Forenzika

Tehniki i socijalni aspekti

Aco Dmitrovi

to je forenzika?
Raunalna forenzika, computer forensics Istraga koja nastoji otkriti to se dogodilo na raunalnom sustavu Prikupljanje tragova Istraga i analiza Izvjetaj o rezultatima Sudski proces?
2

Definicije
Sigurnosni dogaaj Sigurnosni incident

Hakeri, crackeri
hackeri, crackeri, scriptie kidz, kriminalci Trend profesionalizacije i kriminalizacije Sve manje hobista, mladenakog dokazivanja Prodaja izvornog koda exploita, virusa Prodaja botneta, mree zombija Prodaja informacija prikupljenih na mrei, s provaljenih raunala
4

Forenzika kakvu ne elite

Policija kuca na vrata s nalogom Trai dokaze da je poinjena kriminalna radnja Ako ih nae, peati raunala i odlazi po sudski nalog za zapljenu opreme Istraga i sudski proces mogu biti dugotrajni
5

Dokazi
Zaplijenjena oprema je sudski dokazni materijal Osim raunala, plijene
medije (CD-ove, vanjske diskove, diskete, USB memorije) Dokumente, papire iz pisaa itd.

Povod
Na dojavu, ili u sklopu (meunarodne) istrage Najei povod:
Djeja pornografija Krenje autorskih prava Provale izvrene s raunala tvrtke
7

Interna istraga
Naruuje je organizacija koja ima probleme Da se ustanovi to se dogodilo i sprijei ponavljanje Mogu je obaviti domai ljudi Ali se najee naruuje od vanjske tvrtke
Objektivnost, nema sukoba interesa
8

Pravilo br. 1
Sauvati integritet dokaza, ne kompromitirati mjesto zloina to manje intervencija i izmjena, da se ne poremete dokazi Na pr.
prikljuivanje USB diska na Windowsima izaziva izmjenu u Registry-ju ls na Unixu mijenja access time
9

Dilema
Konfliktni ciljevi: to prije vratiti raunala u produkciju Ustanoviti to se dogodilo
Poduzeti mjere da se smanji rizik od ponavljanja incidenta

10

Gasiti ili ne?

Shutdown poisti se memorija, swap, nestanu programi koji su se izvravali Prekid napajanja: ostaje swap, privremene datoteke, gube se procesi

11

Produkcija
Naruitelj moe zahtijevati da raunalo ostane u produkciji Kopiranje bit-po-bit
memorije cijelog sadraja diska pokretnih medija (diskete, CD, USB flash)

12

Nulto stanje
Preslike se digitalno potpiu, napravi se hash (na pr. MD5) Sastavi se zapisnik, koji potpie nekoliko svjedoka Hash se prepie s ekrana, svjedoci potpisom potvrde da je vrijednost u zapisniku identina onoj na ekranu

13

Istraga
Istraga se obavi na miru u labu Forenzikim alatima pretrauju se preslike Svaki zahvat i nalaz zapisuje se
Najbolje odmah

Na kraju se pie zapisnik o istrazi Treba biti oprezan i precizan, tono navesti sve radnje i nalaze Izbjegavati nagaanja, drati se injenica
14

Sud?
Mogue je da e se rezultati istrage koristiti u internom, stegovnom postupku Ili kao dokazni materijal u sudskom procesu Forenziar ima status vjetaka Moe oekivati napade branitelja, kojem je dovoljno posijati sumnju u dokaze
Reasonable doubt
15

Forenziki alati
Da bi se dokazi odrali na sudu, koriste se certificirani forenziki alati Komercijalni freeware na pr. Heelix,
16

Timski rad
Istraga se esto obavlja u paru Kolega moe potvrditi navode Snimanje!
video zapis fotografiranje ekrana

Jedan se koncentrira na raunalo Drugi na ljude, materijale koji se mogu nai u okolini Dokazi mogu biti i na Internetu
17

Oprez
Na licu mjesta ne govoriti nita ako u to niste sigurni Sprijeiti glasine Igra pokvarenih telefona Lokalni ljudi mogu izgledati kooperativni, ali moda prikrivaju dokaze, navode na krivi put
18

Krivi tragovi
Crackeri poznaju forenzike metode Ostavljaju pogrene tragove Gubi se vrijeme, promaknu pravi dokazi

19

Analiza
Opis sustava Timeline
Tragovi u logovima mogu ukazati na vrijeme provale Vrijeme kreiranja, izmjena datoteka ctime, mtime, atime

Analiza medija ovisno o OS-u

Windows, Linux
20

Analiza
Povrat podataka (Data recovery)
obrisane datoteke swap

Privremeni podaci (Volatile data)

memorija procesi mrene konekcije

Traenje kljunih rijei (String/keyword search)

21

Poinitelj
Vanjski napada Lokalni igra
zlonamjeran nemaran, glup

Vanjski uz pomo iznutra

22

Izvjetaj
Informacije prikupljene analizom
Dokazi koji potvruju pretpostavku Dokazi koji opovrgavaju pretpostavku Vjerojatnost?

Nalazi i zakljuci
Koji bi se mogli odrati na sudu
23

Zakljuak
Forenziku istragu uvijek treba provesti profesionalno Nije bitno hoe li dokazi biti koriteni u procesu, sudskom ili disciplinskom Forenziar treba biti upoznat sa zakonima i sudskom praksom
razlike USA - EU
24