Embed Size (px)
Citation preview
TEHNIČKO VELEUČILIŠTE U ZAGREBU
POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ
Specijalizacija informatike
Tomislav Milošić
FORENZIKA DIGITALNIH ZAPISA NA PAMETNOM TELEFONU
DIPLOMSKI RAD br. I 697
Zagreb, svibanj 2023.
TEHNIČKO VELEUČILIŠTE U ZAGREBU
POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ
Specijalizacija informatike
Tomislav Milošić
JMBAG: 0016073381
FORENZIKA DIGITALNIH ZAPISA NA PAMETNOM TELEFONU
DIPLOMSKI RAD br. I 697
Povjerenstvo:
Vesna Alić-Kostešić, dipl.ing.stroj. _______________
mr.sc. Marinko Žagar, viši predavač _______________
Vjeran Bušelić, viši predavač _______________
Zagreb, svibanj 2023.
Sažetak:
U ovom radu obrađena je tematika digitalne forenzike mobilnih uređaja. U prvom dijelu
definirani su osnovni pojmovi vezani uz ovu disciplinu, te je prikazana važnost ove discipline
u današnjoj forenzici. U nastavku su obrađeni zakonski okviri digitalne forenzike mobilnih
uređaja. Rad zatim obrađuje mogućnosti manipulacije digitalnim podacima na pametnom
telefonu. Naposljetku su prikazani koraci forenzičkog ispitivanja pametnog telefona na
stvarnom primjeru prilikom čega je korišten MOBILedit Forensic alat.
Ključne riječi: forenzika mobilnih uređaja, manipulacija digitalnim zapisima, forenzička
analiza pametnih telefona, sigurnost pametnih telefona
Sadržaj:
1. Uvod..............................................................................................................................12. Forenzika mobilnih uređaja.......................................................................................3
2.1. Razlike između računalne forenzike i forenzike mobilnih uređaja....................32.2. Digitalni zapis..........................................................................................................5
2.2.1. Podjela digitalnih dokaza u forenzici mobilnih uređaja.................................52.2.2. Principi digitalnih dokaza...............................................................................7
2.3. Alati za forenziku mobilnih uređaja......................................................................82.4. Budućnost forenzike mobilnih uređaja.................................................................9
2.4.1. Brzina procesora.............................................................................................92.4.2. Trajanje baterije..............................................................................................92.4.3. Memorija i prostor za pohranu.....................................................................10
3. Zakonska osnova forenzike mobilnih uređaja.......................................................113.1. Podjela forenzike mobilnih uređaja na osnovi zakonskih okvira.....................12
3.1.1. Opća mobilna forenzika...............................................................................133.1.2. Korporativna forenzika mobilnih uređaja....................................................13
4. Manipulacija digitalnim zapisima na pametnim telefonima.................................154.1. Manipulacija listom poziva...............................................................................174.2. Manipulacija GPS podacima............................................................................184.3. Otkrivanje pristupnih podataka......................................................................194.4. Zaštita od manipulacije digitalnim zapisom na pametnom telefonu............20
5. Studija slučaja: forenzika pametnih telefona.........................................................225.1. O uređaju – Samsung Galaxy Note GT-N7000...............................................225.2. MOBILedit Forensic.........................................................................................245.3. Koraci digitalne forenzike pametnog telefona................................................26
5.3.1. 1. Korak – početak rada s MOBILedit Forensic alatom...............................265.3.2. 2. Korak – preuzimanje podataka s mobilnog uređaja.................................305.3.3. 3. Korak – analiza preuzetih podataka sa mobilnog uređaja........................325.3.4. 4. Korak – Izrada izvještaja na temelju provedene analize..........................35
6. Zaključak...................................................................................................................37Literatura.............................................................................................................................38
Popis tablica:
Tablica 1. Lokacija pohrane – Android
Popis slika:
Slika 1. Početak rada u MOBILedit Forensic alatu
Slika 2. Spajanje mobilnog uređaja – prvi dio
Slika 3. Spajanje mobilnog uređaja – drugi dio
Slika 4. Početni ekran nakon spajanja uređaja
Slika 5. Preuzimanje podataka s mobilnog uređaja na računalo
Slika 6. Aktivacija alata MOBILedit Forensic
Slika 7. Analiza podataka iz telefonsog imenika
Slika 8. Analiza podataka s popisa poziva
Slika 9. Analiza korisničkih dokumenata
Slika 10. Izrada izvještaja u MOBILedit alatu
1. Uvod
Pametni telefoni dio su naše svakodnevice. Njihovu primjenu pronalazimo u svim sferama
naših života, bilo da se radi o privatnim ili poslovnim svrhama, koristimo ih za zabavu, posao
ili kao asistente u privatnom životu te za mnoge druge funkcionalnosti. Oni predstavljaju
uređaje koji svoje korisnike pronalaze od djece predškolske dobi pa do osoba treće životne
dobi, a broj njihovih korisnika u kostantnom je porastu. Prema portalu The Statistic Portal u
svijetu trenutno postoji oko 2,08 bilijuna korisnika pametnih telefona. Ta brojka je doživjela
nagli porast od 2014. kada se radilo o 1,5 bilijuna korisnika, a predviđa se da će do 2019. broj
korisnika doseći 2,5 bilijuna. Prema ovim brojkama industrija pametnih telefona je najbrže
rastuća potrošačka industija u povijesti [1].
Ukoliko promotrimo sve informacijske uređaje koji nas okružaju te ukoliko uzmemo u
obzir količinu takvih uređaja koja na gotovo dnevnoj bazi izlazi na tržište, racionalno je
zapitati se zašto baš industrija pametnih telefona ima tako rastuću liniju kretanja. S jedne
strane, osnovne funkcionalnosti ovih uređaja nisu jednostavno zamjenjive pomoću nekih
drugih uređaja (ne postoji drugi uređaj s kojim bismo mogli u pokretu zaprimati i odašiljati
pozive te pretraživati internet). S druge strane, pametni telefoni često svojim dodatnim
funkcionalnostima mogu uspješno zamijeniti druge uređaje (aplikacije za navigaciju,
namijenjene za pametne telefone, vrlo često mogu uspješno zamijeniti navigacijske uređaje).
Najveća prednost ovih uređaja je ujedno i njihova osnovna osobina, a to je mobilnost. U
današnje vrijeme kada pravovremeni pristup informaciji nosi prevagu u poslovnom svijetu, te
znatno olakšava razne elemente privatnog života, pametni telefoni sa svojim osobinama i
fukcionalnostima vrlo lako izbijaju na vrh liste najkorištenijih informacijskih uređaja.
Takva nagla popularizacija jedne tehnologije sa sobom nosi i određene negativne strane.
Upravo zbog svoje mobilnosti i dimenzija pametni telefoni nerijetko postaju predmeti
otuđivanja ili jednostavnog gubljenja. Prema istraživanju koje su napravili McAfee i Ponemon
Institute pod nazivom The Lost Smartphone problem, provedenom na ukupno 439
organizacija, ukupan broj izgubljenih pametnih telefona kroz jednu godinu dosegnuo je brojku
1
od 142.708 uređaja. Svega 9.298 (nepunih 7%) uređaja je uspješno pronađeno i vraćeno
svojim korisnicima [2]. U većini slučajeva pametni telefoni se otuđuju samo zbog daljnje
preprodaje i podaci pohranjeni na njima nisu predmet interesa, međutim postoje slučajevi kada
korisnici na svojim pametnim telefonima imaju pohranjene vrlo osjetljive i povjerljive
podatke. Gubitak ili otuđivanje takvog uređaja za njegovog korisnika može imati znatno teže
posljedice od samog meterijalnog troška. Također zbog korisničkih navika da svoje pametne
telefone imaju kraj sebe u najrazličitijim životnim situacijama, ovi uređaji vrlo često postaju
dokazni materijali u raznim postupcima.
Zbog svega navedenog, te kako bi pametni telefoni mogli postati legalni i pravovaljani
izvori informacija i dokaza u raznim sudskim postupcima, pojavila se potreba za razvojem
forenzike mobilnih uređaja. Forenzika mobilnih uređaja jedna je od grana digitalne forenzike,
a bavi se otkrivanjem manipulacija digitalnih zapisa, kao i vraćanjem izgubljenih zapisa, te
prikupljanjem, obradom i pohranjivanjem dokaza pronađenih na mobilnim uređajima.
Forenzika pametnih telefona jedan je specifični dio forenzike mobilnih uređaja.
2
2. Forenzika mobilnih uređaja
Kao što smo ranije spomenuli, forenzika mobilnih uređaja jedna je od grana digitalne
forenzike, stoga je za početak potrebno definirati što je to digitalna forenzika, te što sve
obuhvaća. Postoji veliki broj definicija i opisa digitalne forenzike, a mi smo odabrali jednu
koja iznosi osnovne i najbitnije činjenice: „Digitalna forenzika je znanost o identifikaciji,
prikupljanju, čuvanju, skladištenju, analizi, te dokumentiranju digitalnih dokaza ili podataka
koji su pohranjeni, obrađeni ili prebačeni u digitalnu formu. Općenito, digitalnu forenziku
možemo podijeliti na pet grana po nazivu: računalna forenzika, programska forenzika,
podatkovna forenzika, mrežna forenzika i forenzika mobilnih uređaja“ [3].
Kao dio digitalne forenzike, forenzika mobilnih uređaja se također bavi prikupljanjem,
obradom i pohranom digitalnih zapisa te digitalnih dokaza s mobilnih uređaja, a sve u skladu s
propisima forenzičke znanosti. Također je vrlo bitno za napomenuti da se pod pojmom
mobilnih uređaja ne nalaze samo mobilni telefoni, što je najčešća asocijacija. Pod pojmom
mobilnih uređaja, u sklopu forenzike mobilnih uređaja, podrazumijevaju se svi uređaji koji
imaju vlastitu unutarnju memoriju i sposobnost komunikacije. Između ostaloga to uključuje
PDA (eng. Personal Digital Assistant) uređaje, GPS (eng. Global Positioning System) uređaje
i tablete. U nastavku rada bazirat ćemo se isključivo na mobilne telefone, odnosno konkretnije
na pametne telefone.
2.1. Razlike između računalne forenzike i forenzike mobilnih uređaja
Iako se računalna forenzika i forenzika mobilnih uređaja zasnivaju na istim temeljima,
zbog specifičnosti i raznolikosti mobilnih uređaja, a naročito pametnih telefona, postoji
značajna razlika između ova dva tipa forenzike. U nastavku ćemo nabrojati i pojasniti glavne
razlike [3]:
3
Raznolikost hardvera mobilnih uređaja – postoji širok spektar proizvođača
hardverske opreme za pametne telefone, od čega većina njih ima svoje određene
specifičnosti.
Raznolikost operacijskih sustava – na tržištu se trenutno nalazi nekoliko
različitih operacijskih sustava za pametne telefone. Svaki od njih ima svoje
određene specifičnosti. Također svaki od njih ima po nekoliko svojih verzija.
Kratak proizvodni ciklus i životni vijek – uređaji se na tržištu zadržavaju
relativno kratko, a razlog tome je izlazak novih naprednijih inačica. Životni ciklus
pametnog telefona je oko 2 godine, kod prijenosnih računala iznosi 4 – 5 godina, a
kod stolnih računala je to i duži period.
Izrazita usmjerenost ka mobilnosti – tehnologija koja je izrazito usmjerena ka
mobilnosti, zahtijeva mnoge druge prilagodbe kako bi se mobilnost ostvarila, a sve
funkcije uređaja ostale dostupne.
Sustav datoteka pohranjen na različitim lokacijama – zadane datoteke uređaja
su na različitim tipovima uređaja pohranjene na različitim lokacijama.
Hibridni sustavi zasnovani na naprednim mrežnim i komunikacijskim
funkcijama – ubrzanim razvojem nove tehnologije i u želji za pronalaskom
najboljih rješenja dolazi do kombiniranja više tehnologija i nastajanja hibridnih
sustava. Forenzika mobilnih uređaja mora dati odgovor i na takve specifične
zahtjeve, bez obzira koliko su rijetki.
Obustava procesa dok je sustav u statusu mirovanja, iako je pozadinski
zapravo aktivan – komunikacijske funkcije mobilnih uređaja su aktivne i u
trenutcima kada je sam uređaj u stanju mirovanja, odnosno nije korišten od strane
korisnika.
Uz sve navedeno postoje još neke značajke računalnih i tehnologija mobilnih sustava koje
uvelike utječu na forenzičke procese. Kod računala se, na primjer, operacijski sustavi nalaze
na sekundarnoj memoriji, a kad su u pitanju pametni telefoni operacijski sustavi se nalaze na
ROM (eng. Read Only Memory).
4
2.2. Digitalni zapis
Nadalje potrebno je definirati što je to digitalni zapis prikupljen sa pametnog telefona, te
što je to digitalni dokaz i može li se svaki digitalni zapis ujedno smatrati i digitalnim dokazom.
Digitalnim zapisom pametnog telefona se smatra ukupni digitalni sadražaj koji je u obliku
binarnog koda zapisan na pametnom telefonu. Tu možemo ubrojiti liste poziva, SMS i MMS
poruke, telefonske imenike, video i fotografske zapise, povijest pretraživanja interneta,
elektronsku poštu, različite podatke sa društvenih mreža, te još mnoge druge podatke. Od
ukupnog digitalnog zapisa pametnog telefona digitalnim dokazom se može smatrati samo onaj
dio koji je obrađen prema forenzičkim propisima te koji ima neko značenje za forenzičko
ispitivanje u određenom slučaju.
2.2.1. Podjela digitalnih dokaza u forenzici mobilnih uređaja
Osnovna podjela digitalnih zapisa sa pametnih telefona bazirana je na mjestu pohrane
samoga zapisa. Tako se razlikuju tri osnovne grupe digitalnih zapisa, odnosno potencijalnih
digitalnih dokaza: oni koji su pohranjeni na SIM (eng. Subscribe Identity Modules) kartici,
zatim oni koji su pohranjeni na internoj memoriji uređaja te oni koji su pohranjeni na SD (eng.
Secure Digital) kartici.
Digitalne dokaze prema podjeli same forenzike mobilnih uređaja možemo svrstati u
nekoliko skupina. Podjela je napravljena prema tipu mobilnog uređaja i usluzi koju pruža
korisniku, a razlikuje [3]:
Autorizacijski podaci – ovaj tip podataka koristi se za identifikaciju i verifikaciju
korisnika i uređaja prilikom pristupa mrežnim servisima. Razlikujemo dva osnovna
podatka u ovoj skupini. Za identifikaciju mobilnog uređaja koristi se međunarodni
identifikacijski broj uređaja IMEI (eng. International Mobile Equipment Identity).
Drugi podatak iz ove skupine sadržan je unutar SIM kartice, radi se o
međunarodnom identifikacijskom broju korisnika IMSI (eng. International Mobile
Subscriber Identity).
5
Dnevnici mobilnih uređaja – ovdje su sadržane liste odlaznih, dolaznih i
propuštenih poziva uključujući i vrijeme poziva, te kod uspostavljenih poziva i
njihovo trajanje. Dnevnici također sadrže i GPS informacije, te podatke o trenutku
spajanja na mrežu. Ova skupina podataka može biti od velike važnosti kod
forenzičkih ispitivanja jer može otkriti korisnikovu lokaciju u određenom trenutku,
a ponekad i kompletnu rekonstrukciju korisnikovog kretanja.
Kontakti – u ovoj skupini podataka se vrlo često, uz sam broj, mogu naći i neki
drugi korisni podaci. Kontakti mogu sadržavati slike, fizičke adrese, e-mail adrese i
mnoge druge podatke. Iz ove skupine podataka moguće je doći do osoba
potencijalno bitnih za istragu, a ukoliko se u kontaktima nalaze i drugi podaci, a ne
samo broj, onda ovo također može biti vrlo koristna skupina podataka za
forenzičku analizu.
Tekstualne poruke - ovaj tip podataka često zna sadržavati podatke vrlo bitne za
istražvanje. Kao i kod liste poziva, koristan popratni podatak je vrijeme nastajanja
poruke. Preko tekstualnih poruka je tako često moguće rekonstruirati slijed
događaja, uključujući i vremensku varijablu. Moderne forenzičke metode baziraju
se na tehnologijama rekonstrukcije i praćenja oštećenih ili obrisanih poruka.
Kalendar – kalendari često sadrže informacije o korisnikovim obavezama,
kretnjama, raznorazne napomene, a ponekad i kontakte. Kalendari često imaju i
funkcije poput praćenja izvršavanja zakazanih obaveza, te funkciju podsjetnika.
Stoga je u njima ponekad moguće vidjeti je li korisnik izvršio sve svoje zakazane
obveze.
Elektronska pošta – također jedan od bitnih izvora podataka, uz samu korisnikovu
komunikaciju, može često sadržavati i različite popratne dokumente.
Instant poruke – poruke koje se izmjenjuju u stvarnom vremenu. Vrlo su
popularan sustav dopisivanja te stoga često sadrže dugoročnu komunikaciju s
velikom količinom informacija.
6
2.2.2. Principi digitalnih dokaza
Prema Vodiču dobre prakse o digitalnim dokazima baziranima na računalnoj tehnologiji, a
izdanom od strane ACPO (eng. UK Association of Chief Police Officers), postoje četiri
principa digitalnih dokaza i to su [4]:
Princip 1 – Agencija za provedbu forenzičkih ispitivanja niti jednom svojom
akcijom ili postupkom ne smije utjecati na promjenu podataka prikupljenih s
računala ili drugih medija koji mogu biti korišteni u sudskim postupcima.
Princip 2 – Ukoliko postoje specifične okolnosti u kojima je potrebno izvršiti
pristup originalnim podacima. To može izvršiti samo kompetentna osoba koja
može obrazložiti provedene akcije nad dokazima.
Princip 3 – Sve napravljene analize i ispitivanja nad digitalnim dokazima moraju
biti zabilježeni, a rezultati i postupci pravilno dokumentirani. Svako ponovno
provođenje istih ispitivanja ili analiza od strane treće osobe mora donijeti isti
rezultat.
Princip 4 – Svaki zasebni slučaj ima osobu zaduženu za njenu provedbu. Zadatak
te osobe je sigurnost digitalnih dokaza, te postupanje s njima u skladu sa zakonom i
navedenim principima.
Prema istom pravilniku svi digitalni dokazi smatraju se jednakima svim ostalim
oblicima dokaza. Na osnovi toga u provedbama postupaka prema digitalnim dokazima se
mora postupati na osnovi istih pravila i zakona. Uz sve navedeno, pravilnik donosi i neke
iznimke, koje se odnose upravo na digitalne dokaze prikupljene s pametnih telefona. Tako je u
vodiču navedeno da se prvi princip izuzima iz uporabe kada se radi o digitalnim dokazima
prikupljenima na pametnim telefonima. Razlog tome je što se određeni podaci pohranjeni na
pametnom telefonu kontinuirano mijenjaju, čak iako ne postoji direktni utjecaj korisnika na
njih. Zahtjev iz prvog principa je ipak jednim dijelom prisutan i kod forenzike mobilnih
uređaja, te se podaci moraju koristiti na način da se utjecaji na njih i potencijalne promjene
svedu na minimum.
7
2.3. Alati za forenziku mobilnih uređaja
Kao što je već ranije spomenuto, forenzika mobilnih urađaja ima svoje određene
specifičnosti koje ju uglavnom razlikuju od računalne forenzike. Tu smo govorili o
raznolikosti operacijskih sustava, ali i o kratkom životnom vijeku mobilnih uređaja, te lokaciji
pohrane podatkovnih foldera. Upravo ove specifičnosti uvelike utječu na razvoj alata za
forenziku mobilnih uređaja. Takvi zahtjevi doveli su do razvoja širokog spektra alata. Dio njih
je namijenjen za komercijalnu upotrebu i najčešće zahtjeva osobu osposobljenu za rad dok je
drugi dio alata otvorenog koda te je prilagođen manje iskusnim korisnicima.
Postoje zahtjevi koji su postavljeni pred sve alate koji se koriste u forenzici mobilnih
uređaja, bez obzira radi li se o alatu otvorenog koda ili ne, te za koji je operacijski sustav alat
namijenjen, a to su: „Alat mora funkcionirati na način da se promjene izvornih podataka svedu
na minimum. Pomoću alata se mora moći povući što veća količina podataka pohranjenih na
mobilnom uređaju. Funkcioniranje alata mora biti izvedeno na način da se interakcija čovjeka
s mobilnim uređajem svede na minimum“ [5].
Na tržištu se trenutno nalazi veliki broj različitih alata, mi ćemo u nastavku nabrojiti samo
neke i ukratko opisati njihove glavne karakteristike.
iPhone Analyzer – ovaj alat podržava iOS 2, iOS 3, iOS 4 i iOS 5 uređaje.
Moguće ga je koristiti na raznim platformama (Linux, Windows, Mac).
viaForensics’ Forensics – je grupacija koja nudi nekoliko alata za ovu namjenu,
od koji su neki za komercijalnu upotrebu, a drugi otvorenog koda. Jedan od
poznatijih alata im je viaExtract, a namijenjen je pametnim telefonima
zasnovanima na Android platformi.
Mobile Internal Acquisition Tool (MIAT) – ovaj alat je specijaliziran za analizu
pametnih telefona sa Symbian i Windows platformom.
TULP2G – je komercijalni alat, ali prilagođen krajnjem korisniku te je vrlo
jednostavan za osnovno korištenje.
The MSAB Ecosystem – skup forenzičkih alata namijenjenih između ostalog i za
mobilne uređaje. Ovaj alat nije orijentiran niti na jednu određenu platformu.
8
2.4. Budućnost forenzike mobilnih uređaja
Na kretanja i daljnji razvoj forenzike mobilnih uređaja u najvećoj mjeri će utjecati razvoj
samih mobilnih uređaja i to na sljedećim područjima: brzina procesora, produljenje trajanja
baterije, proširenje memorijskog i prostora za pohranu.
2.4.1. Brzina procesora
Razvoj procesorskog sklopovlja temelj je kontinuiranog i brzog napretka u industriji
pametnih telefona. Pojavom višejezgrenih procesora pametni telefoni svojom su se
funkcionalnošću približili računalima. Današnje tržište tako već u ponudi ima i osmojezgrene
procesore namijenjene pametnim telefonima. Usprkos tome, četverojezgreni, 3,0 GHz
procesor iz ST-Ericsson Nova Thor trenutno je jedan od najbržih procesora na tržištu. Takav
razvoj procesorskog sklopovlja i kontinuirani porast brzine rada definitivno će imati veliki
utjecaj na buduća kretanja na polju forenzike mobilnih uređaja.
2.4.2. Trajanje baterije
Prije pojave pametnih telefona korisnici su navikli na dugotajnost baterije mobilnih
uređaja. Uz puno manji zaslon, te manje funkcija ponekad i danima nije bilo potrebe za
priključivanje uređaj na izvor napajanja. S pojavom pametnih telefona to se uvelike mjenja,
korisnici imaju sve više problema s trajanjem baterije, koja ponekad ne izdrži niti dnevne
potrebe. Općenito baterije mobilnih uređaja možemo podijeliti u tri skupine. Prva skupina je
NiMH (eng. nickel metal hydride), potom Li-ion (eng. lithium-ion), te Li-polymer. Uz
proširenje kapaciteta baterija, ova industrija radi i na tome da se vrijeme punjenja baterija
svede na minimum. Iako to na prvi pogled tako ne izgleda, daljnji razvoj industrije baterija za
mobilne uređaje imat će veliki utjecaj na forenziku mobilnih uređaja. O trajanju baterije
nerijetko ovisi hoće li neki podaci biti izgubljeni ili spašeni.
9
2.4.3. Memorija i prostor za pohranu
Treći element koji će uvelike utjecati na razvoj forenzike mobilnih uređaja su memorija i
prostor za pohranu podataka. Kontinuirani razvoj mobilnih uređaja i njihovih funkcionalnosti
dovodi do potrebe za pohranom sve veće količine podataka na uređajima. Kako bi se ti
zahtjevi zadovoljili, a dimenzije pametnih telefona ostale nepromijenjene, odnosno kako ne bi
rasle, industrija izrade memorija kontinuirano mora napredovati. Trenutno na tržištu možemo
naći pametne telefone sa 4 GB RAM memorije. Kako bismo taj podatak stavili u neke okvire i
prikazali koliko intezivno ova tehnologija napreduje, možemo reći da su prije deset godina
mobilni uređaji imali maksimalno do 128 MB.
10
3. Zakonska osnova forenzike mobilnih uređaja
U prethodnom poglavlju smo definirali što je to forenzika mobilnih uređaja, prikazali što
ju razlikuje od računalne forenzike, objasnili njene osnovne elemente i prikazali alate i načine
kako se provodi. Sljedeći bitan pojam vezan uz forenziku mobilnih uređaja su njeni zakonski
okviri. Kao i u bilo kojem drugom obliku forenzičkih ispitivanja, tako i ovdje postoje zakonski
okviri koji definiraju kako i na koji način se ta ispitivanja moraju provoditi da bi se rezultati
smatrali pravovaljanima i relevantima za sudski postupak na koji se odnose. Ovdje je svakako
potrebno napomenuti da se zakoni razlikuju od države do države i to iz razloga što moraju biti
usklađeni s državnim zakonodavstvom. Na osnovi zakonskih propisa također se vrše i dodatne
podjele forenzike mobilnih uređaja na manje podskupine.
Za početak je potrebno napomenuti kako mobilni uređaji u određenom kaznenom djelu
mogu sudjelovati na različite načine i to kao [3]:
Cilj ili meta napada – pod ovim pojmom se podrazumijevaju udaljeni upadi u
sustave uređaja, zatim otuđivanje samih uređaja ili njihovih dijelova, te uništavanje
podataka s uređaja.
Sredstvo za provođenje napada – ovaj pojam podrazumijeva mobilni uređaj kao
sredstvo pomoću kojega je kazneno djelo počinjeno, na primjer slanje zloćudnih
kodova putem elektronske pošte s pametnog telefona.
Poveznica sa zločinom – mobilni uređaj se može smatrati poveznicom sa
zločinom ako se, na primjer, koristi kao sredstvo praćenja počinitelja iako uređaj u
stvarnosti nije direktno povezan sa zločinom.
Nositelj digitalnog dokaza nekog zločina – u ovu skupinu spadaju uređaji koji su
direktno povezani sa zločinom, to može značiti da su bili na poprištu zločina, da su
ga zabilježili ili da možda sadrže podatke vezane uz zločin.
Prema zakonskoj regulativi svaki mobilni uređaj koji na neki način sudjeluje u
forenzičkim istraživanjima može se smjestiti u jednu od četiri navedene skupine.
Kao što je uloga mobilnog uređaja u svakom postupku jasno definirana, što smo
upravo pokazali, isto tako zakon jasno propisuje korake provođenja forenzičkog ispitivanja.
11
Ovi koraci se moraju poštovati i striktno slijediti kako bi se rezultati ispitivanja mogli smatrati
ispravnima i iskoristivima u slučaju. Kao i u prethodnom slučaju, koraci provođenja
forenzičkog ispitivanja mogu se razlikovati u različitim državama. Bez obzira na te razlike,
bazirani su na istim temeljima i to [3]:
Prikupljanje, skladištenje i očuvanje digitalnih dokaza – ovaj korak
podrazumijeva pravilno dohvaćanje podataka s mobilnih uređaja, zatim sigurnu
pohranu te osiguranje podataka da ostanu u izvornom obliku bez obzira na
analize koje će se provoditi.
Forenzičko prikupljanje dokaza – ovaj korak podrazumijeva izdvajanje
relevantnih digitalnih dokaza iz ukupnog digitalnog zapisa preuzetog sa
mobilnog uređaja. Također kompletan postupak dohvaćanja provodi se po
pravilima struke forenzike mobilnih uređaja.
Ispitivanja i analiza dokaza – u ovom koraku provode se višestruke analize
nad digitalnim dokazima. Na osnovi ovakvih analiza potvrđuju se ili
demantiraju određene teze postavljene vezano uz slučaj ili se dolazi do potpuno
novih saznanja. Važno je napomenuti da se ponavljanjem ovih analiza od strane
treće osobe uvijek moraju dobiti identični rezultati.
Mišljenje i zaključci stručnog osoblja – nakon provedenih analiza, u ovom
koraku se dobiveni rezultati daju na razmatranje stručnjacima. Na osnovi tih
rezultata potrebno je iznijeti stručno mišljenje, te donijeti konačan zaključak.
Kao što smo već ranije napomenuli, zakonske osnove forenzike mobilnih uređaja nisu
identične za sve slučajeve, stoga i dolazi do dodatnih podjela ove grane. U nastavku ćemo
prikazati koja je osnovna podjela forenzike mobilnih uređaja na osnovi zakonskih okvira.
3.1. Podjela forenzike mobilnih uređaja na osnovi zakonskih okvira
S ovog stajališta forenziku mobilnih uređaja moguće je podijeliti na dva osnovna područja.
Prvo područje odnosi se na opće, odnosno javne slučajeve, nasuprot tome su korporativni
slučajevi vezani uz određena poduzeća.
12
3.1.1. Opća mobilna forenzika
Ovaj oblik mobilne forenzike primjenjuje se kod forenzičkih ispitivanja slučajeva šire
javnosti. Zasnovan je na metodologiji korak po korak, a sastoji se od četiri osnovne faze i to:
početno istraživanje, praćenje osumnjičenika, otkrivanje počinitelja i hvatanje počinitelja.
Svaki od ovih koraka mora biti proveden prema zakonskim propisima i regulativama. Opća
mobilna forenzika provodi se prema sljedećim zakonima: Zakon o borbi protiv internetskog
kriminala, Zakon o elektronskoj komunikaciji, Zakon o zaštiti i tajnosti informacija, Zakon o
zaštiti informacijskih sustava, Zakon o internetskoj trgovini, Zakon o digitalnom potpisu te
Zakon o digitalnim dokazima.
Do pokretanja forenzičkog istraživanja ovog tipa može doći na osnovi izdanog sudskog
naloga ili na osnovi policijskog otkrića. Nakon toga slijedi prva faza u kojoj se prikupljaju
dokazi vezani uz slučaj. Nakon toga se iz prikupljenih dokaza određuje počinitelj, koji
ponekad u nedostatku informacija može biti definiran i kao nepoznat. Ukoliko se iz
prikupljenih dokaza ne može sa sigurnošću ustvrditi tko je počinitelj, u idućem koraku se, uz
sudski nalog, može zatražiti zapljena mobilnog uređaja osumnjičenika. Tada se pristupa
ponovnom prikupljanju i obradi dokaza. Nakon naknadnih analiza utvrđuje se je li
osumnjičeni ujedno i počinitelj kaznenog djela. Nerijetko se dogodi da se i nakon svih
prikupljenih dokaza ne može sa sigurnošću odgovoriti tko je počinitelj, tada se pristupa ili
prikupljanju dodatnih dokaza iz nekih novih izvora ili se rade ponovne analize na postojećim
dokazima kako bi se ustvrdilo je li došlo do kakvih propusta prilikom prve analize.
3.1.2. Korporativna forenzika mobilnih uređaja
Korporativna forenzika mobilnih uređaja je drugi oblik forenzike mobilnih uređaja
proizašao iz podjele na zakonskoj osnovi. Kao što se iz naziva može vidjeti, ovaj oblik
forenzike se odnosi na slučajeve vezane uz neko poduzeće, odnosno korporaciju. Općenito
gledano, korporativna forenzika mobilnih uređaja ne razlikuje se previše od opće. Štoviše, tri
faze identične su općoj mobilnoj forenzici. Najveća razlika između ova dva tipa forenzike jest
13
u pristupu podacima. Korporativni podaci najčešće su poslovna tajna i zaštićeni su
sigunostima lokalne mreže. Kako bi se nad takvim podacima uopće mogla provoditi
forenzička istraživanja, potrebna je suradnja korporativnih IT stručnjaka. Nerijetko je za
pristup korporativnim podacima potrebno i potpisivanje izjave o tajnosti podataka te povećani
oprez pri iznošenju tih podataka iz samog poduzeća.
Postupci provođenja korporativne forenzike mobilnih uređaja uvelike ovise o tipu mreže,
stoga se razlikuju tri različita tipa mreže [3]:
CDMA (eng. Code Division MultipleAccess) – mobilni uređaji koji
funkcioniraju na ovom obliku mreže nemaju SIM modul, odnosno nemaju potrebu
za SIM karticom. Takvi tipovi uređaja sve podatke imaju pohranjene u svojoj
memoriji. Ovaj tip mreže osnovan je u SAD-u.
GSM (eng. Global System for Mobile communicatio) – GSM tip mreže
karakterističan je za europske države, a za razliku od prethodno opisane mreže
zahtijeva SIM karticu, što podrazumijeva da je dio podataka pohranjen na kartici,
a dio na uređaju.
IDEN (eng. Integrated Digital Enhanced Network) – ovaj tip mreže koristi
napredni SIM modul razvijen od strane Motorolinih inžinjera.
14
4. Manipulacija digitalnim zapisima na pametnim telefonima
Idući vrlo bitan pojam koji se veže uz forenziku mobilnih uređaja je manipulacija
digitalnim zapisom na mobilnom uređaju. U ovom konkretnom slučaju obradit će se
manipulacija digitalnih zapisa na pametnim telefonima. Prije svega potrebno je odgovoriti na
pitanje što je to zapravo manipulacija digitalnim zapisom. Manipulacija bilo kojim digitalnim
zapisom, pa tako i onima na pametnim telefonima, predstavlja izmjenu, brisanje ili
neovlašteno korištenje digitalnog zapisa. Kao i kod dohvaćanja podataka, brisanje ili izmjenu
podataka moguće je napraviti na više načina. Prvi i jednostavniji način je direktnom
interakcijom na pametnom telefonu. U ovom slučaju mogućnosti za manipulaciju su znatno
manje, a kao i kod dohvaćanja, ograničen je skup podataka kojima je moguće pristupiti.
Manipulacija podacima na način da se pametni telefon spoji preko nekog drugog uređaja,
najčešće računala, daje mogućnost znatno veće interakcije s podacima, a i skup podataka
prema kojem je omogućen pristup je znatno širi.
Prema određenim istraživanjima i predviđanjima stručnjaka i ljudi iz prakse, upravo će
manipulacija digitalnim zapisima biti sljedeće doba digitalnog kriminala. Jedan od razloga za
ovakav smjer razmišljanja je i količina digitalnog sadržaja koja se na dnevnoj bazi generira u
svijetu. Kako bismo ovom podatku dali pravo značenje, potrebno ga je izraziti u brojčanim
vrijednostima. Tako možemo reći da se u svijetu dnevno generira 2,5 kvintilijuna bajtova
podataka [6]. Ukoliko želimo ovaj podatak malo detaljnije pojasniti, možemo reći da se radi o
devetnaestoznamenkastom broju. Ukoliko pak želimo biti slikovitiji, kada bismo ovu količinu
podataka pohranili na blu-ray diskove i zatim te diskove poslagali jednog na drugog, dobili
bismo visinu od četiri Eiffelova tornja. Prema istom izvoru navodi se da je porast količine
podataka koji se svakodnevno generira četverostruko brže rastući od svjetske ekonomije, što
nas dovodi do činjenice da je 90% ukupnog digitalnog sadržaja generirano u zadnje dvije
godine.
Prema još jednom provedenom istraživanju možemo prikazati kako mega-divovi, kao što
su Google, Facebook, Twitter, YouTube, Apple i ostali utječu na kreiranje ovih brojki.
Jedinica vremena u kojoj su podaci iskazani je jedna minuta [7].
15
Unutar jedne minute Google zaprimi oko 4 milijina upita.
Facebook korisnici u istom periodu podijele oko 2,5 milijuna obavijesti.
Na Twitteru se zabilježi oko 300.000 tvitova.
Na Instagramu se podijeli oko 220.000 novih fotografija.
YouTube korisnici u minuti objave oko 72 sata novih video zapisa.
S Appleove trgovine aplikacija zabilježi se oko 50.000 novih preuzimanja.
Putem e-pošte se pošalje oko 200 milijuna novih poruka.
Amazon zabilježi prodaju u vrijednosti od oko 80.000 američkih dolara.
Ono što je svakako potrebno napomenuti jest činjenica da se veliki dio ovih akcija nad
digitalnim sadržajem odradi putem mobilnih uređaja, odnosno konkretno putem pametnih
telefona. Upravo je to razlog zašto se smatra da će u budućnosti manipulacija digitalnim
sadržajem i to na pametnim telefonima postati sve učestaliji izvor digitalnog kriminala.
Kao što smo prikazali da se na dnevnoj bazi generiraju velike količine digitalnih
podataka, isto možemo reći i za manipulaciju digitalnim zapisom. Takav oblik manipulacije
podacima postao je dio naše svakodnevnice. Društvene mreže, ali i mediji su zatrpani slikama
i video zapisima koji prikazuju prizore paranormalnih događaja, a čija se autentičnost najčešće
ne može potvrditi. Upravo su ovo najosnovniji oblici manipulacije digitalnim zapisima.
Ovakvi oblici manipulacije najčešće ne predstavljaju veće probleme te ne izazivaju nikakve
veće štete, zapravo glavni cilj im je povećanje broja posjeta određenim portalima i stranicama.
Za razliku od navednog postoje manipulacije podacima uz koje se vežu znatno veći problemi i
financijske štete. Tako bilježimo slučajeve gdje su znanstvenici lažirali rezultate svojih
ispitivanja, te ih kako takve javno objavili i na osnovi toga preuzeli razne materijalne i
nematerijalne nagrade. Manipulacije podacima bilježimo i u bankarskom svijetu, gdje se radi o
kolanju velike količine financijskih sredstava i uvijek predstavljaju vrlo atraktivnu metu
ovakvog ilegalnog postupanja s podacima.
16
Što se tiče manipulacije digitalnim zapisom na pametnom telefonu, ona se u osnovi ne
razlikuje od prethodno navedenih primjera. Do značajnijih razlika ipak dolazi kad se radi o
tipovima podataka koji su specifični samo za taj tip uređaja. U nastavku ćemo pokazati neke
od tih specifičnih manipulacija vezanih isključivo za pametne telefone.
4.1. Manipulacija listom poziva
Današnji korisnici, uz sve funkcionalnosti koje im jedan uređaj kao što je pametan
telefon pruža, vrlo lako smetnu s uma koja je njegova glavna funkcionalnost. Naravno, radi se
o funkcionalnosti primanja i odašiljanja telefonskih poziva. Svaki uspostavljeni, ali i
neuspostavljeni poziv bilježi se na uređaju i korisnik ga može vidjeti na listi poziva. Tu se
bilježe svi odlazni, dolazni, kao i propušteni pozivi, te detalji vezani uz njih. Uz određene
aplikacije, tu listu poziva je moguće na određenim uređajima izmijeniti. Kao primjer ćemo
uzeti iPhone uređaj i aplikaciju The FakeHistory koju je moguće pronaći na Cydia store-u [8].
Ova aplikacija prati i bilježi sve dolazne i odlazne pozive sa svim popratnim podacima.
Pomoću aplikacije korisnici mogu pristupiti toj listi zabilježenih poziva (phone's call logs).
The FakeHistory omogućuje korisniku da s te liste poziva obriše neke pozive, što je
funkcionalnost koja je izvediva i preko samog uređaja. Međutim ova aplikacija omogućava
korisniku unos novog, u stvarnosti nepostojećeg poziva te pohranu istoga kao da je stvarno
odrađen. U izborniku aplikacije se odabere zapis novog poziva. Nakon toga se otvara izbornik
za unos podataka vezanih uz poziv. Tu se unose podaci o broju s kojim je kontakt
uspostavljen, zatim tip poziva, odlazni ili dolazni. Uz ove podatke unose se još i oni vezani uz
vremensku dimenziju, kao što je vrijeme i datum poziva te trajanje istoga. Ovako popunjeni
podaci se mogu pohraniti i nakon toga će biti vidljivi na listi poziva te će izgledati potpuno
identično kao i stvarno uspostavljeni poziv. Uz navedene mogućnosti, kroz aplikaciju je
moguće otvoriti neki od postojećih poziva i na njemu izvršiti izmjene na svim popratnim
podacima. Tako pohranjen poziv će na listi poziva biti vidljiv s novo unešenim podacima.
Potrebno je napomenuti da je aplikacija komercijalna, ali ju je moguće kupiti uz vrlo male
troškove.
17
4.2. Manipulacija GPS podacima
Uz pozive, druga bitna funkcionalnost pametnih telefona je pristup i mogućnost
pretraživanja internetskih stranica. Za osnovnog korisnika, barem na prvi pogled, ne postoji
direktna povezanost između pretraživanja internet stranica i GPS podataka. Međutim, situacija
je upravo suprotna. Naime funkcionalnosti, pa i sadržaj određenih internet stranica se
mijenjaju s obzirom na lokaciju na kojoj se uređaj nalazi. Isto vrijedi i za veliki broj različitih
aplikacija koje korisnici instaliraju na svoje uređaje. Kao primjer, početna stranica Google-a
će izgledati drugačije i definitivno će se drugačije ponašati s obzirom u kojem dijelu svijeta,
pa čak i u kojoj državi se nalazite. Također, kao što je već spomenuto, ista je stvar s
aplikacijama, što je vidljivo prilikom samog instaliranja aplikacije pri čemu će ista najčešće
zahtijevati pristup GPS podacima. Uz pristup, dio aplikacije će te podatke i pohranjivati.
Kao i kod liste telefonskih poziva, i GPS podacima na pametnom telefonu je moguće
manipulirati [9]. Ukoliko za primjer uzmemo uređaj koji se zasniva na Android platformi,
onda će taj proces izgledati ovako. Prije svega, ukoliko to već nije napravljeno, potrebno je
omogućiti pristup razvojnim opcijama uređaja. To se može napraviti ulazom u Postavke (eng.
Settings) uređaja, potom u tab O uređaju (eng. About device), na polju Broj verzije (eng. Build
number) napraviti sedmerostruki klik. Povratkom na izbornik Postavki vidjet ćemo da se
pojavio novi tab pod nazivom Opcije razvoja (eng. Developer options). Ulaskom u taj tab
možemo pronaći opciju pod nazivom Dozvoli lažne lokacije (eng. Allow mock locations). Ovo
polje je sada potrebno označiti kvačicom. S ovime smo završili postavljanje uređaja te je za
daljnje operacije potrebno instalirati neku od aplikacija namijenjenu za ovakve manipulacije.
Jedna od mnogih na tržištu je Fake GPS Location Spoofer Free. Aplikacija je vrlo jednostavna
za instalaciju i korištenje. Prilikom pokretanja, aplikacija će nas zatražiti da uključimo GPS
lokator te isključimo Wi-Fi ukoliko je uključen. Nakon što se to odradi moguće je nastaviti
dalje kroz izbornik te doći do mjesta gdje je potrebno odabrati Metodu lociranja (eng.
Locating method). Postoji nekoliko ponuđenih opcija, ali potrebno je odabrati polje Samo GPS
(eng. GPS only). Nakon toga pritiskom na prihvaćanje na ekranu uređaja se pojavljuje mapa,
na kojoj jednostavno možemo kliknuti na lokaciju i odabrati mjesto koje će uređaj bilježiti kao
18
trenutnu lokaciju. Sve aplikacije koje koriste GPS podatke će odabranu lokaciju vidjeti kao
trenutnu.
4.3. Otkrivanje pristupnih podataka
Još jedan oblik manipulacije podacima na pametnim telefonima ne odnosi se direktno
na brisanje ili promjenu podataka, već na dohvaćanje podataka za koje korisnik ponekad nije
niti svjestan da postoje na njegovom uređaju. Radi se o pristupnim podacima (user name i
password) vezanima uz određene aplikacije. Za ovaj primjer ponovno ćemo uzeti uređaj
baziran na Android platformi. Kao i kod prethodnih primjera, odabrat ćemo jednu od
aplikacija koje se trenutno nalaze na tržištu. Ovoga puta to je Dalvik Debug Monitor Server
[10]. Radi se o aplikaciji prvenstveno namijenjenoj za otklanjanje grešaka u kodu na
aplikacijama namijenjenima za pametne telefone. Pomoću ove aplikacije moguće je izvršiti i
neke već ranije spomenute oblike manipulacije, isto kao i snimanje kompletne digitalne slike
pametnog telefona.
Kao i na prethodnim primjerima, prije bilo kakvih aktivnosti, potrebno je na pametnom
telefonu promijeniti određene postavke. To možemo napraviti tako da se na uređaju u
izborniku odaberu Postavke (eng. Settings), u kojima je potrebno ući u izbornik Opcije
razvoja (eng. Developer options), a potom pronaći opciju USB ispravljanje grešaka (eng. USB
debugging). Ovu upciju je zatim potrebno aktivirati. Sljedeći korak je spajanje pametnog
telefona s računalom, na kojem moramo imati instaliran Dalvik Debug Monitor Server. Pri
konekciji DDMS će automatski prepoznati naš uređaj i prikazati njegov identifikacijski broj
(IMEI), te verziju Android sustava. U ovom trenutku može se izvršiti snimanje digitalne slike
uređaja. Nakon snimanja slike, pomoću aplikacije je moguće pretraživati sve oblike memorije
na uređaju. Pretraživanjem tih memorija, između ostaloga, moguće je doći i do podataka o
pristupanjima svim aplikacijama instaliranima na uređaju. Za neke od aplikacija, koje kao
zaštitu za pokretanje koriste autorizaciju, moguće je dohvatiti pristupne podatke, korisničko
ime i lozinku.
19
Prikazana su tri primjera manipulacija različitim tipovima podataka - pozivi, GPS
lokacije i dohvaćanje autorizacijskih podataka. Procesi manipulacije ostalim tipovima
podataka mogu se poistovijetiti s nekima već navedenima. Popisom SMS ili MMS poruka
moguće je manipulirati na poprilično sličan način kao i listom poziva.
4.4. Zaštita od manipulacije digitalnim zapisom na pametnom telefonu
U dosadašnjem tekstu prikazano je kolika je važnost pametnih telefona za njihove
današnje korisnike, bez obzira radi li se o privatnom ili poslovnom korištenju. Također
pokazali smo koliko bitnih podataka se danas putem tih uređaja kreira, prenosi i pohranjuje, a
ono što je najbitnije, pokazali smo koliko velika je opasnost od manipulacije tim podacima.
Kako bi se taj oblik manipulacije sveo na minimum, u nastavku ćemo prikazati neke od
korisnih savjeta za zaštitu pametnih telefona i podataka koje sadrže.
Zaključavanje ekrana – ovo je jedna od osnovnih i najjednostavnijih oblika
zaštite pametnog telefona. Svakako je potrebno urediti postavke da se uređaj sam
zaključava nakon određenog vremena nekorištenja. Dodatna opcija je i
onemogućavanje unosa lozinke nakon višestruke pogreške pri unosu.
Jaka lozinka – prilikom postavljanja lozinke na bilo koji dio uređaja, potrebno je
voditi računa o jakosti lozinke. Na internetu je moguće pronaći velik broj savjeta o
izgradnji kvalitetne jake lozinke. Odabir takve lozinke poprilično će otežati
pokušaje pristupa podacima na uređaju. Također vrlo bitna stvar vezana uz lozinku
je njezino redovito mijenjanje, ovisno o važnosti lozinke radi se o periodu od svaka
2 do 3 mjeseca pa do pola godine.
Opreznost prilikom korištenja Wi-Fi-a – uvijek je potrebno voditi računa preko
kojeg tipa mreže se spajamo. Najpoželjnije je koristiti poznate i sigurne mreže.
Prilikom spajanja na slobodne Wi-Fi mreže uvijek treba voditi računa o
20
operacijama koje se izvode. Na takvim mrežama se svakako preporuča izbjegavati
spajanja na bankovne aplikacije, te provođenje financijskih transakcija.
Redovna nadogradnja uređaja – s pojavom novih prijetnji, uvijek se javljaju i
nadogradnje koje sprječavaju njihovo štetno djelovanje. Zato je vrlo bitno raditi
redovnu nadogradnju uređaja i aplikacija za njihovu zaštitu, kako bismo uvijek
imali njihovu najažurniju verziju.
Aplikacije namijenjene zaštiti od krađe uređaja – ovo je specifičan tip
aplikacija namijenjenih zaštiti pametnih telefona, a osnovna funkcionalnost im je
zaštita uređaja od krađe. Ove aplikacije su u stanju dojaviti poziciju ukradenog
uređaja, poslati SMS ukoliko se promijeni SIM kartica, a također ove aplikacije
mogu odraditi dodatno zaključavanje uređaja, kako bi se spriječio pristup
podacima.
Oprez prilikom skidanja i instaliranja aplikacija – opreznost prilikom
preuzimanja aplikacija s interneta vrlo je bitna. Preporuča se preuzimanje samo
dobro poznatih aplikacija te preuzimanja samo s poznatih i sigurnih stranica.
Također je dobro prije samog preuzimanja istražiti što više informacija vezanih uz
aplikaciju.
Enkriptiranje važnih podataka – za rad s osjetljivim važnim podacima svakako
se preporuča korištenje neke od aplikacija za enkriptiranje sadržaja koji prolazi
komunikacijske kanale, ali ponekad i cijeloga diska.
21
5. Studija slučaja: forenzika pametnih telefona
U ovom poglavlju prikazat ćemo korake forenzike pametnih telefona na konkretnom
primjeru. Kao alat za dohvaćanje, obradu i analizu podataka koristi ćemo MOBILedit Forensic
o kojem ćemo nešto više reći kasnije. Pametni telefon na kojem će se forenzička ispitivanja
vršiti je Samsung Galaxy Note GT-N7000. Uređaj radi na android platformi i to verziji 4.1.2.
Potrebno je napomenuti kako je uređaj tri godine u aktivnoj upotrebi, što ga čini vrlo
zanimljivim materijalom za forenzičko analiziranje.
5.1. O uređaju – Samsung Galaxy Note GT-N7000
Prije kretanja u bilo kakav oblik interakcije sa samim uređajem, pa tako i forenzičkih
ispitivanja i analiza, potrebno se detaljno upoznati sa uređajem na kojem će se analize
provoditi. Potrebno je napomenuti da se prilikom odabira uređaja u obzir uzela činjenica o
periodu njegovog aktivnog korištenja, s pretpostavkom da će uređaj s duljim periodom
korištenja imati veću količinu materijala za analizu. U nastavku ćemo prikazati osnovne
podatke iz specifikacije uređaja.
Mrežna tehnologija – GSM/HSPA/LTE
Dimenzije (mm) – V: 146.9, Š: 83, D: 9.7
Težina (g) - 178
Zaslon – 5.3 inches
CPU – 1.4 GHz Dual-core
Memorija – Interna: 16GB, SD kartica: 16GB
RAM – 1 GB
Baterija – Li-Ion, 2500 mAh
USB – microUSB v. 2.0
WLAN – Wi-Fi 802.11, dual-band, Wi-Fi Direct, hotspot
Rezolucija – 800 x 1200
22
Nadalje, s obzirom da se radi o uređaju koji je baziran na android platformi, potrebno
je nešto reći i o tom dijelu. Na uređaju koji će se koristiti prilikom ispitivanja i analiza
instalirana je verzija 4.1.2. (Jelly Bean). Neovisno o verziji, Android je operacijski sustav
baziran na Linuxima, a namijenjen je prvenstveno mobilnim uređajima poput tableta i
pametnih telefona. Android je kao samostalna firma osnovan 2003. Njegovi osnivači u
početku su imali ideju o razvoju programa namijenjenog za digitalne kamere. Ideja kao takva
nije zaživjela i firma je došla pred rub propadanja kad ju je 2005. kupio Google. Od tada su
krenuli u razvoj operacijskog sustava namijenjenog mobilnim uređajima, što ih je u konačnici
dovelo do Androida kakvog danas poznajemo. Na tržištu se nedavno (08/2016) pojavila i
najnovija verzija 7.0 (Nougat).
Iako su opće karakteristike operacijskog sustava od velike važnosti za provedbu
forenzičkih ispitivanja, još bitnijim možemo smatrati mjesta pohrane podataka koji se
preuzimaju prilikom forenzičkih ispitivanja. Iz navedenog razloga u nastavku donosimo
tablicu u kojoj ćemo definirati mjesta na kojima Android operacijski sustavi pohranjuju
određene tipove podataka.
Tablica 1. Lokacije pohrane – Android
Tip podatka Lokacija
Računi (eng. Accounts) /root/system/accounts.db
Povijest pretraživanja (eng. Browser history)
/root/data/com.android.browser/databases/browser.db
Kontakti (eng.
Contacts)
/root/data/com.android.providers.contacts/databases/
contacts2.db
E-pošta (eng. Email) /root/data/com.android.email/databases/EmailProvider.db
SMS/MMS /root/data/com.android.providers.telephony/databses/
mmssms.db
23
Kalendar
(eng.Calendar)
/root/data/com.android.providers.calendar/databases/
calendars.db
5.2. MOBILedit Forensic
MOBILedit Forensic je alat namijenjen forenzičkoj analizi mobilnih uređaja. Osnovna
karakteristika ovog alata je jednostavnost rada te prilagođenost prosječnom korisniku, dok s
druge strane iskusnijim korisnicima pruža mogućnosti i funkcionalnosti identične drugim
srodnim alatima. Pomoću ovog alata moguće je prikupljanje, pregled, analiza i pretraga
podataka s mobilnih uređaja pomoću gotovo svega nekoliko klikova.
Pomoću MOBILedit Forensic alata moguće je s uređaja dohvatiti sljedeće skupine
podataka[12]: povijest telefonskih poziva, popis kontakata iz telefonskog imenika, tekstualne
poruke, multimedijske poruke, dokumente, podatke iz kalendara ili notesa, podatke s
podsjetnika te sirove podatke vezane uz aplikacije instaliran na uređaju. Također, ovaj alat
prepoznat će identifikacijske podatke sa uređaja, kao što su IMEI broj, tip operacijskog
sustava te njegovu verziju. Uz MOBILedit Forensic alat također je moguće dohvatiti i podatke
koji su obrisani s mobilnog uređaja; kao primjer možemo uzeti tekstualne poruke ili digitalne
fotografije. Pomoću ovog alata možemo zaobići lozinke ili PIN-ove postavljene da bi se
zaštitili podaci.
U nastavku ćemo prikazati neke karakteristike zadnje verzije ovog alata, prema kojima ga
prezentira proizvođač [12].
Podržava širok spektar uređaja – zadnja verzija ovog alata podržava točno 3.389
različitih uređaja, a pri tome nije baziran niti na jednog konkretnog proizvođača
uređaja ili operacijskih sustava. MOBILedit kompatibilan je sa uređajima
baziranima na Android, iOS, Blackberry, Symbian, Windows Mobile, Bada,
Meego te mnogim drugim platformama.
24
Omogućava dohvaćanje sirovih aplikacijskih podataka – pomoću ovog alata
moguće je dohvatiti listu aplikacija instaliranih na uređaju. Osim toga moguće je
dohvatiti sirove podatke s tih aplikacije, kao što su naprimjer Dropbox, Evernote,
Skype, WhatsApp i drugih.
Zaobilaženje PINA prilikom analize SIM kartice – s MOBILedit alatom
moguće je preuzeti podatke sa SIM kartice ili kreirati kopiju iste bez obzira ima li
kartica postavljenu PIN zaštitu.
Dohvaćanje podataka bez ikakvog prisustva uređaja (iOS) – jedna od
specifičnosti ovog alata je da je u mogućnosti dohvatiti određene podatke sa
uređaja, a da sam uređaj zapravo niti nemate. Ova funkcionalnost odnosi se
isključivo na korisnike iPhone uređaja i to na one koji su se bar jednom spajali na
iTunes. Razlog tome je što iTunes prilikom spajanja kreira sigurnosne kopije, a
pomoću ovog alata moguće je te kopije dohvatiti s iTunesa.
Dohvaćanje kontakata s različitih aplikacija bez znanja autorizacijskih
podataka – ukoliko na uređaju imate korisnički račun na nekom od servisa ili
društvenih mreža kao što su Facebook, Gmail, Skype i slično, pomoću ovog alata
moguće je dohvatiti podatke o kontaktima s tih aplikacija bez poznavanja
identifikacijskih podataka kao što su korisničko ime i lozinka.
Raznolikost tipova spajanja uređaja s računalom – kako bi se mogla napraviti
analiza mobilnog uređaja putem MOBILedit alata potrebno je uređaj spojiti s
računalom na kojem je on instaliran. Ponekad to može biti problem ako kod sebe
nemamo USB kabal ili ponekad USB komunikacija sa računalom može biti
onemogućena. MOBILedit pruža mogućnost spajanja uređaja s računalom putem
Wi-Fi mreže, pri čemu funkcionalnost alata nije smanjena.
Snažna SIM analiza i dohvaćanje podataka sa SIM kartice – pomoću ovog
alata moguće je dohvatiti niz podataka sa SIM kartice i to bez znanja PIN koda. Pa
je tako pomoću analize SIM kartice moguće dohvatiti sljedeće podatke: IMSI,
ICCID, LAI, PIN, PUK i listu poziva.
Kompatibilnost s drugim alatima – MOBILedit Forensic alat omogućuje
dohvaćanje i pohranu podataka u formatima koji su kompatibilni s nekim drugim
alatima čija je funkcija analiza podataka.25
Kvalitetna podrška – prilikom instalacije ovog alata dobit ćete kvalitetnu podršku
u obliku uputa i pomoći oko same instalacije, kao i daljnjeg rada s alatom.
Također, prilikom instalacije alata u paketu se pruža mogućnost instaliranja svih
potrebnih popratnih dodatka (drivers) koji ovise o tipu uređaja kojeg želite
analizirati.
5.3. Koraci digitalne forenzike pametnog telefona
Prije kretanja u forenzička ispitivanja potrebno je na računalu instalirati MOBILedit
Forensic alat. Alat je moguće pronaći na adresi http://www.mobiledit.com/forensic, gdje je
moguće i skinuti njegovu probnu besplatnu verziju. Probna verzija koju dobijete na korištenje
ima potpunu funkcionalnost kao i kupljeni alat, uz vremensko ograničenje korištenja.
Instalacija alata na računalo prililično je jednostavna i ne traje dugo.
5.3.1. 1. Korak – početak rada s MOBILedit Forensic alatom
Nakon instalacije i pokretanja alata pred nama će se pojaviti početni ekran MOBILedit
alata, a koji izgleda kao što je prikazano na Slici 1. S lijeve strane nalazi se osnovni izbornik
dok je centralni dio predviđen za provođenje funkcija analize podataka što je moguće tek
nakon spajanja mobilnog uređaja.
26
Slika 1. Početak rada u MOBILedit Forensic alatu
Kako bismo po prvi puta započeli s radom u ovom alatu, moramo se pozicionirati na
polje Start u izborniku, što će prilikom pokretanja alata pri prvom korištenju automatski i biti
postavljeno. U tom slučaju na središnjem dijelu ekrana nudit će nam se samo jedna
funkcionalnost, a to je konekcija (eng. Connect) novog uređaja.
Spajanje novog uređaja provodi se kroz nekoliko koraka, pri čemu alat vodi korisnika kroz
sve korake te ih čini vrlo jednostavnima.
27
Slika 2. Spajanje mobilnog uređaja – prvi dio
Spajanje mobilnog uređaja s alatom odvija se kroz nekoliko koraka, od čega su prva dva
prikazana na Slici 2. U prvom koraku potrebno je odabrati operacijski sutav na kojem je uređaj
baziran. U našem slučaju radilo se o Androidu. Nakon toga slijedi odabir načina spajanja, što
je u našem slučaju USB kabal. O ostalim mogućnostima spajanja već smo nešto ranije
spomenuli kod predstavljanja MOBILedit Forensic alata. U sljedećem koraku, što je prikazano
na Slici 3, potrebno je odraditi određene pripreme na samom uređaju, odnosno potrebno je
omogućiti pristup razvojnim opcijama uređaja. To možemo napraviti sedmerostrukim klikom
na polje Broj verzije koje možemo naći u izborniku O uređaju. Nakon toga slijedi skeniranje
spojenih uređaja. U ovom trenutku mobilni uređaj već mora biti spojen USB kablom s
računalom. Skeniranje će potrajati određeno vrijeme, ali nije potrebno čekati da se dovrši. U
trenutku kada se uređaj pojavi na listi moguće ga je odabrati klikom i u tom trenutku se
skeniranje automatski prekida.
28
Slika 3. Spajanje mobilnog uređaja – drugi dio
Nakon što odaberemo uređaj iz liste alat će nam ponuditi dva načina spajanja sa uređajem.
Prvi način je jednostavniji, ali s ograničenim pristupom podacima. Drugi način je spajanje s
potpunim pristupom podacima, međutim on zahtijeva instalaciju aplikacije na mobilni uređaj.
Aplikaciju nije potrebno posebno nabavljati, već će se s odabirom ove opcije spajanja ista
početi instalirati na mobilni uređaj. Naziv aplikacije je Forensic Connector i u našem slučaju
na uređaj je instalirana njena verzija 1.1.42 – 20354(F).
Nakon ovog koraka ponovno ćemo se naći u glavnom izborniku alata, međutim sada ćemo
vidjeti podatke uređaja na koji smo se upravo spojili, što je prikazano na Slici 4.
29
Slika 4. Početni ekran nakon spajanja uređaja.
Kao što je vidljivo na slici, sada kroz glavni izbornik, koji je smješten s lijeve strane,
možemo pristupiti različitim dijelovima mobilnog uređaja, kao što su: Imenik (eng.
Phonebook), popis poziva (eng. Call logs), poruke (eng. Messages), aplikacije (eng.
Applications), dokumenti (eng. Files) i podaci sa SIM kartice. U središnjem dijelu prikazuju
nam se osnovni podaci o uređaju, uključujući sliku uređaja, stanje baterije, signala,
memorijskog prostora te IMEI broj. Kraj toga možemo vidjeti podatke o proizvođaču i modelu
uređaja. Tu su također i podaci o operateru, vrsti mreže, tipu i verziji operacijskog sustava. Na
desnom dijelu ekrana vidimo ikone preko kojih je također moguće pristupiti različitim
dijelovima uređaja. Na ovom mjestu mogu se vidjeti i ikone za pristup SIM kartici s njezinim
identifikacijskim brojevima. Tu se još nalaze i četiri dodatne opcije i to: deinstalacija
konektora s uređaja, izrada novih izvještaja, pregled postojećih izvještaja, snimanje trenutnog
ekrana uređaja.
Ono što je u ovom trenutku svakako potrebno napomenuti jest činjenica da podaci još nisu
preuzeti s uređaja. Trenutno možemo pristupiti svim podacima koje smo prethodno u tekstu
spomenuli, međutim odspajanjem mobilnog uređaja s računala gubi se i pristup podacima.
Kako bismo to izbjegli, podatke je potrebno preuzeti s uređaja i pohraniti na računalo.
30
5.3.2. 2. Korak – preuzimanje podataka s mobilnog uređaja
Sljedeći korak u digitalnoj forenzici mobilnih uređaja podrazumijeva preuzimanje
podataka s mobilnog uređaja te pohranu istih na računalo. Ovaj korak neophodno je provesti
kako bi se nad podacima mogle vršiti daljnje analize bez rizika da će se izvorni podaci na
uređaju promijeniti ili izgubiti. Preuzimanje podataka s mobilnog uređaja može se raditi
parcijalno ili cjelovito, pri čemu treba uzeti u obzir činjenicu da cjeloviti prijenos podataka
može potrajati nekoliko sati te postoji opasnost od pucanja prijenosa što u konačnici može
dovesti do oštećenja podataka. Nakon prijenosa, prije kretanja u bilo koji oblik analize ili
pretrage podataka, poželjno je napraviti sigurnosnu kopiju koju je potrebno pohraniti na strani
medij. Postupak prijenosa podataka prikazan je na Slici 5.
Slika 5. Preuzimanje podataka s mobilnog uređaja na računaloPokretanjem funkcije preuzimanja podataka (eng. Data acquire), otvorit će nam se prozor
postavki preuzimanja. Ovdje je potrebno odabrati koje podatke želimo preuzeti s uređaja, kao
što smo već napomenuli preuzimanje može biti parcijalno ili cjelovito. Preuzimanje podataka
sa SIM kartice predstavlja zasebnu opciju, ali moguće ga je provesti u jednom koraku s
ostalim podacima. U ovom trenutku potrebno je odabrati lokaciju na kojoj će se podaci 31
pohraniti. U našem slučaju preuzimanje je pušteno za sve podatke, osim za one sa SIM kartice
i taj proces trajao je nešto više od tri sata (03:06:19 h). Po završetku preuzimanja, preuzetom
setu podataka je potrebno dodijeliti naziv i opcionalno još neke informacije te ga kao takvoga
pohraniti. Svaki preuzeti set podataka spremit će se kao novi Slučaj/Predmet (eng. Case) te ga
je u tom folderu kasnije moguće pronaći. Kada su podaci jednom preuzeti s mobilnog uređaja,
nad njima je moguće raditi analize i izvještaje bez da je mobilni uređaj spojen sa računalom.
Svakako je potrebno napomenuti, s obzirom da samo radili na probnoj verziji (eng. Trial), da
je određene analize nad preuzetim podacima moguće raditi i po isteku probnog perioda s time
da uređaj tada radi u takozvanom ograničenom modu (eng. Lite mode). U ovom modu nije
moguće novo preuzimanje podataka s mobilnog uređaja niti je moguće spajanje novog
mobilnog uređaja.
Slika 6. Aktivacija alata MOBILedit Forensic
Kao što smo već spomenuli, u ovom modu rada mogućnosti alata su ograničene. Na
poveznici koju vidimo na Slici 5. možemo doći do konkretnih ograničenja koje nam alat
nakon isteka probnog roka pruža.
5.3.3. 3. Korak – analiza preuzetih podataka sa mobilnog uređaja
Korak analize podataka predstavlja najkompleksniji i najopsežniji korak digitalne
forenzike mobilnih uređaja. Cilj ovog koraka je iz ukupnih preuzetih podataka izvući podatke
32
koji mogu biti potencijalni dokazni materijal za slučaj na koji se odnose. Ovaj korak zahtijeva
mnoga pretraživanja po različitim dijelovima memorije uređaja.
Slika 7. Analiza podataka iz telefonskog imenika
Analizom podataka iz telefonskog imenika najčešće se pokušava doći do određenih
podataka vezanih uz sudionike u predmetnom slučaju. U telefonskom imeniku je uz kontakte
nerijetko moguće pronaći podatke kao što su adresa elektronske pošte, kućna adresa, brojevi
fiksnih i mobilnih telefona, nazive organizacija, bilješke, internetske stranice te još neke druge
informacije.
U našem slučaju analiza podataka iz telefonskog imenika obuhvaća ukupno 299 kontakata,
što je prikazano na Slici 7. Možemo vidjeti da je analiza obuhvatila kontakte s različitih
servisa, kao što su Google račun, Viber te naravno sa SIM kartice i memorije uređaja. Ovisno
o izvoru kontakta i njegovi popratni podaci će se razlikovati.
Nastavno na analizu podataka iz imenika, nakon što se određeni kontakti izoliraju, vrši se
analiza popisa poziva (Slika 8). Na popisu poziva moguće je vidjeti prema kome su pozivi
upućeni s uređaja, od koga su pozivi zaprimljeni, te listu propuštenih poziva. Naravno uz ove 33
podatke, dodatni podatak je vrijeme uspostave poziva te vrijeme prekida poziva. Analiza
popisa poziva često može biti vrlo bitan faktor u rješavanju slučaja i može poslužiti kod
rekonstrukcije samog slučaja.
Slika 8. Analiza podataka s popisa poziva
Nadalje, podaci koji prilikom analize mogu dati vrlo bitne i značajne informacije su SMS i
MMS poruke. Kroz poruke je moguće pratiti direktnu komunikaciju između subjekata, ali
također je moguće doći do raznih dodatnih informacija. U MOBILedit Forensic alatu pregled
tekstualnih poruka moguće je postaviti na dva načina. Prvi način prikazuje sve poruke
kronološki kako su nastale, bez obzira jesu li odlazne ili dolazne, te nevezano za to tko je
primtelj ili pošiljatelj. Drugi način bazira se na pregledu ukupne komunikacije između dva
određena kontakta. U ovom pregledu su poruke između dva broja također kronološki
prikazane. U konkretnom slučaju uspjeli smo dohvatiti sve poruke od prvog dana korištenja
uređaja iako je veći dio istih zapravo pobrisan sa uređaja.
Sljedeći tip podataka nad kojima se vrše analize su korisnički dokumenti, što nam
prikazuje Slika 9. Analiza korisničkih dokumenata najčešće predstavlja najopsežniji dio 34
forenzičke analize podataka preuzetih s mobilnih uređaja. Ovaj dio analize podrazumijeva
pretraživanje kompletne memorije uređaja te svih podfoldera koji se na uređaju mogu naći.
Slika 9. Analiza korisničkih dokumenata
Kao što je vidljivo iz slike, analiza korisničkih dokumenta podrazumijeva vrlo široko
područje za pretraživanje. U ovu skupinu možemo svrstati i podatke kao što su video i
fotografski zapisi, zatim razni tekstualni ili tablični dokumenti. Moguće je pretraživati i razne
zabilješke vezane uz određene aplikacije, pronaći povijest pretraživanja internet pretraživača,
te mnoge druge podatke. U našem konkretnom slučaju uspjeli smo dohvatiti niz fotografija
koje su obrisane s uređaja, kao i niz drugih dokumenata koji su obrisani sa računala. Daljnjim
pretraživanjem uspjeli smo dohvatiti određene podatke vezane uz Google račun koji je
aktiviran na uređaju. Potrebno je napomenuti kako se analiza određenog dijela ovih podataka
vrši kroz zapise u heksadecimalnom sustavu, što dodatno otežava i usporava analizu.
35
5.3.4. 4. Korak – Izrada izvještaja na temelju provedene analize
Izrada izvještaja podrazumijeva prikazivanje rezultata provedenog istraživanja, te
tumačenje istih. Ovaj korak se u svijetu digitalne forenzike nerijetko radi u posebnom alatu.
MOBILedit Forensic ima poseban modul za provedbu ovog koraka, međutim taj modul
također ima svoja ograničenja. Izvještaji nastali kroz njega mogu poslužiti kao vrlo korisni
prilozi konačnom izvještaju, no najčešće ne i kao konačni izvještaji.
Slika 10. Izrada izvještaja u MOBILedit alatu
Mogućnosti izrade izvještaja u alatu MOBILedit Forensic prikazane su na Slici 10. Ranije
u tekstu kada smo govorili o funkcionalnosti preuzimanja podataka, rekli smo da se svaki
preuzeti set sprema kao zasebni Slučaj/Predmet (eng. Case). Upravo su ti setovi podataka
podloge za izradu izvještaja u ovome alatu. Kao što je vidljivo na slici, izvještaji mogu biti
izrađeni u nekoliko različitih tipova formata. Izvještaj se generira na način da se
pozicioniramo na željeni set podataka te nakon toga odaberemo neki od ponuđenih predložaka
(eng. Template).36
6. Zaključak
Iz svega što smo do sada vidjeli možemo zaključiti da je digitalna forenzika mobilnih
uređaja još uvijek relativno mlada grana forenzičke struke, ali unutar nje svakako ima važnu
ulogu koja će sa sigurnošću još rasti. Podloga ovakvom načinu razmišljanja uglavnom
proizlazi iz kontinuiranog razvoja mobilne industrije, koja svojim galopirajućim
37
napredovanjem zaslužuje titulu najbrže rastuće industrije. Upravo ta dinamika razvoja te
nepredvidivost kretanja mobilne industrije pred digitalnu forenziku mobilnih uređaja postavlja
najveće izazove.
Sve širi spektar funkcionalnosti i mogućnosti koje pametni telefoni pružaju svojim
korisnicima čini ih sve poželjnijim uređajima za organizaciju, praćenje i unaprijeđenje kako
poslovnih, tako i privatnih obaveza. Ova činjenica, uz njihove dimenzije i mobilnost, dovodi
nas do saznanja da pametni telefoni u današnje vrijeme postaju sve češći predmeti otuđivanja
ili gubljenja. Uz sve navedno pametni telefoni postaju sve češći alati ili pomagala za provedbu
digitalne manipulacije podacima. Upravo ove činjenice daju još veću važnost digitalnoj
forenzici mobilnih uređaja, alatima za njenu provedbu te ljudima koji se njome bave.
U konkretnom primjeru koji je prikazan u ovom radu, vidjeli smo da je pomoću
jednostavnog, neprofesionalnog alata za provedbu digitalne forenzike mobilnih uređaja vrlo
lako moguće doći do poruka, poziva ili slika i ostalih dokumenata koji su ranije pobrisani s
uređaja. Također uspjeli smo doći do određenih korisničkih podataka vezanih uz servise ili
aplikacije instalirane na uređaju.
Literatura
a) citirana literatura:
[1] Statista, The Statistic Portal. Preuzeto 27.05.2016. sa
http://www.statista.com/statistics/330695/number-of-smartphone-users-worldwide/
38
[2] Ponemon Institute LLC (2011). The Lost Smartphone Problem: Banchmark study of U.S.
organizations. Preuzeto 27.05.2016. sa https://blogs.mcafee.com/consumer/almost-5-of-
smartphones-lost-every-year/
[3] Farjamfar, A. i Abdullah, M.T. (2014). A Review on Mobile Device's Digital Forensic
Process Models. Research Journal of Applied Sciences, Engineering and Technology, 8,
358-366.
[4] Rizwan, A. i Raiv, V.D. (2009). Mobile Forensics: an Overview, Tools, Future trends and
Challenges from Law Enforcment perspective. Emerging Technologies in E-Government,
312-322.
[5] Mohtasebi, S.H., Dehghantanha, A. i Broujerdi, H.G. (2011). Smartphone Forensics: A
Case Study with Nokia E5-00 Mobile Phone. International Journal of Digital Information
and Wireless Communications, 1, 651-655.
[6] Walker Ben (2015), Every Day Big Data Statistics – 2,5 Quintilion Bytes of Data Created
Daily Preuzeto 16.08.2016. sa http://www.vcloudnews.com/every-day-big-data-statistics-
2-5-quintillion-bytes-of-data-created-daily/
[7] Gunelius Susan (2014), The Data Explosino in 2014 Minute by Minute - Infographic
Preuzeto 18.08.2016. sa https://aci.info/2014/07/12/the-data-explosion-in-2014-minute-
by-minute-infographic/
[8] Paul Morris (2012) How To Fake Call Log Entries On iPhone Preuzeto 05.06.2016 sa
http://www.redmondpie.com/how-to-fake-call-log-entries-on-iphone/
[9] Chris P. (2014) Here's how to easily fake your GPS location on Android Preuzeto
07.06.2016 sa http://www.phonearena.com/news/Heres-how-to-easily-fake-your-GPS-
location-on-Android_id62775
[10] Christos Xenakies (2013). Discovering authentication credentials in volatile memory of
Android mobile devices. Conference Paper.
[11] Sensw Financial LLC. Cyber Crime: Is Your Smartphone an Easy Target? Preuzeto
15.09.2016 sa http://www.sensefinancial.com/cyber-crime-smartphone-easy-target/
39
[12] MOBILedit Forensic, Complete Data Extraction from Phones and SIM Carsd, Preuzeto
28.09.2016 sa http://www.mobiledit.com/forensic
b) necitirana literatura
[1] Hans Hoefken (2016). Forensic Analysis of Geodata in Android Smartohones Preuzeto
20.10.2016 sa
https://www.researchgate.net/profile/Hans_Hoefken/publication/260320851_Forensic_An
alysis_of_Geodata_in_Android_Smartphones/links/0046353148e8fccc09000000.pdf
[2] Spalević Ž, Bjelajac Ž, Carić M (2012). The Importance and the Role of Forensics of
Mobile. Facta Universitatis, 25, 121-126.
[3] Goel A, Tyagi A, Agarwal A (2012). Smartphone Forensic Investigation Process Model.
International Journal of Computer Science & Security, 6, 322-341.
Summary:
In this document we are writing about digital forensics of mobile devices. In first part we
talk about basic concepts of this discipline and also we show the importance of mobile device
forensic in nowadays. The next section is about the legal regulation of mobile device
forensics. The next part is devoted to possibility of manipulation with digital data and record
40
on smartphones. The last section shows the steps of mobile device forensic on real example
during which was used MOBILedit Forensic tool.
41
42
