Digitalne antiforenzičke tehnike

Digitalne antiforenzičke tehnike

offline
  • Pridružio: 10 Okt 2005
  • Poruke: 13526
  • Gde živiš: Beograd

Loši momci protiv dobrih momaka



Digitalne antiforenzičke tehnike

Digitalna antiforenzika kao pojam novijeg je datuma i, po logici stvari, produkt je digitalne forenzike kao naučne, pravne i tehničke kategorije. Ako znamo da je digitalna forenzika skup tehnika, metoda i pravila koja imaju za cilj istragu nad digitalnim medijima u najširem smislu reči a za potrebe izvođenja dokaza – pred sudom ili ovlašćenim telom u okviru neke kompanije, jasno je da je antiforenzika skup tehnika, postupaka i pravila koja imaju za cilj da osujete proces digitalne forenzike ili samog forenzičkog tehničara. Metode koji se koriste za tu namenu mogu se podeliti a nekoliko glavnih kategorija, uz napomenu da se neke tehnike preklapaju ili dopunjuju.

Skrivanje podataka

Skrivanje podataka je proces kojim se za forenzičku istragu osetljivi podaci skrivaju tako da se proces otkrivanja oteža, ali i da ti podaci mogu biti dostupni i prikazani osobi koja je pokušala da im zametne trag. Banalan primer ovog postupka je smeštanje dokumenata koje želite da sakrijete – u neki regularni folder u okviru Windows foldera ili u zip arhivu koju ste nazvali Office_install.zip.

Enkripcija je sofisticiraniji pristup skrivanju podataka – postupak kreiranja arhive, virtuelnog diska ili samog fajla zaštićenih šifrom, koje je moguće otvoriti samo ako foreznički tehničar upotrebi odgovarajuću šifru. Napominjemo da u većini slučajeva enkriptovanje na nivou fajla ostavlja netaknutim ime, veličinu i timestamp fajla, ali skriva sadržaj. Međutim, i sadržaj fajla može se uspešno otkriti preko privremenih fajlova ili analizom swap fajla i obrisanih a neenkriptovanih fajlova.

Steganografija je još jedan od postupaka skrivanja sadržaja fajlova. U osnovi, radi se o načinu da posebnim programima smestite neki fajl u drugi fajl istog ili različitog tipa. Na primer, logo MyCity smo uspešno sakrili u sliku ruža, i jednostavno smo povratili originalnu sliku – koristeći besplatni i svima dostupni PaintNET. Na taj način, moguće je, uz namenske programe i dogovorene protokole i šifre, sakriti bilo koju vrstu podataka u proizvoljni fajl i vrlo jednostavno ih inverznim postupkom povratiti u originalno stanje.



Ostali načini skrivanja podataka su smeštanje fajlova u specijalne delove diska, kao što su bad blokovi ili skrivene particije. U ovom poslednjem slučaju, kombinuje se postupak enkripcije sadržaja particije i skrivanje same particije ili promena karakteristika particije tako da izgleda neiskorišćena. Jedna od tehnika je i razbijanje fajla koji želite da sakrijete u manje delove koji se zatim upisuju u takozvani slack prostor fajlova koji već postoje na Vašem kompjuteru, što onemogućava ili u velikoj meri otežava otkrivanje takvih fajlova.

Brisanje fajlova



Naravno, obično brisanje fajlova i pražnjenje Recycle Bin-a neće sprečiti forenzičara da dođe do podataka koji su obrisani. Ni formatiranje diska nije prepreka da se fajlovi povrate. Da biste nepovratno obrisali podatke sa Vašeg diska, morate koristiti neke od specijalnih tehnika i odgovarajućih alata.

Čišćenje pojedinih fajlova sa diska podrazumeva uklanjanje svih fajlova koji mogu biti predmet forezničke analize, što prvenstveno uključuje log fajlove, spisak posećenih lokacija na Internetu i upise u privremenim folderima ili registry bazi. Ovo podrazumeva brisanje istorije Web Browsera, spiska nedavno otvaranih fajlova (i Windowsov spisak i spisak programa koje koristite), isključivanje kreiranja log fajlova gde je to moguće, pražnjenje privremenih foldera, brisanje sadržaja Prefetch foldera u kom su zabeleženi svi pokrenuti programi, čak i portable verzije koje ste pokrenuli sa USB diska… Mnogi programi će odraditi taj deo zaštite vrlo dobro, ali kako su iskustvo i alati na strani foreničara, brisanjem osetljivih podataka niste završili posao! Namenskim programima potrebno je obrisati sav prazan prostor na disku upisivanjem nasumičnih binarnih zapisa, i to u nekoliko sesija – prolaza. Standardi se razlikuju od države do države i u okviru njih od tela do tela koje ih propisuje ali se kreću od tri prolaza po klasteru do čak 35 prolaza!

Brisanje celokupnog sadržaja diska još jedan je od načina kojim se mogu otežati forenzičke analize. Sve navedeno za brisanje pojedinačnih fajlova važi i u ovom slučaju, a razlika je samo u tome što treba pronaći način da sadržaj diska bude bezbedno obrisan. I ovde važe standardi koji određuju broj prolaza upisivanja nasumičnih i izabranih kombinacija jedinica i nula. Naravno, nema smisla brisati sadržaj diska ako su na disku koji je u upotrebi i koji ostaje u kompjuteru prisutni “repovi” izbrisanih fajlova. U tom slučaju treba primeniti i dodatne postupke objašnjene u delu koji se bavi brisanjem pojedinih fajlova sa diska.

Demagnetizacija diskova je de facto najsigurniji način uklanjanja sadržaja sa diska, ali se izuzetno retko primenjuje jer su uređaji skupi i ne nalaze se u prodaji u svakoj trgovini računarskom opremom. Međutim, ako je ulog vredan potrošenog novca, osoba koja želi da sigurno uništi podatke koji bi moglli da je koštaju zatvorske kazne ili visoke novčane naknade, naći će način da nabavi odgovarajući uređaj. Osim toga, siguran način uklanjanja sadržaja sa diskova je i njihovo fizičko uništavanje – paljenje, sečenje u sitne delove, topljenje i slično, što preporučuje i američki National Institute of Standards and Technology.

Zametanje tragova

Već smo napomenuli da forenzički postupak isključuje puko pretraživanje sadržaja diskova u cilju nalaženja mogućeg dokaza da se krši zakon ili interna pravila firme. Predmet istrage mora biti ciljan i usmeren samo na dokazivanje traženih dokaza. Forenzičar će u tom slučaju tragati za podacima koji mogu biti relevantni za slučaj kojim se bavi, odnosno ako traži dokaz o ukradenim spiskovima kreditnih kartica, neće se baviti analizom video klipova ili audio fajlova na disku. Ta činjenica može se iskoristiti da se zavara trag dokumentima koji žele da se sakriju. Na koji način? Znamo da svaki fajl u svom headeru ima podatke o vrsti fajla, odnosno ekstenziji. Postoje načini da se taj podatak u headeru promeni tako da, recimo, fajl sa ekstenzijom doc nosi atribut mp3 fajla. Manje iskusni forenzičar će takve fajlove jednostavno preskočiti tokom pretetrage. Dalje, kako je važno da se dokaže da je krivično delo izvršeno tačno u određenom vremenskom periodu, za istragu je važan i podatak kada je pojedini fajl napravljen, kada mu je pristupano i kada je menjan. Određenim alatima moguće je promeniti i te atribute fajlova, pa je postupak dokazivaja vrlo otežan.

Ometanje i otežavanje rada forenzičara

Ljudski faktor je u svakoj, pa i u ovoj oblasti najslabija karika, što pomaže osumnjičenima da utiču na proces istrage i izvođenja dokaza. Neke od metoda su kreiranje izuzetno velikog broja “sumnjivih” fajlova, koji su sasvim legitimni ali odaju utisak mogućeg dokaznog materijala. Forenzičar mora svakom potencijalnom dokazu da se posveti sa punom pažnjom, što usporava njegov rad i čini ga manje koncentrisanim. Poznavaoci forenzičkih tehnika mogu isto tako i da koriste programe, postupke i radnje koji su potpuno dozvoljeni, ali koji zatrpavaju tehničara dodatnim poslom ili postupak iznošenja dokaza čine neuverljivim i pravno diskutabilnim.

Zločin se ne isplati

Svi navedeni postupci mogu imati za cilj izbegavanje krivične odgovornosti zbog učinjenog dela ili disciplinske odgovornosti zbog kršenja internih pravila kompanija. Međutim, forenzika kao moderna i dinamična disciplina vrlo efikasno prati razvoj i primenu postupaka i programa koji mogu da otežaju ili onemoguće efikasno sprovođenje istrage, pa najčešće brzo odgovara na postavljene izazove i prevazilazi teškoće. Jedan od razloga za to je i velika primena open source programa, tako da obe strane u ovom svojevrsnom ratu žandara i lopova poznaju oružje druge strane i mogu relativno brzo i efikasno da pariraju.Svaki od postupaka koji su navedeni u ovom članku ima efikasan odgovor kroz alate, programe i postupke koje primenjuju forenzički tehničari. Pravni sistem je dosta inertniji po tom pitanju i to je adut sa kojim mogu da računaju prekršioci.

Gde počinje antiforenzika...

Pitanje koje se postavlja u pravnoj teoriji je – gde se završava pravo na privatnost a gde počinje antiforenzika, kao smišljeni i ciljani način ometanja istražnog postupka. Pravni i etički aspekt antiforenzike je polje oko kog se u stručnim krugovima lome koplja. Dok jedni teoretičari smatraju da je svako uklanjanje sadržaja sa diskova znak da osoba koja je to učinila – nešto krije, pojedini analitičari i (uslovno) široka javnost imaju drugačije mišljenje. Oni zagovaraju pravo na privatnost i priznaju korisnicima računara da se legalnim i legitimnim sredstvima zaštite od otkrivanja ličnih i privatnih podataka, navika i aktivnosti koje sprovode na računarim u svom domu ili na radnom mestu. Neki programeri koji su razvili alate za sprečavanje efikasne istrage nad računarima bili su svojevremeno nezvanično prozivani da rade na ruku kriminalcima, teroristima i saboterima u velikim kompanijama. Međutim, u njihovu odbranu, osim korisnika tih programa, stali su čak i etički svesni forenzičari. Jedan od njihovih argumenata bio je i taj da se na taj način unapređuje forenzika kao nauka i da pravni sistem mora da deluje bolje i preciznije dok traga za krivičnim delima iz oblasti tehnološkog kriminala, počiniocima i dokazima protiv njih.

Kako je oblast antiforenzike izuzetno velika, nismo se osvrnuli na mrežnu antiforenziku, pitanje legalnosti softvera koji koristite a koji je ovih dana predmet kontrole poreskih organa, ili na antiforenziku USB fleš memorija. Više o temi digitalne forenzike i antiforenzike možete pronaći na Internetu, kroz objavljene stručne radove ili forume koji se bave tom problematikom.

Ovaj članak pisan je sa namerom da vas upozna sa pojmom digitalne antiforenzike i mogućnostima da sačuvate privatnost svog računara i Vašeg rada na njemu. Nije nam bila namera da Vas podučavamo kako da sprečite rad istražnih organa ili da neometano kršite zakon.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Neću da ti kažem...
  • ...gde preprodajem zjala.
  • Pridružio: 05 Avg 2011
  • Poruke: 663
  • Gde živiš: Pored kontejnera. Čukni dva puta u poklopac, traži Raduleta.

Nasumično upisivanje 0 i 1 na HDD u više navrata onemogućava svako eventualno iščitavanje i povraćaj podataka. Postoje algoritmi koji to rade po 3,5,7 puta(ako se ne varam), nasumično upisivanje 0 i 1. Koriste ih američka vojska i mornarica. Itekako se isplati ako znaš šta radiš. Mr. Green



offline
  • Pridružio: 11 Jul 2015
  • Poruke: 1321
  • Gde živiš: Univerzum br.8

@SlobaBgd
odlično si ovo napisao da se ljudi malo upoznaju sa ovim tehnikama. inače sve tehnike koje si opisao koristim ili sam koristio za neke meni bitne stvari Smile . Dban koristim jako dugo preko 8 godina kada brišem hdd-ove. uglavnom za mene je enkripcija particije, dela hdd-a ili celog hdd zakon. Ima nekih svojih mana, ali je generalno jako dobra stvar. Čak sam i Android enkriptovao. Smile

offline
  • Pridružio: 10 Okt 2005
  • Poruke: 13526
  • Gde živiš: Beograd

Very Happy
Pazi kad je taj članak (i još jedan) naveden kao referentno štivo u radu TSK - The Sleuth Kit Centra informacijske sigurnosti. Cool Članci su prvobitno bili napisani za jedan IT časopis i objavljeni u istom, ali kako je došlo do problema sa ispunjavanjem dogovora, smatrao sam da sam slobodan da članke objavim i na svojem sajtu i ovde na našem forumu.

Inače, da odgovorim i Azrelu: postoje načini da se dođe do podataka na hard disku čak i ako je isti prepisan nekoliko puta nasumičnim jedinicama i nulama. Radi se o nekom analognom tragu koji ostaje na pločama hard diska. Nisam uspeo da se bliže upoznam sa tom materijom, em nema mnogo tekstova o navedenom postupku, em mi nije najjasniji princip takvog trkeljisanja po disku, em je to daleko prevazilazilo zahteve članaka koje sam pisao. Uz to, taj način forenzike diskova je redak, kako zbog skupe i specifične opreme, zbog manjka osposobljenih stručnjaka, tako i zbog cene celog postupka. Jeftinije je pretući osumnjičenog dok ne prizna to što treba nego se upuštati u proceduru koja možda ništa ne otkrije. Wink

offline
  • Pridružio: 11 Jul 2015
  • Poruke: 1321
  • Gde živiš: Univerzum br.8

SlobaBgd ::: Jeftinije je pretući osumnjičenog dok ne prizna to što treba nego se upuštati u proceduru koja možda ništa ne otkrije. Wink
LOL
ja bih još dodao da osuminjčeni takodje treba u Word dokumentu da napiše (prizna) sve šta je radio i da se taj dokument slučajno nadje baš na disku koji je koristio i eto forenzičkog dokaza. Mr. Green

offline
  • Pridružio: 10 Okt 2005
  • Poruke: 13526
  • Gde živiš: Beograd

Very Happy
Samo se ti smej... Na isti način "forenzišu" i vas koji kriptujete diskove. Laughing Traže ti kod/šifru, ti prvi put kažeš ne dam!, možda i drugi put kada isto pitaju, ali se već posle trećeg ponavljanja pitanja svega setiš i na sve pristaneš. Ne znam ima li to veze sa onim stokilašem - "forenzičarem" sa niskim čelom koji od hardvera drži pandursku palicu. Verovatno nema, šta misliš? Wink

offline
  • Pridružio: 11 Jul 2015
  • Poruke: 1321
  • Gde živiš: Univerzum br.8

ne bih ja da posle svih ovih godina upoznajem te forenzičare "stokilaše" što od hardvera koriste samo palicu i lako se iznerviraju kada na tastaturi umesto prave šifre koja glasi " zeznuosamte1"3 " otkucaju " yeynuosamte1@3 "

offline
  • Pridružio: 20 Mar 2011
  • Poruke: 1316
  • Gde živiš: Beograd

SlobaBgd ::Very Happy
Samo se ti smej... Na isti način "forenzišu" i vas koji kriptujete diskove. Laughing Traže ti kod/šifru, ti prvi put kažeš ne dam!, možda i drugi put kada isto pitaju, ali se već posle trećeg ponavljanja pitanja svega setiš i na sve pristaneš. Ne znam ima li to veze sa onim stokilašem - "forenzičarem" sa niskim čelom koji od hardvera drži pandursku palicu. Verovatno nema, šta misliš? Wink


Moj burazer je pre par godina preko omladinske dobio poslić da u MUP-u utovari stvari iz jednog magacina u kamion koji ih je nosio na neku drugu lokaciju. U tom magacinu je našao pendrek na kome je pisalo "poligraf". Mr. Green

offline
  • Pridružio: 11 Jul 2015
  • Poruke: 1321
  • Gde živiš: Univerzum br.8

hajde da malo uozbiljim temu, da ne prčamo o hardverskim palicama i poligrafima Smile

"Pitanje koje se postavlja u pravnoj teoriji je – gde se završava pravo na privatnost a gde počinje antiforenzika, kao smišljeni i ciljani način ometanja istražnog postupka."

Upotreba svih ovih tehnka je po meni potpuno legitimna i jedini način da se bar donekle zaštiti privatnost.
Ne želim baš sve da bude na "izvolte" bilo kome.
Samo jedan primer. Pre par meseci Avira je napravila test na mobilnim telefonima, tako što su nasumično kupili 40-tak pametnih Android telefona preko oglasa. Na svim telefonima je bio uradjen Factory reset pre nego što su im stigli. E sada ovi iz Avire su na preko 50% tako kupljenih uredjaja povratili podatke. I jedini zaključak je bio enkriptujte telefon.
Znači ljudi treba da budu informisani o ovome. Ionako se ne možemo zaštititi od "Velikog brata" (NSA) nikako, tako da ovakvi postupci koji su opisani u ovom članku, po meni predstavljaju logičnu opciju.
Takodje kao što sam napisao da koristim Dban jako dugo. Naprimer kupim novi hdd i ovaj stari hoću da prodam. Šta treba samo da ga formatiram, pa će svi podaci biti obrisani. kako da ne Smile Lepo uzmem dban i samo "autonuke" i onda sam miran i siguran da niko ne može da nadje nikakve podatke bilo kojom tehnikom ( a možda se i nešto novo pojavilo sa čime je moguće a da ne znam) .
Uglavnom ono što hoću da kažem jeste da je upotreba svih ovih tehnika potpuno legitimana.

Ko je trenutno na forumu
 

Ukupno su 1085 korisnika na forumu :: 35 registrovanih, 6 sakrivenih i 1044 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 357magnum, 9k38, antonije64, Apok, Brana01, Bubili, darkangel, dragoljub11987, dushan, janbo, Karla, Krvava Devetka, Kubovac, kybonacci, Leonov, ljuba, manda87, marsovac 2, mercedesamg, mikrimaus, milos.cbr, Nemanja.M, oldtimer, opt1, ostoja, ruma, sap, Singidunumac, Sir Budimir, Srle993, taz1cl, Trpe Grozni, Vlada78, vladaa012, VP6919