уторак, 11. април 2017.

Šta je u stvari digitalna forenzika?


U širem smislu digitalna forenzika je nauka koja se bazira na informatici i klasičnoj forenzici dok u užem smislu predstavlja proces prikupljanja digitalnih dokaza sa elektronskih uređaja. Proces se sastoji od nekoliko faza od kojih je prva akvizicija odnosno prikupljanje podataka, druga analiza prikupljenih podataka i treća pisanje izveštaja, ovo je najkraće što mogu objasniti sam termin.

Da li postoji više vrsta digitalne forenzičke istrage?
Da, postoji više vrsta istrage dokaza sa digitalnih uređaja. Postoji zvanična istraga koju sprovode policijski organi u slučajevima gde postoji osnovana sumnja i gde je proces zvanične istrage počeo izdavanjem zvaničnog policijskog naloga za oduzimanje elektronske opreme. Druga vrsta istrage jeste korporacijska gde menadžent kompanije angažuje privatnu kompaniju koja se bavi ovakvom vrstom istrage i gde ne postoji potreba za sudskim nalozima. Obe vrste istrage se baziraju na istim alatima i postupcima s tim što u slučaju zvanične istrage se moraju postovati strožije pravila istrage i izveštaj se predaje isključivo nadležnom organu dok kod korporacijske istrage pravila se mogu malo liberalnije prihvatiti i izveštaj se predaje isključivo menadžmentu kompanije koji je zahtevao istragu, naravno ovde se potpisuje ugovor o tajnosti podataka takozvani NDA kako bi se osiguralo da informacije neće otići u ruke nikoga osime naručioca posla.

UKako postati digitalni forenzičar?
Na ovo pitanje je veoma teško dati precizan odgovor jer ne postoji zvanična ustanova u Srbiji gde bi se mogla dobiti takva diploma. Možete sami učiti iz različitih priručnika i na internetu možete naći veliki broj kvalitetnih izvora međutim javlja se pitanje kako potvrditi svoje znanje i dobiti neku verifikaciju toga. Postoji nekoliko kurseva od kojih su neki od najpriznatijih EC Council CHFI kurs, zatim SANS GIAC sertifikati kao i sertifikat poznate organizacije ISC2 pod nazivom CCFP koji se bave temama digitalne forenzičke istrage nevezano za određenog proizvođača softvera. Pored toga postoje i vendorski kursevi i sertifikati od kojih je najpoznatiji EnCE iza koga stoji Guidance software firma čiji je proizvod jedan od najpoznatijih alata pod nazivom EnCase.

Da li se svi alati plaćaju i da li postoje alati koji  se ne plaćaju?
Ovo je odlično pitanje na koje ću ukratko odgovoriti. Osim dva alata koji se najčešće koristi i plaćaju se a to su EnCase i FTK postoji i veći broj linux distribucija koje se potpuno besplatno mogu koristiti kao što su DEFT i SIFT. U tim distribucijama se nalazi veći broj programa koji su u sudskoj praksi prihvaćeni kao validni alati od kojih je napoznatiji Autopsy alat.

Kolika je odgovornost u ovakvom poslu?
Odgovornost zavisi od toga za šta se konkretno angažovani i koji je tip istrage u pitanju. Što se tiče zvanične istrage tu je veća odgovornost jer su u pitanju ljudski životi i u zavisnosti od istrage neko će možda otići u zatvor i odgovarati pred zvaničnim organima tako da se sa tim uopšte nije igrati. Ako je u pitanju korporacijska istraga tu je za nijansu manja odgovornost jer u ovom slučaju najgore što se može dogoditi jeste da neko dobije otkaz na poslu ili da bude prebačen kazneno na neko drugo radno mesto. Naravno ne kažem da se i ovde treba olako uzeti bilo šta jer je danas veoma teško naći posao pa samim tim i ovo može za nekog pojedinca biti veliki udarac tako da svakako treba veoma pažljivo raditi sa digitalnim dokazima i sve treba više puta proveriti pre pisanja konačnog izveštaja.

9 коментара:

  1. Da li je moguce odraditi kada je formatiran hard disk? Pre formata, bio je instaliran windows a filesistem je bio NTFS. Hvala

    ОдговориИзбриши
    Одговори
    1. Ne mogu dati precizan odgovor zbog vise stvari. Prva je da li je u pitanju obican ili SSD disk I sta se desavalo posle formata diska tj. da li je bilo upisa na disk ili ne. Alati mogu vratiti podatke i do 7 formata unazad ali na zalost nisu besplatni i niko ne moze garantovati sta ce se od podataka moci vratiti jer su neki sigurno izgubljeni.

      Избриши
  2. Одговори
    1. U pitanju je SSD. Posle formatiranja nije bilo novih upisa na disk - na disku je sada samo unallocated space. Nije mi bitno da vratim podatke sa njega. Bitno mi je samo da izvucem vreme kada je formatiran disk da bih otkrio ko je to uradio. Da li je moguce izvuci timestamp formatiranja diska?

      Избриши
    2. Na zalost to nije moguce na SSD disku!

      Избриши
  3. Hvala puno! Radoznalosti radi, da li je to moguce odrediti na obicnom hard disku?

    ОдговориИзбриши
  4. Sto se tice HDD-a, prilicno sam siguran da se to moze izvesti. Postoji alat za to naravno, prikazace kada je particija poslednji put kreirana tj. formatirana! Samo ne znam, koliko ce ti to biti od pomoci. :)

    ОдговориИзбриши
    Одговори
    1. Upravo tako, za hdd postoji mogucnost da se utvrdi u nekim slucajevima ako neko nije manipulisao tim podacima...

      Избриши