DIGITALNA FORENZIKA

prof. dr Saša Adamović

sadamovic@singidunum.ac.rs
 Cilj predmeta
• Razumevnje forenzičkih tehnika i procedura.
• Fokus na korišćenje forenzičkih tehnika u službi
računarske bezbednosti za pomoć u rešavanju
incidenata.
• Primena forenzičkih tehnika u drugim situacijama.
• Najnoviji trendovi u digitalnoj forenzici
 Značaj digitalne forenzike
• U poslednjoj deceniji broj krivičnih dela koja uključuju
računare je porastao.
• Pomaganje sprovođenja zakona u korišćenju računarski
zasnovanih dokaza da se utvrdi ko, šta, gde, kada i kako?
• Rezultat svega ovga je digitalni dokaz relevantan pred sudom.
• Razvoj velikog broj alata za sprovođenje forenzičkog procesa.
• Forenzički alati mogu biti upotrebljeni i za druge svrhe:
– monitoring ili nadzor (vođenje dnevnika, identifikovanje i
nepoštovanje pravila, revizija i drugo).
– oporavak podataka (slučajno izmenjeni, izbrisani, izgubljeni
podaci)
– prikupljanje podataka (napuštanje organizacije, dolazak novog
zaposlenog zahteva kopiranje svih sadržaja sa radne jedinice
zarad potencijalne upotrebe u budućnosti)
Popularnost tema u oblasti
digitalne forenzike
Zastupljenost forenzičkih
istraga prema izvoru
 Broj istraga Northumbria policajski
region 1998–2013
U 2012., tim CART
(odeljenje za pomoć
FBI) obavilo 133,000
digitalnih istraga,
analizirano više od
10.500 terabajta
podataka.
 Ontologija

Digitalna forenzika

Tehnologija Profesija

Hardver Softver Pravosuđe Akademija

Uređaji za Privatni
Računari Alati za DF OS Vojska
skladištenje sektor

Fajl sistemi
 Uvod
• Svaki aspekt nauke koji se odnosi na pravosudni
sistem (zakon).
• Forensis (lat.)- ispred foruma
• Forensic (eng.) - sudski
• Forenzičke nauke možemo da definišemo kao
primenu nauke na zakon.
• Digitalna forenzika je poznata kao:
– kompjuterska forenzika (engl. Computer forensic).
– mrežna forenzika (engl. Network forensic).
• Mada postoje i druge definicije.
• Generalno, smatra se kao primena nauke u:
 Identifikaciji,
 Prikupljanju,
 Ispitivanju,
 i analizi poodataka (sa zaštitom integriteta).
 Čuvanje i prenos podataka
• Podaci mogu biti različiti digitalni
informacioni sadržaji, struktuirani u
specifičnom formatu.
• Poslovne organizacije dobijaju
ogromne količine podataka iz različitih
izvora.
• Na primer:
– podaci se mogu čuvati ili preneti
standardnim računarskim sistemima,
– umrežavanjem računarske opreme,
– kompjuterskim periferijama (štampač,
skener, projektor),
– PDA uređaji,
– potrošačka elektronika (čitači kartica,
biometrijski skener, token),
– drugi tipovi medija…
 Tehnike za sprovođenje digitalne
forenzike
• Zbog raznovrsnosti izvora podataka, digitalne
forenzičke tehnike mogu da se koriste u razne svrhe:
– istraga zločina i kršenje unutrašnje politike,
– rekonstrukcija računarskog incidenta,
– rešavanje problema operativnih problema,
– oporavljanje slučajno oštećenih sistema.
• Praktično, svaka organizacija treba da ume da korsisti
tehnike digitalne forenzike.
• Bez poznavanja ovih tehnika, organizacije će se
susresti sa teškoćama tipa:
– određivanje incidentnog događaja u sistemu,
– određivanje incidentnog događaja na mreži,
– kompromitovanje zaštićenih podataka.
 Proces sprovođenja digitalne
forenzike

• Obuhvata sledeće faze:

– prikupljanje,
– ispitivanje,
– analiza,
– izveštavanje.
 Prikupljanje podataka
• Predstavlja:
– identifikovanje,
– obeležavanje,
– snimanje,
– prikupljanje podataka (iz mogućih
izvora relevantnih podataka, sa
nastojanjem očuvanja integirteta
podataka)
 Ispitivanje podataka
• Predstavlja:
o forenzička obrada prikupljenih
podataka pomoću:
 automatskih metoda
 ručnih metoda
o kao i ocenjivanje i vođenje
podataka od posebnog interesa.
 Analiza podataka

• Predstavlja:
– analizu rezultata ispitivanja
upotrebom pravno dozvoljenih
metoda i tehnika,
– pronalazak korisne informacije
za podsticaj daljeg prikupljanja i
saslušanja;
 Izveštavanje forenzičkog
procesa
• Predstavlja:
– izveštavanje o rezultatima analize,
– opisivanje korišćenih akcija,
– objašnjavanje kako su izabrani alati i
procedure,
– predlaganje budućih akcija (pregled
dodatnih izvora, identifikacija slabosti,
poboljšanje postojeće bezbednosne
politike),
– davanje preporuka za unapređenje
(politike, procedura, alata i drugih
aspekata forenzičkog procesa)
 Izvori podataka
• Slede četiri glavne kategorije izvora
podatka:
– datoteke,
– operativni sistemi,
– mrežni saobraćaj,
– aplikacije,
– kombinovani izvori.
• Zbog karakteristike navedenih izvora
podataka, postoje specifičnosti za svaku od
faza forenzičkog procesa (prikupljanje,
ispitivanje i analiza podataka).
• Peta kategorija je istovremeno korišćenje
više izvora podataka, radi boljeg
razumevanja događaja.
 Preporuke za organizacije
• Svaka organizacija treba da:
– upodobi svoj sistem forenzičkoj istrazi (redovno
obavlja monitoring, kontroliše sprovođenje procdura)
u skladu sa zakonom;
– stvara i održava procedure i smernice za obavljanje
forenezičkih poslova sa važećim zakonima i
propisima;
– osigura da njihova politika i procedure podržavaju
razumno i adekvatno korišćenje forenzičkih alata;
– da edukuje stručnjake iz IT centra, da budu sposobni
da učestvuju u forenzičkoj istrazi;
 Aktuelne teme
• Amazon Cloud Drive forensic analysis
• Cloud forensics: Technical challenges, solutions and comparative analysis
• An investigation of anonymous and spoof SMS resources used for the
purposes of cyberstalking
• Time is on my side: Steganography in filesystem metadata
• Forensic analysis of WeChat on Android smartphones
• Modern windows hibernation file analysis
• Forensic analysis of Telegram Messenger for Windows Phone
• Forensic analysis of Telegram Messenger on Android smartphones
• Linux memory forensics: Dissecting the user space process heap
• Identifying offenders on Twitter: A law enforcement practitioner guide
• How to decrypt PIN-Based encrypted backup data of Samsung
smartphones
Source: https://www.journals.elsevier.com/digital-investigation