Adrian Munteanu Valeric Greavu-erban Silviu-Andrei Prvan

INVESTIGAII INFORMATICE JUDICIARE Suport de curs

Adrian Munteanu, este absolvent al Universitii AL. I. Cuza din Iai, profesor doctor la Facultatea de Economie i Administrarea Afacerilor din cadrul Universitii Alexandru Ioan Cuza din Iai, (www.feaa.uaic.ro). Este de asemenea Certified Information Systems Auditor (CISA), Certified in Risk and Information Systems Control (CRISC), Control Objectives for Information and Related Technologies Certificate (COBIT), IT Infrastructure Library Certificate (ITIL), AccessData Certified Examiner (ACE)i Microsoft Certified Professional (MCP). A mai publicat, n editura Polirom Auditul sistemelor informaionale contabile. Cadru general (2002), Reele locale de calculatoare. Proiectare i administrare (Ed. I -2003, Ed. II -2004), Reele Windows. Servere i clieni. Exemple practice (2006). A publicat ca unic autor sau coautor articole n reviste internaionale i a participat la conferine n domeniul auditului i securitii sistemelor informaionale n Cehia, Ungaria, Germania, Austria, Turcia, Maroc, Spania. Este titularul cursurilor Auditul sistemelor informaionale pentru afaceri, Reele locale de calculatoare i Guvernare IT. Din anul 2003 este implicat n proiecte de audit, consultan privind securitatea informaiilor i instruire IT&C pentru firme private, furnizori de servicii de utilitate public i bancare. n 2007 i 2010 a fost Service Trainer Provider/Instructor al cursului CISA pentru ISACA Romnia Chapter. Este coordonator i traductor al cadrului de referin COBIT 4.1 versiunea n limba romn. Din 2010 este ISACA Academic Advocate. Poate fi contactat pe mail la adresa adrian.munteanu@feaa.uaic.ro. Valeric Greavu-erban, este absolvent al Universitii A. I. Cuza din Iai. Este lector la Facultatea de Economie i Administrarea Afacerilor, Most Valuable Professional, Microsoft Certified Professional (MCP), Microsoft Office Specialist (MOS) Expert Level, TS 630 i fost administrator al reelei FEAA. Este coautor la Reele locale de calculatoare. Proiectare i administrare (Ediia I), Reele Windows. Servere i clieni. Exemple practice. n 2005, la Yokohama a fost semifinalist i a obinut locul IV n lume la concursul Imagine Cup, seciunea IT General. n 2006, la Delphi a obinut locul II n cadrul aceluiai concurs. ncepnd cu 2007 a fost arbitru Imagine Cup alturi de Rand Morimoto i Chris Amaris (Convergent Computing Ltd., www.cco.com). Astfel i-a validat competenele n domeniul tehnologiilor de tip server de la Microsoft. ncepnd cu 2005 mpreun cu Adrian, este implicat n proiecte de audit, consultan securitate i instruire ITC pentru firme private. Poate fi contactat pe mail la adresa valy.greavu@feaa.uaic.ro.

Silviu-Andrei Prvan, este absolvent al Universitii Al.I.Cuza din Iai. A studiat masterul de Sisteme Informaionale pentru Afaceri tema sa de disertaie fiind orientat ctre domeniul Computer Forensic. A lucrat n Departamentul Server Reea din cadrul Facultii de Economie i Administrarea Afacerilor iar n prezent la o companie de software. Poate fi contactat pe mail la adresa: silviu.parvana@feaa.uaic.ro.

 2012 by Adrian Munteanu Editura .. Descrierea CIP a Bibliotecii Naionale a Romniei: Iai: 2012 Xxx p., 24 cm ISBN: 937-xxx-xxx-x I. Adrian Munteanu xxx:xxx Printed in ROMANIA

Adrian Munteanu Valeric Greavu-erban Sivliu-Andrei Prvan

INVESTIGAII INFORMATICE JUDICIARE

2012

Cuprins

Introducere .......................................................................................................... 7 Capitolul 1 Evoluia i terminologia domeniului .......................................... 8

1.1. Scurt istorie a evoluiei investigaiilor informatice ........................................................... 8 1.2 Terminologie ....................................................................................................................... 9 1.3 Rolul calculatoarelor n realizarea infraciunilor ............................................................... 10

Capitolul 2 - Proba digital ............................................................................. 11

2.1 Proba digital - definiie .................................................................................................... 11 2.2 Standarde internaionale .................................................................................................... 11 2.3 Pstrarea probelor digitale ................................................................................................. 12 2.4 Lanul de custodie ............................................................................................................. 12 2.5 Probe volatile vs probe nevolatile ..................................................................................... 13 2.6 Manipularea probelor digitale ........................................................................................... 14 2.6 tergerea probelor digitale ................................................................................................. 15

Capitolul 3. Dispozitive electronice: tipologie, descriere i probe poteniale ..................................................................................................................... 17

3.1 Calculatoare ....................................................................................................................... 17 3.2 Dispozitive i medii de stocare a datelor ........................................................................... 17 3.2.1 Hard Disk ................................................................................................................... 18 3.2.2. Banda magnetic ....................................................................................................... 20 3.2.3. CD i DVD ................................................................................................................ 21 3.2.4. USB/Flash Drive, Memory Card ............................................................................... 22 3.2.5. Dispozitive handheld ................................................................................................. 23

Capitolul 4. Fundamentele reelelor de calculatoare .................................... 24

4.1 Modelul OSI ...................................................................................................................... 25 4.2 Modelul TCP/IP ................................................................................................................ 27 4.3 Infrastructura reelei .......................................................................................................... 29 4.3.1 Cartela de reea ........................................................................................................... 29 4.3.2 Medii de transmisie .................................................................................................... 30 4.4 Echipamente de transmisie a datelor ................................................................................. 31 4.5 Adresa MAC...................................................................................................................... 33 4.6 Adrese IP ........................................................................................................................... 34 4.7 Protocolul IP versiunea 4 (IPv4) ....................................................................................... 34 4.8 Protocolul IP versiunea 6 (IPv6) ....................................................................................... 36

Capitolul 5. Scena producerii infraciunii informatice ................................. 37

5.1. Securizarea i evaluarea scenei ......................................................................................... 37 5.2. Documentarea scenei ........................................................................................................ 38 5.3. Colectarea probelor .......................................................................................................... 38 5.4. Ambalarea, transportul i pstrarea probelor digitale ....................................................... 41

Capitolul 6. Achiziia datelor........................................................................... 42

6.1 Formate de stocare a datelor pentru probele digitale ......................................................... 42 6.1.1. Formatul Raw ............................................................................................................ 42 6.1.2. Formate proprietare furnizorilor de soluii informatice ............................................. 42 6.2. Metode de achiziie a datelor ............................................................................................ 42 6.3. Protecia la scriere ............................................................................................................ 43

Capitolul 7. Sistemul de fiiere i regitrii WINDOWS ................................ 44

7.1. Sistemul de fiiere .............................................................................................................44 7.2 Gestiunea Regitrilor .........................................................................................................54 7.3 Validarea i discriminarea datelor ......................................................................................57 7.4 Protecia/blocarea la scriere ...............................................................................................58

Capitolul 8. Pota electronic (e-mail)............................................................ 60

8.1 Client, server i mesaj .......................................................................................................60 8.2 Examinarea mesajelor ........................................................................................................61

Capitolul 9: Dispozitive de stocare amovibile ................................................ 67

9.1 Dispozitive USB i Registry ..............................................................................................67 9.2 Dispozitive portabile i Registry ........................................................................................69

Studiu de caz 1 .................................................................................................. 88 Studiu de caz 2 - Accesarea probelor pe niveluri .......................................... 98

Accesul fizic la calculator ........................................................................................................98 Accesul la secventa de boot .....................................................................................................98 Accesul la sistemul de operare .................................................................................................99 Utilitare de creare a imaginilor ..............................................................................................100 Utilitare de recuperare de date ...............................................................................................100 Utilitare pentru eliminarea diverselor parole Windows ........................................................101 Accesul la fisiere ....................................................................................................................101 Accesul la jurnale ...................................................................................................................101 Glosar de termeni ...................................................................................................................104

Bibliografie ............................................................. Error! Bookmark not defined.

Introducere
Dup mai bine de 10 ani de cnd am publicat n Editura Polirom prima mea carte, am ajuns s recidivez i s m ntorc la prima dragoste. i asta datorit, n principal, faptului c ntre timp meseria de auditor de sisteme informaionale a nceput s prind contur i n Romnia. Mai ales ca urmare a apariiei unor cerine prin diverse acte normative (ex. OMF 1077/2003, OCMTI 389/2007, BASEL II, decizii sau instruciuni ale CNVM, BNR). n anii care s-au scurs de atunci, pe lng ceva pr alb, sper c am mai acumulat i experien practic alturi de bunul meu coleg Valy. CSI: Crime Scene Investigation. Un serial pe care unii dintre dumneavoastr l-ai urmrit. Un serial n care vedem nu doar poliiti ce urmresc infractori ci o echip de specialiti n diferite tiine investigative. Inclusiv n investigarea infraciunilor informatice. Am putea spune c acest material se dorete a fi CSI Computer Scene Investigation. Ar fi ns prea mult pentru demersul nostru, chiar dac ne place cum sun. n plus, viaa nu este ca n filme. Pentru CINE am scris totui aceast carte? Pentru toi cei care au nevoie de colectarea, analizarea i pstrarea probelor digitale/electronice n meseria lor. Fie c sunt poliiti, avocai, procurori sau auditori de sisteme informaionale. Sau chiar simpli oameni pasionai s descopere lucruri noi. Despre CE am scris? Aici rspunsul credem c este ceva mai dificil. n primul rnd am ncercat s scriem despre unele probleme cu care te poi ntlni n practic. i cum practica difer de la caz la caz, nu ne-am propus s epuizm toat cazuistica. Am pornit de la practica noastr, de la experienele noastre din ultimii 10 ani. Nu uitai c locurile sunt diferite i oamenii sunt unici. Tehnologia este ntr-o evoluie continu. Prin urmare nu trebuie s gndim n modele aplicabile n orice condiii. Generalizrile duneaz grav! Amintim c am scris din perspectiva IT-istului fr a avea pretenia c am gsit un limbaj comun cu domeniul juridic, chiar dac am ncercat de mai multe ori s l nelegem. Materialul nostru prezint lucruri elementare din domeniul investigaiilor informatice i se adreseaz n primul rnd celor care nu au o pregtire tehnic avansat ci doar cunotine minimale din domeniul tehnologiilor informaionale. Cu siguran acest material are defecte i lipsuri. Mcar suntem contieni de acest lucru. Am ncercat s fim ct mai concii i s nu ne pierdem n amnunte. Sperm ca cele ce urmeaz s mai mprtie din marasmul cu care este nconjurat acest domeniu pe meleagurile noastre. Nu garantm succesul pentru c aceast carte a aprut doar din credina c nainte de a cere, trebuie s dai. Iai, martie 2012

Capitolul 1.

Evoluia i terminologia domeniului

n ultimii 20 de ani am asistat la dezvoltarea unui nou tip de infraciuni: cele realizate n universul digital cyberspace. La nivel internaional remarcm nevoia n cretere de investigare a unor infraciuni realizate n totalitate sau parial cu ajutorul calculatoarelor i reelei Internet. Evoluia tehnologic tinde s ne demonstreze c i n cazul unor infraciuni, s le spunem clasice, investigatorul ajunge s se intersecteze cu un sistem de calcul.

1.1. Scurt istorie a evoluiei investigaiilor informatice

Pentru un domeniu aflat ntr-o dezvoltare exponenial, cum este cel al tehnologiilor informaionale, este dificil de identificat n mod riguros originea primelor investigaii informatice. Literatura de specialitate menioneaz ca iniiatori ai domeniului ageniile din SUA responsabile cu aplicarea legii1, care la sfritul anilor 1980 nceputul anilor 1990, au dezvoltat un program comun de instruire n acest domeniu (Eoghan 2004). Cele mai importante repere temporale sunt sintetizate mai jos: 1984 FBI nfiineaz Magnetic Media Program care ulterior devine Computer Analysis and Response Team (CART2) 1993 are loc prima conferin ce trateaz domeniul probelor digitale, denumite la acea vreme computer evidence. 1995 - se nfiineaz International Organization on Computer Evidence (IOCE3) 1998 Interpolul organizeaz simpozionul Forensic Science 2000 se nfiineaz FBI Regional Computer Forensic Laboratory 2004 Convenia European cu privire la Cybercrime4 Dezvoltrile uluitoare din domeniul tehnologiilor informaionale sunt cele care au condus la nevoia de specializare: profesioniti capabili s identifice, colecteze i analizeze probe digitale. Probele electronice/digitale nu reprezint altceva dect informaii i date cu valoarea investigativ i care sunt stocate, transmise sau recepionate cu ajutorul unui dispozitiv electronic. Prin urmare putem afirma c astfel de probe au caracter latent n acelai sens n care l au i amprentele digitale sau ADN -ul (acid dezoxiribonucleic). Pentru a vedea astfel de dovezi avem nevoie de echipamente i software specializat pentru c sunt fragile: pot fi modificate, deteriorate, distruse. Nu trebuie s uitm c probele digitale pot s conin la rndul lor probe fizice: ADN, amprente digitale, etc. Prin urmare, probele fizice trebuie protejate pentru a fi examinate n mod corespunztor.

1 2

http://www.nw3c.org/ http://www2.fbi.gov/hq/lab/org/cart.htm 3 http://www.ioce.org 4 http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp

1.2 Terminologie
n ciuda anilor care s-au scurs de la contientizarea importanei acestui domeniu, la ora actual nu exist un punct de vedere comun cu privire la termenii folosii. Nevoia de standardizare este acut cu att mai mult cu ct n limba romn nu au fost preluate toate accepiunile sintagmei computer crime. Etimologic, englezescul crime are nelesul de crim, delict, nelegiuire, asasinat, ucidere. Computer crime se refer la un set limitat de delicte definite de legislaia american n Computer Fraud and Abuse Act5 iar de ctre legislaia Marii Britanii n UK Computer Misuse Act6. Legislaia din Romnia reglementeaz infraciunile informatice prin Titlul III (Prevenirea i combaterea criminalitii informatice) din Legea 161 din 19/04/2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitilor publice, a funciilor publice si in mediul de afaceri, prevenirea si sancionarea corupiei - publicat in Monitorul Oficial, Partea I nr. 279 din 21/04/2003. Considerm c exprimarea din limba romn este o traducere mai puin reuit a englezescului computer crime. ntrim cele afirmate prin aducerea n atenie a altor sintagme de natur juridic din limba englez: criminal procedure, Title 18 of the United States Code is the criminal and penal code of the federal government of the United States. It deals with federal crimes and criminal procedure, criminal law and civil law cu nelesul legea penal i legea civil. n contextul dat, crime are semnificaia de infraciune. De fapt, chiar legiuitorul romn afirm n textul actului normativ menionat: Art. 34. - Prezentul titlu reglementeaz prevenirea si combaterea criminalitii informatice, prin msuri specifice de prevenire, descoperire i sancionare a infraciunilor svrite prin intermediul sistemelor informatice, asigurndu-se respectarea drepturilor omului si protecia datelor personale. n prezenta lucrare, computer crime va semnifica infraciune informatic. Pornind de aici, considerm c unul din cele mai dificile aspecte ce ine de definirea conceptului se refer la situaiile practice n care un calculator sau o reea de calculatoare nu au fost implicate n mod direct n svrirea unei infraciuni, dar conin probe cu privire la svrirea infraciunii. Pentru astfel de situaii, literatura i legislaia anglosaxon folosesc sintagma computer related, n timp ce Convenia European refereniaz termenul general cybercrime. A doua sintagm ce necesit standardizare este computer forensic, care n accepiunea noastr are semnificaia de investigaii informatice. n literatura de specialitate vom ntlni i cea de a doua exprimare digital forensic. Iniial cele dou sintagme aveau acelai neles dar ntre timp digital forensic are n vedere toate dispozitivele capabile s stocheze date n format digital, nu doar calculatoarele. O definire n limba romn a sintagmei computer forensic poate fi de forma: Utilizarea de metode tiinifice cu privire la conservarea, identificarea, extragerea, interpretarea, documentarea i prezentare a probelor de natur digital obinute din surse de natur informatic n scopul facilitrii descoperirii adevrului i furnizarea de expertiz n cadrul unui proces penal sau a unei proceduri administrative.7 La nivel internaional exist diverse standarde i instituii de standardizare precum Instituia de Standardizare Britanic i Organizaia Internaional asupra Probelor Digitale. ri dezvoltate

5 http://itlaw.wikia.com/wiki/Computer_Fraud_and_Abuse_Act 6 http://www.legislation.gov.uk/ukpga/1990/18/contents 7 Traducere i adaptare dup definiia dat de Cyber Security Institute

din punct de vedere al gradului de informatizare precum SUA, Marea Britanie, Germania i altele au adoptat aceste standarde care sunt mai mult un cadru de lucru sugerat dect nite reguli stricte. n Romnia nu exist nici o lege sau document oficial care s sugereze aderarea la aceste standarde internaionale. Codul de procedur penal precizeaz c analiza echipamentelor care ar putea conine informaii care s incrimineze un suspect trebuie analizate de un specialist dar nu impune un anumit cadru de lucru. Alte referine la infracionalitatea informatic mai pot fi gsite i n Legea 161 din 19/04/2003 dar, la fel ca i Codul de procedur penal, legea este incomplet i nu acoper toate aspectele infraciunilor informatice.

1.3 Rolul calculatoarelor n realizarea infraciunilor

Fr a intra prea mult n detalii, n paragrafele anterioare am cutat s evideniem importana limbajului ntr-un astfel de domeniu. Pentru practica autohton, rolurile pe care le poate juca calculatorul i infrastructura de comunicaii le regsim n SECTIUNEA a 2-a - Infraciuni informatice din actul normativ menionat anterior. Exprimarea din actul normative nu ajut ns la clarificarea domeniului. Pentru a nelege cum poate fi utilizat un calculator (luat n ansamblul su) ca prob a unei infraciuni trebuie neles exact rolul pe care acesta l poate juca la un moment dat. Aceasta deoarece n literatura de specialitate, unii autori fac distincie ntre probele electronice (aparin componentelor hardware) i probele digitale (informaiile coninute). Deoarece legislaia noastr nu d dovad nici de coeren nici de completitudine pentru acest subiect, afirmaiile din continuarea acestei lucrri nu vor aborda subiectul strict din punct de vedere juridic, ci mai mult din perspectiva practicilor internaionale. Aa stnd lucrurile spunem c exist situaii n care calculatorul dintr-o ar poate fi folosit pentru a ataca un calculator dintr-o alt ar iar victima infraciunii s fie din a treia ar! Calculatorul poate fi deci identificat n urmtoarele ipostaze: inta sau victima infraciunii instrumentul prin care s-a realizat infraciunea depozitarul probelor legate de o infraciune. Un calculator sau o reea de calculatoare poate fi oricnd, virtual, victima unei infraciuni. Avem n vedere aici sabotajul, furtul sau distrugerea informaiilor stocate n memoria sa. n acest caz sunt vizate cele trei caracteristici fundamentale ale securitii echipamentului: confidenialitatea, integritatea sau disponibilitatea. Un exemplu relativ recent n acest sens l reprezint atacurile la adresa siturilor VISA i Mastercard n urma arestrii deintorului WikiLeaks, Julian Asange. Atacurile cu ajutorul viruilor informatici pot fi ncadrate tot n acest tip. Calculatorul poate fi folosit ns i ca o arm pentru realizarea unor tranzacii financiare frauduloase, nclcarea drepturilor de proprietate intelectual, realizarea de falsuri (falsul privind identitatea, de exemplu). n acest caz putem spune c infraciunile sunt n fapt ajutate de ctre calculator. Ultimul rol, cel de martor al infraciunii este unul oarecum duplicitar pentru c aceast situaie se regsete n oricare din variantele anterioare. Calculatorul este cel care poate ajuta la identificarea informaiilor folosite n svrirea unei infraciuni. Aceast distincie a rolurilor, ntre subiect sau obiect al infraciunii, ajut cel mai bine investigatorul pentru c n fapt evideniaz intenia celui care a svrit infraciunea. n practic ns sunt rare situaiile n care o infraciune poate fi ncadrat ntr-o singur categorie datorit modului n car tehnologiile au fost concepute i funcioneaz.

10

Capitolul 2.

Proba digital

Mrturia sau demonstraia unui fapt st la baza dovezii juridice: o amprent, o pat de snge sau ceea ce n literatura de specialitate american se nume te smoking gun (en: arm cu care abia s-a tras). n continuare vom demonstra c proba digital se ncadreaz n acest peisaj.

2.1 Proba digital - definiie

Potrivit Merriam-Websters Dictionary of Law, cuvntul prob8 (en: evidence) nseamn ceva care furnizeaz sau poate furniza dovezi; ceva care este predat n mod legal unui tribunal pentru a se afla adevrul despre un anumit lucru. n 1998, un grup de organizaii angajate activ n domeniul probelor digitale, pentru a promova comunicarea i cooperarea, precum i asigurarea calitii i coerenei n cadrul comunitii investigaiilor digitale, sub denumirea de The Scientific Working Group on Digital Evidence (SWGDE)9 au definit termenul prob digital ca orice informaie cu valoare probativ care este stocat sau transmis n format electronic. Dup cum a fost testat i definit n diverse instane din SUA, probele digitale sunt dovezi generate, stocate sau transmise n format electronic. Aceste dovezi pot rezida n telefoane mobile, pagere, asistent personal digital (PDA) sau calculator. Teoretic, deci, o prob digital rezid n orice echipament care poate fi utilizat n transmiterea i stocarea informaiilor n format binar (mesaje text sau SMS, e-mail-uri, baze de date sau log-uri de pe servere cu precdere Web). Probele digitale sunt utile n cazuri minore de urmrire a unei persoane pe Internet dar, devin critice, n cazuri de piraterie i spionaj industrial. Cel mai frecvent, se face uz de astfel de probe digitale n mediul economic, anchetarea unor angajai cu privire la activiti ilegale desfurate n timpul serviciului sau bree de securitate n reelele corporaiilor. Avnd n vedere sumele de bani tranzacionate n mediul economic, aceste aspecte nu vin ca o surpriz. Cele mai ntlnite astfel de situaii sunt cauzate de angajai care folosesc echipamentele informatice ale organizaiei n scopuri personale, navigarea pe Internet pe site-uri cu coninut pornografic, download sau/i distribuie de software fr licen. Breele de securitate pot avea originea n surse externe companiei precum o persoan cu intenia de a exploata anumite vulnerabiliti ale reelei pentru a sustrage sau terge informaii sensibile sau surse interne caz n care un angajat ncearc s obin informaii peste nivelul su de acces.

2.2 Standarde internaionale

Instituia de Standardizare Britanic (British Standard Institution (BSI)) 10 a publicat o serie de proceduri i recomandri care s asigure un minim de valoare unei probe digitale pentru a fi recunoscut i acceptat ca prob ntr-un proces. Standardele au cptat recunoatere internaional i acoper modul corespunztor de manipulare i pstrare a probelor digitale, de la creare sau descoperire de ctre anchetatori pn la folosirea efectiv ntr-un caz de judecat. Cuvntul cheie este audit sau, mai precis, metode pentru a oferi rspundere, autenticitate (certificare) i non-

8 9

http://www.merriam-webster.com/dictionary/evidence?show=0&t=1305015887 http://www.swgde.org/about-us/ 10 http://www.bsigroup.com/ accesat la 10/05/2011 ora 11:57

11

repudiere a nregistrrilor, astfel nct s fie admisibile ca mijloc de prob. Acestea sunt similare cu standardele din Statele Unite. Organizaia Internaional asupra Probelor Digitale (International Organization on Computer Evidence (IOCE)) a fost nfiinat n anul 1995 pentru a oferi ageniilor internaionale de aplicare a legii un forum pentru schimbul de informaii privind criminalitatea informatic. Compus din ageniile guvernamentale acreditate implicate n investigaii asupra infracionalitii informatice, IOCE identific i discut problemele de interes a elementelor sale constitutive, faciliteaz difuzarea internaional de informaii, dezvolt recomandri n vederea examinrii de ctre ageniile membre. n plus fa de formularea normelor de lucru cu probe digitale, IOCE ine conferine orientate spre stabilirea de relaii de munc. Ca rspuns la Comunicatul i planurile de aciune al G-8 din 199711, IOCE a fost nsrcinat cu dezvoltarea standardelor internaionale pentru schimbul i recuperarea probelor digitale. Grupurile de lucru n Canada, Europa, Marea Britanie, i Statele Unite au fost formate pentru a aborda aceast standardizare. n timpul conferinei Hi-Tech Crime and Forensics Conference (IHCFC) din octombrie 1999, IOCE a inut ntlniri i un workshop care a revizuit Ghidul de bune practici al Marii Britanii i Proiectele de standarde ale SWGDE. Grupul de lucru a propus urmtoarele principii, care au fost votate de ctre delegaiile IOCE cu aprobare unanim: Coerena cu toate sistemele juridice; Utilizarea unui limbaj comun; Durabilitate; Abilitatea de a insufla ncredere n integritatea probelor; Aplicabilitatea la toate probele digitale; Aplicabilitate la fiecare nivel, individ, agenie, ar.12

2.3 Pstrarea probelor digitale

Pentru a prezenta probele digitale ele trebuie mai nti examinate. naintea examinrii acestea trebuiesc stocate. Cum sunt identificate, colectate i manipulate probele sunt cele mai importante informaii dintr-o astfel de prezentare. Pentru a putea fi considerat admisibil ntr-un proces, trebuie demonstrat c proba digital este relevant i material. Orice urm de dubiu asupra integritii probei i asupra modului de manipulare o fac inutil. Cnd ne gndim la pstrarea unei probe digitale ar trebui s ne gndim la modul cum se face conservarea locului unei investigaii criminalistice obinuit. Trebuie documentat fiecare detaliu, trebuie fcute poze i jurnalizat ct mai mult informaie posibil asupra strii n care a fost gsit proba i bineneles a modului care a dus la descoperirea ei. Trebuie menionat aici c dac probele se afl pe un calculator care funcioneaz la momentul descoperirii, trebuie acionat cu deosebit pruden deoarece se pot pierde foarte uor datele volatile. n continuare abordm activitile cheie n investigarea locului unei infraciuni digitale pentru a asigura relevana i materialitatea probei digitale.

2.4 Lanul de custodie

Regula principal cnd suntem n procesul de colectare, manipulare i n general lucrul cu probe digitale este aceea de a documenta tot ce se ntmpl. Standardele internaionale recomand ca lanul de custodie s fie unul din cele mai importante documente care trebuie s se regseasc n trusa unui investigator. n cazul n care integritatea unei probe digitale este pus la ndoial, acest document ofer o imagine clar asupra
11 12

http://www.justice.gov/criminal/cybercrime/g82004/97Communique.pdf Adaptat dup http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm

12

tuturor persoanelor care au avut acces la probe. Dac se ajunge la tribunal, lanul de custodie este primul lucru care este pus la ndoial de aprarea acuzatului. Lanul de custodie este un document scris care descrie n amnunt modul n care probele au fost identificate, colectate, stocate i manipulate, de cine, cnd i n ce scop. Potrivit documentului RFC 3227, Guidelines for Evidence Collection and Handling, 13 al organizaiei IETF14 (The Internet Engineering Task Force), lanul de custodie ar trebui s furnizeze urmtoarele: Unde,cnd i de ctre cine au fost descoperite i colectate probele digitale; Unde, cnd i de ctre cine au fost examinate i manipulate probele digitale; Cine a avut posesia probelor digitale, cum au fost stocate i cnd; Cnd au fost schimbai posesorii probelor, de ce i cnd , unde i cum a avut loc schimbul; Descrierea fizic a echipamentului pe care sunt pstrate probele digitale (productor, model, SN, mrimea unitii, etc.); Valorile Hash, dac este cazul. Exemplu de Jurnal de eviden a custodiei:

Descriere prob/numr

Data achiziie

Locul achiziiei

Metoda achiziiei

Achiziionat de la

Semntura

Locul stocrii

Data transferrii

Transferat la

Motivul transferrii

Aflat actual n custodia

Semntura

Locul stocrii

Informaii suplimentare: _______________________________________________________________________________

2.5 Probe volatile vs. probe nevolatile

Volatilitatea sursei unei probe digitale este primul lucru care trebuie luat n considerare cnd colectm, asigurm i examinm o astfel de prob. Termenul volatilitate, n acest context, nseamn susceptibil schimbrii. Cu alte cuvinte, integritatea i disponibilitatea unei probe digitale pot fi foarte uor compromise sau proba poate fi distrus. O aciune simpl precum nchiderea echipamentului suspect sau oprirea/pornirea alimentrii cu energie electric poate pune n primejdie informaii potenial valoroase care rezid n memoria RAM; fiiere pe jumtate terminate sau nesalvate, fiiere deschise, e-mailuri, parole, nume de utilizator, adrese Web i piese de program maliios. Trebuie tiut c unele programe ruleaz doar n memoria RAM pentru a evita detecia n cazul unei examinri a hard disk-ului. Aceste informaii sunt irecuperabile atunci cnd calculatorul sau echipamentul este nchis sau se ntrerupe alimentarea cu energie electric. Adiional se pierd informaii precum procesele ce ruleaz la momentul respectiv, informaii din zona de swap sau pagefile precum i informaii despre reea. De aceea aceste informaii sunt clasificate ca volatile. Probele digitale non-volatile se refer la date sau informaii care dei sunt susceptibile schimbrii (ex: data ultimei accesri, informaii despre utilizator), nelesul i coninutul principal care constituie dovada nu se pierd. Datele din document rmn aceleai indiferent de starea

13 14

http://www.faqs.org/rfcs/rfc3227.html http://www.ietf.org/

echipamentului suspect (nchis sau deschis, conectat sau nu la reea/Internet). Aceste informaii se refer n general la cele stocate pe hard disk-uri, medii portabile precum uniti de stocare USB, dischete floppy, CD-uri i DVD-uri, etc. Ordinea general acceptat a volatilitii probelor digitale, de la cele mai volatile la cele nonvolatile este prezentat n figura 1.

Figura nr. 2.1 Volatilitatea probelor digitale15

Validarea i examinarea probelor digitale volatile ct i nevolatile ajut la scrierea povetii probei la momentul colectrii. n cazul codului maliios care ruleaz strict n memorie povestea este spus n ntregime de memoria RAM.

2.6 Manipularea probelor digitale

Strngerea i stocarea probelor digitale ar trebui documentate cu claritate dac dorim s avem succes i s ctigm cazul. Cu ct este mai consistent i complet descrierea modalitii de colectare, cu att proba digital va fi mai credibil. Dup cum am vzut i mai sus, cea mai important regul este documentarea fiecrei aciuni. Fie c examinatorul sau investigatorul ine un jurnal de mn sau un fiier electronic, este imperativ ca acest document s existe i s ateste totul de la primul contact al investigatorului cu cel care cere investigarea i cu proba pn la prezentarea acesteia i distrugere sau arhivare. Acest document este similar cu lanul de custodie, principala diferen fiind asemnarea cu un jurnal de examinare, pai i proceduri urmate. Elementele cheie ale acestui document sunt: Data i timpul fiecrui contact cu probele digitale (att la nceputul ct i sfritul operaiunilor); Numele examinatorului i denumirea companiei pentru care lucreaz; Descriere detaliat a echipamentului pe care se afl proba digital, tip, productor, model, numr de identificare i fotografii; Descriere detaliat pentru fiecare aciune la care este supus proba digital i echipamentul n care este stocat; Data, timpul i locul unde au fost depozitate echipamentele i probele digitale dup tragerea concluziilor (se recomand un loc sigur cu seif protejat de ap, foc i ali factori de risc ).16
15

Adaptat dup Handbook of Information Security, Volume 2, Hossein Bidgoli, pagina 660

14

Valoarea unei probe digitale este dat de modul cum supravieuiete contestaiilor. Pentru aceasta trebuie dovedit c se afl exact n aceeai stare n care a fost gsit i colectat. Cea mai utilizat metod de a oferi o astfel de certitudine este o sum de control precum MD5 sau SHA-1. O astfel de sum de control calculeaz o valoare unic numit hash care este echivalentul unei amprente n identificarea unei persoane. Valoarea hash este reprezentat de o valoare hexazecimal de 16 caractere calculat pe baza coninutului unui fiier sau a unui disc. Odat ce valoarea hash original a fost calculat, de fiecare dat cnd se va folosi o metoda de calcul asupra probei respective ea trebuie s fie identic. Acest lucru este posibil doar dac proba nu a fost modificat. Chiar i o operaiune minor precum deschiderea unui fiier pe un calculator cu sistem de operare Windows Windows ne poate compromite valoarea hash. n momentul n care deschidem documentul se schimb cel puin data i timpul ultimei accesri rezultnd o valoare hash nou. Orice prob digital poate fi identificat unic de aceast valoare hash chiar i cele volatile. Probele volatile trebuie colectate pe medii n format write-once/read many, adic proba original este scris pe un CD, de exemplu, care nu mai poate fi alterat dect prin compromitere fizic. Ca un ultim pas al colectrii ar trebui s se calculeze o valoare hash a discului care mai apoi va fi notat n lanul de custodie. Pentru a colecta i salva corespunztor probele non-volatile este nevoie de un alt procedeu i anume copierea la nivel de bit (bit-level copy) a hard disk-ului. Acest lucru poate fi realizat att cu software comercial dar i freeware. Aceast metod este superioar unei simple copieri deoarece informaiile de pe un hard disk sunt duplicate la nivel de bit ceea ce nseamn c sunt identice cu cele originale. Copierea simpl va schimba data i timpul de pe documentul respectiv lucru care poate fi reflectat cu valoarea hash. Pentru a ne asigura c probele sunt n siguran i nu vor fi modificate, examinarea acestora se va realiza pe o copie la nivel de bit. Originalul trebuie pstrat ntr-un container protejat de energie static i alte intemperii, un seif la care se aib acces ct mai puini oameni posibil iar fiecare acces la seif trebui documentat riguros. Prezentarea probelor digitale este probabil partea cea mai uoar etap a ntregului proces. La nceput sunt prezentate probele fizice hard disk-uri, carduri de memorie, CD-uri, etc. nregistrrile din timpul examinrii, lanul de custodie, rapoartele autogenerate disponibile cu softurile comerciale, log-uri (bash din Linux) sunt documentele care susin cazul i atest c pe dovezile fizice artate exist dovezi care incrimineaz suspectul. Dac aceste documente sunt bine realizate i nu las loc de dubiu cu privire la modul de operare n gsirea, colectarea, analiza i pstrarea probelor procesul este ca i ctigat. Cuvintele cheie ntr-o astfel de prezentare sunt validare, autentificare si non-repudiere.

2.6 tergerea probelor digitale

Dup colectarea, analiza i prezentarea probelor digitale apare ntrebarea ct de mult trebuie pstrate n continuare. Cnd este normal s se distrug probele digitale i cum se face acest lucru? Pstrarea probelor digitale este necesar n momentul n care preconizm c n viitor acestea ne vor ajuta s demonstrm de ce am avut nevoie de ele, rejudecarea unui caz etc. n domeniul economic chiar dac nu exist un ordin judectoresc care s impun aceasta, probele digitale trebuie pstrate. Dac se consider ca nu mai este nevoie de ele trebuie pstrate documente cu privire la cine a aprobat distrugerea acestora, de ce, cine le-a distrus efectiv, cum i cnd. La nivelul companiilor ar trebui s existe politici de retenie sau distrugere a probelor digitale. Exist dou motive pentru care ar trebui s pstrm probele digitale i anume: respectarea reglementrilor i litigii. n America, Actul Sarbanes-Oxley (SOX, 2002), impune ca documentele, inclusiv cele digitale s fie pstrate pentru 7 ani. Pedeapsa pentru nerespectarea acestui lucru este de nu mai
16

Adaptat dup Handbook of Information Security, Volume 2, Hossein Bidgoli, pagina 660

puin de 10 ani de nchisoare pentru managementul companiei i o amend substanial de 5 milioane de dolari. n Romnia, pstrarea documentelor este reglementat prin Legea contabilitii nr. 82/1991 i Norma metodologic din 14/12/2004 de ntocmire i utilizare a registrelor i formularelor comune pe economie privind activitatea financiar i contabil. Cnd vine vorba de litigii, companiile sunt obligate s pstreze documentele altfel pot fi nvinovite de distrugerea probelor incriminatorii i luare parte la litigii. n afar de reglementari ale statului, companiile ar trebui s aib propriile politici de pstrare a documentelor, inclusiv cele digitale i revizuirea acestora ar trebui s fie un rol important pentru auditul intern. Distrugerea documentelor electronice nu e aa simpl precum a fost colectarea ei. Dac tergem un document de pe hard disk acesta nu a fost ters cu adevrat ci este marcat ca spaiu liber peste care se pot scrie noi documente. Aadar, pentru distrugerea probelor digitale avem dou opiuni i anume rescrierea dispozitivului respectiv n ntregime de cteva ori pentru a ne asigura c documentele vizate au fost terse prin suprascriere i cea de a doua variant, distrugerea fizic a dispozitivului de stocare. Exist multe programe software care pot rescrie dispozitive de stocare. Un best practice este considerat rescrierea dispozitivului respectiv cu 0-uri i 1 aleatorii pe toat suprafaa acestuia de 3 ori. Departamentul de aprare SUA recomand ca echipamentul sa fie ters de 7 ori nainte de a fi dat spre re-utilizare. Investigatorul trebuie s ia toate msurile necesare pentru a colecta, pstra i transporta probele digitale fr a le compromite: recunoaterea, identificarea, sechestrarea i securizarea probelor digitale la locul infraciunii documentarea scenei infraciunii i a locului n care a fost identificat proba digital colectarea, etichetarea i conservarea probei digitale transportul securizat al probei digitale nu se apas nici o tast i nu se execut nici un clik de mouse.

16

Capitolul 3. Dispozitive electronice: tipologie, descriere i probe poteniale

Dispozitivele electronice nsele i informaiile coninute de acestea pot fi utilizate ca probe digitale.

3.1 Calculatoare
Un calculator este un ansamblu software i hardware realizat cu scopul de a prelucra date i poate s includ: o carcas n care sunt ncorporate placa de baz, procesorul, hard disk-ul, memoria intern i diferite interfee pentru conectarea altor echipamente periferice. monitor tastatur mouse periferice sau echipamente externe conectate. Am folosit termenul generic de calculator dar vom nelege n scopul acestui material i laptop-urile/notebook-urile, sistemele instalate n stive, mini calculatoarele etc.

Figura nr. 3.1 Diferite tipuri de dispozitive de calcul

Calculatorul i toate componentele asociate sunt potenial probe digitale.

3.2 Dispozitive i medii de stocare a datelor

Dispozitivele i mediile de stocare a datelor din zilele de acum sunt mult mai diverse dect n urm cu 5-10 ani. Tradiional, teoria grupeaz mediile de stocare n dou mari categorii: 17

amovibile/detaabile/mobile (floppy disks, CD-ROM, DVD, Zip disk, benzi magnetice, flash memory) respectiv non-amovibile (hard disk). Din punct de vedere al tehnologiei utilizat pentru scrierea i stocarea cele dou categorii de medii de stocare folosesc fie scrierea optic fie scrierea magnetic. Despre cele de mai sus am spus c sunt medii de stocare tradiionale. Dei sunt nc folosite pe scar larg, ncetul cu ncetul au ajuns s fie nlocuite de dispozitivele USB, cardurile de memorie tip solid-state sau MP3 players. Toate aceste dispozitive pot fi folosite i ca dispozitive de stocare a datelor, altele dect cele pentru care au fost iniial proiectate.

3.2.1 Hard Disk17

n cele mai multe cazuri, hard disk-urile reprezint principala surs de informaii pentru un investigator. Dup cum spuneam nc din introducerea acestei cri nu vom obosi cititorul cu prea multe detalii tehnice ci ne vom limita doar la acele informaii necesare nelegerii demersului investigativ. Pentru tehnicisme ... exist oameni tehnici. n acest moment ne intereseaz mai mult modul de structurare a datelor pe aceste dispozitive.

Figura nr. 3.2 - Componentele interne ale unui hard disk (Sursa: http://www.hdd-tool.com/hdd-basic/hard-disk-and-hard-drive-physical-components.htm)

Din punctul de vedere al componentelor ne intereseaz: geometria: structura platanelor, pistelor i sectoarelor capul de citire/scriere: elementul prin intermediul cruia informaiile sunt citite/scrise pe un hard disk. Exist cte un cap pe fiecare platan pistele/tracks: sunt cercuri concentrice pe platanul unui disc. Datele sunt scrise pe piste

17

O evolu ie a acestor dispozitive este prezentat la adresa http://en.wikipedia.org/wiki/History_of_hard_disk_drives

18

 cilindrii: o coloan de piste de pe dou sau mai multe platane. n mod normal, fiecare platan are dou suprafee sectorul: o seciune de pe o pist cu o dimensiune de 512 bytes. Figura de mai jos sintetizeaz aceste informaii.

Figura nr. 3.3 Structura hard discului

(Sursa: Adaptare dup David Tarnoff Computer organization and design fundamentals Examining Computer Hardware from the Bottom to the Top, 2007) Locul de amplasare i numrul de sectoare de pe un disc sunt determinate i scrise permanent de ctre productor prin intermediul low-level format. Zona dintre sectoarele de pe un hard disc se numete Intersector Gap. Din punct de vedere al organizrii logice, exist un prefix ce conine numrul sectorului i al pistei pentru a permite capului de citire/ scriere s determine localizarea fizic a acestor elemente precum i existena unui bit deteriorat pentru a marca un sector ca inutilizabil n situaia n care acesta devine imposibil de citit. Cmpul Sync este un model alternativ utilizat de ctre unitate pentru sincronizri. Cmpul Error Correcting Code (ECC) este adugat de unitatea hardware pentru a detecta erorile la nivel de bii din datele stocate. Hard discurile interne actuale (precum i unitile de band magnetic) se bazeaz pe dou standarde de interfaare: SCSI (Small Computer System Interface) 18 i SATA (Serial Advanced Technology Attachment). n cadrul acestor standarde de interfaare se ntlnesc mai multe generaii tehnologice care reflect evoluia n timp.

18

Detalii la adresa http://www.scsilibrary.com/

Figura nr. 3.4 Tipuri de hardiscuri

Figura nr. 3.5 Fie de date pentru interconectarea hardiscurilor

Pentru fiecare din aceste dou standarde exist aspecte specifice pe care investigatorul trebuie s le aib n vedere. n cazul SATA exist posibilitatea securizrii hard disk-ului cu ajutorul unei parole, distinct de parola BIOS ce protejeaz calculatorul n momentul alimentrii cu energie electric. De obicei aceast facilitate este ntlnit n cazul hard disk-urilor laptop-urilor. Chiar dac nu este tiut, parola de BIOS poate fi ocolit relativ simplu: se instaleaz hard diskul pe un alt calculator. n cazul SATA, parola este scris chiar pe hard disk, ne-parolat. Exist dou tipuri de astfel de parole: user password i master password. n cazul n care parola utilizator nu este disponibil investigatorului, se poate cuta parola Master de la productorul hard disk-ului, calculatorului sau compania care administreaz calculatorul. Dac acest lucru nu este posibil se achiziioneaz o soluie de deblocare a hard diskului i se instaleaz mpreun cu hard disk-ul inaccesibil pe un calculator funcionabil. Mai exist i posibilitatea aplicrii unor tehnici de inginerie social pentru a afla parola. n ceea ce privete achiziia datelor de pe discuri SCSI, ori de cte ori este posibil, acest lucru trebuie realizat pe calculatorul original. Se impune o astfel de abordare ca efect al versiunilor de standard existente: (SCSI-1, SCSI-2, sau SCSI-3). Mai exist o situaie: hard disk-urile externe. Din punct de vedere al conectrii aceste hard disk-uri folosesc dou standarde: USB (Universal Serial Bus) i FireWire (IEEE 1394). Din aceast cauz este important ca investigatorul s aib pe calculatorul su astfel de porturi. Pentru a oferi toleran n cazul unor evenimente neprevzute, majoritatea serverelor folosesc hard diskuri configurate n sistem RAID - (Redundant Array of Inexpensive Disks). Sistemele de hard disk-uri RAID pot fi configurate cu ajutorul hardware (controller) sau software.

3.2.2. Banda magnetic

Acest dispozitiv de stocare este ntlnit mai ales ca suport pentru copiile de siguran realizate pentru datele din producie ale unei organizaii. n organizaiile ce aplic principiile 20

guvernrii i securitii IT, copiile de siguran/benzile magnetice nu sunt pstrate n sediul principal ci ntr-un alt sediu/amplasament. Cnd se confrunt cu acest tip de medii de stocare, un investigator trebuie s aib n vedere trei aspecte: hardware, software i capacitatea. Din punct de vedere hardware, cele mai folosite tehnologii sunt: DLT (Digital Linear Tape), LTO (Linear Tape-Open), Exabyte, AIT (Advanced Intelligent Tape), DAT (Digital Audio Tape) i QIC (Quarter inch cartridge)19. n plus, fiecare dintre aceste tehnologii vine ntr-o varietate de dimensiuni. O anumit unitate poate sau nu poate fi capabil s citeasc versiuni mai vechi sau mai noi ale aceleiai tehnologii. Ca rezultat, este de o importan major ca dispozitivul de band s fie achiziionat mpreun cu tipul de benzi specifice.

Figura nr. 3.6 Banda magnetic

Din punct de vedere software, majoritatea productorilor de soluii tip backup folosesc formate diferite pentru stocare datelor. n cazul Microsoft avem de a face cu MTF Microsoft Tape Format. Ca efect al caracteristicilor fiecrui produs n parte, este posibil ca n cazul recuperrii datelor de pe benzi magnetice s fie nevoie de software-ul productorului respectivului dispozitiv. Din punctul de vedere al capacitii foarte mari de stocare, investigatorul trebuie s in cont c realizarea unei copii bit cu bit este aproape imposibil n lipsa unui dispozitiv de stocare similar. Prin urmare investigatorul se va concentra n primul rnd pe identificare fiierelor relevante pentru investigaie.

3.2.3. CD i DVD
Mediile optice prezint trei formate de scriere a datelor: inscripionabile o singur dat, reinscripionabile i prin presare (n cazul produciei de mas). Nu este n scopul acestui material s intr n prea multe detalii tehnice cu privire la tehnologiile utilizate pentru fiecare caz n parte. Microsoft folosete CDFS - CD File System, o versiune a standardului ISO 9660 pentru stocarea optic a datelor. Investigatorul trebuie s tie c exist o limit de 32 de caractere pentru numele fiierelor, dincolo de care numele va fi trunchiat. n aceste situaii este nevoie de o analiz a fiierelor pentru a identifica mai nti coninutul care face scopul investigaiei. n cazul DVD-urilor se folosete Universal Disk Format (UDF), un standard ce ofer suport att pentru numele lungi de fiiere ct i pentru caracterele Unicode.

19

Pentru detalii www.exabyte.com/support/online/documentation/whitepapers/history.pdf

3.2.4. USB/Flash Drive, Memory Card

Dispozitivele de memorare tip flash sunt un lucru comun n aceste zile. La baz ele folosesc memoria EEPROM - Electrically Erasable, Programmable Readonly Memory. Spre deosebire de hard disk-uri, acest tip de memorie ofer viteze mai mari de citire scriere, dimensiuni reduse i o densitate de stocare mai mare. De la ceasuri la MP3 playere, memoriile tip USB/flash mbrac o multitudine de forme: CompactFlash, Smart Media, Memory Sticks.

Figura nr. 3.7 Diferite tipuri de uniti de stocare a datelor

La nceput, capacitatea de stocare a USB flash drive-urilor era redus. Astzi, datorit evoluiilor tehnologice, aceste dispozitive nu mai sunt folosite doar pentru stocarea transferul fiierelor ci pot s conin variante de sisteme de operare folosite pentru pornirea calculatoarelor. n ultimul timp multe astfel de dispozitive sunt livrate cu capabiliti de protejare a accesului prin parol.

22

3.2.5. Dispozitive handheld

Sub aceast denumire generic sunt grupate acele echipamente ce ofer faciliti de comunicare, fotografiere, GPS, divertisment on line, management de informaii personale, stocarea datelor. Le cunoatem mai curnd sub denumirea de smart phone. n cazul anumitor tipuri de telefoane mobile exist posibilitatea ca de la distan dispozitivul s poat fi fcut inutilizabil. Investigatorul trebuie s verifice acest aspect nainte de sechestrarea/confiscarea dispozitivului.

Capitolul 4.

Fundamentele reelelor de calculatoare

n perioada actual, cnd aproape toate dispozitivele electronice au posibilitatea de interconectare la Internet, este aproape imposibil s tratm domeniul investigaiilor informatice fr a aminti despre cteva aspecte legate de reele de calculatoare. Conceptul de nivel este folosit pentru a v ajuta s nelegei aciunile i procesele ce apar n timpul transmiterii informaiilor de la un calculator la altul. ntr-o reea, comunicarea are la origine o surs, apoi informaia circul pn la o destinaie. Informaiile care traverseaz reeaua sunt referite ca date, pachete sau pachete de date. Adresa surs a unui pachet de date specific identitatea calculatorului care transmite respectivul pachet. Adresa destinaie precizeaz identitatea calculatorului care va recepiona pachetul. Datele sunt grupate n uniti logice de informaii. Ele includ utilizatorul respectivelor informaii i alte elemente pe baza crora este posibil comunicarea. Datele dintr-un calculator sunt reprezentate prin bii. Dac un calculator ar transmite doar unul sau doi bii, nu ar fi o manier prea eficient de comunicare. Prin urmare, are loc o grupare a acestora n kilo, mega sau gigabytes. Am fcut deja referire la un alt element ntlnit n reelele de calculatoare: mediul. Acesta reprezint un material prin care sunt transmise datele, i poate fi unul din urmtoarele elemente: cablu telefonic; cablu UTP; cablu coaxial (cablu TV); fibr optic; alte tipuri de cabluri bazate pe cupru Mai exist i alte tipuri de media. n primul rnd este vorba de atmosfera prin care se propag undele radio, microundele i lumina. n al doilea rnd este vorba de undele electromagnetice care traverseaz Cosmosul, unde n mod virtual nu exist molecule sau atomi. n aceste cazuri, comunicaia este denumit fr fir. Protocolul reprezint un set de reguli pe baza cruia se determin forma datelor i transmisia acestora. Exemplu lui Andrew Tanenbaum20 (comunicarea ntre doi filosofi) este un nceput bun pentru a nelege ce presupune comunicarea bazat pe niveluri i protocoale (fig. 1.3.1.). Nivelul n al unui calculator poate comunica cu nivelul n al altuia, nu direct ci prin intermediul nivelului inferior. Prin urmare se spune c regulile folosite n comunicare se numesc protocoale de nivel n.

20

Adaptare dup Andrew S. Tanenbaum: "Retele de calculatoare", Editia a treia, Editura Agora, Tg. Mures, 1998, pg. 18

24

Figura nr. 4.1 - Modelul de comunicare ntre filosofi

Un alt exemplu pentru explicarea transferului ntre dou calculatoare este modul n care putem citi o pagin web aflat pe un calculator situat la mare distan: utilizatorul lanseaz un program pentru vizualizarea paginilor web (browser); browserul este entitatea aplicaie care va negocia pentru noi obinerea paginii; nivelul aplicaie va identifica existena resursei cerute de client (clientul este browserul, care-l reprezint pe utilizator n aceast tranzacie) i a posesorului acestea (serverul neles ca fiind entitatea ce ofer resursa cerut, nu calculatorul central al unei reele; n cazul nostru, avem de-a face cu un server de web). Se realizeaz autentificarea serverului (se verific dac partenerul este ntr-adevr cine pretinde c este i se stabilete dac acesta este disponibil); nivelul sesiune va stabili o conexiune ntre procesul client i procesul server; nivelul transport se va ocupa de ntreinerea conexiunii i de corectarea erorilor netratate la nivelul reea; nivelul reea va asigura transferul datelor n secvene (pachete), stabilind drumul acestora ntre server i client.

4.1 Modelul OSI

Lucrurile sunt ceva mai complicate dect n cele prezentate mai sus. Datele sosesc prin intermediul mediului de comunicaie ca un flux de bii. La nivelul legturii de date, biii sunt transformai n cadre, iar la nivelul reea n pachete (vom vedea mai trziu cum arat un pachet). n cele din urm, datele ajung la nivelul aplicaie unde sunt preluate de browser i ne sunt prezentate. Fiecare nivel adaug sau terge o parte din informaiile de control ataate datelor de celelalte niveluri. Spuneam c dezvoltrile timpurii din zona reelelor au fost haotice, i c nceputul anilor 80 se caracterizeaz printr-o expansiune a acestora. Singura modalitate prin care deintorii de reele puteau s vorbeasc aceeai limb a fost agrearea din partea vnztorilor i productorilor de echipamente de reea a unui set comun de standarde. International Organization for Standardization (ISO) este organizaia care a cercetat i dezvoltat scheme de reele precum DECNET, SNA, TCP/IP. Rezultatul cercetrilor s-a concretizat ntr-un model de reea care i-a ajutat pe productori s creeze echipamente compatibile ntre ele. Modelul de referin OSI (Open Systems Interconnect), realizat n 1984, nu este altceva dect o schem descriptiv care a pus la dispoziia vnztorilor standardele necesare asigurrii compatibilitii i interoperabilitii ntre diferitele tehnologii. i este cel mai bun instrument pentru nvare.

D e n u m ire a in fo rm a tiilo r

D e n u m ire a n ive lu lu i

D a te

A p lic a tie
P ro ce sa re a a p licatiilo r

D a te

P re ze n ta re
R e p re ze n ta re d a te si crip ta re

D a te

S e s iu n e
C o m u n ica re a n tre sta tii

S e g m e n te

T ra n sp o rt
C o n e xiu n ile fin a le

P a c h ete

R e te a
S e le ctia tra se u lu i si a d re sa re a

C a d re

L e g atu ra d a te
A d re sa re a fizica

B iti

F iz ic
M e d ii, se m n a le , b iti

Modelul de referin OSI, este primul model pentru standardizarea comunicaiilor n reele. Exist i alte modele, dar majoritatea productorilor de echipamente respect aceste standarde. Acest model permite utilizatorilor s vad funciile reelei pe msur ce ele apar la fiecare nivel n parte. Chiar dac pare destul de abstract, este un instrument foarte bun pentru a ilustra modul n care informaiile traverseaz o reea: explic vizual circulaia datelor de la o aplicaie, ctre mediul fizic de transmisie i apoi ctre o alt aplicaie localizat pe un calculator din reea, chiar dac expeditorul i destinatarul fac parte din reele cu topologii diferite. Dup cum se vede i din figura alturat, n modelul de referin OSI exist 7 niveluri, fiecare dintre acestea ilustrnd o funcie particular a reelei. Separarea ntre funciile reelei este denumit nivelare (layering).

A p lic a tie P re z e n ta re S e s iu n e T ra n s p o rt R e te a L e g a tu ra d a te F iz ic
A n te t P re ze n ta re

DATE AP AP AP AP AP DATE DATE DATE DATE DATE TLD

T ra ile r L e g a tu ra D a te

A n te t S e siu n e

AS AS AS AS

A n te t T ra n sp o rt

AT AT AT

A n te t R e te a

AR

A n te t L e ga tu ra D a te

ALD AR

B iti D e s tin a ta r

Cnd aplicaia de pe calculatorul surs transmite, datele sunt grupate sub forma pachetelor ce traverseaz n jos nivelurile inferioare. La nivel fizic, bii sunt convertii sub forma de impuls electric, und radio sau lumin. La destinaie, datele sufer un proces invers pn la nivelul aplicaie. Pe msur ce datele traverseaz n jos cele 7 niveluri, primesc informaii suplimentare (antete sau trailere). n timpul ncapsulrii, datele din pachet nu sunt modificate. Modelul OSI este doar un model de arhitectur de reea, deoarece spune numai ceea ce ar trebui s fac fiecare nivel, dar nu specific serviciile i protocoalele utilizate la fiecare nivel. Fiecare nivel al modelului OSI are un set predeterminat de funcii pe care le realizeaz pentru a duce la bun sfrit comunicarea. Nivelul 1: Fizic Acest prim nivel ndeplinete sarcinile cerute de nivelul legtur date i vizeaz componentele hardware din reea, specificaiile electrice, mediile de transmisie. Altfel spus se ocup mai mult de parte electric/electronic a comunicaiei principalele sale sarcini fiind: iniierea i finalizarea conexiunilor ctre mediul fizic de transmisie; particip la controlul fluxului de date transmise pe un mediu; conversia datelor din formatul digital n semnale transmise pe un mediu. Putem face o analogie ntre acces nivel i instrumentele de lucru din procesorul de texte WORD: diferite formate de pagin, diferite tipuri de fonturi, culori diferite pentru fonturi etc. 26

Nivelul 2: Legtur date Este nivelul care asigur mecanismele procedurale i funcionale prin care se transmit datele ntre nodurile unei reele prin tranzitarea lor de la nivelul fizic pe baza adresrii fizice, topologiei reelei, notificrii erorilor, ordonarea cardurilor i controlul fluxului informaional. Gndii-v la controlul accesului pe un aeroport. Nivelul 3: Reea Este unul dintre cele mai complexe niveluri; asigur conectivitatea i selecia cilor de comunicaie ntre dou sisteme ce pot fi localizate n zone geografice diferite. Principala sa sarcin o reprezint transmiterea informaiilor de la calculatorul surs ctre calculatorul destinatar. Pentru a rezolva aceast problem, nivelul reea este cel care va selecta i traseul pe care vor fi transportate informaiile, indiferent de lungimea lor. Poate fi asemuit cu mecanismul prin care sunt dirijate trenurile ntr-o gar. Nivelul 4: Transport Este nivelul la care are loc segmentarea i reasamblarea datelor. El furnizeaz un serviciu pentru transportul datelor ctre nivelurile superioare, i n special caut s vad ct de sigur este acesta. Nivelul transport ofer mecanisme prin care stabilete, ntreine i ordon nchiderea circuitelor virtuale; detecteaz cderea unui transport i dispune refacerea acestuia; controleaz fluxul de date pentru a preveni rescrierea acestora. Gndii-v la calitatea serviciilor sau la ncredere! Nivelul 5: Sesiune Dup cum spune chiar numele su, acest nivel stabilete, gestioneaz i finalizeaz sesiunile de comunicaie ntre aplicaii. Prin sesiune se nelege dialogul ntre dou sau mai multe staii de lucru/echipamente de reea. Nivelul sesiune sincronizeaz dialogul ntre nivelurile sesiune ale entitilor i gestioneaz schimbul de date ntre acestea. n plus, acest nivel ofer garanii n ceea ce privete expedierea datelor, clase de servicii i raportarea erorilor. n cteva cuvinte, acest nivel poate fi asemuit cu dialogul uman. Nivelul 6: Prezentare Este nivelul care asigur c informaiile pe care nivelul aplicaie al unui sistem le transmite, pot fi citite de ctre nivelul aplicaie al altui sistem. Atunci cnd este necesar, nivelul aplicaie face translaie ntre diferitele formate ale datelor folosind un format comun pentru reprezentarea acestora. Trebuie s privii acest nivel ca cel la care are loc codificarea datelor n format ASCII, de exemplu. Nivelul 7: Aplicaie Poetic vorbind, este nivelul situat cel mai aproape de inima utilizatorului. Prin ce difer de celelalte niveluri ale modelului? Ofer servicii pentru aplicaiile utilizatorilor dar nu ofer servicii celorlalte niveluri. Nivelul aplicaie identific i stabilete disponibilitatea partenerului de comunicaie, sincronizeaz aplicaiile ntre ele i stabilete procedurile pentru controlul integritii datelor i erorilor. De asemenea identific dac exist suficiente resurse pentru a sprijini comunicaia ntre parteneri. Pentru a fi mai uor s v amintii despre acest nivel, gndii-v la telecomanda TV: o folosii dar nu tii ce se ntmpl n interiorul su..

4.2 Modelul TCP/IP

Am nceput acest capitol cu modelul OSI deoarece reprezint abecedarul acestui domeniu, fiind mai mult un instrument academic folosit pentru nelegerea conceptelor folosite n domeniul comunicaiilor de date Cu toate acestea, pentru transmisiile de date din cea mai mare reea existent Internetul, standardul folosit este TCP/IP (Transport Control Protocol/Internet Protocol). Acest model a fost creat de Ministerul Aprrii din SUA care a dorit s construiasc o reea capabil s reziste n orice condiii, chiar i ntr-un rzboi nuclear. Era extrem de important s fie creat o reea capabil s opereze cu o infrastructur distrus n proporie de peste 90%, fr s aib vreo importan starea fizic a anumitor segmente ale reelei. Astzi, termenul generic TCP/IP cam tot ce are legtur cu protocoalele TCP i IP. Spre deosebire de OSI, modelul TCP/IP are doar patru niveluri: aplicaie, transport, internet/inter-reea i legtur date. Dei exist niveluri cu acelai nume ca la modelul OSI, nu trebuie confundate cu acelea pentru c fiecare nivel are funcii total diferite. Nivelul aplicaie Proiectanii TCP/IP au considerat c protocoalele de nivel A p lic a tie nalt din acest model trebuie s includ detalii cu privire la sesiunile de lucru i modul de prezentare a datelor. Astfel, ntr-un singur nivel T ra n s p o rt sunt combinate toate facilitile legate de reprezentarea datelor, codificare i controlul dialogului. R e te a Nivelul transport Acest nivel vizeaz calitatea serviciilor oferite: ncrederea n transmisie, controlul fluxului de date i corectarea erorilor. Unul din protocoalele ntlnite la acest nivel (Transport Control Protocol), ofer o modalitate flexibil de realizare a comunicaiilor n reea. Fiind un protocol orientat conexiune, dialogul dintre surs i destinaie se realizeaz prin mpachetarea informaiilor de la acest nivel n segmente. Orientarea ctre conexiune nu nseamn c ntre calculatoarele care comunic exist vreun circuit, ci c segmentele nivelului 4 circul nainte i napoi ntre cele dou calculatoare ntr-o perioad de timp dat.
L e g a tu ra d a te

Nivelul internet/reea Scopul acestui nivel este de a trimite pachetele surs din orice reea ctre o alta, i s fac astfel nct acestea s ajung la destinaie indiferent de ruta i reeaua din care au fost transmise. Protocolul care guverneaz acest nivel este Internet Protocol, funciile ndeplinite de acesta fiind determinarea i comutarea pachetelor (gndii-v la sistemul potal). Nivelul legtur date Numele acestui nivel este cam general n cazul acestui model i de multe ori creeaz confuzie. Este nivelul care include detalii despre tehnologiile LAN/WAN, precum i toate detaliile incluse in nivelele fizic i legtur date din modelul OSI. De ce trebuie s nvai despre dou modele cnd unul (cel mai adesea TCP/IP) ar fi suficient? Specialitii prefer modelul OSI pentru analize mai atente i ca fundament n orice discuie legat de reele. Este adevrat c TCP/IP este mai folositor pentru c este implementat n lumea reala. Ca utilizatori finali avei de-a face numai cu nivelul Aplicaie, dar cunoaterea detaliat a nivelurilor este vital pentru realizarea unei reele. Este adevrat c majoritatea utilizatorilor nu tiu mai nimic despre protocoale de rutare sau alte detalii, dar este de asemenea adevrat c aceti utilizatori nu trebuie s realizeze reele scalabile i sigure (i nici nu au de dat examene la astfel de discipline). Chiar dac sunt voci care consider drept imbecil modelul OSI, noi ne poziionm de cealalt parte a baricadei i preferm s l folosim atunci cnd ncercm s explicm modul de funcionare a reelelor. Nu facem altceva dect s fim de acord Cu Andrew Tanembaum: modelul 28

OSI a fost dezvoltat naintea de a fi concepute protocoalele n timp ce modelul TCP/IP a aprut dup ce au fost descrise protocoalele!

4.3 Infrastructura reelei

Clieni, servere, imprimante, baze de date relaionale, toate acestea formeaz componentele unei reele locale. Acestea sunt echipamente ce realizeaz ncapsularea i de-capsularea datelor pentru a-i ndeplini toate sarcinile (transmitere mail-uri, editare texte, scanare, acces la baze de date). Continum prezentarea tehnologiilor prin prisma modelului OSI, ncepnd cu nivelul fizic.

4.3.1 Cartela de reea

Ce relaie exist ntre o plac de reea (Network Interface Card) i un computer? NIC este o plac cu circuite ce permite comunicarea n reea: de la i ctre un computer. Denumit i adaptor LAN, cartel de reea, plac de reea, interfa de reea ea se monteaz ntr-un slot de extensie al plcii de baz (PCI21 de obicei) sau este chiar inclus pe placa de baz, avnd un port prin care se realizeaz conectarea fizic n reea a computerului. Similar altor dispozitive hardware, cartela de reea are nevoie de un driver (sau mai simplu un software) prin care s poat fi controlat. n cazul n care cartela este plug&play resursele sunt configurate n mod automat simplificndu-se instalarea. n general, orice cartel de reea ndeplinete urmtoarele funcii: pregtete datele pentru a putea fi transmise printr-un mediu; transmite datele; controleaz fluxul datelor de la PC la mediul de transmisie.

Prin reea datele circul n serie (un bit odat, sau n serie) n timp ce n interiorul calculatorului circul n paralel (16, 32 sau 64 bii odat, n funcie de bus-ul sistemului). Prin urmare, cartela de reea trebuie s converteasc datele care circul n interiorul PC-ului n format serial. Pentru a funciona, fiecare NIC necesit o ntrerupere (IRQ-Interrupt Request Line), o adres I/O i o adres de memorie. ntreruperea o putei asocia unei resurse prin care procesorul i celelalte componente ale PC-ului i acord atenie unele altora. Unele din aceste ntreruperi sunt atribuite anumitor dispozitive chiar dac acestea nu au fost nc instalate fizic n calculator (de exemplu LPT2 pentru o a doua imprimant). n cazul plcilor de reea, atribuirea unei ntreruperi depinde de numrul ntreruperii disponibil pe calculator i de numrul ntreruperii prin care placa de reea a fost proiectat s acceseze sistemul. Dac ntreruperea pe care este proiectat s lucreze placa de reea este ocupat de alt dispozitiv, trebuie s rezolvai conflictul care apare reconfigurnd cartela s lucreze pe alt ntrerupere. Detalii despre toate ntreruperile unui PC gsii la adresa http://www.pcguide.com/ref/mbsys/res/irq. Adresa de memorie (Memory I/O Address) va conine informaii despre zona de memorie pe care respectivul dispozitiv i sistemul de operare o vor folosi pentru a-i transmite date. Intervalul uzual de adrese
21

Standardul Peripheral Component Interconnect (PCI) definete specificaiile prin care perifericele unui calculator vor fi ataate plcii de baz

pe care o placa de reea l folosete este 0x240-0x360. O parte din aceste adrese sunt deja atribuite unor dispozitive. De exemplu adresa 0x278 este folosit de cel de al doilea port paralel iar 0x378 de primul. Cartele de sunet pot folosi 0x220 iar drive-urile CDROM pot folosi 0x300. Pe lng cartela de reea clasic, ce necesit un cablu pentru a putea comunica, astzi putem discuta i de cartelele wireless22. Spre deosebire de cartelele clasice, WNIC comunic prin intermediul unei antene. Pot fi instalate pe un slot PCI/PCMCIA23, un port USB24 sau pot fi integrate. O cartele de reea wireless poate opera n dou moduri: ad hoc i infrastructur. n primul caz, calculatorul poate comunica direct cu alte dispozitive fr a fi nevoie de alte echipamente sau configuraii suplimentare. Singura condiie ce trebuie ndeplinit este ca toate dispozitivele n cauz s foloseasc acelai canal de comunicaie. n cel de al doilea caz avem nevoie de un access point (punct de acces). Calculatoarele care se conecteaz la acest access point trebuie s foloseasc acelai identificator al setului de servicii (SSID25). n cazul n care securitatea reelei este asigurat cu ajutorul Wired Equivalent Privacy (WEP)26 la nivelul access point-ului, toate calculatoarele trebuie s foloseasc aceeai cheie WEP.

4.3.2 Medii de transmisie clasice

Dac PC-ul este dotat cu o NIC nu nseamn c avem musai i o reea. Ca i n cazul telefonului, mai este nevoie de un element prin care PC-ul nostru s poat fi legat la reea. n aceast categorie intr mediile de transmisie sau cablurile, n limbaj reelistic. Unshielded Twisted-Pair (UTP) Acest mediu de transmisie este format din patru perechi de fire, izolate ntre ele. Prin torsadarea perechilor de fire apare efectul de anulare, efect ce limiteaz degradarea semnalelor datorit interferenelor magnetice sau radio. UTP-ul este un cablu uor de instalat (are un diametru de aproximativ 0,4 cm) i mult mai ieftin dect alte tipuri de cabluri. Dei este considerat cel mai rapid mediu de transmisie bazat pe cupru, este mai vulnerabil n faa zgomotelor electrice n comparaie cu alte categorii de cabluri. Cablurile UTP din categoria 3 sunt formate din dou fire izolate mpletite mpreun. O variant mai performant de astfel de cabluri este categoria 5. Acestea sunt similare celor din categoria 3 dar au mai multe rsuciri pe centimetru i ar trebui s fie izolate cu teflon, rezultnd de aici o interferen redus i o mai bun calitate a semnalului pe distane mari. Conectorul standard folosit n cazul acestui cablu este RJ-45 (Registered Jack), asemntor cu cel de la firul telefonic. Conectorul este construit n baza unui standard din industria telefonic, standard care precizeaz care fir trebuie s fie conectat pe un anumit pin al
22 23

Wireless Network Interface Card (WNIC) Personal Computer Memory Card International Association specificaiile pentru cardurile ataate laptopurilor 24 Universal Serial Bus (USB) un port serial prin intermediul cruia pot fi ataate mai multe dispozitive unui calculator 25 SSID o secven de cod ataat pachetelor transmise prin reeaua wireless pentru a identifica pachetele ca fcnd parte din acea reea. 26 Este cea mai simpl metod de protecie a reelelor wireless i relativ simplu de depit.

30

conectorului. Foiled twisted pair (FTP) Cablul FTP se aseamn cu UTP cu deosebirea c cele 4 perechi de fire sunt protejate de o folie de aluminiu. Dei a fost proiectat pentru a fi folosit n zonele cu ecranare mare, la noi se folosete mai ales n reele de cartier la cablarea ntre cldiri. Dezavantajul acestui cablu este dat tocmai de folia de aluminiu care trebuie s fac parte din circuit, asigurnd mpmntarea.

Fibra optic Fibra optic este mediul care asigur transmiterea luminii, modulat la o anumit frecven. Comparativ cu alte medii de transmisie, fibra optic este cea mai costisitoare, dar nu este susceptibil la interferene electromagnetice i n plus asigur rate de transfer mult mai ridicate dect celelalte categorii de medii. Cablul fibr optic const n dou fibre de sticl mbrcate separat ntr-un nveli de plastic (materialul se numete Kevlar). Cele dou fibre formeaz inima acestui mediu de transmisie, sticla din care sunt realizate avnd un grad ridicat de refracie. Vom reveni cu mai multe detalii. Prin prisma standardelor IEEE 802.3, Ethernetul folosete doar cteva din standardele existente n materie de cabluri: 10Base5, 10Base2, 10BaseT, 10 BaseF, 100BaseF. Notaia anterioar nseamn c reeaua folosete o anumit lime de band, utilizeaz semnalizarea n band de baz i poate suporta segmente de diferite lungimi pe diferite medii de transmisie. Vom face o prezentare sintetizat a acestor standarde.

4.4 Echipamente de transmisie a datelor

Chiar dac acest capitol trateaz subiecte legate de nivelul 1 OSI, vom extinde puin discuia prezentnd i echipamentele care corespund nivelurilor 2 i 3 Hub/Repetor Termenul de repetor vine tocmai de la nceputurile comunicrii vizuale cnd, o persoan aflat pe un deal, repeta semnalul pe care tocmai l primise de la o persoan aflat pe un alt deal situat n vecintatea sa, pentru a-l transmite mai departe. Telegrafia, telefonia (mai ales cea mobil) folosesc repetoare de semnal pentru a asigura transmiterea informaiilor la distane foarte mari. n limbajul cotidian, hub-urile din domeniul reelelor mai sunt denumite i repetoare (dei nu prea este corect). Acestea pot fi single port in single port aut (folosite n special pentru a depi limita impus de lungimea maxim a unui segment), stackable (modulare) sau multi port (aceste sunt cunoscute mai ales sub denumirea de hub-uri). Ele sunt clasificate ca fiind componente de nivel 1 deoarece acioneaz doar la nivel de bii. Nu uitai! Scopul unui hub este de a amplifica i a retransmite semnale, la nivel de bit, ctre un numr mai mare de utilizatori: 8,16, sau 24. Procesul prin care se realizeaz aceast funcie se numete concentrare.

Fiecare hub are propriul su port prin care se conecteaz la reea i mai multe porturi disponibile pentru calculatoare. Unele hub-uri au un port prin care pot fi legate de o consol, ceea ce nseamn c sunt hub-uri gestionabile/cu management. Majoritatea ns, sunt dumb hubs (huburi proaste) deoarece doar preiau un semnal din reea i l repet ctre fiecare port n parte. Huburile se comport ca i cum ar fi mai multe calculatoare pe un cablu partajat, altfel spus un singur port transmite la un moment dat. Celelalte porturi i implicit calculatoarele de la captul legturii rspund de detectarea eventualelor coliziuni i de reluarea transmisiei n cazul apariiei lor. Principala problem care apare n cazul folosirii hub-urilor o reprezint coliziunea pachetelor pe segmentul respectiv de reea. Switch-ul/Comutatorul La prima vedere un switch seamn foarte bine cu un hub, dar dup cum vedei, simbolul su arat un flux informaional bidirecional. Menirea acestui dispozitiv este de a concentra conectivitatea garantnd n acelai timp limea de band. Switch-ul este un dispozitiv ce combin conectivitatea unui hub cu posibilitatea regularizrii traficului pentru fiecare port. Ca manier de lucru, el comut pachetele de pe porturile transmitoare ctre cele destinatare, asigurnd fiecrui port limea de band maxim a reelei. Aceast comutare a pachetelor se face pe baza adresei MAC, ceea ce face din switch un dispozitiv de nivel 2. Router-ul27 Simbolul router-ului descrie foarte bine cele dou funcii ale sale: selecia cii de transmitere a informaiilor i comutarea pachetelor ctre cea mai bun rut. Fizic, routerele se prezint sub o mulime de forme, n funcie de model i de productor. Componentele principale ale routerului sunt interfeele prin care reeaua proprietar se conecteaz la alte segmente de reea. Din acest motiv el este considerat un dispozitiv inter-reele. Scopul routerului este s examineze pachetele recepionate, s aleag cea mai bun cale de transmitere a acestora i n final s le transfere ctre portul corespunztor. Pentru reelele mari, el reprezint cel mai important dispozitiv prin care se regleaz traficul reelei. Deciziile routerului n ceea ce privete selectarea cii de rutare se iau pe baza informaiilor de la nivelul 3 (adresele de reea), motiv pentru care sunt considerate echipamente de nivel 3. De asemenea, ele asigur conectivitate pentru diferitele tehnologii ale nivelului2: Ethernet, Token Ring, FDDI. n concluzie: Echipament Nivelul OSI la care lucreaz Repetoare/huburi 1 Bridge 2 Switch Ruter 2 3 Protocol Transparent Transparent Transparent Dedicat Domeniu Amplific semnalul Domeniu de coliziune Domeniu de coliziune Domeniu de broadcast Cu ce lucreaz Biti Cadre Cadre Pachete

27 n unele lucrri de la noi este denumit i repartitor

32

Organizational Unique Identifer (OUI)

Numr serial

24 biti

24 biti

6 cifre n hexa

6 cifre n hexa

00 60 2F

3A 07 BC

Cum ziceam i n introducere, teoria merge de mn cu practica. De aici i ncercarea noastr de a prezenta un posibil scenariu de depanare a problemelor care pot s apar la nivelul fizic al reelei. Dei suntem abia la nivelul 1 al modelului OSI este posibil s facem trimitere la lucruri nespuse nc. n acest caz trebuie doar s facei un salt nainte ctre paginile cu pricina.

RTL

#dispozitiv

4.5 Adresa MAC

The Institute of Electrical and Electronic Engineers (IEEE) 28 este organizaia profesional care a definit standardele aplicabile n domeniul reelelor de calculatoare: 802.1- modul de interconectare n reea; 802.2- controlul legturii logice (LLC); 802.3- reele LAN cu acces multiplu i cu detectarea purttoarei i a coliziunilor CSMA / CD, sau reelele Ethernet29; 802.4- reele LAN cu transfer de jeton pe magistral (Token Bus); 802.5- reele LAN cu transfer de jeton n inel (Token Ring); 802.6- reele metropolitane (MAN); 802.11- reele fr fir pe baza CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance); 802.12-reele LAN cu prioritate la cerere. Cnd se vorbete de nivelul 2 se au n vedere i cele dou noi componente aprute n timp: LLC i MAC: Media Access Control (MAC) realizeaz tranziia n jos, ctre mediul fizic de transmisie Logical Link Control (LLC)30 - realizeaz tranziia n sus, ctre nivelul reea. Subnivelul LLC este independent de tehnologia folosit, n timp ce MAC este dependent de tehnologia folosit. Subnivelul MAC se ocup de protocoalele pe care un calculator le folosete pentru a accesa mediul fizic de transmisie a datelor. Adresa MAC are o lungime de 48 de bii, i este exprimat n hexazecimal (12 cifre). Primele 6 care formeaz OUI (Organizational Unique Identifer), sunt administrate de ctre IEEE, identificnd productorul sau vnztorul produsului. Celelalte 6, descriu numrul interfeei (Serial Number Interface) sau o alt valoare administrat de fiecare productor sau vnztor. Adresa MAC este scris n memoria ROM a cartelei de reea, de unde este apoi copiat n RAM la iniializarea cartelei. Prin urmare, dac o cartel este nlocuit, se va schimba i adresa fizic a calculatorului. Cnd un dispozitiv din cadrul unei reele Ethernet ncearc s transmit date ctre alt dispozitiv, va cuta s deschid un canal de comunicaie cu acesta, folosind adresa MAC: datele transmise vor transporta i adresa MAC a destinaiei. Pe msur ce datele traverseaz mediul fizic
28 29

http://standards.ieee.org Pe larg la adresa http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ethernet.htm 30 Definit prin IEEE 802.2

de transmisie, NIC-ul fiecrui calculator din reea verific dac adresa sa MAC corespunde adresei destinaie inclus n pachet. Dac adresele nu sunt identice, NIC ignor datele din pachet, date ce continu s circule ctre urmtoarea destinaie. Dac adresele sunt identice, NIC face o copie a pachetului cu date i plaseaz aceast copie n calculator, la nivelul legtur de date. Pachetul original va continua s circule prin reea, ctre alte destinaii, unde se va verifica corespondena dintre adresele MAC. Dezavantajul major al adresrii MAC const n faptul c aceste adrese nu au o structur strict definit: vnztorii au OUI-uri diferite. Altfel spus, adresarea MAC nu este o adresare ierarhic, dup cum se va vedea c este adresarea IP. Pe msur ce reeaua crete, acest dezavantaj devine o problem major. Nu uitai: de fiecare dat cnd se discut de adresa MAC trebuie s v gndii la nivelul legtur date.

4.6 Adrese IP
Nivelul reea joac un rol important n transmisia datelor: folosete o schem de adresare pe care se bazeaz echipamentele pentru a determina care este destinaia datelor pe care le transmit. Protocoalele care nu sunt suportate de nivelul 3 pot fi folosite doar n reelele de dimensiuni mici. Aceste protocoale folosesc de obicei un nume pentru a identifica un calculator din reea (cum ar fi adresa MAC). Dar, pe msur ce reeaua se dezvolt, organizarea acestor nume devine un calvar. Dac vrem s interconectm ntre ele dou subreele va trebui s verificm dac numele calculatoarelor din cele dou subreele nu sunt duplicate. Internetul a ajuns astzi o colecie de segmente de reea care partajeaz n comun resurse informaionale. Echipamentele de nivel 3 folosite la interconectarea reelelor sunt router-ele. Acestea sunt capabile s ia decizii logice cu privire la traseul cel mai bun pe care trebuie s-l urmeze un pachet prin reea. Internet Protocol reprezint cea mai folosit schem de adresare ierarhic la nivelul 3. Dac aruncm o privire asupra modelului OSI, vom observa c pe msur ce informaiile strbat n jos nivelurile acestui model, datele sunt ncapsulate la fiecare nivel. La nivelul reea datele sunt transformate n datagrame, i dac reeaua folosete adresarea IP, datele sunt transformate n datagrame IP. n cazul telefoanelor mobile identificatorul unic al dispozitivului se numete IMEI International Mobile Equipment Identity. Este un cod format din 14 caractere i identific originea, modelul i un numr de serie al dispozitivului.

4.7 Protocolul IP versiunea 4 (IPv4)31

Elementul central al Internetului este protocolul de nivel reea numit IP (Internet Protocol). Sarcina acestui protocol este de a oferi o cale pentru a transporta datagramele de la surs la destinaie, fr a ine seama dac 32 mainile sunt sau nu n aceeai reea b its sau dac sunt sau nu alte reele ntre N etw o rk(R eea ) H o st(G azd ) ele. O adres IP conine 8 8 8 8 informaiile necesare pentru a b its b its b its b its transporta un pachet cu date prin reea i este reprezentat printr-un
172 .
31

16 .

122 .

202 .

Aa cum este descris prin IETF RFC791

34

numr binar cu o valoare egal cu 32 bii. Pentru a putea fi uor de citit, adresa IP a fost mprit n patru octei, fiecare octet coninnd 8 biti. Valoarea maxim a fiecrui octet (n zecimal) este 255. Orice adres IP este logic mprit n dou zone. Prima zon se numete network id i identific reeaua creia aparine un echipament. Cea de a doua zon se numete host id i identific n mod unic dispozitivul conectat la reea. Deoarece o adres IP este alctuit din patru octei separai prin punct, primul, al doilea sau al treilea dintre acetia pot fi folosii pentru a identifica reeaua din care face parte un dispozitiv. La fel i pentru identificarea dispozitivului n sine. Exist trei clase de adrese IP comerciale, clase gestionate de InterNIC: clasa A, B i C (mai exist D i E dar acestea nu sunt comerciale). Clasa A este rezervat de InterNIC organizaiilor guvernamentale (mai mult guvernelor) din lumea ntreag; clasa B este rezervat organizaiilor medii-mari, iar clasa C este rezervat oricrui alt tip de organizaie. Cnd o adres din clasa A este scris n format binar, primul bit este ntotdeauna 0. Primii doi bii ai unei adrese din clasa B sunt 10, iar primii trei bii ai unei adrese din clasa C sunt ntotdeauna 110. Un exemplu de adres IP din clasa A: 124.95.44.15. Primul octet (124) identific numrul reelei atribuit de InterNIC. Administratorul acestei reele va atribui valori pentru restul de 24 bii. O manier uoar prin care putei s recunoatei dac un dispozitiv face parte dintr-o reea de clas A, presupune s analizai primul octet al adresei IP. Numerele din primul octet al adreselor din clasa A sunt cuprinse ntre 0 i 127. Toate adresele IP din clasa A folosesc doar primii 8 bii pentru a identifica poriunea network N H H H A din cadrul unei adrese. Restul de trei octei din cadrul adresei sunt rezervai poriunii host din cadrul acesteia. Cea mai mic adres ce poate fi atribuit N B N H H unui host va avea toi biii din cadrul ultimilor trei octei la valoarea 0. Cel mai mare numr ce poate fi N N N H C atribuit poriunii host va avea toi biii din ultimii trei octei la valoarea 1. Orice reea care face parte dintr-o clas A de adrese IP poate s conin teoretic 224 host-uri (adic 16.777.214). Un exemplu de adres din clasa B: 151.10.13.28. Primii doi octei identific numrul reelei atribuit de InterNIC. Administratorul unei astfel de reele poate s atribuie valori urmtorilor 16 bii. Cnd vrei s recunoatei dac o adres este din clasa B analizai primii doi octei ai adresei. Aceste adrese au ntotdeauna valori cuprinse ntre 128-191 pentru primul octet i ntre 0-255 pentru cel de al doilea octet. Toate adresele din clasa B folosesc primii 16 bii pentru a identifica poriunea network din cadrul unei adrese. Ultimii 2 octei sunt rezervai poriunii host. Orice reea care folosete adrese din clasa B poate atribui teoretic 216(65.534) adrese IP echipamentelor care sunt ataate acesteia. O adres din clasa C: 201.110.213.28. Primii trei octei identific numrul reelei atribuit de ctre InterNIC. Administratorul de reea poate atribui valori doar ultimului octet. Cum putei recunoate o adres din clasa C? Analizai primii trei octeti: primul octet ia valori ntre 192-223, al doilea i al treilea octet pot s ia valori ntre 1-255. Toate adresele din clasa C folosesc primi 24 bii pentru a identifica reeaua din care face parte un dispozitiv. Doar ultimul octet este rezervat poriunii host Orice reea care folosete adrese din clasa C poate aloca teoretic 28(256) adrese echipamentelor ataate acesteia. Orice adres IP identific un echipament ntr-o reea i reeaua cruia aparine. Dac, spre exemplu, calculatorul vostru vrea s comunice cu altul din reea, ar trebui s tii adresa IP al celui din urm. De fapt ar trebui s tii adresele tuturor calculatoarelor cu care vrei s comunicai. Ar fi complicat, nu? Din fericire acest neajuns este rezolvat de alii.

Adresele IP care au toat poriunea de host cu valoarea 0 sunt rezervate ca adrese de reea. De exemplu o adres din clasa A 113.0.0.0 reprezint adresa IP pentru reeaua 113. Un ruter va folosi aceast adres pentru a transmite datele n Internet. S lum ca exemplu o adres din clasa B. Primii doi octei nu pot fi zero pentru c valorile lor sunt atribuite de InterNIC i reprezint numerele reelelor respective. Doar ultimii doi octei pot fi 0, deoarece numerele din aceti octei reprezint numrul host-urilor i sunt rezervate dispozitivelor ataate respectivei reele. Pentru a putea comunica cu toate dispozitivele din reea, adresa IP trebuie s conin 0 n ultimii doi octei. O astfel de adres ar fi de exemplu 176.10.0.0. Cnd se transmit date ctre toate echipamentele dintr-o reea trebuie creat o adres de broadcast (difuzare). Broadcast-ul apare cnd staia surs transmite date ctre toate celelalte dispozitive din reeaua respectiv. Dar pentru a fi sigur c toate aceste dispozitive sunt atente la mesajul broadcast, staia surs trebuie s foloseasc o adres IP pe care s o recunoasc toate celelalte echipamente din reea. De obicei, ntr-o astfel de adres, bitii din poriunea host au toi valoarea 1. Pentru reeaua folosit n exemplul anterior, adresa de broadcast va fi 176.10.255.255. (Vezi i http://www.ralphb.net/IPSubnet) ntr-o reea, hosturile pot comunica ntre ele doar dac au acelai identificator de reea (poriunea network id este identic). Acestea pot s partajeze acelai segment fizic de reea, dar dac au identificatori de reea diferii, nu pot comunica dect dac exist un alt dispozitiv care s realizeze conexiunea ntre segmentele logice ale reelei (sau identificatorii acestora). (Putei asemui aceti identificatori de reea cu codul potal). Dup cum am artat deja, fiecare clas de adrese IP permite un numr fix de hosturi. Dar nu trebuie s uitai c prima adres din fiecare reea este rezervat pentru a identifica reeaua, iar ultima adres este rezervat pentru broadcast

4.8 Protocolul IP versiunea 6 (IPv6)

Am menionat la un moment dat c CIDR a fost soluia de compromis pn la dezvoltarea versiunii 6 a protocolului IP32. Chiar dac tehnologiile Internetului sunt dominate nc de versiunea 4 se consider c pn la sfritul anului 2025 bugurile i erorile care vor fi descoperite la nivelul acestei noi versiuni vor fi rezolvate si standardizarea va fi deplin[ Principala modificare pe care o aduce IPv6 ine de lungimea adresei: 128 bii exprimai n format hexazecimal, ceea ce nseamn 2128 adrese (sau 340.282.366.920.938.463.463.374.607.431.768.211.456 adrese!). Nu este scopul nostru s intrm n detalii legate de acest subiect ci doar s v anunm c tehnologia se modific de la o zi la alta i la noi. Tehnicismele specifice protocolului sunt puin diferite la aceast versiune fa de cea anterioar. Noi v prezentm cteva din argumentele (mai multe detalii n RFC-urile menionate) care vor face din IPng protocolul nivelului reea folosit nu doar pentru extinderea spaiului de adresare: Capaciti extinse de adresare capacitai extinse de rutare Apariia adreselor de tip anycast Formatul antetului (headerului) simplificat fa de IPv4 Faciliti pentru asigurarea calitii serviciilor (QoS) Faciliti de autentificare i asigurarea confidenialitii prin criptare

32

Definit prin RFC: 1924, 2374, 2460, 2463, 2464, 3513

36

Capitolul 5.

Scena producerii infraciunii informatice

Locul n care se realizeaz o infraciune cu ajutorul calculatorului necesit o cunoatere extins a prelucrrilor electronice, a tehnologiei i modului de colectare a datelor. Securizarea locului este parte integrant a procesului investigativ.

5.1. Securizarea i evaluarea scenei

Dup securizarea fizic a locului unde s-a produs o infraciune, investigatorul trebuie s identifice vizual toate probele poteniale i s se asigure c integritatea fizic i logic a acestora nu va fi afectat. Probele digitale pot fi foarte uor terse, distruse sau alterate. Dac un dispozitiv nu este alimentat cu energie electric trebuie lsat n aceast stare. n situaia n care la prima vedere nu se poate determina starea dispozitivului se vor vizualiza led-urile indicatoare sau se ascult dac este pornit (n cazul sistemelor de calcul, ventilatoarele produc un zgomot ce poate fi auzit cu uurin). Chiar dac partea documentar o abordm separat n urmtorul subcapitol, menionm c nc din acest moment este bine s produce propriile dovezi care vor asigura trasabilitatea investigaiei.

Fi de evaluare preliminar pentru dispozitivul:______________________________ Numele utilizatorilor Numele de login/contului de acces Parole identificate i aplicaii corespondente Aplicaii n uz Tipul conexiunii Internet Dispozitive de stocare externe Documentaii ale aplicaiilor instalate Conturi de e-mail i clieni de e-mail Aplicaii de securitate n uz Restricii privind accesul la date/resurse locale Aplicaii/faciliti de criptare Dispozitive/aplicaii destructive Conturi de acces la reele 37

de socializare (Facebook, Twitter) Alte Informaii Pornind de la un prim element identificat la locul infraciunii, cutarea altor probe se poate face n spiral, n linie sau tip gril. Dac pe monitor se poate identifica o aplicaie activ, o imagine, email sau un site Internet sau dac monitorul este pornit dar nu se afieaz nimic primul lucru ce trebuie ntreprins este fotografierea display-ului/monitorului. Apoi se mic puin mouse-ul pentru a identifica dac nu este activ screen-saverul. Tot ce se identific se documenteaz. Dac monitorul nu este pornit dar calculatorul este alimentat cu energie electric, se pornete monitorul din buton i se fotografiaz ceea ce afieaz. Foarte important! nainte de consultarea probelor n formatul lor electronic, prin accesarea dispozitivelor de calcul sau de stocare, incluznd calculatoare, servere, laptop, tablete, telefoane mobile, dispozitive GPS, investigatorul trebuie s obin un mandat de percheziie informatic, conform Legii 161/200333 TITLUL III Prevenirea i combaterea criminalitii informatice Mandatul de percheziie informatica se poate obine si ulterior de la un judector - in cazul in care investigatorul nu avea dect un mandat de percheziie domiciliar i percheziia informatic se justific prin asimilare cu cazul iniial.

5.2. Documentarea scenei

Ca auditor (CISA) am nvat c orice concluzie se bazeaz pe dovezi. Iar dovezile trebuie s fie suficiente, corespunztoare i de ncredere34. Aceste cerine se aplic i n cazul investigaiilor informatice pentru c scopul este acelai: asigurarea trasabilitii investigaiei. Trebuie s inem cont de faptul c documentarea iniial poate implica schimbarea poziiei unor dispozitive. Pornind de la acest fapt documentarea ar trebui s includ o nregistrare video detaliat sau fotografierea locului cu scopul de a recrea detaliile locului n orice moment ulterior. Aa cum am menionat anterior, tot ceea ce se identific pe monitoarele gsite pornite trebuie documentat n foi de lucru (nu exist o standardizare n acest sens). Nu trebuie uitat c n domeniul tehnologiilor informaionale avem de a face cu multe aspecte intangibile i de la un anumit loc de unde pot fi identificate probe se poate ajunge i la alte locuri aflate n alte zone geografice. Circumstanele de la locul infraciunii pot s conduc la situaii n care nu este posibil colectarea tuturor probelor de la locul infraciunii. Despre documentare vom mai face vorbire cu referire ns la probe.

5.3. Colectarea probelor

Riscul cel mai mare cu care se poate confrunta un investigator l reprezint alterarea integritii dispozitivului sau a datelor coninute de acesta. De exemplu, dac pe un calculator este
33

Legea 161 din 19/04/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea corupiei 34 Vezi standardul ISACA S14 Audit Evidence, ghidul ISACA G2 Audit Evidence Requirement

38

activat criptarea i este ntrerupt alimentarea cu energie electric, exist o mare probabilitate ca datele s nu mai poat fi accesate ulterior. Toate activitile i aciunile ntreprinse asupra dispozitivelor electronice se realizeaz purtnd mnui pentru a nu compromite sau distruge probele fizice. Cu excepia investigatorului sau a unui membru al echipei acestuia nici unei alte persoane nu trebuie s i se permit accesul la dispozitivele investigate.

Figura nr. 5.1 Procedura de colectare a probelor informatice

Pornind de la etapa a 2 a din schema de mai sus vom exemplifica 4 situaii cu care investigatorul se poate ntlni n practic

Studiu de caz 1: Calculatorul este pornit iar monitorul afieaz anumite informaii Se fotografiaz monitorul i se documenteaz informaiile afiate pe acesta Dac informaiile de pe ecran indic c datele vor terse (delete, remove) sau rescrise (format) se deconecteaz dispozitivul de la sursa de alimentare Se va verifica dac acesta nu are activat opiunea de acces de la distan.

Dac exist o conexiune activ la Internet se verific starea mesageriei electronice, a mesageriei instant i a camerei web. Dac datele afiate pe ecran au valoare de prob se trece la colectarea acestora

Studiu de caz 2: Calculatorul este pornit iar monitorul afieaz screen saver-ul sau o imagine static Se mic doar mouse-ul sau se atinge pad-ul (n cazul lap top-urilor). Apsarea oricrei taste sau a butoanelor mouse-ului este interzis. Se fotografiaz i se documenteaz informaiile afiate pe ecran. Studiu de caz 3: Calculatorul este pornit iar monitorul pare a fi oprit Se mic doar mouse-ul sau se atinge pad-ul (n cazul lap top-urilor). Dac monitorul afieaz informaii se fotografiaz i documenteaz Dac monitorul este oprit (nu s-a identificat nici un indicator care s certifice starea acestuia) se pornete i se fotografiaz i documenteaz informaiile afiate. Studiu de caz 4: Calculatorul este oprit Se fotografiaz i se documenteaz (inclusiv etichetare) toate cablurile i dispozitivele ataate. Se deconecteaz calculatorul de la priz i toate cablurile i dispozitivele ataate Se sigileaz sursele de alimentare, butoanele, porturile de conectare a altor dispozitive, drive-urile asociate (CD-ROM, flopy disk, dac exist). Se documenteaz modelul dispozitivului, numrul serial etc. Se mpacheteaz conform procedurilor Atenia cuvenit trebuie acordat i probelor non digitale existente la locul infraciunii: documentaii, notie, manuale de utilizare. Un posibil model de foaie de lucru este prezentat mai jos: Informaii despre calculator: Productor:____________________________Model___________________ Numr serial:____________________ Desktop Laptop Server Altul Stare bun Distrus/avariat Numr hard disk_____3.5 Floppy drive Uitate band Tip drive____________ Modem Cartel reea DVD Tip drive________________________ USB Numr porturi___________ Cititor carduri Tip carduri_____________________________ Altele:____________________________ Informaii CMOS Parol logon Parol_____________________________________________ Data i ora curent______________________________ Data i ora CMOS________________________________ Setri hard drive CMOS Auto Capacitate___________Nr. cilindri________Nr. capete_________Nr. sectoare______ Mod: LBA Normal Auto 40

Modelul de mai sus este doar un punct de pornire. Trebuie colectate ct mai multe informaii astfel nct s nu se poat afirma ulterior c s-a intervenit fizic asupra calculatorului. O parte din informaiile documentate n foaia de lucru prezentat ca model pot fi detaliate i documentate separat. De exemplu n cazul hard disk-urilor se vor documenta: etichetele asociate volumelor; numrul de partiii fizice i logice; dac sunt boot-abile sau nu; tipul controller-ului etc.

5.4. Ambalarea, transportul i pstrarea probelor digitale

n cele mai multe cazuri se impune ca achiziia datelor s nu se fac n acelai loc n care a avut loc infraciunea. Situaiile n care acest lucru nu este posibil sunt rare. n paragraful anterior am folosit foarte des cuvntul documentare pentru a evidenia c orice aciune ntreprins de investigator trebuie documentat i nregistrat. Documentarea investigaiei poate fi la rndul su prob! nainte de a se trece la mpachetarea probelor, investigatorul trebuie s verifice dac au fost documentate toate activitile ce au vizat identificarea, colectarea, etichetarea, fotografierea i inventarierea. Probele biologice latente vor fi recoltate abia dup colectarea i analizarea probelor digitale. mpachetarea trebuie s se fac cu materiale antistatice fiind permis folosirea doar a hrtiei sau cutiilor de carton. Nu vor fi folosite materiale plastice la mpachetare. mpachetarea trebuie s asigure protecie mpotriva deformrii sau zgrierii suprafeelor magnetice. Nu am intrat pn acum n detalii privind telefoanele mobile sau telefoanele inteligente. Acestea se las exact n starea n care au fost identificate i se mpacheteaz n materiale n materiale care izoleaz radio frecvenele (se accept i folie de aluminiu). Izolate astfel aceste dispozitive se transport la laboratorul unde se vor realiza investigaiile. Pe parcursul transportului de la locul infraciunii la laboratorul de investigaii trebuie s se asigure i s se documenteze lanul de custodie. Probele se predau i se recepioneaz pe baz de semntur! n ceea ce privete pstrarea probelor digitale este important s se asigure condiiile de mediu pe care productorul echipamentului le-a impus, evitndu-se umiditatea i temperaturile extreme, expunerea la cmpuri magnetice etc.

Capitolul 6.

Achiziia datelor

Procesul de investigare urmrete trei etape principale: achiziia datelor, analiza acestora i raportarea. Achiziia datelor presupune copierea acestora de pe medii de stocare electronice, fr a fi alterate. n acest moment putem s avem n vedere dou tipuri principale de date: date statice i date volatile. Probabil n viitorul nu prea ndeprtat, concentrarea va fi asupra datelor volatile. Pentru a nelege ns mai bine cum stau lucrurile ne vom ndrepta atenia asupra diferitelor tipuri de formate ale datelor cu meniunea c exist dou modaliti de achiziie a datelor: static, respectiv dinamic.

6.1 Formate de stocare a datelor pentru probele digitale

Majoritatea aplicaiilor folosite n achiziionarea datelor n timpul investigaiilor folosesc formate proprietare (cu avantaje i dezavantaje) precum i formatul raw. Acesta din urm este un format open-source ce este nlocuit n ultimul timp de Advanced Forensic Format (AFF).

6.1.1. Formatul Raw

Pn nu demult timp n urm, singura variant prin care se putea realiza copierea datelor n vedere examinrii i conservrii acestora ca probe ntr-o investigaie presupunea copierea lor bit cu bit de pe un suport magnetic/electronic pe altul. Prin aceast tehnic se realizau fiiere secveniale dintr-un anumit set de date. Deoarece majoritatea aplicaiilor folosite n cadrul investigaiilor informatice pot citi astfel de fiiere, formatul raw este unul din formatele universale folosite n achiziia datelor chiar dac necesit acelai spaiu de stocare ca fiierele originale analizate. Majoritatea aplicaiilor comerciale realizeaz i o validare a datelor achiziionate prin utilizarea Cyclic Redundancy Check (CRC-32), Message Digest 5 (MD5) sau Secure Hash Algorithm (SHA).

6.1.2. Formate proprietare furnizorilor de soluii informatice

Spre deosebire de formatul raw, formatele proprietare furnizorilor de soluii pentru investigaii ofer n primul rnd posibilitatea comprimrii datelor achiziionate. Astfel se reduce necesarul de spaiu de stocare al probelor. Pe lng aceast facilitate mai exist posibilitatea segmentrii unei imagini precum i salvarea meta-datelor unui fiier supus analizei. Principalul dezavantaj al formatelor proprietare const n imposibilitatea partajrii unei imagini ntre soluii diferite.

6.2. Metode de achiziie a datelor

Indiferent dac avem n vedere achiziia static sau dinamic, datele pot fi colectate prin patru metode: realizarea unui fiier imagine dup un disc realizarea unei copii tip disc la disc 42

realizarea unui disc logic dup un disc fizic sau a unui fiier cu date dup un disc realizarea unei copii dup un fiier sau director ters.

Nu exist o regul general valabil dup care trebuie folosit una sau alta din metodele menionate. Acest lucru depinde n principal de situaia din timpul i de la locul investigaiei. Majoritatea aplicaiilor (FTK, EnCase, ProDiscover) folosesc metoda realizrii unui fiier imagine dup un disc, copii care este o replic bit cu bit a drive-ului original. n situaiile n care aceast metod nu poate fi aplicat (cazul drive-urilor de generaii mai vechi) se folosete metoda disc la disc. Trebuie s spunem c aceast activitate este consumatoare de timp cnd discutm de discuri de capacitate mare i foarte mare (terabytes). Din acest motiv achiziia logic, altfel spus identificarea prealabil a datelor ce prezint interes pentru scopul investigaiei este metoda care ar trebui s fie aplicat. Pentru a determina care din cele metode enumerate trebuie aplicat, ar trebui s avem n vedere dimensiunea discului considerat suspect, dac discul poate fi reinut ca prob sau trebuie napoiat proprietarului de drept, timpul disponibil pentru realizarea achiziiei i locul n care se afl proba.

6.3. Protecia la scriere

Ori de cte ori achiziioneaz date, investigatorul trebuie s se asigure c aceste nu vor fi alterate. Atunci cnd ataam un dispozitiv de stocare a datelor la un calculator pe care ruleaz o versiune a sistemului de operare Windows, acesta poate scrie o semntur pe acel dispozitiv, alertnd prin aceasta coninutul. Pentru a preveni astfel de situaii se recomand blocarea la scriere a dispozitivelor (excepie fac cele proiectate astfel nct datele odat scrise nu mai pot fi alterate). Acest lucru se realizeaz fie prin mecanismele proprietare ale dispozitivului hardware analizat fie cu ajutorul software-ului. Detalii despre acest subiect n capitolul urmtor.

Capitolul 7.

Sistemul de fiiere i regitrii WINDOWS

Procesul de interpretare a probelor este unul laborios, care presupune utilizarea unor instrumente dedicate, sau n cazuri speciale apelarea direct la instrumentele sistemelor de operare. Seciunile urmtoare descriu cteva aspecte tehnice ale organizrii fiierelor i reprezentrii informaiilor cu scopul de a nelege, accesa i interpreta mai uor probele digitale.

7.1. Sistemul de fiiere

Cele mai importante sisteme de fiiere suportate de sistemele de operare Windows sunt: FAT32 (File Allocation Table) i NTFS (New Technology File System)35. FAT 32 Acest sistem de fiiere a fost introdus de Microsoft pentru prima dat odat cu lansarea sistemului de operare Windows 95 OSR2. Spre deosebire de versiunile anterioare FAT 32 poate suporta (teoretic) discuri de pn la 2TB datorit reducerii dimensiunii clusteri-lor i prin urmare utilizarea mult mai eficient a spaiului de pe disk. Dimensiunea clusteri-lor FAT32
Dimensiunea partiiei < 260 MB 260 MB - 8 GB 8 GB - 16 GB 16 GB - 32 GB 32 GB - 2 TB Dimensiunea cluster-ului 512 bytes 4,096 bytes 8,192 bytes 16,384 bytes 32,768 bytes

n practic, pot fi formatate nativ FAT 32 doar partiiile de pn la 32GB. Dincolo de aceast dimensiune trebuie folosit FastFAT. Fr a mai insista asupra acestui subiect mai adugm doar c discurile formatate FAT 32 nu ofer nativ nici un nivel de securitate, criptare sau comprimare a fiierelor. Pentru o firm acest lucru poate produce numeroase probleme n sistemul informaional, motiv pentru care nu mai insistm asupra acestui subiect. NTFS 5 Sistemul de fiiere NTFS este soluia cea mai folosit n cazul platformelor Windows. n continuare vom prezenta doar principalele faciliti oferite de versiunea 5 a NTFS. Cele mai multe hard discuri sunt divizate n mai multe seciuni logice denumite partiii. Pentru a analiza la nivel fizic o partiie cu scopul de a afla informaii despre antetul fiierelor (header) sau sistemul de operare utilizat putem folosi un editor de discuri (WinHex 36, Norton DiskEditor37).

35

Pe larg despre acest subiect la adresa http://www.ntfs.com/ 36 http://www.winhex.com/winhex/ 37 http://us.norton.com/norton-utilities

44

Figura nr. 7.1 Identificarea sistemului de fiiere folosit pe o unitate de stocare

n figura de mai sus, n partea dreapt apar i informaii despre clustere. Structura de fiiere folosit de Microsoft grupeaz sectoarele de pe un hard disk n clustere. Combinarea sectoarelor are drept scop scurtarea timpului necesar scrierii/citirii informaiilor pe hard disk. Numrul de sectoare ce se combin pentru a forma un cluster depinde de dimensiunea hard diskului. Numerotarea clusterelor se face secvenial ncepnd cu cifra 2 deoarece primul sector de pe fiecare hard disk conine o zon rezervat sistemului de operare, nregistrrile necesare boot-rii i baza de date cu structura fiierelor. Sistemul de operare este cel care aloc aceste cifre denumite adrese logice ai numrul sectorului reprezint adresa fizic. Un cluster i adresa sa sunt specifice unui disk logic (o partiie a discului fizic).

Permisiuni la nivel de fiiere Acesta este probabil cea mai utilizat facilitate a sistemului de fiiere. Pe un volum NTFS se pot preciza permisiuni la nivel de director i/sau fiiere. Acest lucru nseamn c se pot indica exact grupurile de utilizatori sau utilizatorii individuali crora li se acord permisiuni i nivelul de acces permis.

45

Figura nr. 7.2 Lista de control acces asupra fiierului de pe discul E

Aceste permisiuni sunt gestiune prin intermediul listelor pentru controlul discreionar al accesului (DACL38).Permisiunile la nivelul unui volum NTFS vor fi motenite implicit de toate obiectele respectivului volum. Fiecare dosar i fiier dintr-o partiie NTFS are asociat cte o list ACL (Access Control List list care controleaz accesul). n lista ACL se afl nscrise perechi de informaii de tipul: ce utilizator (sau grupuri, sau eventual calculatoare) au acces i ce tip de acces le este permis. Pentru ca un utilizator s aib acces la un dosar sau fiier el trebuie sa fie cuprins n lista ACL (direct sau indirect, prin apartenena la un grup). Dac utilizatorul nu apare n lista ACL atunci el nu are acces la acel obiect. n funcie de tipul de utilizator, aceste drepturi de acces pot fi: Drepturi restrnse: Full control (control deplin), Modify (modific), Read&Execute (citete i execut), List folder contents (listeaz coninut folder), Read (citete), Write (scrie); Drepturi extinse: Full control (control deplin), Traverse folder/execute file (traverseaz folder/execut fiier), List folder/read data (listeaz folder/citete date), Read attributes (citete atribute), Read extended attributes (citete atribute extinse), Create files/write data (creeaz fiiere/scrie date), Create folders/append data (creeaz foldere/adaug date), Write attributes (scrie atribute), Write extended attributes (scrie atribute extinse), Delete subfolders and files (terge subfoldere i fiiere), Delete (terge), Read permissions (citete permisiuni), Change permissions (schimb permisiuni), Take ownership (ia n posesie). Spre deosebire de versiunile anterioare ale SO, lucrul cu permisiunile se complic oarecum pentru c trebuie lucrat la nivel de permisiuni efective (ultimul tab din figura anterioar). Dac nu se acord atenia cuvenit se poate ntmpla ca unui utilizator cruia i-ai restricionat accesul s poat totui efectua anumite schimbri. S lum cazul prezentat n imaginea urmtoare. n directorul Carte n care am salvat fiierul carte.doc am acordat permisiuni de tip full control pe acest director, dar nu acord aceleai permisiuni i pe fiierul amintit. Cu toate acestea, utilizatorii care vor avea acces la director vor putea s tearg i fiierul. De ce se ntmpl acest lucru? O fi vreun bug? Permisiunile acordate pe directorul Carte includ i Delete Subfolders and Files. Acestea sunt permisiuni speciale care apar n tab-ul aferent.

38

Fiecare obiect creat de ctre sistemul de operare aparine unui proprietar de drept. Doar proprietarul acelui obiect poate schimba permisiunile asociate acestuia, accesul fiind deci la discreia acestuia

46

Figura nr. 7.3 Permisiunile efective pe un fiier

Pentru a evita situaiile neplcute precum cea prezentat anterior trebuie s verificai permisiunile efective atribuite obiectelor la care dorii s restricionai/controlai accesul, s nu lsai activ opiunea prin care se motenesc permisiunile atribuite directorului (inherit) i s resetai drepturile acordate anterior. Criptare la nivel de fiier/director NTFS-ul ofer i faciliti de criptare folosind o cheie simetric pentru protecia directoarelor i fiierelor. Aceast facilitate este total transparent pentru utilizatori autorizai: un fiier poate fi deschis, se poate lucra cu el iar la terminare are loc criptarea. Doar utilizatorii neautorizai vor fi avertizai prin clasicul Access denied c nu li se permite accesarea directoarelor/fiierelor. Pentru a fi siguri de setrile pe care le facei, activai criptarea la nivel de director. Astfel toate fiierele din respectivul director vor fi automat criptate. Pentru protecia fiierelor sistemul de operare Windows, ediiile Ultimate i Enterprise, pune la dispoziia utilizatorilor BitLocker Drive Encryption. Pentru protecia fiierelor stocate pe medii amovibile de tipul hard disk urilor externe sau USB flash drive se folosete BitLocker To Go.

47

Figura nr. 7.4 Fereastra de criptare a discurilor

Spre deosebire de EFS care cripteaz fiiere/directoarele individuale, BitLocker cripteaz un disc n totalitate. Menionm c ori de cte ori se copiaz un fiier de pe un drive criptat pe unul necriptat, fiierele vor fi decriptate pe noul disc, dar accesul la discul criptat cu BitLocker nu se poate realiza daca nu exista cheia de decriptare. Totui este demonstrat c n anumite condiii, hardiscurile criptate pot fi decriptate mai ales cnd nu se respect procedurile corecte de nchidere deschidere a laptopurilor. ntr-o demonstraie cu public, specialistul n Securitate Andy Malone a reuit s decripteze un astfel de harddisk 39. Cunoaterea sistemului de fiiere este important prin prisma informaiilor ce le ofer despre data i timpul crerii i accesrii informaiilor Copierea unui fiier dintr-o director al unei partiii FAT ntr-un alt director al aceleeai partiii, v pstra aceeai dat i or a modificrii dar va schimba data crerii i timpul la momentul realizrii aciunii Mutarea unui fiier dintr-o director al unei partiii FAT ntr-un alt director al aceleeai partiii, va pstra aceeai dat i timp al modificrii dar i al crerii Copierea unui fiier dintr-o director al unei partiii FAT ntr-un director al unei partiii NTFS va pstra aceeai dat i timp a modificrii dar va modifica data i timpul crerii la momentul realizrii aciunii. Mutarea unui fiier dintr-o director al unei partiii FAT ntr-un director al unei partiii NTFS va pstra data i timpul modificrii i crerii. Copierea unui fiier dintr-o director al unei partiii NTFS ntr-un alt director al aceleeai partiii, va pstra aceeai dat i timp a modificrii dar va schimba data crerii i timpul la momentul realizrii aciunii. Mutarea unui fiier dintr-o director al unei partiii NTFS ntr-un alt director al aceleeai partiii va pstra aceeai dat a modificrii i timpul precum i aceeai dat a crerii i timpul. Data modificri i timpul unui fiier nu se modific att timp ct nu se modific o proprietate a fiierului. Data crerii i timpul se vor modifica indiferent dac fiierul a fost copiat sau mutat

39

http://www.chip.ro/review/windows/15842-cat-de-sigur-e-bitlocker

48

Gestiunea spaiului de pe volume Utilizarea spaiului de pe volumele NTFS poate fi controlat prin activarea opiunii Disk Quotas. Pentru administratori aceast facilitate este de un real folos dac ne gndim la disponibilitatea sistemului.

Figura nr. 7.5 Fereastra disk Quota

Spaiul pe care fiierele le ocup pe disc vor fi evideniate pentru fiecare utilizator n parte, gestionarea sa fcndu-se independent de localizarea fizic a fiierelor. Activarea acestei opiuni se face prin click dreapta pe un volum Properties Quota. Compresia fiierelor Fr a intra prea mult n amnunte spunem doar c algoritmul de compresie a fiierelor suport clustere de pn la 4KB. Dincolo de aceast dimensiune fiierele nu mai pot fi compresate. Cum funcioneaz compresia oferit de NTFS? Dac accesai un fiier compresat, decompresia are n vedere doar poriunea din fiier care trebuie citit. Aceast zon este copiat n memoria calculatorului unde va fi ulterior modificat. n momentul n care prsii fiierul, datele din memorie vor fi scrise pe disc n format compresat.

49

Figura nr. 7.6 - Compresia i/sau criptarea fiierelor

Accesarea acestei faciliti se face prin click dreapta pe directorul/fiierul pe care dorii s-l compresai i alegerea opiunii Properties. Dac v plictisete lucrul cu mouse-ul putei apela la un utilitar care se lanseaz din linia de comand: compact.exe.

Figura nr. 7.7 - Comanda compact

Montarea discurilor Ne cerem scuze pentru barbarismul folosit, dar alt traducere pentru englezescul mounted nu am gsit. La ce se refer aceast facilitate? Este vorba de alocarea unui nume sau atribuirea unei etichete unui director de pe disk. Funcionarea este identic cu atribuirea de litere partiiilor create. Marele avantaj este c nu mai exist limitarea impus de folosirea doar a celor 26 de litere din alfabet.

50

Figura nr. 7.8 - Feresatra pentru montarea discurilor

Se poate lucra fie din consola dedicat (StartRundiskmgmt.msc, sau din Control PanelAdministrative ToolsComputer Management) sau cu un utilitar lansat din linia de comand: mountvol.exe. Exist o limitare a acestei faciliti: cel care dorete s monteze un volum trebuie s aib permisiuni de administrator: s fie membru al acestui grup. Servicii de indexare Faciliti ale NTFS-ului mai sunt, dar noi ne-am propus s vi le prezentm pe cele mai folosite n practic. Prin urmare nu vom discuta despre hard links sau sparse file ci despre indexare. Atunci cnd se dorete regsirea mai rapid a documentelor de pe disc se poate apela la reorganizarea acestora cu ajutorul Serviciului de indexare. Funcionalitatea este similar bazelor de date sau cutrii care se face cu ajutorul unui motor de cutare.

51

Figura nr. 7.9 Specificarea aciunilor de indexare a fiierelor pe de un disc

Dup prima indexare a unui volum, cutrile ulterioare vor face apel la un jurnal n care sunt memorate modificrile aduse fiierelor astfel nct numrul actualizarea indecilor este proporional cu numrul de fiiere modificate. Dac nu folosii aceast facilitate, de fiecare dat cnd apelai funcia de cutare, Windows-ul trebuie s deschid fiecare fiier de pe disk, s caute informaia dorit i apoi s nchid fiierul. Altfel spus, se mic greu. Limitarea acestei faciliti apare n momentul criptrii: un fiier odat criptat va fi ters din lista de indeci. Serviciul de indexare (Error! Reference source not found.) poate fi pornit i din Control PanelAdministrative ToolsComputer ManagementIndexing Service (n Windows XP) i direct din Control Panel, Indexing Options n Windows 7.

Figura nr. 7.10 Serviciile de indexare n Windows XP

52

Figura nr. 7.11 Serviciul de indexare n Windows 7

Nu vom ncheia nc discuiile legate de sistemul de fiiere (oricum vom mai face referire la acest subiect) fr a face o scurt recapitulare a utilitarelor pe care le avei la dispoziie n \windows\system32:
Utilitar Cacls.exe Chkntfs.exe Cipher.exe Compact.exe Convert.exe Defrag.exe Expand.exe Fsutil.exe Mountvol.exe Funcionalitate Afieaz i modific ACL-urile asociate fiierelor sau directoarelor. Afieaz sau specific cnd este programat verificarea automat a unui volum. Afieaz sau modific informaiile cu privire la criptarea fiierelor/directoarelor de ve volumele NTFS. Afieaz sau modific compresia fiierelor/directoarelor de pe un volum NTFS. Convertete un volum/partiie din FAT n NTFS. Reorganizarea fiierelor de pe disk. Extrage un fiier dintr-un format comprimat (de exemplu dintr-un .cab). Ofer mai multe opiuni ce pot fi folosite n gestionarea sistemului de fiiere Folosit n managementul volumelor NTFS.

Dac dorii s aflai mai n detaliu informaii despre calculatorul analizat, n modul comand tastai systeminfo

53

Figura nr. 7.12 Informaii despre sistem n formatul linie de comand

7.2 Gestiunea Regitrilor

Microsoft spune despre Registry c reprezint o baz de date centralizat, cu o structur ierarhic, folosit la gestionarea informaiilor necesare configurrii sistemului, aplicaiilor i dispozitivelor hardware ale calculatorului 40: Subtree (Subarbore) Nivelul superior. Sunt 5 arbori n structur. o Keys (Chei)- Containere pentru subchei i valori Subkeys (Subchei)- Container pentru valori Values (Valori) Data (Date) Ca structur, regitrii sunt alctuii din mai multe containere care pot fi asimilate directoarelor clasice: subtrees, keys i subkeys. Datele propriu-zise sunt stocate sub forma intrrilor care pot fi asimilate fiierelor clasice. O intrare este alctuit dintr-un nume, un tip de dat prin care este definit lungimea i formatul datei pe care intrarea respectiv l poate stoca i o valoare care stocheaz data propriuzis. Aplicaiile instalate pe calculator i pstreaz datele sub forma intrrilor n regitri. Prin urmare, regitri aparin aplicaiilor i nu utilizatorilor. Modificarea setrilor regitrilor fr cunoaterea exact a unei aplicaii poate duce la decesul calculatorului!

40

http://support.microsoft.com/default.aspx?scid=kb;EN-US;256986

54

Figura nr. 7.13 Fereastra Registry Editor

Primul subarbore este HKEY_CLASSES_ROOT (HKCR). Acesta este creat dinamic n momentul boot-rii i conine dou tipuri de date: Date prin intermediul crora se face asocierea ntre diferite tipuri de fiiere i programele care le utilizeaz. Subcheile din HKCR au acelai nume ca i extensiile fiierelor pentru respectivul tip de fiiere. Date pentru configurarea obiectelor COM, programelor. Subcheile folosesc ID-ul programului respectiv sau numele cheii printe pentru alte clase de informaii. Informaiile din acest subarbore sunt HKEY_LOCAL_MACHINE\SOFTWARE\Classes USER\SOFTWARE\Classes preluate din respectiv alte dou frunze: HKEY_CURRENT_

Cel de al doilea subarbore este HKEY_CURRENT_USER (HKCU). El conine profilul utilizatorului logat pe calculator incluznd: variabilele de mediu, programele, setrile desktop-ului, conexiunile reelei, imprimantele i personalizrile la nivel de aplicaii. n acest frunz nu sunt memorate date propriu-zise ci doar pointeri ctre identificatorul de securitate corespunztor utilizatorului curent (HKEY_USERS\Security ID). De fiecare dat cnd se logheaz un alt utilizator pe calculator se creeaz o nou HKCU. Datele pentru acest subarbore vor fi preluate din profilul utilizatorului curent. Dac nu este gsit nici un profil, subraborele este creat pornind de la setrile din profilul utilizatorului implicit (default): C:\Users\Default\Ntuser.dat. Al treilea subarbore i poate cel mai important este HKEY_LOCAL_MACHINE (HKLM) i conine informaii despre configuraia hardware a calculatorului local precum i informaii despre sistemul de operare: tipul busului, memoria existent, drivere, parametrii de control la startare etc. La rndul su acest subarbore conine cinci chei: HARDWARE, SAM, SECURITY, SOFTWARE i SYSTEM. Cheia HARDWARE pstreaz datele cu privire la componentele hardware pe care le detecteaz calculatorul i este recreat la fiecare pornire a computerului. sunt incluse aici informaii despre toate dispozitivele, driverele acestora i celelalte resurse al computerului. Cheia SAM conine informaiile folosite de managerul pentru securitate (SAM Security Account Manager). Pentru serverele Windows care nu au rol de controlere de domeniu, aceast cheie este folosit pentru a memora informaiile despre utilizatori sau grupurile de utilizatori. n cazul controlerelor de domeniu, acest informaii sunt stocate n Active Directory. Informaiile cu privire la securitatea sistemului i a reelei sunt stocate n cheia SECURITY. Subcheia HKLM\SECURITY\SAM pstreaz o dublur a informaiilor din subcheia SAM. Informaiile din aceast cheie sunt prezentate n format binar i nu pot fi editate! 55

Subcheia SOFTWARE este cea care pstreaz variabilele asociate programelor instalate pe calculator (inclusiv productorul) i care se aplic utilizatorilor Subcheia HKLM\SYSTEM pstreaz intrrile specifice set de control curent sau celelalte seturi de control utilizate. Trebuie s existe cel puin dou seturi de control pentru startarea sistemului. Cel de al patrulea subarbore, HKEY_USERS (HKU) conine toate profilurile utilizatorilor activi pe calculatorul respectiv, i include cel puin trei subchei: DEFAULT pstreaz profilul utilizat atunci cnd nu exist nici un utilizator logat (cnd este afiat promptul pentru login) O subcheie al crui nume ncepe cu S i care face referire la SID-ul (identificatorul de securitate) utilizatorului local. Conine informaii despre profilul utilizatorului curent. Datele din aceast cheie apar i n HKCU. O subcheie al crui nume ncepe cu S i se termin cu Classes. n Windows 7, profilul utilizatorului implicit nu este memorat n regitri ci pe discul pe care este instalat SO, n C:\Users\Default\Ntuser.dat. Ultimul arbore din aceast prezentare este HKEY_CURRENT_CONFIG (HKCC) i pstreaz datele despre configuraia hardware corespunztoare profilului curent. De fapt acest subarbore conine un pointer ctre subcheia HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles. subkey. Este folosit pentru a uura accesul la date. Pentru ca modificrile efectuate asupra regitrilor s produc efecte este nevoie de log off, restartarea serviciului afectat sau chiar a Windows-ului. n general, dac schimbrile au avut loc n subcheia CurrentControlSet, calculatorul va trebui s fie repornit. Dac ai modificat valori din arborele HKEY_CURRENT_USER va trebui s prsii sesiunea de lucru (log off) i s facei login din nou pentru ca modificrile s aib efect. La oprirea calculatorului, majoritatea informaiilor din regitri sunt memorate pe hard disk n windows\system32\config sub forma unor fiiere (fr extensie) numite hive: sam (HKEY_LOCAL_MACHINE\SAM) security (HKEY_LOCAL_MACHINE\SECURITY) software (HKEY_LOCAL_MACHINE\SOFTWARE) system (HKEY_LOCAL_MACHINE\SYSTEM) default (HKEY_USERS\DEFAULT). Pentru a asigura integritatea sistemului, aceste fiiere sunt protejate mpotriva oricror aciuni on-line. n acelai director exist copii de siguran ale acestor fiiere create n mod automat dup log on n directorul RegBack precum i evidena schimbrilor care au avut loc (extensia .log). Tot pentru a asigura funcionarea corect a calculatorului se recomand efectuarea copiilor de siguran ale regitrilor Windows prin exportul acestora. n mod automat regitrii sunt salvai la realizarea copiilor de tip System Restore. Salvarea manual sau particularizat se poate efectua dup urmtoarea procedur: 1. Se deschide Regedit n mod administrativ 2. Se alege de exemplu clasa HKEY_Local_Machine 3. Din meniul File se alege opiunea Export 4. Se specific locaia de salvare a fiierului cu extensia Reg. Fiind una din cele mai sensibile componente ale unui sistem de operare Windows, trebuie s fim foarte ateni cu permisiunile pe cheile de regitri pentru c majoritatea atacurilor actuale la 56

integritatea sistemelor de calcul se bazeaz pe scrierea de chei n regitri, transformnd calculatorul ntr-un instrument controlabil de la distan de hackeri.

7.3 Validarea i discriminarea datelor

Dou aspecte sunt critice pentru orice investigator: integritatea datelor copiate (validarea acestora) respectiv discriminarea datelor (sortarea i cutarea prin datele investigate). Productorii de aplicaii pentru investigaii informatice pun la dispoziie trei componente care rspund acestor deziderate: Hashing Filtrare Analiza antetului fiierelor

Validarea datelor se realizeaz prin calcularea unor valori hash asupra unui text, fiier sau ntregului coninut al unui hard disk. n limbaj tehnic se mai ntlnesc variantele cifra de control (checksum) sau hash code. Aceste valori folosesc la identificarea fiierelor duplicate sau pentru a verifica dac o imagine sau o clon folosit n investigaii a fost realizat cu succes. O organizaie poate crea o list valori hash pentru instalrile de sisteme de operare, aplicaii sau documente. n cazul unei investigaii aceste valori vor fi ignorate analiza concentrndu-se doar asupra fiierelor care nu apar pe aceast list. n situaia n care nu exist o astfel de list se poate face apel la National Software Reference Library41 de unse se poate descrca o astfel de list. Software-ul de investigaii FTK preia n mod automat valorile hash ale fiierelor din lista menionat anterior. O situaia cu care ne putem confrunta este cea n care dorim s verificm exactitatea unui fiier. De exemplu, pe un hard disk am identificat fiierul Auditat.doc ca fiind suspect. n momentul n care dorim s l deschidem, aplicaia asociat acestei extensii (Microsoft Office) va produce mesajul de eroare din figura de mai jos.

Vom analiza acelai fiier cu ajutorul WinHex pentru c vrem s ne asigurm c acel fiier este chiar unul de tip document.

41

http://www.nsrl.nist.gov/Project_Overview.htm

57

Figura nr. 7.14 Determinarea corect a tipului unui fiier

De unde tim c are extensia .jpeg? Ceea ce afieaz WinHex n headerul fiierului n imaginea de mai sus JFIF, este acronimul pentru JPEG File Interchange Format (dac ar fi fost un fier de tip doc, n hexazecimal extensia ar foi fost reprezentat sub forma D0 CF 11 E0 A1 B1 1A E1 00). n practic suntei scutii de astfel de artificii deoarece majoritatea aplicaiilor profesionale folosite n investigaii analizeaz antetul fiierelor i nu extensia acestora.

7.4 Protecia/blocarea la scriere

Principala preocupare a investigatorului este de a asigura un mediu de lucru care s nu modifice n nici un fel sistemul analizat compromind astfel integritatea dovezii. n primul rnd trebuie s ne asigurm c n momentul n care conectm dispozitivul de stocare a datelor la calculator folosit ca instrument pentru investigare, acesta din urm nu va produce modificar asupra datelor surs. n momentul n care conectm un astfel de dispozitiv la calculator se modific fiierul de configurare a acestuia cu data i ora ultimei accesri. Mecanismele de protejare la scriere (write blocker) pot fi att hardware ct i software. Mecanismele hardware permit conectarea direct a dispozitivului care conine probele i pornirea calculatorului n mod normal, independent de sistemul de operare rulat. Acest tip de mecanisme se recomand mai ales n cazul utilizrii aplicaiilor pentru investigaii bazate pe interfee grafice Evitm a nominaliza prea muli astfel de productori dintr-un simplu motiv: piaa este dinamic i echipamente noi apar n fiecare zi. Mecanismele software, de multe ori, sunt proiectate pentru un anumit sistem de operare. Piaa pune o mulime de aplicaii n acest sens, comerciale sau gratuite 42. Discuia este ceva mai complicat pentru c ne putem ntlni n practic cu dou situaii: colectarea probelor trebuie s se realizeze la locul infraciunii; sau colectarea probelor se poate face la sediul investigatorului. n

42

SEIF Block http://www.winsite.com/Utilities/Disk-Utilities/SAFE-Block/

58

primul caz este de dorit s se diminueze hardware-ul ce trebuie deplasat la locul infraciunii i se prefer utilizarea unui laptop. n cel de al doilea caz este posibil s se prefere achiziionarea unei staii dedicate acestui scop, cu ct mai multe extensii posibile. Modul cum se configureaz o staie pentru investigai depinde de experiena i preferinele profesionistului. n cazul sistemelor Windows blocarea scrierii pe dispozitive externe de stocare a datelor poate fi realizat direct din regitrii calculatorului HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\Wr iteProtect. n cazul n care aceast cheie nu exist, va fi creat de investigator, astfel: 1. 2. 3. 4. 5. Se deschide Registry Editor (Run > regedit) Se navigheaz pn la HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ Se creeaz o cheie nou (Edit > New > Key) pe care o denumim StorageDevicePolicies n aceast cheie se creeaz o nou valoare DWORD (32-bit) (Edit > New > DWORD (32bit) value ) pe care o denumim WriteProtect Dublu click pe WriteProtect i setm Value Data 1 ca n imaginea de mai jos. Implicit aceasta are valoarea 0.

Imaginea de mai jos arat crearea valorii WriteProtect i modificarea acesteia pentru a bloca scrierea.

Figura nr. 7.15 Blocarea la scrierea pe dispozitive de stocare

Mediile de stocare folosite pentru achiziia datelor trebuie s fie reformatate i verificate mpotriva viruilor. Putei folosi ProDiscover43 sau SecureClean44. Nu uitai: trebuie s asigurai controlul tuturor probelor i s documentai orice aciune ntreprins n timpul examinrii!

43 44

http://www.techpathways.com/DesktopDefault.aspx?tabindex=8&tabid=14 http://www.whitecanyon.com/secureclean-update.php

59

Capitolul 8.

Pota electronic (e-mail)

Despre fiiere i modul de analizare a acestora vom mai discuta pe parcurs. Probele pe care le pot conine mesajele transmise prin intermediul potei electronice sunt ns la fel de importante. S menionm doar mesajele tip phising 45 care au proliferat n ultimul timp.

8.1 Client, server i mesaj

Probabil c astzi puin sunt cei care nu folosesc pota electronic n activitile cotidiene. Accesat de pe un calculator sau dispozitiv portabil, mailul a ajuns critic pentru activitile economice ale companiilor. Putem transmite i recepiona mailuri n dou situaii: prin Internet, folosind un server public; prin intranet (reeaua privat a organizaiei) folosind un server ce nu este administrat de un furnizor de servicii de comunicaii electronice ci de organizaia n care muncim. n ambele situaii serverul este cel pe care ruleaz programul specializat pe o astfel de sarcin (Microsoft Exchange, Group Wise, Sendmail). Calculatoarele pot accesa acest serviciu fie direct din browser fie folosind un soft specializat denumit client de email: Microsoft Outlook, Lotus etc. Indiferent de sistemul de operare, de serverul de mail sau de aplicaia client folosite, un utilizator i poate accesa pota electronic n funcie de permisiunile primite de la administratorul acelui sistem. Nu trebuie s uitm c emailul de serviciu este un bun privat al companiei n timp ce emailul personal este folosit de ctre un furnizor public! Tot ce urmeaz dup simbolul @ n adresa/numele utilizatorului este folosit pentru a identifica domeniul care pune la dispoziie acest serviciu. Fr a intra n detalii juridice, accesarea contului pus la dispoziie de ctre o organizaie privat nu se va considera violare de coresponden. Investigarea mailurilor organizaionale este o sarcin ceva mai facil deoarece se folosete o denumire standardizat a numelui utilizatorilor i identificarea acestora nu este greu de nfptuit. Cum n universul IT cam toate lucrurile sunt standardizate, nici pota electronic nu face excepie. RFC 532246 este standardul care stabilete Internet Message Format (IMF) i sintaxa mesajelor ce sunt transmise ntre utilizatori. Un e-mail conine, confirm specificaiilor RFC 5322: antetul (header);. corpul (body), textul mesajului propriu-zis. Antetul la rndul su conine: expeditor (From) - adresa de e-mail a expeditorului mesajului (numele unui expeditor poate fi falsificat); destinatar (To) - adresa de e-mail a destinatarului (sau adresele destinatarilor, dac sunt mai muli);

45

Phishing (n elciunea) reprezint o form de activitate infrac ional care const n ob inerea unor date confiden iale, cum ar fi date de acces pentru aplica ii de tip bancar, aplica ii de comer electronic (ca eBay sau PayPal) sau informa ii referitoare la carduri de credit, folosind tehnici de manipulare a datelor identit ii unei persoane sau a unei institu ii. (Sursa: http://ro.wikipedia.org/wiki/Phishing) 46 http://tools.ietf.org/html/rfc5322

60

subiectul (Subject) - un rezumat al mesajului; data (Date) - data i ora local a trimiterii mesajului. Cc - copie la indigo (de la "Carbon Copy") - o copie identic a mesajului trebuie trimis i la adresa sau adresele de e-mail din acest cmp; Bcc - copie la indigo oarb (de la "Blind Carbon Copy") - la fel ca i Cc, doar c nici un destinatar nu va afla la cine se mai trimit copii ale mesajului, n afar de el nsui.

8.2 Examinarea mesajelor

Presupunem c o anumit infraciune a fost realizat folosind ca instrument e-mailul. Sau nu, dar ca investigator trebuie s analizezi toate probele identificate la locul infraciunii. Trebuie deci accesat calculatorul pentru a recupera o astfel de prob i pentru a analiza antetul mesajului: acolo sunt informaii care pot s conduc investigatorul ctre suspect. Cu ceva ani n urm ni s-a cerut opinia cu privire la un schimb de mesaje din cadrul unei organizaii. Din nefericire pentru cel incriminat probele nu erau digitale, ci doar sub form de tipritur. Aa ceva nu este corect. Este nevoie de ambele variante. n Microsoft Office Outlook 2007, antetul unui mesaj poate fi vizualizat printr-un simplu click dreapta al mouse-ului pe mesajul analizat (nu vom prezenta acest subiect pentru fiecare versiune de Outlook. Aceste informaii sunt uor de aflat dac se cunoate versiunea aplicaiei client e-mail. Pentru a tii exact ce se folosete, dac aplicaia este pornit se acceseaz meniul Help, opiunea About):

Ulterior sistemul va afia:

61

Figura nr. 8.1- Opiunile unui mesaj electronic n Microsoft Office Outlook

Pentru un mail folosind serviciul public Google, antetul va fi vizibil dac se activeaz opiunea Afiai originalul

Figura nr. 8.2 Afiarea opiunilor unui mesaj de e-mail n Gmail

n acest caz, pe lng mesajul propriu-zis vor fi afiate i informaiile din antetul mesajului:

62

Figura nr. 8.3 Detaliile unui mesaj de e-mail

Revenind la figur, dac selectm textul i l vom copia ntr-un editor (Word, Notepad) putem obine urmtoarele informaii Received: from EXCHANGE.isaca.org ([10.0.1.33]) by a1.isaca.org ([::1]) with mapi; Tue, 14 Feb 2012 14:16:03 -0600 svpr-mail-

Aceast informaie ne spune c mesajul a fost transferat n data de 14 februarie 2012 ora 14:16:03 Pacific Standard Time (-0600 se presupune ora GMT) From: "Brian Frankel (ISACA HQ)" bfrankel@isaca.org Acesta este expeditorul mesajului Date: Tue, 14 Feb 2012 14:17:45 -0600 Data i ora la care a fost transmis mesajul conform ceasului de pe calculatorul expeditorului Subject: ISACA: January Membership Statistics Acesta este subiectul mesajului Thread-Topic: ISACA: January Membership Statistics Thread-Index: AczrVbZNtS5GH8HyQJC4HNPd+plrMQ== Aceast informaie este folosit pentru a asocia mai multe mesaje cu acelai subiect. Message-ID: 47566EA1E630D944AE2923C9B272100306C6FCCDB43B@EXCHANGE.isaca.org Mesajului i se asociaz un identificator de ctre serverul de mail. Informaia este folsoit pentru a identifica mesajul pe serverul de mail de pe care a fost expediat. 63

-MS-Has-Attach: yes Mailul are ataat un fiier MIME-Version: 1.0 Versiunea protocolului MIME 47 folosit To: Undisclosed recipients:; Aceast informaie ne spune c mesajul a fost transmis ctre mai muli destinatari, dar adresele de mail ale acestora nu sunt afiate Return-Path: bfrankel@isaca.org Aceast informaie ne indic adresa de mail a expeditorului Programele client de e-mail salveaz mesajele local sau le pstreaz doar pe server, n funcie de modul de configurare a acestora. n cazul Outlook, mesajele transmise, recepionate,terse, schiele de mesaje sunt salvate ntr-un fiier .pst. Mesajele off line sunt salvate ntr-un fiier .ost (n cazul n care calculatorul nu este conectat la Internet) n cazul sistemelor de e-mail web-based, mesajele sunt afiate i salvate ca pagini web n memoria cache a browserului web. Nu trebuie uitat c unii furnizori de pot electronic ofer i faciliti de mesagerie electronic instantanee. n acest caz, serviciul poate salva coninutul mesajelor ntr-un format proprietar. Dac se dorete studierea mesajelor trimise de la valy.greavu la adrian.munteanu in perioada 15 ianuarie 2012 si 15 februarie 2012 se va analiza jurnalul de pe serverul de mail:

47

Multipurpose Internet Mail Extensions (MIME) este un standard ce extinde formatul unui mesaj de pot electronic pentru a permite: seturi de caractere non ASCII; ataamente, altele dect text; informaii n header n set de caractere non ASCII

64

Figura nr. 8.4 Urmrirea mesajelor de pe un server de email Exchange

Lista mesajelor trimise de la valy.greavu (sender) catre adrian.munteanu (recipient).

Figura nr. 8.5 Lista detaliat de mesaje ntre doi utilizatori (Exchange Server)

Detalii despre primul mesaj.

65

Figura nr. 8.6 Afiarea detaliilor despre un anumit mesaj

Rezultatul este schimbul complet de mesaje pe subiectul specificat in MessageID.

Figura nr. 8.7 Schimbul complet de mesaje ntre doi utilizatori pe un anumit subiect

66

Capitolul 9.

Dispozitive de stocare amovibile

S-a ntmplat de multe ori s fim nevoii s analizm cine a lucrat cu un stick de memorie USB i dac a copiat un fiier cu informaii confideniale ale organizaiei. Ori de cte ori un astfel de dispozitiv este ataat unui sistem pe care ruleaz Windows rmn amprente n Regitry.

9.1 Dispozitive USB i Registry

Ori de cte ori un dispozitiv amovibil de tipul memoriilor portabile este ataat unui sistem Windows, Plug and Play Manager (PnP) identific un astfel de eveniment i interogheaz descriptorul dispozitivului cu privire la informaii despre productor48. PnP Manager va folosi aceste informaii pentru a identifica ulterior driver-ul necesar funcionrii dispozitivului. Odat identificat dispozitivul, n Registry va fi creat o subcheie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\enum\USBSTOR n aceast subcheie se identific subcheile de tipul: Disk&Ven_###&Prod_###&Rev_###

Figura nr. 9.1 Istoricul dispozitivelor amovibile care au fost introduse ntr-un sistem de calcul

48

Aceste informaii nu sunt disponibile n zona disponibil pentru stocarea informaiilor ci n ceea ce se numete firmware.

67

Cheia reprezint identificatorul clasei din care face parte dispozitivul. Nu toate dispozitivele amovibile au asociat un numr serial. n cazul n care au, acest numr identific n mod unic fiecare instan a aceluia dispozitiv.49

Figura nr. 9.2 Detalii despre un anumit dispozitiv amovibil

Pentru dispozitivele pentru care nu poate fi identificat numrul serial, PnP Manager va crea o instan unic identificat astfel:

Figura nr. 9.3 Alte detalii despe istoricul dispozitivelor amovibile

Altfel spus dac o instan din aceast subchei din Registry nu conine caracterul & putem identifica n mod unic dispozitivul care a fost ataat la un moment dat calculatorului investigat. Problemele se complic cnd, aa dup cum se observ din imaginile anterioare, pe un calculator au fost utilizate mai multe astfel de dispozitive. n acest caz avem nevoie de un utilitar 50 care s ne permit s navigm mai uor printre cheile Registry, centralizat.

Figura nr. 9.4 Utilitarul USBDeview

49 50

Cazul n care calculatorului i-au fost ataate dou dispozitive de acelai tip, de la acelai productor. UVCView. Acest utilitar este integrat acum n Windows Driver Kit (WDK) disponibil pentru Windows 7 la adresa http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=11800 . Pentru versiuni anterioare Windows 7, utilitarul este disponibil pentru descrcare pe diferite forumuri/situri ce trateaz subiectul forensic. Se poate folosi si USBDeview v2.00

68

Utilitarul de mai sus ne ofer informaii cu privire la data i ora la care a fost ataat prima dat i ultima dat un anumit dispozitiv de stocare. Nu tim ns dac s-a i scris ceva pe el. Informaii despre dispozitivele instalate pe un sistem pe care ruleaz o versiune a sistemului de operare Windows vom gsi i n fiierul setupapi.log. n imaginea de mai sus observm c un memory stick cu numele Memorette a fost instalat n data de 04.10.2011 , ora 06:05:23. Dac verificm fiierul setupapi.log ar trebui s regsim aceeai informaie:

Figura nr. 9.5 Fiierul jurnal setupapi.log

Diferena de timp rezult din modul n care se raporteaz la sistemul temporar utilitarul USBDeview.

9.2 Dispozitive portabile i Registry

O cheie din Registry ce merit atenie este: HKEY_LOCAL_MACHINE\Sostware\Microsoft\Windows Decives\Devices Portable

Figura nr. 9.6 Cheia de registry FriendlyName

n subcheile acestei chei vom gsi valoarea FriendlyName care este identic cu ceea ce afieaz My Computer n momentul n care se ataeaz calculatorului un dispozitiv portabil. Utilitarul USBDeview ne ofer ns mai multe informaii:

Figura nr. 9.7 Detalii despre dispozitivele amovibile n USBDeview

69

Din imaginea de mai sus observm c a fost vorba de dou telefoane mobile de la productorul Nokia, modele E71 respectiv X6. Utilitarul afieaz i numrul serial al dispozitivului ataat, aceasta fiind o informaie foarte important. n cazul n care dorim s verificm dac un fiier coninnd informaii critice a fost copiat n mod neautorizat, lucrurile se complic foarte mult. Dac am avea la dispoziie ambii supori de memorare (cel surs, de pe care s-a copiat, respectiv cel destinai, pe care s-a copiat) am putea analiza informaiile despre cele dou fiiere. Din acest motiv nu se va putea spune cu certitudine dac fiierul a fost copiat de pe un anumit mediu de stocare. Putem ns obine informaii dac un fiier a fost copiat pe un anumit mediu de stocare!

S lum ca exemplu starea fiierului Auditat.doc, nainte i dup copierea pe un stick de memorie :

Figura nr. 9.8 Proprietile unui fiier nainte de copierea pe un dispozitiv extern

Se observ c proprietile fiierului nu sunt modificate. Pe suportul destinaie stickul de memorie, situaia se prezint astfel:

70

Figura nr. 9.9 Proprietile unui fiier dup copierea pe dispozitive externe

Am putea spune c avem probe. Situaia nu este chiar aa. Dac fiierul copiat n mod neautorizat a fost deschis i s-a modificat ceva n el, informaiile disponibile se modific i ele:

n acest exemplu nu am luat n calcul opiunea Auto Save care este de obicei activ n cazul editorului de texte MS Word. Despre metadate vom discuta ulterior.

71

Capitolul 10. Virtualizare i instrumente specifice investigaiilor

Dup cum sugereaz i titlul, n cele ce urmeaz vor fi puse n discuie aspectele ce privesc mainile virtuale. Mai exact sunt descrise att aspectele teoretice ale unei maini virtuale dar i cele practice i anume: instalarea unei maini virtuale, cu paii corespunztori, configurarea acesteia dar i utilitile unei astfel de maini.

10.1 Mainile virtuale aspecte teoretice

O main virtual este o aplicaie capabil s interpreteze anumite instruciuni care ruleaz pe o main fizic. Aceasta face posibil rularea unui alt sistem de operare ntr-o "fereastra" a sistemului de operare principal, fr a repartiiona hard-disk-ul. De exemplu se poate rula un Windows Xp ntr-o fereastr a Windows7. Sau se poate rula Linux ntr-o fereastr a Windows, i invers. Este ca i cum ai avea un alt calculator (virtual) pe care l poi porni/opri ca pe un program obinuit. Suportul pentru maini virtuale se instaleaz ca un program obinuit (exemplu : Vmware, Virtualbox, Virtual PC, etc). Dup instalare, cteva configurri stabilesc ct din sistemul real poate mprumuta maina virtual (memorie, disk). Maina virtual are un bios virtual, unde poi alege de unde s booteze, etc. Dup pornirea mainii virtuale se poate boota de pe CD/DVD i instala sistemul de operare dorit. Pot exista mai multe maini virtuale create i chiar rulnd n acelai timp. Mainile virtuale se pot apoi terge de pe hard-disk ca un director obinuit cu fiiere. Mainile virtuale funcioneaz ceva mai ncet dect un sistem de operare instalat direct pe hard disk diferena este mai mic la procesoare mai noi care suport hardware virtualizare. Totui nu se simte o diferen notabil la utilizri obinuite (Internet, Office, Muzic). Programele rulate n maina virtual nu sunt interpretate "instruciune cu instruciune". Instruciunile ruleaz nativ pe procesor, doar apelurile care merg spre sistemul fizic sunt nlocuite cu apeluri gestionate de maina virtual. Astfel programele care nu lucreaz mult cu sistemele periferice (disk, video, audio, reea) pot rula aproape la aceeai vitez ca un sistem instalat nativ. Mainile virtuale pot boota i alte partiii fizice ale disk-ului real, dar este destul de periculos.

10.1.1. Instalarea unei maini virtuale

Pentru exemplificarea instalrii unei maini virtuale am ales aplicaia VirtualPC, un produs al companiei Microsoft lansat n 2004. La baza acestui produs st motorul de main virtual realizat de 72

compania Conectix. Acest produs este o main virtual cu ajutorul creia se pot crea calculatoare virtuale pe care se pot instala sisteme de operare. Aplicaia a fost realizat n dou variante: workstation (staie de lucru) i server.

Aplicaia pune la dispoziia mainii virtuale pe care o creeaz toate componentele care pot fi gsite pe un calculator i, n afar de procesor, toate sunt virtuale. Pentru a funciona, un calculator are nevoie de placa de baz, procesor, memorie intern i memorie extern, plac video, monitor, tastatur, mouse i, eventual, o plac de reea pentru conectarea la alte calculatoare, o plac de sunet i/sau orice alt dispozitiv care este instalat pe sistemul de operare gazd pentru care aplicaia ofer suport virtual. Aplicaiile pentru maini virtuale, n general, pun la dispoziia calculatoarelor virtuale un sistem virtual de intrare/ieire astfel c:51 placa video pentru acestea este virtual, iar monitorul este constituit dintr-o zon din fereastra aplicaiei; n momentul n care zona de afiaj a coninutului din memoria video a calculatorului virtual devine activ, comenzile transmise de mouse i tastatur vor fi transmise acestuia; desigur c nu toate combinaiile de taste vor fi active, deoarece unele combinaii de taste sunt folosite de sistemul de operare gazd pentru a executa anumite operaii, iar altele sunt folosite cu scopul de a reda controlul asupra tastaturii i mouse-ului sistemului de operare gazd; memoria intern pentru calculatoarele virtuale este constituit de o zon din memoria intern a calculatorului gazd i, pentru ca totul s mearg bine, dimensiunea acesteia nu poate s fie dect un anumit procent din memoria calculatorului gazd; memoria extern, dup cum bine se tie, este constituit n principal din hard-disk, CD-uri i dischete; hard-disk-urile pentru calculatoarele virtuale sunt constituite, n principal, de fiiere care se afl pe calculatorul gazd; aceste fiiere nu au, dup cum ar fi normal, dimensiunea pe care o raporteaz sistemul de operare de pe calculatorul virtual, ci acestea sunt redimensionate dinamic n funcie de cerinele i necesitile sistemului virtual;

51

Soroiu, C., Virtual PC 2004 vs.VMWARE 4, p. 37, www.ginfo.ro/revista/13_8/tehno.pdf, accesat: 01.12.2011.

73

placa de reea pentru sistemul de operare virtual este n ntregime virtual i exist mai multe moduri n care se realizeaz conectarea la reeaua la care este conectat calculatorul gazd: se poate ntmpla s nu se doreasc conectarea la ntreaga reea prin intermediul plcii de reea virtual, ci doar la sistemul gazd, astfel mainile virtuale mai instaleaz o plac de reea virtual pe sistemul gazd pentru a realiza aceast conexiune, dei, pentru comunicare exist alte soluii mai bune; calculatorul virtual poate fi mascat n spatele celui gazd prin utilizarea unor tabele de translaie, deci se va identifica pe reea ca fiind cel gazd; calculatorul virtual va utiliza una din plcile de reea a celui gazd, avnd adres diferit de acesta, pentru a intra n legtur cu celelalte calculatoare din reea. n cazul n care pe calculatorul gazd exist doar o plac de reea, aceasta va fi partajat ntre cele dou sisteme, n acest sens existnd mai multe tehnici.

Un calculator virtual folosete o unitate de dischet virtual care poate fi conectat la unitatea de dischet a sistemului gazd sau poate fi legat de o imagine a unei dischete (fiier care conine datele stocate n toate sectoarele unei dischete) aflat pe calculatorul gazd. La fel ca unitatea de dischet, unitile CD-ROM sunt virtuale i pot fi conectate la unitile de CD-uri ale sistemului gazd sau la fiiere care conin imagini de CD-uri avnd formatul ISO.

10.1.2. Utilitatea mainilor virtuale52

i totui la ce folosesc mainile virtuale? O ntrebare care este relativ firesc s apar dup prezentarea noiunilor din paragrafele anterioare. Principalele utiliti ale unei maini virtuale sunt prezentate aadar n cele ce urmeaz. 1. Posibilitatea de a rula sisteme de operare diferite pe acelai calculator fizic fr o reinstalare a acestuia. Odat instalat un sistem de operare (Windows, Linux), care are driverele necesare, se poate instala un program de virtualizare, se pot defini n el una sau mai multe maini virtuale iar n fiecare main virtual se poate instala cte un sistem de operare. Mainile virtuale vor avea discuri virtuale, care vor fi stocate ca fiiere pe disk-ul sistemului de operare principal, numit host (gazda). Sistemul de operare instalat n maina virtual va avea impresia c are la dispoziie un hard disk real. Mainile virtuale consum ceva spaiu pe disk, dar consum memorie i procesor doar dac sunt pornite. Mainile virtuale "in minte" modificrile

52

http://mihvoi.blogspot.com/2010/01/utilizare-masini-virtuale-vmware.html, accesat: 01.12.2011.

74

2.

3.

4.

ntre dou porniri, este ca i cum ai reporni un calculator real. Cnd nu mai este necesar maina virtual, spaiul pe disk se poate elibera uor tergnd fiierele n care maina virtual i ine discurile virtuale. Backup foarte uor. Datorit faptului c mainile virtuale sunt stocate n fiiere, backup-ul se face pur i simplu copiind directorul mainii virtuale n alt parte. Copierea se face cu maina virtual oprit. Majoritatea mainilor virtuale suport "snapshot-uri", n care se stocheaz starea instantanee a mainii virtuale care ruleaz. Peste un timp, dac se dorete acest lucru, maina virtual se poate ntoarce la acea stare. Acest sistem consum mai puin spaiu dect copierea ntregii maini virtuale (se memoreaz doar diferenele). n cazul n care calculatorul s-a defectat sau a fost cumprat unul mai puternic, un back-up al mainii virtuale se poate utiliza pe alt calculator. Maina virtual se poate opri cu programele deschise, iar la re-pornire va porni exact din starea n care a fost oprit (cu toate programele deschise). O firm poate crea o main virtual cu tot ce este necesar unui angajat (programe specifice, conexiuni VPN multiple) i s o distribuie tuturor celor care au nevoie. Oricine are o problema ... re-copiaza maina virtual. Posibilitatea de a muta maina virtual de pe un calculator pe altul. De exemplu o persoan poate avea acelai sistem de operare i acas i la serviciu. Se poate instala acel sistem de operare pe un stick USB sau pe un hard-disk USB. Singura cerin este s existe n ambele pri instalat acelai program de virtualizare. Atenie, mainile virtuale pe USB funcioneaz destul de ncet, se recomand copierea pe hard disk-ul local. Posibilitatea de a testa unele programe cu risc de a fi virusate. Mainile virtuale au avantajul c ceea ce ruleaz n interior nu poate afecta sistemul gazd, n afar de dimensiunea fiierului. Un program virusat care este rulat n maina virtual nu poate virusa sistemul gazd. Dac apar suspiciuni c s-a instalat un virus, maina virtual se poate ntoarce la o stare salvat anterior.

10.2. Principalele instrumente Windows Sysinternals

Unele dintre cele mai utilizate i accesibile instrumente n domeniul investigaiilor sunt cele de la Sysinternals, companie achiziionat de ctre Microsoft. n continuare vom prezenta o descriere sumar a celor mai reprezentative instrumente i utilitatea lor specific.

75

Denumire AccessChk v2.0 AccessEnum v1.3 Autoruns v8.53

Descriere Afieaz drepturile de acces la fiiere, cheile Registry sau serviciile Windows, n funcie de utilizator sau grupuri de utilizatori. Afieaz cine a avut acces la un director, fiiere, chei Registry. Este folosit pentru a identifica atribuirea incorect a permisiunilor. Afieaz lista aplicaiilor configurate s porneasc automat n momentul n care este pornit sistemul de calcul i un utilizator efectueaz procesul de logon. De asemenea, afieaz lista complet a cheilor de regitri i locaiile fiierelor folosite pentru pornirea automat a sistemului de calcul. Utilitarul n formatul linie de comand folosit pentru identificarea aplicaiilor configurate s porneasc automat la logon. Realizeaz o captur (monitorizare i jurnalizare) a activitii discurilor. Utilitar n mod grafic pentru vizualizarea structurii i sectoarelor hardiscurilor. Afieaz spaiul utilizat pe disc n funcie de dimensiunea directoarelor. Este util pentru identificarea directoarelor cu multe informaii stocate. Afieaz activitatea fiierelor sistem n timp real. Afieaz fiierele deschise i procesele care au deschis i utilizeaz aceste fiiere. Afieaz toate librriile DLL care sunt ncrcate de aplicaiile curente, incluznd informaii despre locaia de unde au fost ncrcate (calea pe disc) i versiunea fiecrui modul ncrcat. Afieaz lista sesiunilor de logon active. Afieaz lista fiierelor care vor fi redenumite sau terse la urmtoare repornire a calculatorului. Din cauz c sunt ncrcate sau n curs de utilizare anumite fiiere sistem nu pot fi redenumite sau terse n timpul rulrii, de aceea operaiunile respective sunt reprogramate pentru etapa dup repornirea calculatorului. Afieaz activitatea pe porturile seriale i paralele incluznd pachete de date transmise sau primite pe porturile respective. Afieaz o list de fiiere, chei de regitri i alte obiecte deschise de procesele active precum i lista librriilor DLL deschise de fiecare proces n parte.

Autorunsc v8.53 Diskmon DiskView Du v1.3 Filemon v7.03 Handle v3.2 ListDLLs v2.25

LogonSessions v1.1 PendMoves v1.1

Portmon v3.02 Process Explorer v10.2

76

Denumire PsExec v1.72 PsFile v1.01 PsInfo v1.71 PsListError! Bookmark not defined. v1.27 PsLoggedOn v1.32 PsLogList v2.63 PsService v2.2 Regmon v7.03 RootkitRevealer ShareEnum v1.6 Strings v2.3

Descriere Permite posibilitatea de executare a anumitor comenzi de la distan, folosind privilegiile potrivite. Afieaz o list a fiierelor deschise. Afieaz informaii despre un anumit calculator. Afieaz informaii despre procese i firele de execuie.

Afieaz numele utilizatorului conectat pe un calculator. Realizeaz un export a nregistrrilor din Event log. Permite vizualizarea i controlul serviciilor Windows. Afieaz n timp real activitatea regitrilor Windows. Realizeaz o scanare a discului n vederea descoperirii aplicaiilor de tip Rootkit. Scaneaz toate resursele partajate n reea pentru a vizualiza setrile de securitate n scopul eliminrii configurrilor improprii. Permite cutarea dup text ascuns n fiierele de tip imagine. Este o msur de identificare a steganografiei.

10.3 Principalele instrumente native Windows

Name Arp Date Dir Doskey Ipconfig Net Description Afieaz tabela ARP (Address Resolution Protocol) Afieaz data i ora curent a sistemului Afieaz o list a directoarelor i subdirectoarelor de pe un disc. Afieaz un istoric al comenzilor executate ntr-o consol deschis de cmd.exe. Afieaz configuraia TCP/IP a calculatorului curent. Actualizare, configurare sau afiare a dispozitivelor de reea sau legate de accesul la reea Net este doar rdcina unui set de comenzi destinate configurrii/afirii setrilor despre sesiunile active, fiierele deschise, utilizatori, resurse partajate etc. Afieaz statistici despre conexiunile n reea. 77

Netstat

Name Time Find Schtasks

Description Afieaz ora curent a sistemului. Se folosete pentru cutarea fiierelor pe disc. Afieaz aciunile programate s se execute la anumite perioade de timp.

Systeminfo Ofer informaii cu caracter general despre sistemul de calcul curent. Vol Hostname Openfiles FCIV Notepad Reg Netcap Sc Afieaz eticheta unui disc i numrul unic de identificare, daca acestea exist. Afieaz numele complet al calculatorului. Afieaz o list cu fiierele deschise de pe calculatorul curent de ali utilizatori din reea. File Checksum Integrity Verifier Se folosete pentru a verifica suma de control a unui fiier pe baza metodelor criptografice MD5 sau SHA1. Se folosete n principal ca editor simplu de text, dar se poate folosi cu scopul de a vizualiza metadatele asociate unui fiier de orice tip. Este un utilitar de tip linie de comand pentru afiarea, modificarea, exportul, salvarea sau tergerea unor chei sau valori din regitri. Se folosete pentru a prelua informaii despre traficul de reea n formatul linie de comand. Se folosete pentru afiarea detaliat a strii serviciilor Windows n format linie de comand dar i pentru pornirea sau oprirea serviciilor Windows reprezentnd un instrument mai elaborat dect net start. Vizualizarea i modificarea asocierilor dintre extensiile fiierelor i aplicaiile cu care acestea se pot deschide. Se folosete pentru afiarea sau modificarea asocierilor dintre tipurile de fiiere i aplicaiile cu care acestea se pot deschide. Se folosete pentru evaluarea aplicrii unei politici de securitate specifice pentru un anumit utilizator determinat. Afieaz lista proceselor active precum i a modulelor ncrcate. Utilitar specific determinrii nivelului de securitate a unui calculator prin evaluarea patch-urilor de securitate aplicate, modul de configurare a serviciilor, aplicaiilor i utilizatorilor. Se folosete pentru a afia rezultatul combinrii diferitelor politici de securitate provenind din mai multe surse pe calculatorul curent. 78

Assoc Ftype Gpresult Tasklist MBSA

Rsop.msc

Name Rasdiag

Description Colecteaz informaii despre serviciile de conectare de la distan i stocheaz aceste date n fiiere jurnal.

10.4. FTK 4.0

Forensic Toolkit (FTK) este recunoscut in lumea ntreag ca una din cele mai bune aplicaii software pentru investigaii criminaliste digitale. Aceasta platform de investigare digitala ofer software de analiza criminalistica pe calculator, decriptare si spargere de parole, toate in cadrul unei interfee intuitive si personalizabile. Forensic Toolkit 4 este acum cel mai avansat software criminalistic pentru calculatoare, oferind o funcionalitate pe care in mod normal numai organizaii cu zeci de mii de dolari si-ar putea-o permite. Totui, AccessData si-a fcut tehnologia disponibila tuturor investigatorilor si analitilor, indiferent daca sunt in educaie, agenii guvernamentale, corporaii din cadrul Fortune 500, sau realizeaz investigaii digitale ca furnizor de servicii criminalistice pentru calculatoare. Nu avem pretenia c paginile ce urmeaz reprezint un manual de utilizare n sensul larg al nelesului. Suita FTK este suficient de complex. Prin urmare vom prezenta doar lucrurile eseniale, urmnd ca cititorul s descopere celelalte faciliti pe msur ce avanseaz cu lucrul.

10.4.1. Interfaa utilizatorului

Nu vom insista cu descrierea etapelor instalrii acestei suite de aplicaii. Lucrurile sunt suficient de clare sau cel puin intuitive. Pornim la lucru direct cu momentul lansrii n execuie a FTK. 1. Din fereastra Case Manager, click Case > New. 2. Se pot specifica opiuni cu privire la probe prin click Detailed Options din fereastra New Case Options. 3. Se bifeaz opiunea Open the Case, i apoi click OK.

79

Figura nr. 10.1 Procesarea evidenelor electronice n FTK

4.

Se ateapt crearea cazului. La finalul acestui proces FTK va deschide o nou fereastr

n situaia n care proba nc nu a fost colectat, va trebui s facem apel la FTK Imager: 80

Dup alegerea acestei opiuni se deschide fereastra specific aplicaiei lansat n execuie, de unde va trebui s alegem tipul de prob pe care dorim s o realizm:

Pentru c spaiul nu ne permite i nu am pornit s scriem un manual de utilizare (Manualul de utilizare FTK numr 392 de pagini) vom presupune c am colectat deja probele pe un memory stick.

81

Capitolul 11.
11.1 Reglementri

Raportul de expertiz

Ordonana Guvernului nr. 2/2000 privind organizarea activitii de expertiz tehnic judiciar i extrajudiciar, cu modificrile i completrile ulterioare (Legea nr. 37/2009, Legea nr. 178/2009, Ordonana Guvernului nr. 13/2010, Legea nr. 208/2010), Ordinul nr. 1322/C din 21 iunie 2000 pentru aprobarea Regulamentului privind atribuirea calitii de expert tehnic judiciar i de specialist precum i Ordinul Nr. 199/C din 18 ianuarie 2010 pentru aprobarea Nomenclatorului specializrilor expertizei tehnice judiciare, sunt actele juridice ce reglementeaz domeniul expertizelor judiciare Din OG 2/2000 tim c: ART. 1 (2) Este expert tehnic judiciar orice persoan fizic ce dobndete aceast calitate n condiiile prezentei ordonane i este nscris n tabelul nominal cuprinznd experii tehnici judiciari, ntocmit, pe specialiti i pe judee, respectiv pe municipiul Bucureti. Expertul tehnic judiciar este expert oficial i poate fi numit de organele de urmrire penal, de instanele judectoreti sau de alte organe cu atribuii jurisdicionale pentru efectuarea de expertize tehnice judiciare. ART. 2 Expertiza tehnic efectuat din dispoziia organelor de urmrire penal, a instanelor judectoreti sau a altor organe cu atribuii jurisdicionale, de ctre expertul sau specialistul numit de acestea, n vederea lmuririi unor fapte sau mprejurri ale cauzei, constituie expertiz tehnic judiciar Aceeai Ordonan stabilete i regulile procedurale privind expertiza tehnic judiciar: ART. 21 Raportul de expertiz cuprinde: a) partea introductiv, n care se menioneaz organul care a dispus efectuarea expertizei, data la care s-a dispus depunerea acesteia, numele i prenumele expertului sau ale experilor, specialitatea acestuia/acestora, data ntocmirii i finalizrii raportului de expertiz, obiectul acesteia i ntrebrile la care expertul sau experii urmeaz s rspund, bibliografia pe baza creia expertiza a fost efectuat i dac prile care au participat la aceasta au dat explicaii n cursul lucrrilor la care au fost convocate; b) descrierea operaiunilor de efectuare a expertizei, obieciile sau explicaiile prilor, precum i analiza acestor obiecii ori explicaii pe baza celor constatate de expert sau de specialist; c) concluziile, care cuprind rspunsurile la ntrebrile puse i prerea expertului sau a specialistului asupra obiectului expertizei. Trebuie cunoscute i prevederile Codului de procedur civil, cu modificrile i completrile ulterioare: art. 1081 1085 (Amenzi judiciare i despgubiri), art. 130, art. 170, art. 82

1711, art. 201 214 (Expertiza), Codul de procedur penal, cu modificrile i completrile ulterioare: art. 116 127 (Seciunea X Expertizele), art. 198 art. 199 (Abateri judiciare).

11.2 Coninutul raportului de expertiz ghid

Dup cum se vede i din reglementarea citat anterior, raportul de expertiz pare a nu avea o structur prea complex sau prea standardizat. n opinia noastr este important ns s dezvoltm aceast component. Raportul de expertiz este instrumentul prin care expertul comunic rezultatele muncii sale, rezultat concretizat sub form de probe. Chiar dac speele sunt foarte diferite, exist cteva elemente ce ar trebui s se regseasc n orice raport, n baza cerinelor impuse prin reglementrile menionate. Vom vedea ns c exist cteva particulariti ale acestui raport. Raportul, chiar dac va conine tehnicisme, trebuie s fie uor de citit. Ideile trebuie exprimate de o manier logic care s conduc la construirea unei argumentaii: ideile comune grupate n paragrafe; paragrafele grupate n seciuni. Din punct de vedere al stilului, trebuie evitate generalizrile i observaiile personale. Scopul raportului de expertiz este s demonstreze adevrul nu s acuze sau s apere o persoan! Implicarea emoional este exclus, indiferent de cauza pentru care se solicit expertiza.

RAPORT DE EXPERTIZ TEHNIC JUDICIAR Capitolul I, INTRODUCERE Subsemnatul Munteanu Adrian expert tehnic judiciar n specialitatea__________, posesor al legitimaiei de expert tehnic nr. ______ am fost numit n sedina din ______________________ expert tehnic judiciar n dosarul nr. __________ , prile implicate n proces fiind: 1. _____________________________________________ 2._____________________________________________ n.___________________________ (Pentru fiecare parte implicat n proces se va meniona: denumirea, domiciliul sau sediul social i calitatea procesual) mprejurrile i circumstanele n care a luat natere litigiul sunt: _________________________________________________ _____________________________________________________ Pentru rezolvarea acestei cauze s-a dispus proba cu expertiza tehnic, creia i s-au fixat urmtoarele obiective (ntrebri): 1. _____________________________________________ 2. ____________________________ _______________ n. _______ _____________________________________ Lucrrile expertizei tehnice s-au efectuat n perioada ______ la sediul social /domiciliul __________________________________ Materialul documentar i tehnic care a stat la baza efecturii expertizei const n: 83

___________________________________________________ Redactarea prezentului raport de expertiz tehnic s-a fcut n perioada ______. n cauz s-au efectuat /nu s-au efectuat alte expertize tehnice; s-au utilizat /nu s-au utilizat lucrrile altor experi (tehnici fiscali etc.). Problemele ridicate de prile interesate n expertiz i explicaiile date de acestea n timpul efecturii expertizei sunt: _____________________________________________________ _____________________________________________________

Data pentru depunerea prezentului raport de expertiz tehnic a fost fixat la i prelungit la _______________. (dac este cazul)

CAPITOLUL II, DESFURAREA EXPERTIZEI TEHNICE Obiectivul nr. Pentru a rspunde la obiectivul (ntrebarea nr. i) s-au examinat urmtoarele documente/acte/dispozitive/echipamente: ____________________________ (descriere detaliat dac este cazul) n conformitate cu probele expertizate formulm, la obiectivul nr. I, urmtorul rspuns:________________ (se redacteaz rspunsul clar, concis i fr ambiguiti)

CAPITOLUL III, CONCLUZII n conformitate cu examinrile materialului documentar menionat n introducerea i cuprinsul prezentului raport de expertiz tehnic formulm urmtoarele concluzii (rspunsuri) la obiectivele (ntrebrile) fixate acesteia: La obiectivul nr. 1 _______________________________ La obiectivul nr. 2 _______________________________ La obiectivul nr. n _______________________________ (Se vor relua rspunsurile din capitolul II, DESFURAREA EXPERTIZEI TEHNICE) Pentru ca prezentul raport de expertiz tehnic s vin n sprijinul beneficiarului, considerm necesar s facem urmtoarele precizri: ____________________________________________________ ____________________________________________________ ____________________________________________________. (Acest paragraf poate fi introdus numai dac expertul tehnic consider c este util beneficiarului expertizei tehnice. El poate face obiectul unui capitol separat: CAPITOLUL IV, CONSIDERAIILE PERSONALE ALE EXPERTULUI(ILOR) TEHNIC(I).)

84

Fa de aceast situaie, instana de judecat va hotr.

Expert(i) Tehnic(i):

innd cont de posibila volatilitate a probelor, este recomandabil ca n raportul de expertiz s se menioneze durat fiecrei investigaii: Data de nceput a investigaiei: 10 ianuarie 2012, 8.30 Data de finalizare a investigaiei: 12 februarie 2012, 17.45 Durata investigaiei: 150 ore Sisteme de operare examinate: Microsoft Windows Server 2003 R2, Windows XP SP 3 Sistemul de fiiere: NTFS Cantitatea de informaii analizate (imaginea): 1,200,000 MB

Descriere probe: Proba nr. 1: Server tip rack IBM X-Series 360, Serial Number 111-A1111-11-1111111. Data 11.01.2012, 10:30 Aciune Ridicarea serverului din sala serverelor. Achiziia datelor de pe hard diskurile serverului prin protejarea acestora la scriere. S-a folosit FTK Imager. Analiza probelor colectate. Au fost identificate fiierele probatorii. S-au documentat activitile realizate.

12.01.2012, 10:00

Probe: Serverul a fost accesat local. Serviciul director Active Directory a fost modificat prin acordarea de privilegii suplimentare de tipul Domain Administrators utilizatorului Valy Greavu. Data realizrii acestor modificri este 24.12.2011, ora 21.20. Contul activ n acel moment a fost abcbank\Administrator Pentru directorul Y:\ServiciiNoi a fost asignat ca proprietar (owner) Valy Greavu. Fiierul Y:\ServiciiNoi\Campanie_produse_corporate.doc a fost accesat prin intermediul contului Valy Greavu n data de 25.12.2011, ora 23.51. Fi;ierul Y:\ServiciiNoi\Confidential\StrategieNou.doc a fost accesat prin 85

intermediul contului Valy Greavu n data de 25.12.2011, ora 23.57 . Proba nr. 2: Tablet laptop Fujitsu Siemens7400, Serial Number 222-B2222-22-222222. Date / time 11.01.2012, 10:35 14.01.2012, 10:00 Action Ridicare laptop aflat n posesia lui Valy Greavu Analiza probelor colectate. Au fost identificate fiierele i evenimentele probatorii. S-au documentat activitile realizate.

Probe: Laptopul a fost accesat cu contul abcbank\valy.greavu n data de 24.12.2011, ora 21.18. Fiierele Campanie_produse_corporate.doc respectiv StrategieNou.doc au fost transferate de pe server n directorul local My Documents. A fost pornit aplicaia Internet Explorer i s-a accesat pagina www.gmail.com n data de . 24.12.2011, ora 23.58. Fiierele au fost transmise ctre adresa gigel.popescu@hotmail.com n data de 25.12.2011, ora 00.03 CONCLUZIE 1. La obiectivul nr. 1: Concluzionm c Valy Greavu Corporate Manager a obinut n mod neautorizat acces la fiiere coninnd informaii clasificate Confidenial i le-a transferat prin pot electronic ctre o ter parte.

n final mai menionm c un raport asupra datelor investigate se poate obine cu majoritatea software-urilor de tip forensic. n acest caz trebuie s adaptai formatul raportului obinut n mod automat la cerinele legiuitorului.

86

Studii de caz practice

87

Capitolul 12.

Studiul de caz 1 Sustragere informaii

n continuare va fi simulat un caz de investigare electronic. Cazul pleac de la ideea c un angajat a unei ntreprinderi care realizeaz diverse produse de alimentaie, sustrage reete clasificate ca fiind secrete n ideea de a le vinde unei ntreprinderi concurente. Vom presupune, pe rnd, mai nti c suntem inculpatul i vom folosi cteva tehnici de ascundere a dovezilor iar apoi vom intra n rolul unui investigator care analizeaz stickul pe care am ascuns dovezile.

12.1 Partea I Ascunderea informaiilor

n partea nti a aceste lucrri practice presupunem c suntem persona acuzat de furtul informaiilor. Acuzatul este i vinovat n cazul nostru i deine pe un stick USB reete secrete ale ntreprinderii n care este angajat. n continuare misiunea noastr ca inculpat este s ascundem fiierul respectiv. Este vorba de un fiier Excel n care avem reete secrete de fabricaie. Cunoatem riscurile la care ne supunem, am documentat bine problema i tim ce avem de fcut pentru a ascunde fiierul astfel nct s fie aproape imposibil de gsit n cazul n care suntem descoperii. Pasul 1 Denumirea i protejarea documentului cu parol n multe cazuri, un angajat care sustrage documente secrete se limiteaz la redenumirea fiierului n sperana c un investigator va cuta explicit documente care descriu n denumire coninutul, de exemplu retete_secrete.xlsx. Noi presupunem c deinem cunotine mult mai avansate de att i pe lng denumirea fiierului n lista_cumparaturi.xlsx l vom pune ntr-o arhiva ZIP pe care o vom cripta cu parol. Redenumirea fiierului o realizm cu click dreapta pe fiier iar din meniu aferent selectm Rename sau selectm fiierul i apsam la tastatur tasta F2. Pentru arhivarea fiierului folosim aplicaia 7ZIP53 care este freeware. Tot ce trebuie s facem este s dm click dreapta pe fiier, selectm 7-Zip i Add to archive... Acest lucru ne deschide o fereastr de dialog n care putem specifica nivelul de criptare i parola.

53

http://www.7-zip.org/ accesat 06/06/2011

88

Figura nr. 12.1 Arhivarea cu 7ZIP

n imaginea de mai sus avem caseta de dialog la crearea unei arhive ZIP cu opiune de criptare. Acum c am creat arhiva respectiv ar fi bine s o redenumim de exemplu joc.zip. Acest lucru ne va ajuta la pasul urmtor. Pasul 2 Schimbarea extensiei arhivei O arhiv poate da de bnuit atunci cnd stickul pe care se afl este supus unei investigaii digitale. Pentru a ne masca i mai bine fapta, n continuare, vom schimba extensia arhivei din ZIP n EXE. Un ochi ne-experimentat care se uit la acest aa-zis executabil, dac va da dublu click pe el va ntmpina o eroare de sistem, va crede c executabilul este corupt i va trece peste o analiz mai amnunit a acestuia.

89

Figura nr. 12.2 - Eroare la rularea executabilului joc.exe

Imaginea de mai sus demonstreaz eroare obinut cnd este rulat executabilul fantom. Pentru a avea acces la extensia unui fiier i pentru a o putea modifica trebuie s debifm opiunea Hide extensions for known file types din Folder Options. Dup ce a fost debifat aceast opiune, cnd ncercm s redenumim fiierul, vom avea acces i posibilitatea de a schimba extensia. Pas 3 Folosirea unui editor de HEX pentru schimbarea amprentei arhivei ZIP Unui investigator cu ceva experien i se va prea ciudat acest executabil care nu ruleaz i ar putea face o analiz a tipului de fiier pentru a afla dac ntr-adevr este vorba de un executabil. Folosind un editor de hex, XV32, observm c numrul magic (semntura digital a fiierului) al unei arhive de tip ZIP este 50 4B iar pentru un fiier executabil 4D 5A. n imaginea de mai jos sunt prezentate astfel de semnturi digitale.

90

Figura nr. 12.3 - Semnturile digitale ale fiierelor de tip ZIP i EXE

Chiar dac am schimbat extensia din ZIP n EXE se poate observa c numrul magic a rmas cel al unui fiier ZIP. n continuare tot ce trebuie s facem este s editm 50 4B n 4D 5A i s apsm butonul de salvare. Rezultatul va arta ca n figura de mai jos.

Figura nr. 12.4 - Semntura digital a unui fiier ZIP a crui numr magic a fost modificat

91

Acum pe lng faptul c arat ca un fiier executabil i sistemul de operare Windows l vede ca pe o aplicaie, un ochi neexperimentat va putea fi pclit uor de aceast schimbare a numrului magic.

Figura nr. 12.5 - SO Windows vede fiierul ca pe o aplicaie

Pentru o persoan cu suficiente cunotine din domeniul IT o astfel de modificare a unui fiier nu ia mai mult de 10 minute. Ultimul lucru care a rmas de fcut este ascunderea stickului de memorie pe care pstrm fiierul.

12.2. Partea II Colectarea, analiza, pstrarea i prezentarea probelor digitale

n partea a 2-a a acestei lucrri practice jucm rolul unui investigator de echipamente digitale, specialist ce va face analiza tehnico-tiinific a echipamentul bnuit c ar conine probe incriminatorii. Din nefericire, n Romnia, legislaia nu este foarte cuprinztoare cu privire la astfel de anchete iar standardele internaionale de care vorbeam n capitolul 1 nu sunt adoptate i nici nu am gsit proiecte de legi care s reglementeze alinierea la astfel de standarde. n continuarea voi ncerca s imaginez o investigare a echipamentului suspect innd cont att de Codul de Procedur Penal ct i de ceea ce este recomandat n standardele internaionale. Pasul 1 Ridicarea mijloacelor materiale de prob. Efectuarea percheziiei Codul de procedur penal definete mijlocul material de prob n Seciunea VII, Art. 94 astfel: Obiectele care conin sau poart o urm a faptei svrite, precum i orice alte obiecte care pot servi la aflarea adevrului, sunt mijloace materiale de prob.. Pn s devin ns mijloc de prob n instan, mijlocul material este doar un corp delict aa cum este definit n Art. 95 al aceeai seciuni VII: Sunt, de asemenea, mijloace materiale de prob obiectele care au fost folosite sau au fost destinate s serveasc la svrirea unei infraciuni, precum i obiectele care sunt produsul infraciunii.. Pn la ridicarea corpului delict ns, conform Codul de procedur penal, trebuie efectuat o percheziie la domiciliul inculpatului care poate fi dispus doar de judector n cursul urmririi penale. n cazul nostru, pentru a evita alertarea inculpatului i o eventual distrugere a corpului delict, inculpatul va fi urmrit penal fr citarea prilor. Acest lucru este reglementat n Art 100 al Seciunii VIII, Al 3 i Al 4. Modul n care trebuie efectuat percheziia este reglementat n Art. 105. Odat nceput percheziia, articolele 107, 108, 109 i 110 reglementeaz identificarea i pstrarea obiectelor i mijloacelor materiale care vor constitui probe, procesul-verbal de percheziie i ridicare a obiectelor i msurile i modalitile de conservare a probelor. Din nefericire legislaia romn nu cuprinde referine la modul de stocare a mijloacelor de prob care s conin probe digitale i nici nu precizeaz cum trebuie manipulate astfel de probe. Aici intervin standardele internaionale care dei nu sunt precizate sau acceptate n nici un act oficial garanteaz un cadru de lucru care s duc la gsirea de dovezi imposibil de contestat. Dup efectuarea percheziiei, gsirea stickului de memorie, corpului delict ce face subiectul lucrrii de fa, i sigilarea sa ntr-un plic sau conform standardelor internaionale ntr-un recipient care s fereasc stickul de memorie de aciunea cmpurilor electro-magnetice i transportarea i depozitarea n vederea analizei, teoretic ar trebui s avem deja acel lan de custodie care atest toate aciunile i toate persoanele care au intrat n contact cu acest corp delict de la gsirea acestuia pn la analiz. n Romnia acest document singular care s prezinte traseul stickului de memorie nu exist, cel puin nu este reglementat legal. n schimb exist un proces verbal care atest gsirea i ridicarea 92

obiectelor. Seciunea V. nscrisurile din Codul de procedur penal reglementeaz procesul-verbal ca mijloc de prob i cuprinsul i forma acestuia. Art. 108 al Seciunii VIII completeaz cu datele ce trebuiesc notate la percheziie i ridicarea obiectelor de prob i anume locul, timpul i condiiile n care nscrisurile i obiectele au fost descoperite i ridicate, enumerarea i descrierea lor amnunit, pentru a putea fi recunoscute. Procesul-verbal care atest gsirea i ridicarea stickului de memorie poate fi vzut n Anexa1. Pasul 2 Pregtirea mediului de lucru i analiza corpului delict Subiectul analizei cuprinse n aceast lucrare l face stickul de memorie pe care am ascuns fiierul incriminatoriu aa c ne vom concentra asupra acestuia. Aadar n procesul verbal de constatare a fost cuprins acest stick de memorie care a fost gsit ascuns ntr-un ifonier, ntr-un loc greu accesibil sau vzut, mpreun cu pozele aferente. Pe acest stick nu sunt vizibile dect marca Verbatim i un numr 08091101304G31AAD. Stickul de memorie a fost pus spre pstrare ntr-un plic sigilat i transportat la sediu unde urmeaz s fie supus la o serie de procedee ce vor permite analiza. Jurnalul investigatorului poate fi vzut n Anexa 2. Pasul 2.1 Blocarea la scriere a echipamentelor de stocare Odat ce corpul delict a ajuns n posesia investigatorului poate ncepe constatarea tehnicotiinific descris sumar n Codul de procedur penal, Seciunea IX Constatarea tehnicotiinific i constatarea medico-legal dar, mai nti, trebuie s asigurm un mediu de lucru care nu va modifica n nici un fel corpul delict, compromind astfel integritatea dovezii. n primul rnd trebuie s ne asigurm c n momentul n care conectm stickul de memorie la calculator, acesta nu va fi modificat. n momentul n care conectm un astfel de dispozitiv la calculator este modificat fiierul de configurare a acestuia cu data i ora ultimei accesri. Pentru a evita acest lucru, pe sistemele Windows (nu este cazul pe sistemele Linux), trebuie instalat un program/aplicaie care s blocheze scrierea stickurilor de memorie dar, s permit citirea. Pentru aceasta putem folosi o aplicaie precum Thumbscrew USB Write Blocker. Este o aplicaie freeware foarte uor de folosit dar, din pcate nu garanteaz 100% blocarea stickului de memorie la scriere. Pentru a realiza o investigaie digital care s elimine orice urm de ndoial este recomandat folosirea unui software pltit, cu licen, care s garanteze blocarea scrierii pe stickuri de memorie. Din testele realizate Thumbscrew USB Write Blocker s-a dovedit a fi de ncredere dar, am ales o metod care s aduc un plus de siguran. Pe sistemele Windows, sistem folosit de altfel n aceast investigaie, blocarea scrierii pe stickuri de memorie poate fi realizat din regitrii calculatorului HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\Wr iteProtect Pe multe maini este posibil ca WriteProtect s nu existe. n acest caz l vom crea noi nine astfel: 1. Deschidem Registry Editor (Run > regedit) 2. Navigm pn la HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ 3. Crem o cheie nou (Edit > New > Key) pe care o denumim StorageDevicePolicies 4. Selectm cheia StorageDevicePolicies i apoi crem o nou valoare DWORD (32-bit) (Edit > New > DWORD (32-bit) value ) pe care o denumim WriteProtect 5. Dublu click pe WriteProtect i setm Value Data 1 ca n imaginea de mai jos. Implicit aceasta are valoarea 0.

93

Figura nr. 12.6 - Modificarea registrilor calculatorului pentru a bloca scrierea stickurilor de memorie

Imaginea de mai sus arat crearea valorii WriteProtect i modificarea acesteia pentru a bloca scrierea. Pasul 2.2 Calculul amprentei digitale i clonarea corpului delict Acum c am blocat scrierea stickului de memorie i implicit modificarea lui putem trece mai departe i anume calcularea unei sume de control, valoarea hash care acioneaz ca o amprent digital a stickului, identificnd-ul unic. Orice modificarea ct de mic asupra echipamentului i valoarea hash se va schimba indicnd astfel c probele au fost compromise. Pentru acest lucru avem nevoie de un software specializat aa c am ales FTK Imager 3.0.154 de la Access Data. Cu ajutorul funciei Verify Drive/Image putem obine un raport preliminar asupra stickului de memorie, n acest raport fiind inclus valoarea hash MD5.

54

http://accessdata.com/downloads/current_releases/imager/FTKImager_UserGuide.pdf accesat 10/06/2011, ora 12:33

94

Figura nr. 12.7 - Calculul valorii MD5 iniiale cu FTK Imager

Valoarea MD5 este prezentat n figura urmtoare:

Figura nr. 12.8 - Valoare MD5 stick memorie

Valoarea MD5 rezultat este 97a692f28a4096372bbf99981af9307f.

95

De asemenea putem scoate o lista cu directoarele de pe stickul de memorie ce ne va ajuta n cutarea unor fiiere cu valoare n incriminarea suspectului inclusiv documente terse de curnd. Acest lucru poate fi realizat cu funcia Export Directory Listing. Acum c am calculat valoarea hash a echipamentului putem merge mai departe i s l clonm. Analiza se face pe clon nu pe echipamentul incriminat. Ca mod de creare a unei clone am ales opiunea Create Image din FTK Imager cu formatul imaginii AFF (Advanced Forensics Format) deoarece putem realiza imagini comprimate sau nu, deci nu avem restricie la mrimea imaginii, poate fi extins, este open source, poate fi verificat pentru consisten, imaginea poate fi segmentat i este o copie la nivel de bit a echipamentului fizic. nainte de crearea imaginii am bifat opiunea de creare a unei liste cu directoarele coninute pentru o eventual comparaie cu prima astfel de list obinut. De asemenea naintea crerii imagini ni se cer cteva informaii legate de cazul curent precum numrul cazului, numrul probei, descriere unic, numele examinatorului. Din sumarul crerii imaginii se poate observa c valoarea hash MD5 este identic cu prima valoare MD5 calculat asupra stickului de memorie. Raportul complet poate fi observat n Anexa3.

Figura nr. 12.9 - Valoarea MD5 dup clonare

Pasul 2.3 Analiza clonei i identificarea probelor digitale Primul pas n analiza clonei este folosirea funciei Mount din FTK Imager care ne va permite s vedem corpul delict ca pe o nou partiie la sistem.

96

Figura nr. 12.10 - Montarea imaginii cu FTK Imager

Noua partiie este o copie fidel a stickului de memorie. Dup cum se poate observa are aceeai denumire i capacitate ca stickul fizic. Urmtorul pas este investigarea fiierelor care se gsesc n imagine. Se folosete un software profesional precum Forensic Tool Kit (FTK 3.3) de la Access Data care este foarte apreciat n SUA sau EnCase pentru analiza tipurilor de fiiere. Din pcate aceste instrumente software sunt foarte scumpe de achiziionat i nu exist variante demo sau programe de test pentru studeni care doresc s fac cercetare n acest domeniu. Principiul folosit este relativ simplu, se iau toate fiierele din imagine i se analizeaz n profunzime pentru a descoperi dac nu ascund ceva n spate. Listarea directoarelor pe care am fcut-o att la nceputul ct i dup ce am creat imagine ne ajut la descoperirea fiierelor terse deoarece evideniaz astfel de fiiere. Desigur pentru recuperarea acestora ar trebui s folosim unu instrument la fel de inaccesibil ca i celelalte menionate mai sus. Relum lucrarea i presupunem c analiza fiierelor cu unul din instrumentele de mai sus a dat roade i am identificat fiierul joc.exe ca fiind de fapt o arhiv ZIP. Arhiva este criptat cu parol, iar pentru a trece de acest impediment vom folosi un alt instrument software de la Access Data care de aceast dat poate fi folosit n varianta demo i putem sparge parole pentru fiiere de tip ZIP. Instrumentul ales este Password Recovery Tool Kit. Tot ce trebuie s facem este s selectm fiierul criptat, s specificm numele cazului i s pornim procesul de decriptare. La finalizarea acestuia avem ca rezultat parola Garfield . Ultimul lucru pe care investigatorul trebuie s l fac este s deschide arhiva i s ntocmeasc un proces verbal cu rezultatele analizei tehnico-tiinifice.

97

Capitolul 13. niveluri

Studiul de caz 2 - Accesarea probelor pe

n acest studiu de caz ne propunem s punem la dispoziia cititorului o metod sau un scurt ndruma de acces la probele digitale stocate pe un calculator Windows. Cazul pleac de la ideea c un anumit calculator este protejat pe mai multe niveluri i c s-a realizat deja accesul fizic la dispozitivul suspect. Investigatorul trebuie s aib acces la un fiier protejat de pe discul care este criptat cu EFS. Nivelurile de protecie pe care le putem asigura unui calculator sunt: - Accesul la BIOS - Accesul n sistemul de operare - Accesul la fiiere - Accesul la jurnale - Accesul al arhive protejate. Cea mai comun metod de protecie este utilizarea parolelor pe fiecare din nivelurile enumerate anterior. n mare parte infractorii IT profesioniti folosesc multe alte niveluri de protecie, mergnd din ce n ce mai mult pe protecia biometric sau pe pstrarea datelor n alte locaii dect dispozitivul fizic de pe care se lucreaz, sau chiar utilizarea unor dispozitive de unic folosin.

Accesul fizic la calculator

La ora actual avnd n vedere c majoritatea dispozitivelor de calcul sunt conectate ntr-un fel sau altul al Internet, iar dispozitivele, locaiile i metodele de acces la Internet sunt foarte variate, identificarea unui dispozitiv fizic poate fi un proces destul de anevoios, care implica de cele mai multe ori o serie de proceduri speciale de identificare i mai ales de realizare corect a trasabilitii unui pachet de date care circul pe internet. n aceast procedur intervin de cele mai multe ori organele de cercetare penala care solicit n scris operatorilor de servicii de internet acces la bazele de date cu nregistrrile de trafic, n vederea identificrii corecte a fptuitorului unei fapte. Sunt mai multe elemente prin intermediul crora se pot identifica dispozitivele fizice suspecte: Adresa IP, Codul abonat de la furnizorul de Internet, Adresa fizic a calculatorului, alte elemente de identificare a traficului.

Accesul la secvena de boot

Dup ce un dispozitiv de calcul suspect a fost identificat trebuie conservat, dar nainte de aceasta trebuie clonat pentru a putea s analizm datele i s identificm potenialele probe fr a afecta coninutul original al dispozitivului de calcul. n cazul n care nu deinem instrumente de clonare a hard-discurilor direct ataate, putem folosi alternativa pornirii calculatorului prin utilizarea unui CD specializat cu ajutorul cruia s accesm fiiere, jurnale sau alte informaii din sistemul de operare fr a ajunge la acesta.

98

BIOS-ul este acronimul expresiei engleze Basic Input/Output System, o component software de baz a calculatoarelor (PC-uri i servere) care face legtura ntre componentele fizice (hardware) i sistemul de operare utilizat pe calculatorul respectiv. Cteva dintre companiile productoare de BIOS-uri sunt: Award, American Microsystems, Inc. (AMI) i Phoenix Technologies Ltd. (Phoenix). BIOS-ul ndeplinete trei funcii fundamentale: 1.Verificarea componentelor la pornirea calculatorului (Power On Self-Test sau POST) 2.ncrcarea sistemului de operare de pe discul dur (HDD) n memoria de lucru 3.Face legtur ntre sistemul de operare i unele dispozitive fizice Pe lng funciile fundamentale BIOS-ul are rolul de proteja secvena de bootare a calculatorului prin specificarea dispozitivelor de pe care se face bootarea. Calculatorul unei companii trebuie s permit bootarea numai de pe hardisk pentru a preveni eventualele tentative de a boota calculatorul cu ajutorul unei disckete, CD sau momory stik. Pentru a preveni schimbarea secvenei de bootare BIOS-ul poate fi protejat cu o parol. Scopul nostru n aceast etap este s depim aceast parol. Metoda 1: Parola implicit n funcie de tipul productorului BIOS-ului putem ncerca o serie de parole implicite. Detalii: http://www.elfqrin.com/docs/biospw.html Metoda 2: Eliminarea bateriei de pe placa de baz Pentru a putea pstra n memorie setrile utilizator (parola, secvena de boot) cipsetul care stocheaz aceste informaii are nevoie de o baterie care se afl pe placa de baz a calculatorului. Eliminarea acestei baterii produce invariabil revenirea tuturor setrilor BIOS la parametrii de fabric care nu conin o parol de acces la BIOS. Odat resetat parola de BIOS putem avea acces i s modific secvena de Boot. Putem n acest fel boota cu un CD specializat sau un memory stik pentru a realiza clonarea hardiscului i analiza datelor de pe acesta.

Accesul la sistemul de operare

Chiar dac este o imagine clonat sau un calculator de sine stttor, pentru a putea s acces fiierele trebuie s ne autentificm pe calculator prin folosirea numelui de utilizator i a parolei. Pe un calculator pot exista mai muli utilizatori nregistrai, i pentru a accesa corect fiierele stocate de un anumit utilizator trebuie s folosim privilegiile acestuia sau privilegii de administrator. n cazul n care nu cunoatem nici una din parole, trebuie s accesm altfel fiierele sau s ncercm o recuperare a parolei prin utilizarea unor programe specializate. De asemenea, pentru a putea s recuperm fiiere terse de pe discuri, n sensul ascunderii urmelor, trebuie s ne conectm la sistemul de operare, clonare nefiind suficient. Hiren's BootCD55 este unul din cele mai cunoscute produse destinate resetrii parolelor uitate sau a crerii de imagini a discurilor. El presupune bootarea calculatorului cu ajutorul acestui CD i utilizarea instrumentelor specifice de resetare a parolelor. n continuare vom prezenta cteva din facilitile i instrumentele puse la dispoziie de Hirens BoodCD. Hirens BootCD este un Live CD Botabil ce conine o serie de aplicaii care acoper o paleta larga de utilitare pentru testarea diverselor componente PC, recuperri de date ce survin din tergerea accidentala a fiierelor sau din tergerea partiiilor, utilitare pentru scanarea si repararea

55

http://www.hirensbootcd.org/

99

hardurilor cum ar fi HDD Regenerator, dar si programe ce ofera posibilitatea partitionarii hard discurilor, precum si testarea lor, i nu doar atat. Acest utilitar contine si Mini Windows Xp acesta este o versiune mai mica a lui Windows XP pe care insa nu e nevoie sa o instalam pe calculator, sistemul de operare va rula in momentul cand selectam aceasta optiune, de pe cd, el punand fisierele de care are nevoie in memoria RAM, iar apoi Windows-ul va rula in mod normal. Accesarea acestui utilitar se face din meniul de botare a cd-ului dupa care acesta se va afisa ca un Windows XP normal. n continuare vom prezenta o list de instrumente utile pentru activitatea investigatorilor:

Utilitare de creare a imaginilor

Partition Saving 3.71: Un utilitar pentru backup/restore a partitiei. (SavePart.exe). COPYR.DMA Build013: Un utilitar pentru a face copia unui hard ce are sectoare cu baduri. ImageCenter 5.6 (Drive Image 2002): soft pentru clonarea hardurilor. Norton Ghost 11.5: Similar cu Drive Image (cu support pentru usb/scsi). Acronis True Image 8.1.945: Creaza o imagine exacta a discului pentru un backup complet al sistemului DriveImageXML 2.02: Face backup pentru orice hard-disk/partitie catre un fisier de tip imagine chiar daca discul este in folosinta Drive SnapShot 1.39: creaza o imagine de disc a sistemului de operare intr-un fisier in timp ce sistemul de operare functioneaza Ghost Image Explorer 11.5: pentru a adauga/sterge/extrage fisiere de pe un fisier de tip imagine Ghost DriveImage Explorer 5.0 WhitSoft File Splitter 4.5a. Express Burn 4.26 Smart Driver Backup 2.12 Double Driver 1.0: Driver Backup si Restore . DriverBackup! 1.0.3:

Utilitare de recuperare de date

Active Partition Recovery 3.0: Recupereaza o partitie stearsa Active Uneraser 3.0: Pentru recuperarea fisierelor sterse si a dosarelor sterse de pe partitii de tipul FAT si NTFS . Ontrack Easy Recovery Pro 6.10: Pentru recuperarea datelor ce au fost sterse. Winternals Disk Commander 1.1: TestDisk 6.11.3: Utilitar pentru a verifica si a reface partitiile Lost & Found 1.06: Un vechi si bun utilitar pentru recuperarea datelor. DiyDataRecovery Diskpatch 2.1.100: Prosoft Media Tools 5.0 v1.1.2.64: PhotoRec 6.11.3: Program ce permite recuperarea fisierelor sau a pozelor Winsock 2 Fix for 9x: XP TCP/IP Repair 1.0: Active Undelete 5.5: un utilitar pentru recuperarea fisierele sterse. Restoration 3.2.13: GetDataBack for FAT 2.31: Recuperarea datelor de pe partitii de tipul FAT. GetDataBack for NTFS 2.31: Recuperarea datelor de pe partitii de tipul NTFS. 100

Recuva 1.27.419: Restaureaza fisierele sterse de pe Hard-diskuri , Camere digitale Memory Carduri, usb mp3 player Partition Find and Mount 2.3.1: Este facut pentru a identifica partitiile sterse sau pierdute. Unstoppable Copier 4b: permite copierea fisierelor de pe diskuri cu probleme cum ar fi bad sectors, zgarieturi sau care dau erori la citirea normala

Utilitare pentru eliminarea diverselor parole Windows

Active Password Changer 3.0.420: Este un utilitar pentru restetarea parolei de utilizator in Windows NT/2000/XP/2003/Vista (FAT/NTFS). Offline NT/2K/XP Utilitar pentru schimbarea parolei de administrator/utilizator pentru windows nt/2000/xp Registry Reanimator 1.02: NTPWD: Utilitar pentru schimbarea parolei de administrator/utilizator pentru windows nt/2000/xp. Registry Viewer 4.2:Editeaza registrii ATAPWD 1.2: Utilitar pentru parola de Hard Disk. TrueCrypt 6.2: Content Advisor Password Remover 1.0: Password Renew 1.1: Utilitar pentru resetarea parolei de Windows. WindowsGate 1.1: WinKeyFinder 1.73: XP Key Reader 2.7: Poate decoda XP-keyul. ProduKey 1.35: Wireless Key View 1.26: MessenPass 1.24: Mail PassView 1.51. Produse din aceeai categorie:

BartPE (http://www.nu2.nu/pebuilder/) Active@ Boot Disk (http://www.livecd.com/) UBCD4WIN (http://www.ubcd4win.com/)

Odat intrai n sistemul de operare putem identifica fiierele de care avem nevoie pentru probe sau putem consulta jurnalele de activiti pentru vedea firul de execuie a unei opraiuni efectuate de utilizator.

Accesul la fiiere
Accesul la fiiere este relativ simplu odat intrai n sistemul de operare. Totui anumite fiiere pot fi terse pentru a elimina probele. n acest caz trebuie s utilizm aplicaii specializate ca cele prezentate n seciunea anterioar.

Accesul la jurnale
Event Viewer Aplicaia de vizualizare a mesajelor despre diferite evenimente) include 3 categorii implicite de nregistrri: monitorizarea mesajelor de la aplicaiile instalate 101

monitorizarea mesajelor de securitate monitorizarea mesajelor de sistem

Pentru a vizualiza un mesaj n mod detaliat trebuie deschis prin dublu click. Exist trei tipuri de mesaje: Information (mesaje de informare), Warning (mesaje de alarm) i Error (mesaje de eroare).

Figura nr. 13.1 - Fereastra de proprieti a unei categoriei de mesaje Application.

Fiecare categorie din Event Viewer poate fi parametrizat click dreapta al mouse-ului pe ea i alegerea opiunii Properties din meniul contextual afiat. Principalele opiuni sunt: Maximum log size (mrimea maxim a fiierului care stocheaz nregistrrile) exprimat n Kb. V recomandm s mrii de 2-3 ori capacitatea de stocare a fiierului respectiv pentru fiecare categorie n parte; Aciunea care se va efectua n momentul n care fiierul de log a ajuns la dimensiunea maxim unde putem alege: suprascrierea evenimentelor dac este nevoie (Overwrite events as needed); suprascrierea evenimentelor mai vechi de 7 zile; tergerea manual a nregistrrilor; tergerea cu posibilitatea de salvare a nregistrrilor (butonul Clear Log). nregistrrile din Event Viewer pot fi salvate n formatul proprietar EVT sau n formatul CSV (coma separated value) care permite importul i analiza informaiilor n aplicaii de calcul tabelar i numai. Pentru parametrizarea informaiilor care vor fi nregistrate n categoria Security trebuie s accesm politica de securitate local a serverului: 1. Start Administrative Tools Local Security Policy; 102

2. 3.

n fereastra Local Security Settings n categoria Local Policies activai de la subcategoria Audit Policy opiunile pentru: Audit account logon events, Audit account management, Audit logon events, Audit policy change. Dup efectuarea schimbrilor respective i nchiderea ferestrelor deschise, redeschiznd Event Viewer o s constatai c deja au nceput s apar alte tipuri de nregistrri n Security.

103

Glosar de termeni
ATM: (Asynchronous Transfer Mode). O tehnologie a reelelor de calculatoare in care conexiunile dintre echipamentele de comunicaie sunt setate, folosite si eliminate in mod dinamic. Backbone: O poriune a reelei care suporta traficul cel mai intens; sistemul principal de cabluri care asigura comunicaia intre punctele de distribuie precum si comunicaia cu camera echipamentelor si punctele de acces in cldire. Bandwidth: Cantitatea de informaii sau date care pot fi trimise printr-o conexiune de reea ntr-o perioad de timp. Lime de band de obicei este declarat n bii pe secund (bps), kilobii pe secund (kbps) sau megabii pe secund (mbps). BIOS: (Basic Input Output System). Setul de rutine stocate n memoria ROM (doar n citire) pe un sistem de circuite de pe placa de baz care pornete calculatorul prin iniializarea dispozitivelor fizice, apoi transfer controlul sistemului de operare. BIOS-ul deschide canale de comunicare cu componentele calculatorului, cum ar fi hard disk-uri, tastatura, monitor, imprimanta i porturile de comunicare. Bit: Binary Digit. Un bit este cea mai mica unitate de informaie, constnd dintr-o singura cifra binara. Este reprezentat de valorile numerice 1 sau 0. BMP: Extensie a fiierelor de tip Bitmap, utilizate pentru stocarea imaginilor digitale. Buffer: Un bloc de memorie care stocheaz date temporar i permite acestora s fie citite sau scrise n buci mai mari pentru a mbunti performana unui computer. Buffer-ul este utilizat pentru depozitarea temporar a datelor care se citesc sau sunt n ateptare pentru a fi trimise ctre un dispozitiv, cum ar fi un hard disk, CD-ROM, imprimant, n reea sau unitate de band. Cadre: Un cadru este grup de bii care constituie un bloc de informaie. Cadrul conine informaii de control a reelei sau date. Mrimea si alctuirea cadrelor este determinata de protocolul de reea utilizat. Cadrele sunt generate pe nivelul 2 al modelului OSI. (engl.: frame) CAT-5/Category-5: Cablu de transmitere a datelor cu vitez mare (100 mbps sau mai mult). Cablurile de tip CAT-5 sunt utilizate n special pentru transmiterea de voce i date. CAT-5e: (Enhanced CAT-5). Similar cu CAT-5 dar cu o serie de mbuntiri. CAT-6/Category-6 (ANSI/TIA/EIA-568-B.2-1): Un cablu standard pentru reelele de tip Gigabit sau alte tipuri de interconectri compatibile cu CAT-5, CAT-5e i Cat-3. Principalele sale specificaii sunt orientate ctre reducerea perturbrilor de transmisie prin reea. CD/CD-ROM: (Compact DiscRead-Only Memory). Un tip de unitate de stocare care conine date i informaii accesibile de un calculator numai pentru citire. Capacitile standard sunt de 640, 650 sau 700 MB. CD-R: (Compact DiscRecordable). Un CD pe care se pot nregistra/scrie date fr a mai putea fi terse. Se mai folosete i termenul CD-Blank. CD-RW: (Compact DiscRewritable). Un CD pe care se pot scrie, modifica i terge date. Chat Room: O aplicai client pentru anumite tipuri de site-uri web care permit utilizatorilor s comunice n timp real prin utilizarea textului, simbolurilor sau mesajelor audio. Compact Flash Card: Un dispozitiv de stocare de dimensiuni i capaciti mici, care poate fi ndeprtat de la calculator i care se bazeaz pe tehnologia de memorie flash, o tehnologie de stocare care nu necesit o baterie special pentru a pstra date pe termen nelimitat. Compressed File: Un fiier a crui dimensiune este mai mic, de obicei, dect a fiierului original, i care necesit tehnologii specifice de reducere a dimensiunii prin utilizarea unui algoritm de tergere sau combinare a informaiilor redundante. Un fiier compresat nu poate fi citit n mod direct de toate aplicaiile pn cnd nu se realizeaz operaiunea invers, decompresarea. Se mai ntlnete i termenul de arhivare, n momentul n care se utilizeaz aplicaii specializate de compresare: WinZip, WinRar, WinAce etc.

104

Cookies: Fiiere tip text de dimensiuni mici salvate pe un calculator care stocheaz informaii despre site-urile de internet accesate un utilizator. Copie duplicat bit-cu-bit: Proces de copiere a datelor stocate pe dispozitive digitale, astfel nct copia reproduce datele identic la destinaie. Termenul de bit-cu-bit refer faptul c datele sunt copiate la nivel de nlnuire a valorilor care compun sistemul de stocare de la surs. De exemplu n modul binar reprezint niruirea de 0 i 1 care compun datele pe mediul de stocare. CPU: (Central Processing Unit.) Un microcip al calculatorului care conine de la mai multe mii la mai multe milioane de tranzistori care ndeplinesc mai multe funcii simultan. Criptare: Orice procedur utilizat n criptografie pentru a converti un text simplu ntr-un text cifrat pentru a mpiedica pe oricine, n afara destinatarului care are cheia de decriptare corespunztoare, de la citirea acestor date. Crosstalk: O perturbare a semnalului electric transmis printr-un cablu UTP sau STP. Crosstalk se refer la faptul c semnalul dintr-un fir sau set de fire afecteaz semnalul din alt fir sau alt set de fire ale unui cablu. CSMA/CD: (Carrier Sense Multiple Access with Collision Detection). CSMA/CD este baza sistemului de operare in reelele Ethernet. Este metoda prin care staiile urmresc reeaua si determina daca sa transmit sau nu date si ce sa fac daca se semnaleaz o coliziune. Deleted Files: Fiiere care nu mai au o asociere n tabela de alocare a fiierelor. Fiierele terse se gseasc nc pe mediul de stocare dar nu mai sunt accesibile n mod normal de sistemul de operare. DHCP: (Dynamic Host Configuration Protocol). Un set de reguli utilizate de echipamentele de comunicare n reea, precum: calculatoare, rutere, sau alt adaptoare de reea; permite acestora solicitarea, obinerea i utilizarea unei configuraii TCP/IP de la un server care are o list de adrese disponibile pentru accesul la reea sau la Internet. Digital Camera: Un aparat de fotografiat sau filmat care nregistreaz imaginile n format digital. Spre deosebire de camerele analogice care nregistreaz un numr infinit de intensiti ale luminii, camerele digitale nregistreaz doar un numr limitat de intensiti i salveaz datele pe diferite flash card-uri sau discuri optice. Dispozitiv de stocare electronic: Orice mediu care poate fi folosit pentru a nregistra informaii pe cale electronic. Exemplele includ hard discuri, benzi magnetice, compact discuri, casete video, casete audio etc. Exemple de dispozitive de stocare amovibile includ uniti de tip thumb, carduri de memorie, dischete, i discuri Zip . DivX: Nume al unui set de produse bine cunoscute create de DivX, Inc, inclusiv DivX Codec, care a devenit foarte popular datorit capacitii sale de a comprima segmente video cu o lungime mare n fiiere de dimensiuni mici, meninnd n acelai timp o calitate vizual relativ ridicat. Ca rezultat, DivX a fost n centrul mai multor controverse datorit utilizrii sale n reproducerea i distribuirea de DVD-uri fr drepturi de autor Docking Station: Un dispozitiv fizic care permite laptop-urilor i notebook-urile s foloseasc echipamente periferice i componente (scanner, monitor, tastatura, mouse i imprimante) care n mod normal sunt asociate cu un calculator de birou. Dongle: O metod de protecie mpotriva copierii sau un dispozitiv de securitate furnizat odat cu o aplicaie software.Dongle-ul mpiedic utilizarea neautorizat sau duplicarea aplicaiei software, deoarece fiecare copie a programului necesit un dongle pentru a funciona. Mai este cunoscut i sub numele de cheie HASP sau cheie USB. Dovada dezincriminatoare: Dovezi care arat c o acuzaie penal nu este justificat de dovezi. Driver = aplicaie software ce permite sistemului de operare s utilizeze n mod optim un sistem hardware. DSL: (Digital Subscriber Line). O tehnologie de comunicare de mare vitez pentru modemurile digitale utilizate pentru liniile telefonice deja existente. DVD: (Digital Versatile Disk). Un disc compact de capacitate mare care poate stoca pana la 4,7 Gb (de 28 ori mai mult dect un CD). Tipurile derivate disponibile: DVD-R, DVD-RW, DVD+R, DVD+RW, i BlueRay.

105

Ecranaj: Stratul metalic ce protejeaza un cablu de influenta radiatiilor electromagnetice; poate fi alcatuit dintr-o folie sau o plasa metalica ce inveleste cablul pe toata circumferinta. (engl. shield). EMI: (Electro Magnetic Interference). Este interferenta in semnalele transmise sau receptionate cauzata de cimpurile electrice si magnetice. Ethernet: O tehnologie din domeniul retelelor de calculatoare care permite ca orice statie dintr-o retea sa transmita la orice moment presupunind ca a verificat traficul pe retea si a asteptat ca reteaua sa fie libera si sa nu existe coliziuni. Fibra optic: Mediu de transmisie alcatuit din fire de sticla sau plastic invelite intr-un blindaj de protectie din plastic. Fibrele optice transmit informatia sub forma unor fascicole pulsatorii de lumina. Firewall: Un paravan de protecie (dispozitiv fizic sau aplicaie software sau o combinaie ntre fizic i aplicaii) care permite sau blocheaz traficul n i dintr-o reea privat sau calculatorul unui utilizator, si este principala metod de a ine un calculator securizat de intrui. De asemenea, este utilizat pentru a separa zona de servere a unei companii de reeaua sa intern i pentru a menine segmentele interne de reea securizate. FireWire: Un port de comunicaie sau band de comunicaie de mare vitez, serial care permite conectarea a pn la 63 de dispozitive. Este utilizat n special pentru descrcarea de informaii video de pe camerele video digitale la un calculator. Firmware: Instructiuni soft care care permit ca un echipament sa functioneze. Fiier: O colectie de date, informatii inrudite, asociate (engl.: file). Formatul fiierului: Se refer la tipul de fiier bazat pe structura fiierului, aspect, sau modul n care un anumit fiier are organizate informaiilor (sunete, cuvinte, imagini) coninute n acesta. Formatul unui fiier este indicat de obicei prin extensia de trei sau patru litere: .exe, .doc, .jpg, .html. GIF: (Graphics Interchange Format). Una din cele mai comune formate de fiiere utilizate pentru stocarea imaginilor. Este utilizat foarte mult pentru paginile de Internet datorit ratei mari de compresie i faptului c ocup un spaiu mai mic pe disc dect formatul jpg. GPS: (Global Positioning System) Un sistem de satelii i dispozitive de recepie folosite pentru a calcula pozitiile de pe Pamant. GPS-ul este utilizat n navigare i orientare, n domeniul afacerilor imobiliare i topografierea parcelelor de pmnt. Hard Copy: O reproducere permanent a datelor pe orice media adecvat, pentru utilizarea direct ctre o persoan, de exemplu, pagini tiprite i pagini de fax. Hard Drive: (HDD) Un dispozitiv de stocare a datelor care este compus dintr-un circuit extern, fie de date i cabluri de alimentare cu energie electric; la interior are un strat ceramic de protecie i platane de metal cu proprieti magnetice pentru stocarea datelor. Cele mai comune tipuri sunt: IDE, SCSI, SATA, SAS, etc. Hardware: Componentele fizice care compun un calculator incluznd: tastatura, mouse, monitor i unitatea central. Header: (ro: Antet) n mai multe discipline de informatic, un antet este o unitate de informaii care precede un set de date. ntr-o reea de transport, un antet face parte din pachetele de date i conine informaii transparente cu privire la fiier sau despre transportul de date efectuat. In gestiunea fiierelor, un antet este o regiune la nceputul fiecrui fiier n care sunt pstrate date despre acesta. Antetul fiierului poate conine data la care fiierul a fost creat, data la care a fost actualizat ultima dat, i dimensiunea fiierului. Antetul poate fi accesat numai de ctre sistemul de operare sau de programe specializate. Hidden Data (Date ascunse): Multe sisteme informatice includ o opiune de a proteja anumite informaii de utilizatorii ocazionali, prin ascunderea acestora. O examinare sumar a sistemului nu poate afia fiierele ascunse, directoare, sau partiii pentru utilizatorul neinstruit. O examinare efectuat de un expert va documenta prezena acestui tip de informaii. Host: Un echipament de retea care actioneaza ca sursa sau destinatie a informatiei din retea.

106

IANA: (Internet Assigned Numbers Authoryty). Agentia care desemneaza si distribuie adresele IP i nu numai. IM: (Instant Messenger). Un serviciu de comunicare care permite utilizatorilor s comunice sincron n timp real pe Internet. Este asemntor unei comunicaii telefonice numai c se bazeaz pe scriere nu pe voce. Cele mai cunoscute aplicaii pentru IM sunt: Yahoo Messenger, MSN Live Messenger, Google Talk. La ora actual comunicaia prin voce i face din ce n ce mai mult simit prezena, una din cele mai cunoscute aplicaii pentru comunicaiile bazate pe voce fiind Skype. IP: Un numr de 32 di bii care identific n mod unic un host de pe Internet. Este asociata de administratorul de retea unei anumite interfete de retea. Alocarea adreselor este gestionata de catre agentia internationala IANA. Exemple de adrese: 127.0.0.1, 192.168.1.1, 10.10.1.254. ISDN: (Integrated Services Digital Network). O linie de comunicaii de mare vitez care se bazeaza pe liniile telefonice obinuite pentru conectarea la Internet. ISP: (Internet Service Provider). Un tip de afacere economic bazat pe furnizarea serviciilor de acces la Internet, precum i alte servicii corelate: gzduire de site-uri web, servere de e-mail si altele. JPG: (Joint Photographic Experts Group sau JPEG). O tehnic de compresare a imaginilor digitale i de stocare a acestora. Este foarte utilizat datorit algoritmului de reducere a dimensiunii fiierului fr a afecta foarte mult calitatea imaginii. LAN: (Local Area Network). O retea locala ca intindere geografica. MAC (adresa MAC - Media Access Control): Cunoscut i ca adresa fizic de reea, este un numr ntreg pe 6 octei (48 bii) pentru reelele Token-ring sau Ethernet folosit la identificarea unui calculator ntr-o reea local. Iniial s-a dorit ca aceste adrese MAC s fie unice distribuindu-se zone contigue de adrese MAC la diferii productori de interfee de reea. n prezent, adresele MAC sunt configurabile, aa c dezideratul privind unicitatea lor a nu se mai poate realiza. Permit serverelor de DHCP s confirme dac un calculator are permisiunea de a accesa reeaua. Formatul adreselor MAC: XXXXXXXXXXXX, unde X = {09;A-F}. Main virtual = implementare software a unei maini (computer) ce are capacitatea de a executa programe ca un computer propriu-zis. Network (Reea): O combinaie de calculatoare independente sau alte dispozitive, medii de comunicaie cu fir sau fr fir i echipamente conectate care permit schimbul i partajarea de date sau resurse. Password-Protected File: Un fiier configurat pentru a interzice accesul utilizatorilor care nu introduc parola valid de acces la coninutul fiierului. PCMCIA: (Personal Computer Memory Card International Association). O organizaie a productorilor responsabil cu promulgarea standardelor pentru diferite tipuri de circuite integrate incluznd cadrdurile PC i cardurile Express. Phishing: O metod de fraud ntlnit pe Internet care se desfoar prin intermediul e-mailurilor care conin adrese i legturi ctre pagini web cu un coninut asemntor cu cel al unor instituii financiare bine cunoscute, cu scopul de a colecta informaii despre conturile clienilor, coduri de acces, parole, detalii despre cardurile de credit sau parole. Acestea sunt colectate i utilizate apoi de infractori pentru deturnarea de fonduri din conturile reale ale clienilor. Phreaking: Metod de hacking a sistemelor de telefonie clasice. Port: O interfa logic sau fizic prin intermediul cruia un calculator comunic cu alte calculatoare din reea, servere i servicii sau cu dispozitivele periferice sau ataate. Porturile de comunicaie se mpart n porturi de comunicaie TCP sau UDP i sunt de la 1 la 65535. Porturile cele mai cunoscute i utilizate sunt cele de la 1 la 1024. Exemple de porturi de comunicaie TCP: 22 SSH, 25 SMTP, 80 HTTP, 443 HTTPS dar i porturi nalte precum 1433 SQL Server, 1521 Oracle, 3389 RDP. Prob digital: Informaii i date stocate sau transmise n format binar care pot fi introduse i invocate ntr-o instan de judecat. Prob electronic: Date sau informaii cu valoare pentru o investigaie care este stocat sau transmis pe sau de pe un dispozitiv electronic.

107

Protocol: Un set de reguli care guverneaza fluxul de informatie intr-o infrastructura de comunicatii. Quarantine: Starea unei entiti informaionale sau mai precis unui fiier, pn la luarea deciziei de utilizare a acestuia. Remote: Fiiere, dispozitive i alte resurse care nu sunt conectate direct la un calculator dar care sunt utilizate ca i cnd ar fi locale. Screen Name: Un nume ales de un utilizator al Internetului folosit n comunicare. El poate fi numele real al unei persoane, o variaiune de la numele real sau poate fi un pseudonim (handle). Screen name-urile sunt utilizate pentru mesageria instant (IM) sau pentru autentificarea pe diferite site-uri web. Server = program de aplicaie care furnizeaz servicii altor aplicaii (numite aplicaii client), aflate pe acelai calculator sau pe calculatoare diferite. Server: Un calculator cu o arhitectura specifica sau o statie de lucru sau host care executa servicii pentru clientii din retea Sistem de operare: O aplicaie specializat care permite controlul dispozitivelor fizice ale calculatorului i faciliteaz instalarea i rularea aplicaiilor de alte tipuri. Cele mai cunoscute nume de sisteme de operare: familia Microsoft Windows (XP, Vista, 7, Server 2008), familia produselor open-source: Linux, Suse, Unix, Solaris i sistemele de operare and Apple MacOS. n ultimii ani datorit exploziei dispozitivelor mobile intelogente i cu performane hardware ridicate se utilizeaz din ce n ce mai mult sistemul de operare Android cu diferite variante ale sale. Pentru telefoane mobile un sistem de operare foarte rspndit este Symbian. Smart Card: Cunoscut i sub numele de card cu chip sau card cu un circuit integrat, care permite accesul la calculatoare sau locaii securizate. Software: Aplicaii pentru calculatoare destinate efecturii anumitor operaiuni sau funcii specifice, precum: procesare de text, contabilitate, gestiunea reelei, dezvoltarea site-urilor web sau a alor aplicaii, gestiunea fiierelor, redarea coninutului multimedia i altele. Steganography: O metod de a ascunde anumite fiiere sau informaii n structura altor fiiere de alt tip sau alt natur. Switch: Echipament de retea care conecteaza doua sau mai multe segmante de retea permitind traficul numai atunci cind este necesar. Switch-urile citesc eticheta (antetul) pachetelor si decid daca sa le transmita sau sa le blocheze in functie de destinatia pachetului. USB: (Universal Serial Bus). O interfa de comunicare standard a calculatoarelor care permite interconectarea unui numr variat de dispozitive fizice sau medii de stocare i comunicare precum: tastatura, mouse, scanner, imprimante, hard-discuri externe, telefoane mobile sau chei fizice de protecie. Virtualizare = Virtualizarea este un concept ce presupune rularea unui sistem de operare pe maini (computere) virtuale simulate cu ajutorul unor aplicaii software dedicate. Aceste aplicaii pot emula funcionarea tuturor componentelor unui sistem informatic real (FDD, CD-ROM, HDD, memorie, CPU, dispozitive USB, placa de reea). Virus: O aplicaie capabil s se ascund, multiplice i rspndeasc automat prin intermediul mediilor de interconectare sau transfer de date a calculatoarelor. Scopul lor este de a produce stricciuni, de a fura informaii sau de a prelua controlul altor calculatoare. VoIP: (Voice over Internet Protocol). Tehnologie utilizat pentru a transmite conversaii de tip voce prin intermediul liniilor de transmisie de reea clasice. Wireless: Orice dispozitiv fizic care poate accesa o reea de date fr a folosi un mediu de comunicare conectat fizic. Zip File: Un tip de fiier compresat, care are o dimensiune mai mic dect fiierul original ncorporat n arhiva Zip. Este utilizat pentru a transmite mai rapid informaiile prin intermediul mediilor de comunicare sau pentru a reduce spaiul de stocare de pe un mediu de stocare. Anumite arhive zip pot s aib extensia EXE, ceea ce nseamn c sunt arhive autoexecutabile i nu au nevoie de un program de decompresare pentru a putea s pun la dispoziie coninutul original al fiierului compresat.

108

Indexul figurilor
Figura nr. 2.1 Volatilitatea probelor digitale .................................................................... 14 Figura nr. 3.1 Diferite tipuri de dispozitive de calcul ........................................................ 17 Figura nr. 3.2 - Componentele interne ale unui hard disk (Sursa: http://www.hddtool.com/hdd-basic/hard-disk-and-hard-drive-physical-components.htm) ..................................... 18 Figura nr. 3.3 Structura hard discului ............................................................................... 19 Figura nr. 3.4 Tipuri de hardiscuri .................................................................................... 20 Figura nr. 3.5 Fie de date pentru interconectarea hardiscurilor ..................................... 20 Figura nr. 3.6 Banda magnetic ........................................................................................ 21 Figura nr. 3.7 Diferite tipuri de uniti de stocare a datelor ............................................. 22 Figura nr. 4.1 - Modelul de comunicare ntre filosofi ........................................................... 25 Figura nr. 5.1 Procedura de colectare a probelor informatice .......................................... 39 Figura nr. 7.1 Identificarea sistemului de fiiere folosit pe o unitate de stocare ............... 45 Figura nr. 7.2 Lista de control acces asupra fiierului de pe discul E............................... 46 Figura nr. 7.3 Permisiunile efective pe un fiier ................................................................ 47 Figura nr. 7.4 Fereastra de criptare a discurilor .............................................................. 48 Figura nr. 7.5 Fereastra disk Quota .................................................................................. 49 Figura nr. 7.6 - Compresia i/sau criptarea fiierelor .......................................................... 50 Figura nr. 7.7 - Comanda compact ....................................................................................... 50 Figura nr. 7.8 - Feresatra pentru montarea discurilor ......................................................... 51 Figura nr. 7.9 Specificarea aciunilor de indexare a fiierelor pe de un disc .................... 52 Figura nr. 7.10 Serviciile de indexare n Windows XP ...................................................... 52 Figura nr. 7.11 Serviciul de indexare n Windows 7 .......................................................... 53 Figura nr. 7.12 Informaii despre sistem n formatul linie de comand............................. 54 Figura nr. 7.13 Fereastra Registry Editor ......................................................................... 55 Figura nr. 7.14 Determinarea corect a tipului unui fiier ............................................... 58 Figura nr. 7.15 Blocarea la scrierea pe dispozitive de stocare ......................................... 59 Figura nr. 8.1- Opiunile unui mesaj electronic n Microsoft Office Outlook ....................... 62 Figura nr. 8.2 Afiarea opiunilor unui mesaj de e-mail n Gmail ..................................... 62 Figura nr. 8.3 Detaliile unui mesaj de e-mail .................................................................... 63 Figura nr. 8.4 Urmrirea mesajelor de pe un server de email Exchange .......................... 65 Figura nr. 8.5 Lista detaliat de mesaje ntre doi utilizatori (Exchange Server) ............... 65 Figura nr. 8.6 Afiarea detaliilor despre un anumit mesaj ................................................ 66 Figura nr. 8.7 Schimbul complet de mesaje ntre doi utilizatori pe un anumit subiect ...... 66 Figura nr. 9.1 Istoricul dispozitivelor amovibile care au fost introduse ntr-un sistem de calcul ............................................................................................................................................... 67 Figura nr. 9.2 Detalii despre un anumit dispozitiv amovibil.............................................. 68 Figura nr. 9.3 Alte detalii despe istoricul dispozitivelor amovibile ................................... 68 Figura nr. 9.4 Utilitarul USBDeview ................................................................................. 68 Figura nr. 9.5 Fiierul jurnal setupapi.log ........................................................................ 69 Figura nr. 9.6 Cheia de registry FriendlyName ................................................................. 69 Figura nr. 9.7 Detalii despre dispozitivele amovibile n USBDeview ................................ 69 Figura nr. 9.8 Proprietile unui fiier nainte de copierea pe un dispozitiv extern .......... 70 Figura nr. 9.9 Proprietile unui fiier dup copierea pe dispozitive externe ................... 71 Figura nr. 10.1 Procesarea evidenelor electronice n FTK .............................................. 80 Figura nr. 12.1 Arhivarea cu 7ZIP .................................................................................... 89 Figura nr. 12.2 - Eroare la rularea executabilului joc.exe ................................................... 90 Figura nr. 12.3 - Semnturile digitale ale fiierelor de tip ZIP i EXE ................................ 91 Figura nr. 12.4 - Semntura digital a unui fiier ZIP a crui numr magic a fost modificat ......................................................................................................................................................... 91 Figura nr. 12.5 - SO Windows vede fiierul ca pe o aplicaie .......................................... 92 109

Figura nr. 12.6 - Modificarea registrilor calculatorului pentru a bloca scrierea stickurilor de memorie ....................................................................................................................................... 94 Figura nr. 12.7 - Calculul valorii MD5 iniiale cu FTK Imager ........................................... 95 Figura nr. 12.8 - Valoare MD5 stick memorie ...................................................................... 95 Figura nr. 12.9 - Valoarea MD5 dup clonare...................................................................... 96 Figura nr. 12.10 - Montarea imaginii cu FTK Imager .......................................................... 97 Figura nr. 13.1 - Fereastra de proprieti a unei categoriei de mesaje Application. .......... 102

110

Bibliografie selectiv
Brian Carrier. File System Forensic Analysis. Addison-Wesley, 2nd edition, June 2005. Dobrinoiu, M., Infraciuni n domeniul informatic, Ed. CH Beck, Bucureti, 2006 Eoghan C., Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, Second Edi tion, Academic Press, 2004 Fundamental Computer Investigation Guide for Windows, microsoft.com/technet/SolutionAccelerators, 2007, (paperback) Hal Berghel, David Hoelzer, and Michael Sthultz. Data Hiding Tactics for Windows and Unix File Systems. http://berghel.net/publications/datahiding/datahiding.php. HPA and DCO. International Journal of Digital Evidence, 5(1), 2006. John Vacca. Computer Forensics: Computer Crime Scene Investigation. Charles River Keith Jones. Forensic Analysis of Internet Explorer Activity Files, http://www.foundstone.com/pdf/wp index dat.pdf. Ken C. Pohlmann, The compact disc: a handbook of theory and use, A-R Editions, Inc., 1989 Matthew Meyers and Marc Rogers. Computer Forensics: The need for Standardization and Certification. International Journal of Digital Evidence, 3(2), 2004. Mayank R. Gupta, Michael D. Hoeschele, and Marcus K. Rogers. Hidden Disk Areas: Media Inc, 2nd edition, 2005. Origins and Successors of the Compact Disc Contributions of Philips to Optical Storage, Series: Philips Research Book Series, Vol. 11 Peek, J.B.H., Bergmans, J.W.M., Haaren, J.A.M.M. van, Toolenaar, F., Stan, S.G., Springer 2009, Toader, T., Codul Penal. Codul de Procedur Penal, Ed. Hamangiu, Bucureti, 2010 Toader, T., Drept penal romn. Partea special, Editia a -3-a, Editura Hamangiu, Bucureti, 2008 Vasiu, I., Vasiu, L., Informatic Judiciar i Drept informatic, Ed. Albastr, Cluj-Napoca, 2007

111