eSecurityLab.net
 
.
    Bookmark and Share  

Forenzika i Istraga

Uvod u digitalnu forenziku

Faruk Višća
septembar 2009.

.

Kada sam pokušao naći definiciju digitalne forenzike našao sam se pred teškim zadatkom jer se radi o relativno novoj nauci; autori se ne slažu čak ni oko imena ili ciljeva, kao ni o tome radi li se o nauci ili disciplini. Ipak, našao sam na neke definicije koje su me relativno zadovoljile mada im se može prigovoriti na dužini i, što mi posebno smeta, insistiranju da digitalna forenzika im za cilj prikupljanje digitalnih dokaza za prezentiranje na sudu što je po meni samo jedan od ciljeva ali ne i jedini ili obavezni, pa čak ni glavni je istražitelj u oblasti digitalne forenzike može raditi za vojsku ili privatnu firmu i njihove unutarnje potrebe.

Cilj digitalne forenzike jeste da se pronađu digitalni tragovi na osnovu kojih ćemo saznati šta, kada, sa kim, kako i zašto je neko nešto radio koristeći digitalni uređaj.

Često ćemo naići na pojam digitalne forenzike što je samo jedna od oblasti digitalne forenzike; računarska forenzika se fokusira i ograničava na sam računar, dok je digitalna forenzika širi pojam koji tretira sve digitalne uređaje: računare, mobitele i PDA uređaje, digitalne kamere i fotoaparate kao i druge različite audio/video uređaje za reprodukciju, mrežne uređaje i td.

Digitalni uređaj ili bolje rečeno digitalni sistem za razliku od analognog prima, obrađuje, prenosi i skladišti podatke u binarnoj formi. Npr. digitalni fotoaparat snima fotografiju i pohranjuje je u digitalnom obliku na memorijsku karticu u obliku nula i jedinica, dok analogni snima na film osvjetljavajući ga različitim intenzitetom. Kod digitalnog oblika postoje dva stanja koja zovemo nulom i jedinicom, dok se kod analognog radi o spektru stanja.

Podaci koji se prenose i čuvaju u digitalnoj formi u kontekstu digitalne forenzike nazivaju se digitalnim tragovima odnosno digitalnim dokazima.

Koliko god bilo teško pronaći pravu definiciju digitalne forenzike procedure i pravila kojih se prilikom istrage treba držati su jasna i striktno definisana.

Nabrojaću ih nekoliko.

Prvo, istražitelj treba dobiti dozvolu onoga ko je nadležan kako bi mogao početi sa forenzičkom analizom. U slučaju sudske istrage potrebno je imati nalog suda, a u slučaju rada u privatnoj kompaniji potrebno je imati dozvolu nadležnog organa vodeći svakako računa o legislativi države u kojoj se istraga obavlja. U različitim zemljama poslodavac ima različita prava nad računarom ili mobitelom koji koristi njegov zaposlenik.

Drugo, od samog početka do kraja istrage forenzičar odnosno institucija koja vodi istragu mora voditi računa o lancu istrage, u svakom trenutku objekte istrage čuvati od bilo kakvih promjena i štetnih vanjskih uticaja. Istraga se vodi na forenzičkoj (bit for bit) kopiji medija, a nikada na originalu. To praktično znači da se npr. prilikom pruzimanja hard diska isti konektuje na uređaj koji onemogućava bilo kakvo pisanje (write blocker), uzima se forenzička kopija na kojoj će se vršiti istraga, a originalni medij čuva na odgovarajući način. Forenzička kopija sadrži kompletnu sliku diska uključujući i prazan prostor.

Treće, matematičkim metodom tj. hashing funkcijom izračunava se jedinstvena vrijednost podataka koja će se promijeniti u slučaju bilo kakve pa i najmanje promjene na podacima koji se istražuju. Na ovaj način uvijek možemo uporediti hash vrijednosti tretiranih podataka kako bi smo bili sigurni da je kopija na kojoj vršimo istragu autentična i jednaka originalu.

Četvrto, istraga se vrši provjerenim i priznatim forenzičkim alatima za koje postoji validna dokumentacija, za koje se zna kako i šta rade i koji su kao takvi priznati na sudu. Uvijek moramo biti sigurni kako smo do nečega došli ili biti u mogućnosti angažovati nekoga da to objasni. Respektabilne kompanije koje proizvode forenzički software i hardware u sklopu svojih usluga nude i svjedočenje svojih eksperata na sudu koji su sposobni objasniti program funkcioniše u određenom aspektu.

Sve do sada radilo se o pripremi, pravi posao počinje sa forenzičkom analizom. Tu se pravi majstor pozna. Forenzičar dobro mora poznavati metu na koju se namjerio, operativni i file sistem, aplikacije i podatke za kojim traga.

Šesti korak je pravljenje izvještaja koji mora biti koncizan, pregledan, bez suvišnih podataka; od izvještaja često ovisi konačna ocjena cijelog posla. O jednoj pronađenoj fotografiji istražitelj može napraviti izvještaj na nekoliko stranica, a svaki pedofil ima hiljade kompromitirajućih fotografija pa zamislite kad bi se o svakoj fotografiji napravio detaljan izvještaj, ko bi to čitao. Mada i to može biti korisno ako želimo napakostiti sudiji, tužiocu, advokatu i ostalim učesnicima u sudskom procesu.

Sedmo, uvijek moramo biti u stanju ponoviti korake kojima smo došli do nekog rezultata.

Osmi korak je živa prezentacija na sudu ili pred managementom kompanije za koju radimo. Važi isto kao i za prvo s tom razlikom što ovdje lahko druga strana može napakostiti nama. Uvijek moramo znati odgovoriti na pitanje makar odgovor glasio da u vezi navedenog trebamo konsultirati višu tehničku instancu.

Ovdje su pravila tu da ih se poštuje. Ignorišemo li neko od njih šteta može biti puno veća nego da nismo ništa dirali. Zamislimo situaciju u kojoj kao istražitelj imam informaciju o pedofilu čija je aktivnost locirana, imamo logove od ISP-a, znamo se bavi zabranjenom aktivnošću. Da bi ga strpali iza rešetaka (ovo važi za koliko-toliko normalne države u kojim državne institucije rade svoj posao) potrebno je dokazati da iza te IP adrese odnosno tog računara stoji ta osoba. Ukoliko prekršimo pravilo da se istraga vodi na forenzičkoj kopiji pa analizu započnemo na originalnom disku bez write blockera – slučaj pada u vodu jer je samim paljenjem uređaja došlo do izmjena na mediju. Bolje da ništa nismo ni dirali. Sama činjenica da je neki korisnik u određenom trenutku dobio neku Ip adresu i da je sa nje izvršena nelegalna aktivnost ne znači ništa jer se osumnjičeni odnosno njegov advokat uvijek može vaditi na to da je za računarom sjedio neko drugi i tako u nedogled. Sreća u nesreći je da kod nas pravnici uglavnom pojma nemaju o ovim detaljima što se ne bi moglo reći za države u kojim postoje posebne pravne institucije i agencije koje se bave računarskim kriminalitetom i gdje su i pravnici računarski relativno dobro obrazovani pa i specijalizovani za vođenje postupaka u ovoj oblasti. Kod nas je još uvijek najvažnije da polože rimsko pravo i da, što je još važnije, da nađu štelu za posao. Ali doće sve na svoje, polahko.

Oprema koju mora posjedovati forenzičar je veoma skupa, jedna prosječna jednostavna laboratorija, po mojoj slobodnoj procjeni, u startu mora uložiti bar 10 000 € na opremu, hardware i software.

Obzirom da je IT jako dinamična oblast, da postoje različiti file i operativni sistemi čije nove verzije izlaze bar svake 2-3 godine (mislim na operativne sisteme), obzirom na more aplikacija kod kojih se način rada često zna veoma razlikovati između dvije verzije iste aplikacije i tako dalje, forenzičar mora stalno učiti i biti u toku. U razvijenom svijetu i ovdje postoji specijalizacija.

Pored obrazovanja samih forenzičara potrebno je obrazovati i pomoćno osoblje poput policijskih službenika koji trebaju konfiskovati računare i druge uređaje koji su korišteni za izvršenje krivičnog djela. Ljudi moraju znati osnove rada računara da se izbjegne cirkus sa nosanjem monitora i sl. O nečem složenijem da i ne govorim; šta učiniti sa računarom koji je upaljen, ugasiti ga na Shut Down, prekidač ili izvlačenjem kabla napajanja, pokušati pokupiti sadržaj memorije...
.


 
 
.