Uvod u kompjutersku forenziku

• 18Ovo se svidja korisnicima: Springfield, vasa.93, Ljilja Hnovi, magna86, Mali Veseljak, klodovik, gsb, rapha, Mila_90, mcrule, suca41, Toba_grobar, TwinHeadedEagle, eleutheros, šumar bk2, vinted, boki199777, E.L.I.T.E.
  
  Registruj se da bi pohvalio/la poruku!

CSI: MY COMPUTER

Uvod u kompjutersku forenziku

Digitalna forenzika je oblast kriminalistike koja se bavi prikupljanjem, analizom i prezentacijom digitalnih podataka koji se nalaze na elektronskim uređajima koji privremeno ili trajno čuvaju informacije unete u te uređaje. Digitalna forenzika bavi se računarima, mobilnim i fiksnim telefonima, PDA uređajima, memorijskim karticama i svim onim medijima na kojima su na neki način zabeleženi podaci zanimljivi za bezbednosnu analizu ili kriminalističku istragu.

Kompjuterska forenzika deo je digitalne forenzike i predmet njene obrade je kompjuter u najširem smislu tog pojma: sadržaj diskova (hard diskova, CD/DVD diskova), sadržaj operativne memorije, mrežni saobraćaj, protokoli koji se koriste, prava i zaduženja operatera na računaru, i sve radnje koje su načinjene pomoću računara (štampanje, narezivanje diskova, Skype komunikacija, e-mailovi...).

Kompjuterska forenzika najpre je bila oblast kojom su se bavile bezbednosne službe (policija, tužilaštvo, kontraobaveštajne službe, vojska) ali u zadnje vreme pojavljuje se i nova strana zainteresovana za tu vrstu istrage: korporacije koje sumnjaju ili žele da budu sigurne da njihovi zaposleni (ne) krše interna pravila koja se odnose na bezbednost podataka.

Metodologija kompjuterske forenzike

Da bi forenzička istraga i njeni rezultati bili validni pred zainteresovanom stranom koja je naručila istragu, ona mora da ispuni određene uslove koji su propisani najpre sudskom praksom a kasnije su ti uslovi prihvaćeni i od strane ostalih naručilaca istrage. Osnovni zahtev je da istraga bude tehnički neoboriva. Šta to znači? Recimo, ispituje se sadržaj hard diska u potrazi za određenom vrstom fajlova ili određenim sadržajem unutar tekstualnih dokumenata, mejlova ili logova aktivnosti na kompjuteru. U tom slučaju, neophodno je prekopirati sadržaj celokupnog hard diska na poseban uređaj - hard disk – koji ne dozvoljava dalje upisivanje, i na kom se dalje vrši pretraga. Kopija diska je Beat-stream tipa, odnosno ne kopiraju se samo fajlovi koji su na disku već celokupan sadržaj sa sve nepopunjenim prostorom na kome mogu da se nalaze fajlovi koji su obrisani a koji mogu biti interesantni u postupku istrage. Ovaj način kopiranja prepisuje bajt po bajt, sa celokupnom strukturom fajl sistema, zadržavajući slack prostor u kom se nalaze fragmenti pregaženih fajlova. To se radi zbog obezbeđivanja validnosti istraživanog materijala, odnosno kao dokaz da ništa od sadržaja nije menjano na disku koji se istražuje. Na taj način niko ne može da tvrdi da su dokazi koji su pronađeni podmetnuti, izmenjeni na štetu bilo koje strane u postupku istrage, ili izgubljeni.

Sledeći zahtev koji forenzička istraga mora da ispuni je da se rezultati dobijeni primenom tehnika, alata i procedura mogu ponoviti od strane drugog stručnjaka, ako jedna strana traži validaciju rezultata. Ovaj uslov se ispunjava primenom prihvaćenih protokola, metodologije i procedura. Zanimljvo je da procedure i metodologija nisu svuda isti, odnosno različiti pravni sistemi u svetu na različite načine propisuju način na koji se dolazi do forenzičkih dokaza koji su prihvatljivi na sudu. Ta nelogičnost ide tako daleko da je, recimo, u SAD sudska praksa koja tretira kompjutersku forenziku u jednoj saveznoj državi bitno drugačija nego u drugoj.

Takođe, da bi postupak istrage bio primenjiv u daljem procesu istrage, mora biti detaljno dokumentovan. Ovo je vrlo važan zahtev koji je noćna mora svih istražitelja: setimo se koliko policajci u filmovima mrze pisanje izveštaja i koliko njihovi šefovi insistiraju na tome. Dokumentovanjem procesa istrage i pribavljanja dokaza istražitelj obezbeđuje kredibilnost celokupnog postupka i svoje uloge u njemu, i isto tako omogućava proveru od strane nezavisnog tela, bilo strukovnog ili sudskog. Dokumentovanje istrage vrlo je važno i za unapređenje struke, i mnogi ozbiljni eksperti spremni su da slučajeve na kojima su radili podele sa kolegama, na seminarima, u okviru predavanja, kao članke u stručnim časopisima ili na Internet forumima koji okupljaju profesionalce i radoznalce.

Kompjuterski forenzičari u svom radu suočavaju se sa nekim situacijama koje otežavaju njihov posao. Najčešće je u pitanju nemogućnost da objekat koji obrađuju nije moguće fizički preneti u laboratoriju. Takav slučaj je sa serverima koji moraju da ostanu na mestu gde se nalaze zbog daljeg funkcionisanja mreže. U tom slučaju istražitelj mora da prikupi podatke na licu mesta, koristeći laptop i hardversku opremu koju je poneo sa sobom, a faktor ograničenog vremena je još jedna otežavajuća okolnost koja može da utiče na rezultate istrage. Kako je sistem aktivan u trenutku prikupljanja podataka, u svakom trenutku može doći i do promene u sadržaju hard diska, pa istražitelj ima zadatak da učini sve da te promene bitno ne naruše strukturu i sadržaj diska. Osim toga, i fizički oštećeni mediji koji ponekad moraju da se analiziraju traže dodatno vreme, specijalnu opremu i veliko iskustvo i znanje tima istražitelja, kao i izuzetno pažljivo i dokumentovano sprovođenje istrage.

Forenzički softver







Softverski alati koji se koriste u forenzičkoj istrazi često su komercijalni i treba za njih izdvojiti velike svote novca. Međutim, postoji veliki broj besplatnih i opensource programa koji su priznati od strane stručnjaka za ovu oblast. Pomenućemo specijalizovane Linux Live diskove DEFT Linux, Penguin Sleuth Kit, F.I.R.E, CAINE i Helix koji su namenjeni upravo forenzičkoj analizi diskova i mrežnog saobraćaja i sadrže grafičke i konzolne alate razvijene za ovu specifičnu namenu. Isto tako, i besplatni Windows programi koje vredi isprobati su DEFT Extra – skup Windows aplikacija za analizu diskova i logova, i OSForensics sa izvanredno organizovanim spiskom programa i procedura koje se koriste u forenzičkoj praksi. Međutim, mnogi stručnjaci koriste zasebne programe koji nisu deo nekog paketa a sposobni su da prikažu podatke koji zanimaju istražitelje: programi za povratak izbrisanih fajlova, programi za pronalaženje i prikazivanje logova, ili za praćenje i analizu mrežnog saobraćaja, razni HEX editori ili HASH analizatori. U svakom slučaju, softverska platforma, bilo da se bazira na računaru koji poseduje instaliran operativni sistem i potrebne programe ili radi u Live režimu sa nekog namenskog Linux ili Windows diska, mora da omogući pristup svim fajl sistemima koji su u upotrebi (od FAT do UFS i HFS+) i da izvrši analizu sadržaja diskova i mrežnog saobraćaja, da identifikuje obrisane fajlove, da pretraži prazan prostor na disku, da odredi vreme i datum kreiranja, menjanja i pristupa specifičnim fajlovima, kao i da napravi vremensku šemu aktivnosti na računaru koji se istražuje. Takođe, vrlo je korisno da postoji softver koji pravi izveštaj o koracima, redosledu i metodama istrage i da poveže rezultate istrage sa ostalim bitnim činjenicama vezanim za slučaj – vreme i mesto istrage, hardverska i softverska specifikacija računara, IP i MAC adrese, nalozi i ovlašćenja korisnika. Izveštaj može da bude pisan i rukom, ali mnogo je pouzdanije i komfornije ako izaberete namenski sofrver koji to radi standardizovano i koji najčešće postoji u okviru forenzičkog softverskog paketa.

Hardverska platforma







Hardver koji se koristi u forenzičkoj istrazi specifične je namene i mora da zadovoljava stroge zahteve po pitanju pouzdanosti, otpornosti na oštećenja od elektromagnetnog zračenja koje može da ošteti dobijene rezultate i učini ih neupotrebljivim za sudsku ili korporativnu istragu, da pokrije sve potencijalne zahteve oko arhitekture i fajl sistema računara ili mreže koja se istražuje, kao i da omogući propisan način povezivanja, čitanja i dokumentovanja podataka koji su predmet istrage. Nikakve improvizacije nisu dozvoljene jer se time gubi validnost dobijenih dokaza i nanosi nepopravljiva šteta celokupnom postupku. Minimum hardverskih karakteristika koje forenzička radna stanica mora da ispuni je kućište sa četiri mesta za diskove, matična ploča koja podržava SCSI, IDE i USB priključke, procesor klase Pentium na minimalno 2,2 GHz, tri eksterna USB hard diska, 10/100 ethernet kartica i CD rezač. Osim toga, potrebno je obezbediti i odgovarajuće priključne kablove za diskove, mrežu i eksterne medije (memorijske kartice, ZIP-Drive), adaptere za različite tipove konektora, mrežni hub uređaj koji olakšava Network Sniffing i kopiranje diskova komfornije i brže nego ako koristite crossover kabl, set odvijača za vađenje diskova iz računara, prazne CD/DVD diskove, kesice i nalepnice za klasifikaciju i obeležavanje dokaznog materijala, marker i beležnicu u kojoj ćete dokumentovati postupak istrage. Vrlo korisno je ako istražitelj ima bar dva hard diska velikog kapaciteta koje treba potpuno da obriše pre svake nove istrage. Obično formatiranje nije dovoljno dobro – potrebno je disk tretirati nekim od programa koji trajno brišu fajlove nasumičnim upisivanjem nula i jedinica ili namenskim hardverskim uređajima koji pouzdano brišu sadržaj diska i svaki put proveriti da li je ostao neki podatak koji može dati pogrešne rezultate prilikom istrage.

Zakon i etika

Pravni i etički aspekt forenzičke istrage posebna je tema i nepoznavanje ove materije može celu istragu nepopravljivo da kompromituje. Osvrnućemo se na neke zahteve koje je neophodno ispuniti da bi istraga bila validna. Najpre, istragu vrši lice ovlašćeno od strane nadležnog sudskog, policijskog ili korporativnog tela, što mora biti jasno dokumentovano. To znači da nije dozvoljeno da serviser računara pretražuje sadržaj diska u potrazi za sumnjivim fajlovima i aktivnostima. Dalje, istraga se vrši ako postoji osnovana sumnja da su neki zakon ili interno pravilo prekršeni, i sprovodi se samo u granicama dokazivanja ili odbacivanja te osnovane sumnje. Šta to znači? Ako neko postavi zahtev da istražitelj pregleda kompjuter da bi video ima li nečeg sumnjivog, to nije istraga već špijuniranje. Mora da postoji jasno definisan zahtev zašto se traži istraga, šta je predmet istrage (prodaja poslovnih tajni banke, spisak brojeva kreditnih kartica, plan sprovođenja terorističkog akta…) i istraga treba da se kreće samo u okvirima navedenog zahteva. Potpuno i standardizovano dokumentovanje zahteva za istragom, postupaka, procedura, alata i mesta i vremena istrage sa validnim i proverljivim dokazima je ono što izdvaja istragu od nestručnog zadiranja u privatnost korisnika računara. Istražitelj mora da dokumentuje postupak forenzičke istrage terminima koji su jasni, nedvosmisleni i razumljivi struci, ali i da zna da napravi siže koji će kao sudski veštak prezentovati strani koja je naručila istragu, na način koji je razumljiv ljudima van struke ali koji ne odstupa od istine, i koji nema paušalnih, proizvoljnih ili nepreciznih zaključaka.

Budućnost kompjuterske forenzike

Računarska forenzika oblast je koja još uvek nije pokrivena opšteprihvaćenim standardima, kako zbog činjenice da je to relativno novo polje, tako i zbog različitog pristupa pojedinih zakonskih akata ovoj materiji. Ali, ohrabruje činjenica da se digitalnoj forenzici pridaje sve više pažnje, da se vrši školovanje, obuka i kursevi na fakultetima, specijalizovanim seminarima ili u okviru kompanija koje se bave ovim poslom, kao i spremnost da iskusni stručnjaci podele svoje znanje i praksu javno, putem Interneta ili stručih skupova.