Ovi fajlovi mogu bi
otvoreni u Microso
Word-u, ili Notepad-u.
Akvizicija EnCase alatom poinje sa kreiranjem EnCase butabilne diskete. EnCase
Boot Diskee se koris
za butovanje korumpiranog raunara. Butabilni disk se formira
na sledei nain:
• Sa Tools menija selekova
Create Boot Disk, (slika 4.25),
Slika 4.25 Kreiranje butabilne diskete u EnCase alatu
190 I J • Postavi
disketu u oppy drive i ak
vira
opciju Next.
• Naredni dilajog nudi izbor izmeu ažuriranja trenutnog diska, ili brisanja njegovih fajlova.
• Pojavljuje se Copy Files prozor koji nudi mogunost kopiranja fajlova na disketu (EnCase DOS i EN:EXE).
• Pretragom se dolazi do gore navedenih fajlova koji e bi
na diske
.
• Kada je putanja do EnCase fajla popunjena u okviru dijaloga i obojena plavom
bojom tada je završen proces kreiranja i može se ak
vira
Finish.
• Na kraju se naznai da je butabilni disk uspešno kreiran i tada se može ak
vira
OK, (slika 4.26).
Slika 4.26 Završetak kreiranja butabilne diskete u EnCase alatu
• Izvadi
deisketu i pravilno je oznai
.
Podizanje OS raunara sa EnCase butabilnom disketom može bi
rizino, pošto konguracija korumpiranog raunara i njegovo stanje nisu pozna
. Koraci ovog procesa su
sledei:
• potvrdi
da je korumpirani raunar iskljuen,
• otvori
raunar i ispita
postojanje nekih neuobiajenih konekcija,
• išupa
kablove sa svih rezidentnih vrs
h diskova,
• ubaci
EnCase butabilnu disketu i upali
raunar,
• pokrenu
CMOS (BIOS) setup da bi se podesilo butovanje sa diskete,
• izai iz BIOS-a i sauva
promene,
• dozvoli
raunaru butovanje sa diskete,
• iskljui
e raunar i prikljui
vrste diskove,
• proveri
da li je disketa još uvek u drajvu, pokrenu
raunar ponovo i dozvoli
mu butovanje sa diskete ponovo.
EnCase za DOS operavni sistem koris
se iskljuivo za akviziciju podataka. Izvršni
fajl (EN.EXE) nalazi se u EnCase instalacionom folderu i kopiran je na EnCase butabilni
disk tokom procesa njegovog kreiranja.
> @Y\ 191
EnCase za DOS postavlja korumpirani raunar u tzv. serverski režim rada i nudi još
opcija kao što su zakljuavanje i otkljuavanje vrs
h diskova (slika 4.27), akviziciju podataka, heširanje i mnoge dr.
Slika 4.27 Zakljuavanje i otkljuavanje hard diskova
EnCase podržava rad sa EnCase Network Boot Disk-om uz korišenje parallel i
crossover kabla (poseban metod akvizicije raunara korišenjem mreže), takoe i Driveto-Drive akviziciju, FastBloc (blokator izmeu forenzikog i korumpiranog raunara)
akviziciju, RAID akviziciju, akviziciju Palm PDA ureaja, Zip/Jaz diskova kao što je Floppy,
USB Flash, CD, DVD i mnogih drugih medija i rad sa više medija u isto vreme.
Podešavanje vremenske zone je kljuna operacija u procesu analize digitalnih podataka. Razlii
mediji u okviru jednog sluaja imaju razliite vremenske zone, što dovodi
do otežanog otkrivanja kada se dogaaj stvarno desio. EnCase daje mogunost licima
koja istražuju odreeni sluaj da postave parametre vremenskih zona za svaki medij
nezavisno od sistema i drugih medija u sistemu.
Oporavak foldera u FAT fajl sistemu: Prvi korak brisanja podataka je njihovo slanje u
Recycle Bin. Smatra se da kada se Recycle Bin isprazni, da su podaci zapravo tada obrisani. Ipak, oni se i u tom trenutku nalaze na HDD i lako se mogu povra
.
Nakon što je fajl ili folder dodat odreenom sluaju kreiranom u EnCase-u, može se
pokrenu
Recover Folders za sve FAT par
cije, koje se odabiraju tasterom desnog miša
na fajl. Ovom komandom vrši se pretraga kroz sve nealocirane klastere konkretne FAT
par
cije. Svaki folder FAT par
cije ima ulaz u obliku „. ..“ (dot-double dot). Ovi ulazi govore fajl sistemu gde se nalaze folderi. EnCase vrši pretragu kroz nealocirane klastere,
traži ulaz („. ..“) i vrši povraaj foldera koji su obrisani, ili sa njihovim ulazima koji su
obrisani u glavnom direktorijumu. EnCase nee vra
folder sa originalnim imenom
(jer je ime obrisano u glavnom direktorijumu), ali e nastoja
da povra
sve što se nalazi unutar tog foldera, ukljuujui i imena fajlova unutar foldera, (slika 4.28).
192 I J Slika 4.28 Oporavak izbrisanih foldera u EnCase alatu
Oporavak foldera u NTFS fajl sistemu: EnCase može da vrši povratak fajlova i foldera
iz nealociranih klastera i rastavlja ih kroz Master File Table ($MFT rekord) na fajlove bez
glavnog direktorijuma. Ovo je posebno korisno, ako je disk reforma
ran, a $MFT fajl
korumpiran. Oporavljeni fajlovi se smeštaju u sivi Lost Files virtuelni folder koji se nalazi
na rutu NTFS par
cije, (slika 4.29).
Slika 4.29 Forma
rana NTFS par
cija
> @Y\ 193
Oporavak obrisanih ili izgubljenih fajlova vrši se na slian nain kao kod FAT sistema
ak
viranjem desnog tastera miša na odreeni folder i odabirom Recover Folders.
Potpisi fajlova (File Signatures): Kada su povi fajlova standardizovani, signature
ili header su delovi podataka koje program prepoznaje i prosleuje odreeni p fajla
konkretnom programu. Header ili signature fajla je povezan sa ekstenzijama fajlova.
Ekstenzije fajlova su delovi imena fajlova koji se nalaze odmah nakon take („.“). To
usmerava sistem na otvaranje odreenih programa namenjenih radu sa konkretnim
fajlovima. Recimo, ako je ekstenzija fajla .TXT, oekuje se da je fajl tekstualnog oblika i
raunar e automatski otvara
neki od programa za obradu teksta. Meu
m, u praksi
se kriju razni povi fajlova iza tuih ekstenzija. Kada se slika, originalno .PEG ekstenzije, sakrije iza .TXT ekstenzije, ona e se nakon duplog klika levog tastera miša otvara
u nekom od programa za obradu teksta. Naravno, slika se nee vide
, a raunar e
prijavi
grešku. Is
.TXT fajl se ne može otvori
u nekom od programa za obradu fotograja. Zbog toga se forenziari bave header-om ili signature-om u kome se nalaze
tane informacije o fajlu.
Signatures se mogu vide
korišenjem putanje View->File Signatures. EnCase pored
velikog broja signatures ima i mogunost dodavanja novih. Recimo .mp3 format nije u
lis
standardnih formata pa se u EnCase-u može doda
kao signature i podesi
da se
po njegovom pronalaženju automatski otvara sa nekim od programa koji podražavaju
njegov rad, (slika 4.30).
Slika 4.30 Dodavanje novih potpisa fajla u EnCase alatu
194 I J Sažetak fajla (Hash): EnCase omoguava dodeljivanje heš vrednos
koja predstavlja
„digitalni o
sak prsta“ svakog fajla. EnCase koris
128 bitni MD549 kriptografski algoritam za generisanje heš vrednos
, koji spada u grupu heš algoritama, ili algoritama za
sažimanje sadržaja fajla. Ovi algoritmi se još nazivaju i digest, ireverizibilni, ili algoritmi
bez kljua. MD5 je veoma primenjivan u mnogim oblas
ma zaš
te podataka. Danas
se smatra ranjivim, tako da se ree primenjuje u kriptograji, ali je našao veoma estu
primenu u zaš
integriteta veih fajlova zbog svoje brzine.
EnCase kreira takozvani Hash Set, ili kolekciju heš vrednos
. Ove vrednos
su od
presudnog znaaja za forenziku analizu. Heš vrednos
ma se uporeuje, eliminiše,
dokazuje, oslobaa i još mnogo toga, (slika 4.31).
Slika 4.31 Generisanje heš vredn.os
za izabrane fajlove
Proces oporavka podataka: Disk se uglavnom forma
ra, na neki od postojeih
naina, radi brisanja podataka. Meu
m, forma
ranje, ili popularno FDISK-ovanje ne
briše podatke u potpunos
, nego samo strukturu koja locira podatke i informacije o
par
cioniranom disku. EnCase ima mogunost oporavka podataka nakon forma
ranja
diska.
Ako prikupljeni dokazni materijal pokazuje logiki deo diska, a ne pokazuje strukturu direktorijuma, znak je da je HD verovatno bio forma
ran. Ako je u pitanju FAT
sistem, EnCase ima mogunost da u potpunos
izvrši povraaj podataka sa diska. To se
pos
že ak
viranjem desnog tastera miša na svaki logiki deo i odabirom Recover Folders opcije. Ovom opcijom vrši se pretraživanje foldera, subfoldera i fajlova i pronalaze
sve informacije koje su i dalje na disku.
49 Message-Digest algorithm 5
> @Y\ 195
EnCase ima mogunost davanja pregleda poseenih stranica - Web History, ija
je evidencija o poseenos
ve obrisana. Takoe, ima mogunost povratka obrisanih
mail-ova sa celokupnim tekstom i aachment-om.
Snimak trenutnog stanja sistema (System Snapshot) daje uvid u trenutno stanje
raunara i svih njegovih procesa koji su u toku. Naime, dobija se uvid u sve otvorene
fajlove, procese i portove na lokalnom sistemu, efek
vnim hvatanjem kratkotrajnih
podataka koji se nalaze u RAM-u. Zbog toga što opstaju samo dok je raunar upaljen,
RAM predstavljaja jedan od najvrednijih izvora podatatka. Kod EnCase Enterprise ver.4
snapshot se vrši korišenjem EnScript-ova, (slika 4.32).
Slika 4.32 Snimak trenutnog stanja sistema
Arhiviranje dokaznog materijala smatra se dobrom forenzikom praksom i
preporuije se odmah nakon njegove akvizicije. Na ovaj nain se š
materijal koji se
lako može uniš
tokom istrage. Materijal se arhivira na CD–ROMu ili DVDu. Razlog je
u tome što se podaci tokom akvizicije pakuju u pakete veliine 640 MB što odgovara
veliini CD–ROMa. Nakon što je materijal narezan na CD, neophodno je oznai
disk
sa imenom, datumom, .CASE fajlom i rednim brojem sekvence (grupa paketa veliine
640 MB).
Nakon što su svi koraci preduze
, neophodno je ois
sve tragove. Za to služi takozvana Wiping opcija. Wiping u potpunos
briše sve podatke prepisivanjem postojeih
podataka sa jedinicama (1), nulama (0), ili sluajnom kombinacijom 1 i 0. Potrebno je
izabra
Wipe Drive... iz Tools opcija kako bi se obrisali svi podaci sa HD – a, (slika 4.33).
196 I J Slika 4.33 Izbor i selekcija diska za brisanje sa prepisivanjem u EnCase alatu
Prezentovanje dokaza i izveštavanje u pisanoj formi, pridržavajui se predvienih
pravila, nalana je faza forenzike istrage. Izveštaj mora bi
organizovan i prezentovan na razumljiv nain. EnCase je dizajniran tako da predstavlja dokaze na organizovan
nain, što pomaže da se odmah nakon istrage može generisa
odgovarajui izveštaj.
EnCase obezbeuje nekoliko metoda za generisanje nalnog izveštaja. U praksi je
est primer „prelamanja“ izveštaja na nekoliko delova, sa sadržajem koji upuuje na sve
njegove delove. avlja se i potreba za izveštajima koji nisu u papirnoj formi (skladišteni
na CD-ROMu), ali uz kratki sadržaj (hyper linked summary). EnCase je prilino eksibilan kod formiranja nalnog izveštaja.
Izveštaj može bi
standardnog tekstualnog formata (.r) koji se ita i iz MS Word – a,
a može bi
i HTML formata. Veliki broj slika u forenzikoj istrazi otežava izveštavanje.
Nakon indeksiranja slika, izveštaj se može generisa
sa slikama u HTML formatu i
skladiš
na disk sa svim neophodnim linkovima za dolaženje do odreenog dela njegovog sadržaja. HTML format je prikladniji za ovu svrhu, posebno za prezentovanje
dokaznog materijala sudu, kako zbog prostora („manje“ papira) i organizacije, tako iz
zbog pregleda slika (thumbnails), (slika 4.34).
> @Y\ 197
Slika 4.34 Simultano indeksiranje velikog broja slika relevantnih za istragu
Export izveštaja vrši se ak
viranjem desnog tastera miša na Export u desnom prozoru za eksportovanje u odgovarajuem formatu, kada je izveštaj sastavljen i prikazan.
Kao što je ve pomenuto, mogue je eksportova
izveštaj u dva formata: .RTF i HTML,
(slika 4.35).
Slika 4.35 Eksportovanje izveštaja u EnCase alatu
198 I J U zavisnos
od željenog formata, u narednom prozoru, treba izabra
odgovarajuu
opciju. Ukoliko je izabran HTML format, u folderu e bi
genesisano sledee:
• Ful HTML format sa odgovarajuim imenom izveštaja,
• gallery.html sa thumbnail-ovima za simultan pregled slika,
• toc.html sa sadržajem i
• Frame View.html, koji kreira tzv. „frame view“ za prethodna tri fajla.
Duplim ak
viranjem levog tastera miša na Frame View.html, otvorie se Explorer
kao podrazumevani pretraživa sa imenima, datumima i ostalim inforamcijama koje su
vezane za izveštaj.
4.4.3 Analiza Access Data FTK forenzikog alata
Pregled opš
h karakteris
ka. Forenziki alat FTK (Forensic Toolkit)50 predstavlja
skup forenzikih alata koji može da izvrši više zadataka digitalne forenzike istrage. Prvi
meu njima je alat za akviziciju FTK Imager koji obezbeuje bit-po-bit kreiranje imidža
korumpiranog diska. Kopija je apsolutno iden
na originalu, ak i sa stanovišta nealociranog prostora. Ovo je veoma bitna injenica imajui u vidu da e digitalni dokaz bi
priznat na sudu samo ako je relevantan i pouzdan, a u toku forenzike istrage se koris
upravo kreirana kopija. Za analizu podataka, FTK forenziki alata koris
više naina:
heširanje, korišenje baze heš vrednos
pozna
h programa i pretraživanje.
Heširanje predstavlja generisanje jedinstvene vrednos
za fajl ili ceo disk u zavisnos
od njegovog sadržaja. Heš vrednos
se koriste da bi se obezbedio integritet podataka. FTK koris
dve funkcije heširanja MD5 (Message Digest 5) i SHA-1 (Secure Hahs
Algorithm), (slika 4.36).
Slika 4.36. Prikaz heš vrednos
u FTK alatu
Po podrazumevanom podešavanju FTK kreira MD5 heš vrednost. MD5 heš vrednos
koris
KFF (Known File Filter) biblioteka za iden
kovanje fajlova. SHA-1 je novija
funkcija heširanja. KFF može sadrža
SHA-1 heš vrednos
fajlova, ali ih naješe ne
sadrži. Heš vrednos
se mogu kreira
FTK alatom, ali i FTK Imager-om.
Kao što je ve napomenuto KFF biblioteka sadrži informacije o pozna
m sistemskim i programskim fajlovima. Prilikom analize podataka kada se kreiraju heš vrednos
fajlova, oni se uporeuju sa vrednos
ma u KFF i ako se naie na iden
nu vrednost,
taj fajl se smatra pozna
m i ignoriše se u daljoj istrazi. Na ovaj nain se skrauje vreme
potrebno za analizu podataka. KFF sadrži ashKeeper51 bazu podataka gde se uvaju
heš vrednos
pozna
h fajlova. Ovu bazu podataka je potrebno periodino ažurira
.
50 AccessData Corporaon, FTK Manual
51 h'p://www.accessdata.com/downloads.htm
> @Y\ 199
Pretraživanje FTK forenzikim alatom može bi
indeksirano ili ne. Indeksirana pretraga koris
indeks fajl za pronalaženje odreenog termina. Indeks fajl sadrži termine
i iz alociranog i iz nealociranog dela dokaza. Neindeksirana pretraga može da se vrši
redom po svim terminima, a u ovoj pretrazi mogu da se koriste i regularni izrazi. FTK
forenziki alat koris
mašinu za indeksirano pretraživanje dtSearch koja veoma brzo
pretraži gigabajte teksta. Mašina za pretraživanje dtSearch je trenutno jedna od vodeih alata za ovaj deo digitalne forenzike istrage.
FTK forenziki alat ima mogunost generisanja log fajla u toku istrage, ali i završnog
izveštaja istrage. FTK automatski kreira log fajl pod nazivom k.log. Ovaj fajl može da
bude od velike koris
u toku analize podataka kao trag koji ukazuje na to šta se sve dešavalo u toku istrage. Log fajl može bi
pridružen završnom izveštaju kao dodatak. FTK
koris
Report Wizard za generisanje izveštaja u HTML formatu. Tako generisani izveštaji
su prihvatljivi i predstavljaju validni dokument o rezulta
ma istrage. U izveštaju mogu
bi
ukljuene informacije obeležene tokom istrage (bookmarks), graki elemen
, liste
fajlova i drugi dodaci.
Interfejs FTK forenzikog alata veoma lii na bilo koji Windows prozor. FTK forenziki
alat je GUI pa, pa samim m nije komplikovan za korišenje, (slika 4.37).
Slika 4.37 Poetni prozor FTK forenzikog alata
200 I J Poetni prozor FTK forenzikog alata sadrži šest kar
ca: Overwiev, Explorer, Graphics,
E-mail, Search i Bookmark. Overwiev kar
ca prikazuje generalne informacije o sluaju
kao i listu analiziranih dokaza. Explorer kar
ca prikazuje strukturu direktorijuma svakog
dokaza, sadržaj selektovanog fajla i njegove karakteris
ke kao što su p fajla, putanja i
druge. Graphics kar
ca omoguava prikazivanje svakog grakog fajla. Ova kar
ca pruža
mogunost odabira onih grakih elemenata koje želimo da prikažemo u izveštaju. Email kar
ca prikazuje e-mail sanduie sa porukama i fajlovima koji su pridruženi porukama. Prikaz je u HTML formatu. U kar
ci Search je mogue vrši
indeksiranu ili obinu
pretragu po kljunoj rei. Indeksirana pretraga je mnogo brža. Prilikom pretrage rezultat se prikazuje u lis
rezultata. U toku istrage mogue je obeleži
neke informacije kao
bitne za sluaj, a njihov pregled mogue je uradi
u kar
ci Bookmark. Njih je mogue
doda
u izveštaj, a uz njih postoji mogunost dodavanja komentara.
FTK Imager je alat za kreiranje imidža zikog diska, logikog diska, fajla ili sadržaja
foldera. Dakle, FTK Imager nudi mogunost odabira pa dokaza iji imidž se kreira,
(slika 4.38).
Slika 4.38 Odabir pa dokaza
Kada se odabere opcija kreiranja disk imidža i odlui se za p dokaza, bira se p
imidža (slika 4.39). Od pa imidža zavisi koji forenziki ala
e moi da ga koriste a koji
nee. Ukoliko je potrebno uradi
analizu sa više forenzikih alata, ovo je izuzetno bitan
momenat jer od odabira pa imidža zavisi tok itave dalje forenzike istrage.
> @Y\ 201
Slika 4.39 Odabir pa imidža
U sluaju FTK forenzikog alata, u ponudi su tri opcije pa imidža Raw(dd), SMART
i EO1. Raw(dd) p imidža kreira nekompresovani imidž i ukoliko se odlui za ovaj p
potrebno je obezbedi
dovoljno prostora za kreiranje ovakvog imidža. SMART i EO1
povi imidža kompresuju imidž i omoguavaju bržu forenziku akviziciju. Kako su
današnji hard diskovi sve vei, ova injenica nije za zanemarivanje, jer je cilj što brže
kreira
imidže i njihove kopije i izvrši
analizu. Sa alatom koji omoguava kompresiju
imidža, navedeni zahtevi su zadovoljeni.
Nakon popune generalija kao što su broj sluaja, broj dokaza i opis dokaza, kreira se imidž i odredi lokacija za uvanje imidža, kao i naziv imidža (slika 4.40). Postoji
mogunost verikacije imidža po njegovom kreiranju. Takoe, može se ukljui
opcija
prekalkulacije sta
s
ke.
Slika 4.40 Kreiranje imidža
Verikacija heš vrednos imidža USB diska nezaraženog virusima prikazana je na
slici 4.41, a zaraženog USB sa virusom na slici 4.42. Razlike heš vrednos ukazuju da je
integritet USB diska narušen.
202 I J Slika 4.41. Verikovanje rezultata imidžovanja nezaražene USB memorije
Slika 4.42. Verikovanje rezultata imidžovanja zaražene USB memorije
Nakon kreiranja imidža generisani su TXT i CSV fajlovi sa kompletnim pregledom
svih fajlova na USB memorijskom ureaju (slika 4.43). asno su uoljive razliite heš
vrednos
dobijene prilikom imidžovanja.
> @Y\ 203
Slika 4.43 TXT fajl generisan posle imidžovanja virusom nezaraženog (a)
i zaraženog (b) USB
Kada su uze
imidži ispi
vanog diska, u ovom sluaju USB memorije, može se
zapoe
novi sluaj. Najpre je potrebno une
genaralije o samom sluaju i forenziaru
koji vrši ispi
vanje (slika 4.44).
Slika 4.44 Generalije o sluaju i forenziaru
204 I J U sledeem koraku, Case Log Opons, donosi se odluka koji e dogaaji tokom analize bi
ukljueni u log fajl. Tekstualni fajl FTKlog, FTK forenziki alat kreira automatski.
Na slici 4.45 prikazan je sluaj ukljuivanja svih opcija.
Slika 4.45 Case Log opcije
Processes to Perform je naredni korak analize i u njemu se odabiraju procesi koji
treba da se izvrše nad trenutnim dokazom. Uvek treba ima
u vidu koji procesi odgovaraju trenutnom dokazu. Ovo je veoma bitno da bi se skra
lo vreme potrebno za
analizu. U ovom koraku mora se vodi
rauna o tome da SHA-1 heširanje i dešifrovanje
EFS fajla nisu podrazumevano ukljueni, pa se moraju po potrebi naknadno ukljui
(slika 4.46).
> @Y\ 205
Slika 4.46 Processes to Perform opcija
Rene Case opcija omoguava da se iz sluaja izuzmu odreeni povi podataka.
Preporuuje se da se ukljue svi povi podataka kada se dodaje novi dokaz u sluaj,
pošto naknadno dodavanje nije mogue. Ukoliko se neki p podataka iskljui, on nee
bi
razmatran ni u jednom dokazu koji se naknadno dodaje u sluaj (slika 4.47).
Slika 4.47 Rene Case
206 I J Indeksiranje podataka je veoma dobra opcija koju FTK forenziki alat omoguava.
Indeksiranje omoguava brže pretraživanje, ali sa druge strane zahteva više vremena u
procesu analize. Naravno, Rene Index omoguava da se neki povi podataka iskljue
iz indeksiranja, ime se vreme analize skrauje. Preporuuje se da se prihvate podrazumevana podešavanja za indeksiranje podataka (slika 4.48).
Slika 4.48. Rene Index opcija
Konano, posle svih podešavanja, može se doda
dokaz ili više njih (slika 4.49).
Slika 4.49 Add Evidence opcija
> @Y\ 207
Kao dokaz mogu se une
imidž, lokalni disk, sadržaj foldera ili pojedinani fajl. Da bi
se sauvao integritet dokaza, oni se dodaju sa atributom Read Only. Svaki une
dokaz
može se menja
, a takoe može se i ukloni
sa liste dokaza. Na slici 4.50 prikazan je
primer dodavanja novog dokaza - imidža virusom zaraženog i nezaraženog USB memorijskog ureaja.
Slika 4.50 Dodavanje imidža dva USB memorijska ureaja kao dokaza
Pod opcijom Rene Evidence – Advaced mogu se ukloni
odreeni povi, datumski
ogranieni fajlovi ili fajlovi sa odreene putanje iz svakog pojedinanog dokaza. U ovom
delu mogue je na is
nain predenisa
indeksiranje za svaki dokaz opcijom Rene
Index – Advaced (slika 4.51).
Slika 4.51 Napredne opcije Rene Evidence i Rene Index
208 I J Na samom kraju, na prozoru Case Summary, pregledno se može proveri
sve ono što
je ukljueno u sluaj sa svim dokazima i procesima nad njima. U ovom koraku mogue
je vra
se na bilo koji prethodni i izvrši
neku korekciju. Ukoliko su sva podešavanja
dobra i svi dokazi obuhvaeni može se pristupi
obradi dokaza. U narednom koraku
može se odredi
vremenski interval upisa u log fajl (slika 4.52).
Slika 4.52 Obrada dokaza
Pregled dobijenih rezultata. Kada se otvori postojei sluaj, odabirom raznih opcija
sa poetnog prozora, mogu se pregleda
fajlovi sa svim svojim karakteris
kama kao što
su putanja ili p fajla. Mogue je pregleda
strukturu direktorijuma svakog fajla. Postoji
mogunost pregleda grakih fajlova sa opcijom odabira onih koje želimo da prikažemo
u izveštaju (slika 4.53). Takoe, postoji mogunost pretraživanja po kljunoj rei, kao i
obeležavanje bitnih informacija uz dodavanje komentara (slika 4.54) .
Slika 4.53 Kar
ca Overview
> @Y\ 209
Slika 4.54 Obeležen prepozna
maliciozni program na zaraženom USB
Posebno bi trebalo naglasi
da FTK forenziki alat omoguava pregled sadržaja kompresovanih fajlova kao što su ZIP, RAR i drugih. Osim prikaza, FTK forenziki alat vrši i
dekompresiju ovih fajlova (Slika 4.55).
Slika 4.55 Pregled sadržaja kompresovanog fajla
210 I J Slika 4.56 Kar
ca Explore
Kar
ca Explore omoguava pregled direktorijuma i foldera ispi
vanog imidža sa
mogunošu unosa komentara forenziara (slika 4.56).
Kar
ca Graphics omoguava pregled slika (tumbnails) imidža (slika 4.57). Obeležena
slika (1b.doc) ima ekstenziju .doc. Kako je esta praksa promena ekstenzije korumpiranog fajla, ako se fajlu slike promeni ekstenzija u .doc fajl, ovaj fajl postaje neupotrebljiv
za Word aplikaciju. Slika 1b.jpg je preimenovana u 1b.doc i Microso Oce Word, kao
aplikacija koja otvara .doc fajlove ne može da otvori preimenovani fajl. Meu
m, kar
ca Graphics prikazuje pravu sliku i prepoznaje p fajla PEG. Bez obzira na promenu
ekstenzije fajla navedene slike, FTK forenziki alat je uspešno prepoznao sliku u PEG
formatu.
> @Y\ 211
Slika 4.57 Kar
ca Graphics
Kar
ce E-mail i Search omoguavaju ispi
vanje zaglavlja e.mail poruka i pretraživanje
fajlova ispi
vanog imidža po kljunoj rei. Na raspolaganju je i pretraživanje fajlova
imidža po indeksima (kar
ca Bookmark), (slika 4.58)
Slika 4.58. Kar
ca Search
212 I J Kada je potrebno pregleda
svojstva fajlova, FTK forenziki alat ima i tu mogunost.
Biranjem opcije File Properes iz komande glavnog menija Tools dobijaju se sva svojstva selektovanog fajla (slika 4.59).
Slika 4.59 Generalne informacije o svojstvima fajla
Posebno je znaajna kar
ca File Content Info gde može da se, pored putanje, naziva
i ekstenzije fajla proitaju heš vrednos
fajla, heder fajla, te KFF status i još dodatne
informacije poput lozinke, duplikata ili šifrovanja fajla (Slika 4.60).
Slika 4.60 Informacije o sadržaju fajla
Na is
nain mogu se ispita
svojstva nepoznatog fajla sa virusom (Slika 4.61).
> @Y\ 213
Slika 4.61 Pregled karakteris
ka malicioznog programa
Pored ovoga, u postojei sluaj je mogue doda
novi dokaz. Novi dokaz se dodaje
na iden
an nain kao kada u novom sluaju po prvi put dodajemo nove dokaze. Dodavanje novog dokaza je mogue samo ukoliko sluaj nije otvoren u Case Agent Mode,
koji ima atribut Read Only i ne dozvoljava dodavanje novih dokaza.
Kreiranje izveštaja. Izveštaj u formi tekstualnog log fajla, FTK forenziki alat automatski generiše (slika 4.62).
214 I J Slika 4.62 Deo FTK log izveštaja
Log izveštaj može bi
ukljuen u generatoru izveštaja koji kreira izveštaj u HTML
formatu. Generator izveštaja omoguava podešavanje prikaza odreenih podataka u
izveštaju. Pored osnovnih informacija o forenziaru i sluaju, generator izveštaja opciono nudi i informacije o podešavanju mnogih drugih parametara, na primer indeksa
(bookmarks), koje treba po zahtevu/potrebi ukljui
u log izveštaj (Slika 4.63).
> @Y\ 215
Slika 4.63 Podešavanje za prikaz Bookmark-ova
Kreirani Bookmark-ovi mogu bi
ukljueni u izveštaju, a ne moraju. Mogu bi
ukljueni svi, a mogu se odabra
samo oni koji su obeleženi kao ’’Include in report’’.
Takoe, postoji mogunost odabira svojstva svakog Bookmark-a koja e bi
prikazana
u izveštaju (Slika 4.64).
Slika 4.64 Odabir svojstva Bookmark-a i prikaz u izveštaju
Prikaz grakih elementa u izveštaju je veoma bitno. U izveštaju mogu bi
prikazani
svi graki elemen
, samo oni koji su obeleženi ili ne moraju uopšte bi
prikazani (Slika
4.65).
216 I J Slika 4.65 Podešavanje prikaza grakih elemenata u izveštaju
Prilikom kreiranja izveštaja postoji još niz podešavanja kao što su putanja fajlova u
odabranoj kategoriji, lista svojstava i odluka koja od njih da se prikazuje, lista fajlova u
odabranoj kategoriji, ukljuivanje MS Access baze podataka u izveštaj itd.
Ono što je posebno bitna odlika FTK forenzikog alata je mogunost ukljuivanja
drugih fajlova kao što su lista heš vrednos
, rezulta
pretrage ili log fajl. Po podrazumevanom podešavanje log fajl se prikljuuje izveštaju.
Kada se odabere putanja izveštaja, mogue je doda
i proizvoljni graki element
(Slika 4.66).
> @Y\ 217
Slika 4.66 Odabir putanje izveštaja i proizvoljnog grakog elementa
Kada je izveštaj kreiran, on se nalazi u HTML formatu i može ga prikaza
Internet
Explorer ili bilo koji drugi pretraživa ili program koji prikazuje HTML format (slika 4.6769).
Slika 4.67 Poetna strana izveštaja (index.htm)
218 I J Slika 4.68 Pregled fajlova u izveštaju
Slika 4.69 Pregled dokaza u izveštaju
> @Y\ 219
U meniju sa leve strane FTK izveštaja nalaze se svi oni elemen
koji su unapred bili
odabrani za prikaz prilikom kreiranja izveštaja. ednostavnim klikom na neki od njih u
središnjem delu se prikazuje odabrani sadržaj (slika 4.70).
Slika 4.70 Prikaz grakih elemenata u izveštaju
FTK forenziki alata nudi opciju ažuriranja izveštaja. Kada je izveštaj kreiran, mogue
je izvrši
ažuriranje u smislu izmene prikaza podataka. Ukoliko želimo da dodamo novu
sekciju u izveštaj potrebno je izvrši
modikaciju izveštaja.
U tabeli , predstavljene su tabelarno funkcije FTK forenzikog alata po koracima digitalne forenzike istrage.
220 I J Tabela 4.1 Pregled funkcija FTK forenzikog alata
AKVIZICIJA
U procesu akvizicije FTK forenzikim alatom može se izvrši
ziko kopiranje podataka, te logiko kopiranje podataka. Posebna je prednost odabir formata akvizicije
podataka gde svaki p ima kako svoje prednos
tako i svoje nedostatke. Akvizicija FTK
forenzikim alatom je u potpunos
GUI proces, a proces komandne linije nije omoguen.
FTK forenziki alat u procesu akvizicije vrši i verikaciju, što je u svakom sluaju pozi
vna
karakteris
ka. Ono što se može naves
kao nedostatak FTK forenzikog alata u procesu
akvizicije jeste nemogunost vršenja udaljene akvizicije.
VALIDACIJA I DISKRIMINACIJA
FTK forenziki alat se u procesu validacije i diskriminacije odlikuje dobrim karakteris
kama. Što se e heširanja, FTK forenziki alat vrši 128 bitno MD5 heširanje i SH1 160
bitno heširanje. FTK forenziki alata vrši ltriranje fajlova. Takoe, vrši se i analiza hedera
fajlova.
EKSTRAKCIJA
U zavisnos
od formata fajlova koje podržava, FTK forenziki alat omoguava itanje
podataka. U procesu ekstrakcije omogueno je pretraživanje po kljunoj rei. Dobra karakteris
ka FTK forenzikog alata je dekompresovanje fajlova, te rekonstrukcija fragmentovanog fajla (Data Carving). Pored navedenih osobina, FTK forenziki alata kao pozi
vnu karakteris
ku ima i dešifrovanje fajlova. FTK forenziki alata u procesu ekstrakcije
omoguava oznaavanje dokaza.
REKONSRUKCIJA BEZBEDNOSNOG DOGAAJA
Ono što u ovom radu nije uraeno, ali predstavlja karakteris
ku FTK forenzikog alata
u procesu rekonstrukcije bezbednosnog dogaaja svakako treba naves
. FTK forenziki
alat u procesu rekonstrukcije bezbednosnog dogaaja omoguava kopiranje diska na
disk i kopiranje imidža na disk. Ne postoji mogunost kopiranja par
cije na par
ciju, kao
ni kopiranje imidža na par
ciju.
IZVETAVANJE
FTK forenziki alat se pokazao kao dobar alat za generisanje izveštaja. Prilikom analize
FTK forenzikim alatom se generiše log izveštaj koji beleži dešavanje u toku analize. Pored
toga, FTK forenziki alat poseduje i generator izveštaja sa mnogobrojnim podešavanjima,
što je dobra karakteris
ka. Izmeu ostalog u izveštaj generisan FTK forenzikim alatom
može se ukljui
i log izveštaj.
> @Y\ 221
4.4.4 Forenziki ala otvorenog izvornog koda
4.4.4.1 Znaaj poznavanja izvornog kôda forenzikih alata
Da bi neki digitalni dokaz bio prihvatljiv pred sudom, dokaz mora bi
relevantan
(ima dokazujuu/opovrgavajuu vrednost) i pouzdan (nepromenjen, verikovano
auten
an). Pouzdanost i validnost generisanog dokaza, kakav je izlaz iz digitalnog
forenzikog alata, odreuje sudija u predistražnom postupku na bazi bazinih principa
za prihvatljivost nauno zasnovanih digitalnih dokaza (tzv. Daubert principi, SAD) pred
sudom, koji obuhvataju e
ri opšte kategorije, [4]:
• Tesranje: da je procedura primene forenzikog alata tes
rana.
• Stepen greške: da je poznat stepen grešaka procedure primene forenzikog
alata.
• Revizija: da je procedura primene forenzikog alata objavljena i višestruko
revidirana.
• Prihvatljivost: da je procedura primene forenzikog alata generalno
prihvaena u relevantnoj naunoj zajednici.
Kako je veina pozna
h alata za digitalnu forenziku akviziciju/analizu razvijena sa
komercijalnim interesom, malo je verovatno da e proizvoai objavi
ceo izvorni kôd.
Imajui na umu deniciju prihvatljivos
digitalnih forenzikih alata, ala
sa zatvorenim
izvornim kôdom mogu pruži
više prak
nih rešenja nego neki ala
sa 100% pozna
m izvornim kôdom. Soverski forenziki ala
uslovno se dele u dve glavne kategorije alata, za: ekstrakciju i prezentaciju digitalnih dokaza. Ala
za ekstrakciju procesiraju
podatke i ekstrahuju relevantan podskup dokazujuih podataka. Na primer, neki alat
za ekstrakciju može procesira
fajl sistem imidža osumnjienog diska i na izlazu da
sadržaj fajla i opisne podatke, kao što su poslednji datum pristupa. Prezentacioni ala
aranžiraju podatke iz ekstrakcionog alata u forenziki itljiv i koristan format. Na primer,
neki ekstrakcioni alat može analizira
imidž fajl sistema i na izlazu da
imena i vremena
za svaki fajl, a prezentacioni alat može prikaza
iste podatke, sor
rane po direktorijumima, kako veina korisnika gleda fajl sistem. Drugi alat za prezentaciju može prikaza
iste podatke, ali sor
rane po vremenima modikacije, pristupa i kreiranja (MAC) za
kreiranje vremenske linije ak
vnos
. Dakle, prikazivani su is
podaci, ali sa razlii
m
pogledom primenjenog prezentacionog alata. Veina savremenih alat (FTK, EnCase,
iLook i dr.) integriše i izvršava obe funkcije, ali postoje i jednofunkcionalni ala
.
Ako su ekstrakcioni ala
otvorenog izvornog kôda, a forenziar ima pristup izlazu
ovog apstrakcionog sloja, tada on može verikova
izlaz prezentacionog alata. Zbog
toga prezentacioni alat može osta
sa zatvorenim izvornim kôdom, ali sa objavljenim
dizajnom i funkcionalnos
ma. Pored toga, mnogi savremeni forenziki ala
za analizu bazirani su na prezentaciji rezultata. Na primer, gledanje heša u bazi podataka, rešenja konguracije preko mreže, poreenje pova fajlova prema ekstenziji i pretraga
po kljunoj rei, akcije su koje se dogaaju posle ekstrakcije podataka iz imidža fajl
222 I J sistema. Zbog toga, kreiranje standardnih tehnika ekstrakcije podataka, nee ogranii
kompetentnost soverskih kompanija. Korisniki interfejs, karakteris
ke i podrška,
faktori su koji razlikuju porizvoae/snabdevae alata. U stvari, ovo omoguava da se
proizvoai usredsrede na inova
vne prezentacione tehnike za analizu fajl sistema i
poboljšanje alata za ekstrakciju i prezentaciju u manje zrelim oblas
ma primene, kao
što su mrežna forenzika i redukcija podataka log fajlova.
Objavljivanjem izvornog kôda kroz ekstrakcione alate sa otvorenim izvornim kôdom,
interesna zajednica digitalnih forenziara može ispita
i vrednova
procedure koje se
koriste za generisanje digitalnih dokaza. Ovaj model omoguava precizan proraun stepena greške, zato što se svi podaci koji se odnose na ksiranje bagova alata za ekstrakciju mogu objavi
, a stabilan kôd se može kreira
prilino brzo, na bazi metodologije
tes
ranja. Pored toga stepen greške takvog alata bie is
, zato što jedinu razliku unose
bagovi u interfejsu i prezentaciji podataka. Zato e i proizvoai bi
više zaineresovani
da uestvuju u naporima za proraun stepena grešaka.
Koncept forenzikih alata sa otvorernim izvornim kôdom bitno se razlikuje od koncepta drugih sovera sa otvorenim izvornim kôdom. Cilj veine sovera sa otvorenim
izvornim kôdom je da se dobije veliki broj istraživaa koji mogu pristupi
i ažurira
kôd. Cilj lansiranja forenzikih alata sa otvorenim izvornim kôdom je da obezbedi lakši
pristup za reviziju i tes
ranje alata, a ne za ažuriranje. Ograniena grupa istraživaa ima
ogranien pristup za razvoj i ažuriranje alata, a kôd se objavljuje sa digitalnim potpisom,
za zaš
tu integrieteta.
Digitalni forenziki ala
koriste se istovremeno kao radni ala
zaposlenih forenziara, osuivanje kompjuterskih kriminalaca i demonstraciju nevinos
osumnjienih. Sva
ova pitanja su suviše ozbiljna da bi se soverski forenziki ala
tre
rali na is
nain
kao ostali soverski proizvodi. Drugim reima, tržište forenzikih alata ne treba da dominira, na bazi sakrivanja proceduralnih tehnika i izvornog kôda. Digitalna forenzika
nauka sve više sazreva i zahteva neprekidno održavanje na visokim standardima. Korišene procedure treba jasno objavi
, revidira
i diskutova
u interesnoj zajednici.
Dostupnost alata za analizu široj populaciji korisnika, vrlo verovatno e povea
njihov
kvalitet i iskoris
vost. Sledei stepen je da se povea poverenje u soverske forenzike
alate kroz publikacije, revizije i formalna tes
ranja.
Neki od znaajnijih forenzikih alata mogu se nai na sledeim web adresama:
• Ulmate Toolkit (UTK), (AccessData) h'p://www.accessdata.com.
• EnCase (Guidance Soware Forensics), h'p://www.guidancesoware.com.
• Maresware Computer Forensics soware, h'p://www.dmares.com.
• Paraben, h'p://www.paraben.com.
• ProDiscover (Technology Pathways), h'p://www.prodiscover.com.
• SMART (ASR Data), h'p://www.asrdata.com.
• X-Ways Forensics, www.x-ways.net.
• Više forenzikih alata može se nai na web adresi
h'p://www.forensics.nl/toolkits.
> @Y\ 223
4.4.4.2 Forenziki ala
otvorenog kôda
U forenzike alate otvorenog kôda - OSS ubrajaju se ala
na bazi Unix i Linux OS.
Brojni ala
iz spektra Unix programskih uslužnih alata kao što je [shell, tee,» « & ><]
omoguavaju forenziaru usmeravanje (piping), preusmeravanje, pravljenje skriptova i
automa
zaciju, [32].
Najpozna
je Linux distribucije su: Knopix, Ubuntu Redhat, Novell/SuSe i dr. Najpopularnije distribucije su KDE i Gnome koje obezbeuju desktop GUI sline Unix-u, MS
Windows, Machintosh i NeXT OS. Ovi ala
generišu napredno shell okruženje, web i
GUI ulazno/izlazne interfejse. Najpozna
ji ala
su KDE, Gnome, Windowmaker, bash,
zsh, emacs i mc. Linux okruženje omoguava kreiranje forenzikog butabilnog CD ili
DVD, koji obezbeuje butovanje ispi
vanog raunara bez podizanja procesa butovanja ispi
vane mašine. Linux plaorma, takoe, obezbeuje na bazi Knoppix-a obiman
skup pre-instaliranih forenzikih alata, ukljuujui: FCCU, GNU/Linux Forensic Boot CD
(koris
ga Federalna policija za kompjuterski kriminal Belgije), elix (US e-fense Inc.).
Za punu instalaciju treba napisa
skript:
-> Ubuntu, doing forensics -> Debian,
koji automa
zuje servise butovanja. Linux ala
uzimaju imidž i vrše akviziciju podataka sa brojnih medijuma, kao što su: ATA, SATA, SCSI i USB vrs
h diskova, Firewire,
CD, DVD, USB s
kova, traka, disketa itd. Ala
prak
no uzimaju bezbedno podatke sa
svih medijuma na kojim su podaci uskladišteni u sektore. Takoe, skidaju slike bez instalacije drajvera, ne zahtevaju hardverske blokatore upisivanja, upravljaju greškama i
lošim (bad) sektorima. Najpozna
ji ala
su: [dd, dcdd, dd_rescue, sdd, AIR, sleuthkit,
adepto, grab.
Ala
kao što su gzip, openssl, dcdd, gnupgp, split, md5 vrše kompresiju imidžovanih
podataka, klasikaciju po pu fajla, preusmeravanje i omoguavaju šifrovanje, digitalno
potpisivanje i hešovanje podataka imidža. Linux bazirani set alata[pilot-link, gnupod,
gnokii, opensc, omoguavaju pristup brojnim prirunim i ugraenim raunarima kao
što su PDA, iPod, digitalna kamera, mobilni telefon i smart kar
ce.
Za izvlaenje i forma
ranje podataka iz fajl sistema standardno se koris
dd alat za
uzimanje sirovog imidža fajl sistema. Napredni forenziki alat -AFF (Advances Forensic
Format) dd i aib su ala
otvorenog koda, ekvivalentni formatu fajla EnCase.E0* EnCase alata.
Za zaš
tu integriteta digitalnih podataka i dokaza Linuks bazirani forenziki ala
md5sum, openssl, dcdd, gnupg, openTSA, omoguavaju kriptografski heš (MD5, SHA1),
digitalni potpis forenziara (PGP/GPG, SMIME), vremenski peat (TSA, RFC 3161).
Za pakovanje imidžovanih podataka Linux ala
tar, zip, gzip, bzip, openssl, gnupg
arhiviraju sa kompresijom i opciono šifrovanjem, više fajlova/direktorijuma u forma
ma koji ne zavise od pa proizvoda i proizvoaa. Za skladištenje podataka na razliite
medijume za skladištenje (CD, DVD, traku) i bekapovanje koriste se ala
pa: dump,
224 I J tar, amanda, cdrecord, a za interni transfer digitalnih dokaza sa šifrovanjem i jakom
auten
kacijom koriste se ala
kao što su: scp, apache-ssl, smime, pgp.
Ala
za detekciju izbrisanih par
cija i restauraciju su: gpart, disktype, testdisk,
hexedit –sector. Za oporavak izbrisanih fajlova iz veine fajl sistema, oporavak podataka iz fajl slack prostora i sastavljanje izbrisanih fajlova iz fragmen
sanih klastera mogu
se koris
ala
pa: gpart, sleuthkit, formost, fatback, e2salvage, formost, disktype,
testdisk, scrounge-ns, scapel, magicrescue.
Za šifrovane i steganografski sakrivene podatke, oporavak lozinke i detekciju steganograje mogu se koris
ala
kao što su: fcrackzip, crack, lcrack, nasty, john the
ripper, stegdetect, stegbreak, cmospwd, pwl, madussa.
U procesu digitalne forenzike analize za pretraživanje i ltriranje podataka relevantnih za digitalni dokaz koris
se baza heš vrednos
pozna
h sistemskih fajlova, pozna
h
aplikacija i an
virusnih i an
rutkit programa kao što su: clamAV, F-PROT, chkrootkit,
grep, autopsy, nd, swish-e, glimpse, imes, md5deep, hashdig.
Za utvrivanje vremenske linije napada, korelaciju i sor
ranje mogu se koris
odlini Sleutkit proizvodi, kao što su: pyag, autopsy, zeitline, sleuthkit.
Ala
pa ghex, khex, hexedit, openssl, uuencode, mimedecode, hexdump, od,
strings, anword predstavljaju širok spektar konvertora, heks editora, analizatora email priloga, alata za analizu podataka i log fajlova (cookies fajlova, keša browsers, Internet istorije itd.).
Za gledanje tekuih i starih dokumenata/Slika i mul
medijalnih sadržaja može se koris
veliki broj alata za upravljanje thumbnail-s (male slike za istovremeni pregled) sa
skriptom, manipulaciju Slika, kongurisanje reprodukcije video snimka razlii
h formata, kao što su: openoce, gv, xv, imagemagic, mplayer, vlc. Za podizanje i pretraživanje
sumnjivih Slika na read only nain u razlii
m fajl sistemima (Apple, Microso, razlii
Unix) mogu se koris
mount, losetup. Za virtuelno butovanje slike na Linux PC, MacOS9 i OSX Slika, Windows Slika i drugih Linux Slika (X86 OS) koriste se ala
pearpc i
VMWare.
Ala
dosemu, wine, VMWare, pose, x48, linux-abi su simulatori za ak
viranje programa koji rade na DOS/Windows, Mac, HP48 i razlii
m Unix opera
vnim sistemima.
Brojni ala
se koriste za analizu zastarelih sistema i to:
• xzx, fuse, x81 za PC iz 80- i 90-
h kao što su Sinclair ZX Spectrum, ZX81;
• xgs, prodosemu, vMac, basiliskII za Apple IIGS, prvi Machintosh PC;
• vice, frodo za Commodore C64, C128, VIC20, PET i CBM-II;
• uae, hatari, e-uae za Amigu;
• stonx, atari800 za AtarST, Atari 800 ;
• hercules za mainframes i mini raunare IBM System/370, ESA/390;
• sim, klh10 za Dec PDP-seriju, Nova i IBM 1401;
• doscmd, dosbox, dosemu za MS-DOS;
• cpmemu za CPM.
> @Y\ 225
Upravljanje forenzikim sluajem, indeksiranje (bookmarking) i izveštavanje automatski generisanim izveštajem u .pdf formatu mogue je u izvesnoj meri. Integrisani
sistem indeksiranja je teško ostvari
i zahteva suviše mnogo posebnih alata, kao i integrisano izveštavanje, ako se koris
više alata. esto je upravljanje forenzikim sluajem
rudimentarno i zasniva se na bazi upravljanja fajlovima/direktorijumima. Za upravljanje, indeskiranje i izveštavanje u forenzikom sluaju mogu se koris
ala
: pyFlag,
autopsy, sleuthkit, Latex, pdf tools.
Za Microso sisteme – analizu regisatra, log datoteke dogaaja, INFO2 i Recycle bin,
.cab fajlova i OLE svojstava mogu se koris
sledei ala
: ntreg, kregedit, regviewer,
grokevt, riu, orange, fccudocprop.
Za analizu Outlook i IE pretraživaa, konverziju MS Outlook .pst fajlova u otvoren
tekst, analizu keš fajlova i kolaia (cookies) koriste se ala
: libpst, readpst, pasco, galleta.
Prikupljanje paketa u mrežnoj forenzici može se izvrši
sa ala
ma kao što su: tcpdump, etherreal, tcpow, ssldump, tcptrace, ngrep, drinet, bazini ala
za digitalnu
forenziku istragu na Internetu su: nslookup, dig, whois, traceroute.
Za ak
vnu digitalnu forenziku akviziciju (Live Digital Forensic Aquisions), ispi
vanje memorija, stanja sistema i konguracije, log fajlova i host baziranih IDS sistema
mogu se koris
ala
kao što su: ps, netstat, ifcong, lsof, memdump, tripwire.
Digitalna forenzika sovera - emulatora/simulatora, debagera, dissassemblers i
reverzni inženjering vrše se ala
ma kao što su: gdb, strace, coreography, fenris, truss
i dtrace (Solaris).
Za digitalnu forenziku istragu esto se korisni i brojni ne-forenziki ala
za otkrivanje grešaka u hardveru i soveru i otklanjanje bagova (debugging tools), konverziju i
migraciju podataka, popravljanje podataka, procesiranje log fajlova, ala
za sta
s
ke
proraune i proraun trenda i dr.
Pozna
ji izvori za Linux alate su sledee web lokacije: e-evidence.info, opensourceforensics.org, Linux-forensics.com, freshmeat.net i sourceforge.net.
226 I J 4.4.4.3 SPADA forenziki alat na bazi Linux OS
Na slici Slika 4.71 prikazan je desktop soverskog forenzikog alata SPADA na bazi
Linux OS, [28].
Slika 4.71 Desktop SPADA forenzikog alata
Kada se instalira SPADA i pojavi desktop, na dnu ekrana vide se ikone task bar-a koji
je deo KDE GUI interfejsa, kojeg SPADA koris
. Meu m ikonama su ikone za razliite
programe i pod-menije. Za primenu osnovnih funkcija SPADA alata, koje naješe služe
forenziarima kao alat za inicijalnu pretragu, postoje e
ri osnovna koraka:
1. Korak: Forenziar se prvo mora uveri
da raunar ima instaliran CD-ROM drajv i
da se raunar butuje, kao prva opcija sa CD drajva. Za
m treba da proveri podešavanje
BIOS-a da se uveri da e se raunar butova
sa CD-ROMa.
Mnogi raunari pokazae, tokom POST52 procesa, poruku koja indicira kako se ide u
BIOS prozor za podešavanje (Setup Screen). Ako se ovo ne prikaže ak
viranjem nekoliko pki tastature u toku procesa POST, esto e se generisa
POST greška i dopus
e
pristup BIOS Setup-u, slika 4.72.
52 Power On Self Test
> @Y\ 227
Slika 4.72 Ak
viranje POST procesa za pristup BIOS setup-u
Tipian ekran za podešavanje BIOS-a prikazan je na sledeoj slici, (slika 4.73).
Slika 4.73 Podešavanje BIOS-a u SPADA alatu
Ako raunar nije kongurisan da se butuje sa CD-ROMa, mora se podesi
na takav
nain i konguracija setup-a treba da se memoriše. Druga podšavanja ne treba menja
,
a treba napravi
pisanu zabelešku o izvršenoj promeni.
2. Korak: Kada se PC konguriše da se butuje sa CD-ROMa, treba ubaci
CD u drajv i
restartova
i rebutova
sistem. Forenziar mora posve
posebnu pažnju na ak
vnos
na ekranu i treba da vidi SPADA meni za butovanje kao na slici slici 4.74.
228 I J Slika 4.74 SPADA meni za butovanje
Postoje dve bazine predenisane opcije za butovanje u Linux kernelu 2.4. Ovaj izbor treba da radi sa veinom sistema. Ako ne radi, treba eksperimen
sa
sa naprednim opcijama. Ak
viranjem Enter pke tastature treba da podigne sistem. Proces treba
posmatra
i bi
spreman na reagovanje na svako upozorenje na neku grešku, ili anomaliju. Za
m se na zahtev sistema unosi geografski region i podešavaju lokalno vreme i
datum.
3. Korak: SPADA program je podignut i proces inicijalnog pretraživanja sistema može
se u celini izvrši
sa SPADA desktopa. Sa menija desktopa, treba ak
vira
donju levu
ikonu i otvori
All Applicaon meni, a odavde izabra
System, za
m QTParted opciju,
(slika 4.75).
Slika 4.75 Ak
viranje procesa inicijalne pretrage sa SPADA alatom
> @Y\ 229
QTParted aplikacija se prva pokree da se forenziar upozna sa HD na host sistemu
i kako je par
cioniran. Forenziar treba da pažljivo no
ra imena diskova prikazana u
prozoru Device u QTParted aplikaciji, zato što ta informacija može treba
kasnije. Kada
se ove informacije no
raju, aplikaciju treba zatvori
, ili minimizira
, (slika 4.76).
Slika 4.76 Otvaranje QTParted aplikacije u SPADA alatu
Treba zapazi
da SPADA „vidi“ Windows Dinamike diskove, koje podržavaju Windows 2000 i XP OS-i i može ih instalira
kao normalne par
cije vrstog diska. Ako se
dinamiki diskovi instaliraju na host sistem, linkovanjem u folder na drugoj par
ciji,
SPADA ih nee vide
u tom folderu.
4. Korak: Sada se QTParted aplikacija može zatvori
, ili minimizira
i pošto je SPADA
ve instalirala diskove u modu „samo itanje“, forenziar može nastavi
etvr
korak
- ispi
vanje diskova na potencijalne dokaze. Postoji nekoliko naina pretraživanja diska, a najbolje je tehniku odredi
prema pu informacija koje forenziar traži. Kako se
SPADA esto koris
kao alat u inicijalnoj pretrazi sluajeva deije pornograje, jedna od
kljunih aplikacija je Mediand. Za ak
viranje te aplikacije treba izabra
Forensic Tool
ikonu na desktopu, koja e otvori
sledei prozor, (slika 4.77).
230 I J Slika 4.77 Ak
viranje Mediand aplikacije u SPADA alatu
Treba izabra
No.6 i pri
snu
OK. Prvi otvoreni prozor sadrži upozorenje da se ne
zatvara dok se koris
MediaFind aplikacija. Za nekoliko sekundi otvara se drugi prozor
na kojem se može izabra
par
cija(e) za pretragu. MediaFind prozor prikazan je na slici
slici 4.78.
Slika 4.78 MediaFind prozor u SPADA alatu
> @Y\ 231
Kada se izabere željena par
cija, treba izabra
OK i program e traži
da selektujete minimalnu veliinu fajla kojeg tražite. Ovo je zgodna funkcija koja eliminiše vrlo
male grake fajlove, koji se obino nalaze u Windows sistemu. Takvih fajlova, vremenom akumuliranih, može bi
na sto
ne, kao što su male ikone, delovi poseenih
web lokacija itd. Ako forenziar nije siguran u minimalnu veliinu fajla, treba ostavi
podrazumevanu poziciju.
Rezulta
MediaFind aplikacije prikazani su na slici Slika4.79. Aplikacija automatski
stavlja thumbnail (male slike) ikone i linkove do svakog fajla pronaenog u folderu, koji
ima ime pretraživane par
cije, kako je gore prikazano. Otvaranjem ovog foldera pojavljuju se ikone fajlova koje sadrži. Ako postoji p fajlova koji se može iden
kova
po
ekstenziji, kao što su .gif, .jpg, .bmp itd., ikona e bi
veliine thumbnail reprezentacija
fajla. Neki fajlovi se nee prikaza
u thumbnail veliini, ali još uvek mogu bi
vidljivi.
Slika 4.79 Rezulta
MediaFind aplikacije
Za detaljno gledanje fajlova, treba samo otvori
željeni fajl. SPADA je opremljena sa
brojnim pretraživaima za otvaranje fajlova koji mogu prikaza
ceo imidž diska. Kada
se kursor miša postavi iznad ikone fajla, na dnu panela prikazae se lokacija aktuelnog
fajla u sistemu. U ovoj taki, forenziar može kopira
fajl koji sadrži neki dokaz na drugi
forenziki medijum.
Komandna linija SPADA/Linux programa potrebna je, jer se mogu pojavi
sluajevi
gde je poznavanje komandne linije korisno, iako je korišenje Linux GUI-a veoma lako,
na primer, neka nestandardna video karta može se neuspešno podiza
sa GUI Windows
XP sistemom. Kada se to dogodi, izlaz treba potraži
u komandnoj liniji. U tabeli 4.1.
prikazane su korespondirajue DOS i Linux komandne linije.
232 I J Tabela 4.2 Korespondirajue DOS i Linux komandne linije
DOS Command
Linux Command
DIR
ls
CD
cd
MD
mkdir
COPY
CP
DEL
rm
REN
mv
ATTRIB
chmod
Takoe, treba zna
da je Linux sistem osetljiv na veliinu slova, za razliku od DOS
opera
vnog sistema. Ako se radi u Linux komandnoj liniji, imena fajlova, ili putanje sa
mešovitom veliinom slova alfabeta, moraju se otkuca
tano onako kako se pokazuju.
Druga osobina Linux-a je da ne prihvata prazan prostor u imenu fajla, što može izazva
problem kod korišenja komandne linije. Da bi se ovaj problem prevazišao, treba
razmak u nazivima Windows fajl sistema u Linuks komandnoj liniji zameni
sa znakom
?, Na primer, Documents and Seings u Windows bie cd:\Documents?and?Sengs u
Linix komandnoj liniji.
Ekvivalent DOS, ili Windows prozora u Linix sistemu je Terminal Window. Ekvivalent
butovanja DOS/Windows sistema u DOSu je butovanje Linux mašine u Terminal modu.
Za otvaranje Terminal prozora u SPADA alatu, treba jednostavno selektova
ikonu Terminal Program u meniju na desktopu, (Sslika 4.80).
Slika 4.80 Otvaranje Terminal prozora u SPADA alatu
Kao DOS prozor u Windows OS, ovaj boks se može proširi
na puni ekran, što se
preporuuje, a izvršava pri
skom na srednju ikonu u gorenjem desnom uglu, (slika
4.81).
> @Y\ 233
Slika 4.81 Proširivanje Terminal prozora u SPADA alatu na puni ekran
Kao i DOS, Linux e se predstavi
sa promptom komandne linije [email protected][knoppix]#,
gde # simbol predstavlja heš potpis i indicira da je sistem u administratorskom modu i
da forenziar ima kompletnu kontrolu nad sistemom.
Osnovna navigacija u Linux Terminal Window: Verovatno najkorisnija Linux komanda je ls – komanda liste sadržaja direktorijuma. Kao DIR komanda u DOSu, ova komanda pokazuje listu fajlova u tekuem direktorijumu. Kao i u DOSu, postoji neki broj
prekidaa (svieva) koji se mogu koris
za denisanje naina rada ls komande. Korisna
kombinacija podešavanja je: ls-al. Ova kombinacija e pokaza
sve fajlove u tom direktorijumu, ukljuujui skrivene fajlove u nekom formatu sa dugim imenom. U tabeli 4.3.
prikazani su razlii
ls svievi, [28].
234 I J Tabela 4.3 Svievi za za denisanje naina rada ls komande
Kada forenziar otvori Terminal prozor, nalazi se podrazumevano u pod-direkrorijumu nekoliko slojeva duboko u strukturi fajl sistema, što je prikazano putanjom:
//ramdisk/home/knoppix.
Za prelazak na rut direktorijum sistema treba koris
komandu cd razmak-prednja
kosa (cd /). Kao u DOS sistemu, ova komanda vodi na rut direktorijum bilo sa koje
lokacije na logikom disku. Ako se sada izvrši komanda ls, može se vide
nekoliko izlis
ranih fajlova i subdirektorijuma. edan od ovih, subdirektorijuma mnt sadrži fajlove koji
su virtuelna taka za instalaciju ureaja, ukljuujui vrste diskove na host raunarskom
sistemu.
Za navigaciju diskova nabaenog host raunara iz ruta (/) sistema, treba promeni
na mnt direktorijum (cd mnt). Ako je disk instaliran, ls e pokaza
ime diska (hda1,
sda1 itd.). Kada se pree na izabranu par
ciju – cd hda1, na primer i otkuca ls, videe
se poznato Windows okruženje. Odavde forenziar može pretraži
logiki disk i na
forenziki ispravan nain izvrši
inicijalno ispi
vanje diska. Za ispi
vanje diska u pinoj
> @Y\ 235
korisnikoj oblas
na Windows baziranom raunaru, treba gleda
fajlove u direktorijumu Documents and Sengs, kucajui Documents?and?Sengs u komandnoj liniji
Linux-a.
Zavisno od sluaja, ovo inicijalno ispi
vanje, može da
dovoljno podataka forenziaru
da iskljui osumnjieni raunar i da ga privremeno ne oduzima za laboratorijsko
forenziko ispi
vanje. Za dalje ispi
vanje funkcionalnos
SPADA alata treba prikljui
eksterne pokretne memorijske ureaje kao što su USB, eš memorije, eksterni diskovi
itd. i kopira
sumnjive fajlove na te ureaje za kasnije ispi
vanje, ili prezentaciju pred
sudom.
SPADA, naravno, nije jedini butabilni Linux CD.
4.4.4.4 Prednos
i nedostaci Linux baziranih forenzikih alata
Prednos
i nedostatke Linux/Unix forenzikih alata treba razmatra
u odnosu na
primenu na terenu i u forenzikoj laboratoriji.
Raspoloživost Linux forenzikih alata je veoma visoka. Sover je besplatan i dostupan na Internetu, a izvorni kôd je obezbeen. Alate je mogue doves
do izvanredne
tanos
i ekasnos primene, pošto dopuštaju vei stepen automa
zacije i unošenja
programskih kôdova (skriptova). Ova svojstva su korisna za analizu više sluajeva u isto
vreme i vei obim laboratorijske forenzike analize. Kako se izvorni kôd može slobodno menja
ovi ala
su korisniki prilagodljivi i mogu se uini
op
malnim u datom
okruženju.
Podrška ovim ala
ma je brza i efek
vna, ukljuujui help desk, brzu implementaciju zakrpa i novih rešenja, što je idealno za akademske forenzike laboratorije.
Koristei otvoren izvorni kôd nezavisno od proizvoaa, Linux usmerava na zajedniki
rad konkurentskih grupa, zasnovan na prethodnim iskustvima i obezbeuje vremensku
kompa
bilnost tehnologija.
Osnovi nedostaci Linux alata u forenzikoj laboratoriji su:
• obino zahtevaju dodatnu obuku forenziara, vreme i rad za uenje,
• komandna linija nije toliko intui
vna kao GUI interfejs,
• nema formalne organizacije za podršku, iako je neformalna podrška interesne
zajednice nekada superiornija,
• kvalitet podrške veoma varira,
• otežana je interoperabilnost sa drugim tehnologijama u vlasništvu (Micros,
npr.),
• u nekim sluajevima slaba je dokumentacija, gde izvorni kôd može bi
jedina
dokumentacija.
236 I J Pored problema velike koliine digitalnih podataka za akviziciju i analizu, jedan od
znaajnijih problema digitalne forenzike istrage je potreba da se u veini prak
nih
sluajeva zahteva primena velikog broja razlii
h alata za akviziciju i analizu digitalnih
podataka. Ovde nije problem primena velikog broja specijalizovanih alata koji izvršavaju
najbolje odreene forenzike funkcije, nego potreba da se precizno razume kako ovi
ala
rade, što postaje sve složenije, kako se dodaju novi ala
u nekom procesu. Na
primer, veina forenziara sugeriše da se koris
Knoppix boot CD za forenziko butovanje ispi
vanog raunara sa Windows plaormom, imidžovanje i ispi
vanje vrstog
diska i uverava da je to forenziki ispravna praksa. Meu
m, sve dok se ovaj alat dobro ne upozna, ne može se zna
da Knoppix podrazumevano upisuje u swap fajl na
vrstom disku im se poveže na raunar, što može prepisa
korisne podatke i uniš
forenziku istragu. Naravno ova se akcija može onemogui
u toku procesa butovanja,
ali to treba zna
i uradi
. Zato je odgovor na pitanje da li koris
ovaj alat, pre „možda“,
nego „da“.
Ako forenziar zna šta traži, gde da to nae i ako nae relevantne podatke, za digitalni dokaz kompromitacije ispi
vanog raunara, to još uvek ne znai da zna šta se dogodilo i kako je došlo do incidenta. Na primer, u sluaju u kojem je osumnjieni zaposleni
optužen da je namerno izvršio defragmentaciju diska kada je saznao da forenziki m
dolazi da privremeno oduzme disk radi ispi
vanja. Forenziar je pregledom prefetch
direktorijuma u NTFS fajl sistemi Windows XP OS otkrio da je defragmentacija izvršena
neposredno pre oduzimanja, što je zaposleni negirao. Meu
m, forenziar nije znao
prefetch funkciju i da Windows OS stavlja listu esto korišenih aplikacija u folder koji
se zove prefetch, a koji se nalazi u Windows direktorijumu, ima ekstenziju .pf i pino
ima alfa numeriku sekvencu posle imena fajla. Prefetch je poboljšana karakteris
ka
Windows OS. Forenziar je pregledom prefetch direktorijuma video dva fajla: DEFRAG.
EXE-23434DEF.pf i DFRGNTFS-2223rrdesfc.pf. Posmatranjem ova dva fajla i njihovih
vremena modikacije, izgledalo je da je zaposleni ak
virao defragmentaciju diska
neposredno pre oduzimanja diska. Meu
m, to nije bilo tano. Forenziar nije znao
da Windows XP pokree defragmentaciju diska automatski i u pozadini kada je sistem
neak
van (idle) neko specino vreme, pino 5 minuta. Da je to forenziar to znao
mogao je manuelno pokrenu
defragmentaciju diska, vide
koji se fajlovi javljaju u
prefetch direktorijumu i uporedi
ih sa onima koje je prethodno otkrio. Da je ovo uradio forenziar bi video da se fajlovi ne slažu. Dalje bi mogao proveri
na web-u (Google)
ili nekom drugom mestu da ove fajlove u prefetch direktorijumu pravi Windows OS,
vršei op
mizaciju performansi diska i da nisu rezultat akcije krajnjeg korisnika.
Ovaj i slini primeri ukazuju da forenziar mora precizno i odluno izne
svoje
svedoenje/veštaenje pred sudom. Digitalni dokaz nije opipljiv, a druga strana uvek
može ima
slinog ili boljeg forenziara koji može nai puko
nu u dokazu.
> @Y\ 237
4.4.5 Kompara
vni pregled funkcija kljunih forenzikih alata
Rezulta
uporednog pregleda osnovnih funkcija relevantnih forenzikih alata, da
u tabeli 4.4, mogu bi
korisni i pomoi forenziaru kod izbora forenzikog alata koji
najbolje odgovara potrebama, [29].
Tabela 4.4 Uporedni pregled osnovnih funkcija relevantnih forenzikih alata
Access Data
Ulmate Kit
(FTK)
Funkcija forenzikog alata
Akvizicija
Fiziko kopiranje podataka
Logiko kopiranje podataka
Forma
akvizicije podataka
Proces komandne linije
GUI proces
Udaljena akvizicija
Verikacija
Validacija i diskriminacija
Heširanje
Filtriranje
Analiza hedera fajlova
Ekstrakcija
itanje podataka
Pretraživanje po kljunoj rei
Dekompresovanje
Rekonstrukcija fragmentovanog
fajla (carving)
Dešifrovanje
Oznaavanje dokaza
Rekonstrukcija bezbednosnog dogaaja
kopiranje diska na disk
Kopiranje imidža na disk
Kopiranje par
cije na par
ciju
Kopiranje imidža na par
ciju
Izveštavanje
Log izveštaj
Generator izveštaja
Guidance
Soware
EnCase
*
**
**
***
***
Digital
Intelligence
Drive Spy
Legenda:
* Zahteva se nabavka Enterprise Edion
** Koris
MD5 i SHA1 algoritme za heširanje
*** Varira format fajlova koje podržava
238 I J 4.4.6Validacija i tes
ranje forenzikih alata
Ekstrakcija i izgradnja vrs
h digitalnih dokaza koji optužuju, ili oslobaaju osumnjienog i svedoenje pred sudom, krajnji su ciljevi digitalne forenzike istrage, akvizicije i
analize podataka. Da bi sud prihva
o digitalni dokaz, forenziar mora bi
spreman da,
po zahtevu sudije, tes
ra i vrednuje forenziki soverski alat sa kojim su dokazi procesirani u celom lancu istrage.
Na raspolaganju su odreeni ala
za validaciju forenzikog sovera, koji omoguavaju da forenziar razvije sopstvenu proceduru za validaciju i tes
ranje korišenog forenzikog alata.
Metodologiju za ispi
vanje forenzikih alata razvio je NIST. Razvoj metodologije
pokretali su zahtevi za funkcionalnos
forenzike istrage i analizu digitalnih podataka.
Ak
vnost forenzike istrage se deli u diskretne funkcije, kao što su zaš
ta od upisivanja
na HD, uzimanje imidža diska, pretraživanje nizova podataka itd. Razvijena je i ispitana
metodologija za uzimanje imidža diska, a u toku je razvoj metodologije za ispi
vanje
soverskih alata za blokiranje upisivanja na disk. Sledea planirana kategorija za razvoj
metodologije ispi
vanja su ala
za oporavak izbrisanih fajlova.
U prvoj razvijenoj metodologiji ispi
vanja alata za uzimanje imidža vrstog diska
ispitani su Linux dd i Safeback. Iz kategorije blokatora upisivanja tes
ran je alat RCMP
hdl, [33], [34].
4.4.6.1Razvoj procesa validacije forenzikih alata
Posle izbora kategorije alata i jednog alata iz te kategorije za ispi
vanje, razvija se
proces za ispi
vanje alata sa sledeim fazama:
• Razvoj dokumentovanih zahteva od strane iskusnih forenziara i specijalista
za tes
ranje i kriterijuma i sluajeva za tes
ranje , tzv. specikacija kategorije
alata;
• Specikacija kategorije alata se postavlja na web stranicu za direktnu,
višestruku reviziju kompjuterske forenzike zajednice i javne komentare
drugih interesnih grupa;
• Relevantni komentari i povratne informacije se ugrauju u specikaciju:
• Dizajnira se radno okruženje za kategoriju alata.
4.4.6.2Proces tes
ranja soverskih forenzikih alata
Posle razvoja specikacije kategorije alata i izbora alata, m za tes
ranja izvršava
sledee ak
vnos
u procesu tes
ranja alata:
> @Y\ 239
• nabavlja alat za tes
ranje,
• revidira celu dokumentaciju,
• selektuje relevantne sluajeve za tes
ranje, zavisno od nominalnih karakteris
ka alata,
• razvija strategiju tes
ranja,
• tes
ra alat,
• piše izveštaj o tes
ranju,
• supervizorsko telo pregleda izveštaj o tes
ranju,
• isporuioci/proizvoai alata pregledaju izveštaj o tes
ranju,
• isporuioci/proizvoai postavljaju alat na web stranicu,
• nadležni en
tet postavlja izveštaj o tes
ranju na web lokaciju.
NIST je razvio opš
pristup za tes
ranje kompjuterskih forenzikih alata, sa opš
m
kriterijumima za tes
ranje opisanim u literaturi [34]. Generalno, nedostaju standardi,
ili specikacije koje opisuju što forenziki ala
treba da rade i šta treba da imaju da bi
prošli strogu proceduru pravosudnog procesa. NIST kriterijumi za validaciju i tes
ranje
forenzikih alata bazirani su na standardnim metodama tes
ranja ISO 17025 - Kriterijumima za tesranje komponen za koje ne postoje standardi. Forenzika laboratorija
mora zadovoljava
sledee kriterijume i održava
preciznu evidenciju:
• Uspostavi
kategorije kompjuterskog forenzikog alata: grupisa
soverske
alate prema ekspertski specikovanim kategorijama, na primer, forenziki ala
dizajnirani za izvlaenje podataka, ala
za praenje traga e-mail poruka itd.
• Iden
kova
zahteve za svaku kategoriju kompjuterskih forenzikih alata: za
svaku grupu opisa
tehnike karakteris
ke, ili funkcije koje forenziki ala
moraju ima
u toj kategoriji.
• Razvi
proceduru tes
ranja za verikaciju alata: na bazi zahteva razvi
proceduru za tes
ranje kojom se dokazuje, ili opovrgava navedena mogunost
forenzikog alata u odnosu na zahteve. Na primer, forenziki alat za oporavak
podataka mora bi
sposoban da izvue podatke iz RAM slack prostora fajla.
• Iden
kova
sluaj za tes
ranje: pronai i razvi
pove sluajeva za ispi
vanje
sa forenzikim alatom. Iden
kova
informacije za izvlaenje iz uzorka diska, ili
drugog medija. Na primer, koris
imidž zatvorenog test fajla koji je generisan
sa poverljivim forenzikim alatom za tes
ranje novog forenzikog alata u istoj
kategoriji i vide
da li su rezulta
is
.
• Uspostavi
i razvi
metod tes
ranja: razmatrajui namenu i dizajn alata,
specikova
metod kako tes
ra
forenziki alat i kakve instrukcije treba da ga
prate.
• Izveštaj o rezulta
ma tes
ranja: opisa
rezultate testa u izveštaju koji je u
skladu sa ISO 17025 standardom, koji zahteva da izveštaj o tes
ranju mora bi
taan, jasan, nedvosmislen i objek
van.
240 I J Drugi standard, ISO 5725, zahteva tanost za sve aspekte procesa tes
ranja alata,
što znai da rezulta
tes
ranja moraju bi
ponovljivi i reprodukvni. Ponovljivost rezultata znai da ako forenziar radi sa jednim alatom u istoj laboratoriji i na istoj mašini,
alat mora generisa
jednak rezultat. Reprodukvnost rezultata znai da ako forenziar
radi sa jednim alatom u razliitoj laboratoriji i na razliitoj mašini, alat mora generisa
jednak rezultat – izvui iste informacije.
NIST je razvio nekoliko alata za evaluaciju forenzikih alata za uzimanje imidža diskova FS-TST (Forensic Soware Tesng Support Tools) koji ispituje kapacitet forenzikog
alata za uzimanje bit-po-bit kopije diska. CFTT53 tvrdi da sledei programi za tes
ranje
napisani u Borland C++ 4.5 programskom jeziku mogu radi
sa MS DOS 6.3 OS:
DISKWIPE: inicijalizuje disk za tes
ranje na predenisane vrednos
za tes
ranje.
BADDISK: simulira loše sektore na disku zamenom Interupt13.
BADX13: kreira loše sektore na proširenom BIOSu diska, sektori se lis
raju u LBA
formatu.
CORUPT: korumpira jedan bit u specikovanom fajlu i proverava da li e ga
forenziki alat detektova
.
ADJCMP: uporeuje sektore prema sektoru sa dva diska razlii
h veliina, tj.
prilagoava i uporeuje sektore za diskove koji imaju razliite geometrije.
DISKCMP: uporeuje dva diska i odreuje da li su stvarno iden
ni, kada su kopirani sa forenzikim alatom za uzimanje bit-po-bit imidža.
PARTCMP: proizvodi SHA1 heš za celu par
ciju.
DISKHASH: proizvodi SHA1 heš za ceo disk.
SECHASH: proizvodi SHA1 heš za specikovan sektor.
LOGCASE: loguje informacije iz sluaja tes
ranja u fajl.
LOGSETUP: obezbeuje informacije za kongurisanje izvršnog diska za tes
ranje.
PARTLAB: štampa par
cionu MFT tabelu diska za tes
ranje.
DISKCHG: menja podatke na disku i odreuje da li se ta promena detektuje sa tes
ranim forenzikim alatom.
SECCMP: uporeuje sektore da bi se vrednovala kopija podataka.
SECCOPY: dopušta forenziaru da kopira specian sektor.
Drugi NIST-ovi program NSRL54 namenjen je za sakupljanje heš vrednos
fajlova svih
komercijalno raspoloživih programskih aplikacija i sistemskih programa. U NSRL repozitorujumu primarno se koris
SHA-1 algoritam za generisanje skupa digitalnih potpisa,
poznatog kao referentni skupi podataka - RDS (Rference Data Set). SHA-1 algoritam za
heširanje obezbeuje viši stepen tanos
od drugih metoda heširanja (MD5 i CRC-32).
Ovim se smanjuje broj pozna
h fajlova ukljuenih u ispi
vanje diska i ostaju samo nepozna
fajlovi. RDS se može koris
i za iden
kaciju loših pozna
h fajlova ukljuujui
one sa ilegalnim sadržajem (deija pornograja, virusi i slika).
53 NIST Computer Forensic Tool Tes
ng program
54 Na
onal Soware Reference Library
> @Y\ 241
4.4.6.3 Procedura za validaciju forenzikog alata
• Izvlaenje i ispi
vanje dokazujuih podataka sa jednim alatom.
• Verikacija dobijenih rezultata izvršavanjem is
h zadataka sa slinim soverskim forenzikim alatom.
• Za zadovoljenje kriterijuma za validaciju forenzikog soverskog, ili hardverskog alata, potrebno je koris
najmanje dva alata.
• Anali
ki alat za uporeivanje rezultata primene oba forenzika alata, mora
bi
dobro ispitan i verikovan.
• Forenziar mora bobro poznava
korišeni forenziki alat i ima
poverenje u
njegove performanse, u sluaju zahteva sudije za neko obrazloženje.
• Kao najjednostavniji metod za verikaciju novog forenzikog alata i
uporeivanje rezultata je korišenje disk editora, kao što je Norton DiskEdit,
HexWorkShop ili Win Hex, koji omoguavaju itanje podataka u sirovom formatu, pino prikazuju fajlove, hedere fajlova, fajl slack prostor, RAM slack i
druge podatke na zikom disku. Problemi mogu nasta
kod ispi
vanja kompresovanih fajlova (.ZIP ili .PST MS Outlook fajlova).
• Za validaciju novog forenzikog alata sa pouzdanim GUI forenzikim ala
ma
pa FTK i EnCase, primeni
sledeu proceduru:
• Izvrši
ispi
vanje digitalnih dokaza sa neknim GUI forenzikim alatom.
• Izvrši
isto ispi
vanje sa disk editorom (Win Hex ili HexWorkShop) i verikova
da li GUI forenziki alat vidi iste podatke na istom mestu na tes
ranom,
ili imidžu osumnjienog diska.
• Kada se fajl oporavi, odredi
heš vrednost u GUI alatu i u disk editoru, a za
m
uporedi
vrednos
i verikova
integritet fajla.
• U veini sluajeva FTK i EnCase forenziki ala
služe kao referentni pouzdani
ala
za verikaciju drugih forenzikih alata, jer su široko prizna
u pravosudnim sistemima brojnih država.
• Postoje brojni forenziki ala
koji mogu uspešno dopuni
kapacitete FTK i
EnCase alata i treba ih koris
.
• Ažuriranje zakrpe (ksiranje, peovanje), ili nadogradnja postojeeg alata,
potrebno je takoe verikova
, da bi se spreila korupcija digitalnih dokaza. Ako se utvrdi da novo ksiranje, ili nadigradnja nisu pouzdani, taj se alat
ne može koris
za forenziku akviziciju i analizu digitalnih podataka, dok
se problem ne otkloni. Prva mogunost je da se generiše izveštaj o grešci i
dostavi proizvoau, koji treba da dostavi novu ksiranu zakrpu. Sledei korak
je nova runda tes
ranja validnos
peovanog/nadograenog alata.
• Najbolji nain da se tes
raju novi peevi i nadogradnja je formiranje HD za tes
ranje i skladištenje podataka u nekorišeni prostor alociran za fajl, odnosno
u fajl slack prostor. Za
m treba koris
soverski forenziki alat za izvlaenje
242 I J h podataka. Ako je mogue izvui podatke sa forenzikim alatom i verikova
rezultat sa drugim alatom, to znai da je alat pouzdan.
• Kako se vremenom razvijaju i forenziki ala
, potrebno ih je regularno ksira
novim zakrpama i nadograiva
novim verzijama. Pri tome treba primenjiva
navedenu proceduru za ispi
vanje validnos
nove verzije soverskog ili hardverskog alata.
4.5 STUDIJA SLUAJA: AKVIZICIJA IZVRNI FAJLOVA, RUTKITOVA,
ZADNJI VRATA I SNIFERA
Izvršni fajlovi (executable) predstavljaju fajlove koji se mogu pokreta
kao programi
i obino se završavaju sa ekstenzijom .exe. Izvršni fajlovi predstavljaju specijalni sluaj
digitalne forenzike akvizicije fajl sistema. U najveem delu, izvršni fajlovi slede poznatu
i dokumentovanu strukturu, zato što ih treba ak
vira
na razlii
m verzijama Windows
OS. Meu
m, autori malicioznih programa su otkrili nain da maskiraju strukturu da bi
otežali, ili onemoguili analizu. Razumevanjem strukture i formata ovih fajlova i kako
oni treba da izgledaju, forenziari mogu razlikova
legi
mne fajlove i izolova
sumnjive
fajlove u Windows OS. Korišenjem specinih tehnika i poznavanjem strukture i formata izvršnih fajlova, forenziar može odredi
koji su fajlovi legi
mni i koje artefakte
treba pripisa
odreenom delu malicioznog koda.
Od posebnog znaaja za forenziara je lokacija i poznavanje rutkit alata koji se sve
više koriste ne samo u kompjuterskom kriminalu, nego i u ‘legi
mnim’ komercijalnim
aplikacijama.
4.5.1 Rutkit ala
Rutkit je tehnologija - alat koji se sastoji od malih i korisnih programa koji dozvoljavaju napadau da sauva pristup rutu i prikrije prisustvo na raunaru. Rutkit program
je kreiran da sakrije kôd i podatke na sistemu. Obino je namenjen za daljinski pristup
i prisluškivanje. Rutkit tehnike nisu uvek „loše” i ne koriste ih samo zlonamerni napadai.
U Linux i Unix OS, rut je deo sistema sa najvišim privilegijama pristupa. Korisnika
prava pristupa sa rut privilegijama omoguavaju kompletnu kontrolu mašine. Naziv
rutkit nastao je od alata koji sadrži programe za održavanje, ili zadržavanje u rutu. Rutkitovi su jedan od naješe korišenih hakerskih alata za prodor u raunarske sisteme.
Hakeri ih koriste za sledee funkcije:
• sprei
logovanje ak
vnos
,
• uspostavi
zadnja vrata (backdoor) za ponovljeni ulaz,
> @Y\ 243
• sakri
ili ukloni
dokaz o inicijalnom ulazu,
• sakri
specine sadržaje fajlova,
• sakri
fajlove i direktorijume,
• sakupi
informacije, npr., korisnika imena i lozinke.
Da bi se haker koji poini kompjuterski kriminal uhapsio, potrebno je razume
alate
i tehnike koje hakeri koriste da savladaju korisnike sisteme.
Primer nee
ke primene rutkit alata je sluaj DRM sovera Somy kompanije za zaš
tu muzikih CD od kopiranja. Naime, strunjak za opera
vne sisteme Windows, Mark
Russinovich, je otkrio sluaj sada ve uvenog rootkit alata podmetnutog u DRM sover
koji je Sony isporuivao sa svojim audio diskovima. Kompanija Sony BMG (trenutno
druga najvea izdavaka kua na svetu) pokušala je da problem piraterije reši uvoenjem novog DRM sovera (tkz.„XCP“ tehnologije), koju je Sony licencirao od britanske
kompanije First 4 Internet. XCP (eXtended Copy Protecon) tehnologija radi samo na
Windows opera
vnim sistemima; dozvoljava reprodukciju muzike na raunaru samo
iz prateeg plejera i spreava korisnike da naprave više od par kopija originalnog diska.
4.5.1.1 Podela rutkit alata
Rootkit ala
se mogu podeli
u dve osnovne grupe, [6]:
1. aplikacioni rutkit ala, koji kao i sve ostale aplikacije rade u neprivilegovanom
korisnikom režimu (user mode) i
2. rootkit ala na nivou jezgra, koji se integrišu u samo jezgro i rade na nivou
jezgra (kernel mode).
Ove dve vrste alata razlikuju se po mestu u sistemu na kome su smešteni i nainu na
koji skrivaju svoje prisustvo u sistemu.
Aplikacioni rutkit ala zasnivaju svoj rad na zameni legimnih aplikacija zlonamernim fajlovima. Ubaeni fajlovi omoguavaju napadau da prikrije svoje prisustvo i da
obavi željene akvnos na sistemu (npr., alat može da obezbedi zadnja vrata, koja
napada može da iskoris).
U grupu programa koje napada menja kako bi sakrio svoje prisustvo na sistemu
spadaju programi koji:
• skrivaju zlonamerne fajlove i direktorijume koje je napada podmetnu (ls,
• nd, du),
• skrivaju procese koje je napada pokrenuo (npr., ps),
• spreavaju ubijanje procesa koje je pokrenuo napada (kill, killall),
• prikrivaju ak
vnos
napadaa na mreži – otvorene portove, mrežne
• konekcije (netstat, ifcong),
• skrivaju unos u fajl crontab,
244 I J • skrivaju zapise u log datoteci o vezama koje napada ostvaruje sa
• udaljenim sistemom (syslogd)
Rutkit ala
na nivou jezgra zasnovani su na injenici da je jezgro Linux sistema modularno - korisnik sa rut privilegijama može u jezgro uita
neki modul - LKM (Loadable Kernel Module) i na taj nain proširi
funkcionalnost opera
vnog sistema. Ovi
rutkit ala
se otkrivaju teže od aplikacionih, jer se integrišu u samo jezgro opera
vnog
sistema, što znai da ih može zaobii provera integriteta sistema obavljena u neprivilegovanom režimu rada.
4.5.1.2 Napad rutkit alama
Napadai koriste rutkitove za skrivanje i zaš
tu svog prisustva u raunarskom sistemu.
Rutkitovi u Windows sistemima nisu toliko rasprostranjeni kao u Unix OS i obino se
detektuju i odvraaju an
virusnim soverima. U Unix i Linux OS, administratori mreže
obino veruju komandi ps za prikazivanje liste svih sistemskih procesa i ls komandi za
lis
ranje svih fajlova lociranih na direktorijumu vrstog disk. Rutkit generalno sadrži set
hakerskih uslužnih alata, kao što su skriptovi za išenje log fajlova i sniferi mrežnih paketa. Pored toga, rutkitovi sadrže specijalizovane zamene kljunih Unix i Linux pomonih
alata, kao što su netstat, ifcong, ps i ls. Iako hakeri moraju dobi
pristup sistemu
žrtve pre nego što instaliraju rutkitove, lakoa njihove upotrebe, mogunost širenja i
koliina destrukcije koju mogu izazva
, ine ih ozbiljnom pretnjom za administratore
raunarskih mreža. Neizbežno, u veinu raunarskih sistema inltriraju se napadai
ili ih inciraju neki povi malicioznih kodova. Prema javnom priznanju USDO, ak ni
NASA sistemi nisu imuni na napade rutkitovima.
Napad na Linux sistem, zasnovan na rutkit ala
ma, izvodi se u e
ri faze:
• sakupljanje informacija o ciljnom sistemu (koji je opera
vni sistem u pitanju,
koja verzija jezgra, koji korisniki nalozi postoje itd.),
• s
canje administratorskih prava, tj, prava koja ima korisnik ruta i koja su
naješe neophodna za instalaciju,
• instaliranje rutkit alata i
• uspostavljanje kontrole nad ciljnim sistemom.
Napad na Windows OS može se izves rutkit alama upotrebom više razliih tehnika.
A. U!" #$^ `q#" {" }!"~`
"# {"^ "
Opera
vni sistem Windows sadrži odreene interfejsne komponente koje omoguavaju nadogradnju sistema ala
ma drugih proizvoaa.
> @Y\ 245
Izmena procesa prijavljivanja: Proces prijavljivanja na sistem (user logon process)
može se proširi
novim programima i/ili bibliotekama. Standardna procedura prijavljivanja na Windows sistem poinje zadavanjem kombinacije tastera Ctrl+Alt+Delete.
Nakon toga, proces winlogon, koji nastaje pokretanjem datoteke winlogon.exe, poziva
standardnu Windows biblioteku msgina.dll-GINA (Graphical Idencaon and Authencaon) koja proverava iden
tet korisnika na osnovu unetog korisnikog imena i lozinke. Korišenjem tehnike ubacivanja trojanca, unosi se FakeGINA rutkit alat, može da se
izmeni proces prijavljivanja.
Deakviranje sistema zašte datoteka: Napadai esto moraju da promene neki
sistemski fajl koji nije predvien da se menja. Da bi u tome uspeli, potrebno je da
nadvladaju Windowsov sistem zaš
te fajla - WFP (Windows File Protecon). Prilikom
instalacije opera
vnog sistema generiše se spisak znaajnih sistemskih fajlova. Njihova
zamena drugom verzijom mogua je jedino ukoliko administrator instalira neku zvaninu zakrpu (hoix) ili novi Service Pack.
Napadi sa DLL injecon i API hooking: Ove dve tehnike napada usmerene su na
procese – napada ubacuje zlonameran kod u neki proces i na taj nain menja originalnu funkciju procesa. Tehnika ubrizgavanja DLL biblioteke (DLL injecon), tj. ubacivanja
zlonamerne DLL biblioteke u memorijski prostor ak
vnog procesa, izvodi se u nekoliko
faza. Tehnika API hooking nadovezuje se na DLL injecon i predvia ubacivanje zlonamernih rutkit funkcija u legi
mne DLL datoteke. AFX Windows Rootkit je jedan od
alata koji kombinuje tehnike DLL Injecon i API hooking. Ova aplikacija prikriva ak
vne
procese u sistemu, direktorijume, fajlove, zapise u bazi Registry, TCP i UDP portove itd.
Ovaj alat ne formira zadnja vrata, pa se zato se najpre formira „ulaz“ u sistem pomou
nekog drugog alata ije se prisustvo krije koristei AFX Windows Rootkit.
B. U!" "{```H H`" `"#"
Postoje razliite tehnike skeniranja konekcija koje su na raspolaganju forenziaru za
e
ki haking i udaljeni pristup ispi
vanom raunaru. Na raspolaganju su brojne tehnike
skeniranja koje se mogu koris
za ovu namenu. edan od pionira primene razlii
h
tehnika skeniranja konekcija je Fyodor55. Vei deo navedenih tehnika skeniranja razradio je upravo Fyodor, [5]:
• Skeniranjem preko TCP konekcije (TCP connect scan) udaljeni raunar se povezuje sa ciljnim i sprovodi se potpuno trostepeno usaglašavanje (SYN, SYN/
ACK i ACK), što ciljni sistem lako otkriva.
• Skeniranje pa TCP SYN ili poluotvoreno skeniranje (half-open scanning),
pošto se ne ostvaruje potpuna TCP veza. Skener ciljnom prikljuku šalje paket
SYN, a ako od prikljuka primi paket SYN/ACK, može da zakljui da prisluškuje
konekciju (da je u stanju LISTENING). Ako se primi paket RST/ACK, to obino
znai da ciljna konekcija nije ak
vna. Za
m skener šalje paket RST/ACK tako
55 Fyodor je mnoge tehnike skeniranja ugradio u svoj alat Nmap.
246 I J da se potpuna veza nikada ne ostvaruje. Ova tehnika je diskretnija od ostvarivanja potpune TCP veze i ciljni sistem je možda nee zabeleži
.
• Skeniranje pa TCP FIN ciljnom prikljuku šalje paket FIN. Prema dokumentu
RFC 793, ciljni sistem treba da uzvra
paketom RST za sve prikljuke koji su
zatvoreni. Tehnika obino radi samo sa UNIX-ovim TCP/IP stekovima.
• TCP skeniranje pa „božine jelke” (Xmas Tree) ciljnom prikljuku šalje pakete FIN, URG i PUSH. Prema dokumentu RFC 793, ciljni sistem treba da uzvra
paketom RST za sve zatvorene prikljuke.
• Nulto TCP skeniranje (Null) iskljuuje (resetuje) sve indikatore. Prema dokumentu 793, ciljni sistem treba da uzvra
paketom RST za svaki zatvoren
prikljuak.
• Skeniranjem pa TCP ACK otkrivaju se pravila zaš
tne barijere (rewall).
Ovim se može utvrdi
da li je zaš
tna barijera samo ltar za pakete koji dozvoljava prolaz jedino za uspostavljene veze (veze sa ukljuenim bitom ACK)
ili je re o barijeri koja uva informacije o sesiji, sa složenim mehanizmom
propuštanja paketa.
• Skeniranjem TCP prozora otkrivaju se otvorene kao i ltrirane/neltrirane
konekcije na nekim sistemima (na primer, na sistemima AIX i FreeBSD), a prema odstupanju koje se javlja u izveštaju o veliini TCP prozora.
• Skeniranje pa TCP RPC je tehnika, specina za sisteme UNIX, koja se koris
za otkrivanje i iden
kovanje konekcija za daljinsko pozivanje procedura
- RPC (Remote Procedure Call) programa koji su s njima povezani i verzija h
programa.
• Skeniranjem pa UDP ciljnoj konekciji se šalje paket UDP protokolom. Ako
ciljni prikljuak odgovori porukom „ICMP port unreachable”, to znai da je
prikljuak zatvoren. Ukoliko skener ne primi takvu poruku, može se zakljui
da je prikljuak otvoren. Pošto je UDP poznat kao protokol kome ne treba
povezivanje, preciznost ove tehnike veoma zavisi od optereenja mreže i
sistemskih resursa. UDP skeniranje postaje veoma sporo ukoliko njime skeniramo ureaj koji detaljno ltrira pakete. Ukoliko se UDP skeniranje primenjuje putem Interneta, rezulta
su nepouzdani.
Izvesne realizacije protokola IP imaju neugodnu osobinu da uzvraaju paketom RST
za svaki skeniran prikljuak, bilo da se on prisluškuje ili ne. Zbog toga rezulta
koje se
dobijaju takvim skeniranjem mogu da variraju. Meu
m, skeniranje pa TCP SYN i skeniranje preko TCP konekcije rade u svim sluajevima.
> @Y\ 247
4.5.2 Detekcija rutkitova, zadnjih vrata i mrežnih snifera
4.5.2.1 Detekcija prisustva rutkitova
Ulazak napadaa u raunarski sistem može ostavi
dokazni trag u razlii
m podacima log fajla. Veina rutkitova ukljuuje uslužne alate za automatsko uklanjanje svakog sumnjivog ili inkriminišueg podatka iz log fajlova. edan od uobiajenih indikatora
prisustva rutkita u sistemu je kada jedan ili više kljunih uslužnih alata koji su ranije
radili bez otkaza, odjednom ponu da se ponašaju nekonzistentno, zato što je napada zamenio te alate sa verzijama rutkitova dizajniranim da sakriju svoje maliciozne
ak
vnos
, a koje se razlikuju od standardnih alata. Na primer, komandna linija prebaci
na netstat ili ps, koji organizacija koris
bez problema svaki dan, može poe
da vraa
pogrešne poruke. Detekcija rutkitova je vitalna iako može bi
najteži zadatak za sistem
administratora. Tehnike i ala
rutkitova spadaju u kategoriju malicioznih programa pa
virusa, crva i trojanaca i detektuju se manje više na is
nain. U stvari, veina rutkitova
sadrži komponentu zadnjih vrata trojanca za obezbeivanje kasnijeg ulaza. Sos
ciran
haker nee ostavi
nikakav trag koji se može otkri
forenzikim ala
ma. Drugi mogu
ostavi
tragove koje forenziar može otkri
, ali samo ako je familijaran sa OS i mrežom.
Sa poveanjem kapaciteta HD i kompleksnos
OS, traženje dokaza u hiljadama fajlova
o prisustvu rutkitova može lii
na traženje igle u plastu sena. Pored toga, instalacija
rutkitova esto falsikuje vremenski peat i informaciju o veliini fajla, tako da spreava
vizuelnu kontrolu integriteta od strane sistem administratora sa Unix/Linux ls komandom.
ProDiscover Suite kombinuje sve alate iz grupe ProDiscover. To je moan kompjuterski forenziki alat koji omoguava korpora
vnim profesionalcima zaš
te da reaguju
na incident sa unutrašnjeg i spoljašnjeg izvora. ProDiscover Suite omoguava forenziaru daljinsko ispi
vanje sadržaja diska ispi
vanog sistema preko mreže – proveru da li
postoje Trojanci ili neki drugi maliciozni programi koji su možda kompromitovali sistem,
ili da bi istražio ilegalne ak
vnos
narušavanja poli
ke zaš
te korporacije ili incident
kompjuterskog kriminala. Pomou ProDiscover Suite, mogu se skupi
dokazi za potencijalne pravosudne procedure. Primena ovog seta alata obezbeuje brojne pogodnos
forenziaru:
• Ubrzava istragu i štedi putne troškove pomou udaljenog pristupa i ak
vne
forenzike akvizicije ispi
vanog sistema preko mreže;
• Brzo otkrivanje Trojanaca i rutkitova, ak i kernel mode Trojance koji se
prikrivaju u sistemima;
• Svi sakupljeni podaci koji se šalju preko mreže mogu bi
zaš
eni 256 bitnim
Twosh šifarskim sistemom;
• Automatsko kreiranje i snimanje MD5 ili SHA1 heš vrednos
fajlova sa digitalnim dokazima za zaš
tu integriteta dokaza;
248 I J • Kreiranje imidža celog osumnjienog diska, ukljuujui i sakrivene delove, da
bi se sauvali originalni dokazi;
• Pregledanje FAT12, FAT16, FAT 32 i sve NTFS fajl sisteme ukljuujui Dynamic
Disk i Soware RAID;
• Pregledanje Sun Solaris UFS i Linux Ext. 2/3 fajl sisteme.
ProDiscover Suite je kljuni alat za efek
vnu digitalnu forenziku istragu i odgovor
na kompjuterski incident. Od ovog alata nije mogue sakri
podatke, jer ita HD na
nivou sektora i na taj nain „nadmudruje“ standardne fajl sisteme. Ovo omoguava
da se povrate obrisani fajlovi, pretražuju podaci u fajl slack prostoru i nealociranom
prostoru diska kao i pregled Windows Alternate Data Streams. Ovaj jedinstveni pristup
takoe omoguava da se pregledaju fajlovi bez promene bilo kojih dragocenih dokaza
na disku.
ProDiscover Suite omoguava daljinsku ak
vnu pretragu sistema u okviru mreže
dok su još uvek povezani i izvršavaju svoje uobiajene zadatke. Nije potrebno ni rebutova
sistem da bi se izvršilo forenziko ispi
vanje. Za osetljivije pretrage ProDiscover
Suite podržava stealth mode (skrivenjen metod).
ProDiscover Suite vrši pretragu fajlova i procesa koji su zamaskirani Trojancima ili
rutkitovima. Može se kreira
referentni skup heš potpisa za sve fajlove na sistemu i
kasnije koris
te potpise da bi se uporedili sa kompromitovanim sistemom tj. da bi
se videlo da li su neki fajlovi izmenjeni. Mogua je i pretraga diska, ukljuujui i slack
prostore, po zadatoj rei i izrazu, (slika 4.82).
Slika 4.82 ProDiscover forenziki alat
> @Y\ 249
Sistemski zahtevi za instalaciju ProDiscover alata:
• Windows 2000/2003/2008/XP/Vista OS,
• 800 MHz ili više Penum-compable CPU,
• 256 MB RAM (512 MB i više preporueno),
• 25 MB slobodnog prostora na HD;
• CD-ROM ili DVD-ROM diskove;
• VGA ili monitor vee rezolucije i
• Tastatura i Miš.
Pozna
ji ala
za otkrivanje rutkitova su:
• RootkitRevealer56 je zakonom zaš
en alat za rutkit detekciju za Microso
Windows OS. edan od tragova koji rutkit ala
ostavljaju za sobom je razlika u „slici“ sistema, tj. u rezulta
ma skeniranja sistema na najvišem nivou
(Windows API) i rezulta
ma skeniranja na najnižem nivou („sirov“ sadržaj
fajl sistema ili baze Registry na disku). Zato se rutkit ala
(aplikacioni ili ala
jezgra), koji manipulišu API-jem da bi se sakrili, mogu otkri
na osnovu razlike izmenu informacija pribavljenih od API-ja i informacija dobijenih pri skeniranju strukture fajl sistema. Ovaj alat je prvi detektovao XCP rootkit koji je
kompanija Sony nee
ki koris
la u komericjalne svrhe;
• Rkscan je skener rutkit alata na nivou jezgra.
• Rkdet je detektor rutkit alata na Linux opera
vnim sistemima.
• Chkrootkit57 je kolekcija besplatnih alata za detekciju prisustva rutkitova na
Linux sistemima. Može detektova
potpise velikog broja razlii
h, pozna
h
rutkitova upotrebom jedne aplikacije, ali i pokree jedan generiki test i može
otkri
i potpis nepoznatog rutkita kojeg aplikacija ne podržava.
• Intact (Pedestal Soware)58 može detektova
prisustvo rutkitova kao i druge
povrede sistema zaš
te u Windows i Unix sistemima. Alat monitoriše promene
u raunarskim sistemima, uzimanjem snapshot objekata stabilnog sistema i
poreenjem sa stanjem ak
vnog sistema u realnom vremenu. Alat detektuje
neovlašene ulaze, efekte virusa, trojance, grube instalacione programe, korupciju fajlova, izmene bezbednosne konguracije i promene u podešavanju
log fajlova za auding.
Manuelna inspekcija, jedan od naina da se detektuju rutkitovi, obino se izvodi
korišenjem komande stringova. Pomoni ala
koji su standardni kod svih modernih
Unix/Linux plaormi, jedva da prikazuju itljive delove binarnih fajlova. Pomoni string
ala (strings ulity) traže stringove u regularnim fajlovima koji se mogu štampa
i pišu
ih na standardni printerski izlaz. String je svaka sekvenca od 4 ili više karaktera koji se
mogu odštampa
i koji se završava sa novom linijom ili sa karakterom 0. Za iskusne
56 Mark Russinovich, www.sysinternals.com
57 www.chkrootkit.org
58 www.pedestalsoware.com
250 I J sistem administratore komanda stringova može proizves
itljive podatke kao što su
imena fajlova u kojima napadai drže lozinke, verzija biblioteke sa kojom je kompajliran rutkit i druge informacije koje normalno nisu u korelaciji sa originalnim podacima
u ispi
vanom fajlu. Tana sintaksa koju koris
komanda stringova varira u zavisnos
od verzije Unix/Linux OS koji se koris
. Generalno, sintaksa za komande stringova je
sledea:
strings [ -a ] [ - ] [ -o ] [ -t (d) (o) (x) ] [ -n ] [ File name etc... ]
Oznake (ags) koje se koris
u Unix/Linux string komandama da
su u tabeli 4.5.
Tabela 4.5 Glavne oznake u Unix/linux string komandama
Oznaka
Funkcije oznaka (ags)
-a ili -
Ova oznaka traži stringove koji se mogu štampa
u celom fajlu (ne samo u sekciji
podataka)
-n(broj)
Iden
na je – number oznaci.
-o
Iden
na je oznaci –t o i lis
ra sve oktalne linije ofseta u fajlu.
-t(format)
Lis
ra oset svake prethodne liniju komande od poetka fajla.
d
Piše ofset u decimalnom formatu.
o
Piše oset u oktalnom formatu.
x
-number
le
Piše oset heksadecimalnog formata. Napomena: kada su denisane –o i –t
forma
oznaka više od jedanput u komandnoj liniji, poslednja oznaka specicira
ponašanje komandne linije.
Specicira minimalnu dužinu stringa, razliitu od podrazumevane vrednos
od 4
karaktera. Maksimalna vrednost dužine stringa je 4 096. Ova oznaka je iden
na
–(number) oznaci
Iden
kuje fajl kojeg treba pretraživa
4.5.2.2 Detekcija prisustva zadnjih vrata
Korišenje zadnjih vrata (backdoors) za ponovljene ulaske u sistem je popularna
tehnika hakera, pošto se ala
za postavljanje zadnjih vrata nalaze besplatno na haker> @Y\ 251
skim sajtovima. Napadai postavljaju zadnja vrata za kasniji ulazak u sistem, koristei
skriveni ID i lozinku za logovanje koji proizvoai hardvera, ili sovera legi
mno postavljaju u sistem za svoje tehniare za popravku i održavanje, ili trojance za uspostavljanje neovlašenog ID i lozinke za logovanje u sistem. Zadnja vrata za veinu napadaa
obezbeuju tri glavne funkcije:
• ui kasnije u sistem što je mogue skrivenije (da mašina ne ukazuje da ima
nekog online),
• ui kasnije u mašinu ak i kada je administrator obezbedi (npr., promenom
svih lozinki),
• ui kasnije u sistem u što kraem vremenu.
Veliki broj zadnjih vrata implemen
ran je primenom trojanaca. U stvari veina rutkitova sadrži „trojanizovanu“ verziju uobiajeno korišenih programa i sistemskih pomonih alata. Dve popularne verzije aplikacija trojanaca, koje rade kao serverske komponente na napadnutom raunaru su BackOrice i SubSeven. Trojanci za postavljanje
zadnjih vrata imaju brojne mogunos
, ukljuujui:
• upload ili download fajlova,
• premeštanje, kopiranje ili brisanje fajlova,
• brisanje HD ili drugog diska podataka,
• izvršavanje programa,
• gledanje ekrana monitora kako ga korisnik vidi,
• ak
viranje log kljua (ak i unos skrivene lozinke),
• otvaranje, zatvaranje i premeštanje prozora,
• pomeranje kursora miša,
• gledanje svih otvorenih konekcija prema i od raunara,
• zatvaranje mrežnih konekcija itd.
Postoje brojni trojanci koji cirkulišu Internetom. Veinu detektuju i otklanjaju an
virusni programi, ali je za forenziara korisno da znaju ponešto o svakom od njih. Kako
esto standardni an
virusni programi ne prepoznaju potpise novih rutkitova i trojanaca, na raspolaganju su efek
vniji besplatni ala
za otkrivanje instalacije trojanaca ili
zadnjih vrata u sistemu, pa:
• Fport.exe59 je jedini Windows alat (Foundstone Inc.), koji izveštava o svim otvorenim TCP/IP i UDP portovima, ali ih i pra
natrag da vlasnika aplikacije,
ak
vnih procesa sa ID, imenom i putanjom procesa.
• Nmap60 je besplatan mrežni maper, alat otvorenog koda, koristan za ispi
vanje mrežnih konekcija i auding sistema mrežne zaš
te, odreuje koji su
hostovi na raspolaganju u mreži i koje portove koriste. Radi na Unix i Linux OS,
a ima verziju komandne konzole i GUI interfejsa.
59 www.foundstone.com
60 www.insecure.org/nmap
252 I J • Listdlls.exe61 je Windows besplatan pomoni alat (autor Mark Russinovich)
koji prikazuje punu putanju modula koji se uitava.
• SuperScan je moan skener TCP portova, ureaj za pingovanje i detektor imena hostova (Foundstone Inc.), ekstremno brz i raznovrstan (slika 4.83).
Slika 4.83 SuperScan forenziki alat
Alat komandne linije netstat, koristan je za proveru mrežne konguracije i ak
vnos
u mreži, a podržavaju ga Unix, Linux i Windows OS. Pokazuje koji su portovi
na raunaru otvoreni i lis
ra sve otvorene konekcije prema i od raunara. Za praenje
otvorene konekcije u Windows sistemu, može se koris
besplatan alat TCPView62,
Windows program koji daje listu svih krajnjih taaka TCP i UDP (npr., klijent, server itd.),
ukljuujui lokalne i udaljene adrese i stanje TCP konekcija. U Windows NT, 2000 i XP,
ovaj alat izveštava imena procesa koji su vlasnici krajnjih taaka TCP.
61 www.sysinternals.com
62 www.sysinternals.com
> @Y\ 253
4.5.2.3 Detekcija prisustva mrežnih snifera
Skener (snier) mrežnih paketa je uslužni alat koji monitoriše i loguje mrežne ak
vnos
u fajl, praenjem saobraaja, ali bez ikakve modikacije mrežnih paketa. Ranije
su to bili hardverski ureaji ziki spojeni na mrežu, a danas su soverski. Hakeri i
krakeri ih koriste za hvatanje korisnikih imena i lozinki koja se prenose kroz mrežu
nezaš
eno, npr., u otvorenom tekstu ili istom ASCII formatu gde se mogu ita
u
Notepad-u. Gotovo svaki rutkit ukljuuje uslužni alat za praenje mrežnog saobraaja.
edan uznemirujue moan aspekt snier paketa je njihova sposobnost da postave host
mašinu u promiskuitetan režim rada, u kojem mašina prima ne samo podatke usmerene
na nju, nego i sav saobraaj podataka u ziki spojenoj lokalnoj mreži. To sniferu daje
ulogu špijunskog alata, pošto svaki interfejs u ovom modu sluša ceo mrežni saobraaj.
Za Windows sisteme može se koris
besplatan soverski alat komandne linije
PromiscDetect63 za otkrivanje mrežnih adaptera u promiskuitetnom modu, koji radi sa
Windows NT 4.0, 2000 i XP OS.
Pod Unix i Linux OS, komanda ifcong daje administratoru (superkorisniku) privilegiju da odredi koji ureaj radi u promiskuitetnom modu, što je indikator korišenja
snifera u mreži. Za proveru interfejsa pomou ovog alata treba u RUN-u otkuca
ifcong i traži
string PROMISC. Ako je ovaj string prisutan, interfejs je u promiskuitetnom modu. Za otkrivanje odgovornog procesa treba koris
ugraen alat kao što je ps
pomoni alat za iden
kaciju procesa.
63 www.ntsecurity.nu/toolbox/promiscdetect/
254 I J REZIME
Digitalna forenzika nauka obezbedila je forenzike alate za rela
vno lagan i
pouzdan pristup digitalnih istražitelja osetljivim digitalnim podacima, ali pino
nedostaju metodi za verikaciju korektnos
rada ovih alata, što je neophodno
kada se digitalna forenzka posmatra sa naunog aspekta.
Ranih 90-
h razvijeni su prvi ala
za istragu i ispi
vanje digitalnih podataka.
Brojni savremeni forenziki ala
koriste se istovremeno i za akviziciju i analizu
digitalnih podataka. Dele se u dve glavne kategorije: hardverski i sofverski ala
.
Kriterijumi za izbor adekvatnog specijalizovanog alata, ili seta alata, znaajnija
su pitanja za svakog forenziara, nego preporuke pojedinanih forenzikih alata.
Forenziki ala
se neprestano razvijaju, modernizuju, popravljaju i reklamiraju.
Kod nabavke forenzikog alata uvek treba ima
na umu vrste fajlova i podataka, koje alat treba da analizira. Preporuuje se namenski alat specijalizovan za
odreenu vrstu podataka, (npr., za MS Access bazu ili e-mail poruke), pre nego
neki univerzalni alat koji izmeu ostalog analizira i ove podatke. Strogo namenski
ala
su pouzdaniji za tu konkretnu funkciju. Sa druge strane, forenziar koji koris
višenamenski set alata, (npr., FTK), koji omoguava obavljanje više razlii
h
forenzikih zadataka, može brže i konfornije sa jednim alatom završi
sve zadatke. Razumno rešenje je da forenziar za terenski rad obezbedi rentabilan skup
alata koji izvršava što vei broj pinih forenzikih zadataka, sa odreenim specijalizovanim ala
ma koji brže i tanije izvršavaju datu funkciju.
Hardverski forenziki ala
obuhvataju stacionarne, portabl i prenosne radne
stanice, razliite pove blokatora upisivanja, ureaja za dupliranje vrstog diska, adaptera, specijalnih kablova, CD/DVD diskova za akviziciju, SCSI diskova
itd. Generalno, hardverski forenziki ala
su pouzdaniji, ali i skuplji i vremenski
zahtevniji za rad.
Sa aspekta funkcionalnos
, soverski forenziki ala
uslovno se dele u dve
glavne kategorije alata, za: ekstrakciju i prezentaciju digitalnih dokaza. Ala
za
ekstrakciju procesiraju podatke i ekstrahuju relevantan podskup dokazujuih podataka, a prezentacioni ala
aranžiraju podatke iz ekstrakcionog alata u forenziki
itljiv i koristan format. Veina savremenih alat (FTK, EnCase, iLook i dr.) integriše
i izvršava obe funkcije, ali postoje i jednofunkcionalni ala
.
Sa apekta poverenja u funkcionalnost, soverski ala
se dele na alate sa zatvorenim i otvorenim izvornim kôdom. Ako su ekstrakcioni ala
otvorenog izvornog kôda, a forenziar ima pristup izlazu ovog apstrakcionog sloja, tada on može
verikova
izlaz prezentacionog alata. Zbog toga prezentacioni alat može osta
sa zatvorenim izvornim kôdom, ali sa objavljenim dizajnom i funkcionalnos
ma.
Generalno, imajui na umu deniciju prihvatljivos
digitalnih forenzikih alata,
ala
sa zatvorenim izvornim kôdom mogu pruži
više prak
nih rešenja nego
> @Y\ 255
neki ala
sa 100% pozna
m izvornim kôdom. Ovo omoguava da se proizvoai
alata usredsrede na inova
vne prezentacione tehnike za analizu fajl sistema i
poboljšanje alata za ekstrakciju i prezentaciju u manje zrelim oblas
ma primene,
kao što su mrežna forenzika i redukcija podataka log fajlova za forenziku akviziciju i analizu. Koncept forenzikih alata sa otvorernim izvornim kôdom bitno se
razlikuje od koncepta drugih soverskih proizvoda sa otvorenim izvornim kôdom, jer je cilj obezbedi lakši pristup za reviziju i tes
ranje alata, a ne za njihovo
ažuriranje. U forenzike alate otvorenog kôda - OSS ubrajaju se ala
na bazi Unix
i Linux OS. Glavne prednos
Linux/Unix forenzikih alata, u odnosu na primenu
na terenu i u forenzikoj laboratoriji, su visoka raspoloživost, dobra podrška,
a nedostaci su: obino zahtevaju dodatnu obuku forenziara, vreme i rad za
uenje,komandna linija nije toliko intui
vna kao GUI interfejs, nema formalne
organizacije za podršku, kvalitet podrške veoma varira, otežana je interoperabilnost sa drugim tehnologijama u vlasništvu (Micros, npr.), u nekim sluajevima
slaba je dokumentacija, gde izvorni kôd može bi
jedina dokumentacija.
Sa aspekta interfejsa, soverski forenziki ala
grupišu se u dve osnovne kategorije: aplikacije komandne linije i GUI aplikacije. Znaajan aspekt soverskih
forenzikih alata je sposobnost potpunog kopiranja, ili uzimanja zike slike bit-pobit ili imidža osumnjienog diska, ili drugog medijuma sa potencijalnim dokazima.
Savremeni soverski forenziki ala
mogu generisa
elektronski izveštaj u
razlii
m forma
ma - Word dokument, HTML, RTF ili PDF. Osnovne komponente
procesa izveštavanja su: log izveštaj i generator za izveštavanje.
Da bi se obezbedio neophodni integritet digitalnih podataka, kao i poznavanje stepena greške koju alat unosi, potrebno je poznava
pouzdanu metodu
tes
ranja validnos
forenzikog alata. Na raspolaganju su odreeni ala
za validaciju forenzikog sovera, koji omoguavaju da forenziar razvije sopstvenu
proceduru za validaciju i tes
ranje korišenog forenzikog alata. Metodologiju
za ispi
vanje forenzikih alata razvio je NIST.
Pouzdanost i validnost generisanog dokaza, kao izlaza iz digitalnog forenzikog
alata, odreuje sudija u predistražnom postupku na bazi bazinih principa za
prihvatljivost nauno zasnovanih digitalnih dokaza pred sudom, da je procedura primene forenzikog alata: tes
rana, poznat stepen grešaka, objavljena i
višestruko nauno revidirana i generalno prihvaena u relevantnoj naunoj zajednici.
U procesu digitalne forenzike analize ispi
vanog raunara, od posebnog
znaaja za forenziara je lokacija i poznavanje rutkit alata, tehnika prikrivanja
zadnjih vrata, detekcije i uklanjanja rutkitova, koji se sve više koriste ne samo u
kompjuterskom kriminalu kao an
forenzike tehnike, nego i u ‘legi
mnim’ komercijalnim aplikacijama.
256 I J PITANJA ZA PONAVLJANJE
1. Navedite osnovne karakteris
ke alata koje je potrebno evaluira
za nabavku
forenzikog soverskog alata?
2. Koje osnovne funkcije obuhvata proces akvizicije digitalnih podataka?
3. Navedite dva metoda akvizicije podataka soverskim ala
ma.
4. Koje su tri osnovne funkcije validacije i diskriminacije podataka?
5. Koje su osnovne funkcije u procesu rekonstrukcije ispi
vanog diska?
6. Navedite nekoliko alata koji prilagoavaju geometriju CHS forenzikog diska
prema geometriji CHS originalnog/ispi
vanog diska.
7. Navedite neki alat koji vrše kopiranje sa imidža na disk.
8. Nabrojte nekoliko soverskih alata koji obezbeuju log izveštaje.
9. Nabrojte glavne kategorije hardverskih forenzikih alata.
10.Koje su dve osnovne kategorije soverskih forenzikih alata sa aspekta interfejsa.
11.Navedite nekoliko prednos
alata komandne linije.
12.Navedite nekoliko nedostataka GUI forenzikih alata
13.Kako se vrši akvizicija podataka EnCase alatom?
14.Kojom putanjom se mogu vide
potpisi fajlova u EnCase alatu?
15.Koji heš algoritam koris
EnCase v.4 forenziki alat?
16.Navedite ime najpozna
jeg forenzikog alata na bazi Linux-a.
17.Navedite osnovne elemente procedure za validaciju forenzikih soverskih
alata.
18.Zašto je znaajno poznavanje izvornog koda forenzikog alata?
> @Y\ 257
KLJUNI TERMINI
Adapter za akviziciju podataka: hardverski ureaj koji ima funkciju zikog
prilagoavanja razlii
h memorijskih medija u procesu akvizicije podataka sa
osumnjienog na forenziki sterilan medijum.
Akvizicija podataka: glavna faza digitalne forenzike analogna uzimanju o
ska
prsta, koja obuhvata procese otkrivanja, iden
kovanja i sakupljanja potencijalnih dokaza na bazi rezultata istrage u predistražnom postupku za potrebe
forenzike analize digitalnih dokaza; klasina akvizicija obuhvata naješe
uzimanje zike slike (imidža) HD i drugih medija ispi
vanog raunara, a živa
akvizicija podrazumeva skupljanje podataka sa raunara u radu.
Bezbedni heš algoritam (Secure Hash Algorithm): digitalni 160-bitni sažetak
sadržaja fajla (NIST) dobijen jednosmernom funkcijom koja se lako raunau jednom, a teško ili nikakou drugom smeru. FTK koris
180-bitni heš SHA-1. KFF biblioteka sadrži brojne heš funkcije pozna
h fajlova.
Blokator upisivanja: hardversko-soverski alat koji spreava upisivanje ili modikaciju podataka na ispi
vanom disku ranara, od svih prikljuenih medijuma za
skladištenje.
Butabilna disketa/CD: disketa/CD za nezavisno butovanje OS iz DOS komandne
linije.
Digitalna forenzika nauka: Korišenje nauno deriviranih i dokazanih metoda
za iden
kaciju, skupljanje, vrednovanje, analizu, interpretaciju, dokumentaciju, veštaenje, uvanje i rukovanje digitalnim dokazima sa ciljem olakšavanja, ili
unapreivanja rekonstrukcije dogoaja prepoznatog kao krivino delo, ili pomoi
za prepoznavanje neovlašenih akcija koje ometaju planirane operacije.
Dinamiko tesranje alata: podrazumeva ak
van rad forenzikog alata i
korišenje programa za monitorisanje promena koje alat izaziva u sistemu.
Ekstenzija fajla: oznaka pa fajla koju opera
vni sistem prepoznaje i pokušava
otvori
sa odgovarajuom aplikacijom.
Fizika Slika diska: (imidž, mirror) zika kopija bit-po-bit diska ispi
vanog
raunara na forenziki sterilan disk.
Forenzika analiza kibernekog prostora: najkompleksnija oblast digitalne
forenzike i može bi
veoma spor proces koji zahteva uspostavljanje legalne saradnje država u borbi pro
v kompjuterskog kriminala, ukljuujui usklaivanje
standarda za kvalitet, akviziciju, analizu, prezentaciju i upravljanje digitalnim
dokazima.
Forenzika analiza raunara: aplikacija ispi
vanja raunara i tehnika analize u
cilju odreivanja potencijalno legalnih dokaza, generisanih, ili uskladištenih u
raunaru.
258 I J Forenzika analiza sovera: visoko teoretski, najosetljiviji deo digitalne
forenzike analize, zahteva složene forenzike alate; iden
kacija autora malicioznog kôdazasniva se na selekciji odgovarajueg korpusa kôda i iden
kaciji
odgovarajuih karaktersi
ka za uporeivanje.
Forenzika analiza: Trea faza forenzikog procesa raunarskog sistema i mreže,
koja ukljuuje korišenje legalno opravdanih metoda i tehnika za derivaciju korisnih informacija koje su bile predmet sakupljanja u fazi pretrage.
Forenziki ala GUI pa: pojednostavljuju forenziku akviziciju i analizu, ali neki
ne mogu otkri
svaki dokaz; veina dolazi u setu alata za više zadataka (EnCase,
FTK); imaju nekoliko prednos
- jednostavna upotreba, mogunost obavljanja
više zadataka i ne zahtevaju uenje starijih OS.
Forenziki ala komandne linije: prvi ala
za analizu i ekstrakciju podataka sa
opi i vrstog diska (MS DOS za IBM PC fajl sisteme); mogu izvui podatke iz slack i
nealociarnih prostora fajl sistema, izbrisanih fajlova, pretraživa
po kljunoj rei/
karakteru, rauna
heš vrednost, oporavi
izbrisani fajl, izvrši
analizu zikog i
logikog diska i dr.
Forenziki ist disk/medijum: digitalni medijum koji je kompletno prepisan
(wiped) i oišen od svih podataka, ukljuujui nebitne i rezidualne podatke, skeniran na maliciozne programe i verikovan pre upotrebe.
Granini sloj nivoa apstrakcije: poslednji sloj u nivou apstrakcije iji se ne koris
kao ulaz u bilo koji drugi sloj na tom nivou; npr., sirovi sadržaj nekog fajla u fajl
sistemu.
Greška implementacije: unosi se zbog programskih i dizajnerskih bagova
forenzikog alata, kao što su programerske greške, nekorektna specikacija alata,
ili korektna specikacija alata, ali nekorektna specikacija originalne aplikacije.
Greška sloja apstrakcije: unosi se zbog simplikacije koja se koris
za generisanje
sloja apstrakcije, a dešava se kada sloj apstrakcije nije deo originalnog dizajna.
ardver: Fizike komponente raunara.
ešovanje (Hashing): generisanje alfanumerikih vrednos
odreene, ksne
dužine na bazi sadržaja fajla i primene algoritma jednosmerne matema
ke
funkcije, koja se lako rauna u jednom, a izuzetno teško ili nikako u drugom
smeru; koris
se za dokaivanje da kopija fajla imidža ispi
vanog diska nije izmenjena u procesu forenzike akvizicije i analize; sta
s
ki je nemogue da izmenjeni fajl generiše is
broj heša.
Imidž diska: zika kopija bit-po-bit ispi
vanog zikog/logikog diska.
Indeksiranje fajlova (bookmarks): vrši se posle lociranja podataka – glavnog zadatka u ispi
vanju raunara, sa ciljem da se forenziar može po potrebi pozva
na oznaene podatke; veina forenzikih alata koris
ovu funkciju za ubacivanje
liste u generator za izveštavanje, koji proizvodi tehniki izveštaj o nalazima ispi
vanja raunara.
> @Y\ 259
Ispivanje: druga faza forenzikog procesa raunarskog sistema i mreže, koja
ukljuuje forenziko procesiranje velike koliine sakupljenih podataka koristei
kombinaciju automa
zovanih i manuelnih metoda za ekstrakciju podataka od
posebnog interesa, š
tei integritet informacija i održavajui striktno lanac
uvanja podataka.
Izveštavanje: konana faza forenzikog ispi
vanja raunara i mreže, koja ukljuuje
izveštavanje rezultata analize - opis korišenih akcija, objašnjenje selekcije alata
i procedura, odreivanje drugih akcija koje treba izvrši
(tj. forenziko ispi
vanje dodatnih izvora podataka, ksiranje iden
kovanih ranjivos
, poboljšavanje
postojeih kontrola zaš
te) i obezbeenje preporuke za poboljšavanje poli
ka,
uputstava, procedura, alata i drugih aspekata forenzikog procesa; formalnost
procesa izveštavanja veoma zavisi od situacije.
Kompromitovani raunar: u kontekstu digitalne forenzike - ispi
vani raunar koji
može bi
napadnu
(žrtva), posredni, ili osumnjieni raunar sa kojeg je izvršen
napad; u kontekstu upravljanja kompjuterskim incidentom - korumpirani (zombirani) raunar iskorišen za ilegalne ak
vnos
bez znanja vlasnika raunara.
Kopiranje sa diska na disk: forenziko dupliranje ili kopiranje sadržaja diska/medijuma osumnjienog raunara direktno na drugi forenziki sterilan disk/medijum
istog ili veeg kapaciteta; na raspolaganju je više alata koji to omoguavaju, a
besplatan je Linux dd Shel command, a brži su hardverski nego soverski ala
.
Kopiranje sa diska na fajl: forenziko kopiranje sadržaja diska/medijuma na
logiki imidž fajl.
Log izveštaja: izveštaj o ak
vnos
kojeg generiše veina forenzikih alata
(FTK, iLook, X-Ways Forensic, Drve Spy) i može se doda
konanom izveštaju
forenziara kao dodatni dokument o tome koji su koraci preduze
u toku ispi
vanja; potvruje koje ak
vnos
su izvršene, a koji rezulta
dobijeni iz originalne
analize i ispi
vanja raunara.
Lokardov princip razmene: kada dva objekta dou u kontakt izmeu njih se
razmenjuje ili prenosi materija; teorija da svako/svašta, ko/što ue na mesto
krivinog dela uzima deo materije sa lokacije i ostavlja deo materije kad napus
lokaciju.
MAC adresa (Media Access Control Address): jedinstveni broj pripisan mrežnoj
kar
ci (NIC) koji se koris
za adresiranje podataka na sloju veze podataka
raunarske mreže.
Metodologija lokalne akvizicije živog raunara: podrazumeva da forenziar sedi
za tastaturom sistema u radu, unosi komande i skladiš
informacije lokalno,
direktno na HD, ili USB, ili na zajedniki forenziki, mrežni lokalni resurs.
Nepromenljivi podaci (Non-Volale Data): podaci koji ostaju neizmenjeni ak i
posle iskljuivanja raunara.
260 I J Opservacija podataka: funkcija posmatranja podataka, koju obezbeuje veina
forenzikih alata, a kako se i u kojem formatu podaci vide, zavisi od alata.
Optužujui dokaz: digitalni dokaz koji obezbeuje nepobitne okrivljujue
injenice.
Oslobaajui dokaz: digitalni dokaz koji obezbeuje nepobitne oslobaajue
injenice.
Podaci: odvojeni delovi digitalnih informacija koji su forma
rani na specian
nain i mogu se nalazi
na razlii
m slojevima apstrakcije raunarskog sistema.
Pretraživanje po kljunoj rei: funkcija soverskih forenzikih alata za traženje
forenziki interesantnog podataka.
Prezentacioni ala: forenziki ala
koji prezentuju digitalne dokaze u formi
pogodnoj za itanje i interpretaciju podataka.
Program za pretraživanje (Search Engine): baza podataka Internet resursa koja
se može istraživa
korišenjem kljune rei i fraza; rezultat pretrage obezbeuje
direktan link do informacije.
Promenljivi podaci: podaci na živom sistemu koji se gube kada se iskljui napajanje raunara. Brisanje prepisivanjem (Wiping): prepisivanje medijuma ili dela
medijuma sa sluajnim ili konstantnim vrednos
ma da bi se prebrisali stari podaci i pripremio medijum za sakupljanje podataka.
Protokol za rešavanje adresa (ARP): TCP/IP set koji se koris
dinamiki za
pridruživanje mrežnog sloja IP adresa sa slojem veze podataka MAC adresa.
Rekonstrukcija fragmenata fajla (carving): postala je uobiajen zadatak za
forenziara; sakuplja fragmente pobrisanih delova fajla sa osumnjienog diska;
znaajan je deo procesa forenzike istrage; izvlai podatke iz nealociranih prostora diska; locira informacija hedera fajla; fragmente, ili cele strukture fajlova
rekonstruiše i kopira u novi fajl.
Sakupljanje: prva faza forenzikog procesa raunarskog sistema i mreže, koja
ukljuuje iden
kaciju, oznaavanje, snimanje i akvizicija podataka iz moguih
izvora relevantnih podataka, sledei proceduru i uputstva za zaš
tu integriteta
podataka; esto se naziva akvizicija po najznaajnijem koraku.
Sažetak poruke (Message Digest): heš vrednost koja jedinstveno iden
kuje podatke. Promena jednog bita u podacima daje kompletno razliit sažetak. Primeri
MD5, SHA1Stako tesranje alata: ukljuuje dokumentovanje jedinstvenog
iden
katora o alatu, kao što su URL sa kojeg je dobijen soverski alat, veliina
fajla, kriptografski heš za fajl korišenjem poznatog algoritma, izvlaenje informacija iz fajla, kao što su PE hederi, p fajla, tabele import/export itd.
Translacioni ala: forenziki ala
koji vrše translaciju podataka sa jednog na drugi sloj apstrakcije raunarskog sistema.
> @Y\ 261
LITERATURA
1. Bem D., Huebner E., Computer Forensic Analysis in a Virtual Environment,
University of Western Sydney, Australya, 2008
2. Buchholz F., i Falk C., Timeline, a Forensic Timeline Editor“, 2005
3. Carrier B., Dening Digital Forensic Examinaon and Analysis Tools Using Abstracon Layers, Interna
onal ournal of Digital Evidence, 2003.
4. Carrier B., The Legal Argument, [email protected], 2005.
5. Carvey H., Windows Forensic Analysis DVD Toolkit, Syngress Publishing Inc.,
www.syngress.com, 2007.
6. Fisher E. G., Computer Forensics Guidance, NIST, www.nist.com, 2001.
7. Grunwald L., Searching for Evidence Digital Forensic Analysis, CTO anuar 26,
2004.
8. Guidance Soware, EnCase Forensic Edion, h'p://www.encase.com, 2006.
9. h'p://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_
bill_20020926_chaptered.html.
10.h'p://msdn.microso.com/library/default.asp?url=/library/enus/sysinfo/
base/le_
mes.asp.
11.h'p://msdn.microso.com/library/default.asp?url=/library/enus/wmisdk/
wmi/win32_process.asp.
12.h'p://support.microso.com/?id=837243.
13.h'p://support.microso.com/default.aspx?scid=kb;en-us;236995.
14.h'p://support.microso.com/default.aspx?scid=kb;en-us;250320
15.h'p://support.microso.com/default.aspx?scid=kb;en-us;314056.
16.h'p://support.microso.com/kb/119495/EN-US/.
17.h'p://support.microso.com/kb/137984/ .
18.h'p://support.microso.com/kb/222193/EN-US/.
19.h'p://support.microso.com/kb/q163409/.
20.h'p://vil.nai.com/vil/content/v_100559.htm.
21.h'p://www.iacis.org/.
22.Icove D., Segar K., VonStorch W., Computer Crime, A Crimeghter's Handbook, O'Reilly & Associates, 2006.
23.IOCE, IOCE Princips & Denions, IOCE 2. Conference, London, 1999.
24.Kenneally E., Brown Ch., Risk sensive digital evidence collecon, CS 483,
Washington State Universit, Spring 2009.
262 I J 25.Krsul I., Spa#ord E. H., Authorship Analysis: Idenfying the Author of a Program, Department of Computer Sciences, Purdue University, CSD – TR – 96
- 052, 1996.
26.Len P., Lynn B., Reproducibility od digital Evidence in Forensic Invsgaon,
CS 483, Washington State Universit, Spring 2009.
27.Mocas Dr. Sarah, Topics in Computer Science Introducon to Digital Forensics,
CS 483, Washington State Universit, Spring 2009.
28.Na
onal Policing Improvement Agency, Core Skills in Data Recovery & AnalysisCourse Reference Book V2.01, Bradford, UK, 2007.
29.Nelson B., Phillips A., Ennger F., Christopher S., Guide To Computer Forensics And Invesgaons, Second Edi
on, Published by Course Technology, 25
Thompson Learning, lnc., Printed in Canada, 2006.
30.NetBIOS, h'p://en.wikipedia.org/wiki/NetBIOS.
31.Netcat, www.vulnwatch.org/netcat/.
32.Nikkel B, Digital Forensics using Linux and open source tools, PPP septembar
26, 2005.
33.NIST - CFTT, Computer Forensic Tool Tesng, www.ct.nist.gov, 2001.
34.NIST – CFTT, General Test Methodology for Computer Forensic Tools, v. 1.9“,
www.ct.nist.gov/testdocs.html], 2001.
35.Pollit M. Mark, Report on Digital Evidence, (FBI CART report, DC Washington, USA), Interpol Forensic Science Symposium, Lyon, France, 2001.
36.psle.exe, www.microso.com/technet/sysinternals/u
li
es/psle.mspx .
37.psloggedon, www.microso.com/technet/sysinternals/SystemInforma
on/
PsLoggedOn.mspx .
38.RFC 3227, Guidelines for Evidence Collecon and Archiving, www.faqs.org/
rfcs/rfc 3227.html, 2002.
39.Scouts E., WMI Tutorial, 66, 2005.
40.strings.exe, www.microso.com/technet/sysinternals/Miscellaneous/Strings.mspx.
41.SubSeven, www.symantec.com/avcenter/venc/data/backdoor.subseven.
html.
42.Technology Pathways, Pro Discover DFT, h'p://wwww.techpathways.com,
2006.
43.Thuraisingham Dr. B., Digital Forensics: Network Forensics – II, The University of Texas at Dallas, October 29, 2008.
44.Wiebe ., Survey of Hardware Data Acquision Tools, CEOWiebeTech [email protected], www.www.wiebetechwiebetech.com.com.
45.www.ct.nist.gov.
> @Y\ 263
46.www.diamondcs.com.au/index.php?page=consolecmdline.
47.www.microso.com/resources/documenta
on/windows/.xp/all/proddocs/
en-us/tasklist.mspx.
48.www.microso.com/resources/documenta
on/windows/xp/all/proddocs/
enus/openles.mspx.
49.www.microso.com/technet/sysinternals/Security/LogonSessions.mspx .
50.www.microso.com/whdc/devtools/debugging/default.mspx.
51.www.ntsecurity.nu/toolbox/pmdump/.
52.www.sysinternals.com/U
li
es/Handle.html.
53.www.sysinternals.com/U
li
es/ListDlls.html.
54.www.sysinternals.com/U
li
es/PsList.html
264 I J D
E
O
III
SVEDOENE I VEŠTAENE U
INFORMACIONO KOMUNIKACIONIM
TEHNOLOGIAMA
Cilj ove glave udžbenika je da studenma
približi specinos ekspertskog svedoenja i
sudskog veštaenja pred sudom u sluajevima
visokotehnološkog, posebno kompjuterskog
kriminala. Razumevanjem specinih aspekata
IKT veštaenja u odnosu na brojne tradicionalne forenzike discipline (sudsku medicinu,
veštaenje u saobraaju itd.), forenziari se
osposobljavaju za mski rad sa specijalnim
istražiteljem digitalnih podataka, tužiocem i
istražnim sudijom na izgradnji vrsh digitalnih
dokaza, kao i da se naviknu na atmosferu i uslove koji vladaju u sudnici na glavnom pretresu,
posebno u uslovima unakrsnih ispivanja, koji
se za tehnike eksperte esto ine neprirodnim.
1. ISKUSTVA SVEDOENJA I VETAENJA IZ DRUGI NAUNO
TENIKI DISCIPLINA
1.1 SUDSKI VETACI ZA SAOBRA‚AJ
Iskustva veštaenja iz drugih disciplina dragocena su za oblast IKT veštaenja.
Primeri su brojni i ta iskustva treba koris
. Korisno iskustvo iz prakse je sluaj procenitelja štete u saobraajnim udesima, [9]. Klasian je primer iz pravosudne prakse SAD
neuspelog svedoenja dva poštena i kvalikovana tehnika eksperta, koji iznesu svoja
svedoenja, ali ne uspevaju da adekvatno razreše sluaj. Onda forenziki anali
ar
presuuje sluaj, utvrujui iden
nost hemijskog sastava guma optuženog sa tragovima guma na mestu zloina >10@. Poznato je da agresivna spremnost advokata da po
svaku cenu odbrane svoju stranku, u velikoj meri odvraa tehnike eksperte da svedoe
pred sudom, jer dolaze u neprijatne situacije unakrsnog ispi
vanja advokata.
Iskustva iz ove oblas
veštaenja ukazuju da konstruk
vno unakrsno ispi
vanja eksperta druge strane može potvrdi
tanost osnovnih injenica, principa ili ogranienja
da
h u svedoenju eksperta, kao i da je naješi razlog za napad u unakrsnom ispi
vanju ispoljena pristrasnost, predrasuda ili neobjek
vnost IKT eksperta. Tu spadaju i
pitanja da li je neki ekspert plaen da svedoi i koliko, ili nije i zašto svedoi ako nije
plaen.
1.2 EKSPERTI ZA FORENZIKU ANALIZU UMETNIKI DELA
Eksper
za forenziku analizu umetnikih dela imaju velike slinos
i nude dobra
iskustva eksper
ma za forenziki analizu digitalnih dokaza. Kao u proceni falsikata
velikih umetnikih dela, IKT ekspert u civilnim parnicama ili krivinim delima kompjuterskog kriminala mora izvrši
rekonstrukciju digitalnih dokaza, ponašanja raunarske
mreže u sluaju napada, rekonstrukciju traga napada, iden
kaciju i auten
kaciju
digitalnih dokaza i njihovih autora ili korisnika, [7].
1.3 FORENZIAR GEOLOG I EKSPERT ZA TAJNE GROBNICE
Forenziar geolog i ekspert za tajne grobnice nude veoma dragocena iskustva za razumevanje IKT eksper
ze - kako na jednostavan i razumljiv nain izne
nauna saznanja
zvaninim pravosudnim i istražnim organima, koji nemaju ta znanja i iskustava. Ovi eksper
potpisuju i u praksi sprovode e
ke i druge kodekse ponašanja, moraju poštova
mnoge procedure i standarde, potpuno ih dokumentova
, a rezultate i zakljuke bazira
na podacima, informacijama i znanjima koja pripadaju polju njihove eksper
ze. Oni
\J \J @‡ ‡ >J 267
moraju održa
svoju akademsku i profesionalnu reputaciju na najvišem nivou, jer suprotna strana uvek pokušava
doves
u pitanje neki deo reputacije eksperta. Ekspert
- veštak mora bi
spreman profesionalno i lino da uvek pruži najbolju predstavu svoje
karijere, iako bez injenica nema garancije da ispravna teorija, metode i adekvatna
veš
na prezentacije dokaza, mogu uspešno razreši
neki forenziki problem, [3].
1.4 ISKUSTVA IZ SUDSKE MEDICINE
U sudskoj medicini, uspostavljeni standardi su podvrgnu
proveri naune javnos
, dok u oblas
IKT, mnogi aspek
IKT veštaenja samo su objavljeni kao uspešni ili
neuspešni hakerski napadi bez izlaganja široj naunoj javnos
i uspostavljanja pouzdanih standarda u veini zemalja u svetu. Uspostavljanjem standarda iz oblas
IKT
ekspertskog svedoenja i IKT veštaenja, olakšae se rad IKT profesionalaca, njihovih
organizacija i udruženja, kao i pravosudnog sistema i društva u celini.
Kao i forenziar sudske medicine, ekspert koji u kriminalnom sluaju skuplja uzorke
tela za analizu, tako i IKT forenziki ekspert – IKT veštak, treba da uzme tanu ziku
kopiju slike podataka sa medija raunarskog sistema i drugih ureaja za skladištenje
podataka za kasniju forenziku analizu i ispi
vanje. Sudnica je sama po sebi strana i
negostoljubiva sredina za IKT eksperta – naunika. Nedostatak regula
ve o sudskom
veštaenju u oblas
IKT može bi
nona mora za advokate i sudije koji nemaju naina
da procene kvalikaciju, strune sposobnos
IKT eksperta, kao ni kvalitet i pouzdanost
prezen
ranih digitalnih dokaza, [8].
1.5 FORENZIKI ENTOMOLOZI
Forenziki entomolozi (nauka o insek
ma) pomažu u utvrivanju vremena ubistva i lokaciji tela, naenih u prirodnoj sredini, u trenutku ubistva, analizom dokaza iz
okruženja koji se odnose na insekte. Digitalni forenziar za rekonstrukciju dogaaja
mora da dokaže vreme dogaaja pratei vremensku liniju kroz brojne ureaje, potencijalno široko distribuirane na Internetu. U kompjuterskom okruženju ak je za soversku grešku preuzeta i re bag (bug), koja oznaava seriju problema u raunarskim
programima, nastalih zbog grešaka podataka, [5].
268 I J REZIME
Porastom zloupotreba IKT i kompjuterskog kriminala, ukazala se potreba
za detaljnijom zakonskom regula
vom istrage, dokazivanja i sankcionisanja
zloupotreba i sluajeva kompjuterskog kriminala, kao i za norma
vnim regulisanjem uslova, naina i postupka organizovanja strunih lica–veštaka u oblas
IKT i odgovarajuih strunih, e
kih i legalnih prola koje bi morali ispunjava
,
radi otkrivanja, dokazivanja i razrešavanja odluujuih injenica u graanskoj i
krivino pravnoj zaš
ošteenih.
Veštaenje digitalnih dokaza, kao najmlaa oblast sudskog veštaenja,
nasledila je bogata iskustva iz tradicionalnih oblika veštaenja, pre svega:
saobraaja, umetnikih dela, sudske medicine, geologije, entomologije i dr.
Brojne specinos
ekspertskog svedoenja i veštaenja u IKT, zahtevaju da se
ova oblast posebno istraži.
PITANJA ZA PONAVLJANJE
1. Iz kojih disciplina su važna iskustva za oblast IKT veštaenja?
2. Na koji nain su važna iskustva eksperata za forenziku analizu umetnikih
dela?
3. Koje su slinos
veštaenja digitalnog forenziara sa veštakom sudske medicine?
4. Zašto su znaajna iskustva iz veštaenja umetnikih dela?
5. Kako se mogu iskoris
iskustva forenzikih entomologa?
\J \J @‡ ‡ >J 269
2. SPECIFINOSTI SVEDOENJA I VETAENJA U KOMPJUTERSKOM
KRIMINALU
Eksper
IKT iz naunih krugova, bez obzira da li su angažovani u akademskim profesijama ili nisu, uvek su iznenaeni sa fenomenom ispi
vanja u parnikom procesu.
Za njih su neprihvatljiva pravila rivaliteta u legalnom pravosudnom sistemu, nasuprot
principa kolegijalnos
, koji je se podrazumeva i barem je teoretski prisutan u svetu
nauke i akademske profesije. Posebno je to sluaj u unakrsnom ispi
vanju agresivnih
advokata suprotnih strana. Takoe, eksper
se moraju navii i na uobiajenu ležernu
atmosferu u sudnici pre ulaska sudije i porote i krajnje napetu atmosferu posle njihovog ulaska, kada se sve dras
no menja, [10].
Generalno, specine veš
ne koje digitalni forenziar za ekspertsko svedoenje i/ili
veštaenje treba da poseduje mogu se grupisa
u sledee kategorije:
• Iden
kova
relevantne elektronske dokaze za povredu specinog zakona;
• Iden
kova
i objasni
verovatni uzrok u meri koja je dovoljna za dobijanje
• naloga za pretres i razume
ogranienja naloga;
• Locira
i oporavi
relevantne elektronske dokaze iz raunara primenom
razlii
h forenzikih alata;
• Razume
i održava
sve zahteva u lancu istrage;
• Sledi
dokumentovan proces digitalne forenzike istrage (standardne opera
vne procedure).
Posebno digitalni forenziar mora posedova
specine veš
ne i poznava
sledee
izvore digitalnih dokaza:
1. Izvore korisniki kreiranih elektronskih dokaza:
• address book (adresar)
• fajlovi e-pošte,
• audio/video fajlovi,
• fajlovi slika/grake,
• kalendari,
• Internet indeksi (bookmark) za omiljene lokacije (favorites),
• fajlovi baza podataka,
• fajlovi tabela (spreadsheet),
• dokumenta ili tekstualni fajlovi
2. Izvore kompjuterski generisanih digitalnih dokaza:
• fajlovi za bekapovanje,
• log fajlovi,
• konguracioni fajlovi,
270 I J • printerski spool fajlovi,
• kolaii (cookies),
• swap fajlovi,
• skriveni fajlovi,
• sistemski fajlovi
• fajlovi istorije rada aplikacija,
• privremeni fajlovi.
3. Mesta za pretraživanje i idenkaciju digitalnih dokaza:
• loši klasteri,
• raunarski podaci o datumu, vremenu i lozinki,
• izbrisani fajlovi,
• slobodan prostor diska (neupisani klasteri),
• sakrivene par
cije,
• izgubljeni klasteri,
• metapodaci u fajl sistemu,
• druge par
cije,
• rezervisane oblas
u logikim par
cijama fajl sistema,
• fajl slack prostor,
• informacije o registraciji sovera,
• sistemske oblas
u fajl sistemu (FAT 16, FAT 32) i oblast podataka u NTFS fajl
sistemu,
• nealocirani prostor diska (ostaci podataka izbrisanih fajlova).
4. Izvore dokaza o akvnosma na Internetu:
• kolaii (cookies): lokacija, sadržaj, ala
kolaia,
• keš pretraživaa (Internet keš): lokacija, ala
.
Svi izneseni primeri tehnike eksper
ze i zahtevi za specinim veš
nama u oblas
digitalne forenzike, ukazuju na znaaj formiranja na nivou države, pored zvaninih
organa digitalne forenzike istrage, šire interesne zajednice digitalnih forenziara i
drugih eksperata za istragu kompjuterskog kriminala (na primer, ins
tuta ili strukovnih
udruženja IKT veštaka u razlii
m oblas
ma kompjuterskog kriminala). Ova zajednica
treba da obezbedi standardizaciju i ser
kaciju: principa, metodologije i tehnologije
digitalne forenzike istrage, akvizicije, analize i ekspertskog svedoenja/ veštaenja
pred sudom, kao i profesionalnih prola samih IKT eksperata.
\J \J @‡ ‡ >J 271
2.1 PRIPREMA DOKAZA ZA SUDSKI PROCES
Najznaajnija pitanja za tužioce u toku istrage, dokazivanja i pripreme za veštaenje
pred sudom je da obezbede osnovna znanja o tehnikim aspek
ma digitalnih dokaza i
dovoljno vremena za rukovanje raspoloživim digitalnim dokazima, >8@.
Kako ekasne pripreme za glavni pretres poinju ve nakon završetka istražnog
postupka, potreba za kompetentnim tehnikim znanjima održava se kroz ceo tok
sluaja. U predistražnom postupku, u procesu pripreme treba obra
pažnju na
pripremu tužioca na obim istrage, ekasnu komunikaciju izmeu tužioca, organa istrage i forenzikog anali
ara i na rukovanje sa digitalnim dokazima.
2.2 PRELIMINARNA PRIPREMA TUŽIOCA
Idealno, sluaj sa digitalnim dokazima treba da razvija i priprema m koji se sastoji od najmanje tri lica: tužioca, kriminalis
kog inspektora i forenziara (IKT veštaka).
esto sluaj sa digitalnim dokazima predstavlja posebno proceduralno i materijalno
pitanje. edan od prvih zadataka tužioca naimenovanog za voenje sluaja, je uvid u
obim istrage, što ukljuuje nekoliko kljunih pitanja i razmatranja, >10@:
• priprema razumljive prezentacije sluaja za glavni pretres (otkrivanje
injenica),
• razjašnjavanje prirode tehnoloških pitanja (tehnika i alata),
• iden
acija i objašnjenje izvora i prirode digitalnih dokaza,
• iden
kovanje potencijalnih izvora materijalnih digitalnih dokaza (npr., bekap
datoteke, log datoteke itd.).
• razmatranje svih odgovarajuih sankcija.
2.3 KOMUNIKACIJE U PREDISTRAŽNOM POSTUPKU
Sva tri lana istražnog ma treba da se sastaju više puta pre glavnog pretresa radi
planiranja veštaenja nalaza i razmene mišljenja o konkretnom sluaju, ukljuujui:
razjašnjavanje i analizu rezultata istrage, zakonske osnove sluaja, elemenata krivinog
dela i prihvatljivih elemenata odbrane; razmatranje najverovatnijeg obima i pravca
glavnog pretresa, saslušanja svedoka i unakrsnih ispi
vanja; odreivanje pa digitalnih
dokaza i razmatranje propisa o rukovanju sa digitalnim dokazima, [4], [6].
272 I J 2.4 DEFINISANJE USLOVA ZA IZNOENJE DIGITALNI DOKAZA
Uslovi koje treba razmatra
pre iznošenja digitalnih dokaza pred sudom obuhvataju, [5], [9]:
• Diskreciono pravo sudija o prihvatljivos
digitalnih dokaza;
• Relevantnost digitalnog dokaza za dokazivanje, ili pobijanje osnovane sumnje, gde je relevantan “dokaz koji ima tendenciju da izgrauje nepobitnu
injenicu”, a posebno se razmatraju štetnost i prigovor da je dokaz “dokaz
drugog zloina, greške ili dela”;
• Auten
kacija digitalnog dokaz u toku svedoenja sa nekom razumnom
verovatnoom;
• Posrednost svedoenja zbog posredne prirode digitalnih podataka i dokaza.
• Razlikovanje vrstog digitalnog dokaza prethodno uskladištenog u raunaru,
od ilustra
vnih (pomonih) kompjuterskih dokaza koji samo ilustruje tvrdnju
(svedoenje), ali ništa sam po sebi ne dokazuje;
• Auten
kacija kompjuterski uskladištenih vrs
h dokaza ime tužilac mora
pokaza
da je dokaz uskladišten u raunaru, upravo ono što tvrdi da jeste;
• Prihvatljivost papirne kopije kompjuterski uskladištenih vrs
h dokaza, prema pravilu najboljeg dokaza.
ak i ako se kompjuterski uskladišten dokument može sa tehnikog aspekta smatra
ne-originalnim dokumentom, naroito ako se uzme u obzir da su originalni podaci
u raunaru samo nizovi bitova (1 i 0), pravilo “najboljeg dokaza” ne pravi problem o
prihvatanju odštampanog kompjuterskog dokaza kao originalnog dokaza, ako on tano
predstavlja uskladištene podatke. Ovaj princip primenjuje se ak i ako duplikat/kopija
digitalnih dokaza nema is
izgled (ima razliite fontove, margine i slika). Tako je mogue
obimne fakture i kompleksne dokaze u sluaju nansijske prevare izne
na sudu kao
relevantne dokaze.
2.5 PRIVATLJIVOST KOMPJUTERSKI GENERISANI DIGITALNI
DOKAZA NA SUDU
Prihvatljivost kompjuterski generisanih digitalnih dokaza na sudu odreuju sledei
parametri, [1], [2]:
• Relevantnost digitalnih dokaza;
• Nain integracije digitalnih dokaza kroz iskaz IKT veštaka u sudski proces;
• Auten
kacija i druga osnovna pitanja zaš
te integriteta digitalnih dokaza;
• Posrednost kompjuterski generisanog dokaza, sa mogunošu provere integriteta dokaza od uzimanja imidža u procesu akvizicije do veštaenja pred sudom, ako to sud zahteva.
\J \J @‡ ‡ >J 273
2.6 SVEDOENJE I VETAENJE IKT EKSPERTA
U meunarodnoj praksi razvijeno je više preporuka za ispi
vanje mišljenja svedoenja ili veštaenja IKT eksperta (expert opinion tesmony) i prihvatanje is
h kao
dokaza na sudu, >10@. U praksi IKT veštaenja naješe se prihvataju dokazi utvreni na
naunim principima. Po ovim principima sudija prihvata digitalni dokaz na osnovu njegove relevantnos
, pouzdanos
i proverljivos
predloženih naunih metoda, tehnika
akvizicije i analize i prezentacije digitalnih dokaza na sudu, za svaki konkretan sluaj.
Sud odluuje da li je svedoenje IKT veštaka bilo od pomoi za utvrivanje odluujuih
injenica i is
ne.
Generalno, sud može prihva
ekspertsko svedoenje, gde IKT ekspert na poziv
suda, iznosi svoje struno mišljenje o digitalnim dokazima koji optužuju ili oslobaaju,
ali ne iznosi mišljenje o utvrenim injenicama, koje su relevantne za sluaj. Tehniko
ekspertsko mišljenje treba da bude prihvatljivo za sud i kada ekspert/ forenziar uvodi
nove soverske alate ili nove verzije starijih soverskih alata za akviziciju i analizu digitalnih medija, ali primenjuje naune principe digitalne forenzike i to na zahtev suda
može potvrdi
. Takoe, tehnike za primenu alata za akviziciju i analizu digitalnih dokaza,
na osnovu kojih forenziar izvlai zakljuke, moraju bi
za sud relevantne, pouzdane,
proverljive i u skladu sa usvojenim principima i da se na zahtev suda mogu tes
tra
i
verikova
. IKT veštaenje podrazumeva da o digitalnim dokazima svedoi zakle
IKT
ekspert – ovlašeni sudski veštak, koji iznosi struno mišljenje o digitalnim dokazima,
ali i o utvrenim relevantnim injenicama koje se odnose na sluaj, [10].
Suenja koja ukljuuju digitalne dokaze razlikuju se od svih drugih suenja sa dva
glavna aspekta:
• esto se pokree pitanje legalnos
prihvatanja digitalnih dokaza i
• ovaj proces ukljuuje kompleksan skup nepozna
h pojmova i termina.
Zato je pažljiva priprema digitalnih dokaza i planiranje prezentacije i korišenja
dokaza u sudskom procesu od posebnog znaaja. Dobar metod prezentacije kompleksnih digitalnih dokaza, ukljuuje, [10]:
Korišenje vrlo jednostavnih analogija za objašnjenje generalnog koncepta (npr.
slanje e-maila je kao slanje poštanske karte);
• Denisanje tehnikih rei pojmovima koje pravosudni organi i porota mogu
razume
;
• Korišenje Slika, crteža ili grakona za demonstraciju kompleksnih sistema;
• Izgradnju svedoenja poe
kroz uvodnu re sa jednostavnim koncep
ma, a
za
m prei na kompleksnija pitanja koja objasni
u detalje;
• Povezivanje tehnologije u sluaju sa tehnologijama koje su prisutni pravosudni organi i drugi u sudnici ve upoznali ili koris
li, gde je mogue.
274 I J 2.6.1 Edukovanje pravosudnih organa
Ako je sluaj kompleksan, potrebno je edukova
sve prisutne u sudnici (sudiju i porotu) u svakoj fazi suenja (parnice). Edukacija treba da obuhva
: proveru usklaenos
sa naunim principima; proveru zakonske prihvatljivos
digitalnih dokaza i saslušanja
IKT veštaka pre glavnog pretresa; primenu principa uviaja; uvodnu izjavu; svedoenje/
veštaenje IKT eksperta; unakrsno ispi
vanje i završnu re (izjavu) i zatvaranje
svedoenja/veštaenja, [10].
Iako je važno za sudiju i porotu održava
na minimalnom nivou razumevanja,
nije cilj da se od njih stvaraju eksper
za samu po sebi kompleksnu problema
ku IKT
veštaenja, nego da shvate suš
nu ekspertskog svedoenja ili veštaenja.
Svaki sluaj zahteva da tužilac pažljivo razmotri šta treba da bude dokazano/opovrgnuto i ispita sve elemente optužnice, da bi obezbedio prezentaciju ubedljivih dokaza
za svaki elemenat optužnice. esto postoji konikt izmeu prak
nih ogranienja na
to šta se može dokaza
ili opovri (pobi
) i šta od alterna
vnih objašnjenja advokat
odbrane može iskoris
da unese razumnu sumnju u dokazni postupak ili dokaze.
Šta jedan tužilac treba da opovrgava, zavisi od samog pitanja i snage preostalih
dokaza u sluaju. Na primer, u sluaju deije pornograje, kada je bitan elemenat poznat, može opovri tvrdnju odbrane da su slike uskladištene u raunar osumnjienog
bez njegovog znanja, jer nije razumno prihva
alterna
vu, tj. da su se u njegovom
raunaru slike pojavile same po sebi, osim ako odbrana ne dokaže da je raunar kompromitovan (zombiran) trojancem i rutkit tehnikom, [4].
Važno pitanje je kada izabra
trenutak pobijanja tvrdnji odbrane. Na primer, ako
je znanje osumnjienog o sadržaju raunara znaajno, ponekad je mudro dopus
da
osumnjieni pokrene pitanje i da sami dokazi (bilo kroz unakrsno ispi
vanje, ili u ponovljenom procesu) pobiju ovu tvrdnju, pre nego da se opovrgavanje dokaza izvrši u
glavnom pretresu.
2.6.2 Veštaenje i naune metode dokazivanja kompjuterskog kriminala
2.6.2.1 Rekonstrukcija dogaaja u sudskom postupku kompjuterskog kriminala
Dok je svaki sluaj veštaenja koji ukljuuje digitalne dokaze meusobno razliit, postoje neki zajedniki elemen
koje se javljaju u odnosu na osnovne elemente optužnice
i prirodu raunara i mreža, a to su, [10]:
Iden
tet osumnjienog: Iako digitalni dokaz može dokaza da je kriminalni akt izvršen sa kompjutera osumnjienog, potrebno je direktno povezivanje osumnjienog
sa raunarom sa kojeg je izvršen napad, na bazi linog priznanja ili izjave, posrednog
zakljuivanja, bitne informacije u raunaru koje mogu postoja jedino sa znanjem osumnjienog, analize sadržaja, gramake i sla koji ukazuju na osumnjienog i slika
\J \J @‡ ‡ >J 275
Znanje: U nekim sluajevima potrebno je pokaza da osumnjieni ima adekvatno
znanje i poznaje digitalne dokaze na raunaru.
Hronologija dogoaja: Vreme i datum kreiranja fajlova mogu bi moan dokaz
koji povezuje osumnjienog sa raunarom i kompjuterskim incidentom, ukljuujui sva
ogranienja koja se odnose na laku izmenu vremena i datuma u raunaru.
2.6.2.2 Instruisanje porote
Ne postoji obrazac instrukcije porote za sluajeve kompjuterskog kriminala prihvatljiv za veinu pravosudnih sistema. Takoe, teško je i prilagodi
neki potvren sistem instrukcija porote za sluajeve kompjuterskog kriminala iz drugog pravosudnog sistema u
konkretan pravosudni sistem. Mogu se koris
instrukcije za porotu uzete iz oblas
veštaenja zikih dokaza, a zasnovane na elemen
ma slinos
krivinog dela. Na primer,
instrukcije za provalu i prevaru mogu posluži
kao model za prevaru u kompjuteru.
Treba pažljivo razmotri
sastav porote i ne bira
samo tehnike eksperte da budu
lanovi porote, nego pronai nekoliko lica koja imaju dovoljno iskustva iz korišenja
raunara, da bi bili sposobni da prate tehniko veštaenje u toku procesa. Idealno je
da jedan do dva lana porote budu sposobni da shvate digitalne dokaze i da mogu to
objasni
ostalim lanovima, kada porota donosi odluku posle pretresa, [10].
Treba razmišlja
o problemu ukljuivanja IKT eksperta u porotu, na is
nain kao o
ukljuivanju lekara u porotu za sluaj u kojem je relevantna praksa sudske medicine.
Kako doktor medicine može objasni
komplikovan medicinski koncept ostalim lanovima porote, tako i IKT ekspert može razjasni
komplikovana i kompleksna pitanja razumevanja digitalnih dokaza.
276 I J REZIME
Eksper
IKT, koji uglavnom dolaze iz naunih krugova, uvek su iznenaeni sa
fenomenom ispi
vanja u sudskom/parnikom procesu, posebno u sluaju unakrsnog ispi
vanja agresivnih advokata suprotne strane. Za njih su neprihvatljiva
pravila rivaliteta u legalnom pravosudnom sistemu, nasuprot principa kolegijalnos
, koji se podrazumeva u svetu nauke i akademske profesije.
Specine veš
ne koje digitalni forenziar za ekspertsko svedoenje i/ili veštaenje treba da poseduje mogu se grupisa
u sledee kategorije: iden
kova
relevantne elektronske dokaze za povredu specinog zakona; iden
kova
i objasni
verovatni uzrok u meri koja je dovoljna za dobijanje naloga za pretres i razume
ogranienja naloga; locira
i oporavi
relevantne elektronske dokaze iz raunara primenom razlii
h forenzikih alata; razume
i održava
sve zahteva u lancu
istrage; sledi
dokumentovan proces digitalne forenzike istrage (standardne opera
vne procedure) i razvi
veš
nu koncizne, razumljive i terminološki pojednostavljene prezentacije digitalnih dokaza i svedoenja/veštaenja pred sudom.
Timski rad tužioca/istražnog sudije, kriminalis
kog inspektora (rukovodioca
istrage) i forenzikog anali
ara digitalnih dokaza (IKT veštaka) osnovni je zahtev
u istrazi, dokazivanju, pripremi i prezentaciji digitalnih dokaza pred sudom.
U pripremi za glavni pretres sluaja koji sadrži digitalne dokaze, tužilac mora
razmatra
niz važnih pitanja, kao što su: iskustva iz drugih nauno-tehnikih
oblas
ekspertskog veštaenja; auten
kacija i priprema vrs
h digitalnih dokaza za prezentaciju, i priprema IKT veštaka za svedoenje pred sudom.
Oekuje se da forenzika analiza digitalnih dokaza otkrije najviše potrebnih
podataka za izgradnju vrstog, neoborivog digitalnog dokaza bez tzv. puko
na. Postoji velika razlika izmeu kompjuterskog digitalnog dokaza u raunaru
(computer evidence) i vrs
h, neoborivih dokaza (proof) prihvatljivih na sudu.
Neoborivi, vrs
dokaz nepobitno uspostavlja injenice, ali je to i subjek
vna
interpretacija kompjuterskog digitalnog dokaza koji izvodi veštak za informacione tehnologije. Kompjuterski digitalni dokaz u raunaru je objek
van digitalni
podatak i može se koris
u meri u kojoj se može dokaza
da nije izmenjen, na
primer, ulazna log datoteka je uvek ulazna log datoteka.
U procesu pripreme digitalnih dokaza tužilac mora razjasni
relevantana pitanja kao što su: dokazna vrednost, posrednost i prihvatljivost; štetnost i znaaj za
sluaj; vrs
kompjuterski uskladišteni i kompjuterski generisani dokazi i ilustra
vni (pomoni) kompjuterski dokazi za sluaj.
U procesu pripreme IKT veštaka za svedoenje (veštaenje) pred sudom, tužilac mora pripremi
veštaka za: dokazivanje naunog karaktera digitalnih dokaza,
jednostavnu i uverljivu rekonstrukciju kompjuterskog incidenta (iden
teta i znanja osumnjienog, i hronologije incidenta) pred sudom, neophodnu edukaciju
svih prisutnih u sudnici o najnužnijim znanjima o primenjenim IKT u sluaju i za
instruisanje porote.
\J \J @‡ ‡ >J 277
PITANJA ZA PONAVLJANJE
1.
2.
3.
4.
5.
6.
Navedite glavne specinos
veštaenja digitalnih dokaza.
Kad poinje priprema dokaza za sudski postupak?
Navedite kljuna pitanja za preliminarnu pripremu tužioca.
Zašto je znaajna dobra komunikacija u predistražnom postupku?
Koje uslove treba razmatra
pre iznošenja digitalnih dokaza pred sudom?
Koji kljuni parametri odreuju prihvatljivost kompjuterski generisanih digitalnih dokaza na sudu?
7. Na osnovu ega sudija prihvata digitalni dokaz?
8. Koje elemente ukljuuje dobar metod za prezentaciju kompleksnih digitalnih
dokaza?
9. Zašto je potrebno edukovanje sudskih organa?
10.Koji su zajedniki elemen
u rekonstrukciji pinog dogaaja kompjuterskog
kriminala?
278 I J KLJUNI TERMINI
Digitalni dokaz: «digitalni dokaz je svaka informacija koja ima dokazujuu vrednost, koja je ili uskladištena ili prenesena u binarnoj (digitalnoj) formi»; ukljuuje
kompjuterski generisan i uskladišten dokaz, digitalni audio, digitalni video, mobilni telefon, digitalnu fax mašinu, itd; digitalni dokaz je informacija uskladištena
ili prenesena u binarnoj formi na koju se sud može osloni
.
Diskretno sudijsko pravo: pravo sudije da prihva
dokaz na bazi procene relevantnos
, štetnos
ili prigovora da je „dokaz drugog zloina ili dela“, pouzdanos
i naune proverljivos
tehnika i alata za prikupljanje, analizu i izgradnju vrs
h
dokaza.
Duplikat digitalnog dokaza: precizna digitalna reprodukcija svih objekata podataka koji se sadrže u originalnom zikom predmetu.
Ekspertsko IKT svedoenje: objek
vno svedoenje IKT eksperta koji iznosi samo
nauno utvrene injenice, ali ne i svoje mišljenje.
Entomologija: grana zoologije koja se bavi izuavanjem insekata.
Fiziki predmet: Predme
u kojima mogu bi
uskladišteni objek
podataka ili
informacije i/ili sa kojima su objek
podataka preneseni.
Glavni pretres: sudski proces na kome se pretresaju sve injenice i dokazi prikupljeni u istražnom postupku od strane tužilaštva i odbrane.
IKT ekspert: strunjak iz oblas
IKT koji ima adekvatno regularno obrazovanje, ali
i ser
kovanu obuku i steene veš
ne iz neke uže IKT oblas
.
IKT veštaenje: objek
vno svedoenje IKT eksperta koji iznosi nauno utvrene
injenice, ali i svoje mišljenje o dogaaju.
Kompjuterski kriminalci: rade sa ili bez raunara – kradu tue industrijske i nacionalne tajne, kradu novac, uništavaju datoteke, OS ili menjaju podatke Web
stranica ili baza podataka.
Kopija digitalnog dokaza: precizna reprodukcija informacija koje su sadržane na
originalnom zikom disku/medijumu, nezavisno od originalnog zikog diska/
medijuma
Orginalni digitalni dokaz: ziki predme
/objek
koji sadrže podatke u vreme
akvizicije ili privremenog oduzimanja predmeta/objekata.
Posrednost digitalnih dokaza: inherentna priroda raunarski generisanih podataka, koja odražava injenicu da direktan digitalni dokaz može obezbedi
samo
poinilac krivinog dela kompjuterskog kriminala.
Rekonstrukcija digitalnog dokaza: izgradnja vrstog, neoborivog digitalnog
dokaza iz ogromne koliine digitalnih i drugih podataka sakupljenih u procesu
akvizicije.
\J \J @‡ ‡ >J 279
Rekonstrukcija traga napadaa: praenje traga napadaa od napadnutog
raunara, preko posrednih raunara (ISP ili korumpiranih raunara), kao i provajdera telefonskih usluga do izvornog raunara sa kojeg je napad izvršen; ne
ukljuuje povezivanje iden
teta napadaa sa malicioznim ak
vnos
ma na izvornom raunaru sa ispi
vanim dogaajem, što je i najteži deo u rekonstrukciji
krivinog dela.
Relevantnost digitalnih dokaza: odreuje sudija, koristei diskreciono pravo, na
bazi procene znaaja dokaza za sluaj, eventualne štetnos
i procene da li je
„dokaz za drugo krivino delo“.
Rukovanje digitalnim dokazima: uvanje i zaš
ta integriteta digitalnih dokaza u
celom lancu istrage – od otkrivanja i akvizicije dokaza do svedoenja/veštaenja
pred sudom.
Sudski veštak: struno lice koje ima formalno, struno i specijalis
ko obrazovanje iz neke tehnike oblas
, sa zakletvom pred sudom da e svoje struno
mišljenje bazira
na strogim naunim principima i iznosi
objek
vno i nepristrasno u cilju dokazivanja ili oslobaanja osumnjienog.
Unakrsno ispivanje: ispi
vanje svedoka/veštaka na glavnom pretresu od strane
advokata tužilaštva i odbrane.
280 I J LITERATURA
1. Anthony F. Desante, Evidentary Consideraon for Collecng and Examining
Hard-Drive, Media 28.11. 2001, Forensic Sciences 262, The George Washinton University.
2. Carrier B., Open Source Soware in Digital Forensics, carrier&atstake.com).
3. COAST project PERDU University, h'p://www.cs.perdue.edu/coast-library.
html. hp://www.iacis.org/.
4. Icove, D., Segar, K., and VonStorch, W., Computer Crime, A Crimeghter's
Handbook, O'Reilly & Associates.
5. IOCE, IOCE Principles and Denions, 2. sastanak, 7.10.1999, Marrio' Hotel,
London.
6. Krsul I. & Spa#ord E. H., Authorship Analysis: Idenfying the Author of a Program, Department of Computer Sciences, Purdue University, CSD-TR-96-052,
1996.
7. Pe+nari Cmdr. D., Handling Digital Evidence from Seizure to Court Presentaon, juni 2000.
8. Pollit M. M., Report on Digital Evidence (Izveštaj FBI CART, DC Washington,
USA), Interpol Forensic Science Symposium, Lyon, France, 16-19.10.2001.
9. Robbins ., PC soware forensic, Expert witness, An Explanaon of Computer
Forensics, 2003.
10.Rosenbla', K. S., High Technology Crime — Invesgang Cases Involving
Computers, KSK Publica
ons, San ose, CA, 1995.
11.Spa#ord E. H. & S. A., Soware Forensics: Tracking Code to Its Authors, Weeber, Computers & Security, 12(6), pp. 585–595, Dec. 1993.
12.Whitcomb C. M., A Historical perspecve of Digital Evidence: A Forensic Scienst s View, Interna
onal ournal of Digital Evidence, vol.1, issuue 1, prolee
2002.
\J \J @‡ ‡ >J 281
PRILOG I
ISTORIJSKI RAZVOJ DIGITALNE FORENZIKE
• 1980-h: prva razmena informacija o napadima na raunare i mreže izmeu
agenata tajnih službi (Geeks with Gins), SAD (Maryland, Bal
more).
• 1980-1990:
- slaba podrška menadžera, nerazumevanje razlike izmeu kompjuterskog
kriminala i digitalne forenzika (diferencijacija tek 1990-
h);
- rana tehnologija digitalne forenzike (8 ina disketa, IBM PC, telekomunikacioni sistemi) za spreavanje gubitaka, prevara I zaš
tu;
- rani oblici pedolije preko Interneta;
- rani oblici hakerskih napada preko Interneta;
- napad Morris crvom;
- nema opšte sves
i priznanja da su ovi napadi veliki problem.
• Rane 1990-te:
- poelo formiranje organizacija za istragu komopjuterskog kriminala u
državama SAD;
- prva organizacija u policiji Portlanda.
• Sredninom 1990-h:
- projekat Nevine slike, 1993. policijski detek
vi u Maryland, SAD (pedolija
h'p://www.<i.gov/publica
ons/innocent.htm), ru
nsku otkrili razmenu
pornografskih slika zloupotrebu dece u periodu od preko 25 godina;
- još nije bilo sluajeva suenja, ali se kriminal dogaa;
- FBI osniva jedinicu za digitalnu forenziku;
- veina državnih agencija nema potrebne resurse za digitalnu forenziku;
- poinje razvoj poli
ka i procedura sa ciljem obezbeivanja prihvatljivos
u sudskom procesu;
- 1993: prva eksplozija bombe u WTC (Svetskom trgovinskom centru),
osumnjieni imao raunar kod kue i na poslu; oba raunara sa HD od
20MB privremeno oduze
; za istragu ceo sadržaj sa HD odštampan; otkriveni fragmen
pisma NY Times-u u kojem se prihvata odgovornost za
eksploziju;
- 1995: eksplozija u Oklahoma City , još uvek mali kapacitet digitalnih medija i slina istraga.
• Kasne 1990-te:
- poelo bekapovanje dokaza (kompjuterska forenzika kri
na u veini
sluajeva);
282 I J - uspostavljaju se nacionalne i meunarodne organizacije za digitalnu forenziku;
- kompjuterska forenzika priznata kao nauna disciplina(1999) od relevantnih naunika i istraživaa.
• 2000-te:
- velika koliina digitalnih podataka na raspolaganju („digitalno zagušenje“)
pra
sve ak
vnos
pojedinaca – brojni potencijalni digitalni dokazi;
- klasini kriminal proizvodi veliku koliinu digitalnih dokaza;
- kompjuterski kriminal – ogromna koliina kompleksnih digitalnih dokaza;
- zvanini organi istrage nespremni za ispi
vanje tolike koliine digitalnih
podataka;
- dolaze do eksplozivnog razvoja kompjuterske forenzike nauke; obuka,
oprema i prak
na znanja ne prate ovaj rast; nedostaju prave denicije i
standardi;
- digitalni dokazi prizna
na sudu i stavljeni u ravan DNK dokaza (American
Society of Crime Lab Directors Accreditaon Board, dao jedno od najbržih
odobrenja);
- veina sluajeva predstavlja sve pove kriminala;
- 2001: rušenje WTC, posle jedne sedmice istrage prikupljeno 175GB relevantnih digitalnih podataka; do decembra 2001 – 125 terabajta (TB) u
traženju odgovora „sta znamo o osumnjienim“?
• Srednje 2000-te do danas:
- ni jedan digitalni forenziar ne može bi
dovoljno iskusan da radi sa svim
tehnologijama i sluajevima kompjuterskog kriminala; potrebno je uspostavi
nove uloge/odgovornos
za kompleksnu problema
ku digitalne
forenzike;
- problem akvizicije i analize ogromne koliine digitalnih podataka;
- sporo uspostavljanje legalnih standarda za prihvatljivost digitalnih dokaza
i veštaenje pred sudom;
- razvoj standarda za forenzike laboratorije i digitalne forenziare;
- standardi najbolje prakse i validacije forenzikih tehnika i alata;
- denisanje slojeva apstrakcije i željenih svojstava forenzikih alata: integritet podataka, autenkacija autora forenzike akvizicije/ analize, ponovljivost procesa, ne unošenje kontaminacije podataka, minimizacija koliine
podataka za analizu;
- denisanje svojstava digitalnih dokaza koja se mogu prikaza
u odreenom
alatu/tehnici;
- napuštanje prakse da jedno lice radi sve poslove digitalne forenzike i specijalizacija poslova; pokazalo se korisnim za razvoj standarda, procedura i
obuke u digitalnoj forenzici;
PY 283
- diferenciranje poslova u oblas
digitalne forenzike: kriminaliski tehniar
za digitalnu forenziku (pretraga mesta krivinog dela kompjuterskog kriminala i sakupljanje dokaza), digitalni forenziar-ispiva (proces, analiza,
validacija digitalnih podataka/dokaza) i digitalni forenziar –istražitelj
(analiza i interpretacija digitalnih dokaza).
Razvoj forenzike nauke analize DD [12] :
• 13. Interpolov simpozijum forensic science.
• 3. izveštaj o digitalnim dokazima (prvi 1995).
• Ve je formirana meunarodna interesna zajednica nauih digitalnih
forenziara (IOCE-Internaonal Organizaon on Computer Evidence), sa
svojim profesionalnim naunim telima i laboratorijama. (za izveštaj 70 agencija dalo svoje priloge)
• Forensic Compung Group, UK: mau najstarijim organizovanim; ima nekoliko agencija za istragu i forenziku analizu; sadrži ASPO (Associaon of Chief
Police. Ocers) – prvo uputstvo za otkrivanje i zaplenu raunara, CCWG (Computer Crime Working Group).
• Europian Network of Forensic Science Instutes - Forensic Informaon Technology Working Group (FIT-WG): formirana 1998, prvo uputstvo za standarde
i procedure, domain sastanka IOCE 2000.; septembra 2001 domain obuke
u Norveškoj, Oslo (istraga i forenzika IT: hp://www.ens.org.
• Naonal Instute of Jusce, USA: od 1997 radi na dokumentaciji- prvi odgovor na kompjuterski kriminal sa digitalnim dokazima, razvoj DE laboratorije
(podaci sa: hp://www.ojp.usdoj.gov/nij/pubs.htm).
• SWGDE, formirana 1997: TWGDE formirana od FBI kadrova u SAD, prerasta u
SWGDE sa DE forenziarima iz Kanade - izdali Predlog standarda za razmenu
digitalnih dokaza (rukovanje DE) 1999.
• IOCE (Internaonal Oganaisaon on Computer Evidence), formirana 1997.
• SWGDE (Scienc Working Group on Digital Evidence), februara 1999.
• U 1999. CART (FBI u SAD ima više od 50 kancelarija) obezbeuje terenski rad
u potrazi i zapleni osumnjienih raunara, kao i forenziku analizu u laboratoriji sa više od 2.400 analiza kompjuterskih dokaza.
• Forensic Science Laboratory, MUP Slovenije, Stefanova 2, 1501 Ljubljana, Slovenija, 2002.
• Udruženje sudskih veštaka za informacione tehnologije „IT Veštak“, Danijelova 32, 11000 Beograd, 2002.
• Uzimanje miror slike diska/kopiranje strima bitova 1980-ih, prvi proizvod.
• Naknadna analiza, pravljenje izveštaja o rezulta
ma analize.
• Pojava alata za forenziku analizu, integracija alata za akviziciju i analizu.
• Ala
: DIBS, Safeback, Mresware, NTI Authentec, EnCase, AccessData FTK, ILOOK.
284 I J • Veina proizvoda za PC i Win OS osim: TCT Coroner Toolkit (Dan Farmer i
Wietse Venema), TASK-&Stake Sleuth Kit.
• Preko 93 % svih snimljenih materijala u svetu 1999. bilo je u digitalnom formatu. Mnogo je uraeno na forma
ma fajlova.
• IDE (Internaonal Journal of Digital Evidence.
• Analiziraju se podaci-dokazi sa: velikih sistema HD, FD, CD,..; udaljenih sajtova, raunarskih mreža, kao i dokazi dobijeni prisluškivanjem podataka u
toku transmisije.
• Za analizu diskova formirani su najviši standardi analize.
• SAD pristup novim naunim dokazima: sudija deluje kao uvar kapije-dokaz
nije prihvatljiv sve dok generalno nije nauno prihvaen, dok se ne da tes
ra
, da se metoda dokazivanja može proveri
, da dokazi lako prezen
raju na
sudu.
• Legalni dokaz je ono što se demonstrira pred sudom.
• Digitalni dokaz mora bi
: prihvatljiv, autenan, taan, kompletan, ubedljiv
za sud.
- Prihvatljiv: u skladu sa uobiajenom pravosudnom praksom, otporan na
unakrsna ispi
vanja, sa dokaznim dokumen
ma, kopijama, usklaen sa
nacionalnim zakonom.
- Autenan: može eksplicitno poveza
fajlove, podatke sa specinim
licem i dogoajem (kroz AC, logovanje, kontrolu log fajlova, kriptozaš
enu
auten
kaciju.
- Taan: pouzdani kompjuterski procesi za sadržaj podataka, da možemo
objasni
kako se dogodio incident, šta su ulazi u incidentu, šta su interni
procesi, šta su kontrole.
- Kompletan: ispria
sa svojim reima celu priu o posebnim okolnos
ma.
- Ubedljiv za pravosudne organe: da ima dokaznu vrednost, objek
van,
prak
an test prezentacije.
• Kompjuterski dokaz: razlikuje od drugih sudskih dokaza, može se promeni
svakog trenutka u kompjuteru i na prenosnom putu i to bez traga, može se
promeni
u toku skupljanja dokaza, neposredni kompjuterski dokaz ne može
ovek direktno ita
ni
koris
, mnogi dokazi za prikaz su odštampani primarni elektronski dokazi, kompjuter stvara i registruje dokaze, stopa promene
tehnologije, kompjuter stvara mnoge prilike, ali i pretnje-mnogoviše komercijalnih transakcija registruje, mnogo je lakše pra
istoriju ak
vnos
lica,
pomaže u metodama istrage.
• Istorija kompjuterskog dokaza: mainframes, PC, LAN, Internet.
• Mainframes: kontrolabilni prin
nzi, rani problem prihvatljivos
, kako tes
ra
pouzdanost dokaza.
PY 285
• PC: može li bi
zaplenjen za analizu, disk se može «imidžoiva
i», a za
m
analizira
kao «stvaran» dokaz; možemo li verova
«imidžu» diska, kakav je
kvalitet interfejsa?
• LAN: suviše kompleksan za zaplenu i laboratorijsku analizu; kako obezbeujemo
kompletnost, kako obezbeujemo pouzdanost?
• Internet: možemo zapleni
individualni PC, možemo se osloni
na dokaz sa
udaljenog raunara, sa forenzikog raunara istražitelja i dobijen intercepcijom podataka na prenosnom putu.
286 I J PRILOG II
POZNATIJI BEZBEDNOSNI IDENTIFIKATORI ƒSID„ U WINDOWS
OPERATIVNIM SISTEMIMA
Bezbednosni iden
kator (SID) je jedinstvena vrednost promenljive dužine koja
se koris
da iden
kuje bezbednosnog principala ili grupe u Windows opera
vnim
sistemima. Pozna
ji SID su grupa SID iden
katora koji iden
kuju generike korisnike
ili grupe. Njihova vrednost ostaje konstantna kroz ceo opera
vni sistem. Ova informacija je korisna za forenziara koji ispituje bezbednosni dogaaj. Takoe je koristan
za potencijalno prikazivanje problema koji se mogu vide
u AQCL editoru. Neki SID se
može prikaza
u ACL editoru umesto u imenu korisnika ili grupe.
Tabela P2.1 Pozna
ji SID iden
katori
SID
IME
OPIS
S-1-0
Null Authority
An iden
er authority
S-1-0-0
Nobody
No security principal
S-1-1
World Authority
An iden
er authority
S-1-1-0
Everyone
A group that includes all users, even anonymous users and
guests. Membership is controlled by the opera
ng system.
S-1-2
Local Authority
Note By default, the Everyone group no longer includes
anonymous users on a computer that is running Windows XP
Service Pack 2 (SP2).
S-1-3
Creator Authority
An iden
er authority
S-1-3-0
Creator Owner
An iden
er authority.
S-1-3-1
Creator Group
A placeholder in an inheritable access control entry (ACE).
When the ACE is inherited, the system replaces this SID with
the SID for the object’s creator.
S-1-3-2
Creator Owner
Server
A placeholder in an inheritable ACE. When the ACE is
inherited, the system replaces this SID with the SID for the
primary group of the object’s creator. The primary group is
used only by the POSIX subsystem.
S-1-5
Creator Group
Server
Non-unique
Authority
NT Authority
S-1-5-1
Dialup
S-1-3-3
S-1-4
This SID is not used in Windows 2000.
This SID is not used in Windows 2000.
An iden
er authority.
An iden
er authority.
PY 287
SID
IME
OPIS
S-1-5-2
Network
A group that includes all users who have logged on through a
dial-up connec
on. Membership is controlled by the opera
ng
system.
S-1-5-3
Batch
A group that includes all users that have logged on through
a network connec
on. Membership is controlled by the
opera
ng system.
S-1-5-4
Interac
ve
A group that includes all users that have logged on through
a batch queue facility. Membership is controlled by the
opera
ng system.
S-1-5-5-X-Y
Logon Session
A group that includes all users that have logged on
interac
vely. Membership is controlled by the opera
ng
system.
S-1-5-6
Service
A logon session. The X and Y values for these SIDs are di#erent
for each session.
S-1-5-7
Anonymous
A group that includes all security principals that have logged
on as a service. Membership is controlled by the opera
ng
system.
S-1-5-8
Proxy
Descrip
on: A group that includes all users that have logged
on anonymously. Membership is controlled by the opera
ng
system.
S-1-5-9
Enterprise Domain
Controllers
This SID is not used in Windows 2000.
S-1-5-10
Principal Self
A group that includes all domain controllers in a forest that
uses an Ac
ve Directory directory service. Membership is
controlled by the opera
ng system.
S-1-5-11
Authen
cated
Users
A placeholder in an inheritable ACE on an account object or
group object in Ac
ve Directory. When the ACE is inherited,
the system replaces this SID with the SID for the security
principal who holds the account.
S-1-5-12
Restricted Code
A group that includes all users whose iden
es were
authen
cated when they logged on. Membership is controlled
by the opera
ng system.
S-1-5-13
Terminal Server
Users
This SID is reserved for future use.
S-1-5-18
Local System
A group that includes all users that have logged on to a
Terminal Services
S-1-5-19
NT Authority
A service account that is used by the opera
ng system
S-1-5-20
S-1-5-domain-500
: S-1-5-domain-501
NT Authority
Local Service
Administrator
Network Service
Guest
A user account for the system administrator. By default, it is
the only user account that is given full control over the syste
288 I J SID
IME
OPIS
S-1-5-domain-502
KRBTGT
A user account for people who do not have individual
accounts. This user account does not require a password. By
default, the Guest account is disabled.
S-1-5-domain-512
Domain Admins
A service account that is used by the Key Distribu
on Center
(KDC) service.
S-1-5-domain-513
Domain Users
A global group whose members are authorized to administer
the domain. By default, the Domain Admins group is a
member of the Administrators group on all computers that
have joined a domain, including the domain controllers.
Domain Admins is the default owner of any object that is
created by any member of the group.
S-1-5-domain-514
Domain Guests
A global group that, by default, includes all user accounts in
a domain. When you create a user account in a domain, it is
added to this group by default.
S-1-5-domain-515
Domain Computers
A global group that, by default, has only one member, the
domain’s built-in Guest account.
S-1-5-domain- 516
Domain Controllers
A global group that includes all clients and servers that have
joined the domain.
S-1-5-domain-517
Cert Publishers
A global group that includes all domain controllers in the
domain. New domain controllers are added to this group by
default.
Schema Admins
A global group that includes all computers that are running
an enterprise cer
ca
on authority. Cert Publishers are
authorized to publish cer
cates for User objects in Ac
ve
Directory.
S - 1 - 5 - ro o t
domain-518
A universal group in a na
ve-mode domain; a global group in a
mixed-mode domain. The group is authorized to make schema
changes in Ac
ve Directory. By default, the only member of
the group is the Administrator account for the forest root
domain.
A universal group in a na
ve-mode domain; a global group
in a mixed-mode domain. The group is authorized to make
forest-wide changes in Ac
ve Directory, such as adding child
domains. By default, the only member of the group is the
Administrator account for the forest root domain.
S - 1 - 5 - ro o t
domain-519
Enterprise Admins
S-1-5-domain-520
Group Policy
Creator Owners
S-1-5-domain-533
RAS and IAS Servers
A global group that is authorized to create new Group Policy
objects in Ac
ve Directory. By default, the only member of the
group is Administrator.
Administrators
A domain local group. By default, this group has no members.
Servers in this group have Read Account Restric
ons and
Read Logon Informa
on access to User objects in the Ac
ve
Directory domain local group. By default, this group has no
members. Servers in this group have Read Account Restric
ons
and Read Logon Informa
on access to User objects in Ac
ve
Directory.
S-1-5-32-544
PY 289
SID
S-1-5-32-545
S-1-5-32-546
IME
OPIS
Users
A built-in group. Aer the ini
al installa
on of the opera
ng
system, the only member of the group is the Administrator
account. When a computer joins a domain, the Domain
Admins group is added to the Administrators group. When a
server becomes a domain controller, the Enterprise Admins
group also is added to the Administrators group.
Guests
A built-in group. Aer the ini
al installa
on of the opera
ng
system, the only member is the Authen
cated Users group.
When a computer joins a domain, the Domain Users group is
added to the Users group on the computer.
S-1-5-32-547
Power Users
S-1-5-32-548
Account Operators
A built-in group. By default, the only member is the Guest
account. The Guests group allows occasional or one-
me users
to log on with limited privileges to a computer’s built-in Guest
account.
A built-in group. By default, the group has no members. Power
users can create local users and groups; modify and delete
accounts that they have created; and remove users from the
Power Users, Users, and Guests groups. Power users also can
install programs; create, manage, and delete local printers;
and create and delete le shares.
Server Operators
A built-in group that exists only on domain controllers. By
default, the group has no members. By default, Account
Operators have permission to create, modify, and delete
accounts for users, groups, and computers in all containers
and organiza
onal units of Ac
ve Directory except the Buil
n
container and the Domain Controllers OU. Account Operators
do not have permission to modify the Administrators and
Domain Admins groups, nor do they have permission to
modify the accounts for members of those groups.
S-1-5-32-550
Print Operators
A built-in group that exists only on domain controllers. By
default, the group has no members. Server Operators can log
on to a server interac
vely; create and delete network shares;
start and stop services; back up and restore les; format the
hard disk of the computer; and shut down the computer.
S-1-5-32-551
Backup Operators
A built-in group that exists only on domain controllers. By
default, the only member is the Domain Users group. Print
Operators can manage printers and document queues.
Replicators
A built-in group. By default, the group has no members.
Backup Operators can back up and restore all les on a
computer, regardless of the permissions that protect those
les. Backup Operators also can log on to the computer and
shut it down.
S-1-5-32-549
S-1-5-32-552
The following groups will show as SIDs un
l a Windows Server 2003 domain controller is made the primary
domain controller (PDC) opera
ons master role holder. (The “opera
ons master” is also known as exible
single master opera
ons or FSMO.) Addi
onal new built-in groups that are created when a Windows Server
2003 domain controller is added to the domain are
290 I J SID
IME
OPIS
S-1-5-32-554
BUILTIN\PreWindows 2000
Compa
ble Access
An alias added by Windows 2000. A backward compa
bility
group which allows read access on all users and groups in the
domain.
S-1-5-32-555
BUILTIN\Remote
Desktop Users
An alias. Members in this group are granted the right to logon
remotely.
S-1-5-32-556
BUILTIN\Network
Congura
on
Operators
An alias. Members in this group can have some administra
ve
privileges to manage congura
on of networking features.
S-1-5-32-557
BUILTIN\Incoming
Forest Trust Builders
An alias. Members of this group can create incoming, one-way
trusts to this forest.
S-1-5-32-557
BUILTIN\Incoming
Forest Trust Builders
An alias. Members of this group can create incoming, one-way
trusts to this forest.
S-1-5-32-558
BUILTIN\Performance An alias. Members of this group have remote access to monitor
Monitor Users
this computer.
S-1-5-32-559
BUILTIN\Performance An alias. Members of this group have remote access to schedule
Log Users
logging of performance counters on this computer.
S-1-5-32-560
BUILTIN\Windows
An alias. Members of this group have access to the computed
Authoriza
on Access
tokenGroupsGlobalAndUniversal a'ribute on User objects.
Group
S-1-5-32-561
BUILTIN\Terminal
Server License
Servers
An alias. A group for Terminal Server License Servers. When
Windows Server 2003 Service Pack 1 is installed, a new local
group is created.
S-1-5-32-562
BUILTIN\Distributed
COM Users
Descrip
on: An alias. A group for COM to provide
computerwide access controls that govern access to all call,
ac
va
on, or launch requests on the computer.
Primenjivo za:
Microso Windows Server 2003, Standard Edi
on (32-bit x86)
Microso Windows Server 2003, Enterprise Edi
on (32-bit x86)
Microso Windows Server 2003, Datacenter Edi
on (32-bit x86)
Microso Windows XP Professional
Microso Windows 2000 Server
Microso Windows 2000 Advanced Server
Microso Windows 2000 Datacenter Server
Microso Windows 2000 Professional Edi
on
PY 291
Odlukom Senata Univerziteta “Singidunum”, Beogrаd, broj 636/08 od
12.06.2008, ovaj udžbenik je odobren kao osnovno nastavno sredstvo na
studijskim programima koji se realizuju na integrisanim studijama Univerziteta
“Singidunum”.
CIP - , 
Download

null