際際滷

際際滷Share a Scribd company logo

2013 obrada digitalnih dokaza

Damir Delija
Damir Delija

short ppt on digital evidence

1 of 24
Downloaded 23 times
sigurnost integrirana Digitalni dokazi Damir Delija, dr. sc. E.E.
皆温糸姻転温逮 2 Priroda digitalnih dokaza Principi istraga raunalne forenzike Uloga first respondera Metodologija forenzikih istraga
Raunala, podaci i zloini 4 Raunalni kriminal Bilo koje kriminalno djelo koje ukljuuje raunalnu i ostalu elektronsku opremu Tri kategorije Raunalo je CILJ napada i/ili incidenta Raunalo je SREDSTVO napada i/ili incidenta Obavezno kori邸tenje i zloporaba IT opreme (npr. hakiranje drugih IT sustava) Raunala i digitalni podaci su danas dio praktiki svake aktivnosti, pa tako i dokazi vezani uz druge vrste zloina mogu biti digitalni
Raunalna forenzika i digitalni dokazi 5 Raunalna forenzika Procesi ili procedure koje ukljuuju nadzor, prikupljanje, analizu i prezentaciju digitalnih dokaza kao sastavni dio istraga kriminalnih radnji i/ili neprimjerenog kori邸tenja raunala i druge elektronske opreme Digitalni dokaz Svaka informacija ili dio informacije koja ima snagu dokaza za odreeni dogaaj, a pohranjena je ili prenesena u digitalnom obliku Ne mo転emo ih vidjeti, ne mo転emo ih dodirnuti, ne mo転emo ih osjetiti !!!
Zakonski aspekti raunalne forenzike 6 to je raunalna forenzika, treba li i kako biti definirana zakonom? Tko treba vr邸iti forenzike istrage u kriminalnim istragama? Kad u istragu treba ukljuiti strunjaka? Kako osigurati da nalazi raunalne forenzike budu prihvaeni na sudu? Raunalna forenzika kombinira pravo i raunalnu znanost
Pitanje: tko treba vr邸iti istrage? 7 Otvoreno pitanje strunosti Koja je potrebna edukacija, koje kvalifikacije treba imati strunjak za raunalnu forenziku? Podruje neprestano se razvija Stalno praenje, edukacija, certificiranje Zadaa first respodera to treba znati osoba koja dodje u dodir sa digitalnim dokazima SWGDE meunarodne organizacije Kategorije edukacije za osobe koje prikupljaju, uvaju, analiziraju i istra転uju digitalne dokaze (ili direktno nadgledaju ove funkcije)
Prihvatljivost dokaza na sudu 8 Prikupljanje dokaza na propisan tj legano prihvatljiv nain Pri tome mora biti garantirano: Autentinost Integritet Ponovljivost Odgovornost istra転itelja
Praksa u svijetu 9 Association of Chief Police Officers (ACPO) Guidelines on Computer Evidence Prihvaeno na sudovima u UK Scientific Working Group on Digital Evidences (SWGDE) Best Practices for Computer Forensics Data Integrity within Computer Forensics Guidelines & Recommendations for Training in Digital & Multimedia Evidence US Department of Justice Forensic Examination of Digital Evidence: A Guide for Law Enforcement
Znaajke digitalnih dokaza 10 Prisutni su u svim digitalnim ureajima gdje god ima digitalnih podataka Vezani su uz komunikaciju meu ljudima i pohranu / pamenje dogaaja Znaajke digitalnih dokaza Digitalni dokazi se mogu lako uni邸titi, naje邸e bez ikakvih tragova o tome Tragove (ne)djela nije lako sakriti, ali ih jednako tako nije jednostavno niti pronai Metodologija Alati raunalne forenzike raunalne forenzike
to se nalazi na digitalnom mediju 11 Statike datoteke/ podaci Adresari Elektronska po邸ta Multimedijske datoteke Dinamike datoteke / Kalendar podaci Baze podataka Log datoteke Spreadsheet datoteke Printer spooler Dokumenti Cookies Komprimirane datoteke Swap datoteke Misnamed datoteke History files Steganografija Temporary files ifrirane datoteke Sakrivene datoteke
to se nalazi u memoriji ureaja? 12 Promjenjivi (ishlapljivi) podaci 貼ivi podaci u registrima Podaci o mre転nim spajanjima Podaci o procesima koji se izvr邸avaju Podaci o otvorenim datotekama Iskljui napajanje podaci su nepovratno izgubljeni !
to je danas forenziki mogue, a 邸to ne? 13 Mogue je: Komplicirano: Povrat obrisanih datoteka Povrat wipe datoteke Datum i vrijeme nastanka, promjene i brisanja Koji je medij za pohranu bio Skoro nemogue: spojen na koje raunalo Povrat podataka ako je Koje su aplikacije bile medij fiziki uni邸ten instalirane Dekriptirati podatke Web koji je korisnik posjetio ako je kori邸ten barem Utvrditi da je osoba 128-bitni klju pogledala neku sliku Utvrditi 邸to je isprintano Povrat obrisane/formatirane particije diska
Principi digitalne forenzike 14 Niti jedna poduzeta akcija ne smije promijeniti podatke koji se nalaze na raunalu ili na nekom drugom mediju Samo u izuzetnim situacijama, istrage se mogu vr邸iti na originalnim podacima na raunalu Kompletan proces istrage mora biti jasno i precizno dokumentiran. Na osobi odgovornoj za provoenje istrage le転i kompletna odgovornost za po邸tivanje svih propisa vezanih uz istrage raunalne forenzike
Proces istrage 15 Definiranje vlastitih operativnih postupaka Ocjena digitalnih dokaza Uzimanje digitalnih dokaza Ispitivanje dokaza Generiranje izvje邸taja
16
17
18
Identifikacija raunala ili druge elektronske opreme koja je predmet istrage Osigurati lokaciju istrage i odmaknuti sve osobe od identificirane opreme kao i prikljuaka napajanja NE Da li je oprema ukljuena? 20 DA Da li je strunjak na NE Ne diraj tipkovnicu raspolaganju? DA Ne sluaj savjete vlasnika/ korisnika opreme !!! Neka strunjak pripremi sve za Fotografiraj ekran, napravi izuzimanje bilje邸ke 邸to se nalazi na ekranu Oznai i fotografiraj sve Ne ukljuuj opremu !!! Neka printer dovr邸i printanje komponente opreme Transport to treba biti izuzeto Ospoji sve prikljuene kablove Rukuj svom opremom sa iznimnom pa転njom Za rekonstrukciju sustava: Dr転i svu opremu daleko od izvora Glavna jedinica - obino kutija za koju su elektromagnetskih zraenja, kao 邸to su prikljueni monitor i tipkovnica zvunici, radio aparati, grijani prozori i/ili Pa転ljivo zapakiraj i dokumentiraj Tipkovnica i monitor sjedi邸ta i sl. svu zapakiranu opremu Svi kablovi Napajanje Stavi diskove i drugu elektronsku opremu Hard diskovi u anti-statike vreice Razni 束donglovi損 Modemi Ne savijaj diskete i ni lijepi oznake direktno na njih Osiguraj da sve komponente Za ekstrakciju dokaza: imaju odgovarajue natpise Monitore prevozi na stra転njem sjedalu sa Mediji za pohranu podataka (diskete, CD, ekranom okrenutim prema dole DVD, ZIP, trake i sl.) PCMCIA kartice PDA ureaje smjesti u papirnatu vreicu Hard diskovi koji nisu spojeni na raunalo Potra転i bilo kakve bilje邸ke koje Tipkovnice, kablove, mi邸, modem smjesti mogu imati va転ne podatke (npr. Za pomo u istrazi: u posebne vreice. Ne stavljaj ni邸ta te邸ko lozinke i sl.) na njih Upute od raunala Sav softver na licu mjesta Papiri sa zapisanim lozinkama Kljuevi Zatra転i od korisnika lozinke za pristup raunalu Za usporednu printanih materijala: Printeri Isprinti Papir za printere Po邸alji opremu na forenziko isitivanje
Ispitivanje dokaza (1) 24 Odvija se u dvije faze Ekstrakcija podataka Analiza ekstrahiranih podataka Ekstrakcija Fizika 足 Keyword pretrage, file carving, struktura particija Logika 足 Aktivne datoteke, obrisane, file slack 足 Password protected, komprimirane i 邸ifrirane datoteke
Ispitivanje dokaza (2) 25 Analiza ekstrahiranih podataka Odreivanje va転nosti podataka za istragu Primjeri analize Analiza atributa datuma i vremena 足 Analiza metapodataka 足 Analiza logova Analiza sakrivenih podataka 足 Usporedba zaglavlja i ekstenzije datoteke 足 ifrirane i komprimirane datoteke 足 Analiza HPA 足 Steganografgija i sl.
Ispitivanje dokaza (3) 26 Primjeri analize (nastavak) Analiza datoteka i aplikacija 足 Imena datoteka i sadr転aj 足 Broj i vrsta operacijskih sustava 足 Temporary datoteke, browsing history Analiza vlasni邸tva 足 Utvrditi tko je 邸to radio Analiza ne mora dovesti do jasnih zakljuaka Promatrati istragu u cjelini
Znanja 28 Svaki sudionik istrage mora znati prepoznati i sauvati digitalne dokaze, tj ne ugroziti ih i sigurno ih predati na daljnje procesiranje mora znati 邸to su to digitalni dokazi i kako ih prepoznati i kako sa njima postupati, te imati znanja i alate za osnovnu trija転u Nivo Encase First Responder, Forensic 1 Na nivou vee PU potrebno je moi odraditi sve korake obrade digitalnih dokaza, ekstrakciju, procesiranje, analizu detaljno poznavanje operacijskih sustava i aplikacija na njima, mobilnih ureaja, poznavanje alata za digitalnu forenziku Nivo Encase Forensic 1, Forensic 2, Advanced Forensic Na nivou I.V mora se moi izvesti obrade digitalnih dokaza koje tra転e posebne alate, vje邸tine i postupke sa o邸teenim, nepoznatim ili specifinim artefaktima ekspertno znanje pojedinih podruja digitalne forenzike uz specijalizaciju i posebnu opremu ili postupke (laboratorij za rekonstrukciju o邸teenih diskova, analizu flasheva, enkripcija i sl) nivo EnCase expert training Linux Mac, Interent artifacts, CEIC konferencije
Va転nost profesionalne edukacije i certificiranja 29 Kontinuirano praenje i usavr邸avanje Razvoj alata Evolucija kriminalnih djela Razvoj informatikog okru転enja Povratna informacija o tome 邸to i kako treba usavr邸avati Dr転anje koraka sa razvojem tehnologije Dr転anje koraka sa razvojem metodologije digitalne forenzike Garancija osposobljenosti vea snaga iskaza prema treoj strani dokaz kompetencije pred sudom
Pitanja 30 ? damir.delija@insig2.eu Metodologija raunalne forenzike

More Related Content

2013 obrada digitalnih dokaza

  • 1. sigurnost integrirana Digitalni dokazi Damir Delija, dr. sc. E.E.
  • 2. 皆温糸姻転温逮 2 Priroda digitalnih dokaza Principi istraga raunalne forenzike Uloga first respondera Metodologija forenzikih istraga
  • 3. Raunala, podaci i zloini 4 Raunalni kriminal Bilo koje kriminalno djelo koje ukljuuje raunalnu i ostalu elektronsku opremu Tri kategorije Raunalo je CILJ napada i/ili incidenta Raunalo je SREDSTVO napada i/ili incidenta Obavezno kori邸tenje i zloporaba IT opreme (npr. hakiranje drugih IT sustava) Raunala i digitalni podaci su danas dio praktiki svake aktivnosti, pa tako i dokazi vezani uz druge vrste zloina mogu biti digitalni
  • 4. Raunalna forenzika i digitalni dokazi 5 Raunalna forenzika Procesi ili procedure koje ukljuuju nadzor, prikupljanje, analizu i prezentaciju digitalnih dokaza kao sastavni dio istraga kriminalnih radnji i/ili neprimjerenog kori邸tenja raunala i druge elektronske opreme Digitalni dokaz Svaka informacija ili dio informacije koja ima snagu dokaza za odreeni dogaaj, a pohranjena je ili prenesena u digitalnom obliku Ne mo転emo ih vidjeti, ne mo転emo ih dodirnuti, ne mo転emo ih osjetiti !!!
  • 5. Zakonski aspekti raunalne forenzike 6 to je raunalna forenzika, treba li i kako biti definirana zakonom? Tko treba vr邸iti forenzike istrage u kriminalnim istragama? Kad u istragu treba ukljuiti strunjaka? Kako osigurati da nalazi raunalne forenzike budu prihvaeni na sudu? Raunalna forenzika kombinira pravo i raunalnu znanost
  • 6. Pitanje: tko treba vr邸iti istrage? 7 Otvoreno pitanje strunosti Koja je potrebna edukacija, koje kvalifikacije treba imati strunjak za raunalnu forenziku? Podruje neprestano se razvija Stalno praenje, edukacija, certificiranje Zadaa first respodera to treba znati osoba koja dodje u dodir sa digitalnim dokazima SWGDE meunarodne organizacije Kategorije edukacije za osobe koje prikupljaju, uvaju, analiziraju i istra転uju digitalne dokaze (ili direktno nadgledaju ove funkcije)
  • 7. Prihvatljivost dokaza na sudu 8 Prikupljanje dokaza na propisan tj legano prihvatljiv nain Pri tome mora biti garantirano: Autentinost Integritet Ponovljivost Odgovornost istra転itelja
  • 8. Praksa u svijetu 9 Association of Chief Police Officers (ACPO) Guidelines on Computer Evidence Prihvaeno na sudovima u UK Scientific Working Group on Digital Evidences (SWGDE) Best Practices for Computer Forensics Data Integrity within Computer Forensics Guidelines & Recommendations for Training in Digital & Multimedia Evidence US Department of Justice Forensic Examination of Digital Evidence: A Guide for Law Enforcement
  • 9. Znaajke digitalnih dokaza 10 Prisutni su u svim digitalnim ureajima gdje god ima digitalnih podataka Vezani su uz komunikaciju meu ljudima i pohranu / pamenje dogaaja Znaajke digitalnih dokaza Digitalni dokazi se mogu lako uni邸titi, naje邸e bez ikakvih tragova o tome Tragove (ne)djela nije lako sakriti, ali ih jednako tako nije jednostavno niti pronai Metodologija Alati raunalne forenzike raunalne forenzike
  • 10. to se nalazi na digitalnom mediju 11 Statike datoteke/ podaci Adresari Elektronska po邸ta Multimedijske datoteke Dinamike datoteke / Kalendar podaci Baze podataka Log datoteke Spreadsheet datoteke Printer spooler Dokumenti Cookies Komprimirane datoteke Swap datoteke Misnamed datoteke History files Steganografija Temporary files ifrirane datoteke Sakrivene datoteke
  • 11. to se nalazi u memoriji ureaja? 12 Promjenjivi (ishlapljivi) podaci 貼ivi podaci u registrima Podaci o mre転nim spajanjima Podaci o procesima koji se izvr邸avaju Podaci o otvorenim datotekama Iskljui napajanje podaci su nepovratno izgubljeni !
  • 12. to je danas forenziki mogue, a 邸to ne? 13 Mogue je: Komplicirano: Povrat obrisanih datoteka Povrat wipe datoteke Datum i vrijeme nastanka, promjene i brisanja Koji je medij za pohranu bio Skoro nemogue: spojen na koje raunalo Povrat podataka ako je Koje su aplikacije bile medij fiziki uni邸ten instalirane Dekriptirati podatke Web koji je korisnik posjetio ako je kori邸ten barem Utvrditi da je osoba 128-bitni klju pogledala neku sliku Utvrditi 邸to je isprintano Povrat obrisane/formatirane particije diska
  • 13. Principi digitalne forenzike 14 Niti jedna poduzeta akcija ne smije promijeniti podatke koji se nalaze na raunalu ili na nekom drugom mediju Samo u izuzetnim situacijama, istrage se mogu vr邸iti na originalnim podacima na raunalu Kompletan proces istrage mora biti jasno i precizno dokumentiran. Na osobi odgovornoj za provoenje istrage le転i kompletna odgovornost za po邸tivanje svih propisa vezanih uz istrage raunalne forenzike
  • 14. Proces istrage 15 Definiranje vlastitih operativnih postupaka Ocjena digitalnih dokaza Uzimanje digitalnih dokaza Ispitivanje dokaza Generiranje izvje邸taja
  • 15. 16
  • 16. 17
  • 17. 18
  • 18. Identifikacija raunala ili druge elektronske opreme koja je predmet istrage Osigurati lokaciju istrage i odmaknuti sve osobe od identificirane opreme kao i prikljuaka napajanja NE Da li je oprema ukljuena? 20 DA Da li je strunjak na NE Ne diraj tipkovnicu raspolaganju? DA Ne sluaj savjete vlasnika/ korisnika opreme !!! Neka strunjak pripremi sve za Fotografiraj ekran, napravi izuzimanje bilje邸ke 邸to se nalazi na ekranu Oznai i fotografiraj sve Ne ukljuuj opremu !!! Neka printer dovr邸i printanje komponente opreme Transport to treba biti izuzeto Ospoji sve prikljuene kablove Rukuj svom opremom sa iznimnom pa転njom Za rekonstrukciju sustava: Dr転i svu opremu daleko od izvora Glavna jedinica - obino kutija za koju su elektromagnetskih zraenja, kao 邸to su prikljueni monitor i tipkovnica zvunici, radio aparati, grijani prozori i/ili Pa転ljivo zapakiraj i dokumentiraj Tipkovnica i monitor sjedi邸ta i sl. svu zapakiranu opremu Svi kablovi Napajanje Stavi diskove i drugu elektronsku opremu Hard diskovi u anti-statike vreice Razni 束donglovi損 Modemi Ne savijaj diskete i ni lijepi oznake direktno na njih Osiguraj da sve komponente Za ekstrakciju dokaza: imaju odgovarajue natpise Monitore prevozi na stra転njem sjedalu sa Mediji za pohranu podataka (diskete, CD, ekranom okrenutim prema dole DVD, ZIP, trake i sl.) PCMCIA kartice PDA ureaje smjesti u papirnatu vreicu Hard diskovi koji nisu spojeni na raunalo Potra転i bilo kakve bilje邸ke koje Tipkovnice, kablove, mi邸, modem smjesti mogu imati va転ne podatke (npr. Za pomo u istrazi: u posebne vreice. Ne stavljaj ni邸ta te邸ko lozinke i sl.) na njih Upute od raunala Sav softver na licu mjesta Papiri sa zapisanim lozinkama Kljuevi Zatra転i od korisnika lozinke za pristup raunalu Za usporednu printanih materijala: Printeri Isprinti Papir za printere Po邸alji opremu na forenziko isitivanje
  • 19. Ispitivanje dokaza (1) 24 Odvija se u dvije faze Ekstrakcija podataka Analiza ekstrahiranih podataka Ekstrakcija Fizika 足 Keyword pretrage, file carving, struktura particija Logika 足 Aktivne datoteke, obrisane, file slack 足 Password protected, komprimirane i 邸ifrirane datoteke
  • 20. Ispitivanje dokaza (2) 25 Analiza ekstrahiranih podataka Odreivanje va転nosti podataka za istragu Primjeri analize Analiza atributa datuma i vremena 足 Analiza metapodataka 足 Analiza logova Analiza sakrivenih podataka 足 Usporedba zaglavlja i ekstenzije datoteke 足 ifrirane i komprimirane datoteke 足 Analiza HPA 足 Steganografgija i sl.
  • 21. Ispitivanje dokaza (3) 26 Primjeri analize (nastavak) Analiza datoteka i aplikacija 足 Imena datoteka i sadr転aj 足 Broj i vrsta operacijskih sustava 足 Temporary datoteke, browsing history Analiza vlasni邸tva 足 Utvrditi tko je 邸to radio Analiza ne mora dovesti do jasnih zakljuaka Promatrati istragu u cjelini
  • 22. Znanja 28 Svaki sudionik istrage mora znati prepoznati i sauvati digitalne dokaze, tj ne ugroziti ih i sigurno ih predati na daljnje procesiranje mora znati 邸to su to digitalni dokazi i kako ih prepoznati i kako sa njima postupati, te imati znanja i alate za osnovnu trija転u Nivo Encase First Responder, Forensic 1 Na nivou vee PU potrebno je moi odraditi sve korake obrade digitalnih dokaza, ekstrakciju, procesiranje, analizu detaljno poznavanje operacijskih sustava i aplikacija na njima, mobilnih ureaja, poznavanje alata za digitalnu forenziku Nivo Encase Forensic 1, Forensic 2, Advanced Forensic Na nivou I.V mora se moi izvesti obrade digitalnih dokaza koje tra転e posebne alate, vje邸tine i postupke sa o邸teenim, nepoznatim ili specifinim artefaktima ekspertno znanje pojedinih podruja digitalne forenzike uz specijalizaciju i posebnu opremu ili postupke (laboratorij za rekonstrukciju o邸teenih diskova, analizu flasheva, enkripcija i sl) nivo EnCase expert training Linux Mac, Interent artifacts, CEIC konferencije
  • 23. Va転nost profesionalne edukacije i certificiranja 29 Kontinuirano praenje i usavr邸avanje Razvoj alata Evolucija kriminalnih djela Razvoj informatikog okru転enja Povratna informacija o tome 邸to i kako treba usavr邸avati Dr転anje koraka sa razvojem tehnologije Dr転anje koraka sa razvojem metodologije digitalne forenzike Garancija osposobljenosti vea snaga iskaza prema treoj strani dokaz kompetencije pred sudom
  • 24. Pitanja 30 ? damir.delija@insig2.eu Metodologija raunalne forenzike