Дигитална форензика

Компјутерска или дигитална форензика означава примену научних метода у циљу идентификације, прикупљања и анализирања података уз очување интегритета оригиналног доказа и ланца надлежности у циљу утврђивања потенцијалних дигиталних доказа. Компјутерска форензика се може дефинисати и као процес прикупљања, очувања, анализе и презентовања дигиталних доказа. Форензички алати омогућују повраћај и анализу обрисаних, скривених и привремених фајлова којима се не може приступити на уобичајени начин. Комплетан систем за прикупљање, анализу и прављење извештаја о доказима прихватљивим за суд као и за опоравак изгубљених података.^[1][2]

Унутрашњост (глава) тврдог диска

Општи појам

Дигитална форензика је примена метода истраге и техника анализе у циљу проналажења погодних доказа за суд на компјутерима. Примена рачунарске науке и математике за поуздано и непристрасно прикупљање, анализу, интерпретацију и презентацију дигиталних доказа. Коришћење научно развијених и проверених метода за чување, сакупљање, валидацију, идентификацију, анализу, интерпретацију, документовање и презентовање дигиталних доказа добијених из дигиталних извора за потребе реконструкције догађаја који је окарактерисан као криминал или као помоћ да се предвиде неауторизоване акције које прете да прекину планиране операције.^[3]

Развој

Дигитални докази

• Прва генерација

Различити алати за преглед слика и докумената, претрагу, опоравак система и израду извештаја.

• Друга генерација

Посебно дизајнирани и развијени форензички алати: EnCase и други.

• Трећа генерација

Мрежне форензике: тренутна, сигурна, ефикасна форензика путем ЛАН-а.^[3]

Подела форензичких алата

Према начину имплементације

• хардверске алате
• програмске (софтверске) алате

Према области употребе

• алате за форензику рачунарске мреже
• алате за форензику рачунарског система
• алате за анализу других дигиталних уређаја (нпр. ПДА, мобилних телефона, итд.)
• алате за форензику софтвера (малициозних кодова)

Према типу кода

• програмске алате отвореног кода
• лиценциране програмске алате

Према платформи на којој раде

• алате који раде на Windows платформи
• алате који раде на линуксу и другим платформама

Према фази процеса који обављају у форензичкој истрази

• алате за прављење стерилних медијума
• алате за прављење физичке копије чврстог диска
• алате за опоравак података
• алате за дешифровање података (разбијање шифара)
• алате за анализу дигиталног материјала
• алате за документовање^[4]

Алати

Програмски алат намењен форензичкој истрази дигиталних доказа фирме . Данас се користи као најнапреднији сигурносни алат, а као стандард су га прихватиле већина водећих компанија и организација у области дигиталне форензике. Омогућава и олакшава судским вештацима и ИТ стручњацима истраживање случајева, аквизицију и анализу доказног материјала и што је свакако најважније за ИТ вештаке јесте да не омогућава измену податак преузетих са корумпираног рачунара.

EnCase се данас испоручује у више варијација, а актуелна верзија осовног алата је 6.0. Старије верзије се могу наћи на интернету док је новија верзија доступна само владиним и образовним институцијама. Занимљиво је да се за аутентификацију свих новијих EnCase верзија користи посебан USB уређај, који представља кључ којим се откључава софтвер.

је један од најстаријих форензичких софтвера. Због графичког интерфејса и рада на оперативним систему постао је веома популаран међу форензичарима. Његов интегрални део, је можда и најпознатији софтверски алат за „бит по бит“ копирање, а који се може скинути и бесплатно са интернета. Слике дискова направљене програма признате су на суду као ваљани докази. Осим тога обједињује све сотале постојеће формате за прављење форензичких копија.^[5]

DriveSpy

Форензички алат за ДОС оперативни систем који је развила компанија . Иако нема развијен графички интерфејс алат је доста популарам међу форензичарима јер је програм величине само 11кб и лако је преносив на свим медијима. Иначе ради се о алату који проширује основе МС-ДОС функције, а садржи све потребно за копирање и испитивање садржаја диска. Додатне функције су и креирање МД5 хеша за копирани диск, партицију или изабране датотеке, сигурно брисање диска.

Алат до скоро није имао подршку за преносиве меморије то јест ДОС ОС их није препознаовао. Ипак последња верзија садржи додатак који покреће управљачке програма и омогућава приступ и рад са USB флеш дисковима, док по речима аутора софтвера, приступ осталим меморијским картицама зависи од произвођача, читача, типа и слично.

је можда најпознатија форензичарска дистрибуција. Своју популарност, између осталог, дугује и томе што је до последње верзије (објављене у марту 2009. године) био потпуно бесплатан. Његова најновија верзија, која се за разлику од претходних, које су се заснивале на дистрибуцији, заснива се на . У најповољнијем облику кошта 239 долара годишње (искључиво за академске институције).

спада у групу софтвера намењених раду директно са ЦД-РОМ медијима. Без обзира о којој се основној верзији ради, је модификован на начин да никад не користи свап партицију и да препознаје скоро све могуће фајл системе. Важна функционалност дистрибуције је и могућност покретања у облику самосталне апликације на оперативним системима. При томе су расположиви различити алати намењени у форензичке сврхе. Том функционалношћу је раздељен у програм који анализира подигнуте системе и оперативни систем који се самостално подиже.

је популаран производ за виртуелизацију ( је актуелна верзија) који омогућава креирање псеудо рачунара и псеудо мрежа, који за све користе хардвер једног система. Ова могућност има многе предности. На пример, може се подесити као гост оперативни систем, инсталирати потребни форензички алати, од њега направити слика система, радити на њему, а по потреби увек довести у преконфигурисано стање. Са њега је могуће, извршити све врсте испитивања, укључујући инсталирање и праћење штетних програма, понављање сигурносног инцидента..

Када су у питању преносиве меморије, нуди опцију да уређај уопште нема контакт са рачунаром домаћином. Практично, уколико корисник то жели, ће, ако је инсталиран на оперативном систему компаније , блокирати сваку везу између уређаја и тог оперативног система. Ипак, иако произвођачи тврде да нема икаквих шанси да дође до контакта, треба применити заштиту на оперативном систему са којег се подиже станица.^[6]

Остали алати

Prenosivi forenzički alat

У данашњем, развијеном, тржишту велики је број компанија који покушавају мање или више успешно да се нађу међу онима које производе форензичке софтверске алате. Велики је број оних алата који се баве само прављењем форензичких копија, јер то и није велики програмерски задатак, а код бројних алата, може се наћи на интернету. Најчешће, једина предност ових алата је лепши, интиутивнији графички интерфејс који и почетницима омогућава рад. Међу овим најпознатији алати, који раде и са преносивим меморијама су^[7]:

• Forensic Replicator
• Norton Ghost,
• SafeBack
• SMART
• WinHex
• ProDiscover
• Deft
• Caine

Види још

• EnCase

Референце

1. Various (2009). Eoghan Casey, ур. Handbook of Digital Forensics and Investigation. Academic Press. стр. 567. ISBN 978-0-12-374267-4. Приступљено 27. 8. 2010.
2. Reith, M; Carr, C; Gunsch, G (2002). „An examination of digital forensic models”. International Journal of Digital Evidence. Приступљено 2. 8. 2010.
3. „Сајт предмета Пословни информациони системи”. Архивирано из оригинала 06. 05. 2012. г. Приступљено 24. 04. 2012.
4. „”. Архивирано из оригинала 09. 06. 2010. г. Приступљено 24. 04. 2012.
5. „”. Архивирано из оригинала 19. 11. 2010. г. Приступљено 24. 04. 2012.
6. „”. Архивирано из оригинала 13. 03. 2016. г. Приступљено 24. 04. 2012.
7. „ Мастер радови”. Архивирано из оригинала 01. 02. 2012. г. Приступљено 24. 04. 2012.

Литература

• Carrier, Brian D. (фебруар 2006). „Risks of live digital forensic analysis”. Communications of the ACM. 49 (2): 56—61. ISSN 0001-0782. doi:10.1145/1113034.1113069. Приступљено 31. 8. 2010.
• Kanellis, Panagiotis. Digital crime and forensic science in cyberspace. IGI Publishing. стр. 357—. ISBN 978-1-59140-873-4.
• Jones, Andrew (2008). Building a Digital Forensic Laboratory. Butterworth-Heinemann. стр. 312—. ISBN 978-1-85617-510-4.
• Marshell, Angus M. (2008). Digital forensics: digital evidence in criminal investigation. Wiley-Blackwell. стр. 148—. ISBN 978-0-470-51775-8.
• „Timeline of computer forensics”.

Спољашње везе

• Архивирано на сајту (25. април 2012)