of 62/62
DIGITALNI DOKAZI - forenzički alati i standard za njihovo prikupljanje i pohranu ZIH d.o.o. Nataša Kučeković, dipl.inf. dr.sc. Silvana Tomić Rotim Zlatibor, 24. 26. travnja 2014.

Digitalni dokazi forenzicki alati i standardi

  • View
    1.156

  • Download
    1

Embed Size (px)

Text of Digitalni dokazi forenzicki alati i standardi

  • DIGITALNI DOKAZI -

    forenziki alati i standard za

    njihovo prikupljanje i pohranu

    ZIH d.o.o.

    Nataa Kuekovi, dipl.inf.

    dr.sc. Silvana Tomi Rotim

    Zlatibor, 24. 26. travnja 2014.

  • Sadraj

    Prikupljanje dokaza

    ISO/IEC 27037:2012

    Forenziki alati

  • Raunala

    Stolno raunalo = radna stanica):

    ne moe se lako oduzeti

    lagano otvaranje kuita i izdvajanje komponenti

    Laptop, netbook i notebook:

    raunalo, monitor, mi i tipkovnica su integrirani

    jednostavan za transport

    teko je izdvojiti komponente

  • Digitalna istraga

    Koritenje opeg znanja i specijaliziranih

    tehnika:

    za otkrivanje digitalnih informacija koje

    prolaze ili su pohranjene na elektronske

    medije

    za otkrivanje prekraja (neautoriziranih radnji)

  • Domene digitalne istrage

    Cyber istrage

    Upravljanje incidentima

    Raunalna forenzika zlouporaba

    raunala

  • Naela u forenzici

    Najbolji dokaz

    Minimalni upadi

    Minimalan napor

    Minimalan prekid

    Transparentnost

    Kontinuitet - procedure

    Misija - cilj

    Nepristranost

    NAJVANIJE: optimalna dokumentacija

  • Biljeke

    Evidentiranje observacija na mjestu dogaaja

    koje ukljuuju:

    datum i sat

    opis dogaaja i uoenih injenica

    poduzete aktivnosti

    nain rukovanja oduzetim

    medijima

    - pohrana biljeki

  • Prikupljanje elektronikih

    dokaza- mogunosti

    Ukoliko medij koji se ispituje:

    Ne sadri informacije koje se trae:

    Povratak medija

    Sadri najmanje jedan dokument koji se odnosi na

    nalog:

    Zaplijeniti original

    Zaplijeniti klon originala

    Zaplijeniti image originala

    Napraviti ciljanu kopiju relevantnih podataka

    Napravite proirenu kopiju

  • Prikupljanje elektronikih

    dokaza R-OCITE

    R RETURN

    O ORIGINAL

    C CLONE

    I IMAGE

    T TARGETED (kopija)

    E EXTENSIVE (kopija)

  • Zaplijena originala

    Prednosti:

    Najbolji dokaz

    Pristup cijelom okruenju sumnjivog medija

    Skrauje vrijeme provedeno na terenu

    Nedostaci:

    Prekid poslovanja

    Treba planirati vrijeme za izradu klona kako bi se

    poslovanje nastavilo

    Oduzimanje podataka izvan opsega

  • Zaplijena klona

    Prednosti:

    Drugi najbolji dokaz

    Cijelo sumnjivo okruenje je dostupno

    Nedostaci:

    Prekid poslovanja

    Potrebni dodatni mediji

    Oduzimanje podataka izvan opsega

  • Zaplijena image-a

    Prednosti:

    Drugi najbolji dokaz uz klon

    Mogunost ponovne uspostave i pokretanja na

    istom fizikom mediju

    Nedostaci:

    Potreban medij za pohranu dovoljno velik za

    stvaranje image-a

    Oduzimanje podataka izvan opsega

  • Zaplijena ciljane kopije

    Prednosti:

    Smanjenje vremena za izvlaenje podataka u laboratoriju

    Smanjenje upada u sustav

    Maksimalno potivanje privatnosti

    Original se vraa u poslovanje

    Nedostaci:

    Izostavljanje nekih bitnih informacija

    Nema ponovnog ispitivanja originala

    Potreban medij za kopiju informacija

  • Zapljena proirene kopije

    Prednosti:

    Potrebno je manje vremena u odnosu na kloniranje ili

    imaging

    Nema prekida aktivnosti

    Nedostaci:

    Potrebno je vie vremena od ciljane kopije

    Ogranien prostor na mediju za pohranu

  • Analiza procesa

  • Forenziki standardi

    ISO/IEC 27037 Identifikacija, prikupljanje, nabava i

    uvanje digitalnih dokaza

    ISO/IEC 27041 Osiguravanje prikladnosti i

    adekvatnosti metoda istraivanja

    ISO/IEC 27042 Analiza i interpretacija digitalnih

    dokaza

    ISO/IEC 27043 Principi i procesi istraivanja

  • ISO/IEC 27037:2012

    5. Pregled

    6. Kljune komponente identifikacije,

    prikupljanja, stjecanje i ouvanje

    digitalnih dokaza

    7. Primjeri identifikacije, prikupljanja,

    nabave i uvanja dokaza

    Ne ukljuuje analizu dokaza.

  • Kljuni resursi

    Voditelj laboratorija

    Odgovorna osoba za odgovor na incidente

    DEFR (Digital Evidence First Responder)

    DES (Digital Evidence Specialist)

  • Opseg

    Digitalni mediji za pohranu (HD, diskete)

    Mobilni telefoni, memorijske kartice

    Mobilni navigacijski sustav

    Video kamere (ukljuujui CCTV)

    Standardno raunalo s mrenim prikljukom

    Mree bazirane na TCP/IP i drugim protokolima

    Ureaji sa slinim funkcijama

  • 5. Pregled

    Kontekst za prikupljanje digitalnih dokaza

    Naela digitalnih dokaza

    Zahtjevi za rukovanje digitalnim dokazima

    Proces rukovanja digitalnim dokazima

  • 5.1. Kontekst za prikupljanje

    digitalnih dokaza

    Interna ili externa potreba za dokazima

    Proces prioriteta - vrijednost i redoslijed

    kojim potencijalni digitalni dokazi trebaju

    biti prikupljeni

  • 5.2. Naela digitalnih dokaza

    Tri su osnovna naela upravljanja digitalnim dokazima:

    relevantnost, pouzdanost, dostatnost

    Relevantnost dokazati da su steene informacije relevantne

    za istragu

    Pouzdanost svi procesi koji se koriste za rukovanje

    dokazima trebaju se moi pregledati i ponoviti

    Dostatnost DEFR treba osigurati dovoljno informacija za

    istragu

  • 5.3. Zahtjevi za rukovanje

    digitalnim dokazima

    Mogunost provoenja revizije

    Ponovljivost

    Obnovljivost

    Opravdanost

  • Mogunost provoenja

    revizije

    Neovisni procijenitelj ili druge ovlatene zainteresirane strane

    trebaju biti u mogunosti procijeniti rad DEFR-a i DES-a

    DEFR i DES trebaju biti u mogunosti opravdati proces

    donoenja odluka o pokretanju aktivnosti

    Procesi izvoeni od strane DEFR ili DES trebaju biti dostupni

    za neovisnu procjenu

  • Ponovljivost

    Utvruje se kada su isti rezultati testiranja stvoreni pod

    sljedeim uvjetima:

    koritenjem istih procedura i metoda mjerenja

    koritenjem istih instrumenata i pod istim uvjetima

    mogu se ponoviti u bilo kojem trenutku nakon originalnog

    testa

    DEFR bi trebao biti u mogunosti provesti sve dokumentirane

    procese i provesti kontrolu kvalitete

  • Obnovljivost

    Utvruje se kada su isti rezultati testiranja stvoreni pod

    sljedeim uvjetima:

    Koritenje iste metode mjerenja

    Koritenje razliitih instrumenata i pod razliitim

    uvjetima

    Mogu se obnoviti u bilo kojem trenutku nakon

    originalnog testa

  • Opravdanost

    DEFR bi trebao biti u mogunosti opravdati sve aktivnosti i

    metode koje se koriste u rukovanju potencijalnim digitalnim

    dokazima

    opravdanje se moe postii demonstrirajui da je odluka bila

    najbolji izbor za dobivanje svih digitalnih dokaza

    Organizacija treba zaposliti DEFR ili DES koji posjeduje

    potrebne vjetine i kompetencije

  • 5.4. Proces rukovanja

    digitalnim dokazima

    Identifikacija

    Prikupljanje

    Nabava

    Zatita

    Procedura za osiguravanje integriteta i pouzdanosti

    izvora dokaza.

  • Identifikacija

    opipljivi i neopipljivi dokazi

    veza s incidentom

    identifikacija digitalnih medija za pohranu podataka i

    ureaja za obradu koji mogu sadravati potencijalne

    digitalne dokaze

    Ne mogu se sve vrste medija za pohranu lako

    identificirati i locirati cloud computing

  • Prikupljanje

    ureaji koji mogu sadravati potencijalne digitalne dokaze

    su uklonjeni s izvornog mjesta u laboratorij ili druge

    kontrolirane uvjete

    dokumentiranje cijelog pristupa i prikupljanje svih

    materijala koji bi se mogli odnositi na potencijalne

    digitalne dokaze

    power off i power on procedure

    pakiranje dokaza za transport

  • Evidence bag

    Antistatic bag

  • Nabava

    izrada kopije digitalnih dokaza i

    dokumentiranje koritene metode

    odabir alata

    testiranje provedene metode (original = kopija)

    zakonodavstvo oduzimanje medija u

    prisustvu vlasnika

  • uvanje

    Digitalni dokaz treba sauvati kako bi se osigurala

    njegova korisnost u istrazi

    Ouvati integritet dokaza

    DEFR mora zatititi dokaze od promjena

    Osigurati zatitu povjerljivosti dokaza

  • 6. Kljune komponente identifikacije,

    prikupljanja, nabave i uvanja digitalnih

    dokaza Sljedivost

    Mjere opreza na mjestu incidenta

    Uloge i odgovornosti

    Sposobnosti

    Oprezno rukovanje

    Dokumentacija

    Izvjetavanje

    Odreivanje prioriteta prikupljanja i usvajanja

    Odravanje potencijalnih digitalnih dokaza

  • Sljedivost

    Kronologija kretanja i upravljanja digitalnim dokazima

    Zapis dokument koji detaljno opisuje sljedivost, sadri

    imena odgovornih osoba za upravljanje dokazom kao i

    sljedee informacije:

    ID dokaza,

    Tko je pristupio dokazu,

    Tko je preuzeo dokaz iz objekta za uvanje dokaza.

    ivotni ciklus dokumenata i zapisa

  • Mjere opreza na mjestu

    incidenta

    Potrebno je osigurati lokaciju gdje se prikupljaju dokazi:

    Utvrditi odgovorne osobe na lokaciji

    Osigurati da su osobe udaljene od ureaja

    Identificirati sve koji imaju pristup lokaciji

    Identificirati sve koji su povezani s incidentom

    Ne gasiti / ne paliti ureaje

  • Osobne mjere opreza

    Provoenje procjene rizika sigurnosti osoba prije

    poetka procesa, razmatrajui:

    U koje vrijeme e proces biti proveden

    Da li proces moe biti izoliran od promatraa

    Ima li oruja u okolini

    Moe li ita u blizini uzrokovati fiziku tetu

    (konfiguracija)...

    Prepoznati prijetnje i ranjivosti

  • Potencijalni digitalni dokaz

    DEFR bi trebao biti oprezan prilikom koritenja specifinih alata

    za prikupljanje dokaza

    Procjena rizika potencijalni utjecaj na istragu

    Metoda prikupljanja dokaza

    Potrebna oprema na lokaciji

    Potreba udaljenog pristupa

  • 6.3. Uloge i odgovornosti

    Uloga DEFR-a:

    identifikacija

    prikupljanje

    nabava

    zatita digitalnih dokaza, osiguravajui integritet dokaza

    Uloga DES-a:

    pruanje tehnike potpore i specijalizirane strunosti

    DEFR-u

  • 6.4. Kompetencije

    DEFR i DES trebali bi posjedovati kljune tehnike

    i pravne sposobnosti te pokazati da su obueni za

    pravilno rukovanje digitalnim dokazima

    Kriteriji definirani od strane pravosua

    Sistematizacija radnih mjesta

  • 6.5. Oprezno rukovanje

    Izbjegavati bilo kakve radnje koje bi uzrokovale krau /nestanak

    potencijalnih digitalnih dokaza koji su pohranjeni

    Kontrola pristupa

    DEFR ne bi trebao pristupati digitalnih ureajima, osim ako

    nema potrebne sposobnosti i ovlatenja, te koristi pouzdane i

    provjerene procese

  • Svaka aktivnost treba biti dokumentirana

    Postavke vremena i datuma sinkronizacija satova

    Dokumentirati sve to je vidljivo na ekranu ureaja

    Dokumentirati pomicanje ureaja

    Dokumentirati sve identifikatore ureaja i pripadajuu

    opremu

    Procedura upravljanja dokumentacijom i zapisima

    6.6. Dokumentacija

  • Specifinosti digitalnih dokaza

    Specifinosti osoblja

    Incidenti u stvarnom vremenu

    Ostalo informiranje

    Procedura informiranja

    6.7. Informiranje

  • Potrebno je organizirati sastanke za informiranje DEFR-a o

    detaljima koji se odnose na istragu, smjernice za istragu:

    Tip incidenta

    Vrijeme

    Plan istrage

    Definiranje mjesta uvanja dokaza

    Alati

    Dokumentacija

    Zakonska regulativa

    Zapisnik sa sastanka

    Specifinosti digitalnih dokaza

  • Uloge i odgovornosti

    Odreivanje tima (tehniki strunjaci)

    Awareness

    Specifinosti osoblja

  • Istragu planirati unaprijed - proces

    Informirati tim o poetnim strategijama

    Upravljanje incidentima - procedura

    Incidenti u stvarnom vremenu

  • Ostale informacije trebale bi ukljuivati:

    Detalje o nalogu za pretres,

    Pravne aspekte,

    Vremenski okvir istrage,

    Informacije o logistici,

    Potrebna oprema,

    Potencijalni sukobi interesa.

    Ostalo izvjetavanje

  • Razumijevanje razloga za prikupljanje potencijalnog

    digitalnog dokaza

    Prioritet se odreuje prema postojanosti podataka

    (gubitak napajanja moe izbrisati podatke)

    DEFR bi trebao posjedovati znanje o odreivanju

    prioriteta - proces

    6.8. Odrediti prioritet

    prikupljanja dokaza

  • Zatita potencijalnih digitalnih dokaza

    Pakiranje digitalnih ureaja i potencijalnih digitalnih

    dokaza

    Transport potencijalnih digitalnih dokaza

    6.9. Zatita potencijalnih

    digitalnih dokaza

  • Svi prikupljeni i steeni digitalni dokazi trebaju biti

    zatieni od gubitka ili krae te pohranjeni na lokaciji za

    uvanje dokaza koja primjenjuje fizike kontrole

    sigurnosti

    Ouvanje integriteta i povjerljivosti

    uvanje potencijalnih digitalnih

    dokaza

  • Popunjavanje popratne omotnice

    Labeliranje

    Zatita od lomova

    Pakiranje digitalnih ureaja i

    potencijalnih digitalnih dokaza

  • dokazi ne smiju biti ostavljeni bez nadzora tijekom

    procesa transporta

    ukoliko dokaze ne transportira DEFR ili DES, preporua

    se koritenje enkripcije

    Zatita tajnosti podataka

    Transport potencijalnih

    digitalnih dokaza

  • Autopsy alat

    Autopsy Forensic Browser je alat koji prua

    grafiko suelje za softverski paket Sleuth Kit i

    koristi se za izvravanje analize digitalnih

    istraga.

    Postoji besplatna inaica alata.

    Funkcionalnost alata temelji se na HTML

    tehnologiji.

    Autopsy prua pregled izbrisanih podataka i

    strukture podataka.

  • Drugi alati koji se koriste u

    forenzici PDBlock sprijeava pisanje na originalni disk tijekom

    forenzikog kopiranja diska,

    DriveSpy alat koji se temelji na DOS operativnom sustavu,

    omoguava stvaranje forenzike kopije diska, obnavljanje

    izbrisanih podataka i nekoritenih dijelova sektora te analizu

    koritenja kriptografskog saetka

    FTK Imager forenziko kopiranje,

    SnapBack Exact forenziko kopiranje diska,

    DiskSig provjeravanje forenzikih kopija diska,

    GetFree kopiranje diska, spremanje na drugi medij i analiza,

    Ontrack program za povrat izbrisanih podataka s diska,

    AcoDisk program za povrat podataka s optikog medija,

    MediaMerge koristi se za povrat podataka s optikog medija i

    HD-a.

  • Autopsy - otvaranje

  • Autopsy - otvaranje

  • Autopsy - otvaranje

  • Autopsy - otvaranje

  • Autopsy - otvaranje

  • Autopsy - otvaranje

  • Autopsy - report

  • Hvala na panji!

    [email protected]

    www.zih.hr