Metode spašavanja digitalnih dokaza
U nekim slučajevima kriminalne istrage, dokazi koji su potrebni ili neophodni leže pohranjeni na disku, uredno raspoređeni i obeleženi, sa karakterističnim imenima i ekstenzijama, kao i na odgovarajućim lokacijama.
Ipak, u nekim drugim slučajevima, kompjuterski forenzičari nisu te sreće. Cyber-kriminalci ili kriminalci mogu predosetiti da će biti uhapšeni uskoro i da zbog toga obrišu inkriminišuće dokaze. Pojedini kriminalci se služe sofisticiranim tehnikama skrivanja podataka. Postoje slučajevi kada podaci, koji se mogu ispostaviti kao značajan dokazni materijal, nikada nisu ni bili pohranjeni na hard disku, već su korišćeni isključivo sa prenosnih medija:
- masovna upotreba mobilnih uređaja na kojima se skladište privatni i korporativni podaci
- upotreba mobilnih uređaja za online transakcije
- dokazi za potrebe policije i tužilaštva
- istorija kretanja subjekta
- privatni detektivski posao
Postoje razni slučajevi i razne tehnike za svaki pojedinačan slučaj:
- 1
PRIKUPLJANJE OBRISANIH PODATAKA
- 2
PRONALAŽENJE SKRIVENIH PODATAKA
- 3
SLEK PROSTOR (ENG.SLACK)
- 4
SHADOW PODACI
- 5
STEGANOGRAFIJA
- 6
ALTERNATIVNI TOKOVI PODATAKA
- 7
ZAŠTIĆENA ZONA DISKA
PRIKUPLJANJE OBRISANIH PODATAKA
Mnogi korisnici kompjutera, uključujući tu i kriminalce, misle da kada jednom obrišu datoteku, ona nestaje sa hard diska. Čak i poneki eksperti smatraju da pražnjenje takozvane korpe uništava datoteke.
Stvari nisu tako jednostavne. Brisanje datoteke uz pomoć alata operativnog sistema jednostavno uklanja pokazivač na tu datoteku iz tabele sadržaja diska. Ova tabela se različito zove u raziličitim vrstama fajl sistema. FAT, skraćenica od „file allocation table”, sama po sebi objašnjava sistem smeštanja datoteka. Kod NTFS fajl sistema postoji MFT „master file table” koji ima rezervnu kopiju. Linuxovi fajl sistemi koriste druge načine zapisa i alociranja fajlova, takozvane INOD-e, ali je realokacija fajla i u tom slučaju moguća.
Podaci se na disku smeštaju po klasterima koji se sastoje od određenog broja bitova. Kako se delovi fajlova ne smeštaju uvek u klasterima koji su jedan za drugim na fizičkom nivou, već se, u većini slučaja, događa da su njihovi delovi rasuti po disku. Brisanje pokazivača značajno otežava rekonstrukciju i pronalaženje te datoteke, ali ne čini ga nemogućim.
Nakon brisanja datoteke, prostor koji je ona zauzela obeležava se kao nealociran. Taj prostor je kasnije dostupan sistemu i kada mu zatreba prostor, podatke može smestiti baš tu.
Razvoj tehnologije, povećanje veličine diskova, doveli su do toga da može proći mnogo vremena pre nego što se svi fragmenti neke datoteke prepišu nekim drugim podacima.
PRONALAŽENJE SKRIVENIH PODATAKA
Na mnogo različitih načina se podaci skriveni na nekoj zoni diska mogu pokazati kao veoma korisni za istragu. Neki od ovih podataka ostaju prisutni i nakon brisanja podataka ili reparticionisanja diska. Pored toga, postoji mnogo mogućnosti kako tehnički potkovani kriminalci mogu sakriti podatke. Pre svega, uz pomoć disk editora, steganografije, enkripcije itd.
Pronalaženje, spašavanje i rekonstrukcija ovih skrivenih podataka može biti veoma dugotrajan i mučan proces, ali u nekim slučajevima može dovesti do dokaza koji će rešiti slučaj.
Da bi do kraja bilo jasno kako i zašto podaci zaostaju, pre svega, treba se upoznati sa konceptom smeštanja podataka na diskove.
Sektor diska je jedinica fiksne veličine koja se određuje prilikom kreiranja fajl sistema (obično 512 bajtova). Stariji diskovi su dozvoljavali „bačeni“ prostor na spoljnim trakama, pošto se, logički, svaka traka deli na jednak broj sektora.
U nekim slučajevima je moguće u tom prostoru, između sektora na većim trakama (sector gap), sakriti značajnu količnu podataka. Neke kompanije koje se bave spašavanjem podataka mogu pronaći ove podatke .
SLEK PROSTOR (ENG.SLACK)
Još jedna od opcija za skrivanje podataka je slek prostor. Ovaj prostor nastaje kao posledica veličine datoteka koja ne odgovara tačnoj veličini zbira klastera u kojima je ta datoteka upisana.
Obično jedan deo klastera ostaje prazan, pogotovo kod fajl sistema kod kojih se veličina klastera određuje u zavisnosti od veličine particije (FAT).
Kako se ovaj prostor može iskoristiti namerno?
Nikako. Ovaj prostor je interesantan forenzičarima upravo zbog funkcija kojima DOS i Windows operativni sistemi koriste ovaj slek da popune sistemsku memoriju (RAM slek). Razne vrste podataka se mogu pronaći u ovom prostoru, a neki od njih se mogu pokazati kao bitni u istrazi.
SHADOW PODACI
Shadow podaci predstavljaju još jednu od opcija prilikom istraživanja, a nastaju kao razlika u pozicioniranju (vertikalnom i horizontalnom) magnetnih glava. Naime, prilikom pristupa određenom sektoru diska, pozicija kojoj pristupa glava broj 1 i glava broj 4 nije identična, upravo ova razlika omogućava nekim podacima da ostanu prisutni, čak i nakon prepisivanja. Tako da je ponekad moguće (doduše dugotrajno i skupo) spasiti prepisane podatke.
STEGANOGRAFIJA
Steganografija podrazumeva skrivanje datoteka unutar drugih datoteka. Ova vrsta enkripcije obavlja se uz pomoć slobodnog prostora ili promene vrednosti najmanje značajnog bita. Način funkcionisanja steganografskih metoda najlakše se objašnjava pomoću skrivanja u slikama. Prvo se mora objasniti da se slike zapisuju opisivanjem svakog pojedinog piksela određenim bajtom npr. 10011000, promenom najmanje značajnog (poslednjeg) bita iz 0 u 1 dobijamo drugu nijansu boje u jednom pikselu, ali i jedan skriveni bit „1“. Na ovaj način može se sakriti kompletna datoteka u okviru jedne slike, samo na različitim mestima. Da bi se utvrdilo postojanje skrivenih bitova i redosled njihovog rasporeda, potrebno je poznavati ključ po kojem su oni razmešteni, tako da samo onaj ko ima šifru može uspešno rekonstruisati datoteku. Naravno, kao i za svaku drugu šifru, i za ovo postoji rešenje, postoji nekoliko antisteganografskih programa koji mogu uočiti postojanje skrivenih datoteka. Detektovanje prisustva skrivene datoteke je mnogo lakše od rekonstruisanja iste.
ALTERNATIVNI TOKOVI PODATAKA
Alternativni tokovi podataka predstavljaju još jedan od mogućih izvora informacija u okviru kompjuterske forenzike. Ovaj pojam se odnosi na NTFS fajl sistem koji podržava ovu mogućnost. Tok, bilo koje veličine, se može kreirati i povezati sa normalno vidljivom datotekom (roditelj), ali ovaj tok ostaje skriven i moguće ga je detektovati jedino specijalnim programom. Ovi tokovi podataka imaju potpuno legitimnu namenu. Naime, pomoću tokova moguće je koristiti Mekintoš/Apple datoteke. Svaka Mekintoš datoteka poseduje dva dela resource i data deo. Prvi deo se krije u alternativnom toku. Postoji još jedna funkcija koju tokovi obavljaju, a to je skladištenje kontrolnih suma za antivirusne programe. Ovi tokovi se mogu povezati i sa datotekama i direktorijumima.
Tok se ne može direktno obrisati bez brisanja datoteke roditelja. Mnogi programi koji uništavaju podatke brišu jedino roditelje dok ostavljaju tokove. Takođe, virusi i trojanci koriste tokove za sakrivanje. Kriminalci ih mogu koristiti za sakrivanje inkriminišućih podataka.
ZAŠTIĆENA ZONA DISKA
Prilikom ispitivanja diska (koji funkcioniše po ATA standardu) forenzičari širom sveta propuštaju proveravanje HPA zone.
Sama zaštićena zona diska se nalazi na delu diska kojem operativni sistem ne pristupa. Ova zona se naziva UBA . Svi moderni ATA diskovi poseduju HPA zonu. Ona je kreirana, pre svega, za potrebe samih prozivođača, a potom i velikih distributera. Identifikovanje prisustva HPA zone je veoma lako, potrebno je uporediti rezultat dve ATA komande READ_NATIVE_MAX_ADDRESS i IDENTIFY_DEVICE. Ukoliko uređaj poseduje HPA, dve rezultujuće vrednosti će se razlikovati.
Zašto je postojanje ove zone bitno forenzičarima?
Postoje dve realne opasnosti:
1. Prva je zaključavanje diska i postavljanje stepena zaštite na maksimum. Na taj način se onemogućava pristup LBA zoni, i, samim tim, potencijalni podaci ostaju netaknuti. Naravno, ovu lozinku je nemoguće razbiti zamenom elektronike, ili čak premeštanjem pločica u drugo kućište zato što je lozinka enkriptovana na samoj pločici. Lozinka se sastoji od 32 bita i, pogotovu kod IBM/HGST diskova, zaštićena je veoma moćnim mehanizmom enkripcije. Skidanje ove zaštite obavlja se na dva načina, jedan predstavlja ATA komanda SECURITY_ERASE kojom se uz obavezno navođenje fabričke (MASTER) lozinke formatira svaka traka na disku i, na taj način, dolazi do otključavanja diska, ali i uništavanja dokaza. Drugi pristup je komanda UNLOCK kojom se disk otključava uz poznavanje fabričke lozinke, a podaci ostaju netaknuti. Forenzičarima ostaje jedino ova potonja opcija. Mehanizmi razbijanja fabričkih šifara ostaju tajna kompanija koje se bave spašavanjem podataka, a vladine agencije, kao i bezbedonosne strukture, pomoću zvaničnih kanala mogu pribaviti sve lozinke direktno kod proizvođača.
2. Druga je znatno perfidnija, leži u podešavanju SET_MAX_LBA parametra. Ova komanda će podesiti maksimalni broj sektora koji se mogu adresirati. Na ovaj način, u rukama pravih cyber kriminalaca, neiskusni istražitelji mogu doći u zabludu da npr. ispituju disk od 60GB kada im je u rukama zapravo 80GB podataka.
Konkretan primer se može ovako opisati: zamislimo dva identična diska (isti proizvođač, isti model) samo različitog kapaciteta, npr. 80GB i 160GB, njihova jedina razlika je u postojanju dve ekstra pločice kod većeg modela; naravno višak pločica se ne može tako lako uočiti, pogotovo ako u obzir uzmemo da će kriminalac zameniti sve nalepnice na disku; ili čak i sam poklopac diska. Zatim će iskoristiti 80GB za smeštanje npr. klasične muzike, a ostalih 80GB recimo za dečiju pornografiju, znači imamo dve particije od 80GB; potom pristupom HPA podešava maksimalnu vrednost na oko 160 miliona LBA (ekvivalent otprilike 80GB); resetuje kompjuter; i ponovo formatira disk. U ovom momentu disk dolazi u ruke forenzičara ili manje iskusnog tehničara. Koliko god se on trudio da pretraži svaki sektor i koliko god puta da je napravio pretragu, on uporno dolazi do segmenata klasične muzike. Nakon nekog vremena odustaje, a kriminalac ostaje na slobodi.
Iz ovog razloga, neophodna je maksimalna koncentracija, profesionalnost u pristupu i temeljitost u istraživanju prilikom svakog pojedinačnog slučaja kompjuterske forenzike.
Komentari
Pročitaj sve komentare
Ostavi komentar