Digitalne antiforenzičke tehnike

Digitalne antiforenzičke tehnike 

Digitalna antiforenzika kao pojam novijeg je datuma i, po logici stvari, produkt je digitalne forenzike kao naučne, pravne i tehničke kategorije. Ako znamo da je digitalna forenzika skup tehnika, metoda i pravila koja imaju za cilj istragu nad digitalnim medijima u najširem smislu reči a za potrebe izvođenja dokaza – pred sudom ili ovlašćenim telom u okviru neke kompanije, jasno je da je antiforenzika skup tehnika, postupaka i pravila koja imaju za cilj da osujete proces digitalne forenzike ili samog forenzičkog tehničara. Metode koji se koriste za tu namenu mogu se podeliti a nekoliko glavnih kategorija, uz napomenu da se neke tehnike preklapaju ili dopunjuju. 

Skrivanje podataka 

Skrivanje podataka je proces kojim se za forenzičku istragu osetljivi podaci skrivaju tako da se proces otkrivanja oteža, ali i da ti podaci mogu biti dostupni i prikazani osobi koja je pokušala da im zametne trag. Banalan primer ovog postupka je smeštanje dokumenata koje želite da sakrijete – u neki regularni folder u okviru Windows foldera ili u zip arhivu koju ste nazvali Office_install.zip. 

Enkripcija je sofisticiraniji pristup skrivanju podataka – postupak kreiranja arhive, virtuelnog diska ili samog fajla zaštićenih šifrom, koje je moguće otvoriti samo ako foreznički tehničar upotrebi odgovarajuću šifru. Napominjemo da u većini slučajeva enkriptovanje na nivou fajla ostavlja netaknutim ime, veličinu i timestamp fajla, ali skriva sadržaj. Međutim, i sadržaj fajla može se uspešno otkriti preko privremenih fajlova ili analizom swap fajla i obrisanih a neenkriptovanih fajlova. 

Steganografija je još jedan od postupaka skrivanja sadržaja fajlova. U osnovi, radi se o načinu da posebnim programima smestite neki fajl u drugi fajl istog ili različitog tipa. Na primer, logo MyCity smo uspešno sakrili u sliku ruža, i jednostavno smo povratili originalnu sliku – koristeći besplatni i svima dostupni PaintNET. Na taj način, moguće je, uz namenske programe i dogovorene protokole i šifre, sakriti bilo koju vrstu podataka u proizvoljni fajl i vrlo jednostavno ih inverznim postupkom povratiti u originalno stanje. 

 Ostali načini skrivanja podataka su smeštanje fajlova u specijalne delove diska, kao što su bad blokovi ili skrivene particije. U ovom poslednjem slučaju, kombinuje se postupak enkripcije sadržaja particije i skrivanje same particije ili promena karakteristika particije tako da izgleda neiskorišćena. Jedna od tehnika je i razbijanje fajla koji želite da sakrijete u manje delove koji se zatim upisuju u takozvani slack prostor fajlova koji već postoje na Vašem kompjuteru, što onemogućava ili u velikoj meri otežava otkrivanje takvih fajlova. 

Brisanje fajlova 

Naravno, obično brisanje fajlova i pražnjenje Recycle Bin-a neće sprečiti forenzičara da dođe do podataka koji su obrisani. Ni formatiranje diska nije prepreka da se fajlovi povrate. Da biste nepovratno obrisali podatke sa Vašeg diska, morate koristiti neke od specijalnih tehnika i odgovarajućih alata. 

Čišćenje pojedinih fajlova sa diska podrazumeva uklanjanje svih fajlova koji mogu biti predmet forezničke analize, što prvenstveno uključuje log fajlove, spisak posećenih lokacija na Internetu i upise u privremenim folderima ili registry bazi. Ovo podrazumeva brisanje istorije Web Browsera, spiska nedavno otvaranih fajlova (i Windowsov spisak i spisak programa koje koristite), isključivanje kreiranja log fajlova gde je to moguće, pražnjenje privremenih foldera, brisanje sadržaja Prefetch foldera u kom su zabeleženi svi pokrenuti programi, čak i portable verzije koje ste pokrenuli sa USB diska… Mnogi programi će odraditi taj deo zaštite vrlo dobro, ali kako su iskustvo i alati na strani foreničara, brisanjem osetljivih podataka niste završili posao! Namenskim programima potrebno je obrisati sav prazan prostor na disku upisivanjem nasumičnih binarnih zapisa, i to u nekoliko sesija – prolaza. Standardi se razlikuju od države do države i u okviru njih od tela do tela koje ih propisuje ali se kreću od tri prolaza po klasteru do čak 35 prolaza! 

Brisanje celokupnog sadržaja diska još jedan je od načina kojim se mogu otežati forenzičke analize. Sve navedeno za brisanje pojedinačnih fajlova važi i u ovom slučaju, a razlika je samo u tome što treba pronaći način da sadržaj diska bude bezbedno obrisan. I ovde važe standardi koji određuju broj prolaza upisivanja nasumičnih i izabranih kombinacija jedinica i nula. Naravno, nema smisla brisati sadržaj diska ako su na disku koji je u upotrebi i koji ostaje u kompjuteru prisutni “repovi” izbrisanih fajlova. U tom slučaju treba primeniti i dodatne postupke objašnjene u delu koji se bavi brisanjem pojedinih fajlova sa diska. 

Demagnetizacija diskova je de facto najsigurniji način uklanjanja sadržaja sa diska, ali se izuzetno retko primenjuje jer su uređaji skupi i ne nalaze se u prodaji u svakoj trgovini računarskom opremom. Međutim, ako je ulog vredan potrošenog novca, osoba koja želi da sigurno uništi podatke koji bi moglli da je koštaju zatvorske kazne ili visoke novčane naknade, naći će način da nabavi odgovarajući uređaj. Osim toga, siguran način uklanjanja sadržaja sa diskova je i njihovo fizičko uništavanje – paljenje, sečenje u sitne delove, topljenje i slično, što preporučuje i američki National Institute of Standards and Technology. 

Zametanje tragova 

Već smo napomenuli da forenzički postupak isključuje puko pretraživanje sadržaja diskova u cilju nalaženja mogućeg dokaza da se krši zakon ili interna pravila firme. Predmet istrage mora biti ciljan i usmeren samo na dokazivanje traženih dokaza. Forenzičar će u tom slučaju tragati za podacima koji mogu biti relevantni za slučaj kojim se bavi, odnosno ako traži dokaz o ukradenim spiskovima kreditnih kartica, neće se baviti analizom video klipova ili audio fajlova na disku. Ta činjenica može se iskoristiti da se zavara trag dokumentima koji žele da se sakriju. Na koji način? Znamo da svaki fajl u svom headeru ima podatke o vrsti fajla, odnosno ekstenziji. Postoje načini da se taj podatak u headeru promeni tako da, recimo, fajl sa ekstenzijom doc nosi atribut mp3 fajla. Manje iskusni forenzičar će takve fajlove jednostavno preskočiti tokom pretetrage. Dalje, kako je važno da se dokaže da je krivično delo izvršeno tačno u određenom vremenskom periodu, za istragu je važan i podatak kada je pojedini fajl napravljen, kada mu je pristupano i kada je menjan. Određenim alatima moguće je promeniti i te atribute fajlova, pa je postupak dokazivaja vrlo otežan. 

Ometanje i otežavanje rada forenzičara 

Ljudski faktor je u svakoj, pa i u ovoj oblasti najslabija karika, što pomaže osumnjičenima da utiču na proces istrage i izvođenja dokaza. Neke od metoda su kreiranje izuzetno velikog broja “sumnjivih” fajlova, koji su sasvim legitimni ali odaju utisak mogućeg dokaznog materijala. Forenzičar mora svakom potencijalnom dokazu da se posveti sa punom pažnjom, što usporava njegov rad i čini ga manje koncentrisanim. Poznavaoci forenzičkih tehnika mogu isto tako i da koriste programe, postupke i radnje koji su potpuno dozvoljeni, ali koji zatrpavaju tehničara dodatnim poslom ili postupak iznošenja dokaza čine neuverljivim i pravno diskutabilnim. 

Zločin se ne isplati 

Svi navedeni postupci mogu imati za cilj izbegavanje krivične odgovornosti zbog učinjenog dela ili disciplinske odgovornosti zbog kršenja internih pravila kompanija. Međutim, forenzika kao moderna i dinamična disciplina vrlo efikasno prati razvoj i primenu postupaka i programa koji mogu da otežaju ili onemoguće efikasno sprovođenje istrage, pa najčešće brzo odgovara na postavljene izazove i prevazilazi teškoće. Jedan od razloga za to je i velika primena open source programa, tako da obe strane u ovom svojevrsnom ratu žandara i lopova poznaju oružje druge strane i mogu relativno brzo i efikasno da pariraju.Svaki od postupaka koji su navedeni u ovom članku ima efikasan odgovor kroz alate, programe i postupke koje primenjuju forenzički tehničari. Pravni sistem je dosta inertniji po tom pitanju i to je adut sa kojim mogu da računaju prekršioci. 

Gde počinje antiforenzika… 

Pitanje koje se postavlja u pravnoj teoriji je – gde se završava pravo na privatnost a gde počinje antiforenzika, kao smišljeni i ciljani način ometanja istražnog postupka. Pravni i etički aspekt antiforenzike je polje oko kog se u stručnim krugovima lome koplja. Dok jedni teoretičari smatraju da je svako uklanjanje sadržaja sa diskova znak da osoba koja je to učinila – nešto krije, pojedini analitičari i (uslovno) široka javnost imaju drugačije mišljenje. Oni zagovaraju pravo na privatnost i priznaju korisnicima računara da se legalnim i legitimnim sredstvima zaštite od otkrivanja ličnih i privatnih podataka, navika i aktivnosti koje sprovode na računarim u svom domu ili na radnom mestu. Neki programeri koji su razvili alate za sprečavanje efikasne istrage nad računarima bili su svojevremeno nezvanično prozivani da rade na ruku kriminalcima, teroristima i saboterima u velikim kompanijama. Međutim, u njihovu odbranu, osim korisnika tih programa, stali su čak i etički svesni forenzičari. Jedan od njihovih argumenata bio je i taj da se na taj način unapređuje forenzika kao nauka i da pravni sistem mora da deluje bolje i preciznije dok traga za krivičnim delima iz oblasti tehnološkog kriminala, počiniocima i dokazima protiv njih. 

Kako je oblast antiforenzike izuzetno velika, nismo se osvrnuli na mrežnu antiforenziku, pitanje legalnosti softvera koji koristite a koji je ovih dana predmet kontrole poreskih organa, ili na antiforenziku USB fleš memorija. Više o temi digitalne forenzike i antiforenzike možete pronaći na Internetu, kroz objavljene stručne radove ili forume koji se bave tom problematikom. 

Ovaj članak pisan je sa namerom da vas upozna sa pojmom digitalne antiforenzike i mogućnostima da sačuvate privatnost svog računara i Vašeg rada na njemu. Nije nam bila namera da Vas podučavamo kako da sprečite rad istražnih organa ili da neometano kršite zakon.

********************************************************************************************

Zahvaljujem se SlobaBgd moderatoru na forumu http://www.mycity.rs/ koji mi je dao dozvolu da ovo objavim ovde I čiji je ovo članak u celosti. Inače za sve koji čitaju ove moje blogove i svidjaju vam se, mogu iskreno da vam prepručim da se učlanite na MyCity Forum dobićete jako kvalitene odgovore na sva Vaša pitanja u vezi računara, a I ostalih tema.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s