19th Telecommunications forum TELFOR 2011
Digitalna forenzika Cloud okruženja
Igor Franc, 0ODGHQ9HLQRYLü
 HD (Hard Drives), fajl sistema i drugih medijuma i
Sadržaj — Digitalna forenzika i Cloud su dva pojma koja
su u poslednje vreme vrlo popularna. Svedoci smo da su i
velike kompanije kao što su Microsoft i Google razvili svoje
Cloud usluge. MeÿXWLPMRãXYHNQLVXUD]YLMHQLIRUHQ]LþNL
alati za prikupljanje podataka iz Cloud-a.U ovom radu su
UD]PRWUHQHPRJXüQRVWLLRJUDQLþHQMDXSULPHQLSRVWRMHüLK
alata digitalne forenzike u Cloud okruženju. Izloženi su
problemi do kojih se došlo u primeni alata kao i preporuke za
dalji rad.
KOMXþQHUHþL — Digitalna forenzika, cloud, digitalni dokaz,
IRUHQ]LþNLDODWL6QRUW1HW)ORZ.
I. UVOD
Z bog ekonomske krize i pada investicija u oblasti IT-a
VYHYLãHRUJDQL]DFLMDSRþLQMHGDNRULVWLXVOXJH&ORXG-
a. Do sada je bilo neophodno ulagati novac u kupovinu
Serbia, Belgrade, November 22-24, 2011.
SURVWRUD ]D VNODGLãWHQMH SRGDWDND X UDþXQDUVNRP VLVWHPX
WDNR GD VH SRGDFL PRJX NRULVWLWL NDR þYUVWL L QHRERULYL
dokazi pred sudom [1]
A. Digitalni dokazi
Prema definiciji IOCE (International Organization of
Computer Evidence) XREODVWLIRUHQ]LþNLKQDXNDdigitalni
dokaz je svaka informacija u digitalnom obliku koja ima
GRND]XMXüX LOL RVOREDÿDMXüX YUHGQRVW LOL YUHGQRVW
osnovane sumnje i koja je, ili uskladištena, ili prenesena u
WDNYRP REOLNX >@ %LWQR MH LVWDüL GD WUHED GD SRVWRMH
SURFHGXUH UXNRYDQMD L þXYDQMD NDR L SURFHGXUH ]D
DNYL]LFLMX L DQDOL]X GLJLWDOQLK GRND]D VD þYUVWRJ GLVND L
drugih medijuma, odnosno, nisu dozvoljeni izmene,
manipulisanja LOL RãWHüHQMD SRGDWDND QL X MHGQRP NRUDNX
istrage [3]
UDþXQDUVNH RSUHPH KDUGYHUD LOMXGLDGPLQLVWUDWRUDNRML
UDGHQDRGUåDYDQMX0HÿXWLPSRMDYRPXVOXJHUDþXQDUVWYD Digitalni dokazi po tipu mogu biti: [4]
u oblaku (cloud computing QDVWXSLOH VX GUDVWLþQH x2SWXåXMXüL SRYH]XMX RVXPQMLþHQRJ VD NULYLþQLP
promene. Danas je dovoljno pretplatiti se kod nekod od delom)
Cloud provajdera usluga i zakupiti potreban hardver za x2VOREDÿDMXüL GRND]XMX GD RVXPQMLþHQL QLMH
NRML SURYDMGHU JDUDQWXMH GD üH UDGLWL .OLMHQW ]DNXSOMXMH XPHãDQXNRQNUHWQRNULYLþQRGHOR
UDþXQDUVNH UHVXUVH NRMH SODüD QD PHVHþQRP LOL JRGLãQMHP x8ND]XMX QD RGUHÿHQX VXPQMX GD postoji veza
niovu i samim time prestaje potreba za administratorima
koji bi se bavili održavanjHP 7DNRÿH ELWQD VWYDU MHVWH L
backup-a podataka o kome se do sada moralo voditi
UDþXQD D VDGD MH SRWSLVLYDQMHP XJRYRUD VD &ORXG
SURYDMGHURPLWDMGHRSRVODSUHEDþHQL]YDQRUJDQL]DFLMH
6D VWDQRYLãWD GLJLWDOQH IRUHQ]LþNH LVWUDJH YLUWXDOL]RYDQR
okruženje LPD VYRMH VSHFLILþQRVWL =DKWHYDMX VH SRVHEQL
alati i tehnike koji još uvek nisu razvijeni. U ovom radu
UD]PRWUHQD MH PRJXüQRVW NRULãüHQMD GRVWXSQLK DODWD L
tehnika digitalne forenzike za prikupljanje podataka iz
Cloud okruženja.
II. DIGITALNA FORENZIKA
Digitalna forenzika je nauka koja ima za cilj
SULNXSOMDQMH þXYDQMH SURQDODåHQMH DQDOL]X L
dokumentovanje digitalnih dokaza odnosno podataka koji
VX VNODGLãWHQL REUDÿLYDQL LOL SUHQRãHQL X GLJLWDOQRP
obliku. 'LJLWDOQD IRUHQ]LND UDþXQDUVNRJ VLVWHPD REXKYDWD
nDXþQR LVSLWLYDQMH L DQDOL]X SRGDWDND L] þYUVWLK GLVNRYD -
Igor Franc, Univerzitet Singidunum u Beogradu, Danijelova 29/32,
11000 Beograd, Srbija (telefon: 381-64-3579397, e-mail:
ifranc@singidunum.rs )
Mladen Veinoviü Univerzitet Singidunum u Beogradu, Danijelova
29/32, 11000 Beograd, Srbija (telefon: 381-63-1013391, e-mail:
mveinovic@singidunum.rs ).
978-1-4577-1500-6/11/$26.00 ©2011 IEEE
L]PHÿXNULYLþQRJGHODLRVXPQMLþHQRJ
U kompjuterskom incidentu postoje tri osnovne
kategorije digitalnih podataka koji mogu þLQiti digitalni
dokaz:
TABELA 1: TRI OSNOVNE KATEGORIJE DIGITALNIH PODATAKA
Promenljivi podaci ili informacije koje se gube nakon
LVNOMXþLYDQMD UDþXQDUD NDR ãWR VX SRGDFL X radnoj
memoriji (RAM), rezidentni memorijski programi itd.
Osetljivi podaci ili podaci uskladišteni na þYUVWRPGLVNX
(HD) koji se lako mogu izmeniti, kao što je, npr.
poslednje vreme pristupa log datoteci itd.
Privremeno dostupni podaci, ili podaci uskladišteni na
+' NRMLPD VH PRåH SULVWXSLWL VDPR X RGUHÿHQR YUHPH
(npr. šifrovani podaci).
B. )RUHQ]LþNLDODWL
Ranih 90-tih razvijeni su prvi alati za istragu i
ispitivanje digitalnih podataka. IACIS (Information
Association of Computer Investigative Specialists)
RUJDQL]XMHREXNX]DGLJLWDOQXIRUHQ]LþNXLVWUDJX>5]
%URMQLVDYUHPHQLIRUHQ]LþNLDODWLNRULVWHVHLVWRYUHPHQR
i za akviziciju i analizu digitalnih podataka. Dele se u
kategoriju hardverskih i sofverskih alata.
1438
 )RUPDWL L IXQNFLRQDOQRVWL UHOHYDQWQLK IRUHQ]LþNLK DODWD
mogu varirati, pa ih je potrebno testirati na NIST zahteve
]DIRUHQ]LþNHDODWH [6@)RUHQ]LþNLDODWLVHPRJXSRGHOOLWLX
dve kategorije, hardverske alate i softverske alate.

TABELA 2: HARDVERSKI I SOFTVERSKI ALATI

Hardverski alati Softverski alati
blokatori upisivanja aplikacije komandne linije
SafeBack, dd
razni adapteri GUI (Graphics User Interface)
aplikacije EnCase, FTK, X-
Ways Forensic, iLook
CD/DVD diskovi za Sl. 2. Tri osnovna nivoa Cloud servisa
akviziciju
6&6,GLVNRYLLRSWLþNL
kanali B. Vrste Cloud-a
Na osnovu tipa korisnika Cloud se može kategorizovati
6RIWYHUVNL IRUHQ]LþNL DODWL VH PRJX RJUDQLþHQR NRULVWLWL XVOHGHüHNDWHJRULMH [7]
X YLUWXDOQRP L FORXG RNUXåHQMX GRN MH NRULãüHQMH • Privatni “oblak”. Kompletna infrastruktura je
KDUGYHUVNLK DODWD X SRWSXQRVWL QHPRJXüH ]ERJ pRG NRQWURORP LVNOMXþLYR MHGQH RUJDQL]DFLMH 0RåH
QHPRJXüQRVWLIL]LþNRPSULVWXSXKDUGYHUXUDþXQDUD se nalaziti na istoj ili izdvojenoj lokaciji.
• “Oblak” zajednice. Infrastrukturu deli nekoliko
RUJDQL]DFLMD UDGL SUXåDQMD SRGUãNH VSHFLILþQRM
III. R$ý81$5679282%/$.8
]DMHGQLFL UDGL LVSXQMHQMD ]DMHGQLþNLK ]DKWHYD
(tajnost i bezbednost, ispunjenje standarda, itd.)
Ä5DþXQDUVWYR X REODNX³ HQJO FORXG FRPSXWLQJ MH
UHODWLYQR QRY SRMDP NRML R]QDþDYD ,7 LQIUDVWUXNWXUX VD
GLQDPLþNLP GHOMHQLP UHVXUVLPD (virtualizovanim) i
SRQXÿHQLPNRULVQLFLPDXYLGXXVOXJD [7]. Termin „oblak“
predstavlja metaforu za Internet (zasnovanu na
XRELþDMHQRP SUHGVWDYOMDQMX :HED X YLGX REODND QD
• Javni “oblak”. Infrastruktura je stavljena na
raspolaganje javnosti ili velikom broju kompanija ili
industrija, u vlasništvu je jedne organizacije koja
SURGDMHVHUYLVHNRULãüHQMD³REODND´
• Hibridni “oblak”. Pretstavlja kombinaciju dva ili
više navedenih vrsta oblaka (javnog i privatnog).
GLMDJUDPLPDNRMLSULND]XMXUDþXQDUVNXPUHåXLDSVWUDNFLMX
njegove složene infrastrukture [8].

Sl. 1. Cloud arhitektura Sl. 3. Vrste Cloud-a

C. Istorija Cloud-a
A. Nivoi servisa 3HWNOMXFQLKGRJDÿDMDYH]DQLK]DUD]YRMFORXG-a [10]
Postoje tri osnovna nivoa servise Cloud-a: [9] x Amazon Web Services in July 2002 – informacije
su postalo na ovaj QDþLQ dostupne putem web servisa
x IaaS – Infrastruktura kao servis Amazon partnerima i ovo je bio uvod u S3
x PaaS – Platforma kao servis x S3 Launches in March 2006 – uveden je novi
x SaaS – Softver kao servis
modl SODüDQMD 'pay-per-use'
x EC2 Launches in August 2006 – kompletna
cloud infrastruktura je postala dostupna
x Launch of Google App Engine in April 2008 –
radikalna promena modela SODüDQMD sa besplatnim

1439
 ulazom i ekstremno niskom cenom UDþXQDUD i
skladištenja podataka
x Windows Azure launches Beta in Nov 2009 –
ulazak Microsoft-a u Cloud Computing predstavlja
jasan pokazatelj rasta servisa
SUDYLOD 6DPLP WLP X QMHPX VH PRJX SURQDüL GLJLWDOQL
dokazi.
7UHüD WHKQLND MHVX 1HW)ORZ DSOLNDFLMH DOL MH RYR
RJUDQLþHQR LVNOMXþLYR QD XUHÿDMH NRML SRGUåDYDMX RYDM
protokol. NetFlow je tehnologija implementirana od strane
kompanije Cisco koja služi za prikupljanje i
Sl. 4. Provajderi Cloud okruženja
IV. FORENZIKA U CLOUD OKRUŽENJU
Ovaj deo rada predstavlja rezultate testiranja trenutno
dostupnih alata digitalne forenzike na Cloud okruženje
L]YRUQR QLVX UD]YLMHQL ]D NRULãüHQMH X &ORXG-u).
3ULND]DQH VX PRJXüQRVWL ]D SULNXSOMDQMH L L]YUãHQD MH
analiza SRGDWDNDGRNRMLKVHPRåHGRüL
,]&ORXGRNUXåHQMDPRJXüHMHSULNXSLWLVOHGHüHSRGDWNH
[12]
x Video snimak, šta je prisutno
x Uzimanje snapshot-a dokaza
x 3ULNXSOMDQMH SRGDWDND ORJLþNRP DNYL]LFLMRP DNR
ne postoji pristup Cloud-XNDRORJLþNRPGUDMYX
x KompletLUDQMH GRNXPHQWDFLMH R NRULãüHQRP
procesu akvizicije podataka.
A. Pet efikasnih tehnika za prikupljanje dokaza iz
Cloud okruženja
Na osnovu istraživanja i testiranja dostupnih alata i
tehnika izdvojene su one koje se mogu primeniti u Cloud
okruženju. Jedna od najefikasnijih tehnika prikupljanja
podataka iz Cloud-DMHKYDWDQMHPUHåQRJVDREUDüDMD
x DHCP Logs
x tcpdump/WinDump
x Wireshark – content sniffer
x Fiddler – web sesion data
x Firewalls - connections
Druga tehnika jeste IDS (Intrusion Detection System)
kao što je na primer Snort. Snort je open-source network-
based intrusion detection system (NIDS) koji se može vrlo
HILNDVQR NRULVWLWL X GLJLWDOQRM IRUHQ]LþNRM LVWUD]L >2].
Njegova osnovna namena jeste monitoring mreže i
detektovanje malignih aktivnosti ili NUãHQMD RGUHÿHQLK
1440
NDWHJRUL]RYDQMH ,QWHUQHW 3URWRFRO ,3 VDREUDüDMD NRML VH
RGYLMD QD PUHåQLP XUHÿDMLPD NRML SRGUåDYDMX RYX
tehnologiju [13].
1DRYDMQDþLQPRJXVHSULNXSLWLVOHGHüLSRGDFL
x Source IP address
x Destination IP address
x Source port number
x Destination port number
x IP
x Type-of-service (ToS) byte
x Input logical interface
ýHWYUWD WHKQLND NRMD MH X SRWSXQRVWL SULPHQOMLYD MHVWH
analiza log fajlovi koji mogu biti koristan izvor podataka o
GRJDÿDMLPD QD UDþXQDUX %URMQH DSOLNDFLMH NUHLUDMX Vvoje
log fajlove, bilo kao deo procesa instalacije, ili pri prvom
aktiviranju [14]. Na primer, Windows XP pri instalaciji
kreira oko 135 log fajlova, ili osnovnih tekst fajlova koji
rade kao log fajlovi. Log fajlovi mogu sadržavati vrlo
relevantne podatke, kao što su: trenutak (vreme) prve
instalacije aplikacije, kada je poslednji put pokrenuta, kako
je podešena i koju je akciju imala u toku poslednjeg
aktiviranja. =QDþLDQDOL]RPORJIDMORYDPRJXüHMHSURQDüL
digitalni dokaz.
Peta tehnika jesu rutkit alati i zadnja vrata (Backdoors).
[11] 3UHGVWDYOMDMXMHGDQRGQDMþHãüHNRULãüHQLKKDNHUVNLK
DODWD ]D SURGRU X UDþXQDUVNH VLVWHPH NRML VH NRULVWH ]D
VOHGHüHIXQNFLMH
xVSUHþLWLORJRYDQMHDNWLYQRVWL
xuspostaviti zadnja vrata za ponovljeni ulaz,
xsakriti ili ukloniti dokaz o inicijalnom ulazu,
xVDNULWLVSHFLILþQHVDGUåDMHIDMORYD
xsakriti fajlove i direktorijume,
xVDNXSLWL LQIRUPDFLMH QSU NRULVQLþND LPHQD L
pasvorde.
Samo prisustvo ovakvih alata ili eventualni tragovi da su
oni bili instalirani predstavljaju bitan dokaz u digitalnoj
IRUHQ]LþNRMLVWUD]L
B. 0RJXüLSUREOHPLSULOLNRPSULNXSOMDQMDSRGDWDNDL]
Cloud-a
3ULOLNRP DNYL]LFLMH SRGDWDND SRVWRMHüLP IRUHQ]LþNLP
DODWLPDPRJXVHSRMDYLWLVOHGHüLSUREOHPL
x 1H SRVWRML JDUDQFLMD GD IRUHQ]LþNL UDþXQDU QLMH
kompromitovan posle pristupa Cloud-u i
SUHX]LPDQMD SRGDWDND3RVWRMLIRUHQ]LþNDSUDNVDGD
VH QLNDGD IRUHQ]LþND UDGQD VWDQLFD QH SRYH]XMH QD
,QWHUQHWãWRMHXRYRPVOXþDMXSRWSXQRQHPRJXüH
x 1HPRåHVHYHURYDWLGDSULND]X:HESUHWUDåLYDþX
odslikava pravo stanje informacija u Cloud-u i
potrebno je razviti neki univerzalni fajl explorer.
 x Ne postoji garancija da prikazani podaci mogu da
se preuzmu zbog problema sa pristupom. Kod
UDþXQDUD VD YHOLNRP NROLþLQRP SRGDWDND RYDM
[1]
SUREOHP MH L]UDåHQ L PRUD VH QD QHNL QDþLQ
preuzimati samo filtrirani sadržaj.
x &ORXGVHUYHULPRJXGDWLUD]OLþLWSULND]SRGDWDNDL] [2]
SUHWUDåLYDþD]DUD]OLþLWHNRULVQLNHNRMLVHORJXMXQD [3]
SULPHU $PD]RQ SULND]XMH SRWSXQR GUXJDþLMX
SRþHWQX VWUDQX VYDNRP NRULVQLNX UD]OLþLWH
[4]
lokacije...) i potrebno je kreirati poseban pogled za
IRUHQ]LþDUH [5]
V. Z$./-8ý$. [6]
8 RYRP UDGX VX UD]PRWUHQH PRJXüQRVWL SULNXSOMDQMD
LITERATURA
http://www.fbi.gov/about-us/lab/forensic-science-
communications/fsc/oct2000/
IOCE, IOCE Princips & Definitions, IOCE 2. Conference, London,
7. 10. 1999.
Pettinari D., Cmdr., Handling Digital Evidence from Seizure to
Court Presentation, IOCE conference, juni 2000.B. Smith,
“Unpublished work style,” unpublished.
0LODQ0LORVDYOMHYLü*RMNR*UXERUDigitalna forenzika
UDþXQDUVNRJVLVWHPDUniverzitet Singidunum 2009.
http://www.iacis.org/
National Policing Improvement Agency, Core Skills in Data
Recovery & AnalysisCourse Reference Book V2.01, Bradford, UK,
maj 2007.
DNYL]LFLMRP SRGDWDND L] &ORXG RNUXåHQMD X] SRPRü
trenutno dostupnih alata i tehnika digitalne forenzike. Na
RVQRYX LVNXVWYD , SURXþDYDQMD OLWHUDWXUH ]DNOMXþuje se da
YHüLQD DODWD NRMD VH PRåH NRULVWLWL SURLVWLþH L] GRPHQD
,QWHUQHW L PUHåQH IRUHQ]LNH %LWQR MH LVWDüL GD VH RYLP
DODWLPD PRåH SULNXSLWL RGUHÿHQD NROLþLQD SRGDWDNDDOLGD
je ipak neophodno razviti specijalizovane alate za ovu
namenu. Trend je takaY GD üH VH VYH YLãH ]ORXSRWUHED
dešavati u virtualnim i cloud okruženjima. U raduje dat
prikaz problema koji se mogu javiti prilikom prikupljanja
digitalnih dokaza iz Cloud okruženja, a koje je neophodno
GD VYDNL IRUHQ]LþDU SR]QDMH 2QR ãWR MH KLWQR SRWUHbno
uraditi jeste razvoj novih alata NRML üH PRüL GD SULNXSH
podatkH VD YLUWXDOQLK UDþXQDUD i iz Cloud okruženja. U tu
svrhu potrebno je definisati nove standarde i uspostviti
neophodnu saradnju meÿu državama i izvršiti
uskladjivanje zakonskih akata.
1441
[7] http://en.wikipedia.org/wiki/Cloud_computing
[8] Clint P. Garrison, Digital Forensics for Network, Internet, and
Cloud Computing, Syngress 2010
[9] http://www.techno-pulse.com/2011/06/cloud-service-models-saas-
paas-iaas.html
[10] http://architects.dzone.com/news/5-key-events-history-
cloud?utm_source=feedburner&utm_medium=feed&utm_campaig
n=Feed%3A+zones%2Fdotnet+(.NET+Zone)
[11] http://www.windowsecurity.com/articles/hidden_backdoors_trojan
_horses_and_rootkit_tools_in_a_windows_environment.html
[12] http://www.snort.org/
[13] http://www.cisco.com/en/US/products/ps6601/products_ios_protoc
ol_group_home.html
[14] http://www.brickmarketing.com/define-log-file.htm
ABSTRACT
Digital Forensics and Cloud are two concepts that are
very popular. We are witnessing that even big companies
like Microsoft and Google have developed their own cloud
services. But not yet developed tools for collecting
forensic data from the cloud. This work is an attempt to
using existing tools to collect data from the cloud. The
paper discusses the problems that have been reached in the
application of tools and recommendations on what to do.
DIGITAL FORENSICS COMPUTING IN THE CLOUD
Igor Franc, Mladen Veinoviü