Спасавање дигиталних доказа
Спасавање дигиталних доказа је процес проналажења и прикупљања података односно доказа, који се користи у дигиталној форензици (енгл. Cyber forensics).[1][2]
Дигитални доказ је информација која има доказујућу вредност, а која може бити складиштена или пренесена у дигиталном облику.[3] Дигитални докази могу бити складиштени на тврдом диску (енгл. hard disk), компакт-диску (енгл. compact disc), или неком другом уређају секундарне меморије. У току судског процеса или криминалне истраге, дешава се да дигитални докази буду обрисани од стране сајбер криминалаца, кракера или неких других особа, док је посао сајбер форензичара да те дигиталне доказе спасу односно да их учине доступним и релевантним[4][5]. Често се дешава да подаци приликом коришћења и обраде остају у фрагментима меморије независно од знања корисника.
Прикупљање обрисаних података
уредиБрисање датотека је начин уклањања датотека из система датотека рачунара. Разлози за брисање датотеке[6] су:
- Ослобађање простора на диску
- Уклањање дуплираних и непотребних података како би се избегле забуне
- Израда осетљивих информација недоступних другима
Сви оперативни системи садрже команде за брисање фајлова (rm на Униксу, delete/del у МС-ДОСу, Windows-у и сл.). Међутим, приликом брисања датотеке уз помоћ алата оперативног система, датотека не нестаје са тврог диска већ се уклања показивач на ту датотеку из табеле садржаја диска[7] (енгл. File Allocation Table - FAT). Линукс фајл системи користе друге методе алокације и записивања фајлова, познате као INOD-e.
Када се датотека уклони из оперативног система, простор који је заузимала означава се као неалоциран, односно простор у који систем може сместити нове податке. Услед све бржег развоја технологије и повећања капацитета дискова дешава се да фрагменти датотеке често остају у меморији, а главни разлог томе је управо велики капацитет дискова. На тај начин сајбер форензичари успевају да прикупе податке за које се мислило да су претходно обрисани.
Проналажење скривених података
уредиПроналажење скривених података представља најважнији део спасавања дигиталних доказа. Скривени подаци су подаци који су замаскирани односно сакривени на некој од зона диска. Обзиром да скривени подаци остају присутни и након репартиционирања диска, ова фаза може довести до доказа помоћу којих би се решио случај.
Начини на који сајбер криминалаци и кракери сакривају податке углавом су:
Сектор диска представља минималну адресабилну јединицу за складиштење података на Диску и то је јединица која има фиксну величину (512 бајтова за магнетне дискове и 2048 бајтова за оптичке дискове. У простору између сектора на већим тракама односно стазама диска (енгл. sector gap) је могуће да се сакрије велика количина података. Ова особина је изузетно важна за случајеве дигиталне форензике и омогућава сајбер форензичарима да пронађу скривене податке.
Слек простор
уредиУ рачунарској форензици Слек (енгл. Slack) се односи на бајтове после логичног краја датотеке и краја кластера у којима се коначни бајт важећег фајла налази.[8][9] Слек простор настаје као последица величине датотека, која не одговара величини кластера у који је та датотека уписана.
Фајл слек типови:
- RAM слек: простор складиштења података, који постоји од краја датотеке до краја последњег сектора додељеног тој датотеци.
- Драјв(енгл. sector gap) Слек: простор складиштења података, који постоји од краја последњег сектора додељеног датотеци, до краја поседњег кластера додељеног датотеци.
Битна ствар код слек простора јесте да се он не може искористити намерно. Обзиром да оперативни системи МС-ДОС и Windows користе слек да попуне системску RAM меморију, у овом простору се могу наћи разне врсте података који ће користити приликом форензичке истраге.[10]
Стеганографија
уредиСтеганографија је једна од дисциплина дигиталне форензике, која на веродостојан начин може доказати да је један рачунар коришћен у сврхе компјутерског криминала. У истражном поступку, детекција постојања стеганографије представља најтежи део, нарочито ако се узму у обзир велике мреже, попут интернета, где постоји велики проток информација.
Стеганографија представља сакривање података унутар података.[11][12] To је врста енкрипције, која се обавља помоћу слободног простора или променом вредности бита који је најмање значајан.[13]
Технике дигиталне стеганографије укључују[14]:
- Сакривање порука у најниже битове слика са шумом или у аудио датотеке.
- Сакривање података у шифроване податакe или у случајне податакe.
- Чафинг и издвајање(енгл. Chaffing and winnowing).
- Функције мимике конвертују један фајл како би имали статички профил другог.
- Скривене поруке у неовлашћено извршне датотеке, користећи вишак у циљани скуп инструкција.
- Слике уграђене у видео материјал .
- Неприметног кашњења пакета који се шаљу преко мреже са тастатуре. Кашњења у притискању тастера у неким апликацијама (Телнет или Ремоте Десктоп софтвер) може да значи одлагање слања пакетима, а кашњења у слању пакета могу да се користе за кодирање података.
- Промена редоследа елемената у сету.
- Блог-Стеганографија. Поруке су подељене у делове и (шифровани) делови се додају као коментари на веб-логове. У овом случају је избор блогова симетрични кључ који пошиљалац и прималац користе, носилац скривене поруке је цела блогосфера.
- Модификовање ЕХО звучне датотеке (ЕХО Стеганографија).[[#cite_note-urlAudio_Steganography�Echo_Data_Hiding_Jeff_England_EE_6886-15|[15]]]
- Сигурна Стеганографија за аудио сигнале.[16]
Да би се утврдило постојање скривених битова и сам редослед њиховог распореда потребно је познавати кључ по којем су они размештени, тако да само онај ко има шифру може успешно реконструисати датотеку. Наравно као и за сваку другу шифру и за ово постоји решење, постоји неколико антистеганографских програма који могу уочити постојање скривених датотека.
Алтернативни токови података
уредиАлтернативни токови података представљају још један од могућих извора информација у оквиру компјутерске форензике. Овај појам се односи на НТФС фајл систем који подржава ову могућност[11]. Ток било које величине може се креирати и повезати са нормално видљивом датотеком (родитељ), али овај ток остаје скривен и могуће га је детектовати једино специјалним програмом. Ови токови података имају потпуно легитимну намену. Наиме, помоћу токова могуће је користити Мекинтош/Епл датотеке. Свака Мекинтош датотека поседује два дела: ресурc део и дата део. Први део се крије у алтернативном току. Постоји још једна функција коју токови обављају а то је складиштење контролних сума за антивирусне програме. Ови токови се могу повезати и са датотекама и директоријумима.
Ток се не може директно обрисати без брисања датотеке родитеља. Многи програми који уништавају податке бришу једино родитеље док остављају токове. Такође вируси и тројанци користе токове за сакривање. Криминалци их могу користити за сакривање инкриминишућих података.[13]
Shadow подаци
уредиShadow системи[17][18] ( сенка података, системи за сенке података, сенке информационе технологије, сенке рачуноводствених система[19] или краће: shadow IT) се састоје од малих база података и / или табела развијених за коришћење од стране крајњих корисника, изван директне контроле ИТ одељења организације.
Један од начина за спасавање и прикупљање дигиталних доказа јесте преко shadow података[20][21].Shadow подаци настају као диспропорција односно разлика у вертикалном и хоризонталном позиционирању магнетних глава. Када се приступа одређеном сектору диска, позиције глава које приступају нису идентичне. Разлика у овим позицијама омогућава подацима да и после преписивања остану присутни.
Референце
уреди- ^ „'Electronic Crime Scene Investigation Guide: A Guide for First Responders” (PDF). Приступљено 3. 5. 2011.
- ^ „Handbook of Digital Forensics and ... - Google Books”. Приступљено 3. 5. 2011.
- ^ „SINGIPEDIA - Digitalni dokazi”. Архивирано из оригинала 29. 10. 2013. г. Приступљено 3. 5. 2011.
- ^ Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8.
- ^ Noblett, Michael G.; Pollitt, Mark M., Lawrence A. Presley (2000). „Recovering and examining computer forensic evidence”. Архивирано из оригинала 07. 07. 2011. г. Приступљено 26. 7. 2010.
- ^ „Disposal of Disk and Tape Data by Secure Sanitization”. Архивирано из оригинала 01. 02. 2010. г. Приступљено 3. 5. 2011.
- ^ "Факултет Организационих Наука Београд, предмет Правне основе информационих система, Дракулић Мирјана, Дракулић Ратимир, Јовановић Светлана, Кривокапић Ђорђе"http://myelab.net/moodle/mod/resource/view.php?id=9927[мртва веза]
- ^ „NTI - File Slack Defined”. Архивирано из оригинала 22. 11. 2010. г. Приступљено 3. 5. 2011.
- ^ „Slack - Forensics Wiki”. Архивирано из оригинала 10. 06. 2011. г. Приступљено 3. 5. 2011.
- ^ „УВОД У ФОРЕНЗИЧКЕ НАУКЕ”. Архивирано из оригинала 20. 12. 2013. г. Приступљено 3. 5. 2011.
- ^ а б "Факултет Организационих Наука Београд, предмет Правне основе информационих система, Дракулић Мирјана, Дракулић Ратимир, Јовановић Светлана, Кривокапић Ђорђе"http://myelab.net/moodle/mod/resource/view.php?id=9927[мртва веза]
- ^ „www.cc.gatech.edu Digital steganography” (PDF). Приступљено 3. 5. 2011.
- ^ а б „Spasavanje Digitalnih Dokaza | Data Solutions”. Архивирано из оригинала 18. 01. 2012. г. Приступљено 3. 5. 2011.
- ^ "Steganographic techniques"http://cs.wellesley.edu/~crypto/lectures/tr10.pdf Архивирано на сајту Wayback Machine (11. јул 2010)
- [[#cite_ref-urlAudio_Steganography�Echo_Data_Hiding_Jeff_England_EE_6886_15-0|^]] „Audio Steganography Echo Data Hiding Jeff England EE 6886”. Архивирано из оригинала 27. 12. 2011. г. Приступљено 3. 5. 2011.
- ^ „Secure Steganography for Audio Signals PDF ebook online”. Архивирано из оригинала 12. 05. 2011. г. Приступљено 3. 5. 2011.
- ^ „www.cs.unc.edu Shadow%20Accounting-NCURA”. Приступљено 3. 5. 2011.
- ^ „Data Shadow Systems - Shedding Light on Data Shadow Systems”. Архивирано из оригинала 09. 01. 2011. г. Приступљено 3. 5. 2011.
- ^ „www.cs.unc.edu Implementing Shadow Accounting Systems”. Приступљено 3. 5. 2011.
- ^ Portal za elektronsko učenje Laboratorije za elektronsko poslovanje: Pristup sistemu[мртва веза], Приступљено 25. 4. 2013.
- ^ Spasavanje Digitalnih Dokaza | Data Solutions Архивирано на сајту Wayback Machine (1. октобар 2012), Приступљено 25. 4. 2013.
Литература
уреди- Carrier, Brian D. (2006). „Risks of live digital forensic analysis”. Communications of the ACM. 49 (2): 56—61. ISSN 0001-0782. doi:10.1145/1113034.1113069.
- Dr Mirjana Drakulic, mr Ratimir Drakulic "Izazovi Cyber prostora - Cyber forenzika", Casopis Internet ogledalo br.56
- Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8.
Спољашње везе
уреди- Дигитална форензика: вести, информације и ресурси
- Компјутерска форензика, спасавање дигиталних доказа
- Дигитални докази Архивирано на сајту Wayback Machine (29. октобар 2013)
- Фирма “Data Solutions”
- Дигитални доказ и компјутерска форензика
- Дигитални докази и место злочина
- Дигитална ителигенција, тренинг и информације о дигиталној форензици
- Вики форензика
- Конференција о напретку дигиталне форензике
- Светски форум дигиталне форензике
- Министарство правде Републике Србије
- Републички завод за информатику и Интернет
- Републичка агенција за телекомуникације
- Република Србија, одељење за борбу против високотехнолошког криминала
- Магазин дигиталне форензике
- Digital Forensics Association
- International jurnal of digital evidence
- Steganography Analysis and Research Center
- Удружење судских вештака за информационе технологије
- Удружење дигитална форензика на Фејсбуку