Digitalna forenzika

Kompjuterska ili digitalna forenzika označava primenu naučnih metoda u cilju identifikacije, prikupljanja i analiziranja podataka uz očuvanje integriteta originalnog dokaza i lanca nadležnosti u cilju utvrđivanja potencijalnih digitalnih dokaza. Kompjuterska forenzika se može definisati i kao proces prikupljanja, očuvanja, analize i prezentovanja digitalnih dokaza. Forenzički alati omogućuju povraćaj i analizu obrisanih, skrivenih i privremenih fajlova kojima se ne može pristupiti na uobičajeni način. Kompletan sistem za prikupljanje, analizu i pravljenje izveštaja o dokazima prihvatljivim za sud kao i za oporavak izgubljenih podataka.^[1]^[2]

Opšti pojam[uredi | uredi izvor]

Digitalna forenzika je primena metoda istrage i tehnika analize u cilju pronalaženja pogodnih dokaza za sud na kompjuterima. Primena računarske nauke i matematike za pouzdano i nepristrasno prikupljanje, analizu, interpretaciju i prezentaciju digitalnih dokaza. Korišćenje naučno razvijenih i proverenih metoda za čuvanje, sakupljanje, validaciju, identifikaciju, analizu, interpretaciju, dokumentovanje i prezentovanje digitalnih dokaza dobijenih iz digitalnih izvora za potrebe rekonstrukcije događaja koji je okarakterisan kao kriminal ili kao pomoć da se predvide neautorizovane akcije koje prete da prekinu planirane operacije.^[3]

Razvoj[uredi | uredi izvor]

Prva generacija

Različiti alati za pregled slika i dokumenata, pretragu, oporavak sistema i izradu izveštaja.

Druga generacija

Posebno dizajnirani i razvijeni forenzički alati: EnCase i drugi.

Treća generacija

Mrežne forenzike: trenutna, sigurna, efikasna forenzika putem LAN-a.^[3]

Podela forenzičkih alata[uredi | uredi izvor]

Prema načinu implementacije[uredi | uredi izvor]

hardverske alate
programske (softverske) alate

Prema oblasti upotrebe[uredi | uredi izvor]

alate za forenziku računarske mreže
alate za forenziku računarskog sistema
alate za analizu drugih digitalnih uređaja (npr. PDA, mobilnih telefona, itd.)
alate za forenziku softvera (malicioznih kodova)

Prema tipu koda[uredi | uredi izvor]

programske alate otvorenog koda
licencirane programske alate

Prema platformi na kojoj rade[uredi | uredi izvor]

alate koji rade na Windows platformi
alate koji rade na linuksu i drugim platformama

Prema fazi procesa koji obavljaju u forenzičkoj istrazi[uredi | uredi izvor]

alate za pravljenje sterilnih medijuma
alate za pravljenje fizičke kopije čvrstog diska
alate za oporavak podataka
alate za dešifrovanje podataka (razbijanje šifara)
alate za analizu digitalnog materijala
alate za dokumentovanje^[4]

Alati[uredi | uredi izvor]

EnCase[uredi | uredi izvor]

Programski alat namenjen forenzičkoj istrazi digitalnih dokaza firme Guidance Software. Danas se koristi kao najnapredniji sigurnosni alat, a kao standard su ga prihvatile većina vodećih kompanija i organizacija u oblasti digitalne forenzike. Omogućava i olakšava sudskim veštacima i IT stručnjacima istraživanje slučajeva, akviziciju i analizu dokaznog materijala i što je svakako najvažnije za IT veštake jeste da ne omogućava izmenu podatak preuzetih sa korumpiranog računara.

EnCase se danas isporučuje u više varijacija, a aktuelna verzija osovnog alata je 6.0. Starije verzije se mogu naći na internetu dok je novija verzija dostupna samo vladinim i obrazovnim institucijama. Zanimljivo je da se za autentifikaciju svih novijih EnCase verzija koristi poseban USB uređaj, koji predstavlja ključ kojim se otključava softver.

Forensic Toolkit - FTK[uredi | uredi izvor]

Forensic Toolkit je jedan od najstarijih forenzičkih softvera. Zbog grafičkog interfejsa i rada na Microsoft Windows operativnim sistemu postao je veoma popularan među forenzičarima. Njegov integralni deo, FTK Imager je možda i najpoznatiji softverski alat za „bit po bit“ kopiranje, a koji se može skinuti i besplatno sa interneta. Slike diskova napravljene FTK Imager programa priznate su na sudu kao valjani dokazi. Osim toga objedinjuje sve sotale postojeće formate za pravljenje forenzičkih kopija.^[5]

DriveSpy[uredi | uredi izvor]

Forenzički alat za DOS operativni sistem koji je razvila kompanija Digital Inteligence. Iako nema razvijen grafički interfejs alat je dosta popularam među forenzičarima jer je program veličine samo 11kb i lako je prenosiv na svim medijima. Inače radi se o alatu koji proširuje osnove MS-DOS funkcije, a sadrži sve potrebno za kopiranje i ispitivanje sadržaja diska. Dodatne funkcije su i kreiranje MD5 heša za kopirani disk, particiju ili izabrane datoteke, sigurno brisanje diska.

Alat do skoro nije imao podršku za prenosive memorije to jest DOS OS ih nije prepoznaovao. Ipak poslednja verzija sadrži dodatak koji pokreće upravljačke programa i omogućava pristup i rad sa USB fleš diskovima, dok po rečima autora softvera, pristup ostalim memorijskim karticama zavisi od proizvođača, čitača, tipa i slično.

Helix[uredi | uredi izvor]

Helix je možda najpoznatija forenzičarska distribucija. Svoju popularnost, između ostalog, Helix duguje i tome što je do poslednje verzije (objavljene u martu 2009. godine) bio potpuno besplatan. Njegova najnovija verzija, koja se za razliku od prethodnih, koje su se zasnivale na Knoppix distribuciji, zasniva se na Ubuntu Linux. U najpovoljnijem obliku košta 239 dolara godišnje (isključivo za akademske institucije).

Helix spada u grupu softvera namenjenih radu direktno sa CD-ROM medijima. Bez obzira o kojoj se osnovnoj verziji Linux OS radi, Helix je modifikovan na način da nikad ne koristi svap particiju i da prepoznaje skoro sve moguće fajl sisteme. Važna funkcionalnost Helix distribucije je i mogućnost pokretanja u obliku samostalne aplikacije na Microsoft Windows operativnim sistemima. Pri tome su raspoloživi različiti alati namenjeni u forenzičke svrhe. Tom funkcionalnošću Helix je razdeljen u program koji analizira podignute Microsoft Windows sisteme i Linux operativni sistem koji se samostalno podiže.

VMware[uredi | uredi izvor]

VMware je popularan proizvod za virtuelizaciju (VMware Workstation 7.x je aktuelna verzija) koji omogućava kreiranje pseudo računara i pseudo mreža, koji za sve koriste hardver jednog sistema. Ova mogućnost ima mnoge prednosti. Na primer, može se podesiti kao gost operativni sistem, instalirati potrebni forenzički alati, od njega napraviti slika sistema, raditi na njemu, a po potrebi uvek dovesti u prekonfigurisano stanje. Sa njega je moguće, izvršiti sve vrste ispitivanja, uključujući instaliranje i praćenje štetnih programa, ponavljanje sigurnosnog incidenta..

Kada su u pitanju prenosive memorije, VMware nudi opciju da uređaj uopšte nema kontakt sa računarom domaćinom. Praktično, ukoliko korisnik to želi, VMware će, ako je instaliran na operativnom sistemu kompanije Microsoft, blokirati svaku vezu između uređaja i tog operativnog sistema. Ipak, iako proizvođači tvrde da nema ikakvih šansi da dođe do kontakta, treba primeniti Write Protect zaštitu na operativnom sistemu sa kojeg se podiže VMware stanica.^[6]

Ostali alati[uredi | uredi izvor]

U današnjem, razvijenom, tržištu veliki je broj kompanija koji pokušavaju manje ili više uspešno da se nađu među onima koje proizvode forenzičke softverske alate. Veliki je broj onih alata koji se bave samo pravljenjem forenzičkih kopija, jer to i nije veliki programerski zadatak, a kod brojnih alata, može se naći na internetu. Najčešće, jedina prednost ovih alata je lepši, intiutivniji grafički interfejs koji i početnicima omogućava rad. Među ovim najpoznatiji alati, koji rade i sa prenosivim memorijama su^[7]:

Forensic Replicator
Norton Ghost,
SafeBack
SMART
WinHex
ProDiscover
Deft
Caine

Vidi još[uredi | uredi izvor]

EnCase

Reference[uredi | uredi izvor]

^ Various (2009). Eoghan Casey, ur. Handbook of Digital Forensics and Investigation. Academic Press. str. 567. ISBN 978-0-12-374267-4. Pristupljeno 27. 8. 2010.
^ Reith, M; Carr, C; Gunsch, G (2002). „An examination of digital forensic models”. International Journal of Digital Evidence. Pristupljeno 2. 8. 2010.
^ ^a ^b „Sajt predmeta Poslovni informacioni sistemi”. Arhivirano iz originala 06. 05. 2012. g. Pristupljeno 24. 04. 2012.
^ „Singipedia”. Arhivirano iz originala 09. 06. 2010. g. Pristupljeno 24. 04. 2012.
^ „Accessdata”. Arhivirano iz originala 19. 11. 2010. g. Pristupljeno 24. 04. 2012.
^ „Forenscic focus”. Arhivirano iz originala 13. 03. 2016. g. Pristupljeno 24. 04. 2012.
^ „Singipedia Master radovi”. Arhivirano iz originala 01. 02. 2012. g. Pristupljeno 24. 04. 2012.

Literatura[uredi | uredi izvor]

Carrier, Brian D. (februar 2006). „Risks of live digital forensic analysis”. Communications of the ACM. 49 (2): 56—61. ISSN 0001-0782. doi:10.1145/1113034.1113069. Pristupljeno 31. 8. 2010.
Kanellis, Panagiotis. Digital crime and forensic science in cyberspace. IGI Publishing. str. 357—. ISBN 978-1-59140-873-4.
Jones, Andrew (2008). Building a Digital Forensic Laboratory. Butterworth-Heinemann. str. 312—. ISBN 978-1-85617-510-4.
Marshell, Angus M. (2008). Digital forensics: digital evidence in criminal investigation. Wiley-Blackwell. str. 148—. ISBN 978-0-470-51775-8.
„Timeline of computer forensics”.

Spoljašnje veze[uredi | uredi izvor]

Digital Forensics Association
Digital Forensics Magazine
Forensix
Лабораторија за дигиталну форензику
Data Solutions
EliteSecurity Arhivirano na sajtu Wayback Machine (25. april 2012)

[handbook-1] Various (2009). Eoghan Casey, ur. Handbook of Digital Forensics and Investigation. Academic Press. str. 567. ISBN 978-0-12-374267-4. Pristupljeno 27. 8. 2010.

[ijde-2002-2] Reith, M; Carr, C; Gunsch, G (2002). „An examination of digital forensic models”. International Journal of Digital Evidence. Pristupljeno 2. 8. 2010.

[Сајт_предмета_Пословни_информациони_системи-3] „Sajt predmeta Poslovni informacioni sistemi”. Arhivirano iz originala 06. 05. 2012. g. Pristupljeno 24. 04. 2012.

[4] „Singipedia”. Arhivirano iz originala 09. 06. 2010. g. Pristupljeno 24. 04. 2012.

[5] „Accessdata”. Arhivirano iz originala 19. 11. 2010. g. Pristupljeno 24. 04. 2012.

[6] „Forenscic focus”. Arhivirano iz originala 13. 03. 2016. g. Pristupljeno 24. 04. 2012.

[7] „Singipedia Master radovi”. Arhivirano iz originala 01. 02. 2012. g. Pristupljeno 24. 04. 2012.

[1]

[2]

[3]

[4]

[5]

[6]

[7]