Спасавање дигиталних доказа

Спасавање дигиталних доказа је процес проналажења и прикупљања података односно доказа, који се користи у дигиталној форензици (енгл. Cyber forensics).[1][2]

Дигитални докази

Дигитални доказ је информација која има доказујућу вредност, а која може бити складиштена или пренесена у дигиталном облику.[3] Дигитални докази могу бити складиштени на тврдом диску (енгл. hard disk), компакт-диску (енгл. compact disc), или неком другом уређају секундарне меморије. У току судског процеса или криминалне истраге, дешава се да дигитални докази буду обрисани од стране сајбер криминалаца, кракера или неких других особа, док је посао сајбер форензичара да те дигиталне доказе спасу односно да их учине доступним и релевантним[4][5]. Често се дешава да подаци приликом коришћења и обраде остају у фрагментима меморије независно од знања корисника.

Прикупљање обрисаних података

уреди
 
Унутрашњост (глава) тврдог диска

Брисање датотека је начин уклањања датотека из система датотека рачунара. Разлози за брисање датотеке[6] су:

Сви оперативни системи садрже команде за брисање фајлова (rm на Униксу, delete/del у МС-ДОСу, Windows-у и сл.). Међутим, приликом брисања датотеке уз помоћ алата оперативног система, датотека не нестаје са тврог диска већ се уклања показивач на ту датотеку из табеле садржаја диска[7] (енгл. File Allocation Table - FAT). Линукс фајл системи користе друге методе алокације и записивања фајлова, познате као INOD-e.

Када се датотека уклони из оперативног система, простор који је заузимала означава се као неалоциран, односно простор у који систем може сместити нове податке. Услед све бржег развоја технологије и повећања капацитета дискова дешава се да фрагменти датотеке често остају у меморији, а главни разлог томе је управо велики капацитет дискова. На тај начин сајбер форензичари успевају да прикупе податке за које се мислило да су претходно обрисани.

Проналажење скривених података

уреди
 
Структура диска:
(A) Трака
(B) Геометрични сектор
(C) Сектор траке
(D) Кластер

Проналажење скривених података представља најважнији део спасавања дигиталних доказа. Скривени подаци су подаци који су замаскирани односно сакривени на некој од зона диска. Обзиром да скривени подаци остају присутни и након репартиционирања диска, ова фаза може довести до доказа помоћу којих би се решио случај.

Начини на који сајбер криминалаци и кракери сакривају податке углавом су:

Сектор диска представља минималну адресабилну јединицу за складиштење података на Диску и то је јединица која има фиксну величину (512 бајтова за магнетне дискове и 2048 бајтова за оптичке дискове. У простору између сектора на већим тракама односно стазама диска (енгл. sector gap) је могуће да се сакрије велика количина података. Ова особина је изузетно важна за случајеве дигиталне форензике и омогућава сајбер форензичарима да пронађу скривене податке.

Слек простор

уреди

У рачунарској форензици Слек (енгл. Slack) се односи на бајтове после логичног краја датотеке и краја кластера у којима се коначни бајт важећег фајла налази.[8][9] Слек простор настаје као последица величине датотека, која не одговара величини кластера у који је та датотека уписана.

Фајл слек типови:

Битна ствар код слек простора јесте да се он не може искористити намерно. Обзиром да оперативни системи МС-ДОС и Windows користе слек да попуне системску RAM меморију, у овом простору се могу наћи разне врсте података који ће користити приликом форензичке истраге.[10]

Стеганографија

уреди
 
Слика дрвета. Уклањање свих осим два најмање значајна бита за сваку компоненту боје даје скоро потпуно црну слику. Ако би се та слика направила светлијом 85. пута, добила би се слика испод.
 
Слика мачке добијена из слике изнад.

Стеганографија је једна од дисциплина дигиталне форензике, која на веродостојан начин може доказати да је један рачунар коришћен у сврхе компјутерског криминала. У истражном поступку, детекција постојања стеганографије представља најтежи део, нарочито ако се узму у обзир велике мреже, попут интернета, где постоји велики проток информација.

Стеганографија представља сакривање података унутар података.[11][12] To је врста енкрипције, која се обавља помоћу слободног простора или променом вредности бита који је најмање значајан.[13]

Технике дигиталне стеганографије укључују[14]:

Да би се утврдило постојање скривених битова и сам редослед њиховог распореда потребно је познавати кључ по којем су они размештени, тако да само онај ко има шифру може успешно реконструисати датотеку. Наравно као и за сваку другу шифру и за ово постоји решење, постоји неколико антистеганографских програма који могу уочити постојање скривених датотека.

Алтернативни токови података

уреди

Алтернативни токови података представљају још један од могућих извора информација у оквиру компјутерске форензике. Овај појам се односи на НТФС фајл систем који подржава ову могућност[11]. Ток било које величине може се креирати и повезати са нормално видљивом датотеком (родитељ), али овај ток остаје скривен и могуће га је детектовати једино специјалним програмом. Ови токови података имају потпуно легитимну намену. Наиме, помоћу токова могуће је користити Мекинтош/Епл датотеке. Свака Мекинтош датотека поседује два дела: ресурc део и дата део. Први део се крије у алтернативном току. Постоји још једна функција коју токови обављају а то је складиштење контролних сума за антивирусне програме. Ови токови се могу повезати и са датотекама и директоријумима.

Ток се не може директно обрисати без брисања датотеке родитеља. Многи програми који уништавају податке бришу једино родитеље док остављају токове. Такође вируси и тројанци користе токове за сакривање. Криминалци их могу користити за сакривање инкриминишућих података.[13]

Shadow подаци

уреди

Shadow системи[17][18] ( сенка података, системи за сенке података, сенке информационе технологије, сенке рачуноводствених система[19] или краће: shadow IT) се састоје од малих база података и / или табела развијених за коришћење од стране крајњих корисника, изван директне контроле ИТ одељења организације.

Један од начина за спасавање и прикупљање дигиталних доказа јесте преко shadow података[20][21].Shadow подаци настају као диспропорција односно разлика у вертикалном и хоризонталном позиционирању магнетних глава. Када се приступа одређеном сектору диска, позиције глава које приступају нису идентичне. Разлика у овим позицијама омогућава подацима да и после преписивања остану присутни.

Референце

уреди
  1. ^ „'Electronic Crime Scene Investigation Guide: A Guide for First Responders” (PDF). Приступљено 3. 5. 2011. 
  2. ^ „Handbook of Digital Forensics and ... - Google Books”. Приступљено 3. 5. 2011. 
  3. ^ „SINGIPEDIA - Digitalni dokazi”. Архивирано из оригинала 29. 10. 2013. г. Приступљено 3. 5. 2011. 
  4. ^ Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8. 
  5. ^ Noblett, Michael G.; Pollitt, Mark M., Lawrence A. Presley (2000). „Recovering and examining computer forensic evidence”. Архивирано из оригинала 07. 07. 2011. г. Приступљено 26. 7. 2010. 
  6. ^ „Disposal of Disk and Tape Data by Secure Sanitization”. Архивирано из оригинала 01. 02. 2010. г. Приступљено 3. 5. 2011. 
  7. ^ "Факултет Организационих Наука Београд, предмет Правне основе информационих система, Дракулић Мирјана, Дракулић Ратимир, Јовановић Светлана, Кривокапић Ђорђе"http://myelab.net/moodle/mod/resource/view.php?id=9927[мртва веза]
  8. ^ „NTI - File Slack Defined”. Архивирано из оригинала 22. 11. 2010. г. Приступљено 3. 5. 2011. 
  9. ^ „Slack - Forensics Wiki”. Архивирано из оригинала 10. 06. 2011. г. Приступљено 3. 5. 2011. 
  10. ^ „УВОД У ФОРЕНЗИЧКЕ НАУКЕ”. Архивирано из оригинала 20. 12. 2013. г. Приступљено 3. 5. 2011. 
  11. ^ а б "Факултет Организационих Наука Београд, предмет Правне основе информационих система, Дракулић Мирјана, Дракулић Ратимир, Јовановић Светлана, Кривокапић Ђорђе"http://myelab.net/moodle/mod/resource/view.php?id=9927[мртва веза]
  12. ^ „www.cc.gatech.edu Digital steganography” (PDF). Приступљено 3. 5. 2011. 
  13. ^ а б „Spasavanje Digitalnih Dokaza | Data Solutions”. Архивирано из оригинала 18. 01. 2012. г. Приступљено 3. 5. 2011. 
  14. ^ "Steganographic techniques"http://cs.wellesley.edu/~crypto/lectures/tr10.pdf Архивирано на сајту Wayback Machine (11. јул 2010)
  15. [[#cite_ref-urlAudio_Steganography�Echo_Data_Hiding_Jeff_England_EE_6886_15-0|^]] „Audio Steganography Echo Data Hiding Jeff England EE 6886”. Архивирано из оригинала 27. 12. 2011. г. Приступљено 3. 5. 2011. 
  16. ^ „Secure Steganography for Audio Signals PDF ebook online”. Архивирано из оригинала 12. 05. 2011. г. Приступљено 3. 5. 2011. 
  17. ^ „www.cs.unc.edu Shadow%20Accounting-NCURA”. Приступљено 3. 5. 2011. 
  18. ^ „Data Shadow Systems - Shedding Light on Data Shadow Systems”. Архивирано из оригинала 09. 01. 2011. г. Приступљено 3. 5. 2011. 
  19. ^ „www.cs.unc.edu Implementing Shadow Accounting Systems”. Приступљено 3. 5. 2011. 
  20. ^ Portal za elektronsko učenje Laboratorije za elektronsko poslovanje: Pristup sistemu[мртва веза], Приступљено 25. 4. 2013.
  21. ^ Spasavanje Digitalnih Dokaza | Data Solutions Архивирано на сајту Wayback Machine (1. октобар 2012), Приступљено 25. 4. 2013.

Литература

уреди

Спољашње везе

уреди