DIGITALNI DOKAZI -
forenzički alati i standard za
njihovo prikupljanje i pohranu
ZIH d.o.o.
Nataša Kučeković, dipl.inf.
dr.sc. Silvana Tomić Rotim
Zlatibor, 24. – 26. travnja 2014.
Sadržaj
• Prikupljanje dokaza
• ISO/IEC 27037:2012
• Forenzički alati
Računala
• Stolno računalo = radna stanica):
– ne može se lako oduzeti
– lagano otvaranje kućišta i izdvajanje komponenti
• Laptop, netbook i notebook:
– računalo, monitor, miš i tipkovnica su integrirani
– jednostavan za transport
– teško je izdvojiti komponente
Digitalna istraga
• Korištenje općeg znanja i specijaliziranih
tehnika:
– za otkrivanje digitalnih informacija koje
prolaze ili su pohranjene na elektronske
medije
– za otkrivanje prekršaja (neautoriziranih radnji)
Domene digitalne istrage
• Cyber istrage
• Upravljanje incidentima
• Računalna forenzika – zlouporaba
računala
Načela u forenzici
• Najbolji dokaz
• Minimalni upadi
• Minimalan napor
• Minimalan prekid
• Transparentnost
• Kontinuitet - procedure
• Misija - cilj
• Nepristranost
• NAJVAŽNIJE: optimalna dokumentacija
Bilješke
Evidentiranje observacija na mjestu događaja
koje uključuju:
– datum i sat
– opis događaja i uočenih činjenica
– poduzete aktivnosti
– način rukovanja oduzetim
medijima
- pohrana bilješki
Prikupljanje elektroničkih
dokaza- mogućnosti
• Ukoliko medij koji se ispituje:
– Ne sadrži informacije koje se traže:
• Povratak medija
– Sadrži najmanje jedan dokument koji se odnosi na
nalog:
• Zaplijeniti original
• Zaplijeniti klon originala
• Zaplijeniti image originala
• Napraviti ciljanu kopiju relevantnih podataka
• Napravite proširenu kopiju
Prikupljanje elektroničkih
dokaza – R-OCITE
• R RETURN
• O ORIGINAL
• C CLONE
• I IMAGE
• T TARGETED (kopija)
• E EXTENSIVE (kopija)
Zaplijena originala
• Prednosti:
– Najbolji dokaz
– Pristup cijelom okruženju sumnjivog medija
– Skraćuje vrijeme provedeno na terenu
• Nedostaci:
– Prekid poslovanja
– Treba planirati vrijeme za izradu klona kako bi se
poslovanje nastavilo
– Oduzimanje podataka izvan opsega
Zaplijena klona
• Prednosti:
– Drugi najbolji dokaz
– Cijelo sumnjivo okruženje je dostupno
• Nedostaci:
– Prekid poslovanja
– Potrebni dodatni mediji
– Oduzimanje podataka izvan opsega
Zaplijena image-a
• Prednosti:
– Drugi najbolji dokaz uz klon
– Mogućnost ponovne uspostave i pokretanja na
istom fizičkom mediju
• Nedostaci:
– Potreban medij za pohranu dovoljno velik za
stvaranje image-a
– Oduzimanje podataka izvan opsega
Zaplijena ciljane kopije
• Prednosti:
– Smanjenje vremena za izvlačenje podataka u laboratoriju
– Smanjenje upada u sustav
– Maksimalno poštivanje privatnosti
– Original se vraća u poslovanje
• Nedostaci:
– Izostavljanje nekih bitnih informacija
– Nema ponovnog ispitivanja originala
– Potreban medij za kopiju informacija
Zapljena proširene kopije
• Prednosti:
– Potrebno je manje vremena u odnosu na kloniranje ili
imaging
– Nema prekida aktivnosti
• Nedostaci:
– Potrebno je više vremena od ciljane kopije
– Ograničen prostor na mediju za pohranu
Analiza procesa
Forenzički standardi
• ISO/IEC 27037 Identifikacija, prikupljanje, nabava i
čuvanje digitalnih dokaza
• ISO/IEC 27041 Osiguravanje prikladnosti i
adekvatnosti metoda istraživanja
• ISO/IEC 27042 Analiza i interpretacija digitalnih
dokaza
• ISO/IEC 27043 Principi i procesi istraživanja
ISO/IEC 27037:2012
5. Pregled
6. Ključne komponente identifikacije,
prikupljanja, stjecanje i očuvanje
digitalnih dokaza
7. Primjeri identifikacije, prikupljanja,
nabave i čuvanja dokaza
Ne uključuje analizu dokaza.
Ključni resursi
• Voditelj laboratorija
• Odgovorna osoba za odgovor na incidente
• DEFR (Digital Evidence First Responder)
• DES (Digital Evidence Specialist)
Opseg
• Digitalni mediji za pohranu (HD, diskete…)
• Mobilni telefoni, memorijske kartice
• Mobilni navigacijski sustav
• Video kamere (uključujući CCTV)
• Standardno računalo s mrežnim priključkom
• Mreže bazirane na TCP/IP i drugim protokolima
• Uređaji sa sličnim funkcijama
5. Pregled
• Kontekst za prikupljanje digitalnih dokaza
• Načela digitalnih dokaza
• Zahtjevi za rukovanje digitalnim dokazima
• Proces rukovanja digitalnim dokazima
5.1. Kontekst za prikupljanje
digitalnih dokaza
• Interna ili externa potreba za dokazima
• Proces prioriteta - vrijednost i redoslijed
kojim potencijalni digitalni dokazi trebaju
biti prikupljeni
5.2. Načela digitalnih dokaza
Tri su osnovna načela upravljanja digitalnim dokazima:
relevantnost, pouzdanost, dostatnost
• Relevantnost – dokazati da su stečene informacije relevantne
za istragu
• Pouzdanost – svi procesi koji se koriste za rukovanje
dokazima trebaju se moći pregledati i ponoviti
• Dostatnost – DEFR treba osigurati dovoljno informacija za
istragu
5.3. Zahtjevi za rukovanje
digitalnim dokazima
• Mogućnost provođenja revizije
• Ponovljivost
• Obnovljivost
• Opravdanost
Mogućnost provođenja
revizije
• Neovisni procijenitelj ili druge ovlaštene zainteresirane strane
trebaju biti u mogućnosti procijeniti rad DEFR-a i DES-a
• DEFR i DES trebaju biti u mogućnosti opravdati proces
donošenja odluka o pokretanju aktivnosti
• Procesi izvođeni od strane DEFR ili DES trebaju biti dostupni
za neovisnu procjenu
Ponovljivost
• Utvrđuje se kada su isti rezultati testiranja stvoreni pod
sljedećim uvjetima:
• korištenjem istih procedura i metoda mjerenja
• korištenjem istih instrumenata i pod istim uvjetima
• mogu se ponoviti u bilo kojem trenutku nakon originalnog
testa
• DEFR bi trebao biti u mogućnosti provesti sve dokumentirane
procese i provesti kontrolu kvalitete
Obnovljivost
• Utvrđuje se kada su isti rezultati testiranja stvoreni pod
sljedećim uvjetima:
• Korištenje iste metode mjerenja
• Korištenje različitih instrumenata i pod različitim
uvjetima
• Mogu se obnoviti u bilo kojem trenutku nakon
originalnog testa
Opravdanost
• DEFR bi trebao biti u mogućnosti opravdati sve aktivnosti i
metode koje se koriste u rukovanju potencijalnim digitalnim
dokazima
• opravdanje se može postići demonstrirajući da je odluka bila
najbolji izbor za dobivanje svih digitalnih dokaza
• Organizacija treba zaposliti DEFR ili DES koji posjeduje
potrebne vještine i kompetencije
5.4. Proces rukovanja
digitalnim dokazima
• Identifikacija
• Prikupljanje
• Nabava
• Zaštita
Procedura za osiguravanje integriteta i pouzdanosti
izvora dokaza.
Identifikacija
• opipljivi i neopipljivi dokazi
• veza s incidentom
• identifikacija digitalnih medija za pohranu podataka i
uređaja za obradu koji mogu sadržavati potencijalne
digitalne dokaze
• Ne mogu se sve vrste medija za pohranu lako
identificirati i locirati – cloud computing
Prikupljanje
• uređaji koji mogu sadržavati potencijalne digitalne dokaze
su uklonjeni s izvornog mjesta u laboratorij ili druge
kontrolirane uvjete
• dokumentiranje cijelog pristupa i prikupljanje svih
materijala koji bi se mogli odnositi na potencijalne
digitalne dokaze
• „power off” i „power on” procedure
• pakiranje dokaza za transport
Evidence bag
Antistatic bag
Nabava
• izrada kopije digitalnih dokaza i
dokumentiranje korištene metode
• odabir alata
• testiranje provedene metode (original = kopija)
• zakonodavstvo – oduzimanje medija u
prisustvu vlasnika
Čuvanje
• Digitalni dokaz treba sačuvati kako bi se osigurala
njegova korisnost u istrazi
• Očuvati integritet dokaza
• DEFR mora zaštititi dokaze od promjena
• Osigurati zaštitu povjerljivosti dokaza
6. Ključne komponente identifikacije,
prikupljanja, nabave i čuvanja digitalnih
dokaza • Sljedivost
• Mjere opreza na mjestu incidenta
• Uloge i odgovornosti
• Sposobnosti
• Oprezno rukovanje
• Dokumentacija
• Izvještavanje
• Određivanje prioriteta prikupljanja i usvajanja
• Održavanje potencijalnih digitalnih dokaza
Sljedivost
• Kronologija kretanja i upravljanja digitalnim dokazima
• Zapis – dokument koji detaljno opisuje sljedivost, sadrži
imena odgovornih osoba za upravljanje dokazom kao i
sljedeće informacije:
• ID dokaza,
• Tko je pristupio dokazu,
• Tko je preuzeo dokaz iz objekta za čuvanje dokaza.
• Životni ciklus dokumenata i zapisa
Mjere opreza na mjestu
incidenta
Potrebno je osigurati lokaciju gdje se prikupljaju dokazi:
• Utvrditi odgovorne osobe na lokaciji
• Osigurati da su osobe udaljene od uređaja
• Identificirati sve koji imaju pristup lokaciji
• Identificirati sve koji su povezani s incidentom
• Ne gasiti / ne paliti uređaje
Osobne mjere opreza
• Provođenje procjene rizika sigurnosti osoba prije
početka procesa, razmatrajući:
• U koje vrijeme će proces biti proveden
• Da li proces može biti izoliran od promatrača
• Ima li oružja u okolini
• Može li išta u blizini uzrokovati fizičku štetu
(konfiguracija)...
Prepoznati prijetnje i ranjivosti
Potencijalni digitalni dokaz
• DEFR bi trebao biti oprezan prilikom korištenja specifičnih alata
za prikupljanje dokaza
• Procjena rizika – potencijalni utjecaj na istragu
• Metoda prikupljanja dokaza
• Potrebna oprema na lokaciji
• Potreba udaljenog pristupa
6.3. Uloge i odgovornosti
• Uloga DEFR-a:
• identifikacija
• prikupljanje
• nabava
• zaštita digitalnih dokaza, osiguravajući integritet dokaza
• Uloga DES-a:
• pružanje tehničke potpore i specijalizirane stručnosti
DEFR-u
6.4. Kompetencije
• DEFR i DES trebali bi posjedovati ključne tehničke
i pravne sposobnosti te pokazati da su obučeni za
pravilno rukovanje digitalnim dokazima
• Kriteriji definirani od strane pravosuđa
• Sistematizacija radnih mjesta
6.5. Oprezno rukovanje
• Izbjegavati bilo kakve radnje koje bi uzrokovale krađu /nestanak
potencijalnih digitalnih dokaza koji su pohranjeni
• Kontrola pristupa
• DEFR ne bi trebao pristupati digitalnih uređajima, osim ako
nema potrebne sposobnosti i ovlaštenja, te koristi pouzdane i
provjerene procese
• Svaka aktivnost treba biti dokumentirana
• Postavke vremena i datuma – sinkronizacija satova
• Dokumentirati sve što je vidljivo na ekranu uređaja
• Dokumentirati pomicanje uređaja
• Dokumentirati sve identifikatore uređaja i pripadajuću
opremu
Procedura upravljanja dokumentacijom i zapisima
6.6. Dokumentacija
• Specifičnosti digitalnih dokaza
• Specifičnosti osoblja
• Incidenti u stvarnom vremenu
• Ostalo informiranje
Procedura informiranja
6.7. Informiranje
• Potrebno je organizirati sastanke za informiranje DEFR-a o
detaljima koji se odnose na istragu, smjernice za istragu:
• Tip incidenta
• Vrijeme
• Plan istrage
• Definiranje mjesta čuvanja dokaza
• Alati
• Dokumentacija
• Zakonska regulativa
• Zapisnik sa sastanka
Specifičnosti digitalnih dokaza
• Uloge i odgovornosti
• Određivanje tima (tehnički stručnjaci)
• Awareness
Specifičnosti osoblja
• Istragu planirati unaprijed - proces
• Informirati tim o početnim strategijama
• Upravljanje incidentima - procedura
Incidenti u stvarnom vremenu
Ostale informacije trebale bi uključivati:
• Detalje o nalogu za pretres,
• Pravne aspekte,
• Vremenski okvir istrage,
• Informacije o logistici,
• Potrebna oprema,
• Potencijalni sukobi interesa.
Ostalo izvještavanje
• Razumijevanje razloga za prikupljanje potencijalnog
digitalnog dokaza
• Prioritet se određuje prema postojanosti podataka
(gubitak napajanja može izbrisati podatke)
• DEFR bi trebao posjedovati znanje o određivanju
prioriteta - proces
6.8. Odrediti prioritet
prikupljanja dokaza
• Zaštita potencijalnih digitalnih dokaza
• Pakiranje digitalnih uređaja i potencijalnih digitalnih
dokaza
• Transport potencijalnih digitalnih dokaza
6.9. Zaštita potencijalnih
digitalnih dokaza
• Svi prikupljeni i stečeni digitalni dokazi trebaju biti
zaštićeni od gubitka ili krađe te pohranjeni na lokaciji za
čuvanje dokaza koja primjenjuje fizičke kontrole
sigurnosti
• Očuvanje integriteta i povjerljivosti
Čuvanje potencijalnih digitalnih
dokaza
• Popunjavanje popratne omotnice
• Labeliranje
• Zaštita od lomova
Pakiranje digitalnih uređaja i
potencijalnih digitalnih dokaza
• dokazi ne smiju biti ostavljeni bez nadzora tijekom
procesa transporta
• ukoliko dokaze ne transportira DEFR ili DES, preporuča
se korištenje enkripcije
• Zaštita tajnosti podataka
Transport potencijalnih
digitalnih dokaza
Autopsy alat
• Autopsy Forensic Browser je alat koji pruža
grafičko sučelje za softverski paket „Sleuth Kit” i
koristi se za izvršavanje analize digitalnih
istraga.
• Postoji besplatna inačica alata.
• Funkcionalnost alata temelji se na HTML
tehnologiji.
• Autopsy pruža pregled izbrisanih podataka i
strukture podataka.
Drugi alati koji se koriste u
forenzici • PDBlock – spriječava pisanje na originalni disk tijekom
forenzičkog kopiranja diska,
• DriveSpy – alat koji se temelji na DOS operativnom sustavu,
omogućava stvaranje forenzičke kopije diska, obnavljanje
izbrisanih podataka i nekorištenih dijelova sektora te analizu
korištenja kriptografskog sažetka
• FTK Imager – forenzičko kopiranje,
• SnapBack Exact – forenzičko kopiranje diska,
• DiskSig – provjeravanje forenzičkih kopija diska,
• GetFree – kopiranje diska, spremanje na drugi medij i analiza,
• Ontrack – program za povrat izbrisanih podataka s diska,
• AcoDisk – program za povrat podataka s optičkog medija,
• MediaMerge – koristi se za povrat podataka s optičkog medija i
HD-a.
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - report