Дигитална форензика

Компјутерска или дигитална форензика означава примену научних метода у циљу идентификације, прикупљања и анализирања података уз очување интегритета оригиналног доказа и ланца надлежности у циљу утврђивања потенцијалних дигиталних доказа. Компјутерска форензика се може дефинисати и као процес прикупљања, очувања, анализе и презентовања дигиталних доказа. Форензички алати омогућују повраћај и анализу обрисаних, скривених и привремених фајлова којима се не може приступити на уобичајени начин. Комплетан систем за прикупљање, анализу и прављење извештаја о доказима прихватљивим за суд као и за опоравак изгубљених података.^[1]^[2]

Општи појам

Дигитална форензика је примена метода истраге и техника анализе у циљу проналажења погодних доказа за суд на компјутерима. Примена рачунарске науке и математике за поуздано и непристрасно прикупљање, анализу, интерпретацију и презентацију дигиталних доказа. Коришћење научно развијених и проверених метода за чување, сакупљање, валидацију, идентификацију, анализу, интерпретацију, документовање и презентовање дигиталних доказа добијених из дигиталних извора за потребе реконструкције догађаја који је окарактерисан као криминал или као помоћ да се предвиде неауторизоване акције које прете да прекину планиране операције.^[3]

Развој

Прва генерација

Различити алати за преглед слика и докумената, претрагу, опоравак система и израду извештаја.

Друга генерација

Посебно дизајнирани и развијени форензички алати: EnCase и други.

Трећа генерација

Мрежне форензике: тренутна, сигурна, ефикасна форензика путем ЛАН-а.^[3]

Подела форензичких алата

Према начину имплементације

хардверске алате
програмске (софтверске) алате

Према области употребе

алате за форензику рачунарске мреже
алате за форензику рачунарског система
алате за анализу других дигиталних уређаја (нпр. ПДА, мобилних телефона, итд.)
алате за форензику софтвера (малициозних кодова)

Према типу кода

програмске алате отвореног кода
лиценциране програмске алате

Према платформи на којој раде

алате који раде на Windows платформи
алате који раде на линуксу и другим платформама

Према фази процеса који обављају у форензичкој истрази

алате за прављење стерилних медијума
алате за прављење физичке копије чврстог диска
алате за опоравак података
алате за дешифровање података (разбијање шифара)
алате за анализу дигиталног материјала
алате за документовање^[4]

Алати

EnCase

Програмски алат намењен форензичкој истрази дигиталних доказа фирме Guidance Software. Данас се користи као најнапреднији сигурносни алат, а као стандард су га прихватиле већина водећих компанија и организација у области дигиталне форензике. Омогућава и олакшава судским вештацима и ИТ стручњацима истраживање случајева, аквизицију и анализу доказног материјала и што је свакако најважније за ИТ вештаке јесте да не омогућава измену податак преузетих са корумпираног рачунара.

EnCase се данас испоручује у више варијација, а актуелна верзија осовног алата је 6.0. Старије верзије се могу наћи на интернету док је новија верзија доступна само владиним и образовним институцијама. Занимљиво је да се за аутентификацију свих новијих EnCase верзија користи посебан USB уређај, који представља кључ којим се откључава софтвер.

Forensic Toolkit - FTK

Forensic Toolkit је један од најстаријих форензичких софтвера. Због графичког интерфејса и рада на Microsoft Windows оперативним систему постао је веома популаран међу форензичарима. Његов интегрални део, FTK Imager је можда и најпознатији софтверски алат за „бит по бит“ копирање, а који се може скинути и бесплатно са интернета. Слике дискова направљене FTK Imager програма признате су на суду као ваљани докази. Осим тога обједињује све сотале постојеће формате за прављење форензичких копија.^[5]

DriveSpy

Форензички алат за ДОС оперативни систем који је развила компанија Digital Inteligence. Иако нема развијен графички интерфејс алат је доста популарам међу форензичарима јер је програм величине само 11кб и лако је преносив на свим медијима. Иначе ради се о алату који проширује основе МС-ДОС функције, а садржи све потребно за копирање и испитивање садржаја диска. Додатне функције су и креирање МД5 хеша за копирани диск, партицију или изабране датотеке, сигурно брисање диска.

Алат до скоро није имао подршку за преносиве меморије то јест ДОС ОС их није препознавао. Ипак последња верзија садржи додатак који покреће управљачке програма и омогућава приступ и рад са USB флеш дисковима, док по речима аутора софтвера, приступ осталим меморијским картицама зависи од произвођача, читача, типа и слично.

Helix

Helix је можда најпознатија форензичарска дистрибуција. Своју популарност, између осталог, Helix дугује и томе што је до последње верзије (објављене у марту 2009. године) био потпуно бесплатан. Његова најновија верзија, која се за разлику од претходних, које су се заснивале на Knoppix дистрибуцији, заснива се на Ubuntu Linux. У најповољнијем облику кошта 239 долара годишње (искључиво за академске институције).

Helix спада у групу софтвера намењених раду директно са ЦД-РОМ медијима. Без обзира о којој се основној верзији Linux OS ради, Helix је модификован на начин да никад не користи свап партицију и да препознаје скоро све могуће фајл системе. Важна функционалност Helix дистрибуције је и могућност покретања у облику самосталне апликације на Microsoft Windows оперативним системима. При томе су расположиви различити алати намењени у форензичке сврхе. Том функционалношћу Helix је раздељен у програм који анализира подигнуте Microsoft Windows системе и Linux оперативни систем који се самостално подиже.

VMware

VMware је популаран производ за виртуелизацију (VMware Workstation 7.x је актуелна верзија) који омогућава креирање псеудо рачунара и псеудо мрежа, који за све користе хардвер једног система. Ова могућност има многе предности. На пример, може се подесити као гост оперативни систем, инсталирати потребни форензички алати, од њега направити слика система, радити на њему, а по потреби увек довести у преконфигурисано стање. Са њега је могуће, извршити све врсте испитивања, укључујући инсталирање и праћење штетних програма, понављање сигурносног инцидента..

Када су у питању преносиве меморије, VMware нуди опцију да уређај уопште нема контакт са рачунаром домаћином. Практично, уколико корисник то жели, VMware ће, ако је инсталиран на оперативном систему компаније Microsoft, блокирати сваку везу између уређаја и тог оперативног система. Ипак, иако произвођачи тврде да нема икаквих шанси да дође до контакта, треба применити Write Protect заштиту на оперативном систему са којег се подиже VMware станица.^[6]

Остали алати

У данашњем, развијеном, тржишту велики је број компанија који покушавају мање или више успешно да се нађу међу онима које производе форензичке софтверске алате. Велики је број оних алата који се баве само прављењем форензичких копија, јер то и није велики програмерски задатак, а код бројних алата, може се наћи на интернету. Најчешће, једина предност ових алата је лепши, интиутивнији графички интерфејс који и почетницима омогућава рад. Међу овим најпознатији алати, који раде и са преносивим меморијама су^[7]:

Forensic Replicator
Norton Ghost,
SafeBack
SMART
WinHex
ProDiscover
Deft
Caine

Види још

EnCase

Референце

^ Various (2009). Eoghan Casey, ур. Handbook of Digital Forensics and Investigation. Academic Press. стр. 567. ISBN 978-0-12-374267-4. Приступљено 27. 8. 2010.
^ Reith, M; Carr, C; Gunsch, G (2002). „An examination of digital forensic models”. International Journal of Digital Evidence. Приступљено 2. 8. 2010.
^ ^а ^б „Сајт предмета Пословни информациони системи”. Архивирано из оригинала 06. 05. 2012. г. Приступљено 24. 04. 2012.
^ „Singipedia”. Архивирано из оригинала 09. 06. 2010. г. Приступљено 24. 04. 2012.
^ „Accessdata”. Архивирано из оригинала 19. 11. 2010. г. Приступљено 24. 04. 2012.
^ „Forenscic focus”. Архивирано из оригинала 13. 03. 2016. г. Приступљено 24. 04. 2012.
^ „Singipedia Мастер радови”. Архивирано из оригинала 01. 02. 2012. г. Приступљено 24. 04. 2012.