Embed Size (px)
Citation preview
DIPLOMSKO DELO VISOKOŠOLSKEGA STROKOVNEGA ŠTUDIJA
Informacijska varnost
Digitalni dokazi in integriteta v računalniški forenziki
Marec, 2017 Matjaž Smolej
Mentor: doc. dr. Blaž Markelj
Zahvala
Za strokovno pomoč pri izdelavi diplomskega dela se najlepše zahvaljujem mentorju,
dr. Blažu Marklju.
Zahvaljujem se tudi svoji družini za vso spodbudo, podporo in pomoč.
Matjaž Smolej
3
Kazalo
Povzetek .......................................................................................... 5
Summary - Digital evidence and integrity in computer forensics ...................... 6
1 Uvod .......................................................................................... 7
1.1 Namen in cilji diplomskega dela .................................................. 8
1.2 Postavitev predpostavk ............................................................ 8
1.3 Uporabljene metode raziskovanja ............................................... 8
2 Digitalna forenzika in njena načela .................................................... 9
2.1 Postopek zavarovanja elektronske naprave ................................. 11
2.2 Postopek preiskave elektronske naprave ..................................... 15
2.3 Postopki digitalne forenzike ..................................................... 17
2.4 Oprema za izvajanje digitalne forenzike ..................................... 19
3 Trdi diski .................................................................................. 22
3.1 Arhitektura trdega diska ......................................................... 22
3.2 Arhitektura bliskovnih pomnilnikov ............................................ 24
3.2.1 Podatkovna struktura na trdem disku ........................................ 25
3.3 NAND bliskovni pomnilnik ........................................................ 25
3.3.1 Pomnilniški krmilnik v bliskovnem pomnilniku .............................. 26
3.3.2 Funkcija TRIM .................................................................... 26
3.3.3 Funkcija Garbage Collection .................................................. 28
3.3.4 Funkcija Wear Leveling ........................................................ 28
3.4 Hibridni trdi diski .................................................................. 29
4 Integriteta podatkov .................................................................... 31
4.1 Zgoščevalna funkcija .............................................................. 32
4.2 Pomanjkljivosti zgoščevalnih funkcij .......................................... 33
5 Obnovitev podatkov ..................................................................... 35
5.1 Mehanska obnova podatkov na trdem disku.................................. 35
5.2 Mehanska obnova podatkov iz SSD diska...................................... 37
6 Raziskava in ugotovitve ................................................................. 39
6.1 Zgoščevalne funkcije na različnih medijih .................................... 39
6.2 Obnova podatkov na različnih medijih ........................................ 43
7 Razprava ................................................................................... 47
7.1 Odgovori na hipoteze ............................................................. 48
8 Zaključek .................................................................................. 49
9 Uporabljeni viri .......................................................................... 50
4
Kazalo slik
Slika 1: Postopek zavarovanja živega sistema (vir: Kardoš, 2010) ....................... 12
Slika 2: Postopek zavarovanja mrtvega sistema (vir: Kardoš, 2010) ..................... 14
Slika 3: Tableau preprečevalnik zapisovanja (vir: lastna slika) .......................... 21
Slika 4: Adapterji preprečevalnika zapisovanja (vir: lastna slika) ....................... 21
Slika 5: Različne velikosti trdih diskov (vir: Hard Disk Drive, 2017) ..................... 22
Slika 6: Sestava trdega diska (vir: Ehsan, 2015) ............................................ 23
Slika 7: SSD krmilnik (vir: Ngo, 2013) ........................................................ 24
Slika 8: Delovanje NAND pomnilnika (vir: How Does NAND Flash Memory Work, 2009)
..................................................................................................... 26
Slika 9: Delovanje TRIM funkcije (vir: Gubanov in Afonin, 2014) ........................ 28
Slika 10: Hibridni trdi disk (vir: Kumar, 2014) .............................................. 30
Slika 11: HashMyfiles testni primer (vir: lastni zajem ekrana) ........................... 33
Slika 12: Primer trka MD5 v izvršilni datoteki (vir: Selinger, 2006) ...................... 34
Slika 13: Odstranjevanje bralno-pisalne glave (vir: Head Swap, 2017) ................. 36
Slika 14: Bralnik bliskovnih pomnilnikov (vir: Gubanov in Afonin, 2012) ................ 37
Slika 15: Crystaldiskinfo Seagate USB 1Tb (vir: lastni zajem ekrana) ................... 40
Slika 16: Crystaldiskinfo Seagate SATA 2Tb (vir: lastni zajem ekrana) .................. 40
Slika 17: Crystaldiskinfo Samsung SSD 128Gb (vir: lastni zajem ekrana) ................ 41
Slika 18: Crystaldiskinfo Intenso SSD 128Gb (vir: lastni zajem ekrana) ................. 41
Slika 19: FTK imager 3.3.0.5 izdelava istovetne kopije (vir: lastni zajem ekrana) .... 42
Slika 20: Zgoščene vrednosti po končanem postopku (vir: lastni zajem ekrana) ...... 42
Slika 21: X-Ways testna datoteka (vir: lastni zajem ekrana) ............................. 44
Slika 22: Informacije o datoteki (vir: lastni zajem ekrana) ............................... 44
Slika 23: Metapodatki testne datoteke (vir: lastni zajem ekrana) ....................... 45
Kazalo tabel
Tabela 1: Rezultati zgoščenih vrednosti ..................................................... 43
Tabela 2: Rezultati obnovljenih podatkov ................................................... 46
5
Povzetek
Preiskava kaznivih dejanj in predstavitev dokazov na sodišču sta ključnega pomena za
ugotovitev dejanskega stanja oziroma dokazovanje resnice.
V diplomskem delu smo na pregleden način predstavili definicijo digitalne forenzike,
njena načela in metodologijo. Definirali smo razliko med zavarovanjem in preiskavo
elektronske naprave kot tudi razlike med zavarovanjem živega in mrtvega sistema.
Opisali smo zgoščevalne funkcije, njihov pomen in določene pomanjkljivosti.
Integriteta podatkov in zagotavljanje, da se podatki niso spremenili, se lahko
zagotovita z uporabo zgoščevalnih funkcij.
Sodišče lahko uporabi dokaze, ki so bili pridobljeni na zakonit način, kar opredeljuje
Zakon o kazenskem postopku. Vsi dokazi, ki niso pridobljeni na takšen način, ne
morejo biti uporabljeni kot dokazi. V nadaljevanju smo predstavili programsko in
strojno opremo in opredelili pomen uporabe omejevalnika zapisovanja.
Diplomsko delo smo nadaljevali s predstavitvijo delovanja klasičnih trdih in SSD
diskov, ki uporabljajo bliskovni pomnilnik. Opisali smo arhitekturo in funkcije, ki se
uporabljajo za delovanje, kot tudi načine za reševanje podatkov v primeru okvare.
V praktičnem delu naloge smo prikazali razlike pri obnovi podatkov iz klasičnega
trdega in SSD diska. Z lastnimi testi smo prikazali problem zagotavljanja integritete
na SSD diskih, ki uporabljajo lastne krmilnike z operacijskim sistemom in bliskovni
pomnilnik.
Ključne besede: integriteta podatkov, zgoščevalne funkcije, bliskovni pomnilnik
6
Summary - Digital evidence and integrity in computer
forensics
Investigating criminal offences and presenting the evidence in court is of key
importance in determining the facts of the case or proving the truth.
The bachelor thesis presents the definition of digital forensics, its principles and
methodology in a clear way. It defines the difference between securing and
examining an electronic device, and the difference between securing alive or dead
system. It describes the hash functions, their importance and certain drawbacks.
Data integrity and assurance that the data has not been modified can be ensured by
using hash functions.
The court may use evidence that has been acquired legally, as laid down in the
Criminal Procedure Act. All evidence that has been acquired otherwise cannot be
used as evidence. The thesis afterwards presents the software and hardware, and
determines the importance of using a recording limiter.
The bachelor thesis continues with a presentation of the operation of classic hard
disk drives and SSDs that use flash memory. It describes the architecture and the
functions it uses to operate, as well as the methods of recovering data in the event
of failure.
The empirical section of the thesis shows the differences in recovering data from a
classic hard disk drive and an SSD. By running tests, the author has demonstrated the
problem of ensuring integrity on SSDs, which use their own controllers with an
operating system and flash memory.
Keywords: data integrity, compression functions, flash memory
7
1 Uvod
Vse večja uporaba digitalnih medijev in interneta klasične oblike kriminala seli tudi v
digitalni svet, v katerem se ustvarjajo novi kanali za komunikacijo in oblike kriminala
(Žvab in Dvoršek, 2012). Kriminalci in organizirane skupine so našli zavezništvo z
novimi tehnologijami, s katerimi izvajajo kazniva dejanja. Predvsem prevladujejo
razširjanje spolne zlorabe otrok, ribarjenje, izkoriščanje sistemskih virov, virusi,
orožje, mamila v povezavi z mnogimi drugimi.
V povezavi z vsemi naštetimi novimi oblikami kriminalnih dejanj, kjer so za
izvrševanje kaznivega dejanja v uporabi elektronske naprave, se je za dokazovanje
tovrstnih dejanj pojavilo novo dokazno gradivo, ki ga imenujemo digitalni dokaz.
Digitalni dokaz je po besedah Caseyja (2011) vsak podatek, shranjen ali prenesen z
uporabo računalnika, ki bi potrdil ali ovrgel teorijo, kako je prišlo do kaznivega
dejanja. Digitalni so tisti podatki, ki lahko vzpostavijo povezavo med kaznivim
dejanjem in žrtvijo, osumljencem ali dokažejo nastanek kaznivega dejanja. Takšni
podatki so lahko besedila, slike, video posnetki, elektronska pošta, internetni
klepeti, log datoteke id., ki prikazujejo dostop do določenih virov.
Zavedanje, da vsak posameznik v vse večji meri za seboj pušča elektronsko sled,
bodisi na elektronskih napravah ali internetu, priča o tem, kako pomembna postaja
digitalna forenzika.
Današnji pregled elektronskih naprav ni omejen samo na računalnike, telefone,
tablice, fotoaparate, pomnilniške kartice, temveč tudi na analizo dnevniških datotek
in internetnega prometa.
Pravilna uporaba tehnik forenzične preiskave in forenzičnih orodij ter znanje
preiskovalca imajo v celotnem postopku preiskave izreden pomen, saj napaka v
postopku lahko privede do izločitve določenega dokaza na sodišču (Kastelic in Škraba,
2012a).
8
1.1 Namen in cilji diplomskega dela
Cilj in namen diplomskega dela je primerjati klasične trde in SSD diske in ugotoviti,
ali njihova različna struktura, tako mehanska kot programska, vpliva na zagotavljanje
integritete skozi celoten postopek.
1.2 Postavitev predpostavk
V diplomskem delu bomo preverjali naslednje predpostavke:
H1: Ugotoviti, ali novi digitalni mediji lahko onemogočijo uspešno forenzično
zavarovanje.
H2: Ugotoviti, kje so težave pri pregledu takšnih naprav in kako poteka izločanje
takšnih dokazov v postopku.
Predpostavke so preverjene z izbranimi metodami raziskovanja.
1.3 Uporabljene metode raziskovanja
V diplomskem delu bomo uporabili deskriptivno metodo raziskovanja. Podatke bomo
pridobili s pomočjo proučevanja strokovne literature, najdene v domačih in tujih
bibliografskih zbirkah, strokovnih člankov, pravnih aktov in internetnih virov. Ravno
tako bomo uporabili opazovanje z udeležbo na podlagi lastnih izkušenj s področja
digitalne forenzike in informacijskih tehnologij. Ugotovitve raziskovalnega dela bodo
predstavljene z lastnimi testi.
9
2 Digitalna forenzika in njena načela
Definicij, kaj točno je računalniška forenzika, je mnogo, ena izmed njih pa je, da je
to proces identifikacije, zavarovanja ter analiziranje in predstavljanje dokazov v
elektronski obliki na način, ki je zakonsko sprejemljiv (McKemmish, 1999). Digitalni
dokazi morajo biti zavarovani na način, da lahko ustvarimo rekonstrukcijo dogodkov v
digitalni obliki.
Pomembno je namreč dejstvo, da zaradi digitalizacije in vse večje uporabe
elektronskih naprav pri vsakdanjem delu digitalni dokazi zaradi svoje nepristranskosti
postajajo vse večje dokazno sredstvo v kazenskih postopkih. Dokazi, ki jih imamo v
analogni obliki, namreč niso problematični za razumevanje, saj je analogno sliko ali
negativ težje ponarediti kot dokaze v digitalni obliki, ki jih je razmeroma enostavno
ponarediti ali prirediti (Selinšek, 2012).
Digitalna forenzika se kot mlada veda ne uporablja samo v namene dokazovanja v
sodnih postopkih, temveč tudi v civilnih, kjer se razkrivajo digitalni dokazi. Sodišče
kot pravno dopustno sredstvo namreč določa digitalne dokaze, ki so bili pridobljeni
ob upoštevanju vseh standardov digitalne forenzike in na zakonit način. Pomembno
je dejstvo, da morajo biti vsi dokazi shranjeni in analizirani po načelih, ki morajo biti
upoštevana pri izvedbi digitalne forenzike, zato bomo našteli le najpomembnejša
(Šavnik, 2012).
Dokumentiranje postopkov
Vse dejavnosti v zvezi s forenzičnimi postopki glede digitalnih dokazov morajo biti
natančno dokumentirane, hranjene in dostopne za pregled tako, da jih lahko ponovi
tretja neodvisna stranka in doseže enak rezultat.
Integriteta podatkov
Noben postopek ne sme spremeniti originalnega izvoda podatkov. Če namerava
preiskovalec izvajati forenzično preiskavo podatkov, mora narediti delovno kopijo
originala.
Načelo strokovnosti
10
Preiskovalec ne sme preseči ravni svojega znanja. Vsak nujni neposredni dostop do
originalnega izvoda digitalnih dokazov, ki se zaradi tega lahko spremeni, poškoduje
oz. delno ali v celoti uniči, mora opraviti primerno usposobljen strokovnjak.
Načelo zakonitosti
Načelo govori o ustreznem varovanju digitalnih dokazov in odgovornosti posameznika
za vse dejavnosti z njimi. V ta namen mora biti vzpostavljena skrbniška veriga, v
katero se beležijo vse dejavnosti glede zasega, dostopa, hrambe ali prenosa
digitalnih dokazov.
Digitalna forenzika je mlada veda, zato se srečuje z odprtimi vprašanji o uporabi
forenzičnih orodij, izkušnjami in ustrezno izobrazbo preiskovalca kot tudi problemi
pri predstavitvah izsledkov preiskav. Za uspešno interpretacijo predstavljenih
končnih izdelkov forenzika je pomembno, da so posamezniki, ki delujejo znotraj
pravosodja, seznanjeni s posebnostmi, ki jih predstavljajo. Treba se je namreč
zavedati, da zaseg elektronske naprave ne predstavlja dokaza, predstavlja ga
digitalna informacija, ki jo elektronska naprava vsebuje (Selinšek, 2012).
Kot smo ugotovili, je Šavnik (2012) opisal osnovna načela, ki jih je Slovenska policija
v letu 2012 nadgradila z izoblikovanjem načel digitalne forenzike, ki so sestavljena iz
11 sklopov in so usklajena s trenutno veljavno zakonodajo in veljavnimi dognanji
(Kastelic in Škraba, 2012b):
1. pri delu s podatki v elektronski obliki je treba upoštevati splošna forenzična
pravila in zakonske določbe za zavarovanje dokazov;
2. uporabljeni postopki morajo biti na področju digitalne forenzike splošno
priznani, sicer morajo biti podatki v elektronski obliki zbrani in shranjeni na
znanstveni način;
3. vsak postopek, ki bi lahko spremenil, poškodoval ali uničil kateri koli del
originalnega izvoda podatkov v elektronski obliki, mora opraviti primerno
usposobljeni strokovnjak;
4. vsaka enota mora uporabljati strojno in programsko opremo, ki je primerna in
učinkovita za postopek zavarovanja in preiskave podatkov v elektronski obliki;
5. vsak postopek zavarovanja ali preiskave podatkov v elektronski obliki mora biti
natančno dokumentiran, tako da ga lahko preveri tretja stranka in doseže enak
rezultat;
11
6. noben postopek ne sme spremeniti originalnih podatkov. Preiskavo podatkov v
elektronski obliki je treba opraviti na identični delovni kopiji, ki ne sme biti
edina;
7. v izjemnih primerih, ko je to nujno potrebno, se lahko dostopa do originalnih
podatkov, vendar mora biti izvajalec za to primerno usposobljen in mora znati
pojasniti nujnost in posledice takega načina dela;
8. z zaseženimi elektronskimi napravami in zavarovanimi podatki v elektronski
obliki je treba ravnati pravilno ter jih zaščititi pred poškodbami;
9. vsi podatki v elektronski obliki morajo biti ustrezno varovani, zato mota biti v ta
namen vzpostavljena jasno dokumentirana njihova sledljivost;
10. zagotoviti je treba redno posodabljanje dokumentov standardnih operativnih
postopkov, da se zagotovi njihova primernost in učinkovitost;
11. vsaka enota, ki je odgovorna za zaseg elektronskih naprav, zavarovanje in
preiskovanje podatkov v elektronski obliki, mora ravnati v skladu s temi načeli.
Slovenska policija je s tem postavila preiskovalcem temeljni okvir za delo, ki se ga
morajo držati, da zagotovijo strokovno dopustne postopke digitalne forenzike
(Škraba, 2014).
2.1 Postopek zavarovanja elektronske naprave
Ob upoštevanje opisane metodologije dela se moramo zavedati, da je zavarovanje
elektronske naprave edinstveno opravilo, ki nam omogoča, da vsa nadaljnja opravila
lahko večkrat ponovimo.
Proces zavarovanja podatkov je proces, ki se začne z identifikacijo elektronskih
naprav, fizično na kraju dogodka. Treba je namreč zagotoviti, da se elektronski
podatki ne izgubijo ali uničijo. Predvsem pomembni so podatki, ki se nahajajo v
delovnem pomnilniku naprave in se ob prekinitvi električnega napajanja izgubijo.
Posledično se pri zavarovanjih v primerih, da je računalnik prižgan, ne uporablja več
način, kjer se je računalnik med delovanjem enostavno odklopil iz električnega
napajanja. Tak način je bil aktualen v časih, ko še ni bilo šifriranih oblačnih storitev,
šifriranih diskov in ostalih pomembnih storitev. Preiskovalci so ugotovili, da so tako
izgubili preveč podatkov, zato se tak način zavarovanja ne uporablja več (Solomon,
Rudolph, Tittel, Broom in Barrett, 2011).
12
Današnje zavarovanje pozna dve tehniki, ki se med seboj ločita glede na status, v
katerem se nahaja računalnik (Vacca, 2002). Ta je lahko prižgan ali ugasnjen. V
prvem delu bomo predstavili postopek zavarovanja živega sistema.
Slika 1: Postopek zavarovanja živega sistema (vir: Kardoš, 2010)
V primeru, ko računalnik deluje, je v začetni fazi potrebno zavarovati prizorišče ter
miško in tipkovnico. V nadaljevanju preverimo, v kakšnem stanju se dejansko nahaja
računalnik. Obstaja namreč možnost, da je v stanju spanja in ni fizično ugasnjen ali
pa je ugasnjen samo ekran. V teh primerih je najlažje, če premaknemo miško ali
pritisnemo tipko SHIFT, ki računalnik zbudi iz stanja spanja (Majcen, 2011). Preveriti
je potrebno, ali se računalnik nahaja v omrežju, in sicer fizično s kablom ali preko
WIFI povezave. V primeru, da na ekranu vidimo premikanje miške ali druge določene
akcije, moramo fizično onemogočiti dostop do mreže.
Potrebno je omeniti, da se na računalniku lahko nahaja več možnih pasti, ki jih
uporabnik ali kdo drug lahko sproži z določeno kombinacijo tipk, ali pa se pod legalno
ikono skriva program, ki izvede neko drugo komando, kot jo pričakujemo. Pri analizi
živega sistema se je treba zavedati, da se izpostavljamo nevarnosti, da je na sistemu
nameščena zlonamerna programska koda, ki prekriva nekatere digitalne dokaze
(Majcen, 2011).
13
V primeru, da je računalnik povezan v omrežje ali je računalnikov več, je
priporočljivo, da aktualno stanje slikamo, saj le na tak način lahko naredimo
rekonstrukcijo celotnega omrežja.
Ko je računalnik izoliran, je treba preveriti, ali se na računalniku uporabljajo šifrirni
programi, kot so Bitlocker, Drive Crypt, TrueCrypt in podobni. V tem primeru
izvedemo zavarovanje hlapljivih podatkov iz delovnega pomnilnika na ustrezen
sterilen medij.
Gubanov (2016) govori o pomembnosti zajema delovnega pomnilnika, saj ta glede na
raznolikosti operacijskih sistemov, aplikacij ter procesov v večini primerov iz t. i.
dumpa prikaže podatke o:
zagnanih procesih,
omrežni povezavi,
odprtih datotekah,
nastavitvenih datotekah,
šifrirnih ključih,
oblačnih storitvah,
odprtih aktivnih registrskih ključih,
podatkih iz registra,
pogovorih z družabnih omrežij,
sistemskih informacijah,
šifriranih delih trdega diska.
Pri zasegu t. i. neobstojnih podatkov je potrebno po končanem postopku nastali
datoteki, ki predstavljata t. i. dump delovnega pomnilnika, zagotoviti ustrezno
istovetnost in digitalni podpis, kar bomo predstavili v nadaljevanju. Istovetnost
zagotovimo posamezni datoteki ali celotni sliki, in sicer na način izračuna unikatne
zgoščene vrednosti, ki jo zapišemo v zapisnik.
V primeru selektivnega zasega, kjer se zavaruje določena vsebina, npr. poštni predal
določene osebe, video posnetek iz nadzornih kamer in podobno, moramo po
končanem postopku zavarovanim datotekam izračunati zgoščeno vrednost, ki jo
zapišemo v zapisnik (Hash function, 2016).
14
Sterilen medij je definiran kot medij, na katerem so vsi biti prepisani, da bi izločili
kakršen koli predhodno zapisan podatek. Celoten medij se prepiše z ničlami in tako
pobriše vse predhodno zapisane podatke. Le takšen medij na sodišču predstavlja
dokaz, da predhodno na mediju ni bilo podatka o prejšnjem zavarovanju ali kakšnem
drugem podatku (Medlin in Crazier, 2010).
Obstajajo primeri, ko je računalnik izklopljen. V tem primeru se uporablja način, ki
je razviden iz spodnje slike.
Slika 2: Postopek zavarovanja mrtvega sistema (vir: Kardoš, 2010)
Računalnik se v tem primeru ustrezno popiše in zapečati v ustrezno škatlo.
V forenzičnem laboratoriju se računalnik odpečati in poslika. Računalnik se odpre in
odstranijo se vsi spominski mediji, ki jih vsebuje. Obenem se o zavarovanju začne
pisati zapisnik, ki vsebuje podatke, kdaj smo zavarovanje začeli, kdo je osumljen, za
katero kaznivo dejanje gre, ali zavarovanje opravljamo na podlagi privolitve ali
odredbe sodišča. Zapisnik vsebuje točen model trdega diska z vsemi tehničnimi
podatki, ki jih vsebuje.
15
Trdi disk se priklopi na omejevalnik zapisovanja, ki preprečuje spreminjanje
podatkov na izvornem mediju. Po končanem postopku program za zavarovanje
podatkov v datoteko izpiše še zgoščene vrednosti po algoritmu MD5 in SHA1. Izpisane
so tudi morebitne napake, v primeru, da je disk poškodovan in ima slabe sektorje. Vsi
pridobljeni podatki se vpišejo v zapisnik o zavarovanju elektronskih naprav. Po
končanem postopku se trde diske vrne na svoje mesto.
2.2 Postopek preiskave elektronske naprave
Postopek preiskave elektronske naprave sledi zavarovanju podatkov in pomeni
iskanje relevantnih vsebin po zavarovanih podatkih oziroma njihov vsebinski pregled
(Selinšek, 2012).
Ob upoštevanju veljavne zakonodaje moramo postopek izvesti na način, ki je
zakonsko sprejemljiv, obenem pa moramo upoštevati sprejeta načela digitalne
forenzike.
Zakonsko je preiskava elektronske naprave opredeljena v enajstih odstavkih 219.a
člena Zakona o kazenskem postopku (Zakon o kazenskem postopku [ZKP], 2014):
V prvem odstavku definira elektronsko napravo ter nosilce, ki lahko vsebujejo
elektronske podatke, kot so telefon, telefaks, disketa, optični mediji,
računalnik, tablični računalnik in spominske kartice. Opredeljeno je, da se
preiskava lahko opravi samo, če so podatki utemeljen razlog za sum, da je bilo
storjeno kaznivo dejanje in je podana verjetnost, da elektronska naprava
vsebuje elektronske podatke, na podlagi katerih je mogoče osumljenca
identificirati, odkriti ali prijeti ali odkriti sledove kaznivega dejanja, ki so
pomembni za kazenski postopek ali jih je mogoče uporabiti kot dokaz v
kazenskem postopku.
V drugem odstavku narekuje, da se preiskava sme opraviti samo na podlagi pisne
privolitve imetnika ter znanih in dosegljivih uporabnikov elektronske naprave, ki
na njej utemeljeno pričakujejo zasebnost. V primeru, da uporabnik take
privolitve ne da, se preiskava opravi na podlagi obrazložene odredbe sodišča,
izdane na predlog državnega tožilca. Odredba sodišča se pred začetkom
preiskave izroči imetniku oziroma uporabniku elektronske naprave.
Tretji odstavek točno definira, da morata predlog in odredba za preiskavo
elektronske naprave vsebovati podatke, ki omogočajo identifikacijo elektronske
16
naprave, ki se bo preiskala, utemeljitev razlogov za preiskavo, opredelitev
vsebine podatkov, ki se iščejo, ter druge pomembne okoliščine.
V četrtem odstavku narekuje, da se preiskava elektronske naprave lahko odredi v
odredbi za hišno ali osebno preiskavo. Državni tožilec v tem primeru poda
predlog za hišno ali osebno preiskavo.
V petem odstavku točno definira, da v primerih, ko obstaja neposredna
nevarnost za varnost ljudi in premoženja in pisne odredbe ni mogoče pravočasno
pridobiti, lahko preiskovalni sodnik na ustni predlog državnega tožilca odredi
preiskavo elektronske naprave z ustno odredbo. Najkasneje v dvanajstih urah po
izdaji ustne odredbe mora biti izdana odredba v nasprotnem primeru mora
policija, ki je odredbo izvršila, shranjene ali kopirane podatke zapisniško uničiti,
o tem pa mora v osmih dneh obvestiti preiskovalnega sodnika, državnega tožilca
in imetnika elektronske naprave.
V šestem odstavku točno opredeljuje imetnika, ki mora omogočiti dostop do
naprave, predložiti šifrirne ključe ter morebitna šifrirna gesla ter pojasniti, kako
se naprava uporablja, če je to potrebno. V primeru, da imetnik ne ravna tako, se
ga sme kaznovati, razen v primeru, če gre za osumljenca ali osebo, ki ne sme biti
zaslišana kot priča.
Definicija sedmega odstavka točno definira preiskavo elektronske naprave, ki se
mora opraviti na način, da se ohranita integriteta izvornih podatkov in možnost
njihove uporabe v nadaljnjem postopku. Preiskava elektronskih naprav mora biti
opravljena na način, da se ne posega v pravice oseb, ki niso osumljenci ali
obdolženci, in da se ne povzroča škoda.
Osmi odstavek točno definira, da preiskavo lahko opravi strokovno usposobljena
oseba, ki mora o preiskavi napisati zapisnik. V točni definiciji je opredeljeno, da
mora zapisnik vsebovati točno identifikacijo elektronske naprave, ki je bila
pregledana. V zapisniku morajo biti podatki o datumu in uri začetka in konca
preiskave oziroma morajo biti ti ločeni v primeru več preiskav. Opredelijo se
morebitne sodelujoče in navzoče osebe pri preiskavi, številko odredbe in sodišče,
ki jo je izdalo. Opredeljeni morajo biti način izvedbe preiskave, ugotovitve
preiskave in druge pomembne okoliščine.
Deveti odstavek zakona navaja, da preiskovalec v primeru najdbe podatkov, ki
kažejo na drugo uradno pregonljivo kaznivo dejanje, to navede v zapisniku o
preiskavi in o tem takoj obvesti državnega tožilca, da začne kazenski pregon. V
primeru, da državni tožilec spozna, da ni razloga za kazenski pregon, se ti
podatki zapisniško uničijo, o uničenju pa se sestavi zapisnik.
17
V desetem odstavku je definirano, da se v primeru preiskave, ki se opravlja v
prostorih državnih organov, podjetij ali drugih pravnih oseb, povabi njihov
predstojnik, ki naj bo pri preiskavi navzoč. V primerih preiskave v vojaškem
objektu se povabi vojaški starešina, ki je navzoč pri preiskavi. O hišni ali osebni
preiskavi se napiše zapisnik, kjer se natančno opišejo predmeti ali listine, ki se
zasežejo. Zapisnik se izda tistemu, pri katerem se opravi preiskava, ali
njegovemu zastopniku.
Enajsti odstavek točno narekuje, da elektronske naprave, ki so bile preiskane
brez odredbe sodišča ali brez pisne privolitve, sodišče svoje odločbe ne more
opreti na tako pridobljene dokaze.
Pri preiskavi si lahko bistveno pomagamo z uporabo znanih zgoščenih vrednosti, tako
imenovanih »dobrih datotek«. Med preiskovalci bolj znana in uporabljena je baza
NSRL1 ali nacionalna programska referenčna knjižnica. Baza vsebuje znane zgoščene
vrednosti operacijskih sistemov in programskih paketov. Preiskovalec pri svojem delu
tako ni vezan na pregled vseh datotek, ampak samo na datoteke, ki jih NSRL baza ne
izloči kot »dobre«. Pri pregledu digitalnih sledi pa preiskovalec lahko uporabi tudi
bazo »slabih« zgoščenih vrednosti, ki se uporablja predvsem pri preiskovanju spolnih
zlorab otrok.
2.3 Postopki digitalne forenzike
Upoštevanje veljavne zakonodaje in ostalih internih aktov posamezne organizacije je
v veliki meri posledica tega, da organizacija za doseganje svojih ciljev predpiše
načine, kako jih doseže. V teh primerih lahko rečemo, da je znotraj organizacij
smiselno uporabljati lastno metodologijo dela, ki jo uporabljajo člani organizacije, ki
jo je sprejela (Špeh, 2011). Metodologija je dinamična in se stalno spreminja na
podlagi novih postopkov, smernic, standardov, izkušenj, načel in idealov.
Policija je v ta namen v letu 2012 v svojem priročniku opisala 15 sklopov načinov dela
in postopkov posameznih faz, ki so usklajeni z veljavno zakonodajo in obenem
upoštevajo vsa pravila digitalne forenzike (Kastelic in Škraba, 2012b):
1 National Software Reference Library vsebuje podatkovno bazo izračunanih zgoščenih
vrednosti sistemskih datototek in programskih paketov z algoritmom MD5 in SHA1 (NSRL, 2017).
18
zaznavanje in obveščanje (informacija, da bo treba izvesti postopek digitalne
forenzike);
avtorizacija in potrditev, da sta dosežena dokazni standard in dovoljenje
pristojnih za izvedbo postopka;
priprava in načrtovanje (strategija pristopa in načrtovanje preiskave na podlagi
zakonskih in organizacijskih omejitev);
zavarovanje fizičnega kraja dogodka (zavarovanje kraja dogodka z namenom, da
se pred uničenjem in spreminjanjem zavarujejo dokazi v materialni obliki);
iskanje in identificiranje fizičnih dokazov (iskanje in identificiranje elektronskih
in z njimi povezanih naprav, nosilcev podatkov in drugih predmetov za kasnejši
zaseg);
zavarovanje digitalnega kraja dogodka (zavarovanje elektronskih in z njimi
povezanih naprav pred izgubo podatkov ter zunanjim dostopom prek omrežja –
tako imenovano zamrznitev stanja);
iskanje in identificiranje digitalnih dokazov (iskanje in identificiranje podatkov v
elektronski obliki, njihovih struktur ter pojavnih oblik za kasnejše zavarovanje);
zaseg predmetov in zavarovanje podatkov (zaseg predmetov in zavarovanje
podatkov na način, ki omogoča njihovo hrambo in kasnejšo uporabo v postopku);
zapečatenje predmetov in zagotavljanje integritete (zagotavljanje
nedotakljivosti zaseženih predmetov in istovetnosti ter integritete zavarovanih
podatkov);
dokumentiranje postopka pridobitve dokazov (dokumentiranje in fotografiranje
pomembnejših dejstev, podrobnosti ter okoliščin glede zasega predmetov in
zavarovanje podatkov v elektronski obliki);
prenos in hranjenje dokazov (prenos dokazov na primerno lokacijo za kasnejšo
preiskavo in hramba dokazov za čas preiskave);
rekonstrukcija in preiskovanje dokazov (rekonstrukcija zaseženih dokazov
oziroma restavriranje zavarovanih podatkov in postopek njihovega preiskovanja);
redukcija in analiziranje dokazov (podatke, ki bi na podlagi preiskave lahko bili
dejanski dokazi v postopku, je treba najprej ločiti od tistih, ki to zagotovo niso,
nato pa jih je treba analizirati in ugotoviti njihovo dejansko relevantnost);
dokumentiranje postopka preiskave (dokumentiranje pomembnejših dejstev
glede rekonstrukcije in preiskovanja dokazov, postopka redukcije ter analiziranja
in morebitnih drugih pomembnejših ugotovitev);
19
predstavitev in pričanje (v primeru poziva na sodišče je potrebno pričanje o
svojem delu in predstavitev dokazov v elektronski obliki ter ugotovitev v zvezi z
njimi).
Ob upoštevanju zgoraj opisanih pravil je preiskovalec pri svojem delu učinkovitejši,
ugotovitve in izsledki preiskave pa na sodišču predstavljajo dokaz.
2.4 Oprema za izvajanje digitalne forenzike
Preiskovalci pri svojem delu za uspešno delovanje potrebujejo predvsem dve glavni
vrsti opreme, in sicer strojno in programsko opremo.
Pomembno je, da izpostavimo uporabo komercialnih in brezplačnih orodij.
Komercialna orodja se namreč največkrat podaljšujejo v obliki nakupa letnih licenc.
Brezplačna orodja se lahko pridobijo v obliki celotnih zbirk forenzičnih orodij kot
npr. Kali Linux.
Programska orodja, ki se uporabljajo pri preiskavah in zavarovanju:
Forensic Toolkit (FTK) – orodje, v forenzičnem svetu poznano kot švicarski nož, z
enostavnim grafičnim vmesnikom, ki omogoča razbijanje gesel, analizo mobilnih
naprav, avtomatsko ustvarjanje poročil, preiskavo Volume Shadow Copy, analizo
zajetega hlapljivega pomnilnika, analizo škodljive kode, geo lokacije, analizo
poštnih predalov, podatkovno in diskovno podporo za šifrirane diske (Forensic
Toolkit, 2016).
X-Ways Forensics (X-Ways) - omogoča izdelavo istovetnih kopij z datotečnih
sistemov, kot so FAT12, FAT16, FAT32, exFAT, Ext2, Ext3, Ext4, UDF. Prednost
orodja je v sestavljanju RAID podatkovnih polj v načinu JBOD, RAID 0, RAID 5,
RAID 6, Windows dinamičnih diskovnih polj ter Linux programskih RAID polj,
izračun zgoščenih vrednosti, obnovo podatkov, iskanje po ključnih besedah in
ustvarjanju poročil (X-Ways, 2017).
Encase Forensic - EnScript omogoča uporabo pripravljenih skript kot pisanje
svojih, izločanje podatkov iz aktivnega imenika, analizo strojne opreme,
pregledovalnik registra, pregled in analizo zgodovine brskanja po spletu, analizo
hlapljivih podatkov, zajetih iz delovnega pomnilnika, zajem podatkov in
ustvarjanje zgoščenih vrednosti ter primerjavo z obstoječimi bazami (Encase
Forensic, 2017).
20
SANS Investigative Forensic Toolkit (SIFT) - orodje za pregled zavarovanih vsebin
v formatih E01 - expert witness format, AFF - advanced forensic format in DD -
raw format. Integrirana so različna orodja: Wireshark, Scalpel, Voatility,
Autopsy, Mantaray, namenjena analizi omrežnih protokolov, hlapljivih podatkov
in obnovi podatkov. Podprti so datotečni sistemi MS-DOS, FAT, VFAT, NTFS, HFS,
UFS ter ext2,3,4 (SANS, 2016).
P2 COMMAND KIT - mrežna forenzična rešitev, živo pridobivanje podatkov z
mreže,P2 vsebuje prikritega agenta, ki omogoča pridobivanje podatkov in
iskanje, brez da bi se uporabnik zavedal, da ga preiskujejo, hranjenje podatkov
v šifriranih forenzičnih shrambah in generiranje poročil, ki potrjujejo integriteto
dokazov (Paraben, 2016).
Programska oprema tvori celoto v kombinaciji z ustrezno delovno postajo, ki
omogoča sistematično in avtomatizirano izvedbo postopkov (Škraba, 2014).
Forenzična delovna postaja predstavlja bistveno orodje, ki ga preiskovalec uporablja
pri svojem delu. Postaja mora biti sestavljena iz primerno velikega ohišja, ki lahko
shrani večjo količino trdih diskov, namenjenih shranjevanju zavarovanih podatkov za
namen preiskav. V delovni postaji mora biti matična plošča, ki mora imeti možnost
priklopa različnih zunanjih naprav preko USB 3.0 povezave, eSata, Firewirera,
omrežnega adapterja in ostalih naprav. Zmogljiv osrednji procesor in velika
kapaciteta delovnega pomnilnika pripomoreta, da preiskovalec lahko opravlja več
nalog v istem času. DVD in Bluray snemalniki se uporabljajo za snemanje izločenih in
zavarovanih podatkov za tožilstvo in nosilca predmetne zadeve. Grafična kartica z
več izhodi z možnostjo prikaza slike na več ekranih je priporočljiva, saj preiskovalci
pri svojem delu največkrat za prikaz uporabljajo več ekranov.
K osnovni opremi sodijo različni priključki ter adapterji, ki omogočajo priklop
različnih elektronskih naprav. Pomemben del zaradi zagotavljanja istovetnosti in
neposeganja v izvorne podatke predstavljajo preprečevalniki zapisovanja (Guidance,
2008).
21
Slika 3: Tableau preprečevalnik zapisovanja (vir: lastna slika)
Zaradi zagotavljanja kompatibilnosti različnih standardov in načina priklopov
elektronskih naprav se pri uporabi preprečevalnika zapisovanja uporabljajo različni
adapterji za priklop.
Slika 4: Adapterji preprečevalnika zapisovanja (vir: lastna slika)
Del opreme preiskovalca predstavljata tudi prenosni računalnik z možnostjo priklopa
različnih vrst dodatnih naprav ter forenzični prenosni kit za opravljanje forenzike na
mobilnih napravah, tablicah in navigacijskih napravah.
22
3 Trdi diski
Trdi disk je naprava, na katero namizni računalniki, prenosni računalniki, strežniki in
različne ostale elektronske naprave lahko trajno zapisujejo podatke. Je poceni in ob
izklopu ohrani vsebino. Na trdem disku so tako zapisani operacijski sistem, programi
in ostali podatki, pomembni za delovanje računalnika.
Največkrat uporabljeni velikosti sta 3.5¨ in 2.5¨ palca, bistvena razlika med njimi pa
se odraža v hitrosti vrtenja plošče, ki se v običajnih diskih giblje med 5400 in 7200
obratov ter do 10000 obratov v tistih v strežnikih. Od tega je namreč odvisno, kakšen
dostopni čas dosežemo pri branju podatkov. Posledično je od tega odvisno tudi, kako
hitro bomo lahko prebrali ali zapisali določen podatek. Kot si bomo pogledali v
nadaljevanju, pri sestavi trdega diska, je sestavljen iz plošč, ki jih lahko povežemo
več skupaj. Od tega je odvisna kapaciteta, ki se je pri starejših diskih odražala v
megabajtih (MB), pri novejših pa se odraža v terabajtih (TB) (Dpi, 2008).
Različne velikosti trdih diskov so razvidne iz spodnje slike.
Slika 5: Različne velikosti trdih diskov (vir: Hard Disk Drive, 2017)
3.1 Arhitektura trdega diska
Trdi disk je sestavljen iz ohišja, na katerem so napisane specifikacije, kot so velikost,
datum izdelave, model, serijska številka. Na ohišju se nahaja logično vezje,
23
sestavljeno iz elektronskih komponent, ki skrbijo za pravilno komuniciranje preko
podatkovnega vmesnika, kot delovanja krmilnega motorja, magnetne glave, ki je
nameščena na mehanizem za premikanje glav. Glavni deli trdega diska so tako
sestavljeni iz (Dpi, 2008):
plošče z magnetnim medijem in motorja za pogon plošč,
ročice z bralno-pisalnimi glavami,
elektronike za branje in pisanje,
elektromehanskega servo in krmilnega sistema,
krmilnika in vmesnika do vodila.
Slika 6: Sestava trdega diska (vir: Ehsan, 2015)
V notranjosti so nameščene magnetne okrogle plošče, ki se vrtijo okoli svoje osi.
Preko komunikacijskega vmesnika računalnik pošilja ukaze, ki preko krmilnika
ustrezno posredujejo podatke bralno-pisalnim glavam (Kozierok, 2001).
Za uspešno zapisovanje podatkov je potrebna električna napetost, ki ustvari
magnetno polje v prostoru med bralno-pisalno glavo in ploščo. Od polaritete
napetosti je odvisno, kakšno vrednost želimo zapisati na medij. Medij v tem primeru
lahko sprejme le dve vrednosti, in sicer nič ali ena.
24
3.2 Arhitektura bliskovnih pomnilnikov
Prednost pri delovanju bliskovnega pomnilnika je, kot bomo videli v nadaljevanju ,
predvsem v tem, da pri sestavi ni uporabljenih premikajočih sestavnih delov.
Posledično so odpornejši na udarce in zunanje vplive pri delovanju. Bliskovne
spominske naprave so ločeni sistemi, kjer je vsaka komponenta prilotana na vezje
(PCB-Printed circuit board). Bliskovni pomnilniki so razdeljeni v dve večji kategoriji:
RAM (Random access memory),
ROM (Read only memory).
Podatki so v ROM pomnilnik lahko samo zapisani. Informacije, ki jih zapišemo, so v
njem shranjene za vedno. RAM pomnilnik se od ROM pomnilnika razlikuje po tem, da
se informacije, ki jih zapišemo in jih lahko prepišemo, izgubijo v trenutku, ko
ostanejo brez napetosti (in Boddington, 2010).
V nalogi smo v prejšnjem poglavju predstavili problem, ki ga predstavljajo tako
imenovani neobstoji podatki, ki v tem primeru predstavljajo podatke, shranjene v
RAM pomnilniku. Najpogosteje je zato ključnega pomena pravilno načrtovanje zasega
neobstojnih podatkov, saj ti velikokrat v sebi hranijo nepogrešljiv vir informacij. V
pomnilniku tako lahko najdemo shranjene internetne povezave, nešifrirane ključe,
oblačne storitve, aktivne seje, shranjena gesla in druge ključne elemente,
pomembne za preiskavo.
Slika 7: SSD krmilnik (vir: Ngo, 2013)
25
Bell in Boddington (2010) pri tem izpostavljata slabosti v primerjavi s klasičnim trdim
diskom, kjer se podatki kljub izgubi napajanja ne izgubijo.
3.2.1 Podatkovna struktura na trdem disku
Helba (2010) opisuje podatkovno strukturo na trdem disku in način, kako se podatki
shranjujejo na plošče, ki so prevlečene s feromagnetno plastjo. Podatki so zapisani v
koncentričnih krogih, ki jih imenujemo sledi (ang. Track). Vsaka sled je razdeljena na
več sektorjev (ang. Sector), ki so zaradi zmogljivosti trdega diska združene v več
plošč, sledi z enakim polmerom pa tvorijo cilinder.
Sektor je najmanjši del informacije, ki se lahko zapiše na trdi disk ali se iz njega
prebere. Njegova vsebina je sestavljena iz uvodnega dela z naslovom, podatkovnega
dela ter dela z biti, ki je namenjen odkrivanju in popravljanju napak.
Kot smo povedali predhodno pri zavarovanju naprav, je pomembno, da se zavaruje
celoten nosilec, saj ima trdi disk poleg dela, kjer so dejansko zapisani podatki, še
rezerviran prostor.
Pri tem je treba izpostaviti tri pojme (Carrier, 2011):
nedodeljen prostor (ang. Unallocated Space): opredeljuje gruče, ki jih ne
zasedajo podatki; nedodeljen prostor tako lahko predstavlja informacije o
pobrisanih datotekah;
mrtev prostor (ang. Slack space): predstavlja preostali prostor med koncem
podatkov in koncem določen gruče; tako lahko vsebuje podatke o predhodno
pobrisanih datotekah, ki so delno prepisane z novimi podatki.
dodeljen prostor (ang. Allocated Space): sestavljajo ga gruče z vsebnostjo
datotek.
V vsakega od teh namreč z dovolj naprednim znanjem lahko shranimo podatke, zato
mora biti preiskovalec pozoren pri preiskavi, tudi pri pregledu opisanih delov nosilca.
3.3 NAND bliskovni pomnilnik
Najprej moramo povedati, da se delovanje NAND bliskovnega pomnilnika razlikuje od
delovanja klasičnega trdega diska, saj v tem primeru nimamo mehanskih delov, ki
26
skrbijo za delovanje. NAND bliskovni pomnilnik je namreč sestavljen iz več
tranzistorjev (en tranzistor na celico). Prednost takšnega delovanje je v tem, da se
tehnologija NAND v elektronskih napravah uporablja za brisanje, pisanje in
shranjevanje podatkov, ki se ohranijo tudi, ko naprava ugasne (Larrivee, 2016).
Delovanje dosežemo na način tako imenovanih plavajočih tranzistorjev, ki deluje na
način, da ustvarijo naboj in spodbudijo elektrone, da se premaknejo v kletko. Naboji,
ki jih predstavljajo takšni elektroni, so nato trajno ujeti znotraj kletke, ne glede na
to, ali je računalnik prižgan ali ugasnjen (Larrivee, 2016).
Slika 8: Delovanje NAND pomnilnika (vir: How Does NAND Flash Memory Work, 2009)
3.3.1 Pomnilniški krmilnik v bliskovnem pomnilniku
Glavni nalogi pomnilniškega krmilnika sta zagotavljanje komunikacije med
pomnilnikom in zagotavljanje podatkov na pomnilniku. Krmilnik deluje po podobnem
principu kot na običajnem trdem disku, vendar ne zagotavlja samo dodatnih
funkcionalnosti, kot je funkcija S.M.A.R.T. (Self-Monitoring, Analysis and Reporting
Technology), in obvladovanje slabih sektorjev, vendar ima implementirane še
dodatne funkcije. Dve najbolj pomembni sta TRIM in mehanizem za izravnavanje
obrabe celic (Wear-leveling), ki si ju bomo ogledali v nadaljevanju. Krmilnik je
vgrajen v procesor, ki izvaja kodo na ravno strojno-programske opreme in je eden
izmed pomembnejših dejavnikov uspešnosti polprevodniških diskov (Larrivee, 2016).
3.3.2 Funkcija TRIM
Trim funkcija omogoča brisanje blokov, ki jih operacijski sistem označi za brisanje
oz. prepis. Ko se določena datoteka označi za izbris, operacijski sistem preko
krmilnika pošlje komando, ki prekopira celotni blok v predpomnilnik, izbriše stran (na
kateri je datoteka) in zapiše celoten blok nazaj s praznimi stranmi (Larrivee, 2016). S
27
tem poskrbimo, da so bloki vedno pripravljeni za pisanje. Funkcija ima negativni
učinek na forenzično analizo in obstojnost podatkov. Po brisanju ne more biti
zagotovljena zaradi krmilnika SSD diska, ki se odloči, kdaj in katere označene bloke
pobriše. Funkcija je v novih operacijskih sistemih vključena avtomatsko, vendar jo
lahko vklopimo in izklopimo tudi preko ukazne vrstice v operacijskem sistemu
Windows. Vpliv funkcije si bomo ogledali na praktičnem primeru v nadaljevanju, kjer
bomo funkcijo za testne namene tudi izklopili. Za različne operacijske sisteme
uporabimo različne ukaze.
Windows operacijski sistem
Preverjanje statusa funkcije v ukazni vrstici
fsutil behavior set disabledeletenotify
VKLOP
fsutil behavior set disabledeletenotify 0
IZLOP
fsutil behavior set disabledeletenotify 1
MacOS
V terminalnem oknu izvedemo ukaz:
Sudo trimforce enable (vklop)
Sudo trimforce enable (izklop)
Linux
sudo fstrim -v /
28
Slika 9: Delovanje TRIM funkcije (vir: Gubanov in Afonin, 2014)
3.3.3 Funkcija Garbage Collection
NAND bliskovne naprave ne morejo prepisati podatkov, ki so že zapisani v celicah, saj
morajo iti najprej skozi proces brisanja in novega zapisovanja. Za pisanje v blok, ki
je že bil v uporabi, mora SSD krmilnik najprej kopirati vse veljavne podatke/celice
(ki so še vedno v uporabi) in jih tako zapisati v izpraznjen blok, izbrisati vse celice v
trenutnem bloku (tako veljavne in neveljavne/določene za izbris), nato pa začne
pisati nove/veljavne podatke v izbrisan blok (Larrivee, 2016). Ta funkcija se imenuje
Garbage Collection.
3.3.4 Funkcija Wear Leveling
Vsaka NAND celica v bliskovnem pomnilniku ima omejeno življenjsko dobo. Vsaka
celica ima namreč omejeno število zapisov, ki so običajno zagotovljeni z več kot 100
000 cikli. Večinoma se vse informacije, shranjene na napravi, ne spreminjajo z enako
frekvenco. Nekatere informacije se posodabljajo hitreje kot druge, ki se ne
spreminjajo tudi dalje časa. Pomembno je, da nivo vseh celic obdržimo na enaki
ravni, zato moramo preprečiti njihovo staranje. Preprečiti moramo dostop samo do
določenih celic, saj bi se na ta način obrabile, nekatere pa bi ostale nedotaknjene.
Funkcija Wear leveling deluje popolnoma v ozadju in zato je ni mogoče zaznati v
testih, ki sledijo v nadaljevanju. Funkcija je omejena zaradi strojnega naslavljanja
29
celic, ki niso vidne in dostopne preko operacijskega sistema. Glavna naloga funkcije
je, da preprečuje zapisovanje, brisanje in prepisovanje vedno v začetne bloke v
celici (Larrivee, 2016).
Poznamo dva tipa:
Dynamic wear leveling (dinamično),
Static wear leveling (statično).
Dinamično porazdeljevanje obrabe pozna zgolj dve vrsti celic, neuporabljene in
spremenjene. Pomnilniške celice, katerih vsebina se ne spreminja, dinamični
algoritmi pustijo pri miru. V praksi so statični algoritmi znatno boljši, saj imajo
pregled nad vsemi celicami pogona, spremenjenimi, nerabljenimi in statičnimi
(tistimi, katerih vsebina se ne spreminja). Tako bodo tudi celice s statičnimi
vsebinami selili po pogonu, če bo to pomenilo, da bodo vse celice enakomerneje
obrabljene. Posledično se s tem povzročajo dodatni bralno-pisalni cikli, vendar je
zaradi podaljševanja življenjske dobe končni učinek za uporabnika še vedno pozitiven
(Larrivee, 2016).
3.4 Hibridni trdi diski
Relativno visoke cene bliskovnih pomnilnikov v primerjavi z običajnimi trdimi diski so
proizvajalce pripeljale do izdelave hibridnih trdih diskov. V ta namen so se razvile
različne aplikativne rešitve, od katerih najbolj razširjena Windows ReadyBoost
(ReadyBoost, 2016) Tehnologija je na voljo vsem uporabnikom v operacijskih sistemih
Windows Vista, Windows 7, Windows 8 in Windows 10. Tehnologija je namenjena
začasnemu shranjevanju podatkov iz diska, podobno kot RAM. S tehniko predvsem
razbremenimo trdi disk, saj mu ni treba v določenih primerih brati in pisati.
Predvsem se to kaže v hitrejših dostopnih časih, ki so v tem primeru neposredno
preko bliskovnega pomnilnika in ne preko dejanskih sektorjev na trdem disku. V
operacijskem sistemu uporabnik pridobi več kot 50 % performančno pohitritev,
hitrejše dostopne čase, hitrejše nalaganje operacijskega sistema in znižanje porabe
električne energije.
30
Slika 10: Hibridni trdi disk (vir: Kumar, 2014)
31
4 Integriteta podatkov
Kovačič (2012) poudarja, da je neokrnjenost digitalnih dokazov ključnega pomena v
celotnem kazenskem postopku, saj samo dokazi, ki so predstavljeni sodišču v enaki
obliki kot ob času storitve kaznivega dejanja, lahko predstavljajo zakonit dokaz.
Zaradi zagotavljanja avtentičnosti zato preiskovalci preiskavo vedno opravljajo na
kopijah zavarovanih nosilcev in nikoli na originalnih nosilcih.
Bistvenega pomena je, da se pri zavarovanju elektronske naprave upošteva vsa
predpisana metodologija za izvajanje forenzičnih opravil (Škraba, 2014). V fazi
zavarovanja moramo ob koncu postopka zagotoviti zgoščene vrednosti, ki
predstavljajo prstni odtis kopije podatkov. V fazi zavarovanja je ključnega pomena
primerjava zgoščenih vrednosti podatkov iz izvorne naprave in zgoščenih vrednosti
podatkov, ki smo jih zavarovali. Kontrola obeh vrednosti nam zagotovi, da je kopija
istovetna originalu. Zgoščene vrednosti se zapišejo v zapisnik in s tem se zagotovi
integriteto podatkov v nadaljnjem postopku. Za povečanje stopnje integritete
izračunamo zgoščene vrednosti po več različnih matematičnih algoritmih, od katerih
sta največkrat uporabljena standarda MD5 in SHA1.
Sodobna forenzična programska orodja v sklopu procesa izračunajo zgoščene
vrednosti in jih z uporabo različnih algoritmov zapišejo v tekstovno datoteko, v kateri
se nahajajo še podatki o začetku in koncu zajema, model elektronske naprave,
model, serijska številka.
V primerih, ko se opravi selektivno zavarovanje, je v fazi zaključka potrebno z
ustreznim programskim orodjem zagotoviti ustrezno integriteto, na način, da se
datotekam izračuna zgoščene vrednosti, ki se zapišejo v tekstovno datoteko,
vrednosti pa v zapisnik.
Zgoščene vrednosti moramo pri zavarovanju datotek, predvsem v primerih živih
sistemov, zagotoviti sami. Eno izmed takšnih orodij je program Hashmyfiles podjetja
Nirsoft (Sofer, 2017). Program omogoča enostaven izračun zgoščenih vrednosti
datotek, katerim želimo zagotoviti integriteto. Izračunane vrednosti na koncu
postopka zapišemo v zapisnik.
32
Pomembno je poznavanje delovanja zgoščevalnih funkcij in njihovega pomena čez
celoten postopek, saj se lahko zaradi slabega poznavanja zgodi, da se na sodišču
izpodbija dokaz, ki je kritičen za dokazovanje. V tem primeru mora sodišče uporabiti
mnenje strokovnih prič ali sodnega izvedenca (Kovačič, 2012).
4.1 Zgoščevalna funkcija
Zgoščevalne funkcije preslikajo poljubno dolg niz znakov v blok konstantne dolžine,
ki je prstni odtis oziroma povzetek vhodnega niza. Prednost uporabe zgoščevalnih
funkcij je v zagotavljanju integritete, kar onemogoča podtikanje ali brisanje
podatkov (Kovačič, 2012). Z matematičnimi algoritmi namreč vsaki datoteki lahko
izračunamo unikatno zgoščevalno vrednost. Namenjene so predvsem zagotavljanju
celovitosti podatkov, kot so programska oprema, dokumenti, zavarovani podatki.
Enostavna razlaga zgoščevalnih funkcij je v tem, da če v izvoru spremenimo samo en
bit, se preko matematičnih algoritmov izračuna popolnoma nova vrednost.
Za zagotavljanje celovitosti in avtentikacijo uporabimo zgoščevalno funkcijo s
ključem. Zgoščevalna funkcija je enosmerna funkcija in vsaka sprememba čistopisa
spremeni tudi prstni odtis sporočila.
Prednost dobrega algoritma je v njegovih glavnih lastnostih (Kovačič, 2012):
Računanje izvlečka je enostavno in hitro
Naključnost: povzetek naj bo naključno število. Če se dve sporočili razlikujeta na
enem mestu, naj povzetka izgledata kot neodvisno izbrani naključni števili.
Odpornost na praslike: za poljuben izvleček X je računsko nemogoče poiskati
sporočilo Y.
Odpornost na trke: računsko nemogoče je poiskati dve različni sporočili z enakim
povzetkom.
Zgoščevalni algoritem MD5 je leta 1994 razvil Ronald L. Rivest. Je enostavna
implementacija zgoščevalnega algoritma z dolžino izvlečka 128 bitov. Za izvedbo
testa smo v urejevalniku besedila ustvarili tekstovni dokument test.txt z vsebino
»123abc«. Uporabili smo aplikacijo podjetja Nirsoft HashMyFiles (Sofer, 2017), ki je
namenjena izdelavi različnih zgoščevalnih funkcij.
33
Slika 11: HashMyfiles testni primer (vir: lastni zajem ekrana)
Algoritem lahko uporabimo za izračun na datoteki, particiji ali celotnem disku. Vedno
bomo dobili unikatno izračunano zgoščeno vrednost. Za enostavno preverjanje lahko
uporabimo spletno stran http://scriptserver.mainframe8.com/md5.php.
Zaradi pomanjkljivosti v algoritmu MD5, ki v določenih primerih ustvari kolizijo, kar
pomeni, da za dve različni datoteki dobimo isto zgoščeno vrednost, je priporočljiva
uporaba novejših algoritmov (Škraba, 2014)..
4.2 Pomanjkljivosti zgoščevalnih funkcij
Določene zgoščevalne funkcije imajo zaradi svojih pomanjkljivosti vprašljivo vrednost
pri zagotavljanju istovetnosti. Cilj izkoriščanja takšnih pomanjkljivosti je v ustvaritvi
trka, kar pomeni, da različnim datotekam ustvarimo isto zgoščeno vrednost.
Napadalec v tem primeru lahko ustvari dve različni datoteki, pri čemer v eno izmed
njih namesti škodljivo kodo ali virus, vendar imata obe datoteki enaki zgoščeni
vrednosti. Datoteko pošlje prejemniku, ki preveri datoteko in njen digitalni podpis.
Pošiljatelj na ta način okuži prejemnika, saj je ta prepričan, da je prejel legalno
datoteko.
Selinger (2006) je na ta način uspel ustvariti dve različni datoteki z imenom hello.exe
in erase.exe. Obe datoteki sta imeli isto zgoščeno MD5 vrednost
»cdc47d670159eef60916ca03a9d4a007«.
34
Slika 12: Primer trka MD5 v izvršilni datoteki (vir: Selinger, 2006)
Ustvarjeni datoteki sta imeli popolnoma različen namen delovanja.
Vse forenzične aplikacije ne podpirajo izračuna novejših naprednih zgoščevalnih
funkcij, zato je najbolje, da uporabimo dve zgoščevalni funkciji, in sicer MD5 in
SHA1. Sočasna uporaba več zgoščevalnih funkcij namreč zmanjša izkoriščanja
njihovih pomanjkljivosti.
Iz tega razloga je v praksi pomembno, da se pri zagotavljanju istovetnosti
uporabljajo novejši napredni zgoščevalni algoritmi, kot je SHA256. Problem pri
uporabi novejših algoritmov je predvsem v zagotavljanju dovolj sistemskih
zmogljivosti, saj so novejši algoritmi matematično zahtevnejši in posledično njihova
izdelava traja dlje časa.
35
5 Obnovitev podatkov
Obnavljanje podatkov se uporablja predvsem v primerih fizične okvare podatkovnega
nosilca, sistemskih napak datotečnega sistema, izbrisanih oz. prepisanih podatkov.
Datotečni sistem namreč pri običajnem brisanju podatkov ne pobriše, temveč jih
odstrani samo iz seznama v datotečnem sistemu, vsebina pa ostane zapisana na
disku. Obnovitev takšnih datotek je mogoča s forenzično analizo. V forenzičnih
preiskavah tak postopek obnavljanja imenujemo karvanje. To je splošni termin za
obnavljanje strukturirane datoteke iz golih podatkov, ki so zgrajeni gleda na
specifične karakteristike datoteke (Carrier, 2011). Takšne datoteke se nahajajo v
različnih datotečnih sistemih. Najbolj pogosti datotečni sistemi v različnih
operacijskih sistemih so:
Windows (Fat 12/16/32, NTFS),
Linux (Ext2, Ext3, Ext4, Reiser),
Mac (HFS, HFS+/HFSX).
Vsak datotečni sistem ima svoja pravila pri interpretaciji datoteke v sistemu. Vsaka
datoteka v svojem zapisu vsebuje tako imenovane meta podatke, ki predstavljajo
podatke o podatku. Meta podatki vsebujejo tako v zapis o vzglavju datoteke, po
katerem se datoteka identificira. Datoteke, ki jo v sistemu preimenujemo iz končnice
.doc v končnico .mp3, pri preiskavi ne bo mogoče prekriti. Napredni algoritmi namreč
pri pregledu preverijo originalne meta podatke in pri tem preiskovalca opozorijo na
vzglavje datoteke, ki prvotno pripada določeni datoteki Helba (2010).
V nadaljevanju naloge si bomo ogledali, kakšen vpliv pri rekonstrukciji pobrisanih
datotek imajo različni podatkovni mediji.
5.1 Mehanska obnova podatkov na trdem disku
Kot smo predhodno že ugotovili, se v trdem disku nahaja več komponent, ki skrbijo
za pravilno delovanje. Nemalokrat namreč preiskovalec dobi v preiskavo napravo,
katere podatkov ne more zavarovati zaradi okvare. V tem primeru je preiskovalec v
precepu, kako pomembni so podatki za rešitev primera in kakšne fizične možnosti in
orodja ima, da pride do podatkov.
36
Holewinski in Andrzejewsky (2009) med najpogostejše okvare, ki nastanejo na trdem
disku štejeta okvare elektronike, okvare glave ali motorja. Za uspešno obnovitev
podatkov moramo zamenjati del, ki je v okvari.
Vsak zgoraj omenjeni poseg v napravo potrebuje posebno specifično znanje in
opremo za uspešno rešitev problema.
Če ugotovimo, da je v okvari tiskano vezje (PCB), ki skrbi za krmiljenje trdega diska
in njegovih komponent, moramo pridobiti isto vezje, ki ga zamenjamo z okvarjenim
vezjem. Vsako vezje ima na sebi zapisan del mikrologike (firmware), ki je unikatna
za posamezen model trdega diska. Za uspešno delovanje potrebujemo posebno
opremo, s katero lahko iz starega tiskanega vezja preberemo mikrologiko in jo
zapišemo na novo vezje.
V primeru, da je v okvari bralno-pisalna glava, moramo pred začetkom postopa
zagotoviti okolje, v katerem bomo lahko uspešno opravilo zamenjavo te. Okolje mora
biti sterilno in zaščiteno pred vstopom prahu. Okolje, namenjeno temu delu procesa,
lahko zagotavljajo samo podjetja, ki se ukvarjajo z reševanjem podatkov. Sam
postopek od nas zahteva, da odstranimo bralno-pisalne glave in jih zamenjamo s
tistimi iz darovanega trdega diska.
Slika 13: Odstranjevanje bralno-pisalne glave (vir: Head Swap, 2017)
37
5.2 Mehanska obnova podatkov iz SSD diska
V prejšnjem poglavju smo si ogledali delovanje standardnega trdega diska, struktura
zgradbe SSD diska pa je popolnoma drugačna. Vsi kontrolni in spominski čipi so
namreč lotani na vezje, zato enostavna menjava z delujočim delom iz istega modela
ni mogoča. Na tiskanem vezju se v povprečju nahaja od 2 do 20 pomnilniških
medijev, zato je zamenjava vseh izredno težka oz. nemogoča (Larrivee, 2016).
Zaradi zahtevnosti zgoraj opisanega postopka preiskovalci uporabljajo še možnost,
kjer odlotajo vsak posamezni spominski modul in ga preko bralnika pomnilniških
modulov in posebne programske opreme preberejo in zapišejo v datoteko.
Opisana metoda je uporabna za branje USB ključkov, spominskih kartic in podobnih,
kjer je v uporabi samo en pomnilniški modul.
Slika 14: Bralnik bliskovnih pomnilnikov (vir: Gubanov in Afonin, 2012)
Kot smo že omenili, določene funkcije, ki skrbijo za pravilno delovanje (TRIM,
Garbage Collector, Wear Leveling) SSD diska, onemogočajo uporabo te funkcije.
Preiskovalci se morajo tako zavedati dejstva, da bodo največ podatkov na ta način
dobili le v primeru, da SSD disk v trenutku odstranijo iz električnega napajanja,
odstranijo pomnilniške čipe in vezja in jih preko bralnika čipov preberejo brez posega
krmilnika na vezju SSD diska.
Holewinski in Andrzejewsky (2009) kot največjo težavo tega načina zajema
omenjata, da mora imeti preiskovalec znanja s področja datotečnih sistemov in
predvsem delovanja RAID (Redundant array of independant disks) arhitekture.
38
Zavedati se moramo, da zaradi raznolikosti arhitekture SSD podatki niso shranjeni
zaporedoma, ampak so največkrat razmetani kot sestavljanka.
Ne smemo zanemariti tudi dejstva, da je lahko celotna vsebina pomnilniških čipov še
dodatno šifrirana zaradi raznolikosti proizvajalcev, predvsem pa zaradi neobstoječe
dokumentacije, ki ni dostopna in je proizvajalci ne dajo v javnost. Na tem področju
namreč ni ustreznega standarda, ki bi predpisoval razmerje med digitalno forenziko
in obnovo podatkov.
Metoda je neponovljiva, saj obstaja možnost, da se že ob postopku odstranjevanja
pomnilniškega modula ta fizično poškoduje med postopkom.
Ugotovili smo, da preiskovalcem nove tehnologije prinašajo izredno specifično
poznavanje datotečnih sistemov, poznavanje elektronike in kirurško natančnost med
postopkom.
39
6 Raziskava in ugotovitve
V forenzičnem laboratoriju smo za namen raziskave uporabili dva ločena računalnika.
Prvi je namenjen zajemu podatkov, drugi pa za analizo in preiskavo. Namen je v
popolni izolaciji testov, ki smo jih izvedli v nadaljevanju. Za zajem podatkov smo
uporabili prenosni računalnik HP 8540w z operacijskim sistemom Windows 7 Pro in
programsko opremo FTK Imager 3.3.0.5 (2017), ki omogoča izdelavo forenzičnih slik
iz različnih medijev, kot so trdi diski, diskete, zgoščenke, ter selektivni zajem
datotek. Program omogoča izdelavo zgoščenih vrednosti po algoritmu MD5 in SHA1.
Za zagotavljanje istovetnosti smo uporabili Tableau Forensic SATA/IDE Bridge [T35u],
ki deluje po standardu USB 3.0 in preprečuje zapisovanje na izvorno elektronsko
napravo. Podatki so bili shranjeni na prazen zunanji 4TB trdi disk.
Za izdelavo testnih primerov smo uporabili osebni računalnik, ki je imel nameščen
operacijski sistem Windows 7. Osebni računalnik je imel možnost priklopa preko USB
in eSATA vmesnika, kar nam je omogočalo direktno komunikacijo s krmilnikom na
testnih napravah. USB povezavo smo uporabili v testih, kjer smo želeli izločiti
delovanje funkcije TRIM.
Diski, ki smo jih analizirali, so bili ločeni od osnovnega trdega diska v sistemu, ker
smo želeli čim manjši vpliv zapisovanja in branja na hitrost in neodvisnost.
Kot bomo spoznali v nadaljevanju, smo želeli ugotoviti, ali različni mediji kljub
uporabi preprečevalnika zapisovanja lahko ustvarijo različne zgoščene vrednosti ter
obnovo podatkov na različnih medijih in verjetnost njihove obnove. Ugotovitve
raziskave smo predstavili v zaključku diplomskega dela.
6.1 Zgoščevalne funkcije na različnih medijih
Predhodno smo v nalogi predstavili delovanje različnih pomnilniških medijev, zato
smo za namen testa izbrali standardne trde in SSD diske. Izbrali smo trde diske
različnih proizvajalcev in kapacitet. Podrobnosti diskov so razvidne iz spodnjih slik.
40
Slika 15: Crystaldiskinfo Seagate USB 1Tb (vir: lastni zajem ekrana)
Slika 16: Crystaldiskinfo Seagate SATA 2Tb (vir: lastni zajem ekrana)
41
Slika 17: Crystaldiskinfo Samsung SSD 128Gb (vir: lastni zajem ekrana)
Slika 18: Crystaldiskinfo Intenso SSD 128Gb (vir: lastni zajem ekrana)
Test zgoščevalnih funkcij na različnih trdih diskih smo izvedli zaradi zagotavljanja
integritete izbrisanih podatkov pred in po razmiku petih ur.
Posamezni trdi disk je bil formatiran v datotečni sistem NTFS, na katerem smo
ustvarili razdelek. Na trdi disk je bila posneta testna datoteka v formatu JPG
velikosti 6.5 MB. Datoteka je bila v nadaljevanju pobrisana iz trdega diska, nato pa
smo s programom FTK Imager (2017) takoj ustvarili istovetno kopijo in izračunali
zgoščeno vrednost. Po razmiku petih ur smo iz istega testnega diska ustvarili ponovno
istovetno kopijo in izračunali njeno zgoščeno vrednost. Na spodnjih slikah je razviden
proces zavarovanja podatkov z aplikacijo FTK Imager verzije 3.3.0.5 (2017).
42
Slika 19: FTK imager 3.3.0.5 izdelava istovetne kopije (vir: lastni zajem ekrana)
Rezultati izračunane zgoščene vrednosti po končanem postopku so razvidne iz
spodnje slike.
Slika 20: Zgoščene vrednosti po končanem postopku (vir: lastni zajem ekrana)
Pridobljene rezultate, ki smo jih preverili z lastnim testom, smo zapisali v spodnjo
razpredelnico, kjer so vidni pridobljeni rezultati.
43
Tabela 1: Rezultati zgoščenih vrednosti
Iz pridobljenih rezultatov je razvidno, da trdi diski, ki ne uporabljajo klasičnega
mehanskega načina delovanja, ne vrnejo rezultatov, ki bi jih pričakovali. Pridobljeni
rezultati prikazujejo, da trdi diski, ki uporabljajo lastne operacijske sisteme, v
krmilniku zaradi načina delovanja, ki smo ga predhodno prikazali, vrnejo različne
rezultate.
6.2 Obnova podatkov na različnih medijih
V testnem primeru smo želeli preveriti, ali klasični trdi disk in SSD trdi disk z lastnim
operacijskim sistemom v krmilniku z delovanjem svojih funkcij vplivata na priklic
izbrisanih datotek.
Testni primer smo izvedli z uporabo forenzične aplikacije X-Ways Forenzics, ki
omogoča pridobivanje podatkov v primeru brisanja. Za primer testa smo uporabili
isto datoteko kot v zgornjem primeru. Datoteko formata jpeg velikosti 6.5 MB smo
TRDI DISK MD5 zgoščena
vrednost 1
MD5 zgoščena
vrednost 2 UJEMANJE
Seagate USB 1TB b473e14a09df7874
d86d6508599e332
b473e14a09df7874
d86d6508599e332 DA
Seagate SATA 2TB 4446331d5579c055
cffcea62c363a479
4446331d5579c055
cffcea62c363a479 DA
SAMSUNG SSD 840
128Gb
2dff5557f6e259d0
85552f0b75d92b8d
1c95850adf92427d
03892fe1e9387c23 NE
INTENSO SSD
128GB
4066ea51ef24a4b3
4cf7963f03ab60f6
426909b41fb5d882
a64dead272dd6929 NE
44
posneli na prazen trdi disk, na katerem smo ustvarili razdelek v datotečnem sistemu
NTFS in v nadaljevanju preverili lokacijo na trdem disku, kjer se je datoteka
nahajala. Podrobnosti so razvidne iz spodnje slike.
Slika 21: X-Ways testna datoteka (vir: lastni zajem ekrana)
V nadaljevanju smo preverili izvorne podatke datoteke od datuma nastanka datoteke
do datuma spreminjanja sektorjev na disku, kjer se je ta nahajala.
Slika 22: Informacije o datoteki (vir: lastni zajem ekrana)
Preverili smo še metapodatke, ki jih je datoteka vsebovala. Metapodatki so
informacije o datoteki. Iz podatkov sta bili razvidni uporaba fotoaparata Canon EOS
45
7D in programa Adobe Photoshop CS5 za njeno obdelavo. Podrobnosti so razvidne iz
spodnje slike.
Slika 23: Metapodatki testne datoteke (vir: lastni zajem ekrana)
Testno datoteko smo v nadaljevanju posneli na vse podatkovne medije in datoteko
pobrisali. V aplikaciji smo izbrali akcijo iskanja izbrisanih datotek in počakali, da se
je proces dokončal. Za primer testa smo uporabili isto logiko kot v zgornjem primeru,
in sicer smo datoteko obnovili takoj po brisanju, v drugem primeru pa smo med
procesom počakali pet ur.
V primeru SSD trdih diskov smo uporabili TRIM funkcijo v operacijskem sistemu
Windows 7. Vpliv funkcije smo izklopili na način, da smo oba SSD trda diska priklopili
v zunanje ohišje za trdi disk in onemogočili TRIM funkcijo.
Pridobljeni rezultati so razvidni iz spodnje tabele.
46
Tabela 2: Rezultati obnovljenih podatkov
Pridobljeni rezultati na klasičnih trdih diskih so bili pričakovani, kar pa ne moremo
trditi za rezultate, pridobljene na SSD diskih.
Rezultati, ki smo jih pridobili pri SSD diskih, ki uporabljajo lastne operacijske
sisteme, so povezani s težavami, ki smo jih v nalogi predstavili v prejšnjih poglavjih.
Problem, ki ga preiskovalcem predstavljajo krmilniki in njihove funkcije, so v
implementaciji strojne kode v krmilnike, ki niso dostopni in jih vsak proizvajalec
integrira na svoj način.
TRDI DISK Obnova takoj Obnova po 5 urah
Seagate USB 1 TB DA DA
Seagate SATA 2 TB DA DA
SAMSUNG SSD 840 128 GB NE NE
INTENSO SSD 128 GB DA NE
SAMSUNG SSD 840 128 GB USB DA NE
INTENSO SSD 128 GB USB DA DA
47
7 Razprava
Digitalna forenzika se kot mlada veja vedno srečuje z novimi izzivi. Integriteta
podatkov je v celotni fazi preiskave ključni element, ki ga v nadaljevanju ne moremo
več ponoviti. V diplomskem delu smo želeli enostavno predstaviti zajem podatkov pri
živem in mrtvem sistemu ter možne pasti, na katere moramo biti pozormi. Pri
zavarovanju podatkov smo za zagotavljanje integritete vezani na uporabo
zgoščevalnih funkcij. Te so element celotne preiskave, ki na sodišču zagotovijo, da se
podatki niso spreminjali.
Izpostaviti moramo predvsem slabost zgoščevalne funkcije MD5, ki se še vedno
uporablja in ima več varnostnih pomanjkljivosti. Težava pri uporabi takšne funkcije
se pojavi v primerih, ko sodišče najame sodnega izvedenca, ki se lahko v ključnih
obremenilnih dokazih sklicuje na integriteto podatkov.
Pomembno je torej, da se uporabljajo napredne zgoščevalne funkcije, ki nimajo
znanih slabosti, od katerih je aktualna SHA256. Izračun po tem standardu ni
integriran v vse aplikacije za zagotavljanje istovetnosti, zato je v ta namen
priporočljiva uporaba namembnega orodja za izračun zgoščenih vrednosti.
Vse večje težave pri zavarovanju elektronskih naprav predstavljajo vse bolj
razširjene naprave, ki uporabljajo bliskovni pomnilnik. Naprave z bliskovnim
pomnilnikom se zaradi svojega delovanja popolnoma razlikujejo od klasičnega trdega
diska. V diplomskem delu smo želeli na enostaven način predstaviti pomembne
ključne elemente, ki onemogočajo zagotavljanje integritete, kadar za shranjevanje
uporabljamo bliskovni pomnilnik. Zavarovanje klasičnega trdega diska se opravi preko
omejevalnika zapisovanja, ki onemogoči zapisovanje in poseganje v podatke na
izvornem trdem disku. V primeru uporabe SSD diska omejevalnik zapisovanja ne
opravi svoje naloge, saj operacijski sistem znotraj krmilnika izvaja funkcije za
pravilno delovanje.
Uporabna navodila in priročniki so izrednega pomena za izvajanje digitalne forenzike,
vendar v primerih, ko se tehnologija hitro spreminja, lahko ravno ta navodila uničijo
celoten namen, za katerega so bila prvotno ustvarjena.
Diplomsko delo bi za tehnične podrobnosti preseglo zastavljene cilje.
48
7.1 Odgovori na hipoteze
H1: Novi digitalni mediji lahko onemogočijo uspešno forenzično zavarovanje.
Zagotavljanje integritete je ključnega pomena pri dokazovanju istovetnosti
zavarovanih podatkov. Zgoščena vrednost je namreč tista, ki zagotavlja, da se
podatki niso spremenili ob zavarovanju, kot pri tudi pri preiskavi.
V nalogi smo preverili delovanja klasičnih trdih in novejših SSD diskov, ki uporabljajo
krmilnike, na katerih se nahajajo lastni operacijski sistemi.
Kot smo preverili z lastnimi testi, lahko funkcije, ki jih krmilniki izvajajo na SSD
diskih, onemogočijo uspešno zagotavljanje zgoščene vrednosti. Prikazali smo
rezultate lastnih testov, kjer je razvidno, da zaradi delovanja določenih funkcij na
SSD krmilnikih, ki same skrbijo za uspešno uporabo bliskovnih celic, ne moremo
zagotoviti istovetnostni.
Hipotezo v tem primeru lahko potrdimo, saj integritete v primeru ko so uporabljeni
SSD krmilniki ne moremo zagotoviti.
H2: Težave pri pregledu takšnih naprav in izločanje takšnih dokazov v postopku
V nalogi smo opisali, da preiskovalcem največje težave predstavlja pridobivanje
izbrisanih podatkov, predvsem na napravah, ki uporabljajo bliskovni pomnilnik.
Ugotovitve testov kažejo na majhno možnost obnovitev podatkov, ki so pred
zavarovanjem pobrisani ali prepisani.
Obstaja namreč možnost, da bi takšen dokaz izločili iz postopka, saj ne moremo
zagotoviti istovetnosti z izračunom zgoščene vrednosti, zaradi delovanja krmilnika.
Znanje preiskovalca in poznavanje tehnologij delovanja je ključnega pomena, da ne
pride do izločanja takšnih dokazov. Vsako posamezno nejasnost je treba utemeljiti v
zapisniku, da kasneje ne pride do nejasnosti. Večjo stopnjo integritete lahko
zagotovimo z izračunom zgoščenih vrednosti z več različnimi standardi.
49
8 Zaključek
Računalniki, tablice, navigacije, mobilni telefoni, internet so postali del današnjega
življenja in življenje brez njih si težko predstavljamo. Za zagotavljanje integritete
pri zavarovanju teh elektronskih naprav moramo slediti zakonodaji, metodologiji in
načelom digitalne forenzike. Vsi postopki, ki niso v teh okvirih, lahko v nadaljevanju
pomenijo neveljaven dokaz in izločitev.
V diplomskem delu smo na začetku postavili hipoteze in vprašanja, na katera smo
odgovorili s pregledom teorije in lastnimi testi.
Pri zavarovanju živega sistema smo opozorili na pasti, na katere mora biti pozoren
preiskovalec, ko izvaja zavarovanje. V nalogi smo z lastnimi testi pokazali, da SSD
diskom ne moremo zagotoviti ustrezne integritete podatkov zaradi lastnikov
krmilnikov, ki skrbijo za delovanje bliskovnih pomnilnikov. Ti zaradi lastnega
delovanja spreminjajo zgoščene vrednosti, ki jih izračunamo. Klasični trdi diski v
kombinaciji z omejevalniki zapisovanja omogočajo ustrezno zagotavljanje
integritete.
Obnova podatkov s klasičnih in SSD diskov je pokazala težavo pri SSD diskih, kjer je
bil uspeh obnovljenih podatkov nizek.
Raziskava je pokazala, da slabosti nekaterih zgoščevalnih funkcij dodatno otežujejo
zagotavljanje istovetnosti podatkov.
Namen diplomskega dela je bil predstavitev možnih težav pri zagotavljanju
integritete, saj se število naprav z bliskovnim pomnilnikom naglo povečuje.
50
9 Uporabljeni viri
Bell G. B. in Boddington R. (2010). Solid State Drives: The Beginning Of The End For
Current Practice In Digital Forensic Recovery? The Journal of digital forensics,
Security and Law.
Carrier, B. (2011). File system forensic analysis. New Jersey: Pearson education, Inc.
Casey, E. (2011). Digital Evidence and Computer Crime (3rd ed.). San Diego: Elsevier
Inc.
Dpi, A. (2008). Hard Disk Drives. Pridobljeno na https://www.itschool.gov.in/PDF/
SITC hardware training/Hard disk.pdf
Ehsan, J. (2015). How to Fix a Physically Broken Hard Drive. Pridobljeno na
http://infoharddrive.blogspot.si/2015/01/external-hard-drive-freezes-
computer.htm
Encase Forensic (različica 8) [Programska oprema]. (2017). Pridobljeno na
https://www.guidancesoftware.com/encase-forensic?cmpid=nav_r
Forensic Toolkit (različica 6.1) [Programska oprema]. (2016). Pridobljeno na
http://accessdata.com/product-download/digital-forensics/forensic-toolkit-
ftk-version-6.1
FTK Imager (različica 3.3.0.5) [Programska oprema]. (2017). Pridobljeno na
http://accessdata.com/product-download
Gubanov, Y. (2016). Live RAM Acquisition and Analysis. Guidancesoftware.com.
Pridobljeno na https://www.guidancesoftware.com/docs/default-
source/enfuse/2016-presentations/live-ram-analysis-from-acquisition-to-
reporting.pdf?sfvrsn=4
Gubanov, Y. in Afonin, O. (2012). Why SSD Drives Destroy Court Evidence, and What
Can Be Done About It. Pridobljeno na http://ru.belkasoft.com/en/why-ssd-
destroy-court-evidence
Gubanov, Y. in Afonin, O. (2014). SSD Forensics 2014. Pridobljeno na
http://ru.belkasoft.com/en/ssd-2014
Guidance. (2008). User's Guide - Tableau. Pridobljeno na
http://Tableau_TD2_Users_Guide.pdf
Hard Disk Drive. (11. 1. 2017). En.wikipedia.org – Pridobljeno na
https://en.wikipedia.org/wiki/Hard_disk_drive
Hash function. (1. 12. 2016). En.wikipedia.org. Pridobljeno na
https://en.wikipedia.org/wiki/Hash_function
51
Head Swap. (5. 1. 2017). Harddrive-repair.com. Pridobljeno na
http://www.harddrive-repair.com/head-swap.html
Helba, S. (2010). Computer forensic - Investigating hard discs, file and operating
systems. New York: Cengage learning.
Holewinski S. in Andrzejewsky G. (2009). Data Recovery From Solid State Drive.
Pridobljeno na https://www.gillware.com/docs/SSD_whitepaper.pdf
How Does NAND Flash Memory Work. (30. 1. 2009). Gogonomo.com. Pridobljeno na
http://www.gogonomo.com/blog/2009/01/how-does-nand-flash-memory-
work/
Kardoš, Z. (2010). Možnosti računalniške forenzike z uporabo nekomercialnih
programskih orodij (Specialistična naloga). Pridobljeno na
https://dk.um.si/IzpisGradiva.php?lang=slv&id=13396
Kastelic, T. in Škraba, M. (2012a). Digitalni dokazi - metode in izkušnje policije. V A.
Dvoršak in D. Frangež (ur.), Digitalni dokazi, kazensko pravni, kriminalistični
in informacijsko-varnostni vidiki (str. 29-44). Ljubljana: Fakulteta za
varnostne vede.
Kastelic, T. in Škraba, M. (2012b). Načela digitalne forenzike. Ljubljana: Ministrstvo
za notranje zadeve, Policija.
Kovačič, M. (2012). Zgostitveni algoritmi in zagotavljanje integritete (istovetnosti)
digitalnih dokazov. Pridobljeno na https://pravokator.si/wp-
content/uploads/2012/04/Zagotavljanje_integritete_digitalnih_dokazov.pdf
Kozierok, C. M. (2001). PCGuide - Ref - Hard Disk Operational. Pridobljeno na
http://www.pcguide.com/ref/hdd/op/over.htm
Kumar, A. (2014). What is a Hybrid Hard Drive. Pridobljeno na
http://www.thewindowsclub.com/what-is-a-hybrid-drive
Larrivee, S. (2016). Solid State Drives 101 – Everything You Ever Wanted to Know.
Pridobljeno na https://www.cactus-tech.com/files/cactus-
tech.com/documents/ebooks/Solid%20State%20Drives%20101%20EBook.pdf
Majcen, G. (2011). Elektronski dokazi v kriminalistični preiskavi (Diplomsko delo).
Maribor: Pravna fakulteta.
McKemmish, R. (1999). What is Forensic Computing? Trends & Issues in Crime and
Criminal Justice. Canberra: Australian Institute of Criminology.
Medlin, B. D. in Crazier, J. A. (2010). A Study of Hard Drive Forensics on Consumers’
PCs: Data Recovery and Exploitation. Pridobljeno na http://m.www.na-
businesspress.com/JMPP/MedlinWeb.pdf
52
Ngo, J. (2013). Digital storage basics, Part 4: SSD explained. Pridobljeno na
https://www.cnet.com/how-to/digital-storage-basics-part-4-ssd-explained/
NSRL. (2017). Nsrl.nist.gov. Pridobljeno na https://www.nsrl.nist.gov/index.html
Paraben (različica 2.0) [Programska oprema]. (2016). Pridobljeno na
https://www.adorama.com/prbnp2ck2.html
ReadyBoost. (1. 12. 2016). En.wikipedia.org. Pridobljeno na https://en.wikipedia.
org/wiki/ReadyBoost
SANS (različica 3) [Programska oprema]. (2016). Pridobljeno na http://digital-
forensics.sans.org/community/downloads
Selinger, P. (2006). MD5 Collision Demo: Collisions in the MD5 cryptographic hash
function. Pridobljeno na http://www.mscs.dal.ca/~selinger/md5collision/
Selinšek, L. (2012). Pravno-teoretični vidiki preiskave elektronskih naprav - nekaj
odprtih vprašanj. V A. Dvoršak in D. Frangež (ur.), Digitalni dokazi. kazensko
pravni, kriminalistični in informacijsko-varnostni vidiki (str. 7-16). Ljubljana:
Fakulteta za varnostne vede.
Sofer, N. (2017). Hashmyfiles (različica 2.22) [Programska oprema]. Pridobljeno na
http://www.nirsoft.net/utils/hash_my_files.html
Solomon G., Rudolph K., Tittel E., Broom N. in Barrett D. (2011). Computer Forensics
JumpStart (2nd ed.). Chichester: Sybex
Šavnik, J. (2012). Vloga sodnega izvedenca za računalniško forenziko v kazenskih
postopkih. V A. Dvoršak in D. Frangež (ur.), Digitalni dokazi: kazensko pravni,
kriminalistični in informacijsko-varnostni vidiki (str. 75-88). Ljubljana:
Fakulteta za varnostne vede.
Škraba, M. (2014). Postopki digitalne forenzike in zagotavljanje integritete podatkov
(Diplomsko delo). Ljubljana: Fakulteta za varnostne vede.
Špeh, A. (2011). Poenotenje postopkov računalniške forenzike v slovenski policiji
(Diplomsko delo). Kranj: Fakulteta za organizacijske vede.
Vacca, J. R. (2002). Computer forensics: Computer crime scene investigation.
Hingham: Charles River Media, Inc.
Zakon o kazenskem postopku. (2014). Uradni list RS, (87/2014).
Žvab, Z. in Dvoršek, A. (2012). Digitalni dokazi - novost v kriminalističnem
preiskovanju? Pridobljeno na http://www.fvv.um.si/DV2012/zbornik/
kriminalisticna_dejavnost/zvab_dvorsek.pdf
X-Ways (različica 19.2) [Programska oprema]. (2017). Pridobljeno na http://www.x-
ways.net/forensics/index-m.html
