Spasavanje digitalnih dokaza

Spasavanje digitalnih dokaza je proces pronalaženja i prikupljanja podataka odnosno dokaza, koji se koristi u digitalnoj forenzici (engl. Cyber forensics).^[1]^[2]

Digitalni dokaz je informacija koja ima dokazujuću vrednost, a koja može biti skladištena ili prenesena u digitalnom obliku.^[3] Digitalni dokazi mogu biti skladišteni na tvrdom disku (engl. hard disk), kompakt-disku (engl. compact disc), ili nekom drugom uređaju sekundarne memorije. U toku sudskog procesa ili kriminalne istrage, dešava se da digitalni dokazi budu obrisani od strane sajber kriminalaca, krakera ili nekih drugih osoba, dok je posao sajber forenzičara da te digitalne dokaze spasu odnosno da ih učine dostupnim i relevantnim^[4]^[5]. Često se dešava da podaci prilikom korišćenja i obrade ostaju u fragmentima memorije nezavisno od znanja korisnika.

Prikupljanje obrisanih podataka[uredi | uredi izvor]

Brisanje datoteka je način uklanjanja datoteka iz sistema datoteka računara. Razlozi za brisanje datoteke^[6] su:

Oslobađanje prostora na disku
Uklanjanje dupliranih i nepotrebnih podataka kako bi se izbegle zabune
Izrada osetljivih informacija nedostupnih drugima

Svi operativni sistemi sadrže komande za brisanje fajlova (rm na Uniksu, delete/del u MS-DOSu, Windows-u i sl.). Međutim, prilikom brisanja datoteke uz pomoć alata operativnog sistema, datoteka ne nestaje sa tvrog diska već se uklanja pokazivač na tu datoteku iz tabele sadržaja diska ^[7] (engl. File Allocation Table - FAT). Linuks fajl sistemi koriste druge metode alokacije i zapisivanja fajlova, poznate kao INOD-e.

Kada se datoteka ukloni iz operativnog sistema, prostor koji je zauzimala označava se kao nealociran, odnosno prostor u koji sistem može smestiti nove podatke. Usled sve bržeg razvoja tehnologije i povećanja kapaciteta diskova dešava se da fragmenti datoteke često ostaju u memoriji, a glavni razlog tome je upravo veliki kapacitet diskova. Na taj način sajber forenzičari uspevaju da prikupe podatke za koje se mislilo da su prethodno obrisani.

Pronalaženje skrivenih podataka[uredi | uredi izvor]

Struktura diska:
(A) Traka
(B) *Geometrični* **sektor**
(C) Sektor trake
(D) Klaster

Pronalaženje skrivenih podataka predstavlja najvažniji deo spasavanja digitalnih dokaza. Skriveni podaci su podaci koji su zamaskirani odnosno sakriveni na nekoj od zona diska. Obzirom da skriveni podaci ostaju prisutni i nakon reparticioniranja diska, ova faza može dovesti do dokaza pomoću kojih bi se rešio slučaj.

Načini na koji sajber kriminalaci i krakeri sakrivaju podatke uglavom su:

Disk-editor (engl. disk editor)
Steganografija
Enkripcija (engl. Encryption)

Sektor diska predstavlja minimalnu adresabilnu jedinicu za skladištenje podataka na Disku i to je jedinica koja ima fiksnu veličinu (512 bajtova za magnetne diskove i 2048 bajtova za optičke diskove. U prostoru između sektora na većim trakama odnosno stazama diska (engl. sector gap) je moguće da se sakrije velika količina podataka. Ova osobina je izuzetno važna za slučajeve digitalne forenzike i omogućava sajber forenzičarima da pronađu skrivene podatke.

Slek prostor[uredi | uredi izvor]

U računarskoj forenzici Slek (engl. Slack) se odnosi na bajtove posle logičnog kraja datoteke i kraja klastera u kojima se konačni bajt važećeg fajla nalazi.^[8]^[9] Slek prostor nastaje kao posledica veličine datoteka, koja ne odgovara veličini klastera u koji je ta datoteka upisana.

Fajl slek tipovi:

RAM slek: prostor skladištenja podataka, koji postoji od kraja datoteke do kraja poslednjeg sektora dodeljenog toj datoteci.
Drajv(engl. sector gap) Slek: prostor skladištenja podataka, koji postoji od kraja poslednjeg sektora dodeljenog datoteci, do kraja posednjeg klastera dodeljenog datoteci.

Bitna stvar kod slek prostora jeste da se on ne može iskoristiti namerno. Obzirom da operativni sistemi MS-DOS i Windows koriste slek da popune sistemsku RAM memoriju, u ovom prostoru se mogu naći razne vrste podataka koji će koristiti prilikom forenzičke istrage.^[10]

Steganografija[uredi | uredi izvor]

Slika drveta. Uklanjanje svih osim dva najmanje značajna bita za svaku komponentu boje daje skoro potpuno crnu sliku. Ako bi se ta slika napravila svetlijom 85. puta, dobila bi se slika ispod.

Steganografija je jedna od disciplina digitalne forenzike, koja na verodostojan način može dokazati da je jedan računar korišćen u svrhe kompjuterskog kriminala. U istražnom postupku, detekcija postojanja steganografije predstavlja najteži deo, naročito ako se uzmu u obzir velike mreže, poput interneta, gde postoji veliki protok informacija.

Steganografija predstavlja sakrivanje podataka unutar podataka.^[11]^[12] To je vrsta enkripcije, koja se obavlja pomoću slobodnog prostora ili promenom vrednosti bita koji je najmanje značajan.^[13]

Tehnike digitalne steganografije uključuju^[14]:

Sakrivanje poruka u najniže bitove slika sa šumom ili u audio datoteke.
Sakrivanje podataka u šifrovane podatake ili u slučajne podatake.
Čafing i izdvajanje(engl. Chaffing and winnowing).
Funkcije mimike konvertuju jedan fajl kako bi imali statički profil drugog.
Skrivene poruke u neovlašćeno izvršne datoteke, koristeći višak u ciljani skup instrukcija.
Slike ugrađene u video materijal .
Neprimetnog kašnjenja paketa koji se šalju preko mreže sa tastature. Kašnjenja u pritiskanju tastera u nekim aplikacijama (Telnet ili Remote Desktop softver) može da znači odlaganje slanja paketima, a kašnjenja u slanju paketa mogu da se koriste za kodiranje podataka.
Promena redosleda elemenata u setu.
Blog-Steganografija. Poruke su podeljene u delove i (šifrovani) delovi se dodaju kao komentari na veb-logove. U ovom slučaju je izbor blogova simetrični ključ koji pošiljalac i primalac koriste, nosilac skrivene poruke je cela blogosfera.
Modifikovanje EHO zvučne datoteke (EHO Steganografija).^{[[#cite_note-urlAudio_Steganography�Echo_Data_Hiding_Jeff_England_EE_6886-15|[15]]]}
Sigurna Steganografija za audio signale.^[16]

Da bi se utvrdilo postojanje skrivenih bitova i sam redosled njihovog rasporeda potrebno je poznavati ključ po kojem su oni razmešteni, tako da samo onaj ko ima šifru može uspešno rekonstruisati datoteku. Naravno kao i za svaku drugu šifru i za ovo postoji rešenje, postoji nekoliko antisteganografskih programa koji mogu uočiti postojanje skrivenih datoteka.

Alternativni tokovi podataka[uredi | uredi izvor]

Alternativni tokovi podataka predstavljaju još jedan od mogućih izvora informacija u okviru kompjuterske forenzike. Ovaj pojam se odnosi na NTFS fajl sistem koji podržava ovu mogućnost^[11]. Tok bilo koje veličine može se kreirati i povezati sa normalno vidljivom datotekom (roditelj), ali ovaj tok ostaje skriven i moguće ga je detektovati jedino specijalnim programom. Ovi tokovi podataka imaju potpuno legitimnu namenu. Naime, pomoću tokova moguće je koristiti Mekintoš/Epl datoteke. Svaka Mekintoš datoteka poseduje dva dela: resurc deo i data deo. Prvi deo se krije u alternativnom toku. Postoji još jedna funkcija koju tokovi obavljaju a to je skladištenje kontrolnih suma za antivirusne programe. Ovi tokovi se mogu povezati i sa datotekama i direktorijumima.

Tok se ne može direktno obrisati bez brisanja datoteke roditelja. Mnogi programi koji uništavaju podatke brišu jedino roditelje dok ostavljaju tokove. Takođe virusi i trojanci koriste tokove za sakrivanje. Kriminalci ih mogu koristiti za sakrivanje inkriminišućih podataka.^[13]

Shadow podaci[uredi | uredi izvor]

Shadow sistemi^[17]^[18] ( senka podataka, sistemi za senke podataka, senke informacione tehnologije, senke računovodstvenih sistema^[19] ili kraće: shadow IT) se sastoje od malih baza podataka i / ili tabela razvijenih za korišćenje od strane krajnjih korisnika, izvan direktne kontrole IT odeljenja organizacije.

Jedan od načina za spasavanje i prikupljanje digitalnih dokaza jeste preko shadow podataka^[20]^[21].Shadow podaci nastaju kao disproporcija odnosno razlika u vertikalnom i horizontalnom pozicioniranju magnetnih glava. Kada se pristupa određenom sektoru diska, pozicije glava koje pristupaju nisu identične. Razlika u ovim pozicijama omogućava podacima da i posle prepisivanja ostanu prisutni.

Reference[uredi | uredi izvor]

^ „'Electronic Crime Scene Investigation Guide: A Guide for First Responders” (PDF). Pristupljeno 3. 5. 2011.
^ „Handbook of Digital Forensics and ... - Google Books”. Pristupljeno 3. 5. 2011.
^ „SINGIPEDIA - Digitalni dokazi”. Arhivirano iz originala 29. 10. 2013. g. Pristupljeno 3. 5. 2011.
^ Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8.
^ Noblett, Michael G.; Pollitt, Mark M., Lawrence A. Presley (2000). „Recovering and examining computer forensic evidence”. Arhivirano iz originala 07. 07. 2011. g. Pristupljeno 26. 7. 2010.
^ „Disposal of Disk and Tape Data by Secure Sanitization”. Arhivirano iz originala 01. 02. 2010. g. Pristupljeno 3. 5. 2011.
^ "Fakultet Organizacionih Nauka Beograd, predmet Pravne osnove informacionih sistema, Drakulić Mirjana, Drakulić Ratimir, Jovanović Svetlana, Krivokapić Đorđe"http://myelab.net/moodle/mod/resource/view.php?id=9927^{[mrtva veza]}
^ „NTI - File Slack Defined”. Arhivirano iz originala 22. 11. 2010. g. Pristupljeno 3. 5. 2011.
^ „Slack - Forensics Wiki”. Arhivirano iz originala 10. 06. 2011. g. Pristupljeno 3. 5. 2011.
^ „UVOD U FORENZIČKE NAUKE”. Arhivirano iz originala 20. 12. 2013. g. Pristupljeno 3. 5. 2011.
^ ^a ^b "Fakultet Organizacionih Nauka Beograd, predmet Pravne osnove informacionih sistema, Drakulić Mirjana, Drakulić Ratimir, Jovanović Svetlana, Krivokapić Đorđe"http://myelab.net/moodle/mod/resource/view.php?id=9927^{[mrtva veza]}
^ „www.cc.gatech.edu Digital steganography” (PDF). Pristupljeno 3. 5. 2011.
^ ^a ^b „Spasavanje Digitalnih Dokaza | Data Solutions”. Arhivirano iz originala 18. 01. 2012. g. Pristupljeno 3. 5. 2011.
^ "Steganographic techniques"http://cs.wellesley.edu/~crypto/lectures/tr10.pdf Arhivirano na sajtu Wayback Machine (11. јул 2010)
[[#cite_ref-urlAudio_Steganography�Echo_Data_Hiding_Jeff_England_EE_6886_15-0|^]] „Audio Steganography Echo Data Hiding Jeff England EE 6886”. Приступљено 3. 5. 2011.
^ „Secure Steganography for Audio Signals PDF ebook online”. Архивирано из оригинала 12. 05. 2011. г. Приступљено 3. 5. 2011.
^ „www.cs.unc.edu Shadow%20Accounting-NCURA”. Приступљено 3. 5. 2011.
^ „Data Shadow Systems - Shedding Light on Data Shadow Systems”. Архивирано из оригинала 09. 01. 2011. г. Приступљено 3. 5. 2011.
^ „www.cs.unc.edu Implementing Shadow Accounting Systems”. Приступљено 3. 5. 2011.
^ Portal za elektronsko učenje Laboratorije za elektronsko poslovanje: Pristup sistemu^{[мртва веза]}, Приступљено 25. 4. 2013.
^ Spasavanje Digitalnih Dokaza | Data Solutions Архивирано на сајту Wayback Machine (1. oktobar 2012), Pristupljeno 25. 4. 2013.

Literatura[uredi | uredi izvor]

Carrier, Brian D. (2006). „Risks of live digital forensic analysis”. Communications of the ACM. 49 (2): 56—61. ISSN 0001-0782. doi:10.1145/1113034.1113069. |access-date= zahteva |url= (pomoć)
Dr Mirjana Drakulic, mr Ratimir Drakulic "Izazovi Cyber prostora - Cyber forenzika", Casopis Internet ogledalo br.56
Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8.

Spoljašnje veze[uredi | uredi izvor]

[urlwww.ncjrs.gov-1] „'Electronic Crime Scene Investigation Guide: A Guide for First Responders” (PDF). Pristupljeno 3. 5. 2011.

[urlHandbook_of_Digital_Forensics_and_..._-_Google_Books-2] „Handbook of Digital Forensics and ... - Google Books”. Pristupljeno 3. 5. 2011.

[urlSINGIPEDIA_-_Digitalni_dokazi-3] „SINGIPEDIA - Digitalni dokazi”. Arhivirano iz originala 29. 10. 2013. g. Pristupljeno 3. 5. 2011.

[casey-4] Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8.

[noblett-5] Noblett, Michael G.; Pollitt, Mark M., Lawrence A. Presley (2000). „Recovering and examining computer forensic evidence”. Arhivirano iz originala 07. 07. 2011. g. Pristupljeno 26. 7. 2010.

[urlDisposal_of_Disk_and_Tape_Data_by_Secure_Sanitization-6] „Disposal of Disk and Tape Data by Secure Sanitization”. Arhivirano iz originala 01. 02. 2010. g. Pristupljeno 3. 5. 2011.

[7] "Fakultet Organizacionih Nauka Beograd, predmet Pravne osnove informacionih sistema, Drakulić Mirjana, Drakulić Ratimir, Jovanović Svetlana, Krivokapić Đorđe"http://myelab.net/moodle/mod/resource/view.php?id=9927^{[mrtva veza]}

[urlNTI_-_File_Slack_Defined-8] „NTI - File Slack Defined”. Arhivirano iz originala 22. 11. 2010. g. Pristupljeno 3. 5. 2011.

[urlSlack_-_Forensics_Wiki-9] „Slack - Forensics Wiki”. Arhivirano iz originala 10. 06. 2011. g. Pristupljeno 3. 5. 2011.

[urlУВОД_У_ФОРЕНЗИЧКЕ_НАУКЕ-10] „UVOD U FORENZIČKE NAUKE”. Arhivirano iz originala 20. 12. 2013. g. Pristupljeno 3. 5. 2011.

[autogenerated1-11] "Fakultet Organizacionih Nauka Beograd, predmet Pravne osnove informacionih sistema, Drakulić Mirjana, Drakulić Ratimir, Jovanović Svetlana, Krivokapić Đorđe"http://myelab.net/moodle/mod/resource/view.php?id=9927^{[mrtva veza]}

[urlwww.cc.gatech.edu-12] „www.cc.gatech.edu Digital steganography” (PDF). Pristupljeno 3. 5. 2011.

[urlSpasavanje_Digitalnih_Dokaza_|_Data_Solutions-13] „Spasavanje Digitalnih Dokaza | Data Solutions”. Arhivirano iz originala 18. 01. 2012. g. Pristupljeno 3. 5. 2011.

[14] "Steganographic techniques"http://cs.wellesley.edu/~crypto/lectures/tr10.pdf Arhivirano na sajtu Wayback Machine (11. јул 2010)

[urlAudio_Steganography�Echo_Data_Hiding_Jeff_England_EE_6886-15] [[#cite_ref-urlAudio_Steganography�Echo_Data_Hiding_Jeff_England_EE_6886_15-0|^]] „Audio Steganography Echo Data Hiding Jeff England EE 6886”. Приступљено 3. 5. 2011.

[urlSecure_Steganography_for_Audio_Signals_PDF_ebook_online-16] „Secure Steganography for Audio Signals PDF ebook online”. Архивирано из оригинала 12. 05. 2011. г. Приступљено 3. 5. 2011.

[urlwww.cs.unc.edu-17] „www.cs.unc.edu Shadow%20Accounting-NCURA”. Приступљено 3. 5. 2011.

[urlData_Shadow_Systems-18] „Data Shadow Systems - Shedding Light on Data Shadow Systems”. Архивирано из оригинала 09. 01. 2011. г. Приступљено 3. 5. 2011.

[autogenerated2-19] „www.cs.unc.edu Implementing Shadow Accounting Systems”. Приступљено 3. 5. 2011.

[20] Portal za elektronsko učenje Laboratorije za elektronsko poslovanje: Pristup sistemu^{[мртва веза]}, Приступљено 25. 4. 2013.

[21] Spasavanje Digitalnih Dokaza | Data Solutions Архивирано на сајту Wayback Machine (1. oktobar 2012), Pristupljeno 25. 4. 2013.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[16]

[17]

[18]

[19]

[20]

[21]