75
http://www.esecuritylab.net/ Faruk Višća Obrisani podaci nisu obrisani - Uvod u digitalnu forenziku - Kao što je opće poznato, prilikom brisanja fajla ili foldera isti se po defaultu nepovratno ne brišu nego se premještaju u Recycle Bin odakle ih je lako ponovo vratiti. U prethodnoj rečenici bar tri riječi trebalo bi staviti pod navodnike, ali da ne komplikujem. Idemo dalje. Neki misle da nakon pražnjenja Recycle Bin-a odnosno nakon brisanja podataka iz te kante za smeće ti podaci bivaju definitivno i nepovratno obrisani. To nikako nije točno. Točno je da su ti podaci nevidljivi za sam operativni sistem ali stvarno stanje je takvo da oni nisu obrisani i da ih je u zavisnosti od okolnosti moguće vratiti. Da bi smo shvatili o čemu se ovdje radi potrebno je poznavati samo nekoliko principa na kojim radi file sistem ili bolje rečeno kako se to podaci zapisuju i "brišu" na disku. Prvo digresija u cilju razumijevanja kroz nekoliko riječi o fajl sistemu. File system Dok operativni sistem upravlja cjelokupnim računarskim sistemom tj. hardwerom i softwerom računara dotle file sistem ima specifičniju ulogu. Uloga file sistema je da se brine za smiještanje i manipulaciju podacima na mediju na kojim se podaci nalaze. Jednostavno govoreći, file sistem posjeduje tefter u koji zapisuje gdje se koji podatak nalazi na mediju, briše, fragmentira... Najpoznatiji file sistemi su FAT, NTFS, ext3, reiser... Zapisivanje podatka

Obrisani podaci nisu obrisani uvod u digitalnu forenziku

Embed Size (px)

Citation preview

Page 1: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

http://www.esecuritylab.net/

Faruk Višća Obrisani podaci nisu obrisani

- Uvod u digitalnu forenziku -

Kao što je opće poznato, prilikom brisanja fajla ili foldera isti se po defaultu nepovratno ne brišu nego se premještaju u Recycle Bin odakle ih je lako ponovo vratiti. U prethodnoj rečenici bar tri riječi trebalo bi staviti pod navodnike, ali da ne komplikujem. Idemo dalje.

Neki misle da nakon pražnjenja Recycle Bin-a odnosno nakon brisanja podataka iz te kante za smeće ti podaci bivaju definitivno i nepovratno obrisani. To nikako nije točno.

Točno je da su ti podaci nevidljivi za sam operativni sistem ali stvarno stanje je takvo da oni nisu obrisani i da ih je u zavisnosti od okolnosti moguće vratiti.

Da bi smo shvatili o čemu se ovdje radi potrebno je poznavati samo nekoliko principa na kojim radi file sistem ili bolje rečeno kako se to podaci zapisuju i "brišu" na disku.

Prvo digresija u cilju razumijevanja kroz nekoliko riječi o fajl sistemu.

File system

Dok operativni sistem upravlja cjelokupnim računarskim sistemom tj. hardwerom i softwerom računara dotle file sistem ima specifičniju ulogu.

Uloga file sistema je da se brine za smiještanje i manipulaciju podacima na mediju na kojim se podaci nalaze.

Jednostavno govoreći, file sistem posjeduje tefter u koji zapisuje gdje se koji podatak nalazi na mediju, briše, fragmentira...

Najpoznatiji file sistemi su FAT, NTFS, ext3, reiser...

Zapisivanje podatka

Page 2: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Zamislimo sada da sa nekog medija (npr. CD-a) trebamo na svoj hard disk presnimiti neki dokument ili da smo u Word-u otvorili prazan dokument i želimo da ga snimimo, svejedno je. Dakle, želimo snimiti dokument na hard disk.

Ono što svaki file sistem radi jeste da pronađe slobodan prostor gdje će zapisati podatke, zapiše ih i u svoj tefter zatefteri gdje se oni nalaze. Kada sljedeći put budemo željeli pristupiti tom dokumentu naša aplikacija (npr. Word) će se obratiti operativnom sistemu (npr. Windows) koji će se obratiti file sistemu (npr. FAT32) da nađe dokument. File sistem gleda u tefter (npr. u ovom slučaju FAT), pronalazi lokaciju tj. pointer koji govori gdje se nalazi početak dokumenta i to je to.

Dakle, file sistem između ostalog ima tablu u kojoj se nalaze pointeri na lokacije podataka. I ne samo to.

Brisanje podataka Kao što sam prije rekao file sistem se brine za manipulaciju podacima odnosno medijem za smještanje podataka što uključuje i brisanje podataka zbog čega i pišem ovaj tekst.

Šta radi file sistem kad mi kažemo operativnom sistemu da brišemo dokument?

Pazite sada, ovo je najvažnija rečenica u cijeloj priči: prilikom brisanja dokumenta file sistem neće dirati prostor na kojem se nalazi dokument nego će obrisati pointer u svojoj tabeli (tefteru) i naznačiti da je navedeni prostor slobodan za zapisivanje novih podataka.

Da, dokument je tu. Vi tj. operativni sistem ga ne vidi jer nema pointera koji je govorio gdje se nalazi dokument ali sam dokument je tu sa svim svojim sadržajem, dokument je netaknut.

Vraćanje obrisanih podataka Obratite pažnju na dio u gornjoj boldiranoj rečenici u kojem se kaže da se prostor u kojem stoji dokument koji je "obrisan" biva označen kao slobodan za zapisivanje novih podataka.

To znači da svoje podatke možemo vratiti ukoliko nisu prepisani drugim. Što je veći hard disk, što je manja aktivnost na njemu i što se brže sjetite da trebate nešto što je "obrisano" vratiti to je veća mogućnost da spasite podatke.

U jednostavnijim slučajevima podatke je moguće vratiti i besplatnim programčićima koje možete naći na internetu. Složenije slučajeve i slučajeve gdje se radi o važnim podacima treba prepustiti laboratorijima koji posjeduju specijalizirani software poput EnCase-a.

Napominjem da besplatni programčići i nestručno rukovanje mogu napraviti štetu većom nego što već jeste. Također, laboratoriji ne čine čuda i ne mogu vratiti ono čega nema ali pošto rade po pravilima barem ste sigurni da vam neće napraviti dodatnu štetu na mediju sa podacima.

Page 3: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Sigurno brisanje tj. nepovratno uništavanje podataka Jedan od sigurnijih načina za nepovratno uništavanje podataka jeste da medij na kojem se nalaze podaci preciznim mljevenjem sameljemo u prašinu, a istu zatim termički obradimo na temperaturi od 2500 stepeni celzijusa.

"Šalu na stranu", što bi reko moj prijatelj A.E.

Postoji mnogo legendi o sigurnom brisanju i vraćanju "obrisanih" podataka. Činjenica je da mnoge državne agencije širom svijeta fizički uništavaju hard diskove nakon prestanka upotrebe. Obratite pažnju na oglase kada npr. ozbiljnije agencije, ambasade i sl. prodaju zastarjele računare - prodaju ih bez hard diskova.

Ipak, mi obični smrtnici možemo biti sigurni u softwerske metode uništavanja podataka kako bi smo zaštitili svoju privatnost.

Softwerski metod sastoji se u tome da se cjelokupan medij ili samo određeno mjesto na mediju prepiše drugim podacima, obično nizom nula ili nizom jedinica.

Države, a često i određene institucije imaju svoje vlastite algoritme za softwersko uništavanje podataka. Ti algoritmi se međusobno razlikuju u broju prolaza i vrsti podataka kojima se prepisuje medij sa podacima koji se žele uništiti.

Glasovi razuma (jel baš) vele da je dovoljan jedan prolaz (jedno prepisivanje), dok određeni paranoici koriste algoritme sa desetak i više prepisivanja različitim podacima.

Ali, vi se nedajte zavarati, mljevenje na sitno i termička obrada su po meni najbolji metod za uništenje podataka. Ili baš i nisu? Možda je ipak bolje dobro samljeti pa rastopiti (dobro pazite da nešto ne ispari jer ko zna), a onda, kad se ohladi opet samljeti pa rastopiti i tako 17 puta...

Nisam baš toliki paranoik, a nemam ni šta da krijem pa ću uskoro ako Boga da detaljnije pisati o sigurnom brisanju podataka i opisati dva dobra besplatna programa za sigurno brisanje podataka. Tek toliko privatnosti radi, bar za ono na disku, na to bar imamo pravo.

Uvod u digitalnu forenziku Kada sam pokušao naći definiciju digitalne forenzike našao sam se pred teškim zadatkom jer se radi o relativno novoj nauci; autori se ne slažu čak ni oko imena ili ciljeva, kao ni o tome radi li se o nauci ili disciplini. Ipak, našao sam na neke definicije koje su me relativno zadovoljile mada im se može prigovoriti na dužini i, što mi posebno smeta, insistiranju da digitalna forenzika im za cilj prikupljanje digitalnih dokaza za prezentiranje na sudu što je po meni samo jedan od ciljeva ali ne i jedini ili obavezni, pa čak ni glavni je istražitelj u oblasti digitalne forenzike može raditi za vojsku ili privatnu firmu i njihove unutarnje potrebe.

Cilj digitalne forenzike jeste da se pronađu digitalni tragovi na osnovu kojih ćemo saznati šta, kada, sa kim, kako i zašto je neko nešto radio koristeći digitalni uređaj.

Page 4: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Često ćemo naići na pojam digitalne forenzike što je samo jedna od oblasti digitalne forenzike; računarska forenzika se fokusira i ograničava na sam računar, dok je digitalna forenzika širi pojam koji tretira sve digitalne uređaje: računare, mobitele i PDA uređaje, digitalne kamere i fotoaparate kao i druge različite audio/video uređaje za reprodukciju, mrežne uređaje i td.

Digitalni uređaj ili bolje rečeno digitalni sistem za razliku od analognog prima, obrađuje, prenosi i skladišti podatke u binarnoj formi. Npr. digitalni fotoaparat snima fotografiju i pohranjuje je u digitalnom obliku na memorijsku karticu u obliku nula i jedinica, dok analogni snima na film osvjetljavajući ga različitim intenzitetom. Kod digitalnog oblika postoje dva stanja koja zovemo nulom i jedinicom, dok se kod analognog radi o spektru stanja.

Podaci koji se prenose i čuvaju u digitalnoj formi u kontekstu digitalne forenzike nazivaju se digitalnim tragovima odnosno digitalnim dokazima.

Koliko god bilo teško pronaći pravu definiciju digitalne forenzike procedure i pravila kojih se prilikom istrage treba držati su jasna i striktno definisana.

Nabrojaću ih nekoliko.

Prvo, istražitelj treba dobiti dozvolu onoga ko je nadležan kako bi mogao početi sa forenzičkom analizom. U slučaju sudske istrage potrebno je imati nalog suda, a u slučaju rada u privatnoj kompaniji potrebno je imati dozvolu nadležnog organa vodeći svakako računa o legislativi države u kojoj se istraga obavlja. U različitim zemljama poslodavac ima različita prava nad računarom ili mobitelom koji koristi njegov zaposlenik.

Drugo, od samog početka do kraja istrage forenzičar odnosno institucija koja vodi istragu mora voditi računa o lancu istrage, u svakom trenutku objekte istrage čuvati od bilo kakvih promjena i štetnih vanjskih uticaja. Istraga se vodi na forenzičkoj (bit for bit) kopiji medija, a nikada na originalu. To praktično znači da se npr. prilikom pruzimanja hard diska isti konektuje na uređaj koji onemogućava bilo kakvo pisanje (write blocker), uzima se forenzička kopija na kojoj će se vršiti istraga, a originalni medij čuva na odgovarajući način. Forenzička kopija sadrži kompletnu sliku diska uključujući i prazan prostor.

Treće, matematičkim metodom tj. hashing funkcijom izračunava se jedinstvena vrijednost podataka koja će se promijeniti u slučaju bilo kakve pa i najmanje promjene na podacima koji se istražuju. Na ovaj način uvijek možemo uporediti hash vrijednosti tretiranih podataka kako bi smo bili sigurni da je kopija na kojoj vršimo istragu autentična i jednaka originalu.

Četvrto, istraga se vrši provjerenim i priznatim forenzičkim alatima za koje postoji validna dokumentacija, za koje se zna kako i šta rade i koji su kao takvi priznati na sudu. Uvijek moramo biti sigurni kako smo do nečega došli ili biti u mogućnosti angažovati nekoga da to objasni. Respektabilne kompanije koje proizvode forenzički software i hardware u sklopu svojih usluga nude i svjedočenje svojih eksperata na sudu koji su sposobni objasniti program funkcioniše u određenom aspektu.

Sve do sada radilo se o pripremi, pravi posao počinje sa forenzičkom analizom. Tu se pravi majstor pozna. Forenzičar dobro mora poznavati metu na koju se namjerio, operativni i file sistem, aplikacije i podatke za kojim traga.

Page 5: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Šesti korak je pravljenje izvještaja koji mora biti koncizan, pregledan, bez suvišnih podataka; od izvještaja često ovisi konačna ocjena cijelog posla. O jednoj pronađenoj fotografiji istražitelj može napraviti izvještaj na nekoliko stranica, a svaki pedofil ima hiljade kompromitirajućih fotografija pa zamislite kad bi se o svakoj fotografiji napravio detaljan izvještaj, ko bi to čitao. Mada i to može biti korisno ako želimo napakostiti sudiji, tužiocu, advokatu i ostalim učesnicima u sudskom procesu.

Sedmo, uvijek moramo biti u stanju ponoviti korake kojima smo došli do nekog rezultata.

Osmi korak je živa prezentacija na sudu ili pred managementom kompanije za koju radimo. Važi isto kao i za prvo s tom razlikom što ovdje lako druga strana može napakostiti nama. Uvijek moramo znati odgovoriti na pitanje makar odgovor glasio da u vezi navedenog trebamo konsultirati višu tehničku instancu.

Ovdje su pravila tu da ih se poštuje. Ignorišemo li neko od njih šteta može biti puno veća nego da nismo ništa dirali. Zamislimo situaciju u kojoj kao istražitelj imam informaciju o pedofilu čija je aktivnost locirana, imamo logove od ISP-a, znamo se bavi zabranjenom aktivnošću. Da bi ga strpali iza rešetaka (ovo važi za koliko-toliko normalne države u kojim državne institucije rade svoj posao) potrebno je dokazati da iza te IP adrese odnosno tog računara stoji ta osoba. Ukoliko prekršimo pravilo da se istraga vodi na forenzičkoj kopiji pa analizu započnemo na originalnom disku bez write blockera – slučaj pada u vodu jer je samim paljenjem uređaja došlo do izmjena na mediju. Bolje da ništa nismo ni dirali. Sama činjenica da je neki korisnik u određenom trenutku dobio neku Ip adresu i da je sa nje izvršena nelegalna aktivnost ne znači ništa jer se osumnjičeni odnosno njegov advokat uvijek može vaditi na to da je za računarom sjedio neko drugi i tako u nedogled. Sreća u nesreći je da kod nas pravnici uglavnom pojma nemaju o ovim detaljima što se ne bi moglo reći za države u kojim postoje posebne pravne institucije i agencije koje se bave računarskim kriminalitetom i gdje su i pravnici računarski relativno dobro obrazovani pa i specijalizovani za vođenje postupaka u ovoj oblasti. Kod nas je još uvijek najvažnije da polože rimsko pravo i da, što je još važnije, da nađu štelu za posao. Ali doće sve na svoje, polako.

Oprema koju mora posjedovati forenzičar je veoma skupa, jedna prosječna jednostavna laboratorija, po mojoj slobodnoj procjeni, u startu mora uložiti bar 10 000 € na opremu, hardware i software.

Obzirom da je IT jako dinamična oblast, da postoje različiti file i operativni sistemi čije nove verzije izlaze bar svake 2-3 godine (mislim na operativne sisteme), obzirom na more aplikacija kod kojih se način rada često zna veoma razlikovati između dvije verzije iste aplikacije i tako dalje, forenzičar mora stalno učiti i biti u toku. U razvijenom svijetu i ovdje postoji specijalizacija.

Pored obrazovanja samih forenzičara potrebno je obrazovati i pomoćno osoblje poput policijskih službenika koji trebaju konfiskovati računare i druge uređaje koji su korišteni za izvršenje krivičnog djela. Ljudi moraju znati osnove rada računara da se izbjegne cirkus sa nosanjem monitora i sl. O nečem složenijem da i ne govorim; šta učiniti sa računarom koji je upaljen, ugasiti ga na Shut Down, prekidač ili izvlačenjem kabla napajanja, pokušati pokupiti sadržaj memorije...

Page 6: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase v6 Tutorial

Uvod

EnCase Forensic, proizvod kompanije Guidance Software, je industrijski standard u digitalnoj odnosno digitalnoj forenzici i istrazi. Neke od osnovnih prednosti korištenja EnCase-a su dobra

tehnička podrška koricnicima, grfički korisnički interface, odličan scripting engine, velika baza korisnika, priznavanje forenzičke analize na sudovima i još mnogo toga objedinjenog u jednom alatu. Korištenjem ovog programa moguće je uraditi kompletnu forenzičku analizu počevši od akvizicije do konačnog reporta. Ovo je jedan od najviše korištenih alata u pravosudnim i policijskim organima, među državnim i corporate istražiteljima kao i konsultantima.

EnCase radi na Windows operativnom sistemu, ali postoji i Linux verzija (LinEn). U mogućnosti je raditi analizu različitih platformi, od Windowsa, Linuxa i OS X do Solarisa.

Posjeduje mnoštvo modula koji automatiziraju, ubrzavaju i daju kvalitet istrazi.

Ovo je neoficijelni tutorijal za EnCase verziju 6 u kojem ću pokušati koncizno zabilježiti najbitnije činjenice potrebne za rad sa programom. Biću zahvalan svima koji mi ukažu na eventualne greške.

EnCase: Hardware zahtjevi Procesor

Za rad sa EnCase 6 preporučuje se Intel Pentium IV 1,4 MHz procesor ili brži mada će raditi i sa sporijim i slabijim procesorima npr. intelovim Celeronom.

Memorija

Preporučeno je bar 1 GB RAM-a.

HDD

Za instalaciju samog programa potrebno je 55 MB prostora na hard disku ali diska nikad neće biti viška obzirom da se, u skladu sa pravilima digitalne forenzike, istraga ne vodi na originalnim hard diskovima (i ostalim medijima) nego na kopijama koje treba negdje smjestiti (o tome više u narednim poglavljima).

Page 7: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Dongle

Dongle ili EnCase Security key služi da autenticira legalan software. Bez dongla EnCase će raditi u tzv. acquire modu u kojem možete uraditi acquire medija ali ne i vršiti analizu. Dakle, praktično ništa.

EnCase: Software zahtjevi Operativni sistem

Program EnCase 6 instalirajte na Windows XP Professional, Windows 2003 Server ili Windows 2000 Professional. Moja preporuka je Windows XP. Program radi i na Windows Visti ali ne i neki njegovi vrlo važni moduli (npr. softwerski write blocker, o tome više u narednim poglavljima).

Program podržava i 32 bit i 64 bit Windows platformu i u tom slučaju koriste se različite instalacije programa (examinera). Rad na 64 bitnoj verziji je znatno brži i ugodniji.

Examiner

Kao legalan korisnik sa Guidance Software web site-a možete downloadovati najnoviju verziju software-a, 32 bit i 64 bit verziju.

Certifikati

Kao što možete downloadovati najnoviju verziju software-a tako isto možete downloadovati svoj certifikat. Certifikat vam omogućava da koristite dodatne module koje ste kupili uz EnCase tj. to je vaša licenca za ono što ste kupili.

EnCase: Prije instalacije Prije pokretanja instalacije provjerite imate li:

- dongle

- odgovarajuću instalaciju EnCase programa (examinera), 32 ili 64 bit (u novijim istalacijama uključeni su i driveri za dongle)

- certifikat, tj. fajl PLSP1.cert

... i nemojte uključivati dongle prije nego vam se kaže.

Page 8: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Instalacija EnCase 6 programa (examinera)

Odaberite odgovarajuću instalaciju programa (examinera) i pokrenite instalaciju:

Page 9: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Kliknite na Browse da odredite lokaciju za otpakivanje arhive pa kliknite na Unzip (slika dole):

Kliknite na OK (slika dole):

Otvorite lokaciju gdje je extraktovana instalacija i pokrenite setup file (slika dole):

Page 10: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Ostavite defaultnu lokaciju za instalaciju programa i kliknite na Next (slika dole):

Kliknite na Yes (slika dole):

Page 11: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Neka sve tri opcije budu čekirane pa kliknite na Next (slika dole):

Instalacija je završena, kliknite na Finish (slika dole):

Page 12: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Program pokrećete sa Desktopa (slika dole)...

...ili iz Programs menija (slika dole):

EnCase: Instalacija Certifikata Pored instalacija samog programa trebate downloadovati i certifikat. To je file PLSP1.cert (slika dole):

Page 13: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Otvorite lokaciju na kojoj je instaliran EnCase, a zatim certifikat tj. file PLSP1.cert kopirajte u foldere Certs i License (slika dole):

EnCase: Prvo pokretanje Prilikom prvog pokretanja programa moraćete prihvatiti License Agreement, odaberite I Agree i kliknite na OK (slika dole):

Page 14: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Drivere za dongle smo instalirali zajedno sa instalacijom programa. Dongle treba uključiti u računar prije pokretanja programa. Na donoj slici se vidi poruka o uspiješno prepoznatom donglu.

Prilikom prvog pokretanja EnCase vam nudi registraciju što svakako trebate uraditi. Ukoliko ste se prije registrovali (prilikom neke prethodne instalacije) ili to želite uraditi poslije kliknite na No.

Page 15: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

U protivnom, kliknite na Yes (slika dole):

I ovako izgleda "taze" otvoren EnCase, prvi put nakon instalacije (slika dole):

Page 16: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Registracija

Prilikom prvog pokretanja programa otvoriće vam se popup prozor sa ponudom za registraciju na kojem trebate izabrati Yes (slika dole):

Ako tada niste odabrali registraciju možete to uvijek uraditi klikom na Help meni i odabirom opcije Register.

U oba slučaja, otvoriće će vam se vaš web browser sa serijskim brojem dongla i opcijom "Register Now". Trebate biti konektovani na internet pa kliknite na "Register Now" (slika dole):

Page 17: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Sačekajte trenutak i bićete prebačeni na Guidance Software web site za registraciju gdje trebate popuniti nekoliko podataka i poslati registraciju klikom na Send Registration (slika dole):

Vaša registracija je poslana.

Page 18: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Provjera licence Da bi ste provjerili da li je sve uredu sa vašom licencom tj. da li vam je u funkciji sve što ste platili, sa donglom uključenim u računar kliknite na Help - About EnCase... (slika dole):

Page 19: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

U desnom dijelu prozora pod Modules provjerite imate li sve module koje trebate imati po licenci (slika dole):

EnCase: Dongle (EnCase Security key) Bez uključenog dongla (EnCase Security key) moći ćete pokrenuti program u tzv. Acquisition modu koji vam omogućava akviziciju medija ali ne i analizu. Praktično, bez dongla program je neupotrebljiv.

Ukoliko niste uključili dongle u USB port na svom računaru ili, što je manje vjerovatno, dongle hardware nije uspiješno prepoznat od strane operativnog sistema u naslovu EnCase prozora stajaće "EnCase Acquisition" (slika dole):

Page 20: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Kada uključite dongle dobićete u naslovu info o vrsti svog EnCase programa/licence, u mom slučaju EnCase Law Enforcement (slika dole):

EnCase: Instalacija na Windows Vista Ne preporučujem instaliranje EnCase-a na Windows Vistu.

Jedan od razloga je i taj što na Visti neće raditi FastBloc SE modul, Guidance Software softwerski write blocker. Bez write blockera nije moguća istraga koja će zadovoljiti osnovne zahtjeve digitalne forenzike.

Možete koristiti hardware ili neki drugi software write blocker ali to može biti zamka jer tada morate biti sigurni da taj komad opreme ispravno radi svoj posao kao i biti spremni objasniti i dokumentovati način na koji radi.

Page 21: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Odlučite li se ipak instalirati EnCase na Vistu onda ugasite User Account Control (UAC) i pokrećite EnCase kao korisnik sa administratorskim permisijama.

EnCase: Podešavanja EnCase je moguće podešavati i prilagođavati svojim željama i potrebama u različitim aspektima.

Podešavanjima se pristupa preko Tools - Options... (slika dole):

Na donjoj slici vidi se da postoji 8 tabovakoje ćemo posebno obraditi. Case Options tab raspoloživ je samo kada je slučaj (case) otvoren.

Page 22: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Case Options Case Options tab tab prikazan je samo ako je slučaj (case) otvoren.

Ovdje podešavamo opcije vezane za otvoreni slučaj.

Export folder služi za smiještanje podataka kopiranih iz evidence fajlova.

Temp je za EnCase temporary fajlove koji se brišu kada se program normalno zatvori ali ne i kada se program sruši.

Dobro bi bilo za akviziciju i analizu koristiti poseban disk ili bar posebnu particiju koji su prethodno obrisani wipe komandom.

Page 23: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku
Page 24: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Global Global tab u Options dijalogu sadži opcije koje se primjenjuju na sve slučajeve (cases).

Auto Save Minutes određuje vremenski interval u kojem će se case automatski snimati. Jako je važno da opcija bude uključena i da interval nije velik zbog mogućnosti rušenja programa i gubitka rada koji nije snimljen.

Backup files određuje koliko će se posljednjih backupa slučaja držati na backup lokaciji. U našem slučaju 9 backupa će se čuvati.

Use Recycle bin for cases ako je uključen starije backupe neće prepisivati (overwrite) novijim nego će ih "brisati" tj. premiještati u Recycle Bin.

Show True i Show False omogućava da zadamo vrijednosti po želji za točno i netočno.

Page 25: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Picture Options određuje rad sa slikama. Ovo može biti osjetljivo područje zbog mogućnosti rušenje programa usljed nemogućnosti otvaranja nekih formata.

Date Format i Time Format služe za podešavanje načina prikazivanja datuma i vremena.

Flag Lost Files određuje da li se lost clusteri tretiraju kao unallocated space. Ako se tretiraju tako onda se smanjuje vrijeme potrebno za pristup evidence fajlu i svi lost clusteri u disk tabu su prikazani kao unallocated clusteri. Opcije mora biti postavljena prije nego se evidence file doda u case.

Page 26: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Debug

Debug tab koristimo da odredimo da li će se debug logirati.

Ovo je bitno ukoliko dolazi do čestih rušenja EnCasea.

Page 27: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: NAS NAS tab sadrži postavke potrebne za autentikaciju dongla koji se nalazi na serveru. ovo se koristi u laboratorijama gdje se više kopija EnCasea autenticira preko jednog dongla.

Page 28: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Colors Colors tab omogućava da odredimo različite boje za razne elemente case-a (slučaja).

Ovo može postati bitno kod laptopa koji se koriste na terenu gdje je smanjena razlika između boja pa je potrebno za određene elemente pojačati razliku među nijansama i bojama.

Dva puta kliknimo na željeni element i izaberimo backgrount i foreground boju.

Page 29: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Fonts Fonts tab omogućava da za različite elemente slučaja podesimo odgovarajuća slova.

Dva puta kliknimo na element i odaberimo veličinu, stil, vrstu i script (character set) slova.

Page 30: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: EnScript Podešavanje opcija vezanih za EnScript programe kojim automatiziramo istragu.

Page 31: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Storage Paths Storage Paths tab definira lokacije fajlova koje koristi EnCase aplikacija.

Ovako izgledaju defaultne postavke (slika dole):

Page 32: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Dobro bi bilo kada bi se ove lokacije promijenile tako da se npr. Index i backup folderi nalaze na posebnom disku ili bar na posebnoj particiji.

EnCase: Napomena pred početak rada na slučaju Prije početka rada na slučaju potreban vam je nalog institucije ili osobe za koju radite.

Poželjno je da napravite fotografije ili čak i video snimak otvaranja računara, da fotografišete i označite kablove, medije, hard diskove i td.

Nikada ne vršite analizu na originalnim hard diskovima nego na njihovim forenzičkim kopijama.

Page 33: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Prije akvizicije hard diskova obavezno uključite write blocker kako bi ste ih osigurali od bilo kakvih izmijena.

EnCase: Otvaranje novog slučaja Novi slučaj otvaramo klikom na File - New... (slika dole):

Page 34: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Odaberimo naziv slučaja, upišimo svoje ime i odredimo lokacije Export, Temp i Index Foldera (slika dole). Poželjno je da se ove lokacije nalaze na drugom disku mimo sistemskog ili bar na drugoj particiji. Dobro je imati ustaljenu strukturu za sve slučaje za šta može poslužiti i neki template folder.

Page 35: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Otvoren slučaj (slika dole):

Page 36: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: System meni System meni (slika dole):

Page 37: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Toolbar Toolbar (slika dole):

Page 38: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Window panel Window pane (slika dole):

Page 39: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Status bar Status bar (slika dole):

Page 40: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Status bar kodovi PS lokacija fizičkog sektora (Physical sector)

LS lokacija logičkog sektora (Logical sector)

CL broj klastera (Cluster number)

SO sektor ofset (Sector Offset) - udaljenost u bajtima od početak sektora

FO fajl ofset (File Offset) - udaljenost u bajtima od početka fajla

LE dužina (length) - broj bajta u selektovanom području

Page 41: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: File meni File meni (slika dole):

Page 42: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Edit meni Edit meni (slika dole):

Page 43: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: View meni View meni (slika dole):

Page 44: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Tools meni Tools meni (slika dole) sadrži više opcija od kojih ću na ovom mjestu spomenuti dvije:

- Wipe Drive prepisuje kompletan sadržaj diska nulama ili drugim znakovima čime se brišu svi tragovi podataka koji su se na njemu prethodno nalazili

- Write Block... pokreće Write Blocker za IDE ili USB/Firewire/SCSI koji je neizostavan dio forenzičke analize diska

Page 45: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Help meni Help meni (slika dole) sadrži odličan EnCase Help, EnScript Help, meni za registraciju programa i About EnCase u kojem možemo provjeriti detalje svoje licence:

Page 46: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Write blocker Uslov za ispravnu digitalnu analizu diska je da se on zaštiti od pisanja. EnCase posjeduje FastBloc SE modul koji se dodatno plaća i koji služi za zaštitu diska koji se analizira od pisanja.

Write blocker pokrećemo preko Tools - Write-block... (slika dole):

Page 47: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Otvoriće se donji prozor nakon čega trebamo uključiti disk u odgovarajući port:

Nakon nekoliko trenutaka disk će biti zaštićen od pisanja pa treba samo kliknuti na Finish (slika dole):

Page 48: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Add device Nakon što smo write blockerom zaštitili disk od pisanja dodaćemo ga u EnCase pomoću Add Device komande (slika dole):

Page 49: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

U donjem prozoru...

...čekirajmo Local Drives i kliknimo Next (slika dole):

Page 50: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

U našem slučaju, uzimamo disk pod imenom JetFlash koji je zaštićen write blockerom i kliknemo na Next (slika dole):

Preview Devices (slika dole):

Page 51: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Prikaz diska e EnCase-u (slika dole):

Page 52: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Acquire Analizu nikada ne vršimo na originalnom disku. Nakon što smo disk dodali u EnCase potrebno je da izvršimo akviziciju (acquire), a to podrazumijeva pravljene bit-by-bit kopije diska kojeg ćemo analizirati.

Desnim klikom kliknemo na disk i izaberemo Acquire... (slika dole):

Page 53: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Ostavimo defaultne vrijednosti i kliknemo na Next (slika dole):

Page 54: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Ovdje odaberimo ime, kompresiju i lokaciju na koju ćemo snimiti kopiju diska (slika dole) pa kliknimo na Finish:

Page 55: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Akvizicija može dugo potrajati u zavisnosti od brzine diska koji kopiramo, brzine veze, količine i vrste podataka na njemu, nivoa kompresije... (slika dole):

Uspješno završena akvizicija (slika dole):

Page 56: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

I ovo je bit-by-bit kopija našeg diska (slika dole):

Page 57: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Snimanje slučaja Case (slučaj) snimamo na standardan način File - Save (slika dole):

Page 58: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Biramo ima i lokaciju (slika dole):

Page 59: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

I to je fajl našeg slučaja (slika dole):

Page 60: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Window pane detalji EnCase prozor je podijeljen na 4 posebna prozora koji se nazivaju panes.

To su: Tree pane, Table pane, View pane i Filter pane (pogledajte donje dvije slike):

Page 61: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku
Page 62: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Tree pane Tree pane prikazuje evidence (ili drugo što je selektovano) u tree-structure pogledu.

Ako neki tab nije prikazan iznad Tree Pane možemo ga prikazati selektovanjem kroz View - Cases.

Page 63: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku
Page 64: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Table pane U table Pane se prikazuje sadržaj onoga što je selektovano u Tree Pane.

Table pane ima više kolona:

Name

Filter

In Report

.. i tako dalje.

Page 65: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku
Page 66: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: View pane View Pane prikazuje sadržaj onog što je selektovano u Table Pane-u.

Text

Hex

Doc

Transcript

Picture

Report

Console

Details

Output

Lock

Codepage

Dixon Box

Page 67: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku
Page 68: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Filter pane EnScript

Hits

Filters

Conditions

Display

Queries

Text Styles

Page 69: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku
Page 70: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Panes u ciklusu analize Analiza dokaza je ciklična i vremenom se krug sužava oko onog za čim tragamo.

U (1) Tree pane selektujemo entrije čiji se sadržaj (2) prikazuje u Table pane. Zatim, opcionalno u (3) Filter pane vršimo filtriranje i pretragu čije (4) rezultate detaljnije vidimo u View pane.

Page 71: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

EnCase: Panes kao posebni prozori Panes su prikazani u zavisnosti od konteksta i često imamo potrebe za više prostora zbog čega panes nekada moramo prikazati u posebnom prozoru kako bi smo iskoristili cijelu veličinu displeja. To radimo tako što dva puta kliknemo na gornji lijevi ugao kod panea koji želimo otvoriti u posebnom prozoru (slika dole):

Page 72: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Fizičko i elektromagnetno uništavanje podataka na disku

Uvod U tekstu Obrisani podaci nisu obrisani vidjeli smo kako je brisanje podataka kroz operativni sistem iluzija. Podatke je naravno moguće nepovratno obrisati, o jednom odnosno dva aspekta, onom fizičkom i elektromagnetnom ću govoriti u ovom tekstu, a o sigurnom softwerskom uništavanju podataka govorim u tekstu, a kako bi se drukčije zvao nego Sigurno softwersko brisanje podataka.

Fizičko uništavanje podataka na disku Fizičko uništavanje podataka na disku je potpuno siguran metod za uništenje podataka ali ima i jednu veliku mahanu: radi se zapravo o fizičkom uništenju diska tj. medija na kojem se nalaze podaci, a ne samo o uništenju podataka.

Fizičko uništavanje vrši se mljevenjem na sitne komadiće ili u prah (pulverizacija), bušenjem rupa na mediju, spaljivanjem i topljenjem (termička obrada) kao i kemijskim postupcima.

U laboratorijima postoji aparatura za fizičko uništenje medija sa podacima, ali je očito da svako može pronaći metod kojim sam može uništitit medij, samo je važno znati gdje se podaci nalaze. Nema potrebe za uništavanjem cijelog računara nego je npr. dovoljno uništiti hard disk, kao što nema potrebe, da uzmem banalan primjer, kod lupanja čekićem truditi se uništiti kućište diska nego samo ploče.

Prednost ovakvog načina uništenja podataka ogleda se u nekoliko stvari. Kao što sam već rekao, ovo je siguran metod a i moguće je raditi po metodu sam svoj majstor. Također, na ovaj način moguće je obraditi i uništiti različite vrste uređaja za smještanje podataka jer čekić ili vatra ne poznaju razliku između hard diska, SIM kartice ili USB drivea.

Mahana ovakvog načina uništenja podataka je što nepovratno gubimo hardware, a treba voditi računa i o stepenu uništenja jer je moguće i iz malih komada vratiti podatak ako se baš namjerimo na pravu službu ali to je već domen visoke politike.

Elektromagnetno uništavanje podataka na disku (degaussing)

Degaussing prestavlja vrlo siguran način za uništavanje podataka na magnetnim medijima.

Medij sa podacima dovodi se u dovoljno jako elektromagnetno polje koje mijenja magnetno stanje medija.

Da bi se shvatilo kako i zašto se ovo dešava treba znati osnovnu stvar o radu magnetnog medija. Npr. naš hard disk u računaru ima nekoliko ploča koje se sastoje od malih dijelova koji mogu biti namagnetisani ili nenamagnetisani. Namagnetisanje stanje zovemo 1, a nenamagnetisano 0. I tako se zapisuju podaci na hard disku.

Page 73: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

Kada ploča hard diska dođe pod uticaj dovoljno jakog elektromagnetnog polja ona se magnetiše odnosno demagnetiše pod uticajem tog polja čime su podaci izbrisani (nule i jedinice, nazovimo to tako, nisu poredano onako kako su bile).

Zamislimo da smo poredali eksere na neki način po podu, a onda prinijeli magnet koji je neke skroz privukao, a neke pomjerio. E tim ekserima smo uradili degaussing.

Disk je ovim procesom uništen i nije ga moguće više koristiti jer su pored ploča sa podacima uništeni i fabrički zapisani podaci na određenim komponentama.

Ovaj proces je skup i zahtijeva posebnu opremu.

Noviji hard diskovi imaju bolju zaštitu od vanjskih uticaja tako da je potrebno i jače polje kako bi se na njih djelovalo.

Prednost ovog procesa je što brzo traje, a disk fizički biva očuvan (ako to nekome treba).

Sigurno softwersko brisanje podataka

Uvod U tekstu Obrisani podaci nisu obrisani vidjeli smo kako je brisanje podataka kroz operativni sistem iluzija. Podatke je naravno moguće nepovratno obrisati, o jednom odnosno dva aspekta, onom fizičkom i elektromagnetnom sam govorio u tekstu Fizičko i elektromagnetno uništavanje podataka na disku, a o sigurnom softwerskom uništavanju podataka govorim u tekstu koji slijedi pa čitajte.

Iluzija o brisanju Kao što u tekstu Obrisani podaci nisu obrisani rekoh prilikom brisanja dokumenta file sistem neće dirati prostor na kojem se nalazi dokument nego će obrisati pointer u svojoj tabeli (tefteru) i naznačiti da je navedeni prostor slobodan za zapisivanje novih podataka. Ovdje ćemo sada vidjeti kako de facto obrisati podatak tj. njegov sadržaj softwerskim metodom tako da ga poslije ne bude moguće vratiti.

"Brisanje" korištenjem Delete komande kroz operativni sistem i pražnjenje Recycle Bin-a nije brisanje pa da vidimo šta nam je činiti.

Formatiranje Sljedeće što će pasti na pamet prosječnom korisniku računara jeste formatiranje. Imate USB stick ili hard disk i želite satrati podatke i mislite da sa formatom sve ode u helać. Ni blizu.

Formatiranjem se poslože neke stvari (da sad ne ulazimo u to) i obriše, kako sam ga prije zvao, tefter (FAT i sl.) u kojem se nalaze pointeri na podatke (a i ovo je moguće vratiti u određenim slučajevima). Sami podaci ostaju gdje su bili, netaknuti. I nema tu razlike (po

Page 74: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

pitanju samih podataka) između pravog formata i quick formata; quick format samo dodatno skenira hard disk i obilježi bad sectore.

Zaboravite format za ovaj posao.

Wipe Wipe je ono što nam treba.

Wipe predstavlja sigurno softwersko brisanje podataka. Stvar funkcioniše na način da se dijelovi ili cijeli medij prepiše nulama i/ili jedinicama.

Postoje različiti algoritmi tj. metodi za wipe koji se međusobno razlikuju u broju prepisivanja kao i u vrsti podataka kojim se prepisuju stari podaci.

Države i institucije imaju svoja pravila, a najdalje otišao Peter Gutmann sa svojim algoritmom koji prepisuje sa 35 različitih uzoraka.

Kao i za vraćanje "obrisanih" podataka na internetu ćete naći stotine programa za sigurno brisanje ali tu treba biti oprezan i koristiti provjerene alate jer mnogi programi ne prepoznaju određene skrivene dijelove na diskovima i td.

Nakon što se medij podvrgne prepisivanju (wipe), koliko ja znam, forenzičkim metodama nije moguće vratiti prepisane podatke.

Postoje ovdje neke trosmislene priče, ali što se mene (i opreme kojom raspolažem) tiče nemoćan sam pred diskom nad kojim je urađen totalni wipe sa jednim prelazom. Također, priča se u forenzičkim krugovima da je jedan prelaz prepisivanja dovoljan, ali tu opet upada gore spomenuti Peter Gutmann koji tvrdi da obavještajne službe posjeduju opremu za analizu megnetnih sila kojim mogu vratiti čak i ono što je prepisano nekoliko puta. Nisam upućen, ali stvar ima smisla kad se malo bolje pogleda. Nadam se da ću ako Bog da nekada moći pisati o tome.

Za wipe običnom insanu dovoljno je ono što se besplatno nudi na internetu.

Wipe je moguće napraviti nad cijelim medijem kao i nad određenim njegovim dijelom tj. možemo uništiti podatke na cijelom disku ili uništiti samo neki određeni fajl.

Za brisanje kompletnog medija predlažem da koristite DBAN, dok za brisanje dijelova preporučujem Eraser.

U određenim slučajevima potreban vam je i hardware da bi ste odradili wipe, npr. ako želite vanjski disk uključiti u računar morate imati kablove ali sve to već sigurno imate jer se radi o jeftinim svakodnevno korištenim stvarima.

Prednost softwerskog uništavanja podataka je u tome što medij možete nastaviti koristiti nakon wipe procedure i što je ovo svakom dostupno za provesti u djelo.

Problem nastupa kada je medij oštećen i nije moguće pisati po njemu jer u tom slučaju nećete biti u mogućnosti da podatke na njemu softwerski uništite. Također, treba biti oprezan sa

Page 75: Obrisani podaci nisu obrisani   uvod u digitalnu forenziku

odabirom alata za wipe jer mnogi programi ne rade ono št bi trebali, ne vide i nisu u stanju obrisati sve što je na mediju.