SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

 

 

 

DIPLOMSKI RAD br. 1842

 

Digitalna forenzika slika

Marina Marčeta

 

 

 

 

 

Zagreb, travanj  2010.

 

 

 

 


 

Sadržaj

1.      Uvod. 1

2.      Forenzika. 2

2.1         Digitalna forenzika. 2

2.1.1           Pravila forenzike digitalnih sustava. 4

2.2         Zakon i digitalna forenzika. 5

2.2.1           Pretraga i oduzimanje pohranjenih računala i podataka. 5

2.2.2           Prikupljanje računalnih podataka u realnom vremenu. 6

2.3         Prihvatljivost digitalnih dokaza. 6

2.3.1           Ispitivanje. 7

2.3.2           Statistike učestalosti pogrešaka. 8

2.3.3           Publikacija. 9

2.3.4           Prihvaćanje digitalnih dokaza. 10

3.      Digitalna forenzička istraga. 11

3.1         Pripreme prije istrage. 12

3.2         Dobavljanje podataka. 13

3.2.1           Isključiti ili ne isključiti 14

3.2.2           Ispravan način dobavljanja digitalnih dokaza. 14

3.2.3           Određivanje tipa medija. 15

3.2.4           Pronalazak odgovarajućeg alata. 16

3.2.5           Prijenos podataka. 16

3.2.6           Provjera integriteta sačuvanih podataka. 17

3.2.7           Prikupljanje ranjivih podataka. 18

3.2.8           Tipovi ranjivih informacija. 20

3.2.9           Prikupljanje skrivenih podataka. 20

3.3         Analiza digitalnih dokaza. 24

3.3.1           Definiranje liste pretrage. 25

3.3.2           Korištenje forenzičkog softvera prilikom pretrage. 26

3.3.3           Preuzimanje rizika. 26

4.      Taksonomija digitalne forenzike. 29

4.1         Forenzika elektroničke pošte. 29

4.1.1           Analiza elektroničke pošte. 30

4.1.2           Ekstenzije dokumenata elektroničke pošte. 31

4.1.3           Analiza elektroničke pošte zasnovane na internet poslužiteljima. 32

4.1.4           Privremeni dokumenti 32

4.1.5           Instant poruke. 33

4.2         Forenzika podataka. 33

4.2.1           Tvrdi disk. 34

4.2.2           Obrisani podatci 38

4.2.3           Radna memorija. 40

4.2.4           Windows Registar 40

4.2.5           Filtriranje pretrage. 41

4.2.6           Dobava  podataka. 41

4.2.7           Analiza dobavljenih podataka. 42

4.3         Forenzika dokumenata. 42

4.3.1           Pronalazak dokaznog materijala u dokumentima: Metapodatci 42

4.3.2           Pregled CAM informacija. 43

4.3.3           Otkrivanje dokumenata. 44

4.3.4           Pronalazak poveznica i vanjskih medija za pohranu podataka. 45

4.4         Forenzika mobilnih uređaja. 46

4.4.1           Forenzički pogled na mobilne uređaje. 47

4.4.2           Mobilni telefoni i SIM kartice. 48

4.4.3           Digitalne kamere. 50

4.4.4           Odabir alata za forenzičku obradu. 50

4.4.5           Sklopovlje korišteno u mobilnoj forenzici 51

4.4.6           Izoliranje mobilnih uređaja. 51

4.4.7           Pronalazak mobilnih podataka. 52

4.5         Mrežna forenzika. 52

4.5.1           Primjene mrežne forenzike. 52

4.5.2           Kategorizacija podataka. 53

4.5.3           Rekonstrukcija događaja sa podatcima o prometu na mreži 54

4.5.4           Raspoznavanje različitih tokova podataka. 55

4.5.5           Mrežni forenzički alati 55

4.6         Istraživanje dosjea X: Egzotična forenzika. 57

4.6.1           Telefonske automatske sekretarice. 57

4.6.2           Pregled sustava za video nadzor i kućnih sigurnosnih sustava. 57

4.6.3           Praćenje automobila. 58

4.6.4           Identifikacija radio frekvencijom.. 58

5.      Digitalna forenzika slika. 59

5.1         Forenzika komponenti kamera. 59

5.1.1           Metodologije  forenzike komponenti 60

5.1.2           Primjena forenzike komponenti 62

5.2         Neuniformnost fotografskih senzora. 63

5.2.1           Procjena identifikacijskog otiska senzora. 65

5.2.2           Identifikacija kamere korištenjem identifikacijskog otiska senzora. 66

5.2.3           Otkrivanje krivotvorina korištenjem  identifikacijskog otiska kamere. 66

5.3         Otkrivanje krivotvorina digitalnih slika. 68

5.3.1           Algoritmi zasnovani na pixelima. 69

5.3.2           Algoritmi zasnovani na formatu. 71

5.3.3           Algoritmi zasnovani na fotoaparatima. 73

5.3.4           Algoritmi zasnovani na fizici 76

5.3.5           Algoritmi zasnovani na geometriji 78

5.4         Razlikovanje  prirodnih fotografija i fotorealističnih računalnih grafika. 79

5.4.1           Nastanak fotorealistične računalne grafike. 80

6.      Praktični rad. 82

6.1         Otkrivanje digitalnih krivotvorina pronalaskom dupliciranih regija slike. 82

6.1.1           Otkrivanje dupliciranih regija. 82

6.1.2           Algoritam detekcije dupliciranih regija. 84

6.1.3           Rezultati 85

6.2         Otkrivanje steganografskih poruka u digitalnim slikama. 91

6.2.1           Statistika slika. 92

6.2.2           Klasifikacija. 94

6.2.3           Realizacija i rezultati 95

6.2.4           Diskusija. 96

6.3         Algoritam za razlikovanje fotorealističnih slika od fotografija. 96

6.3.1           Rezultati 98

7.      Zaključak. 100

8.      Literatura. 101

9.      Sažetak. 102

10.   Summary. 103

 


****************************************************************************************************************************************************************************************************

Izvorni tekstovi programa:                                                                                                                                                 Izvršni kod programa:

1.    Duplicirane regije slika                                                                                                                                                    1. Otkrivanje dupliciranih regija slike

2.    Otkrivanje steganografskih poruka

3.    Razlikovanje fotorealističnih slika od fotografija

*****************************************************************************************************************************************************************************************************

 

1.    Uvod

Nakon Drugog svjetskog rata, računala su  polako ali neizbježno postala baze podataka ljudskih aktivnosti. Ovaj se trend ubrzao  razvojem osobnih računala, Interneta, kao i  konvergencijom računarstva, telekomunikacija te multimedije. Današnji svijet umreženih digitalnih uređaja pruža mogućnosti i izazove  za kriminalce i istražitelje, vlade, institucije, poslovanje, komunikaciju  kao i za korisnike svjesne važnosti očuvanja privatnosti. Živimo u digitalnom svijetu gdje se većina informacija stvara, presreće, odašilje, čuva i procesira u digitalnom obliku. Digitalne informacije utječu  i koriste se u svakom aspektu života. Iako korištenje podataka u digitalnom obliku donosi mnoge tehnološke i ekonomske prednosti, dovelo je do mnogih problema i izazova prilikom izvođenja forenzičke analize digitalnih dokaza. Ti izazovi proizlaze iz sljedećih činjenica:

·         Digitalni podatak apstraktna je reprezentacija informacije. Predstavlja samo sekvencu bitova  i ne posjeduje neka očita svojstva koja bi ukazala na autentičnost ili porijeklo informacija.

·         Na tržištu postoje razne kolekcije uređaja koji se koriste za stvaranje i pohranu digitalnih informacija, uključujući kamere, audio snimače,osobne digitalne pomoćnike, mobilne telefone i računala. Akvizicija i dohvat podataka iz tih uređaja može biti veoma zahtjevna zadaća, a ukoliko su podatci skriveni, fragmentirani  ili kriptirani, postaje još teža.

·         Ako uzmemo u obzir relativno niske cijene medija za pohranu podataka, količina podataka s kojom se istražitelj susreće veoma je velika. Pregled velikih količina podataka zahtjevan je posao koji oduzima previše vremena.

·         Digitalni dokazi često putuju raznim kanalima, te su često raštrkani na nekoliko  uređaja, u nekoliko različitih formata, što njihovu analizu i slaganje u smislenu cjelinu čini veoma teškim.

·         Digitalni podatci lako se brišu, modificiraju, prepravljaju, kriptiraju, uz  korištenje pregršt lako dostupnih antiforenzičkih alata.

·         Digitalni podatci mogu biti ranjivi, te često zahtijevaju brzo prikupljanje i obradu

Kao odgovor na gore navedene izazove razvijene su znanstvene metode za rekonstrukciju i dohvat dokaza iz digitalnih podataka a potom i  njihovu analizu. Te se metode mogu svrstati pod zajedničkim imenom digitalna forenzika. Digitalna forenzika može se definirati kao skup znanstvenih metoda za očuvanje, sakupljanje, validaciju, identifikaciju, analizu, interpretaciju, dokumentaciju i prezentaciju digitalnih dokaza proizašlih iz digitalnih izvora, s ciljem potvrđivanja ili pomoći pri rekonstrukciji događaja, često kriminalne prirode.

Digitalna forenzika mlada je disciplina koja se ubrzano mijenja i evoluira, pokušavajući držati korak s napretkom tehnologije i razvojem novih softvera. Posuđujući principe koji su se pokazali valjanima u fizičkom svijetu, suočava se sa izazovima jedinstvenim u domeni  digitalnog  svijeta.

2.    Forenzika

Forenzika je proces korištenja znanstvenih metoda pri sakupljanju, analizi i prezentaciji dokaza na sudu. Značenje riječi  forenzika dolazi od latinske riječi forensis, što znači “iznositi sudu” ili “na forumu”. U starom bi Rimu kriminalno optuživanje značilo prezentiranje slučaja pred grupom javnih osoba na forumu. Optuženik i tužitelj javnim bi govorom pokušali uvjeriti ljude kako je njihova verzija događaja istinita. Forenzika se primarno bavi s pronalaskom i analizom latentnih dokaza. U latentne dokaze mogu se svrstati  mnoge kategorije dokaza; od otisaka prstiju ostavljenih na prozoru do DNA dokaza sakupljenih s mjesta zločina. Forenzika se koristi znanstvenim metodama i saznanjima, koje u kombinaciji sa standardima zakona koristi pri pronalasku i prezentaciji dokaza važnih za određenu istragu. Polje forenzike razvijalo se kroz mnoga stoljeća. Najraniji zapis korištenja forenzičkih metoda datira iz 1248.  godine, kada je kineski liječnik Hi Duan Yu napisao priručnik pod imenom „The washing away of wrongs“ u kojem  je iznio medicinsko i anatomsko znanje toga vremena u korelaciji s zakonima.

Identifikacija pomoću otisaka prstiju počela se koristiti tek 1892. godine, a prvi je forenzički laboratorij osnovan u SAD-u 1930. godine.

Iako se forenzika razvila u dobro dokumentirano i disciplinirano polje proučavanja sa mnogo razina certifikacije, ona se stalno  mijenja. Tehničkim dostignućima te širenjem i napretkom znanstvenih  metoda i saznanja, mijenjaju se i procesi i alati  korišteni u forenzici.

Iako se forenzika razvijala tijekom 800 godina, uvijek će na neki način zaostajati za naprecima u znanosti. Kao primjer možemo uzeti uvođenje DNA kao dokaza na sudove – tipiziranje DNA koristilo se je u razne svrhe još osamdesetih godina dvadesetog stoljeća, no na sudovima se počela priznavati kao valjani dokaz tek u devedesetim godinama dvadesetog stoljeća.

Uzimajući u obzir kako se  moderna forenzika razvijala otprilike šezdeset godina aktivnom primjenom u istragama, te 800 godina kao disciplina, specijalizirano polje računalne forenzike , u usporedbi je veoma mlado, stoga ne čudi kako postoji veoma malo standardizacije i konzistencije prilikom prihvaćanja i korištenja digitalnih dokaza u raznim institucijama. Krajnji je rezultat navedenih činjenica taj kako računalna forenzika još uvijek nije priznata kao formalno znanstvena disciplina.

 

2.1    Digitalna forenzika

Digitalnu forenziku čine metode prikupljanja, analize i prezentacije dokaza koji se mogu pronaći na računalima, poslužiteljima, računalnim mrežama, bazama podataka, mobilnim uređajima, te svim ostalim elektroničkim uređajima na kojima je moguće pohraniti podatke. Takvi dokazi mogu biti korisni u kaznenim postupcima i procesima pred sudovima, građanskim parnicama te postupcima unutar korporacija u okviru upravljanja ljudskim resursima, odnosno postupcima kod procesa zapošljavanja i otpuštanja zaposlenika. Važno je da  pritom  ništa od opreme ili procedura korištenih prilikom istrage računala ne unište ili promijene podatke na istraživanom uređaju.

Računalni sustavi sadržavaju značajne količine podataka koji se mogu iskoristiti kao dokazni materijal. Ukloniti takav dokaz je također daleko teže nego što se uobičajeno misli. Metodama digitalne forenzike moguće je pronaći takav dokazni materijal te obrisane ili izgubljene podatke čak, i u slučaju namjernog brisanja.

 

Digitalna se forenzika u prijašnjim vremenima bavila isključivo s postojanim podatcima (eng. Persistent data), odnosno podatcima koji su sačuvani na lokalnom tvrdom disku ili nekom drugom mediju, te ostaju na njemu i kada je uređaj ugašen. U današnje doba  umreženosti prikupljanje,  pregled i analiza nepostojanih, ranjivih podataka (eng. Volatile data) postaje sve važnije. Nepostojanim, ranjivim  podatkom nazivamo one podatke koji su pohranjeni u memoriji ili u tranzitu, i koji će biti izgubljeni kada se uređaj ugasi. Nepostojani podatci nalaze se u registrima, cache memoriji, radnoj memoriji, te se zbog njihove prirode prikupljanje tih podataka mora odvijati u stvarnom vremenu.

Brzom ekspanzijom interneta, te uvođenjem zakona koji terete korporacije odgovorne za kompromitiranje sigurnosti ili integriteta računalnih mreža sve se više  IT buđeta ulaže u softvere za zaštitu  sustava kao što su sustavi za otkrivanje napada (eng. intrusion detection systems, kratica IDS), zaštitne stijene, proxy poslužitelji, itd...Oni daju uvid u sigurnosno stanje sustava u stvarnom vremenu, ili naknadnom analizom. Gotovo uvijek, kada se dogodi proboj u sigurnosnom sustavu ili  korisnik dobije obavijesti o pokušaju proboja, potrebno je verifikacija kako bi se utvrdilo jeli obavijest bila krivo protumačena situacija, ili se zbilja dogodio nekakav sigurnosni incident, bio on proboj ili pokušaj proboja. Takva se verifikacija gotovo uvijek provodi na upaljenom računalu, analizom nepostojanih podataka. Administratori sustava, kao i osoblje zaduženo za sigurnost mora razumjeti načine na koje rutinski administrativni zadatci prikupljanja tih podataka mogu  utjecati na forenzički proces i potencijalnu prihvatljivost informacija  na sudu,  kao i naknadnu mogućnost povratka podataka koji mogu biti ključni pri identifikaciji i analizi sigurnosnog incidenta.

Suprotno dojmovima koje dobivamo iz popularnih televizijskih serija, ne postoji  ni približno dovoljno forenzičkih istražitelja slobodnih da se odazovu na svako mjesto zločina te prikupe, obrade i analiziraju dokaze. Kao rezultat toga nedostatka mnogi se djelatnici policije, te državnih agencija osposobe za prikupljanje dokaza kao što su otisci prstiju, vlakna, s mjesta zločina na forenzički prihvatljiv način. Kvalificirani istražitelj tada analizira dokaze te na temelju njih izvlači zaključke, s time da osoba koja je prikupila dokaze njih  mora i autentificirati, a istražitelj  svjedočiti o njihovoj važnosti. Ova je podjela poslova potrebna i u disciplini računalne forenzike. Administratori sustava često se prvi nađu na „mjestu zločina“, stoga je ključno da oni posjeduju tehničko znanje i  sposobnosti da sačuvaju kritične informacije povezane s mogućim sigurnosnim incidentom na forenzički prihvatljiv način, te da su svjesni zakonskih regulativa prema kojima moraju prilagoditi svoje djelovanje.

 

Digitalna forenzika postoji otkako se na računalima pohranjivalo podatke koji se mogu koristiti kao dokazi. Mnogo godina  digitalna se forenzika povodila  i koristila samo u vladinim agencijama, no u posljednje vrijeme postala uobičajena praksa koja se provodi i u komercijalnom sektoru. Većina je softvera za analizu  originalno   izrađena za pojedine organizacije te bila u njihovom vlasništvu. U današnje vrijeme postoje  i alternativni slobodno dostupni (eng. open source) programi  koji pružaju mogućnost usporedbe rezultata analize.

2.1.1     Pravila forenzike digitalnih sustava

  1. Prvo i osnovno pravilo digitalne forenzike je princip očuvanja - dokazi se ne smiju mijenjati niti na jedan način a originalni (izvorni) podaci i računalna oprema moraju biti očuvani po svaku cijenu. Naime, čak i uključivanje ili isključivanje uređaja može obrisati, uništiti ili učiniti teže dostupnim dokaze koji su na navedenim sustavima sadržani. Stoga bi potragu za dokazima trebao obavljati samo obučeni forenzičar koji će dokumentirati postupke i metode, zaštititi podatke i medije od prepisivanja, napraviti identične kopije, izvršiti njihovu analizu i prirediti analizu prema pravilima struke i u skladu sa zakonskom legislativom, prilagođenu krajnjem korisniku - naručitelju, policijskim istražiteljima, odvjetnicima strane koja je naručila analizu ili pak potencijalno suprotstavljenoj strani.
  2. Drugo pravilo digitalne forenzike je identifikacija potencijalnog dokaznog materijala. Radi se o tvrdim diskovima, disketama, Prijenosnim  memorijama, Flash memorijskim karticama, datotečnim dnevnicima i svim ostalim uređajima koji mogu sadržavati dokaze. Pritom je važno napomenuti kako sami mediji ili podaci ne predstavljaju dokaz, nego su potencijalni izvor dokaza.
  3. Treće pravilo digitalne forenzike glasi da materijal koji je nedvojbeno identificiran kao relevantan za istragu mora biti snimljen na rezervne medije, ispisan ili na neki drugi način sačuvan od uništenja.
  4. Nadalje, pravilo interpretacije definira smjernice pri interpretaciji dobivenih rezultata koji moraju biti u sukladnosti s metodama koje koriste sve strane potencijalno uključene u analizu slučaja. Pritom se osobita pažnja mora posvetiti korištenju alata za automatsko pretraživanje dokaznog materijala i pravilno interpretiranje njihovih izlaznih rezultata.
  5. Univerzalno primjenjivo pravilo digitalne forenzike je predstavljeno dokumentiranjem lanca pristupa  medijima, podacima i dokumentima na ispitivanom sustavu. Forenzički analitičar digitalnih sustava mora detaljno opisati sustave i aplikativnu podršku koju je analizirao, forenzičke alate koji su korišteni, prirodu pronađenih dokaza, ali također i detaljno zabilježiti kronološki tzv. vlasništvo nad informatičkom/računalnom imovinom te mogućnosti (opseg i vrijeme) pristupa. Time se pridonosi  integritetu dokaznog materijala.
  6. Na rad forenzičara ispitivanog sustava primjenjuju se sva pravila koja vrijede za primjenu znanstvene metode, uključujući korištenje priznatih i dokazivih metoda koje može reproducirati nezavisni forenzičar i pritom duplicirati, odnosno reproducirati rezultate, potvrđujući ih.

7.    Istražitelji se u interpretaciju podatak trebaju upuštati samo ako su upoznati s područjem kojim se bavi slučaj kako bi se spriječilo kompromitiranje istrage i dokaza [12].

Forenzičar digitalnih sustava u pravilu može pretraživati, analizirati, vraćati obrisane i podatke i manipulirati praktično svim datotekama sadržanim na istraživanom sustavu, financijske izvještaje i podatke, bilance, dnevnike pristupa, tablične kalkulacije, baze podataka, poruke elektroničke pošte, te multimedijalne datoteke poput zvučnih datoteka i filmova. Nadalje, temeljem podataka o korištenju datoteka i aplikacija, može rekonstruirati način korištenja uređaja ili računalnog sustava, dokazati kada i kako je uređaj korišten, što je korisnik pretraživao na Internetu te povratiti značajnu količinu podataka o tome što je je korisnik pisao ili čitao koristeći uređaj, odnosno što je vidio na ekranu računala.

 

 

2.2    Zakon i digitalna forenzika

Zakon ima presudan utjecaj na digitalnu forenziku jer ima stroga pravila o prihvaćanju prikupljenih podataka kao dokaza. Zakoni nisu isti u svim državama, ali su im namjene i namjere jednake. Kako bi se prikupljene informacije uistinu tretirale kao dokazi mora se održati visoka razina formalnosti u postupanju sa računalom i njegovim spremnicima, te ostalim istraživanim uređajima.

Posebna briga prilikom pristupa podacima osumnjičenika mora se voditi, o  virusima, elektromagnetskim i mehaničkim oštećenjima, a  ponekad i o računalnim zamkama (eng. booby- traps).

U istragama kod kojih vlasnik digitalne opreme nije dao pristanak za inspekciju, a to su krivične istražne radnje, posebno se mora paziti da  stručnjak za računalnu forenziku ima sve dozvole i zakonski autoritet za pregledavanje, kopiranje, otuđivanje i korištenje svih uređaja i njihovog sadržaja  tj posjeduje odgovarajući sudski nalog. Ako to nije slučaj, osim odbacivanja dokaza na sudu, teško je očekivati izbjegavanje pravne tužbe. Stvar na koju  također  treba paziti je osjetljivost informacija do kojih se došlo pretragom, a koje nisu vezane za one podatke važne za istragu.

Kako je digitalna forenzika novija znanstvena disciplina, zakoni koji su temelj za priznavanje elektroničkih dokaza na sudovima su još uvijek u stanju nedorečenosti, a konstantan napredak tehnologije dovodi do većeg broja dokaza, alata i konfuzije.

 U nastavku su navedena dva  zakona  Republike Hrvatske vezana uz prikupljanje digitalnih dokaza, te zapljenu digitalnih uređaja [10].

2.2.1     Pretraga i oduzimanje pohranjenih računala i podataka

Svaka stranka će usvojiti zakonske i druge mjere potrebne kako bi njena nadležna tijela bila ovlaštena izvršiti pretragu ili na sličan način imali pristup:
 

·         Računalnom sustavu ili njegovom dijelu, kao i računalnim podacima pohranjenim u njima.

·         Mediju za pohranu računalnih podataka u kojemu računalni podaci mogu biti pohranjeni na državnom području stranke.

2.2.2     Prikupljanje računalnih podataka u realnom vremenu

1.    Svaka stranka će usvojiti zakonske i druge mjere potrebne kako bi njena nadležna tijela bila ovlaštena u realnom vremenu:

·         prikupiti ili snimiti primjenom tehničkih sredstava na državnom području te stranke, te

·         primorati davatelja usluga u okviru njegovih postojećih tehničkih mogućnosti da:

-   prikupi ili snimi primjenom tehničkih sredstava na državnom području te stranke ili

-   surađuje i pomogne nadležnim tijelima da prikupe i snime
podatke o prometu u vezi s određenim komunikacijama na svojem državnom području prenesenima pomoću računalnog sustava.

2.    Kada stranka zbog uspostavljenih načela svojega unutarnjeg pravnog sustava ne može usvojiti mjere navedene u prvoj točki  stavka 1, ona može umjesto toga usvojiti zakonske i druge mjere potrebne kako bi se osiguralo prikupljanje ili snimanje u realnom vremenu podataka o prometu vezanih uz određene komunikacije na njenom državnom području primjenom tehničkih sredstava na tom području.

  1. Svaka stranka će usvojiti zakonske i druge mjere potrebne kako bi se davatelja usluga obvezalo da čuvaju u tajnosti činjenicu da je iskorišteno neko od ovlaštenja propisano ovim člankom, kao i sve informacije o tome [10].

2.3    Prihvatljivost digitalnih dokaza


Kako bi digitalni dokaz bio prihvaćen, mora biti pouzdan i doprinositi istrazi. Pouzdanost znanstvenih dokaza kao što su izlazne datoteke digitalnih forenzičkih alata određuje sudac.

Postoje četiri općenite kategorije Daubertovog procesa koje se koriste prilikom procjene procedure korištene za analizu dokaza

  Ispitivanje: može li se procedura ispitati

  Statistika pogrešaka: postoji li procjena pogreške procedure

  Objava: je li procedura objavljena i podvrgnuta metodi ocjenjivanja  radova u znanstvenim istraživanjima ili projektima (eng. peer rewiew)

  Prihvatljivost: je li procedura općenito prihvaćena u znanstvenoj zajednici

 

U nastavku su podrobnije objašnjene procedure . Kako se trenutno većina alata digitalne forenzike koristi prilikom pribavljanja podataka sa tvrdih diskova te analize datotečnih sustava,  pojašnjenja se uglavnom  odnosi na alate i procedure kojima se kopira podatke s jedne jedince pohrane ne drugu, te izvlačenje datoteka i podataka iz datotečnog sustava forenzičke kopije  [11].

2.3.1     Ispitivanje

Procedura za ispitivanje dokazuje nam može li se forenzička metoda ispitati, kako bi bilo sigurno da su njeni rezultati točni i precizni. Nad rezultatima procedure provode se dvije kategorije testova:

  lažno negativni i

  lažno pozitivni.

Lažno negativni testovi potvrđuju  prosljeđuje li alat sve podatke s ulaza na izlaz. Na primjer, kada alat izlista sadržaj direktorija, tada bi svi podatci trebali biti vidljivi.

Slično, ako u alatu postoji mogućnost izlista izbrisanih imena datoteka, sve se moraju prikazati. U digitalnoj forenzici ova se kategorija najviše ispituje na alatima, jer je najjednostavnija; na sustav se postave poznati podatci, oni se dobave, analiziraju, te se time potvrdi kako se svi podatci mogu pronaći.

Lažno pozitivni testovi potvrđuju da alat ne uvodi nove podatke u svojim izlaznim podatcima. Na primjer, kada alat ispiše sadržaj direktorija on ne dodaje nove podatke. Ova se kategorija teže ispituje od prethodne. Najčešće se koristi metoda preispitivanja izlaza alata nekim drugim alatom iste funkcionalnosti. Iako se na ovaj način dolazi do dobrih rezultata postoji potreba formaliziranja metodologije ispitivanja.

Pravilan način ispitivanja forenzičkog alata provodi se korištenjem javno dostupne metode. Potrebno je utvrditi kriterije koje svaki tip alata mora zadovoljavati, kao i testove i provjere koji utvrđuju zadovoljavaju li alati tražene kriterije. Korištenjem specifičnih uvjeta pri ispitivanju alata može se pronaći i ukloniti samo određen broj pogreški zbog previše velikog broja mogućih testova. Na primjer, osmišljanje smislenog skupa kriterija i testova za sve alate za analizu  NTFS datotečnih sustava gotovo je nemoguće provesti ako se uzme u obzir kako strukture datotečnih sustava nisu javno dostupne. Kada se problem promatra s strane vremena u kojem je potrebno provesti ispitivanje, malo je vjerojatno kako bi se mogao razviti takvo ispitno okruženje koje bi validiralo svaku postojeću konfiguraciju datotečnih sustava. Činjenica je kako bi kriteriji tih ispitivanja bili znatno stroži kada bi se koristili prilikom  računalne digitalne analize, nego prilikom standardnih ispitivanja aplikacija ili operacijskih sustava. Alat za analizu mora biti u stanju nositi se s svim zamislivim situacijama; inače bi osumnjičenik moga potencijalno stvoriti uvjet koji bi sakrio podatke od istražitelja. Općenito, originalna aplikacija mora ispitati samo mogućnost kako se može nositi s svim uvjetima koje sama može stvoriti. Iako još uvijek ne postoji standardizirana metodologija ispitivanja, nedostatci i pogreške u javno dostupnima i komercijalnim aplikacijama pronalaze istražitelji u polju forenzike i sigurnosti informacijskih sustava, te o njima obavještavaju vlasnike istih.

Argument koji se često spominje protiv javno dostupnih aplikacija je  kako zlonamjerni napadači  mogu pregledom izvornog teksta programa pronaći i iskoristiti nedostatke i ranjivosti, no ovo ni u kojem slučaju nije vezano isključivo s javno dostupnim izvornim kodovima, zapravo alati koji imaju dostupan izvorni tekst programa samo će poboljšati  kvalitetu ispitnog procesa jer se pogreške (eng. bugovi) mogu identificirati  pregledom koda, te osmišljanjem testova zasnovanih na dizajnu i načinu rada softvera. Ove bi testove trebale provoditi kvalificirane osobe, a svi rezultati tih ispitivanja moraju biti objavljeni. Vlasnici komercijalnih aplikacija i alata trebali bi  u najmanju ruku objaviti specifikacije dizajna kako bi  institucije kao što su NIST CFTT, mogle učinkovitije ispitati procedure alata.

 

2.3.2     Statistike učestalosti pogrešaka

Smjernice učestalosti pogrešaka služe nam kao reference postoji li poznata statistička učestalost pogreške (eng. Error rates)  za određeni alat. Alati digitalne forenzike uobičajeno obrađuju podatke sljedeći niz pravila. Ta pravila utvrđuju developeri koji su razvili originalnu ispitivanu aplikaciju. Na primjer, alat korišten za ispitivanje datotečnih sustava koristi specifikacije datotečnog sustava. Ako su te specifikacije javno dostupne tada do pogrešaka ne bi trebalo doći, no ako specifikacije nisu javno dostupne kao što je slučaj kod NTFS datotečnog sustava, tada je moguće da do pogrešaka dođe zbog određenog nerazumijevanja  načina funkcioniranja sustava. Ovdje se mogu povući paralele s metodama ispitivanja asociranih s prirodnim sustavima kao što su ispitivanja DNA strukture ili otisaka prstiju, gdje se mogu dogoditi pogreške ovisno o tome kako je provedeno ispitivanje.

Alatima korištenim u digitalnoj forenzici  definiraju  se dva tipa pogreške; pogreška implementacija alata (eng. Tool Implementation Error), te pogreška apstrakcije (eng. Abstraction error). Do pogreška implementacije alata dolazi zbog korištenja krive specifikacije  ili pogrešaka u izvornom tekstu programa. Pogreška apstrakcije događa se kada alat donosi odluke koje nisu u potpunosti sigurne, odnosno točne. Ovaj se tip pogreške najčešće događa prilikom korištenja tehnika koje smanjuju obujam podataka, ili obradom podataka na način  na koji to originalno nije predviđeno.

Relativno je jednostavno pridružiti pogrešku apstrakcije svakoj proceduri, a ona se smanjuje daljnjim istraživanjem. Teže je dodijeliti  vrijednost pogreške implementacije alata. Njen se izračun provodi za svaki alat, a vrijednost pogreške ovisi o broju pogrešaka u izvornom tekstu programa i njihovoj ozbiljnosti. Kako bi se došlo do tih podataka potrebno je imati pristup prošlim zapisima lista pogrešaka tih alata. Do ovih je podataka relativno jednostavno doći kada se radi o alatu čiji je izvorni tekstu programa javno dostupan iz jednostavnog razloga jer čak iako pogreška nije dokumentirana, može se usporediti najnovija verzija koda s prošlom kakao bi se saznalo koji se dio koda mijenjao. Vrijednost učestalosti pogrešaka  bilo bi jako teško izračunati za komercijalne alate  zbog toga što se njihove pogreške i propuste nikada službeno ne objavljuje, kao niti učestalost pogrešaka ili broj ispravljenih  zbog straha od pada prodaje proizvoda. Kako jednadžba za izračunavanje tih pogrešaka nije predložena, kao mjerilo koristi se popularnost alata, zbog pretpostavke da alat s visokim postotkom pogreške ne bi bio toliko korišten ili kupovan. Za početak ova može pomoći, no trebao bi se pronaći neki znanstveni način utvrđivanja vrijednosti učestalosti pogreške  zbog toga što brojke o prodaji proizvoda ne pokazuju koliko se alat često koristi ili kako kompleksne podatke analizira. Učestalost pogreške mora biti pouzdana za najjednostavnije scenarije analize, kao i za one komplekse u kojim osumnjičenik pokuša sakriti određene podatke od alata. Kako bi izračunali error rate prvo je potrebno razviti ispitnu metodologiju  koje zahtijevaju početne smjernice. Alati s javno dostupnim kodom ili dokumentiranim specifikacijama dizajna  omogućuju jednostavnije stvaranje metodologije ispitivanja.

 

2.3.3     Publikacija

Smjernice o publikaciji pokazuju kako su procedure podvrgnute metodi peer review i kako je ta dokumentacija javno dostupna. Prije je ovo bio glavni uvjet kako bi dokaz bio prihvaćen. Danas postoje peer review časopisi (npr. International Journal of Digital Evidence), u kojima se opisuje koliko je  na primjer alat popularan, te navodi njegove mogućnosti, glavne procedure korištene za analizu i dobavu podataka, ali ne i tehničke procedure korištene prilikom izvlačenja podataka iz originalnog mjesta pohrane. 

Za analizu datotečnih sustava, procedure koje moraju biti objavljene su one koje se koriste za razbijanje slike datotečnog sustava u nekada i tisuće dokumenata koje korisnici stvore u datotekama i direktorijima. Neki datotečni sustavi kao što je FAT imaju javno objavljene detaljne specifikacije, dok drugi kao što je NTFS nemaju. Samo se zaslugom Linux zajednice može doći do detaljne NTFS strukture. Važno je da se za alat objave procedure korištene za obradu datotečnih sustava, pogotovo onih čije dokumentacije nisu javno dostupne. Nadalje, većina alata korištenih za forenzičku  računalnu analizu datotečnih sustava prikazuje datoteke i dokumente koji su nedavno bili obrisani, te ih u nekim slučajevima mogu i vratiti odnosno obnoviti (eng. recover). Ovi zadatci nisu dio originalnih specifikacija datotečnih sustava, te za njih ne postoji standardizirana metoda izvođenja. Imena izbrisanih dokumenata pronalaze se obradom neiskorištenog prostora, te pronalaženjem podataka koji zadovoljavaju određene uvijete i provjere (eng. Sanity check). Ako su ove provjere previše stroge, neka od izbrisanih imena i dokaza neće biti pronađeni. Međutim, ako su zahtjevi previše slabi ili popustljivi, prikazati će se previše velik broj podataka. Detalji ovih procesa moraju se objaviti kako bi istražitelji mogli identificirati  korištene procedure.

Forenzički časopis FBI-a (eng. Federal Bureau of Investigation) 1999. godine objavio je dokument o korištenju digitalne fotografije, gdje se navodi kako proizvođači softvera koji se koristi za obradu slika mogu biti zamoljeni da predaju izvorni tekst programa na pregled, te kako  odbijanje istoga vodi odbijanju dokaza prikupljanih i obrađenih tim alatom. Ova izjava pokazuje kako softver developeri moraju biti spremni na objavljivanje izvornih kodova svojih proizvoda ukoliko žele da se oni koriste za generiranje, analizu i prikupljanje mogućih  dokaza. Ako proizvođač na to nije spreman, dužnost mu je tu činjenicu naglasiti prije prodaje alata za analizu. Ako sud dozvoli pregled izvornog koda od strane stručne osobe, ali ne i njegovo objavljivanje, tada se ove slijednice mogu prihvatiti ako postoji opće prihvaćena tehnika obrade podataka. Stručni  svjedok može u tom slučaju usporediti izvorni tekst programa s prihvaćenom procedurom, te provjeriti ako se ispravno implementira.

 

2.3.4     Prihvaćanje digitalnih dokaza

Slijednice prihvaćanja  digitalnih dokaza koriste se u  znanstvenoj zajednici prilikom evaluacije objavljene procedure. Prihvaćanje alata nije ekvivalentno prihvaćanju svih njegovih procedura. Ako postoji malen broj alata koji provode neku proceduru, a niti jedan od njih nema objavljene detalje provedbe te procedure ili njene poznate pogreške, tada će izbor alata vjerojatno biti temeljen na ne proceduralnim faktorima kao što su sučelje ili programska podrška. Dok se proceduralni detalji ne objave i postanu faktor prilikom kupnje računalnih forenzičkih alata za analizu, broj korisnika pojedinog alata nije valjana mjera prihvaćanja procedura. Alati s javno dostupnim kodom dokumentiraju procedure koje koriste, prilaganjem izvornog koda, omogućujući znanstvenoj zajednici da ih odbiju ili prihvate.

Kako bi alati korišteni za digitalnu forenzičku analizu bili prihvaćeni potrebno je poduzeti sljedeće korake:

  Razvoj razumljivih testova za sve alate korištene za analizu  datotečnih sustava.

  Publikacija dizajna alata kako bi se mogli izraditi efektivniji  i precizniji testovi za te alate.

  Stvaranje standarda za izračun učestalosti pogrešaka za alate kao i procedure koje koriste.

  Publikacija specifičnih procedura i njihovih opisa.

  Javne rasprave o učinkovitosti alata.

Alati korišteni u  digitalnoj forenzici daju nam odgovore na temelju kojih se može otpustiti zaposlenika, osuditi zločince, dokazati nevinost... Cilj alata digitalne forenzike stoga  ne  bi trebala biti samo dominacija na tržištu. Digitalna forenzika znanost je u nastanku koja treba težiti stalnom usavršavanju. Korištene se procedure moraju objaviti, ispitati njihova učinkovitost, debatirati o njihovoj preciznosti, te ih i  formalno ispitati [11].

3.    Digitalna forenzička istraga

Cilj  računalne forenzičke istrage  je identifikacija digitalnih dokaza prikupljenih u sklopu istrage. U istrazi se prilikom rekonstrukcije  tijeka događaja  koriste fizički, kao i digitalni dokazi. Primjeri istraga koje koriste digitalnu forenziku uključuju napade na računala, neautorizirana korištenja korporacijskih računala, dječja pornografija, te bilo koji fizički zločin u kojem je osumnjičenik posjedovao računalo, ili bilo kakav elektronički  medij sa kojeg je moguće prikupiti podatke.

 

Digitalna  forenzička istraga sastoji se od tri glavne faze:

 

1.    Dobavljanje dokaza

 

2.    Analiza dokaza

 

3.    Prezentacija rezultata

 

Faza  dobavljanja omogućuje očuvanje stanja digitalnog sustava kako bi se on kasnije mogao analizirati. Ova se faza analogno može poistovjetiti s uzimanjem otisaka prstiju, krvi, ili tragova guma, te fotografiranjem na mjestu zločina.  Kako se prilikom sakupljanja dokaza ne zna koji će materijali biti korisni u istrazi, cilj je kopirati sve digitalne vrijednosti. Kopiraju se alocirana i nealocirana područja tvrdog diska, odnosno izradi se identična kopija diska (eng. image). Alati koji se koriste moraju u što manjoj mjeri mijenjati istraživani medij i podatke na njemu [12].

 

U fazi analize prikupljeni se podatci ispituju, kako bi se identificirali dijelovi dokaza potrebni u istrazi. Kategorije dokaza ugrubo se dijele na tri kategorije:

·         Inkriminirajući dokazi (eng. Inculpatory Evidence): oni koji podupiru teoriju istraživača.

·         Oslobađajući dokazi (eng.  Exculpatory Evidence):oni koji pobijaju teoriju istraživača

·         Dokazi o manipulaciji (eng. tampering): ovi dokazi pokazuju kako je sustav podvrgnut namjernim promjenama kako bi se izbjegla identifikacija.

 

Ova faza uključuje pretragu sadržaja direktorija i datoteka, kao i povrat (eng. Recovery) izbrisanog sadržaja. Alati korišteni u ovoj fazi  analiziraju sustave direktorija, sastavljaju liste imena izbrisanih  datoteka, ostvaruju njihov povrat i predstavljaju podatke u najkorisnijem formatu.

U ovoj se fazi prilikom analize koristi identična kopija originalnih podataka, što se može jednostavno provjeriti izračunavanje MD5 checksum. Važno je da ovi alati prikažu sve podatke koji postoje u forenzičkoj kopiji sustava.

Faze dobavljanja i analize podataka odvijaju se u istim koracima bez obzira gdje i tko obavlja istragu (korporacije, državne agencije, vojska), dok se prezentacijska faza znatno razlikuje u određenim okolnostima jer je u cijelosti zasnovana na sigurnosnim politikama i zakonima određenih institucija u kojima se provodi. U fazi prezentacije predstavljaju se  zaključci  dobiveni analizom i proučavanjem dokaza.

Sam oblik izvještaja ovisi o specifikacijama traženim od naručitelja istrage, odnosno suda gdje se rezultati izlažu. Uobičajeni oblik sadržava kratak zaključak o rezultatima istrage, detaljan opis dokaza te način njihova prikupljanja kao i metode korištene prilikom analize dokaza.

Dokumentacija izvještaja  uobičajeno se sastoji od nekoliko dijelova:

·         Radna dokumentacija:dokumentirane su korištene procedure, alati i metode, te doneseni zaključci.

·         Prvi izvještaj(eng. Preliminary report): ako se prilikom istrage zahtijevalo izvršavanje data sampling analize.

·         Konačni izvještaj.

slika_temp.bmp

Slika 3.1Tijek digitalne forenzičke istrage

3.1    Pripreme prije istrage

 

·         Prilikom provedbe istraga unutar korporacija, uvijek je korisno razgovarati s IT djelatnicima, te doznati način i lokacije skladištenja podataka. Loša strana ovog pristupa je naravno moguće otkrivanje provedbe istrage neautoriziranim osobama.

·         Određivanje vremenskog razdoblja važnog za istragu, te obujam podataka koje treba pretražiti kako bi se izbjegla analiza nepotrebno velike količine podataka, kao i preskakanje moguće važnih.

·         Određivanje  tipova informacija važnih za istragu, kako bi se skratilo vrijeme i smanjio obujam pregledanih  informacija.

·         Određivanje riječi, imena, jedinstvenih fraza pomoću kojih je moguće filtrirati podatke, te pronaći one važne

·         Prikupljanje korisničkih imena i zaporki mrežnih i računa elektroničke pošte.

·         Utvrditi broj računala te ostalih medija, kao i internet promet koji bi mogao sadržavati važne dokaze.

Prilikom obrade računala čija se vjerodostojnost ne može utvrditi, inicijalno se taj sustav smatra nesigurnim dok se ne dokaže suprotno. Prilikom izvršavanja programa koriste se dijeljene biblioteke za izvršavanje rutinskih sustavskih  naredbi, koje pritom mijenjaju vremena pristupa tim zajedničkim datotekama. Vremena pristupa važna su prilikom istrage kada je potrebno utvrditi slijed događaja pojedinih aktivnosti. Kako bi se izbjegle ovakve situacije, izrađuju se kompleti alata koji koriste potrebne biblioteke pohranjene i statički kompajlirane na nekom mediju. Preporučuje se odabir alata koji kao rezultat daju izlazno specifične informacije čijom se kompilacijom može utvrditi sustavske međuovisnosti i koje  je moguće statički kompajlirati.

 

 

3.2    Dobavljanje podataka

 

Jedno od pravila digitalne forenzike jest kako se nad originalnim podatcima ne smiju provoditi analize već se stvara identična kopija kako se ne bi uništilo originalne podatke. Stvaranje forenzičke kopije naziva se dobavljanje ili akvizicija (eng. acquisition). Forenzička kopija naziv je za završni produkt forenzičkog prikupljanja  informacija s tvrdog diska ili drugih medija za pohranu informacija istraživanog računala. Forenzička kopija naziva se i  bitstream kopija, ili bitstream slika (eng. bitstream image), zbog toga što predstavlja identičnu bit-po-bit kopiju originalnog dokumenta, datoteke, particije, slike, fotografije, ili diska.  Svi su metapodatci, datumi dokumenata, slack područja, neispravni sektori u slici identične kopije originala. U praksi je uobičajeno ostvariti nekoliko forenzičkih kopija u slučaju da se nešto dogodi slici koja se obrađuje.

Prikupljanje nije isto što i kopiranje dokumenata s jednog medija na drugi. Kopiranjem se ne mogu očuvati datumi i vremenske oznake (eng. time stamps).

Postoji nekoliko načina izrade slike, korištenjem specijaliziranog softvera:

·         Zrcalna kopija: ovaj način očuvanja dokaza temelji se na metodi hvatanja (eng. capture) ili kopiranja svih podataka na disk, kako bi se stvorila neinvazivna zrcalna kopija (eng. mirror image) kopiranog diska. Mirror image može, ali i ne mora predstavljati identičnu kopiju originala  zbog toga što se ona općenito koristi kao sigurnosna kopija (eng. backup), a u zahtjevnijim situacijama mirror image ne tretira se kao forenzička kopija.

·         Sektor-po-sektor kopija  ili bitstream: ova naprednija metoda započinje na početku diska te kopira svaki bit, jedince i nule, sve do kraja, bez brisanja ili ikakvog  mijenjanja podataka. Kopiraju se i neiskorišteni dijelovi, kao i nealocirani dijelovi diska zbog toga što se na njima često nalaze izbrisani podatci.

 

Definicije nekoliko  pojmova koji se često koriste kao sinonimi, što pri  svakodnevnom korištenju računala ne predstavlja problem, no prilikom forenzičke analize razlika između bitstream kopije i kopije  veoma je velika:

-       Kopija: uključuje samo informacije o datotekama, ne i o slack ili nealociranom prostoru, nisu očuvane vremenske oznake.

-       Pričuvna kopija (eng. Backup): datoteke kopirane za buduću restauraciju, služe kao sigurnosna kopija

-       Slika (eng. Image): kopija datoteka kompletnog diska  kreirana zbog dupliciranja ili restauracije 

-       Kopija bit-po-bit ili Bitstream kopija: Egzaktna replika svih sektora

 

3.2.1     Isključiti ili ne isključiti

Prihvatljiva je činjenica kako je moguće gašenjem računala nepovratno izgubiti dio dokaza ukoliko nisu bili pohranjeni, ali će integritet već prisutnih dokaza biti očuvan. Ranjivi podatci moraju se sakupiti s uključenog računala. Sakupljanje postojanih  podataka provodi se drukčije  gašenje računala može pokrenuti maliciozni softver koji na primjer briše dokaze. Ukoliko postoji sumnja kako postoje takvi zloćudni programi, preporučuje se isključivanje kabla napajanja. Nakon gašenja računala istraživač ima dvije opcije:

1.    Odstraniti tvrdi disk , te ga  ugraditi kao read-only komponentu na računalo korišteno za forenzičke preglede.

2.    Ako je nemoguće odstraniti medij za pohranu podataka, podatcima se pristupa  bootanjem računala sa live verzijom operacijskog sustava kao što je Knoppix STD il Helix. Oboje sadržavaju potrebne forenzičke alate potreban za izradu forenzičke kopije.

3.2.2     Ispravan način dobavljanja digitalnih dokaza

Temelji računalne forenzičke istrage ne svodi se na kompromitirajuću e-poruku koja dokazuje pronevjeru direktora kompanije. Istraga ovisi o tome kako se forenzički prenese podatke s jednog mjesta na drugo bez njihova mijenjanja, kompromitiranja ili uništavanja, te o naknadnoj analizi i prezentaciji relevantnih podataka [11].

Dobavljanje podataka na forenzički prihvatljiv način temelj je svake kvalitetne forenzičke istrage. Ukoliko se taj korak ne obavi prema određenim pravilima, svi kasniji pronalasci, kao i otkriveni dokazi i informacije mogu se odbaciti zbog nepravilnog dobavljanja kopija originalnih podataka. Glavna zapreka prilikom stvaranja prihvatljive forenzičke kopije je mogućnost da se  prilikom pokušaja kopiranja podatci na neki način izmijenjene. Oprema koja se koristi prilikom dupliciranja podataka ovisi o mediju s kojeg se ti podatci trebaju kopirati. Uobičajeni  postupak uključuje dokumentiranje svakog učinjenog koraka prilikom dobave podataka. Generalizirani format procesa dobave podataka može se podijeliti na nekoliko koraka:

1.    Određivanje tipa medija na kojem se radi.

2.    Pronalazak odgovarajućeg  alata.

3.    Prijenos podataka: koristeći odgovarajući opremu prenose se podatci na sterilni medij(u koliko je to potrebno), pritom koristeći alat kojim je moguće potvrditi integritet podataka, te njihovu autentičnost

4.    Autentificiranje  i provjera integriteta prenesenih  podataka provjerom checksum i hash vrijednosti.

5.    Stvaranje radne kopije forenzičke kopije kopije. U praksi originalnim se podatcima pristupa jednom, forenzičkoj kopiji dva puta, a radnoj kopiji koliko god je puta potrebno prilikom istrage. Razlog izrade duplikata kopije jest potreba za radnom kopijom  koju se obrađuje i koju se u slučaju gubitka ili uništenja podataka jednostavno može zamijeniti bez daljnjeg kompromitiranja originalnih podataka. Izradi duplikata pristupa se kao da je forenzička kopija originalni skup podataka.

 

Korištenje  softvera za brisanje podataka s forenzičkog medija za pohranu podataka važan je korak pri osiguravanju kako podatci dobavljeni na taj uređaj nisu kontaminirani podatcima prijašnjih slučajeva. Osnovni proces brisanja medija za pohranu  sastoji se od zapisivanja niza binarnih znamenki  po cijelom fizički raspoloživom području. Medij prebrisan ovom metodom naziva se sterilan uređaj za pohranu. Softver za brisanje medija najčešće je uključen u pakete forenzičkih alata, no postoje i samostalni kao što su  Lsoft Technologies Hard Drive Eraser, White Canyon Wipe Drive 5. Jedina mana ovog tipa softvera jest dugo vrijeme izvođenja. Prilikom brisanja većih diskova, proces može trajati i danima.

 

3.2.3     Određivanje tipa medija

Tipovi medija za pohranu podataka mogu se podijeliti na:

·         Ugrađeni uređaj za pohranu podataka (eng. Fixed storage device):  bilo koji uređaj za pohranu podataka koji je trajno priključen u računalu.

·         Prijenosni uređaji za pohranu podataka: floppy diskete, flash memorije, iPod, MP3 player, mobilni telefoni, neki tipovi ručnih satova...

·         Ugrađen memorijski prostor za pohranu podataka (eng. Memory storage area): s prijelazom  sa stolnih računala na mobilne uređaje, sve se više dokaza pronalazi u memorijama tih uređaja. Očiti primjer ove kategorije jest mobilni telefon, PDA dlanovnik, koji često spremaju podatke samo u izbrisivu (eng. Volatile) memoriju. Kada se baterija iscrpi, podatci se gube. Manje očita mjesta za pronalazak dokaza  u volatile memorijama su RAM područja stolnih i prijenosnih računala te poslužitelja, kao i mrežnih uređaja.

·         Mrežni uređaj za pohranu podataka ( eng. Network storage device): usmjerivači, preklopnici, pa i bežične točke pristupa (eng. Wireless acess points) arhiviraju potencijalno korisne forenzičke informacije.

·         Memorijske kartice: mnogi uređaju koriste i digitalne memorijske kartice uz ugrađenu RADNU memoriju kako bi se povećao kapacitet pohranjivanja podataka. Najčešći tipovi su SD i MMC flash kartice.

3.2.4     Pronalazak odgovarajućeg alata

Prilikom dobavljanja forenzičke slike, koristi se metoda bit-po-bit  kopiranja, kojom se kopira svaki bit  s originalnog medija od fizičkog početka do fizičkog kraja. Koncept je veoma jednostavan, no bez odgovarajućih alata njegovo izvršenje može biti problematično. Dobavljanje bitstream slike komplicirano je iz dva razloga; Operacijski sustav ne prepoznaje cijeli tvrdi disk  i integritet sustava može biti kompromitiran.

Operacijski sustavi alociraju prostor na svojim medijima za pohranu podatka, no uvijek preostane malen dio tvrdog diska koji nije dostupan operacijskom sustavu. Na primjer, Windows OS prepoznaje 95.8 GB od 100 GB fizičkog  prostora na tvrdom disku. Gubitak prostora za pohranu podataka ne događa se samo na tvrdim diskovima već  i na medijima kao što su flash memorijske kartice, kamere, pa čak i mobilnim telefonima.Operacijski sustav rijetko  koristi svaki fizički raspoloživ bit. Većina operacijskih sustava radi na taj način, stoga se istražitelj mora pouzdati na alat koji ne koristi operacijski sustav  lokalnog računala kako bi dobavio bitove s medija za pohranu podataka. Neki od tih alata navedeni su u nastavku:

·         FTK, EnCase, Paraben: alati koji ispravno funkcioniraju na većini  operacijskih sustava (Windows, Linux, Apple).

·         Hex editori, utilities na razini sustava: softverski alati koji se koriste za detaljniju pretragu struktura datotečnih sustava i njihovih dokumenata. Za njihovo ispravno korištenje potrebno dobro poznati specifične datotečne sustave.

·         Duplikatori diskova: sklopovski uređaji kao što je Logicube Forensic Talon, dupliciraju medije za pohranu podataka u kratkom vremenu, te na forenzički prihvatljiv način s propusnošću  i do 4 GB podataka u minuti.

·         Zaštite protiv pisanja (eng Write protectors, blockers): Na primjer Weibtech Forensic Ultradock sprječava slučajno ili namjerno zapisivanje, brisanje ili formatiranje podataka na disku tijekom pregleda ili dobave podataka. Write blocker alati odgovaraju na zahtjev pisanja operacijskog sustava porukom koju  OS očekuje nakon što je već obavljeno pisanje ili brisanje  na mediju. Postoje dva tipa alata write blocker; fizički  i logički. Fizički write blocker presreće podatkovne signale s podatkovne sabirnice računala, te odgovara odgovarajućim podatkovnim signalima na način na koji bi i sama sabirnica odgovorila operacijskom sustavu. Write blocker alati ovoga tipa rade nezavisno o operacijskom sustavu istraživanog računala. Logički write blocker najčešće dolaze u paketu računalnih forenzičkih softvera, oni presreću  pozive za pisanje na softverskoj razini, i specifični su za svaki tip operacijskog sustava.

 

3.2.5     Prijenos podataka

Prilikom dobavljanja podataka tipa sa računala na računalo, kao platforma za izvlačenje podataka na računalo istražitelja koristi se istraživano računalo.Od svih metoda prijenosa podataka, ova najčešće izaziva slučajnu korupciju podataka, zbog načina na koji se podatci moraju dobaviti. Koriste se dvije metode spajanja kabelima:

·         Paralelni : najsporija metoda, no najbolja, spaja se izravno računalo s računalom.

·         Mrežni : nešto brža metoda, spaja računalo na mrežu  istraživanog računala LAN kabelom.

Ograničavajući faktor obije metode  je količina podataka koja se može prenijeti u jedinici vremena. Obije metode korisne su prilikom pregleda materijala, i traženja očitih dokaza, no općenito ih se ne isplati koristiti za kopiranje podataka većih od 50GB.

Sljedeći problem koji se može pojaviti korištenjem ove metode prijenosa podataka jest mogućnost korupcije podataka ili modifikacija dokaza. Koristeći ovu metodu operacijski sustav  istraživanog računala boota se pomoću  forenzičkog boot medija. Ponaša se kao softverski write blocker koji spaja forenzičko računalo  kako bi prijenos podataka bio moguć. Boot medij može biti floppy disketa, CD, DVD ili čak USB uređaj. U slučaju nepažnje ili ne pridržavanja procedure izvlačenja, postoji velika vjerojatnost kako će se računalo podići  korištenjem svog lokalnog  tvrdog diska, te time potencijalno obrisati podatke koji su možda važni u istrazi, ili kompromitirati kredibilitet istrage. Prijenos podataka između dva računala odvija se u sljedećim koracima:

 

1.    Ukoliko je računalo ugašeno, isključiti kabel napajanja.

2.    Otvoriti kućište, te odspojiti napajanje diska za pohranu podataka.

3.    Ponovno spojiti kabel napajanja, uključiti računalo te ući u BIOS.

4.    Promijeniti redoslijed na koji računalo diže sustav, kako bi korišten boot medij bio na prvom mjestu, te sačuvati načinjene promijene.

5.    Umetnuti korišteni medij, restartati računalo, provjeriti funkcionira li sve.

6.    Ugasiti računalo, ponovo spojiti tvrdi  disk te uključiti računalo, pokrenuti forenzički softver za prijenos ili pregled podataka.

 

Dobavljanje podataka  kopiranjem s uređaja za pohranu podataka na računalo  znatno je brže i sigurnije. Način dobave podataka:

1.    Otkrivanje tipa istraživanog medija

2.    Korištenje  ispravnog  write blocker alata: ovaj korak može biti problematičan ukoliko se istraga obavlja na licu mjesta zbog toga što forenzički paketi sadržavaju limitiranu selekciju sučelja za spajanje.

3.    Prikupljanje podataka  forenzičkim softverom.

4.    Izrada radne kopije.

3.2.6     Provjera integriteta sačuvanih podataka

Kako je digitalne podatke  iznimno jednostavno mijenjati u forenzičkim je postupcima bitno utvrditi kako se podatci nakon dobavljanja  i analize nisu mijenjali. Ukoliko forenzička slika nije autentificirana, može se dogoditi da se svi dokazi prikupljeni s nje ne mogu uzeti u obzir. Kako bi se takve situacije izbjegle koriste se alati ako što su FTK Imager, ili ENCase prilikom stvaranja forenzičke kopije. Ovi programi sastavljaju izvještaj koji uključuje dva digitalna otiska prstiju koji se nazivaju MD5 i SHA1 hash vrijednosti, pomoću kojih je moguće identificirati i autentificirati prikupljene podatke. Hash vrijednosti omogućuju matematičko dokazivanje kako su dokazi i njihovi duplikati identični. Ukoliko se duplikat mijenja, hash vrijednosti im se više neće poklapati.  Autentifikacijom elektroničkih dokaza utvrđuje se dodatno i jeli računalo s kojeg su prikupljeni podatci u tom trenutku ispravno funkcioniralo.

 

Ponekada hash vrijednosti ne odgovaraju zbog tehničkih razloga, od kojih su najčešći:

·         Medij s kojega dobavljamo podatke počinje se kvariti, softver nije u mogućnosti ispravno prenijeti podatke s jednog medija na drugi, stoga hash vrijednosti ne odgovaraju.

·         Korištena oprema nije ispravna: originalni medij je ispravan, kao i ciljni medij, no transportni medij nije.

Iznimni slučajevi u kojima se checksum ne mogu podudarati su oni  u kojima se radi na računalima, mobitelima, te ostalim uređajima koji su aktivni, tj podatci na njima se još uvijek  mijenjaju.

 

3.2.7     Prikupljanje ranjivih podataka

Računalna se forenzika tradicionalno fokusirala na istraživanje, razvoj i implementaciju ispravnih tehnika, alata i metodologija za prikupljanje, pohranu i očuvanje osjetljivih podataka ostavljenih na medijima za pohranu. Osobe koje prve pristupaju istraživanom računalu (mrežni i sustavski administratori, policijski istražitelji), općenito reagiraju na sigurnosni incident tako da isključe  i osiguraju  računalo. Nakon isključivanja, sakupljaju se postojani podatci s medija za pohranu podataka. Isključivanje računala onemogućuje sakupljanje ranjivih informacija (eng. Volatile data).

Postoje mnogi open source alati koji omogućuju izvlačenje ranjivih podataka s računala, no većina ih je specifično dizajnirana za prikupljanje samo dijelova ranjivih podataka, ovisno o njihovoj lokaciji i tipu.

Ranjivi podatci pohranjeni su u memoriji sustava; na primjer sustavskim registrima, cache memoriji, radnoj memoriji, i gube se ukoliko računalo više nije spojeno na izvor napajanja, ili  se resetira. Ranjivi podatci trebali bi se prikupiti ukoliko istražitelj nije siguran zbog čega računalo ne radi normalno, ako se primijeti neuobičajena aktivnost korisnika, odnosno ako je prekršena neko sigurnosno pravilo  ili dobivena obavijest od strane zaštitne stijene ili IDS-a (eng. Intrusion detection system). Prva reakcija na računalni sigurnosni incident trebalo bi biti prikupljanje ranjivih podataka, te analiza rezultata kako bi se utvrdio daljnji slijed događaja.

Postojani podatci nalaze se na tvrdim diskovima računala, i ostalim medijima za trajniju pohranu podataka kao što su  prijenosne memorije (USB memorije), flash kartice, CD, DVD, vanjski tvrdi diskovi, i obično se ne gube kada se računalo ugasi ili resetira. Općenito, postojani  podatci se sakupljaju kada se zna kako se podatci vezani uz sigurnosni incident  nalaze na stalnim mjestima za pohranu.

Prilikom prikupljanja postojanih podataka kontaminaciju je moguće izbjeći pridržavanjem ustaljenih i provjerenim metoda te korištenjem  provjerenih alata koji stvaraju bit-po-bit kopiju podataka i generiraju checksum zbog provjere integriteta  i autentifikacije kopije  podataka. Prilikom prikupljanja ranjivih podataka, teže je izbjeći kontaminaciju, zbog toga što sami korišteni alati i njihove procedure mogu promijeniti datume i vremena pristupa podatcima, koristiti zajedničke dinamičke povezne biblioteke (eng. Dinamic Link Library, srkać. DLL),  izazvati pokretanje zlonamjernih programa, ili resetiranje računala. Bit-po-bit kopiju ranjivih podataka očito nije moguće izraditi, no korištenjem provjerenih alata moguće je prikupiti podatke i rekonstruirati logičnu reprezentaciju trenutnog stanja istraživanog računala.

 

vol.bmp

Slika 3.2 Hijerarhija ranjivosti podataka

Prilikom prikupljanja podataka s računala koje radi, važno je uzeti u obzir hijerarhiju ranjivosti podataka: tj prvo se prikupljaju podatci koji će se najvjerojatnije najbrže promijeniti, modificirati ili izgubiti. Na Slici 3.2 prikazana je hijerarhija ranjivih podataka.

Ranjive podatke  pohranjene u radnoj memoriji potrebno je, ako je moguće ,dohvatiti čim se dogodi sigurnosni incident  kako bi se sačuvali podatci o trenutnom stanju računala uključujući prijavljane korisnike, aktivne procese, otvorene veze. Ovi podatci omogućuju rekonstrukciju vremenskog slijeda događaja sigurnosnog incidenta, nekad  i mogućeg počinitelja. Nakon prikupljanja što je više moguće ranjivih podataka, odlučuje se o daljnjim akcijama na temelju njihove analize [11].

Dvije najčešće pogreške koje se događaju prilikom prikupljanja ranjivih podataka:

·         Gašenje ili resetiranje računala: U ovom slučaju svi se ranjivi podatci gube, uspostavljene veze, gase se aktivni procesi, mijenjaju se MAC vremena.

·         Pretpostavka kako su neki dijelovi računala pouzdani, te se njihovim korištenjem može  slučajno pokrenuti zloćudne programe koji mogu uništiti ključne dokaze

3.2.8     Tipovi ranjivih informacija

S istraživanog računala moguće je sakupiti dva tipa ranjivih informacija:mrežne i informacije o sustavu.

Ranjive informacije sustava predstavlja skup informacija o trenutnoj konfiguraciji i radnom stanju  istraživanog računala. Ova se skupina dalje dijeli prema alatima koji sakupljaju samo određene tipove informacija kao što su:

·         Profil sustava

·         Trenutno vrijeme i datum sustava

·         Naredbena povijest

·         Aktivni procesi

·         Otvoreni dokumenti, bilješke, start up files

·         Trenutno prijavljeni korisnici

·         DLL i dijeljene biblioteke

 

Ranjive mrežne informacije predstavlja skup informacija o stanju mreže na koje je spojeno istraživano računalo, ova se skupina dalje dijeli na:

·         Aktivne veze

·         Otvoreni portovi i sockets

·         Informacije o usmjeravanju i konfiguraciji usmjerivača

·         ARP cache za identifikaciju nedavno uspostavljenih veza sa internetom  pruža uvid s kim je korisnik komunicirao, što je slao a što primao

 

Informacije o usmjeravanju prikupljaju se zbog uvida u konfiguracije tablica usmjeravanja, te nedavno dodane konekcije. Treba obratiti pozornost na statički dodane usmjerivače, nepoznate IP adrese i MAC adrese.

3.2.9     Prikupljanje skrivenih podataka

Izazov svakom  forenzičkom istražitelju predstavljaju skriveni, ili prerušeni podatci. Zajednički naziv za takve podatke jest nevidljivi digitalni dokazi (eng invisible electronic evidence). Istraživač mora otkriti pokušaje prikrivanja, te doći do skrivenih informacija, time svrstavajući ovaj dio računalne forenzike u jedan od najintrigantnijih i najzahtjevnijih.

 

Kriminalci i vlade skrivali su podatke tisućama godina, koristeći tehnike  kao što su šifre pomicanja baze abecede za dogovoreni ključ npr A=B, B=C, koju je prvi koristio Julie Cezar, pa do današnje steganografije koja se koristi metodama integriranja podataka u sliku ili neki drugi dokument. Cilj skrivanja podataka jest prikrivanje poruke, a to se postiže koristeći jednu ili više od sljedeće tri taktike:

        Nevidljivi podatci: na primjer poruka je sakrivena u prostoru tvrdog diska kojem operacijski sustav nema  pristup .

        Prerušeni podatci: poruka je sakrivena u objektu ili stvari koja izgleda nevažno, odnosno nepovezano kako bi poruka ostala skrivena .

        Nečitljivi podatci: poruka se bez pokušaja sakrivanja ili prerušavanja šifra, tako da ju nitko osim onoga za koga je namijenjena ne može pročitati. Primjer ove metode jest kriptiranje; primaoc ima ključ i zna gdje i kako pročitati poruku.

 Ako su podatci skriveni, kako znati da su uopće prisutni? Postoji toliko raznih načina skrivanja podataka, kako je za njihov pronalazak potrebno koristiti razne alate i metode.  Forenzički istražitelj treba tražiti pokazatelje kako je netko koristio neku od metoda sakrivanja. Na primjer, inženjerska kompanija sumnja kako njihov zaposlenik krade važnu intelektualnu imovinu, šaljući ju preko kompanijine mreže novom kupcu. Istražitelji u potrazi za digitalnim dokazima pregledom lokalnih tvrdih diskova ne nalaze ništa, no prilikom pregleda kompanijinih dnevnika elektroničke pošte pronađu dva elektronička pisma s fotografijama u prilogu, poslanima od strane osumnjičenika. Kada se steganografskim putem sakrivaju podatci unutar drugih dokumenata, veličina istih poraste, pogotovo ako su slike u pitanju. Koristeći algoritme za detekciju steganografskih poruka, istražitelji otkriju kako su u slikama skriveni planovi novog projekta kompanije.

 

Kriptiranje i kompresija

Formalna definicija kriptografije  glasi: kriptografijom se pronalaze načini i skrivaju informacije s ciljem zaštite  njihova  čitanja bilo koga, osim osobe za koju su namijenjene.

U računalnoj forenzici, najčešće se pojavljuju dva tipa modifikacije: kriptiranje i kompresija. Obije metode koriste algoritme koji mijenjaju inicijalne podatke.

Kriptiranje: čitki se tekst, podatak, poruka ili bilo koji drugi tip dokumenta, kriptira koristeći algoritam i tajni ključ, kako bi nastao kodirani podatak. Uz pomoć ključa šifre kodirani podatak ponovo postaje čitljiv tekst. Kriptiranje ima samo jednu svrhu; učiniti podatke nečitljivima za sve osim namijenjenog primatelja. Kriptirane podatka prilično je jednostavno uočiti jer imaju slične strukture dokumenata ili ekstenzija.

 Dva se tipa kriptografskih metoda najčešće koriste:

·         Asimetrična: ovaj sustav koristi dva ključa, javni i tajni. Javnim se ključem neke osobe kriptiraju podatci, a primaoc poruke svojim tajnim ključem  dekriptira poruku.

·         Simetrična: ovaj sustav koristi samo jedan ključ, koji dijele primaoc i pošiljatelj, on se koristi za kriptiranje i dekriptiranje podataka, što olakšava kompromitiranje njegove sigurnosti. Simetrični ključevi općenito su kraći i lakše se probijaju.

 

Kompresija: Glavni  cilj ove metode jest smanjiti veličinu originalnog dokumenta, te kao rezultat smanjenja dokument postaje neprepoznatljiv u usporedbi s originalnom formom, iako je sam razlog kompresija podataka, a ne njihovo skrivanje.

 

Metode skrivanja podataka

Postoji toliko načina skrivanja podataka, da je nemoguće sve navesti, no u nastavku su ukratko opisani oni najčešće korišteni. Svaka od ovih taktika, s iznimkom steganografije, poprilično se jednostavno otkriva kada se primjenjuju pojedinačno, te se do  skrivenih podataka može doći korištenjem specijaliziranih alata. Pravi problemi nastaju kada lukavi korisnici kombiniraju tehnike skrivanja podataka i prikrivanja svojih akcija. Na primjer netko kriptira podatak koristeći asimetričnu kriptiranje kao što je PGP, i tada umetne dokument u audio dokument koristeći stegenografski program.

 

Ekstenzije dokumenata

Popularna i uvelike korištena metoda skrivanja podataka jest mijenjanje njihove ekstenzije na kraju imena. Otkrivanje promjene ekstenzije obavlja se usporedbom zaglavlja ispitivanog dokumenta s zaglavljem dokumenta istoga tipa za koji je istraživač siguran kako ima ispravnu ekstenziju. Zaglavlje dokumenta niz je bitova smješten na njegovom početku, te pomoću njegova čitanja programi otkrivaju mogu li otvoriti dokument. Čak i kada je ekstenzija dokumenta promijenjena, program za koji je originalno bio namijenjen i dalje može otvarati dokument, s druge strane kada se promijeni zaglavlje dokumenta, program ga više ne prepoznaje.

Zaglavlja je moguće mijenjati Hex editorima, programima koji doslovce čitaju podatke bit po bit, bez obzira koje su ekstenzije.

 

Skriveni dokumenti

Svi operacijski sustavi dodjeljuju atribute dokumentima. Specifičan tip atributa jest mogućnost skrivanja dokumenta, ili preciznije, mogućnost označavanja dokumenta, datoteke kao skrivene, što se može poistovjetiti s brisanjem, skriveni dokumenti su isto toliko skriveni koliko i obrisani dokumenti obrisani, što je detaljnije objašnjeno u daljnjim poglavljima.

 

Skriveni dijeljeni prostori

Hidden shares  dijeljena su mrežna područja gdje se pohranjuju podatci, no dijeljena područja su sakrivena, tj nedostupna. Ona se mogu nalaziti i na udaljenim računalima, te mogu biti zaštićena lozinkama.

 

Alternativni tokovi podataka

Neuobičajeni koncept pohrane podataka metodom alternativnih tokova podataka (eng. Alternate data streams, kratica ADS) započeo je s Windowsima NT, uveden kao zakrpa kompatibilnosti za Macintosh HFS sustav. Implikacija ove zakrpe je kako se podatci mogu prikačiti na postojeće datoteke  bez mijenjanja njihovih atributa, s iznimkom vremenske oznake. Ovi podatkovni tokovi omogućuju asocijaciju višestruke forme podataka sa datotekom ili dokumentom. Na ovaj se način može sakriti velike količine podataka, zbog toga što se ne otkrivaju naredbom DIR, i veoma malo antivirusnih programa može otkriti korištene ADSa. Jedan od slobodnih alata na webu koji otkriva prisutnost ADS skrivenih datoteka  jest Pointstone.       

                                                                                             

 

Slojevi

Najjednostavniji primjer koji demonstrira primjenu slojeva (eng. Layers) jest postavit sliku preko texta u desktop publishing programu. Na prvi pogled može se vidjeti samo slika, nakon pomicanja slike vidljiv je tekst. Još jedan jednostavan primjer jest mijenjanje teksta dokumenta u boju pozadine.Ukoliko istražitelj prilikom pregleda naiđe na prazan dokument, preporuka je ispisati ga jer  fizička kopija može sadržavati informacije  nevidljive u digitalnom obliku.

 

Steganografija

Steganografija (eng. Steganography, kratica Stego) predstavlja kompleksnu verziju uslojavanja i skrivanja podataka.  Riječ Stego odnosi se na prikriveno pisanje, kao što je nevidljivom tintom. U digitalnom svijetu, ova metoda uključuje skrivanje poruka unutar slika, glazbenih  ili video isječaka. Problem otkrivanja steganografskih poruka leži u tome što postoji velik broj algoritama i  steganografskih alata. Ako istražitelj ne zna kojim se alatom osumnjičenik služio, neće biti u stanju izvući  skrivenu informaciju, no u kasnijim je poglavljima objašnjen postupak otkrivanja steganografskih poruka u fotografijama, omogućujući time istražiteljima barem potvrdu kako zbilja postoji skrivena informacija u slici koju analiziraju. Još  jedan  način provjere postoje li na računalu poruke sakrivene steganografskim alatom, osim same provjere postoje li takvi alati na računalu, je traženje duplikata dokumenata, slika, audio i video zapisa. Velik broj dupliciranih datoteka pokazatelj je kako je vjerojatno na računalu  korisnik skrivao informacije steganografskim alatom, te nemarno ostavio originale na disku. Tip pronađenih dokumenata može ukazivati na to  koji je steganografski alat korišten, jer neki rade samo s određenim tipom podataka.

 

Zaobilaženje i uklanjanje zaštitnih mjera

Prilikom pokušaja dešifriranja, izvlačenja ili otključavanja podataka, koristi se nekoliko standardnih metoda za zaobilaženja ili probijanja lozinki kao što su probijanja grubom silom, napad rječnikom, rainbow napad, te provjerom cache memorije jer neki operacijski sustavi tamo privremeno spremaju lozinke...

Preporučuje se pokušaj probijanja  najjednostavnijih  lozinki: malo ljudi u toj mjeri mijenja svoje lozinke  da probijanje ili pronalazak jedne neće voditi otkrivanju ostalih. Kada korisnik na webu sačuva svoju lozinku i korisničko ime, do njih se može doći pregledom catch smeća alatima kao što su Kain&abel.

No čak i ako istražitelj nije u mogućnosti probiti ili pronaći lozinku, ovisno o aplikaciji, moguće je doći do nekih informacija. Aplikacije kao što su procesori riječi, baze podataka, i proračunske tablice, često čuvaju svoje podatke u formatu koji je čitljiv pomoću hex editora. No treba uzeti u obzir kako u hex editorima nema formatiranja, stoga većina podataka može biti nerazumljiva zbrka znakova, no dijelovi mogu biti čitljivi.

 

 Application specific integrated circuit (kratica ASIC) jedan je od najefektivnijih načina probijanja kriptiranih sadržaja.  Računalni čipovi  ASIC specifično su programirani za dešifriranje određenih tipova kriptiranja. Ovakve čipove uglavnom posjeduju vladine agencije, a učinkovitost im je neupitna, 40-bitni ključ pronađe u roku od nekoliko  sekundi.

Mehanizmi  za softversko samouništenje najteži su za otkrivanje, no oni ne bi trebali biti problem, ukoliko se analiza obavlja na radnoj kopiji. Sustav za samouništenje su programi koji uništavaju dokaze  ako je zadovoljen skup parametara, kao što su utipkavanje krive lozinke ili pogrešnog korisničkog imena više od dozvoljenog broja puta.

 

3.3    Analiza digitalnih dokaza

Metoda analize ovisi o tipu forenzičke istrage koja se provodi; računalna, mrežna, forenzika elektroničke pošte, mobilnih telefona. Forenzička slika zapravo je jedan dokument, a takav format   omogućuje jednostavnu pretragu ključnih riječi kako bi se pronašlo informacije, ili pregledalo umanjene sličice (eng.thumbnail) slika koje su smještene na originalnom disku.

Kada ljudi čuju pojam računalna forenzika, poistovjete ga s kopanjem po podatcima osumnjičenog, čitajući dokumente, memorandume, elektroničku poštu, instant poruke, povijest posjeta internet stranicama, financijske dokumente, fotografije i druge informacije. Sve prijašnje akcije, pronalaska i prikupljanja podataka, bile su priprema za analizu i pregled dokaza. Analiziraju se forenzičke radne kopije pohranjene na medijima za pohranu koje je jedino moguće čitati kako bi se izbjeglo mijenjanje ili kontaminacija. Cilj analize jest pronalazak i povezivanje činjenica, njihova interpretacija te prezentacija zaključaka i pronalaska.

Nakon ispravnog kreiranja forenzičke slike, istražitelju preostane potencijalno velika količina podataka, od koje neznani dio može sadržavati informacije važne za istragu. Kako ručna pretraga dokument po dokument u većini slučajeva nije praktična, niti izvediva u razumnom vremenskom roku, preporučuje se sljedeća strategija pregleda podataka:

·         Postavljanje pitanja i promatranje: ukoliko istražitelj nije uključen u istragu od samog početka, treba prikupiti osnovne činjenice i elemente slučaja, što se očekuje od istrage i na što se sumnja. Kada je to moguće, preporučuje se razgovor s nadređenim, kao i osumnjičenim osobama u svrhu smanjenja kriterija pretrage po podatcima.

·         Strategija pretrage mora uključivati liste ključnih riječi  i traženih pojmova: ovisno o slučaju, nekada je dovoljan pretraga slika, elektroničke pošte ili  mrežnog prometa.

·         Pregled digitalnih  dokaze odvija se prema strategiji razvijenoj u prošlom koraku: kako se nailazi na nove dokaze ključne se riječi ili lokacije traženja mogu mijenjati. Tragovi mogu voditi do lokacija ili dokaza koje nisu uzeti u obzir definiranjem područja pretrage u koraku 2.

·         Formulacija objašnjenja, interpretacija pronađenih dokaza, te izvlačenje zaključaka: istražiteljeva je zadaća objasniti što i kako se dogodilo, a što svakako nije.

·         Preispitivanje zaključaka i metoda: uzimajući u obzir pronađene dokaze, poželjno je preispitati metode i rezultate, te moguće propuste.

·         Izvještaj  o zaključcima i pronađenim dokazima.

 

Niti jedan alat za analizu ne može interpretirati digitalne dokaze ili doći do traga koji spaja digitalne dokaze s elementima slučaja, to je glavna zadaća istražitelja.

 

Forenzički se softver može koristit za strukturiranje upita te katalogizaciju rezultata, no završni rezultat ovisi o istražitelju. Istražitelj postavlja upite nad forenzičkom slikom sustava na strukturiran način. Iznimke  su slučajevi kada treba pregledati malenu količinu podataka ili istražitelj na raspolaganju ima neograničenu količinu vremena. Efektivnost upita povećava se boljim poznavanjem i razumijevanjem  elemenata slučaja, karakteristika zločina te uključenih pojedinaca. Općenito, događa se kako među tisućama elektroničkih poruka samo nekoliko njih sadrži važne informacije, čak ako istražitelj pronađe nekolicinu, ne može biti siguran kako ih je pronašao sve, stoga  pretragu mora provoditi racionalno i logično. Strategije pretrage podataka često se osporavaju stoga se preporučuje detaljno dokumentirati svaki korak, protokole pretrage, procedure, liste pretrage i objasniti razloge poduzimanja određenih koraka. Pretraga po ključnim riječima može biti problematična, zbog toga što se za pronalazak određenih informacija mora postaviti dovoljno precizan upit, ali u istu ruku dovoljno općenit, kao se ne bi izuzelo povezane podatke. Pretrage se provode u više navrata, s modifikacijama lista pretraživanja [12].

3.3.1     Definiranje liste pretrage

Rezultati istrage ovise o listi pojmova za pretragu. Nepouzdanosti u listi mogu se reducirati što većim znanjem činjenica  o:

        Upletenim osobama:  optuženik,  tužitelj, mogući motivi koji daju uvid u kontekst pretrage. 

        Okolnosti: vremenski slijed aktivnosti i okolnosti može pomoći prilikom uklapanja dokaza u cijelu priču.

        Karakteristike zločina: istražitelj treba biti upućen u područje kojim se bavi istraga kako bi mogao interpretirati i povezati pronađene dokaze, ukoliko ne razumije područje istraživanja, poželjna je suradnja s osobom upućenom u NR računovodstvo, ukoliko se istražuje slučaj i /ili dokazi povezan s tom temom.

        Korištenje iskaza (eng. deposition):  iskaz je naziv za svjedočenje pod prisegom uz prisutnost službenika suda, ali ne na sudu.Izjave daju svjedoci koji mogu pridonijeti  istrazi ili  posjeduju ključno znanje o nekom od sudionika ili događaja, te stručnjaci koji daju svoje mišljenje o nekom dijelu događaja ili pronađenih dokaza. Transkripti tih izjava odličan su izvor pojmova pretrage, imena, datuma, i drugih informacija

3.3.2     Korištenje forenzičkog softvera prilikom pretrage

Za identifikaciju datoteka koje je potrebno pregledati koriste se kolekcije forenzičkih alata.  Iako se njihove pretraživačke mogućnosti poboljšavaju, sami alati ne mogu provesti pregled i interpretaciju pronađenih datoteka. Prilikom procesa akvizicije alat stvara indeks pojmova koji predstavljaju osnovnu jedinice pretrage. Pojam može biti samo znak ili skupina znakova, alfanumeričkih ili numeričkih, s razmacima na obije strane. Indeksiranje produžuje vrijeme potrebno za akviziciju slike, ali  pojednostavljuje i ubrzava pretragu i analizu.

Postoje dva tipa pretrage po ključnim riječima:

·         Opcija proširenja koja se odnosi na riječi:

-       Korijen riječi (eng. stemming):Pretraga po varijacijama korijena tražene riječi

-       Sinonimi: pretraga za sinonimima traženog pojma .

-       Homonimi: pretraga po riječima koje zvuče slično kao traženi pojam.

-       Fuzziness: pretraga s različitim načinima pisanja ili čestim pogreškama prilikom pisanja  traženog pojma ili riječi. Ovaj tip pretrage ima smisla s  imenima, prezimenima, imenima gradova i tvrtki, te ostalih vlastitih imenica .

·         Opcija ograničavanja pretrage koja se primjenjuje na vremenske okvire i veličine pretraživanih podataka

-       Raspon datuma kada je dokument stvoren, odnosno zadnji puta sačuvan, ili oboje itd.

-       Veličine datoteka ili raspon veličina traženih odnosno broj traženih dokumenata Pretraga uz pomoć Boolove logike(I, ILI, NILI). Svaki forenzički softver posjeduje specifične ugrađene metode pretrage koje koriste boolovu logiku.

-       Pojmove je moguće povezati korištenjem boolovih operatora. Kako bi se stvorio traženi izraz ili moglo filtrirali rezultate.

3.3.3     Preuzimanje rizika

Metode i izbori  pretrage temelje se na pretpostavkama. Ako su te pretpostavke krive, tada su i rezultati. Prilikom pretrage postave se četiri glavne pretpostavke:

·         Osoba koja je pisala poruku ili dokument nije koristila sleng ili kodne riječi kako bi izbjegla otkriće;

·         Dokaz nije nitko podmetnuo na istraživano računalo;

·         Na računalo nije bilo slučajno skinutih dokumenata za koje korisnici nisu znali;

·         Računalo nije kompromitirano zloćudnim programima, zbog kojih bi bilo ranjivo.

Zbog tih razloga istražitelj mora provesti vizualnu inspekciju sadržaja datoteka na forenzičkoj slici. Do tragova se može doći pregledavanjem thumbnail slika ili čitanjem elektroničke pošte, pregled dokaza iterativan je proces. Dokaze na koje se naiđe analizom prikupljenih podataka mogu pomoći prilikom pretrage po ključnim riječima i obrnuto. Forenzički softver omogućava pregled sadržaja datoteka, čak i ako su bili obrisani, osim u slučaju da su podatci  prebrisani. Alat organizira datoteke prema kategorijama i statusu, te pušta korisniku na izbor pregleda samo određenih elemenata ukoliko je to dovoljno. Kategorije na koje većina alata razlaže podatke su:

·         Direktoriji s elektroničkim porukama;

·         Dokumenti u slack prostorima (eng.  Slack space Documents);

·         Kriptirane datoteke proračunskih tablica (eng. Spreadsheets Encrypted files);

·         Baze podataka izbrisanih datoteka;

·         Grafičke datoteke iz Recycle Bina;

·         Izvršni Data-carved programi.

Data-carved dokumenti  su dokumenti sastavljeni od podatak pronađenih u  nealociranim datotečnim prostorima. Data-carving alati pretražuju nealocirane prostore tražeći informacije o zaglavljima, i moguće footerima, poznatih tipova dokumenata, te potom rekonstruiraju taj blok podataka. Sami dokumenti  ne postoje, čak niti kao izbrisani, stoga se moraju „izrezbariti“ iz tog prostora.

 

Kada postoji velika količina podataka, odvjetnici, vlasnici, naručitelji istrage mogu zahtijevati  da se provede data sampling  tj.  provjera samo dijela podataka, ako taj slučajni dio podataka ne donese očekivane rezultate, nadležna osoba može obustaviti daljnju istragu. Na primjer ako uzorak podataka pokaže kako važan tip dokumenta ne postoji za određeno vremensko razdoblje, veoma je vjerojatno kako nije potrebno nastaviti pretragu.

Podmetnute dokaze teško je uočiti, važan aspekt te provjere jest ne brzati s zaključcima. Jednostavna je pogreška završiti istragu nakon što je pronađen dokaz na osumnjičenikovu računalu, no takva akcija može dovesti do impliciranja krive osobe. Svi se rezultati moraju verificirati; na primjer provjera postoji li na istraživanom računalu program ili mogućnost otvaranja, ispisa, mijenjanja ili  pokretanja pronađenih dokaza. Poželjno je utvrditi i je li osumnjičenik imao pristup računalu u pretpostavljanom vremenu kriminalnih radnji, datuma na inkriminirajućim dokumentima, slikama, kao i provjeriti postavke sata, vremenske zone i datuma računala u slučaju da nije ispravno. Ukoliko računalo ne koristi biometričke uređaje za verifikaciju i autentifikaciju korisnika prilikom registriranja na računalo kao što su otisak prsta, ili dlana, istražitelj ne može biti siguran kako je upravo osumnjičenik bio na računalu  u to vrijeme. Iako bi korisničko ime i lozinka trebali garantirati upravo identitet korisnika, to najčešće nije slučaj. Zaposlenici često ostave svoja računala prijavljena, dijele korisničke račune i lozinke.

Istražitelj može izvijestiti koje je slike pronašao u datoteci, ali možda neće biti u mogućnosti otkriti i kao je ta slika tamo dospjela, isto tako recimo inkriminirajući dokazi  iz povijesti surfanja korisnika, ne dokazuje kako je baš taj korisnik i počinio to za što ga se tereti, ali u najmanju ruku baca određenu sumnju na njega. Digitalni dokazi nekada ne mogu dokazati kako je zločin počinjen, ali mogu potvrditi motivaciju ili namjeru kako je osumnjičenik namjeravao izvesti to za što ga se tereti [8].

4.    Taksonomija digitalne forenzike

Računalnom forenzikom otkrivaju se tragovi  koji spajaju osobe ili organizacije s  istraživanim dokazom. Bilo da se radi o elektroničkoj poruci, chat razgovoru, podatcima skrivenima u nealociranom prostoru ili dokumentima  istražitelji pronalaze inkriminirajuće bajtove podataka, koristeći ih pri  sastavljanja tijeka i vremenske linije događaja, a ponekad motiva i počinitelja istraživane situacije. Računalna se forenzika dijeli na šest područja, detaljnije opisanih u nastavku.

4.1    Forenzika elektroničke pošte

Elektronička se pošta kao dokazni materijal pojavljuje u većini civilnih kao i kriminalnih forenzičkih istraga. Elektronička pošta i elektronička pošta zasnovana na internet poslužiteljima (eng. Web based e-mail, kratica Web mail) širi se veoma brzo, te jednostavno može završiti na računalu  korisnika kojem nije namijenjena.

Kada je Ray Tomilson 1971. godine putem mreže poslao prvu elektroničku poruku, nije ni slutio kako će njegov izum deset godina kasnije u kombinaciji s osobnim računalima i internetom prerasti u globalni način komuniciranja; osobnog kako i poslovnog, zabave, načina razmijene podataka, ali i nezamjenjiv izvor digitalnih dokaza. Elektronička pošta zasnovana na internet poslužiteljima  veoma je korisna prilikom istrage. Na primjer ako osumnjičenik ima račun na Google mail poslužitelju, postoji mogućnost da se uz odgovarajuća dopuštenja pronađu čak i obrisane  poruke, jer Google svojom politikom o privatnosti korisnika ne garantira brisanje poruka na rezervnim backup sustavima.

Svaka elektronička poruka šalje se  kao niz paketa veličine bajta. Prilikom transporta na mreži, svaki od tih paketa sadrži sljedeće  elemente:

        Izvorišnu adresu: IP adresu računala pošiljatelja, osim u slučaju kada je ta IP adresa prikrivena.

        Odredišnu adresu : IP adresu računala.

        Payload: podatke ili poruku.

Usmjerivači prosljeđuju pakete prema svojim tablicama usmjeravanja sve do krajnjeg odredišta.

 

S forenzičkog stajališta, klijent/poslužitelj sustavi e-pošte najbolji su za traženje informacija zbog toga što se poruke skidaju na korisnikovo lokalno računalo, tj tvrdi  disk, što olakšava istragu, jer forenzičar već ima pristup mediju za pohranu. Pristupa se i poslužitelju zbog njegovih dnevnika aktivnosti e-pošte, te mogućih novih poruka. Produkcijski  poslužitelji elektroničke pošte nije moguće isključiti radi istrage, stoga se prvo pregledavaju sigurnosne kopije, te se jedino kao zadnjoj mogućnosti pristupa isključenju poslužitelja [12].

 

 

4.1.1     Analiza elektroničke pošte

Elektronička poruka sastoji se od dva dijela: zaglavlja i tijela poruke.  Iz  zaglavlja je moguće saznati izvorišnu i odredišnu adresu, tj pošiljaoca i namijenjenog primaoca, a  tijelo poruke sadrži tekst poruke

Većina klijenata e-pošte po originalnim postavkama prikazuju samo  osnovne informacije u  zaglavlju:

 

·         Od: pošiljateljeva adresa. Ovo polje može biti  zamaskirano, tj  kao pošiljatelj može bit naveden netko drugi, dok je prava pošiljateljeva IP adresa prikrivena.

·         Za: primateljeva adresa, koja također može biti prikrivena, odnosno zamaskirana.

·         Tema: ponekad je ovo polje prazno,ili sadrži zavaravajuće informacije.

·         Datum: zabilježeno s računala pošiljatelja,no može biti pogrešno , ukoliko je sat na njegovom računalu pogrešno postavljeno

Kako istražitelj zapravo ne može vjerovati osnovnim  informacijama u zaglavlju, mora proširiti informacije koje se prikazuju u njemu. Prošireno zaglavlje sadrži mnogo više informacija nego što je usmjerivačima zapravo potrebno da dostave poruku do svog odredišta. Najkorisnija informacija u proširenom zaglavlju zasigurno je IP adresa izvora, odnosno domene. Pomoću ove informacije moguće je ući u trag pošiljaocu poruke. Prvi poslužitelj elektroničke pošte kroz koji e-poruka prođe, dodijeli joj jedinstveni identifikacijski broj, te ukoliko istražitelj pristupi dnevnicima poslužitelja prije nego li se tražene informacije prebrišu, moguće je pratiti stvarno  vrijeme i smjer prolaska poruke kroz mrežu. Osim pregleda zaglavlja i tijela poruke, potrebno je provjeriti i ostale potencijalne izvore informacija:

·         Privitke s ekstenzijama kao što su .doc, .xls, ili slike.

·         Ljude koji su navedeni u cc (eng. Carbon copie, Skrać cc.) ili bcc poljima.

·         Ljude kojima je poruka proslijeđena.

·         Originalnu poruku ili niz poruka na koje je ova odgovor, ili odgovor na istraživanu poruku.

 

Ne smije se pretpostaviti kako je prijavljeni korisnik poslao sve poruke;u mnogim radnim okruženjima  suradnici dijele računala i lozinke, tako da mnogi imaju pristup istraživanom računalu

 

Proces forenzičkog izvlačenja e-poruka u okolini klijent/poslužitelj slijedi općenite korake.  Većina sustava za elektroničku poštu koriste SMTP Simple Mail Transfer Protocol, POP Post Office Protocol, ili IMAP Internet Message Access Protocol. Korištenjem ovih protokola transport e-poruka postaje standardiziran. Izazov jest izvući e-poruke iz raznih klijentskih aplikacija za e-poštu pomoću forenzičkih alata. Dva najčešće korištena klijentska softvera:

·         Outlook: izuzev uobičajenih mogućnosti  aplikacije za e-poštu, sadrži kalendar, listu zadataka (eng. Task list), te upravitelja kontaktima (eng. Contact menager). Samim time pruža detaljan uvid u svakodnevnu rutinu osumnjičenika. Za razliku od Outlok Expressa , Outlook sprema sve podatke unutar jednog korisničkog identiteta, u dokumentu s extenzijom .pst kojem je moguće pristupiti korištenjem forenzičkih alata kao što su FTK, i EnCase.

·         Outlook Express: čuva podatke u dokumentu  ekstenzije .dbx, pregled je moguć odgovarajućim preglednikom. Nadalje svaki korisnički račun stvoren u Outlook Expressu posjeduje dodijeljenu  heksadecimalnu sekvencu brojeva, koje Microsoft koristi prilikom identifikacije računa. Ovisno o verziji Windows operacijskog sustava, ti su identiteti korisničkih računa pohranjeni u poddirektorijima /Dokumenti i postavke. 

U Outlook Expressu, Outlooku, AOL, Eudori i Thunderbirdu, e-poruke se pohranjuju lokalno na istraživanom računalu, što znatno olakšava pregled i pretragu. Unatoč tome, pregledom  dnevnika mail poslužitelja dolazimo do informacija koje povezuju poslužitelj i e-poruku, pregledom identifikacijske poruke.

4.1.2     Ekstenzije dokumenata elektroničke pošte

U slučajevima kada je potrebno dohvatiti samo dokumente  potrebne za pregled e-poruka, ili kopirati neki dokument sačuvan unutar elektroničke pošte, moguće je koristiti sustav na istraživanom računalu ili  specijalizirani softver kao što je  Outlook Extract Pro ili Outlook Export. Ispravniji, sigurniji i jednostavniji način je korištenje forenzičkih alata kao što su EnCase ili FTK, s ugrađenim preglednicima koji omogućavaju dohvat sadržaja baze podataka, te  njihov eksport na druge medije za daljnju analizu.Forenzički alati automatiziraju proces dohvata podataka, te ih je jednostavnije analizirati i generirati izvještaj

Tablica 4.1  Ekstenzije dokumenata za česte klijente e-pošte

 

Klijent elektroničke pošte

 

Ekstenzija

 

Tip dokumenta

AOL

.abi ili .arl

 

.aim ili .bag

Organizatorski dokument

 

Instant Mesenger

Eudora

.mbx

Baza poruka

Outlook Express

.dbx

 

.dgr

 

.e-mail

 

.eml

Komprimirana baza podataka

 

Faks informacije

 

e-poruke

 

e-pošta

Outlook

.pab

 

.pst

 

.wab

Osobni imenik

 

Komprimirani osobni dokument

 

Imenik

Thunderbird

 

.msf

 

Dokument sažetaka poruka

 

Forenzički softver može otvoriti gotovo sve formate e-poruka, te omogućuju:

·         Preciznu i učinkovitu pretragu poruka;

·         Dohvat informacija zaglavlja;

·         Ispis cjelovitih e-poruka, uključujući zaglavlja, adresara;

·         Grupiranje poruka po podatcima, ili klasifikaciji podataka.

Sve se ove akcije provode na radnim kopijama originalnih podataka.

4.1.3     Analiza elektroničke pošte zasnovane na internet poslužiteljima

Za osobnu se komunikaciju često koriste Web servisi za elektroničku poštu, kao što su Google, Hotlmail, Yahoo. Ovi se servisi koriste bez uporabe softvera klijenata elektroničke pošte, no zapravo predstavljaju  klijent/poslužitelj sustav. Web mail sustav predaje  e-poruku koristeći SMTP protokol, a dohvaća koristeći POP ili IMAP protokole. Web pošta ne sprema se na lokalno računalo, osim ako to korisnik ne zatraži. Pristup računu e-pošte na poslužitelju ili dobava podataka o korisničkom računu od strane pružatelja usluga znatno smanjuje količinu posla forenzičkom istražitelju. Ako pristup nije dozvoljen, do web mail poruka može se doći pregledom radne i cache memorije. Kada korisnik provjerava poruke, ili sastavlja novu, operacijski sustav sačuva podatke s ekrana na tvrdi disk, pogotovo ako korisniku treba duže vrijeme da sastavi poruku. Najbolja mjesta za traženje web mail poruka na lokalnom računalu su:

·         Područje privremenih datoteka  kao što su sustavski swap prostor  ili cache memorija.

·         Nealociran prostor, nakon brisanja privremenih datoteka i dokumenata.

Forenzička dobava podataka iz privremenih datoteka dugotrajan je proces, čak i ako se koristi forenzičke alate, zbog toga što se pokušava rekonstruirati  internetske stranice iz neformatiranog digitalnog prostora.

Web mail na lokalnom računalu zapravo ima oblik web stranice s funkcionalnošću e-pošte, dakle traže se dokumenti ekstenzija .html. Kako pregled svih web stranica kojima je korisnik pristupao nije vremenski prihvatljiv pothvat, njihov se broj može znatno smanjiti ako se uzme u obzir:

·         Korištenje ključnih riječi i fraza; na primjer osumnjičenikova adresa elektroničke pošte, te fraze vezane uz istraživani incident;

·         Pregled servisa koje osumnjičenik koristi (Google, Hotlmail...).

 

 

4.1.4     Privremeni dokumenti

Operacijski sustavi privremene dokumente stvaraju  za  aplikacije koje šalju i primaju podatke preko mreže. Ti se podatci prvo pohranjuju u radnu memoriju, a kada se RAM popuni, OS pomiče podatke niže na listu prioriteta podataka koji su potrebni aplikacijama, te ih zapisuje na tvrdi disk.  Ne postoji jedinstveno područje gdje se spremaju privremeni dokumenti  jer neke aplikacije stvaraju dodatne privremene datoteke uz one što ih stvara OS. Aplikacije koje nemaju mogućnost privremene pohrane podataka, prepuštaju operacijskom sustavu da ih pohrani  koristeći swap  datoteke ili virtualnu memoriju. Kada aplikacija zatreba privremeno pohranjen podatak, OS ga dobavlja aplikaciji te briše s tvrdog diska. Kako je swap datoteke samo izbrisan, do podataka  je moguće doći, jer još uvijek fizički postoje na disku ukoliko novi nisu zapisani preko njih.

Internet Explorer ima mogućnost pamćenja stranica kojima se pristupilo putem Web pretraživača. Iako je broj dana koje Explorer čuva te informacije prepušteno korisniku na regulaciju, te informacije ne nestaju nakon brisanja. Explorer koristi index.dat dokument kako zbog stvaranja baze podataka posjećenih stranica, cookiesa, te raznih drugih detalja vezanih uz korištenje pretraživača. Iz index.dat dokumenta moguće je izvući te podatke i rekreirati povijest  surfanja korisnika praktički sve do trenutka kada je korisnik prvi puta pristupio internetu na tom računalu i pretraživaču. Mozilla i Opera koriste slične metode pohrane povijesti surfanja.

4.1.5     Instant poruke

Kompanije komuniciraju s korisnicima putem instant poruka, zaposlenici unutar kompanija međusobno razgovaraju instant porukama (eng. Instant messaging, kratica IM), a veoma su rado korištene za osobne razgovore. Osobe međusobno razmjenjuju poruke koje putuju preko poslužitelja, a princip rada gotovo je identičan kao e-pošta, s glavnom razlikom, kako se odvija u stvarnom vremenu. Neki od IM softvera pružaju mogućnost bilježenja povijesti razgovora, no malo ljudi se odlučuje za tu opciju. Dijelove razgovora moguće je pronaći na IM poslužiteljima, no cijele razgovore samo ako je uključena opcija zapisivanja povijesti, ili ako se snima mrežni promet računala korištenog za slanje IM poruka u vrijeme trajanja razgovora. Započele su se koristiti i nove metode forenzike uživo, alati kao što su WebCase omogućuju djelomično  forenzičko praćenje podataka u stvarnom vremenu pohranjivanjem IP adresa i chat sesija, te ostale komunikacije putem internet veze.  WebCase proizvod je tvrtke VereSoft .

 

4.2    Forenzika podataka

Forenzika podataka koristi iste koncepte i metode  korištene za rekonstrukciju oštećenih podataka i povrat izbrisanih podataka, uz dodatak write block alata i računanje hash vrijednosti zbog provjere integriteta i autentičnosti podataka. Najveće zapreke forenzičkoj obradi podataka predstavlja  broj različitih operacijskih sustava, kao i specijaliziranog sklopovlja s vlastitim načinom upravljanja podatcima.

 Područja mobilne i mrežne forenzike pronalaze tragove podataka ili metapodatke dok oni prolaze kroz sustave, no većina se traženih podataka nalazi u medijima za pohranu podataka istraživanog računala kao što su tvrdi  diskovi ili radne memorije [12].

4.2.1     Tvrdi disk

Osnovni medij za pohranu podataka  kod većine je računala magnetni disk. Osnovni dizajn diskova nije se mijenjao desetljećima; oni koriste magnetski materijal koji se polarizira pozitivnim ili negativnim nabojem. Ova dva tipa polarizacije magneta omogućuju pohranu binarnih podataka nula i jedinica kao magnetske naboje, te predstavljaju jednostavan način pohrane  velike količine podataka na relativno stabilnoj fizičkoj platformi. Tvrdi diskovi ovog tipa sastavljeni su od istih osnovnih elemenata strukture:

·         Glava za čitanje: fizički element tvrdog diska koji čita i zapisuje magnetski materijal lociran na metalnim pločama.Većina današnjih tvrdih diskova posjeduje dvije glave, za istodobno čitanje gornje i donje površine ploče.

·         Staza: kružno područje na ploči koje sadržava informacije.

·         Cilindar: staze više ploča poslagane jedna iznad druge.

·         Sektor: najmanja jedinica pohrane na mediju za pohranu podataka.Staze su podijeljene na sektore, njihova veličina obično iznosi 512 bajta.

Veličine tvrdih diskova variraju, ovisno o kombinaciji cilindara, glava i sektora (eng. Cyilinders, heads, sectors, kratica CHS).

Basic Input Output System (BIOS) sam očitava standardne postavke proizvođača za BIOS s tvrdog diska, te se korisnik ne mora manualno pobrinuti za njih, no moguće je namjestiti nestandardne postavke samostalno. U slučaju da računalo iz nekog razloga izgubi  specijalne postavke uređaja za pohranu, korisno je imati digitalni  zapis pohranjen na nekom mediju van računala. Kada istražitelj analizira računalo čije su postavke tvrdog diska nestandardne, takav zapis izvor je informacija koji pomaže pri prikupljanju potencijalno korisnih podataka. U nastavku slijede kratki opisi načina funkcioniranja datotečnih sustava Microsofta, Applea i Linuxa, kao najčešće korištenih OS.

 

Microsoft OS

Najrašireniji i najpopularniji OS današnjice.  Windowsi organiziraju podatke na tvrdom disku  koristeći sljedeće fizičke elemente:

·         Klaster (eng. Cluster): Grupacija sektora kojom se smanjuje broj zapisa potrebnih za praćenje smještaja datoteka  na tvrdom disku. Što je veći disk, u klasteru će biti smješten veći broj sektora, kako alokacijske tablice ne bi prerasle razumnu veličinu. Danas uobičajena veličina klastera iznosi 32KB. Kako su sektori definirani na sklopovskoj razini nazivaju se i fizički adresni prostor, a klasteri koji su definirani na razini operacijskog sustava  logički adresni prostor.

·         Particija ili logički volume:Logički odjeljak fizičkog uređaja za pohranu podataka. Ovisno o operacijskom sustavu, fizički medij za pohranu podataka razdijeljen je na manje logičke jedinice kako bi OS mogao funkcionirati ispravno, no u današnje vrijeme particioniranje  je više korisnikova metoda organizacije datoteka, nego limitacija od strane operacijskog sustava. Kada se tijekom istrage naiđe na  velik dio neparticioniranog prostora na disku, preporučuje se detaljniji pregled jer neki korisnici znaju privremeno obrisati podatke s diska kako bi ih prikrili.

·         Glavni boot zapis (eng. Master Boot Record, kratica MBR): područje na uređaju za pohranu podataka koje OS koristi kada traži medij za boot prilikom uključivanja. Iako MBR ima nekoliko primjena, glavna mu je zadaća  pohrana informacija o particijama definiranim na fizičkom tvrdom disku. MBR je smješten ispred prve particije na disku  u glavnom području boot zapisa (eng. Main boot record area, kratica MBRA). MBR sadrži i bootstrap informacije, te jedinstvene identifikatore medija za pohranu koji se mogu koristiti za praćenje prijenosnih memorija priključenih na računalu.

 

Windows koristi dva datotečna sustava FAT i NTFS:

FAT (eng. File Allocation Table) originalan  je datotečni sustav razvijen u Microsoftu. Koristi se za organizaciju podataka na mediju za pohranu.  OS koristi FAT sustav za lociranje datoteka na računalu. FAT pokazuje na početni klaster dokumenata, a sadrži i imena datoteka, vremenske i datumske oznake (eng. Time and date stamps), imena direktorija, te njihove atribute.

Iako su FAT sustavi po računalnim standardima već zastarjeli, korisno je znati osnovne mehanizme njihova funkcioniranja. Mnogi stariji OS sustavi još se uvijek koriste jer su stabilni i mogu raditi na jednostavnim računalnim sustavima. FAT sustavi uključuju i mnogo neiskorištenog prostora, te su savršeni za sakrivanje podataka. Na primjer dokument veličine 20Kb manji je od standardne veličine klastera, višak prostora  naziva se file slack. Ako veličina dokumenata zauzima više od jednog klastera FAT sustavi povezuju klastere (eng. Cluster chaining); kraj jednog klastera pokazuje na sljedeći klaster u lancu i tako sve do kraja. Pokazivanje funkcionira unaprijed, ali ne i u suprotnom smjeru, dakle ne pokazuje na prethodni klaster. Alati za forenzičku analizu mogu rekonstruirati obrisane podatke.  Kada se podatci zapisuju u FAT datotečni sustav, lokacija klastera se koristi za identifikaciju logičke lokacije dokumenta na mediju za pohranu podataka. Kada se podatak obriše FAT sustav u tablicu upisuje heksadecimalni niz znakova E5, koji označava kako je klaster slobodan za ponovnu uporabu. Forenzički alati pretražuju tablicu FAT sustava za tim heksadecimalnim znakovima kako bi locirali obrisane podatke, koji još uvijek fizički  postoje zapisani na  disku. Ta se područja nazivaju nealocirani prostor, zbog toga što nije dodijeljen niti jednom podatku na uporabu, te je često popunjen s izbrisanim podatcima ili dijelovima starih dokumenata. Forenzički softver najbolji je način automatiziranog pronalaska i dobavljanja podataka iz nealociranih područja jer mediji za pohranu podataka često imaju gigabajte nealociranog prostora, čija bi ručna pretraga trajala danima, ako ne i tjednima.

 

NTFS mnogo je složeniji sustav u usporedbi s FAT sustavima, te ima sljedeća svojstva:

·         Napredni atributi dokumenata (eng. Enhanced file atributes): NTFS uz standardne (read-only, arhiva,sustav  te skriven) atribute dokumenata  uključuje i indeksiran, komprimiran, i enkriptiran. U NTFS sustavima povećana je kontrola pristupa  nad datotekama i dokumentima 

·         Alternativni tokovi podataka (eng. Alternate data streams): Ove se podatkovne strukture vezuju na postojeće dokumente. Struktura podataka tipa ADS može se smatrati metapodatcima, ali isto tako mogu biti neovisni izvori podataka. ADS podatci  spojeni su s glavnim podatcima, ali logički odvojeni, te mogu biti i veći od podataka na koje su vezani. ADS podatci u potpunosti su nevidljivi datotečnima sustavima  i korisnicima. Iako datotečni sustav zapravo ne zna kako ADS podatci postoje, oni mogu zauzimati poprilično velik prostor, na dokumente veličine 2Kb može  biti vezan stream veličine 20Mb.

·         Kompresija dokumenata:NTFS dozvoljava transparentnu kompresiju podataka korištenjem LZ77 algoritam za kompresiju. Ovaj proces usporava računalni sustav, a ne pruža dodatnu sigurnosnu prednost, stoga ga korisnici općenito ne koriste ukoliko imaju prostora na disku.

·         Kriptiranje: Sustav za kriptiranje dokumenata (eng Encrypting File System, kratica  EFS )  koristi asimetrični sustav kriptiranja, korisnik posjeduje privatni ključ, a OS javni. Sustav za enkripciju  kriptira, odnosno dekriptira podatke na sustavskoj razini,i transparentan je korisniku koji je inicijalno kriptirao podatke, asocirajući ključeve s informacijama korisničkog računa .  Pristup EFS kriptiranim podatcima  najlakši je korištenjem  data recovery agenta, što omogućava istražitelju resetiranja ili zaobilaženja lozinki.

·         Dnevnici promjena (eng. Journaling): ovaj sustav na NTFS-u bilježi sve promjene na metapodatcima asociranim s dokumentima na sustavu.  

·         Shadow kopija: Ova NTFS  aplikacija sprema slike dokumenata ili datoteka u određenim vremenskim trenutcima, za kasniju korisnikovu ili uporabu nekih aplikacija.

·         Mount points: Jedna od načina dodavanja logičkog volumena NTFS sustavu

 

Prva velika razlika između FAT i NTFS sustava jest ta da NTFS smatra sve objekte koji se nalaze unutar datotečnog sustava dokumentima, uključujući MFT (eng.Master File Table). MTF je u NTFS sustavu ekvivalent  tablice baze podataka u FAT sustavima. MTF adresira dokumente za NTFS sustav, no pohranjuje puno više podataka u obliku metapodataka nego FAT sustavi. MTF sadrži informacije o dokumentu kao što su vremenske oznake, adrese klastera, imena, sigurnosne identifikatore (eng.  Security Identificators, kraticaSID), atribute dokumenata, čak i imena data stream podataka asociranih s dokumentom. Jedna od većih prednosti NTFS sustava je ta da ako je podatak manji od 800 bajta, cijeli može biti sačuvan unutar MFT tablice, samim time neće zauzimati klaster i stvarati slack file prostor.

Obrisanim se dokumenata rukovodi na dva moguća načina:

·         Recycle Bin briše dokumente korištenjem Windows GUI sučelja: dokumentu se mijenja ime, i premješta ga se u Recycle Bin. Unese se zapis u Info2 zapisnik, on kontrolira datoteke koje sadrže metapodatke kao što su putanja do njegove lokacije i informacije o datumu i vremenu.

·         Datotečni sustav označava klastere slobodnima za daljnju uporabu: NTFS sustav koristi istu metodologiju kao i FAT sustavi kada su u pitanju obrisani dokumenti. Klastere označe kao slobodne za novo korištenje, te promjene oznaku u MFT tablici. Isto se događa kada korisnik isprazni Recycle Bin. U tom trenutku datotečni sustav označi klaster dostupnim, a dokument smatra trajno izbrisanim, a on  time on postaje dio nealociranog prostora.

 

Apple HFS

Razvijen u kompaniji Apple sredinom osamdesetih godina. Ostao je u uporabi sve do prelaska na Mack OS X koji je zasnovan na Unix operacijskim sustavima. 

Hierarchical File System (kratica HFS)  koristi podatkovne i resursne pokazivače za odvajanje podataka i metapodataka  dokumenata. Aplikacija zapisuje u podatkovni pokazivač lokaciju podataka, dok  se u resursne pokazivače zapisuje informacije kao što su ikone i izbornik.

 

HFS sustav koristi katalog  za lokaciju svih dokumenata i datoteka na disku. Informacije potencijalno korisne istražitelju nalaze se u dijelu  katalog dokumenata rezerviranom za zapise. Tamo su pohranjene informacije kao što su:

·         Identifikacija  čvora kataloga (eng. catalog node identification, kratica CNID): HFS svakom dokumentu, datoteci i direktoriju na disku  dodjeljuje jedinstven broj;

·         Veličina dokumenata;

·         Vremenska oznaka: datum i vrijeme stvaranja, modifikacije ili izrade kopije datoteke ili dokumenta;

·         Područje prostiranja ( eng. Extent):  diskovna lokacija prvog dijela dokumenata;

·         Fork: Pokazivač na resursne pokazivače.

 

HFS sustav koristi volumes za logičku segmentaciju fizičkog medija za pohranu. Volume može predstavljati dio ili cijeli medij za pohranu podataka. Dokumenti se pohranjuju u logičke blokove veličine 512 bajta, a one koji premašuju veličinu jednog bloka smještaju se u blokove alokacije; niz slijednih blokova. Kada je podatak manji od veličine bloka ili alociranog prostora, na neiskorištenom se prostoru nalaze „obrisani“ stari  podatci.

 

Linux/Unix

Linux  OS koristi mnoge tehnike i koncepte  datotečnih sustava starijih Unix sustava. U Linux sustavu OS sve smatra dokumentom; uključujući sve sklopovske periferne uređaje kao što su monitor ili memorija. Svi dokumenti imaju pridružena svojstva, i atribute. Linux datotečni sustav koristi  manje jedinice prostora za pohranjivanje, kako bi se uštedilo na prostoru i smanjila količina neiskorištenog prostora. Najmanja jedinica prostora pohrane naziva se blok. Početne veličine blokova su 512 bajtova, ali one variraju ovisno o veličini korištenog volume.

Linux sustav sastoji se od četiri glavne komponente:

·         Boot blok: Lokacija pohrane bootstraping koda kojim se podiže Linux sustav

·         Podatkovni blok: Logičke adrese podataka pohranjenih na disku

·         Inode: Pokazivač na blok adrese podataka, povezuje podatkovne blokove te stvara indeks sličan bazama podataka o informacijama vezanim uz dokumente ili direktorije. Prilikom stvaranja svakog novog dokumenta ili direktorija  Linux sustav stvara asocirani Inod koji sadrži sljedeće informacije; adresu bloka  dodijeljenog podatku,broj blokova koje koriste dokument ili direktorij, broj poveznica do dokumenta,identifikacijski broj korisnika i grupe.

·         Super blok: Ekvivalent NTFS MTF-u , ili Apple HFS-u, vodi računa o inod pokazivačima  i o statusu svih blokova na mediju za pohranu. Veličina blokova određuje količinu podataka koje je moguće rekonstruirati jer veliki blokovi u praksi sadrže više neiskorištenog prostora, s podatcima preostalim od prijašnjih zapisivanja.

Linux vodi zapis o oštećenim i pokvarenim dijelovima diska u čvoru za neispravne blokove (eng. Bad Block Inode kratica BBI). BBI sadržava listu svih oštećenih i neuporabljivih sektora i blokova, no može ga se modificirati da uključuje i funkcionalne blokove, te time efikasno sakriti podatke. Ovom Inod-u moguće je pristupiti s root ili administrator ovlastima.

4.2.2     Obrisani podatci

Kada korisnik obriše dokument, datotečni sustav postavi marker u sustav za upravljanje datotekama, kako bi OS znao kako taj dokument više nije u tom klasteru ili bloku. Ovim postupkom sustav logički obriše podatak iz svojih zapisa, ali nije fizički obrisao binarne podatke s medija za pohranu. Ne obavljanjem fizičkog brisanja OS ostavlja virtualno binarno arheološko nalazište, veoma korisno forenzičkim istražiteljima. Što su  tvrdi diskovi  veći, količina podataka preostalih od prijašnjih zapisa povećava se, jer je sustavu na raspolaganju više prostora za pohranu, i više mu vremena treba da ponovo dođe do mjesta na disku gdje je već nešto bilo zapisano. Datotečni sustav nealocirani prostor smatra praznim i spremnim za  daljnju uporabu, a u njemu se mogu nalaziti i cached podatci. Na primjer, provjerom Google pošte, slika ekrana u određenim trenutcima sprema se na disk  i koristi se za ubrzanje pregleda internetske stranice. Ovaj proces ima neželjen efekt čuvanja internetske stranice koju je korisnik posjetio čak i nakon brisanja cache dokumenta. U starijim datotečni sustavima kao što je DOS, nealocirani prostor sadrži obrisane podatke, dok se u novijim verzijama operacijskih sustava koristi dvostupanjski proces koji uključuje Recycle Bin. Stoga se prije provjere nealociranog područja preporučuje pregled Recycle Bina. 

 

Dohvat obrisanih dokumenata

Forenzički alati nakon pregleda diska sastavljaju listu obrisanih dokumenata. Na primjer u listi se mogu nalaziti izbrisane slike, koje se još uvijek nalaze na mediju za pohranu zajedno sa svim važnim metapodatcima i oznakama datuma i vremena. Najbolji se rezultati postižu ako je dokument još uvijek čitav sadržan na disku ili  je bio zapisan u FAT ili MFT tablicama.

 

Dohvat  cached dokumenata

Kada istražitelj želi pronaći i dohvatiti obrisane podatke koji su nastali kao produkt  „hvatanja“dokumenata kao što su catch dokumenti  internet stranica ili privremeni catch dokumenti aplikacija, potrebna je detaljnija ručna pretraga nakon uporabe forenzičkog softvera. Predloženi koraci olakšavaju pretragu:

·         Pokrenuti pretragu forenzičkim softverom, cilj je pronalazak svih referenci na ključne riječi koje je istražitelj unio. Rezultat su sve internetske stranice koje sadržavaju navedene ključne riječi

·         Ručna pretraga po dobivenim rezultatima, uz  daljnju specifikaciju traženih pojmova i riječi; ovaj način pretrage omogućuje pregled podataka koje bi forenzički alati za dohvat izbrisanih dokumenata preskočili zbog nepotpunih zaglavlja, a koji mogu sadržavati korisne informacije.

 

Dohvat obrisanih podataka iz nealociranih  prostora

Prilikom pretraživanja   oštećenih dokumenata ili fragmenata dokumenata iz nealociranih područja, nije moguće provoditi standardnu pretragu jer bi se neki dokumenti preskočili zbog na primjer nepotpunih  zaglavlja, nedostatka dijela dokumenta  ili ekstenzije. Nadalje takvi podatci obično nemaju očuvane metapodatke zbog načina na koje aplikacije hvataju podatke. Nekada se matapodatci mogu pronaći ugrađeni u samom dokumentu. Na primjer, pretraga ključnim riječima može izgledati ovako; traži se Microsoft Word dokument, a kao ključne riječi koristi se sekvenca zaglavlja MS Worda, i tema dokumenta npr. kompanija za ekspresnu dostavu pošte. Metapodatci mogu biti nepovratno izgubljeni na sustavskoj razini, ali moguće je da još uvijek postoje na aplikacijskoj razini.

 

Dohvat podataka iz slack područja dokumenata

U slack područjima dokumenata moguće je pronaći starije podatke, iako su im početci podatkovnih blokova ili klastera prepisani s novim podatcima. Na primjer; tipičan klaster sastoji se od dva različita dokumenta, gornji dio klastera sadržava trenutno korištenu HTML informaciju, a drugi dio klastera stari dokument s postavkama. Problem često stvara otvaranje pronađenih dokumenata jer su im informacije zaglavlja prepisani s nekim novim podatcima. U tim slučajevima postoje dvije opcije: ukoliko istražitelj zna o kakvom se tipu dokumenta radi, može mu prilijepiti zaglavlje odgovarajućeg tipa na sam početak zapisa dokumenta, ili ručno iskopirati  podatke  van formata. Oba se postupka provode korištenjem hex editora i sličnih alata.  Neki su formati fleksibilniji i u većini slučajeva prihvate kopiranje novog zaglavlja, kao što su grafički dokumenti i normalno prikažu čak i djelomično očuvan dokument, no baze podataka odbijaju otvaranje i  najmanje oštećenih podataka.

 

Nepristupačan prostor

Podatci se mogu sakriti i u dijelove diska do kojih OS nema pristupa. Razlozi zbog kojih OS nema pristupa nekim dijelovima diska mogu biti  oštećenje ili  limitacija datotečnog sustava. Hex editorom moguće je pristupiti i promijeniti konfiguracijske dokumente datotečnog sustava u dijelu koji kontrolira označavanje oštećenih dijelova diska. Informacije se tada mogu pohraniti i sakriti u dio diska koji je datotečni sustav prozvao oštećenim. Informacije je moguće sakriti u dijelove medija za pohranu koje OS ne prepoznaje, veličine i do 1GB. Ova su područje najčešće locirana  na fizičkom kraju medija, i podatci sačuvani na tom dijelu dostupni su jedino hex editorom. Informacije koje se želi sakriti dovoljno je kopirati u hex editor i sačuvati u nedostupan dio diska. Iako se ove metode skrivanja podataka i dalje koriste, jednostavnije je i učinkovitije  informacije kriptirati, nego modificirati medij za pohranu i podatke.

4.2.3     Radna memorija

 

Temeljni cilj tehnologija korištenih u računalnoj forenzici jest  konzistentnost podataka, tj prilikom istrage i analize ne smije se mijenjati niti jedan bit originalnih podataka. Kada su traženi dokazi smješteni u radnoj memoriji, ovaj je cilj nemoguće provesti u djelo. Problem kod prikupljanja podataka iz radne memorije predstavlja činjenica da ukoliko na istraživanom računalu već nije pokrenut alat za forenzički dohvat podataka, samo njegovo pokretanje mijenja sadržaj radne memorije. U slučajevima gdje RAM sadržava potencijalno korisne dokaze, jedna je opcija korištenje WinHex editora. Linux i Unix sustavi jedinstveni su po tome što je moguće iskrcati cijeli sadržaj radne memorije  na neku sigurnu lokaciju korištenjem ugrađenih funkcija.

Microsoft Windows nema usporediv sustav. Pokretanjem čak i utility-a na sustavskoj razini može prouzročiti promjenu podataka. U poglavlju mrežne forenzike opisan je koncept aplikacija  forenzičkih klijenata i poslužitelja, oni predstavljaju najsigurniji način kopiranja sadržaja radne memorije.

4.2.4     Windows Registar

Prije Windows 3.11, konfiguracijski dokumenti aplikacija, utilityes i sklopovlja, bili su raštrkani po cijelom sustavu. Microsoft je odlučio centralizirati sve konfiguracijske datoteke u jednu bazu podataka koja se naziva Registar.Tijekom dvadeset godina Registar je evoluirao u kompleksnu bazu podataka  koja prati i bilježi praktički sve promijene na računalu  kao i konfiguracijske postavke. Tipove podataka koje je moguće pronaći u Registru:

·         Informacije o lozinkama: Iako je većina korisničkih imena i lozinki kriptirana, moguće je pročitati informacije korištenjem odgovarajućeg alata. Ovisno o verziji Windowsa i aplikaciji, korisničko ime i lozinka  pohranjeni su u različitim dijelovima Registra. Neki od tipova lozinki u Registru su AutoComplete, računalne, Web mail  i Internet stranice.

·         Startup aplikacije: Ovo područje Registra sadrži listu startup programa i njihove konfiguracijske informacije.

·         Sklopovlje za pohranu podataka: Registar sadrži listu trenutno  i prethodno spojenih uređaja za pohranu podataka.

·         Bežične mreže: zapis koji sadrži sve bežične mreže na koje se sustav spaja, zapisuju se service set identifikatori SSID

·         Internet informacije: čuvaju se informacije o utipkanim URL adresama i putanjama skidanja podataka s interneta.

·         Nepročitane elektroničke poruke: Registar vodi računa o broju nepročitanih poruka u korisničkom Outlook računu, i o vremenskim oznakama.

Računalni forenzički softverski paketi kao što su FTK i Paraben analizator Registra, jednostavno izvlače informacije iz Registra.

4.2.5     Filtriranje pretrage

Problem moderne računalne forenzike ogromne su količine podataka. Kako se tipične veličine tvrdih diskova počinju mjeriti u terabajtima, filtriranje pretrage postaje ključno za učinkovito istraživanje i pronalazak digitalnih dokaza. Problem je najviše izražen prilikom istraga podataka velikih organizacija, njihovih baza podataka. Za početak potrebno je definirati  koji se tip podataka traži, područje kojima je osumnjičenik imao pristup, te ako je potrebno kasnije proširiti pretragu. Iako se ovakvim pristupom riskira preskakanje pregleda dijelova koji mogu sadržavati važne podatke, takav je rizik isplativ ukoliko se uzme u obzir vremensko trajanje obrade svih podataka, te mogućnost potrebe isključenja  kompanijine računalne infrastrukture na neograničeno vremensko razdoblje. Forenzički softver kao što je EnCase može filtrirati pretragu na razne načine; korištenjem GREP opcije pretraživanja kojom se pronalaze i izvlače specificirane vrste podataka, ili korištenjem internalnih filtera nad označenim podatcima kako bi se iz daljnje istrage isključili oni koji ne sadrže određene informacije. Softverski paket Paraben posjeduje otprilike iste mogućnosti filtriranja.

4.2.6     Dobava  podataka

Računalni forenzički softver omogućuje  relativno jednostavno izvlačenje podataka iz medija za pohranu zbog nekoliko razloga:

·         Većina procesa pretrage i izvlačenja podataka je automatizirana.

·         Prosječni korisnici ne razumiju kako funkcionira računalo, niti načine pohrane podataka na računalo.

·         Tehnički sposobniji korisnici ponekad nemaju pristup svim dijelovima računala ili mreže na kojem ostavljaju digitalne otiske prstiju.

·         Većina osumnjičenika ne skriva podatke, već ih samo kriptira, ili sakriva koristeći steganografiju.

Osnovno izvlačenje podataka koristeći softver kao što je Paraben, FTK, EnCase relativno je jednostavno nakon što se na radno računalo  dobavi  forenzička kopija, slika originalnog medija za pohranu. Tada se koriste automatizirani procesi izvlačenja podataka i generacije izvještaja. Sljedeći koraci prikazuju izvlačenje obrisanih dokumenata:

·         Dobava forenzičke kopije i popisivanje cijelog sadržaja medija za pohranu, izdvajanje samo obrisanih podataka.

·         Identifikacija obrisanog dokumenta koji sadrži informacije vezane uz istragu, analiza i pretraga dokumenta za metapodatcima kao što su zaglavlja i vremenske oznake.

·         Ispitati internu strukturu podataka: ako podatak treba biti grafički, otvara ga se s prikladnim preglednikom iz  softverskog paketa forenzičkih alata, biti će ga moguće otvoriti ukoliko interna struktura podataka odgovara zaglavlju.

·         Označiti ili uključiti dokaz u izvještaj: izvještaji trebaju sadržavati što je više moguće dokaznih dokumenata  i njihovih metapodataka.

·         Izvlačenje podataka i analiza, traženje skrivenih podataka, metapodataka ili informacija specifičnih za istraživani slučaj

·         Izrada radne kopije koja će se koristiti za daljnje  analize

4.2.7     Analiza dobavljenih podataka

Nakon izvlačenja podataka, slijedi njihova analiza.Tehnički dio forenzičke istrage uglavnom je jednostavniji  jer su alati za pronalazak podataka prilično efikasni. Pravi izazov leži u povezivanju i pronalasku dokaza. Kod analize podataka treba uzeti u obzir sljedeće :

·         Vremenski slijed događaja: kao se dokaz uklapa u vremenski slijed događaja

·         Poveznica s osumnjičenikom: kako je dokaz povezan s osumnjičenikom, je li ta poveznica potvrđena drugim činjenicama ili dokazima.

·         Trag dokaza: kako je dokaz dospio na mjesto gdje je pronađen, može li se pratiti digitalni trag dokaza koji se uklapa u vremenski slijed događaja

·         Integritet dokaza: Jeli dokaz ili dokument zbilja ono za što se predstavlja, postoje li skriveni podatci u njemu, može li biti krivotvorina, ili podmetnut.

·         Zašto: Zbog čega je podatak lociran tamo gdje je, zbog čega su dokazi u tom formatu.

4.3    Forenzika dokumenata

Što dokument govori o osobi koja ga je stvorila gotovo je jednako važno namjeni tog dokumenta. Kada istražitelj pronađe dokument s inkriminirajućim dokazima, mora dokazati  tko ga je napisao i kada. Nekako mora povezati dokaz s osumnjičenikom, tada u igru ulazi forenzika dokumenata i metapodatci. Metapodatci su podatci o podatcima. Razlikuju se za različite tipove podataka i domena, na primjer metapodatci o dokumentima razlikuju se od metapodataka o internetskim stranicama, no oboje opisuju u nekom obliku karakteristike podataka koje predstavljaju. Dio metapodatka za sliku na primjer sadržava vremensku oznaku koja prikazuje kada je fotografija nastala. Računalna forenzika, asocijacijom i forenzika dokumenata imaju isti cilj kao i klasična forenzika: sastaviti istinitu verziju događaja potkrijepljenu dokazima. Ključ provođenja računalne forenzičke istrage je ne samo postaviti prava pitanja, već i znati interpretirati način na koji računalo odgovori na pitanja. Ovo se poglavlje bavi pronalaskom tragova skrivenih u dokumentima koji mogu odgovoriti na pitanje poklapaju li se ljudska i računalna verzija događaja [12].

4.3.1     Pronalazak dokaznog materijala u dokumentima: Metapodatci

Dokumenti predstavljaju  najvažnije mjesto pronalaska metapodataka. Sljedeća lista opisuje osnovne tipove metapodataka za tipičan tekstualni dokument:

·         Autor: Nebitno dolazi li informacija od operacijskog sustava  ili instalacije softvera za obradu riječi, u dokument se ugrađuje ime;

·         Organizacija: Dobavlja se iz istog izvora kao i informacija o autoru;

·         Revizije: Kao dio stvaranja revizijskog zapisa pohranjuje se ime prethodnih autora i putanja do mjesta na kojem je dokument pohranjen;

·         Prethodni autori;

·         Predložak: Ova informacija prikazuje koji je predložak ugrađen u dokument;

·         Ime računala: ova informacija povezuje dokument s računalom na kojem je nastao;

·         Tvrdi disk:ime diska i putanja do mjesta na kojem je pohranjen podatak;

·         Mrežni poslužitelj: Nastavak informacija o tvrdom disku, ukoliko je dokument pohranjen na mrežnom poslužitelju, metapodatak sadrži ime mrežne putanje

·         Vrijeme: ovaj informacija ukazuje na to koliko je dokument vremena bio otvoren prilikom uređivanja;

·         Izbrisani tekst: neki metapodatci sadrže i izbrisani tekst;

·         Objekti Visual Basic-a;

·         Vremenske oznake: datum i vrijeme stvaranja, pristupa, i modifikacije (eng created, accessed, and modified, skrać CAM.);

·         Ispis: Metapodatci sadrže i informacije je li i  kada je dokument ispisan.

Iako se većina metapodataka izvlači iz Microsoft-ovih alata i aplikacija, metapodatke se može pronaći u gotovo svim aplikacijskim softverima; u Adobe PDF dokumentima, multimedijalnim zapisima, internetskim stranicama, bazama podataka, čak i geografskim softverskim aplikacijama.Tip i količina pronađenih metapodataka ovisi o aplikaciji i koliko je korisnik sklon unošenju osobnih informacija na računalu. Metapodatci locirani unutar dokumenta mogu se svrstati u dvije kategorije: metapodatci kojima korisnik može pristupiti, i oni kojima ne može. Ukoliko metapodatci nisu vidljivi, potrebno ih je izvući.

 

Lista opisuje informacije koje se može pronaći pregledavajući metapodatke dostupne korisnicima:

·         Osnovne informacije o korisniku

·         Statistika dokumenta: broj stranica, paragrafa, vremenske oznake

Prilikom izvlačenja metapodataka potrebno je koristit specijalne softverske alate kao što su Metadata Analyzer ili iScrub. Ovi alati analiziraju dokumente na binarnoj razini pri analizi dnevnika revizije, Objekata Visual Basic-a ili izbrisanog teksta koji bi se još mogao nalaziti u podatcima.

 

4.3.2     Pregled CAM informacija

Korištenjem CAM (eng.Create, Access, Modify) vremenskih oznaka često je moguće odrediti vremenski tijek događaja. Lokacija CAM informacija ovisi o OS. Korištenjem CAM metapodataka moguće je rekreirati osumnjičenikov tijek kretanja, povijest dokumenta ili pratiti putanju  dokumenta kroz mrežu. Vremenske oznake u CAM metapodatcima znače:

·         Stvaranje (eng. create): prikazuje vrijeme i datum kada je dokument stvoren na tom mediju za pohranu. Ova se vremenska oznaka mijenja svaki puta kada se dokument kopira na novi medij, čak i unutar istog uređaja za pohranu.

·         Pristup(eng. acess): specificira zadnji puta kada je dokument otvoren, ili pregledan ali ne i mijenjan

·         Modificiranje(eng. modify): sadrži datum i vrijeme mijenjanja  dokumenta. Na dokumentima koji su kopirani na nove medije, vremenska oznaka modificiraj može biti starija od vremenske oznake stvaranja.

Datumi i vremena asocirana s CAM informacijama dobivaju se od sustavskog sata, stoga u slučaju da je on krivo postavljen, vremenske su oznake također pogrešne. Pitanje koje ostaje prilikom pregleda vremenskih oznaka jest jeli korišteno lokalno računanje vremena  ili Zulu. Svijet je podijeljen na 24 vremenske zone, koje se označavaju po slovima engleske abecede; vremenska zona Z (Zulu), predstavlja vrijeme u Greenwich-u, Engleska. Zulu se računanje vremena u avijaciji koristi kao standardno, tako se bez obzira na vremensku zonu zna koliko je sati. Problem koji se javlja prilikom pregleda vremenskih oznaka je taj da je dokument možda stvoren u Hong Kong-u, poslan u London, te kopiran u New Yorku, sve unutar nekoliko sekundi. Ovaj raspon lokalnih vremena  može zbuniti istražitelje, i postaje veoma teško odrediti vremenski tijek događaja dokumenta. Za većinu je ljudi korištenje lokalnog ili Zulu računanja vremena semantičko pitanje, ali za istražitelje znači točnost  preciznost, i pouzdanost vremenskih oznaka.

Kako su CAM informacije postale ključne u rješavanju računalnih forenzičkih slučajeva, stvoreni su softverski paketi koji mogu poremetiti CAM informacije, te popuniti polja vremenskih oznaka sa slučajnim nizom vremena i datuma., ili ih jednostavno obrišu, te se forenzičari moraju pouzdati u vremenske oznake sekundarnih izvora kao što su poslužitelji elektroničke pošte.

4.3.3     Otkrivanje dokumenata

Na žalost forenzičkih računalnih istražitelja , dokumenti mogu biti skriveni na mnogo mjesta, prikriveni, prerušeni kriptirani. Prvo mjesto gdje treba tražiti dokumente jest naravno u aplikacijama u kojima su stvoreni. Većina softverskih aplikacija pohranjuje listu dokumenata koji su nedavno bili otvarani, mijenjani, stvoreni, te gdje su sačuvani. Ova metoda pretrage prikladna je iz razloga jer upućuje na vanjske uređaje za pohranu podataka kao što su PRIJENOSNE  memorije. Sljedeći korak u otkrivanju dokumenata jest korištenje forenzičkog softvera kao što je FTK ili EnCase, te otvaranje svih dokumenata određenog traženog tipa. Ovaj pristup može doprinijeti preskakanju dokumenata ukoliko ih je korisnik zamaskirao u neki drugi tip dokumenata promjenom zaglavlja ili ekstenzije.

 Aplikacijski programi općenito prepoznaju dokumente po ekstenziji ili po zaglavlju, dok  se OS općenito oslanja na ekstenziju kako bi utvrdio tip dokumenta.

Zaglavlje se sastoji  od niza znakova, na samom početku dokumenta koji označavaju kojem tipu dokumenta pripada. Postoje tisuće tipova dokumenata, te pronalazak zaglavlja dokumenta stvorenog nekom manje poznatom aplikacijom može biti izazovno. Na sreću većina dokumenata pripada tipovima podataka koje stvaraju popularni softverski i dobro poznati  paketi. Na stranici [18], moguće je provjeriti koje zaglavlje ide uz istraživani dokument.

Promjenom ekstenzije dokumenta, niz znakova na početku zaglavlja se ne mijenja, te aplikacija koja je originalno stvorila dokument, bez problema ga i otvara. Većina forenzičkog  softverskog alata provodi analizu potpisa kako bi utvrdili odgovaraju li ekstenzije  tipu dokumenta deklariranom u zaglavlju, te sastavljaju popis sumnjivih datoteka i dokumenata. Ukoliko se zapisi poklapaju, dokument je vjerojatno ono za što se predstavlja, ukoliko se ne poklapaju, dokument je zamaskiran kao nešto drugo, kako bi se prikrili  podatci, ili zavaralo istražitelje.

 

Modificiranje zaglavlja

Dokument ne mora biti tipa za  koji se izdaje čak ni ako mu se zaglavlje i ekstenzija poklapaju. Ukoliko korisnik promijeni ekstenziju dokumenta, modificira zaglavlje, te promijeni ime dokumenta u neki sustavski, analizom potpisa može se samo utvrditi poklapaju li se ekstenzija i zaglavlje, te se taj dokument ne označuje kao sumnjiv. Ukoliko istražitelj sumnja u modificiranje zaglavlja, provjera se provodi sljedećim koracima:

·         Ukoliko se prilikom pokušaja otvaranja dokumenta pojavi poruka pogreške u dokument se iskopira zaglavlje njegovog tipa za koje je istražitelj siguran kako je ispravno.

·         Korištenjem hash vrijednosti poznatih  tipova dokumenata, moguće je eliminirati originalne dokumente iz daljnje obrade. Gotovo na svakom operacijskom sustavu postoje biblioteke s hash vrijednostima, sadrže hash vrijednosti najpopularnijih aplikacijskih softvera i tipova njihovih dokumenata. Ukoliko je korisnik modificirao zaglavlje i ekstenziju, hash vrijednost tog dokumenta neće se poklapati s onom standardnih hash vrijednosti  istog tipa sačuvane u biblioteci.

·         Pregled dokumenata  koji su nedavno modificirani, ili se modificiraju prilično često; korisnik mora modificirati dokument kako bi ga otvorio, te ponovno modificirati zaglavlje prilikom skrivanja.

 

4.3.4     Pronalazak poveznica i vanjskih medija za pohranu podataka

Kada se dokument kopira ili sačuva na lokalnom računalu, generira se dokument poveznica (eng. Link file),  kako bi OS znao gdje je dokument lociran. Ovi link dokumenti  često su jedini dokaz  kako je neka vanjska jedinica spajana na računalo. Forenzičkim je softverom moguće pronaći  čak i obrisane dokumente poveznice. Ovisno o korištenom forenzičkom softveru, koraci rekonstrukcije dokumenata poveznica  variraju, no cilj im je isti; utvrđivanje traga ili poveznice s jednog uređaja na drugi. Utvrđivanje traga važan je proces jer se njime povezuje na primjer uređaj na kojem je pronađen dokument s računalom na kojem je nastao.

Uz dokumente poveznice, tragove o mogućim vanjskim medijima moguće je pronaći i u Windows Registru.

Ako dokument poveznica  upućuje na mrežnu putanju kao što je na primjer \\poslužitelj\test.doc, istražitelji imaju malo vremena za njihovo praćenje jer se informacije na usmjerivačima i poslužiteljima relativno brzo prepisuju novim podatcima. Dokumenti poveznice  pružaju veliku količinu informacija, moguće  jednake važnosti kao i sam dokument do kojeg vode zbog vremenskih i lokacijskih oznaka koje sadrže.

Većina kompanija i organizacija posjeduje određeni oblik sigurnosnih kopija svojih baza podataka te ostalih važnih informacija. Forenzičkim istražiteljima ove kopije pružaju uvid u sranje računalnog sustav kroz vrijeme, i čuvaju se dugo nakon što su originalna računala zamijenjena. Malo ljudi zna za njihovo postojanje ili imaju pristup sigurnosnim kopijama. Čak  ako uspiju obrisati sve svoje digitalne tragove na računalu, ne mogu i na sigurnosnim kopijama.

4.4    Forenzika mobilnih uređaja

Većina ljudi ne shvaća mogućnosti pametnih telefona (eng. Smart phones), iPoda, MP3 playera, BlackBerry-a, PDA dlanovnika (eng. Personal digital assistant). Mobilni telefon ili PDA u današnje vrijeme otprilike posjeduju računalnu moć računala proizvedenog u proteklih pet godina. Mobilni telefoni  skoro standardno rade s gigahercnim procesorima, radnim memorijama i do 512 MB, tvrdog diska  veličine 80 i više GB. Većina je mobilnih telefona  u potpunosti  bežično funkcionalna, sadrže Bluetooth, infracrvenu i 802.11 tehnologiju. Definicija mobilnog uređaja malo je neprecizna zbog toga što mnogi uređaji kao što su iPod-ovi i video kamere postaju sve manji i mobilniji. Većina se mobilne forenzike danas provodi na mobilnim telefonima i PDA dlanovnicima. Tehnologije se u mobilnom svijetu mijenjaju veoma brzo, te snalažljivi korisnici često otkriju metode prikrivanja podataka i uporabe novih uređaja za nenamijenjene svrhe prije nego forenzički istražitelji u potpunosti uspiju analizirati uređaje, te pronaći njihove slabosti i mogućnosti. U većini je računalnih područja ovaj problem prisutan, no posebno u području mobilnih tehnologija, jer je brzina promijene tako velika.

 

Iako korisnici često povećavaju količinu radne memorije i tvrdih diskova na svom računalu, ona u biti koriste istu tehnologiju godinu za godinom. Prilikom istrage mobilnih uređaja treba imati na umu  kako se razlikuju od računala u tri bitne činjenice:

·         Česte promjene operacijskih sustava, sklopovskih standarda, tehnologija pohrane podataka, sučelja.

·         Postoji mnogo različitih platformi mobilnih uređaja, dok je kod računala više manje sve standardizirano.

·         Koriste bežičnu tehnologiju za komuniciranje.

Tri su osnovna načina na koji mobilni uređaji komuniciraju, uz radio mobilnih telefona koji koriste sve kompanije koje proizvode mobilne telefone.

1.    802.11: ovu normu koriste sve bežične mreže koje danas postoje. Domet mobilnog uređaja koji koristi 802.11 znatno varira i ovisi o snazi uređaja, ali uglavnom minimalno 100 metara promjera .

2.    Bluetooth: relativno nov norma korišten na malim udaljenostima, otprilike 20 metara

3.    Infracrvena komunikacija: koristeći stariju metodu komuniciranja mobilni uređaji mogu razmjenjivati informacije koristeći infracrveni dio spektra. Ova je metoda usmjerene prirode, tj za komunikaciju među uređajima njihovi infracrveni portovi moraju biti okrenuti jedan prema drugome.

 

Računalna forenzika  u svom je pristupu poprilično standardizirana, dok mobilna forenzika  još uvijek iskušava  različite pristupe istraživanja. Ovo je područje računalne forenzike relativno novo i ne vrijede ista pravila kao i kod standardne forenzike; na primjer klasična pravila kao što je zabrana pisanja na istraživani medij, ponekada se ne može provoditi prilikom istraživanja u mobilnoj forenzici [12].

4.4.1     Forenzički pogled na mobilne uređaje

Ovisno o tipu mobilnog uređaja moguće je pronaći sljedeće tipove dokaza prilikom analize:

·         Pretplatnički identifikator: Na mobilnim telefonima ovu informaciju koriste mreže mobilnih telefona za autentifikaciju korisnika te verifikaciju tipa usluge vezanu uz tog korisnika. Drugim riječima, moguće je povezati identitet mobilnog uređaja s zapisima koje čuva pružatelj mobilne usluge. Subscriber Identity Modules (kratica SIM), te informacije imaju ugrađene u sebi, ukoliko uređaj ne podržava SIM kartice. Informacije su kodirane na sam uređaj.

·         Dnevnici: Mobilni uređaju često sadrže dnevnike primljenih, propuštenih, odgovorenih poziva, i biranih brojeva kojima je moguće utvrditi određene vremenske sljedove. Nadalje, dnevnici sadržavaju i GPS informacije, spajanja na mrežne ćelije, vrijeme prekida veza s mrežnim ćelijama. Ovi dnevnici mogu i ne moraju postojati  ovisno o uređaju, no ako postoje veoma je jednostavno locirati korisnika.

·         Imenik/Lista kontakata: lista potencijalnih svjedoka, žrtava, i suučesnika koja može sadržavati sliku, adresu elektroničke pošte, fizičke adrese, alternativne brojeve telefona, te mnoge druge informacije.

·         Tekstualne poruke: One sadrže dijelove dokaza kao i vremenske oznake, koje su veoma važne u istrazi. Kao i kod medija za pohranu podataka, i ovdje je moguće rekonstruirati i pronaći oštećene ili obrisane poruke.

·         Kalendar: može sadržavati informacije o kretanju osumnjičenika, njegovim obvezama i ljudima s kojima je kontaktirao.

·         Elektronička pošta

·         Instan poruke: verzija poruka koje se razmjenjuju u stvarnom vremenu, mogu sadržavati čitave razgovore i vremenske oznake.

·         Slike

·         Audio zapisi

·         Multimedijalne poruke

·         Aplikacijski dokumenti:Napredniji mobilni uređaji imaju mogućnost pregleda i kreiranja dokumenata, prezentacija, proračunskih tablica i mnogih drugih formata dokumenata.

Većina mobilnih uređaja ima mogućnost korištenja vanjskih medija za pohranu kao što su SD kartice, one često služe i za prijenos podataka s računala na mobilni uređaj i obrnuto, stoga su važan izvor potencijalnih dokaza.

Cilj forenzičkog softvera uvijek je dvojak:

·         Zaštita postojećih podatka na originalnom uređaju, ovaj korak osigurava integritet prikupljenih podataka

·         Postaviti mehanizma koji će računajući hash vrijednosti  potvrditi integritet

Funkcije izračuna hash vrijednosti te write protect softver i sklopovlje omogućuju ove ciljeve koje  koriste  svi forenzički alati. No kod mobilnih je uređaja ponekad potrebno pisati po njihovoj memoriji  kako bi dohvatili informacije. Cilj u ovakvim slučajevima jest zapisati što je moguće manje informacija. Najbolji primjer akvizicije podataka korištenjem neforenzičkih alata jest korištenje sinkronizacijskog softvera kako bi se pristupilo podatcima na mobilnom uređaju. U osnovi podatci se kopiraju s originalnog uređaja, no time se mijenjaju datumske i vremenske oznake podataka. U tom je slučaju teško dokazati kako  integritet podataka nije kompromitiran.

Ukoliko se istraga provodi na nekom novom mobilnom uređaju za kojeg još ne postoje modificirani forenzički alati, što je čest slučaj uzimajući u obzir brzinu mijenjanja tržišta mobilnih uređaja, preporučuje se izrada dodatnih kopija podataka, te precizno bilježenje korištenih procedura i metoda.

 

4.4.2     Mobilni telefoni i SIM kartice

Područje forenzičke akvizicije i izvlačenja podataka s mobilnih telefona jedno je od najzahtjevnijih zbog prirode brzog mijenjanja industrije, te širokog izbora nestandardnih uređaja na tržištu. Unatoč svim njihovim razlikama, mobilni telefoni sastoje se od tri temeljne komponente:

 

·         Read Only Memory (ROM): Na ovom je području mobilnog telefona smješten OS , a često i softver za rješavanje problema korišten za dijagnostiku uređaja.

·         Random Access Memory (kratica RAM): Ovo se područje memorije koristi za privremenu pohranu podataka ; ukoliko se mobilni telefon isključi, podatci se gube.

·         Jedinica za pohranu podataka: Iako većina mobilnih telefona imaju internu memoriju koja je najčešće zasnovana na tehnologiji flash memorije, većina naprednijih modela telefona dolaze s ugrađenim utorima za memorijske kartice koje proširuju kapacitet pohrane podataka uređaja.

Vanjski mediji za pohranu podataka dolaze u obliku  MiniSD kartica, SD kartica, ili MMC mobilnih kartica. Za čitanje ovih kartica na računalu potrebi su posebni čitači kartica.

 

Mobilna mreža

Jedna od prvih stvari koje istražitelj treba znati je na koji je tip mobilne mreže spojen telefon:

·         Code Division Multiple Access (CDMA): Ne posjeduje Subscriber Identity Module (SIM) modul, što znači da su svi podatci sačuvani na mobilnom telefonu.Koristi se pretežno u SAD-u.

·         Global System for Mobile Communication (GSM): Ovi sustavi koriste SIM module kao odvojene komponente dizajnirane da budu prenosivi s jednog telefona na drugi. Razvili su ga Nokia i Ericsson, a koristi se pretežno u Europi.

·         Integrated Digital Enhanced Network (iDEN): Koristi sustav  naprednih SIM kartica (eng. advanced SIM cards , kratica USIMs), razvijen u  Motoroli

O tipu mreže ovisi koji se forenzički alat koristi  prilikom obrade mobilnog telefona.

 

Istraživani uređaj

Nakon utvrđivanja  sustava u kojem mobilni telefon radi, sljedeći je korak utvrđivanje specifičnog tipa mobilnog uređaja kako bi se utvrdile njegove karakteristike i mogućnosti. Identifikacija tipa mobilnog telefona provodi se pretragom proizvođača, serijskog broja uređaja koji se obično nalaze ispod baterije, sinkronizacijskog softvera, kodovima proizvođača. Kroz kod proizvođača moguće je doći do informacije kao što su proizvođač telefona, model, kod zemlje u kojoj je proizveden, a nalazi se uglavnom oko istog područja gdje i serijski broj. U operacijskom sustavu mobilnog telefona moguće je pronaći sljedeće informacije: Electronic Serial Number (kratica ESN), Integrated Circuit Card Identification (kratica ICCID), International Mobile Equipment Identifier (kratica IMEI).

Nakon utvrđivanja tipa mobilnog telefona traži se lista karakteristika koje navodi proizvođač, te se na temelju te liste  izdvoje najvjerojatnija mjesta gdje  je moguće pronaći  dokazne materijale. Iako specifikacije proizvođača mogu  biti znatno različite od stvarnog stanja u mobilnom telefonu zbog korisnikove prilagodbe, pregledom specifikacija dobije se uvid u:

         Metode bežičnog spajanja: koristi li telefon bluetooth, WiFi ili infracrvenu tehnologiju uz mobilnu tehnologiju komuniciranja

         Pristup internetu

         Kamera

         Upravitelj osobnim informacijama (eng. Personal information manager , kraticaPIM): variraju u komponentama, no većina ih sadrži kalendar, imenik, i softver za produkciju i pregled raznih tipova dokumenata

         Poruke: može li se telefonom slati  poruke, multimedijalne poruke, ili elektronička pošta

         Aplikacije: s kojim je tipom aplikacija telefon isporučen

         Sučelje za spajanje, ili kabel: kakav tip kabela je potrebno za spajanje telefona s računalom

 

 SIM kartica

 Subscriber Identity Module (SIM), upotrebljava se s GSM i iDEN mrežama. Omogućava korisniku prebacivanje podataka kao što su  imenik i poruke, te korisničke autentifikacije među mobilnim telefonima. Iako korisnik može mijenjati mobilne telefone, i dalje  ga se može pronaći korištenjem SIM kartice. Kako bi se izbjeglo kontaminiranje dokaza ne preporučuje se pristupanje telefonu korištenjem druge SIM kartice. Kloniranje SIM kartica korištenjem forenzičkih alata najsigurniji je način pristupanja mobilnom telefonu. SIM kartica zaštićena je PIN brojem (eng. Personal identification number), čija je zadaća  ne samo zaštita podataka na kartici , već i na  samom uređaju. PIN broj dugačak je od četiri do osam znamenki, te provodi sigurnosnu opciju blokiranja uređaja ukoliko se unese pogrešan PIN određen broj puta, najčešće tri. Mobilni se telefon nakon blokiranja može otključati PUK brojem (eng. PIN Unblocking Key), a ako se kojim slučajem nekoliko puta unese  i krivi  PUK broj, uređaj se više ne može odblokirati.

 

Do nedavno su se  dlanovnici  (PDAs) koristili kao samostalni uređaji, no danas su mogućnosti PDA, mobilnog telefona i pagera,  nalaze u pametnim telefonima (eng. Smart phones). Danas se rijetko nailazi na ove uređaje, i to većinom Palm OS, koja je najpopularnija PDA platforma koja se trenutno još uvijek koristi. Analiza, obrada i prikupljanje podataka na PDA obavlja se na isti način kao i za mobilne telefone. Realno gledajući, jedina razlika između PDA i mobilnog telefona jest ta što se PDA-om ne može obavljati pozive.

4.4.3     Digitalne kamere

Digitalni fotoaparati i kamere u današnje se vrijeme zapravo svode na isti uređaj. Prilikom njihova pregleda najbitnije je naravno područje za pohranu fotografija i snimaka. Iako je broj proizvođača digitalnih fotoaparata i kamera golem, način komunikacije opreme većinom je standardiziran. Većina digitalnih kamera koristi standardni ili  mini USB  priključak za spajanje s računalom, te standardne memorijske kartice kao što su MiniSD ili CompactFlash, za proširenje kapaciteta pohrane. Većina  trenutno dostupnih sustava prilikom istrage tretira se kao samo još jednu jedincu za pohranu podataka olakšavajući time posao istražiteljima, jer je moguće korištenje standardnih metoda i alata  za digitalnu forenziku. Kako se analize i pretrage povode preko USB porta, potrebno je omogućit  opciju zabrane pisanja po mediju, kako se prilikom analize podatci ne bi slučajno modificirali. Isto pravilo vrijedi i za čitanje ili prijenos podataka s memorijskih kartica.

Kao i kod digitalnih kamera, većina digitalnih audio uređaja kao što su MP3 playeri, ili iPod-ovi, tretira se kao medij za pohranu podataka te se skladno tome i obrađuje forenzičkim alatima.

4.4.4     Odabir alata za forenzičku obradu

Polje mobilne forenzike još je relativno novo stoga ne postoji jedan alat ili skupina alta koji pokriva sve moguće situacije. Računalna forenzika dijeli se na dva načina akvizicije podataka: fizičku i logičku akviziciju. Tehnike mobilne forenzike prate isti  format, no zbog  velikog broja postojećih platformi, logička forenzička akvizicija tip je koji se najčešće provodi. Očit razlog korištenja ovog tipa akvizicije je taj da forenzički softver koristi OS mobilnog uređaja za izvlačenje podataka. Fizička akvizicija podataka ima prednost nad logičkom , jer je njome moguće izvući podatke koje OS ne vidi ili nema pristup.

Polje mobilne forenzike  primarno se bavi akvizicijom podataka s mobilnih telefona. Alati korišteni za akviziciju, mogu se koristiti i na PDA uređajima. Alati za mobilnu forenziku pripadaju dvjema grupama: GSM i CDMA tipovima za akviziciju. Drugim riječima, neki forenzički alati rade samo analizu uređaja, dok neki i uređaja i SIM kartice. Neki su alati toliko specijalizirani da rade samo na određenom tipu mobilnog uređaja.

U nastavku su navedeni alati  koji rade na SIM karticama i mobilnom uređaju:

         Paraben : Parabenov skup alata za mobilne uređaje pokriva područja od Palm uređaja sve do Garmin GPS _ Logicube

          CellDEK kit

           Oxygen software

U sljedećoj su listi navedena dva SIM  forenzičkih alata

          Crownhill

          InsideOut Forensics

4.4.5     Sklopovlje korišteno u mobilnoj forenzici

Tip forenzičkog sklopovlja korištenog za mobilnu forenziku varira od standardne opreme za računalnu forenziku. Razlog je tome  što se ovdje radi s većim brojem raznog tipa uređaja s mogućnostima bežičnog komuniciranja.

Osnovni sklopovlje sastoji se od:

         Faradayeve torbe (eng. Faraday bag): sprječava komuniciranje mobilnih uređaja s vanjskim bežičnim uređajima, tako da presreće radio valove , te se ponaša kao velika vanjska antena, koja preusmjerava radio signal od mobilnog uređaja. Dakle sprječava primanje i slanje podataka, izolira uređaj. U okruženju mobilne forenzike, izolacija uređaja prvi je korak prilikom dolaska na scenu istraživanja.

         Čitač SIM kartica

         Razne kabele za spajanje uređaja s računalom  te  punjenje baterija

4.4.6     Izoliranje mobilnih uređaja

Prilikom istrage mobilnog uređaja on mora biti izoliran ne samo od drugih mobilnih  telefona, već i od bilo kakve komunikacije korištenjem bluetootha, WiFi-a ili infracrvene komunikacije. Pod svaku se cijenu mora izbjeći kontaminacija podataka na mobilnom uređaju nakon što je zaplijenjen. Razlozi su sljedeći:

         Praktični: istražitelj ne želi da mu podatke  i moguće dokaze prebrišu novi

         Sigurnosni: postoje uređaji i mehanizmi kojima je moguće zaključati ili uništiti uređaj iz daljine

         Legalni: Sud može odbaciti sakupljene dokaze ukoliko postoji sumnja u njihov integritet

Mobilni se telefon može izolirati na nekoliko načina:

         Izolacijom bežične komunikacije korištenjem Faradey-eve torbe ili uređaja za ometanje. Ovaj način izolacije funkcionira do trenutka kada se iscrpi baterija uređaja, a kako većina uređaja povećava snagu odašiljanja prilikom pokušaja spajanja, baterija se samim time brže troši.

         Isključivanjem uređaja

         Postavljanje uređaja u zrakoplovni način rada u kojem su isključeni svi bežični načini komunikacije, mana ovog pristupa jest potreba interakcije s uređajem te se time riskira mogućnost promijene dijela podataka

 

4.4.7     Pronalazak mobilnih podataka

Nakon izolacije telefona  potrebno je održavati baterije napunjenima  ukoliko se ne želi izgubiti podatke smještene u radnoj memoriji. Sljedeći korak jest pronalazak traženih informacija. Ovisno o tome radi li se s GSM ili CDMA uređajem, procedure izvlačenja podataka neznatno variraju. Ako se radi s SIM karticama, ona se prvo klonira, ili izradi image podataka korištenjem čitača kartica, ali pritom pazeći da se onemogući pisanje na originalni medij. Nakon izvlačenja podataka za analizu, forenzički alati izvršavaju pronađi i dohvati  automatizirane funkcije.

Kada se podatci izvlače iz samog uređaja, korištene procedure ne razlikuju se od onih korištenih kod SIM akvizicije.

4.5    Mrežna forenzika

Računalna forenzika svoje korijene vuče iz rekonstrukcije oštećenih podataka, tako je i mrežna forenzika potekla iz mrežne sigurnosti,  otkrivanje napada i neovlaštenog pristupa mrežama. Istrage o cybernapadima ili neovlaštenim upadima tretiraju se kao istrage u polju mrežne forenzike. Glavni su problemi kako zaustaviti upad, i pritom očuvati dokaze za kasniju analizu ili uporabu na sudu. Mrežna se forenzika bavi s podatcima koji se mijenjaju iz milisekunde u milisekundu, s terabajtima podataka koji se mogu pohraniti na mreži bez prekoračenja kapaciteta. Mreže su spojnice prometa velikog volumena, što forenzičke istrage čini izazovnim [12].

4.5.1     Primjene mrežne forenzike

Iako većina sustava kao što su sustavi za otkrivanje upada na mrežu (eng. Intrusion Detection Systems, skrać IDS), mogu pronaći i pratiti mrežne informacije, forenzičkim se alatima dodatno može provesti analizu vremenskog tijeka (eng. timeline), rekonstrukcije elektroničkih poruka, analize metapodataka, analiza paketa odnosno okvira (eng. frame), ili ckechsum kako bi se matematički pokazalo da se podatci nisu promijenili od vremena kada su pronađeni i dohvaćeni. Drugi, manje poznat aspekt mrežne forenzike  je podskup forenzičkog softvera koji djeluje na mrežu tretirajući ju kao što bi forenzički alati obrađivali statičko računalo. Drugim riječima moguće je provesti računalnu forenzičku analizu preko mreže, i time nije nužno potrebno imati fizički pristup istraživanom računalu. Iako je dobavljanje slike računala tj forenzičke kopije preko mreže tehnološki izvedivo, treba uzeti u obzir legalna ograničenja ukoliko se istraživano računalo nalazi u nekoj drugoj državi.

Mrežni je sklopovlje standardizirano u velikoj mjeri, te je time olakšana istraga, zbog mogućnosti primjene istih alata prilikom analiza svih sustava i mreža.

Osnovna struktura rada mrežnog forenzičkog sustava zasnovana je na klijent poslužitelj mrežnom sustavu. Na poslužiteljima se nalaze svi podatci, a klijenti spojeni na taj poslužitelj skidaju  ili primaju podatke s njega. U mrežnoj forenzici, ovaj je model malo modificiran; umjesto da klijent komunicira s poslužiteljem, agent  komunicira sa poslužiteljem. Agenti ili senzori prenose informacije  poslužitelju. U slučaju mrežnih forenzičkih agenata, prilikom prosljeđivanja podataka aktivirane su zaštitne mjere koje onemogućuju mijenjanje podataka prilikom tranzita, te kako bi se provjerilo jesu li podatci sumnjivi ili sigurni s tehničkog stajališta. Agenti se koriste u korisničkim računalima, dok se senzori smještaju na mrežnoj opremi kao što su usmjerivači i preklopnici.

Osnovna se struktura mrežnih forenzičkih alata može razvrstati u tri grupacije:

·         Poslužitelj za upravljanje i kontrolu (eng. Command and control server): upravlja operacijama mrežnih forenzičkih alata, te u većini slučajeva poslužitelj dolazi s GUI programskim paketom preko kojeg je moguća jednostavna komunikacija sa svim dijelovima mrežnog forenzičkog sustava. Iz tog se poslužitelja postavljaju  programski agenti, akvizicijski parametri, dobavlja se slika, te sve ostale akcije prikupljanja i analize

·         Poslužitelj za pohranu (eng storage server): repozitorij svih podataka  preuzetih s mrežnih izvora. Podatci prikupljeni od agenata i senzora se ispituje, forenzički autentificira i tada pohranjuje. Velikim količinama podataka na tim poslužiteljima upravljaju baze podataka kao što su Microsoft SQL.

·         Agenti: većina agenata nije veća od 200KB, te rade u prikrivenom načinu rada, prikupljaju i podatke koje OS ne vidi ili do kojih nema pristupa, razmješteni po istraživanim sustavima ili mrežama.  Softver forenzičkih agenata može se maskirati kao jedan od standardno korištenih programa, a svoje informacije šalju kriptirane, čak i nasumičnim redoslijedom kako bi se zamaskirao podatkovni teret.Ukoliko je potrebno prenijeti pre veliku količinu podataka, kako bi njihov prijenos ostao nezamijećen, forenzički se softver podešava da prijenos obavlja kada je promet na mreži minimalan.

Većina je mrežnih  uređaja standardizirana u interakciji s drugim mrežnim uređajima, no unutar svakog tipa mrežnog uređaja kao što su usmjerivači, preklopnici ili privatna čvorišta (eng. Hub), postoje mnoge varijacije konfiguracija i mogućnosti postavki.

4.5.2     Kategorizacija podataka

Tipovi podataka koji se mogu dohvatiti koristeći mrežne forenzičke alate variraju od forenzičkih kopija tvrdog diska do dnevnika usmjerivača.

Podatci se sakupljaju sa sljedećih uređaja:

·         Host računala: Provodi se standardna forenzička akvizicija; image uređaja za pohranu podataka, sadržaj radne memorije, statički dokazi fizički locirani unutar dosega agenata, svi se ovi podatci prebacuju na forenzički poslužitelj. Dodatno se sakupljaju i podatci u stvarnom vremenu koji se nalaze u mrežnoj kartici računala. Host računala su radne stanice ali i poslužitelji (mrežni, poslužitelj elektroničke pošte, poslužitelji baza podataka)

·         Usmjerivači (eng. Router): dizajniran za prijenos podataka među mrežama. Tip informacija koje se nalaze na usmjerivaču vezane su uz dnevnike prometa, pohranu mrežnih razgovora ili dokumenata. Dnevnici prometa sadrže pogreške koje su se dogodile tijekom usmjeravanja, statusne informacije komponenti usmjerivača. Usmjerivači čuvaju određen broj IP i MAC adresa koje vode do ostalih mreža i host računala.

·         Zaštitna stijena (eng. firewall): sadrži detaljne dnevnike aktivnosti na sustavu kao što su pokušaji napada, neovlaštenog pristupa, nedostavljanih paketa, sigurnosna pravila, aplikacije koje imaju ili nemaju dozvolu komuniciranja s mrežom, ili primanja podataka s mreže, izvore sumnjivih akcija, protokole i servise  kod pokušaja neovlaštenog upada, te napadačevu IP adresu.

·         Preklopnik (eng. switch): korisne informacije  nalaze se u sadržajnoj adresabilnoj memoriji  (eng. Contetn addressable memory, kratica CAM). U njoj su smještene informacije o pridruživanju MAC adresa specifičnim portovima, kao i podatci o virtualnim lokanim mrežama (eng. Virtual local area netwotk, kratica VLAN). Preklopnici ne vode dnevnike aktivnosti, zbog toga što ne posjeduju dovoljno memorijskih ili procesuralnih kapaciteta, no korisni su za dodavanja mrežnih zrcala, koji se koriste za kopiranje podatkovnih tokova u stvarnom vremenu. 

·         Sustavi za otkrivanje upada(IDS): u IDS dnevnicima sadržane su sve aktivnosti procijenjene kao sumnjive. Ovi se dnevnici vode za naknadnu analizu i otkrivanja načina sprječavanja sličnih sumnjivih događaja u budućnosti. U dnevnicima su sadržane sljedeće  informacije; rezultati skeniranja portova, promet koji dolazi s nepoznatih portova ili sumnjivim protokolima,prepoznate prijetnje kao što su crvi, virusi, ili neovlašteni pokušaji pristupa mreži, anonimni pokušaji korištenja FTP servisa mreže, IP adrese napadača, korišten bandwidth.

·         Sustav za sprječavanje upada (eng. Intrusion prevention system, kratica IPS): sustav blokira ili gasi primijećene potencijalne prijetnje na mreži. IPS u dnevnicima zapisuje gotovo iste tipove informacija kao i IDS, no njegova je glavna zadaća analizirati podatke na mreži u stvarnom vremenu te utvrditi postoji li prijetnja sustavu.

·         Mrežni pisači: U dnevnicima pisača mogu se pronaći dokumenti, slike i ostale informacije poslane na ispis, ponekad i sa  pripadajućim metapodatcima. Na većinu je današnjih mrežnih  pisača moguće postaviti agenta koji će presretati sve podatke poslane na pisač.

·         Mrežni uređaj za kopiranje: U njegovim se dnevnicima mogu pronaći slične informacije kao i kod mrežnih pisača

·         Bežične točke pristupa (eng. Wireless acess point , kratica WAP): Dnevnici mu sadrže sve informacije kao i kod žičanog usmjerivača, s dodatkom informacija kao što su SSID i dolazne pristupne veze.

 

4.5.3     Rekonstrukcija događaja sa podatcima o prometu na mreži

Većina mrežnih forenzičkih alata analiziraju prikupljene podatke te rekonstruiraju događaje i vremenski tijek automatiziranim procesima, no poželjno je da istražitelj razumije osnovne koncepte i načine na koji je alat došao do tih rezultata. 

Prvi korak u analizi prikupljenih podataka jest korelacija  vremenskih oznaka prikupljenih iz različitih izvora, iza iste ili povezane podatke. Dave Mills, Universitiy of Delawear, razvio je protokol  koji sinkronizira sve uređaje na mreži, te time otklanja potrebu ručnog postavljanja vremenskih funkcija svake mrežne komponente. Protokol mrežnog vremena (eng. Network Time Protocol, kratica NTP), održava vremenske  postavke svih mrežnih komponenti u milisekundu točnosti od Koordiniranog univerzalnog vremena (eng. Coordinated Universal Time, kratica UTC).

Mrežna komunikacija oslanja se na precizne vremenske oznake kako bi sve izmjene podataka funkcionirale ispravno. Na primjer preciznost je veoma važna u sinkroniziranim mrežama velike brzine, financijskom softveru, poslovnim komunikacijama, vojnim aplikacijama itd..

Mrežne komponente osim IDS  i IPS, te sličnih sustava sustava, samo prosljeđuju pakete i podatke do njihovog odredišta. IPS sustavi analiziraju i podatke kako bi utvrdili postoji li prijetnja odredišnom računalu, no za podatke se uglavnom brine host računalo mreže. Host računalo koristi Transmission Control Protocol/Internet Protocol (TCP/IP) protokol za slaganje podatkovnih tokova podataka u razumnu cjelinu. Podatci se protokolom razlažu na pakete, šalju do odredišta, te se tamo opet sastavljaju korištenjem sekvencijskih brojeva  i potvrda.  Istražitelj  pakete uhvaćene na mreži može ponovo sastavit korištenjem njihovih sekvencijskih brojeva.

4.5.4     Raspoznavanje različitih tokova podataka

Jedan od načina raspoznavanja  jednog toka podatak od drugog, jest pregledom korištenog protokola pomoću kojeg  su podatci poslani. Broj dostupnih protokola zaista je velik, no većina proizvođača i softverskih kompanija koriste standardne protokole kako bi osigurali kompatibilnost.  U sljedećoj su listi navedeni najčešće korišteni mrežni protokoli:

·         Address resolution protocol (ARP): Pronalazi MAC adresu na temelju IP adrese drugog host

·         Internet control message protocol (ICMP): Šalje poruke pogreške i ostalih informacija. Ping i Traceroute koriste ovaj  protokol

·         Internet protocol security (IPSec): Sigurnosni protokol koji kriptira ili autentificira pakete podataka

·         BitTorrent: Koriste ga peer to peer mreže za prijenos velikih količina podataka

·         Domain name system (DNS): Prevode IP adrese u ljudski čitljiva imena

·         Dynamic host configuration protocol (DHCP): Host računala koriste ovaj protokol za dobivanje IP adresa na mreži

·         File transfer protocol (FTP): Pomaže prijelazu podataka s jednog host računala na drugo, preko mreže

·          HyperText Transfer Protocol (HTTP): Prenosi podatke kao što su internetske stranice  s jednog host računala na drugo

·         Internet message access protocol (IMAP): Koristi se u sustavima elektroničke pošte

·         Network time protocol (NTP)

·         Post office protocol version 3 (POP3): Protokol elektroničke pošte koji dobavlja elektroničke poruke na mreži

·         Secure shell (SSH): Stvara siguran kanal među host računalima na mreži

·         Simple mail transfer protocol (SMTP): Protokol elektroničke pošte, korišten za njeno slanje preko mreže

4.5.5     Mrežni forenzički alati

Mrežni alati sakupljaju podatke iz već postojećih dnevnika aktivnosti  komponenti mreže, ili se instaliraju na mrežu s ciljem sakupljanja podataka u realnom vremenu.

 

Mrežni ispitni pristupi (eng Test Access Port,  kratica TAP) ključni su u mrežama koje sadrže preklopnike, zbog toga što  preklopnici prosljeđuju podatke samo među portovima koji aktivno komuniciraju. Mrežni TAP ugrađuje se izravno na mrežni medij te mogu nadzirati sav promet koji dolazi i izlazi iz preklopnika na svim portovima. Kada podatci stignu do preklopnika, kopira se cijeli tok dok oni nastavljaju putovati do odredišta.

Mrežni se TAP može smatrati stostrani hub  velike brzine jer mu ne trebaju IP ili MAC adrese, zbog toga što samo kopira podatke, i to sve od krivo formiranih paketa do VLAN informacija. Moguće ga je instalirati na mreže ostvarene optičkim vlaknima, bakrenim kabelima pa čak i WAN (eng. Wide Area Network). Omogućuje istovremeno kopiranje podataka  s obije strane razmjene podataka na mreži. TAP portovi ne zahtijevaju dodjeljivanje adresa  nevidljivi su svim sudionicima razmjene podataka na mreži, kako nisu vidljivi nisu ni podložni napadima, jer čak iako netko primijeti malena kašnjenja prilikom dostave podataka, nema načina da pronađe uzrok. Mane TAP portova su da kopiraju sve, te ukoliko istražitelj ne filtrira podatke, spremanje svog materijala može bit problematično. Druga mana jest da udvostručuje količinu prometa na mreži ukoliko se koristi ista mreža koju se nadzire za prebacivanje podataka na medij za pohranu.

 

Zrcala

Mrežni usmjerivači i preklopnici koriste višestruke portove. Preslikavanje portova koristi se kada je potrebno promet svesti na jedan port gdje IDS analizira promet, te pronalazi potencijalno opasne podatke, ili alat za forenzičku analizu i sigurnost.

Način na koji preklopnik ili usmjerivač prenosi podatke s jednog porta na drugi, i kako brzo, ograničavaju korisnost zrcala (eng. Mirrors). Na mrežama velike brzine gubljenje podataka zbog kolizija , te odbačenih podataka povećava se porastom prometa na mreži. Ukoliko se u tom slučaju sav promet zrcali na jedan port, mrežni se uređaj zakrči podatcima. Najčešća uporaba zrcaljenja portova je kopiranje mrežnog prometa određenog računala ili korisnika. Zrcalu je moguće pristupiti s udaljene lokacije, stoga je ranjivo za napade i promjene konfiguracija.

 

Promiskuitetni NIC

Ova se metoda prikupljanja i nadziranja podataka ne koristi često. NIC je kartica mrežnog sustava, a dualan spoj na mrežu omogućava nadzor i skeniranje mrežnog prometa. Jedna od prednosti korištenja ovog tipa TAP-a jest ta da je ugrađen direktno u računalo istražitelja, stoga se podatci ne moraju prenositi preko mreže do medija za pohranu. Ova mu je činjenica ujedno i mana, jer nije efektivno  mobilan.

 

Bežične mreže

U mrežama ostvarenim bakrenim kabelima ili kabelima s optičkim vlaknima, informacije su zarobljene u tom kabelu, te ukoliko netko želi pristup tim informacijama mora se fizički spojiti na mrežu. Bežične mreže šalju sve informacije zračnim putem, i svatko s antenom pri ruci može kopirati i sačuvati poslane podatke. TAP mora biti pasivan sustav kako i prikrio svoje postojanje i bio zaštićen od napada. S sklopovskog gledišta , može se koristiti bilo što što je sposobno primati podatke na pravoj frekvenciji, kao što su NIC kartice ili primaoc radio frekvencija. Važan aspekt pregleda mrežnog prometa je koji se tip softvera koristi za pregled i analizu podataka. Prijenosno računalo s bežičnom karticom može snimati mrežni promet jer već posjeduje ugrađene protokole koji prevode bežični signal u digitalni kod koji OS razumije. Program po imenu Kismet koristi NIC kartice, te može raditi pod različitim operacijskim sustavima. On generira dnevnike koji su kompatibilni s većinom IDS  i forenzičkih sustava, te time olakšava analizu prikupljenih podataka. Treba imati na umu da su podatci koji putuju među bežičnih točaka pristupa paketi, no ako se podatci presretnu prije nego što napuste bežičnu točku pristupa, ili nakon što stignu u nju, te dohvatiti podatke u originalnom obliku.

4.6    Istraživanje dosjea X: Egzotična forenzika

Digitalna budilica i brojilo potrošnje električne energije točan su pokazatelj kada se budimo, računalni dnevnici bilježe informacije  koje korisnik traži i vrijeme kada ih je tražio, alarmni sustavi bilježe odlaske i dolaske ukućana, mobilnim telefonom moguće je utvrditi lokaciju osobe računalna blagajna bilježi transakcije debitnih kartica, svaki dio naše svakodnevnice obilježen je korištenjem digitalnih uređaja koji na neki način bilježe naše navike i kretanja.

U ovom su poglavlju navedeni neki od uređaja iz ljudske svakodnevnice iz kojih je moguće izvući određenu količinu korisnih informacija.

4.6.1     Telefonske automatske sekretarice

Pregled  i akviziciju podataka s digitalne automatske sekretarice potrebno je pristupiti mikročipu za pohranu podataka, preslušati govorne poruke, ili spojiti uređaj s računalom. Današnje su sekretarice zapravo digitalni audio snimači spojeni na telefonsku liniju. Većina ih dolazi s USB portom, kako bi se uređaj mogao spojiti s računalom zbog dohvata ili pohrane važnih poruka. Sekretarice s USB priključcima smatraju samo još jednim medijem za pohranu podataka. Korisnici veoma jednostavno dokumente, podatke slike  te ostale informacije mogu sakriti upravo na digitalnu automatsku sekretaricu. Pregled, akvizicija i analiza podataka obavljaju se kao i kod bilo kojeg medija za pohranu podataka.

4.6.2     Pregled sustava za video nadzor i kućnih sigurnosnih sustava

Uređaji za kućnu zabavu kao  što su  digitalni video snimači (eng digital video recorder, skrać DVR) mogu služiti kao eksterni tvrdi diskovi. DVR tehnologija koristi se i u nadzornim sustavima. Većina DVR uređaja koristi  tvrde diskove za pohranu video zapisa. Standardnim je forenzičkim postupkom moguće izraditi  sliku prostora za pohranu, te analizu podataka na njemu.

Većina kućnih sigurnosnih sustava  ukomponirani su u mala računala s minimalnim OS i nekoliko sklopovskih komponenti. Ovi sustavi koriste medij za pohranu podataka za čuvanje dnevnika događaja, sigurnosnih šifri, i konfiguracijskih postavki koji je kod korišten i koda za aktivaciju, odnosno deaktivaciju sigurnosnog sustava. Ukoliko svaka osoba posjeduje svoj kod, moguće je jednostavno utvrditi osobu i vrijeme pristupa sigurnosnom sustavu. Ovi se sustavi mogu isprogramirati za obavljanje određenih akcija u određenim vremenskim intervalima, stvarati nove šifre, izgasiti nadzor na određenim dijelovima, kompletno se isključiti, uključiti. Sve se te akcije mogu pregledati i analizirati u dnevniku događaja.

4.6.3     Praćenje automobila

Praćenje automobila nikada nije bilo jednostavnije korištenjem GPS tehnologije. Koncept GPS tehnologije jednostavna je: primaoc (eng. receiver) koristi satelitske signale kako bi utvrdio poziciju automobila s preciznošću od nekoliko metara. Implementacije je malo složenija, kada se doda satelite, atmosferske interferencije i efekte refleksije i raspršenja radio valova, izračun lokacije nije toliko jednostavan. Sustav koristi grupu od 24 satelita u Zemljinoj orbiti, i moguće je s razumnom točnošću utvrditi gdje se primaoc nalazio u određenom trenutku. Noviji GPS uređaji sadrže medij za pohranu podataka, ugrađeni MP3 player, te sučelja za spajanje s mobilnim uređajima putem Bluetootha izravnom vezom, ili USB kabelom.  GPS uređaji sadržavaju mnogo korisnih informacija, a kako se mogu spajati sa računalom, njihov se prostor za pohranu podataka kopira, ispituje i analizira kao i svaki drugi medij za pohranu podataka.

4.6.4     Identifikacija radio frekvencijom

U metodi identifikacije radio frekvencijom, ili RFID, koriste se veoma mali odašiljači male snage. Primaoc (eng. receiver) prima signal kojim može identificirati osobu, životinju ili objekt. U svom najjednostavnijem obliku RFID odašiljač odašilje signal radio frekvencije kodiran identifikacijskim brojem. Kada čitač primi kodirani signal, pretvara ga u digitalni i prosljeđuje uređaju na koji je priključen. RFID koristi na benzinskim postajama, automatima s kavom ili grickalicama koji imaju  mogućnost plaćanja karticama,u supermarketima, kućnim ljubimcima za utvrđivanje lokacije i identifikaciju, kasinima, identifikacijskim sustavima studenata, zaposlenika, putovnica.

S forenzičkog stajališta, pomoću FRID može se rekonstruirati kretanje osobe ili objekta. Kako RFID sustavi rade  s frekvencijama radio valova, svatko s pravim tipom primaoca može presresti signal [12].

5.    Digitalna forenzika slika

Digitalne slike nastale uporabom raznih uređaja koriste se u sve većem broju  područja; od vojnih i nadzornih do medicinskih dijagnoza te komercijalne uporabe  i privatne fotografije. Sukladno tome, niz novih forenzičkih problema proizlazi iz tako ubrzanog rasta napretka i raširenosti   uređaja koji mogu generirati digitalnu sliku. Na primjer, možemo se zapitati kakvi se tipovi sklopovskih i programskih komponenti  koriste u tim uređajima. Analizom digitalne fotografije utvrđujemo korišteni senzor . Kako je dobivena slika? Jeli nastala u mobilnom telefonu, kameri, video kameri, fotografskim skenerom ili je stvorena umjetno korištenjem softvera za obradu fotografija? Je li slika manipulirana  nakon stvaranja, je li autentična ili modificirana na neki način? Sadrži li sakrivene  podatke ili steganografski sakrivene informacije? Mnoga se forenzička pitanja mogu ogovoriti  pronalaskom mjesta nastanka digitalne fotografije ili njenog procesa stvaranja.  Znanje o  metodama akvizicije slika  mogu pomoći pri odgovaranju na buduća forenzička pitanja  koja se tiču prirode dodatnog procesiranja kojima je slika mogla biti podvrgnuta nakon nastanka.

5.1    Forenzika komponenti kamera

Forenzika komponenti teži  identifikaciji algoritama  i parametara upotrijebljenih u raznim komponentama  uređaja  korištenih  za generiranje slika. Analizom  komponenti  traži se intrinzične otiske  i tragove  koji su ostali na digitalnoj slici nakon blokova procesiranja u informacijskom procesnom lancu, potom se te tragove koristi kako bi se mogli procijeniti parametri komponenti. Nakon procjene parametara  intrinzičnim identifikacijama otisaka, forenzika komponenti koristi se kao baza  za obradu težih forenzičkih problema kao što su  otkrivanje kršenja prava i patenata  uređaja ili korištene tehnologije, zaštita  prava intelektualnog vlasništva, te identifikacija uređaja.

Učestali način utvrđivanja krađe intelektualnog vlasništva pregled je dizajna  i implementacije proizvoda,  te traženje sličnosti s uređajima za koje se tvrdi kako već postoje patenti. Ovaj pristup može biti veoma zamoran, ne efikasan i iziskuje mnogo vremena, a  u većini bi slučajeva zahtijevao usporedbu linije po linije koda softverskih modula uređaja. Forenzika komponenti pruža sistematičnu metodologiju  za otkrivanje kršenja patentnih prava  identifikacijom algoritama  i parametara korištenih u svakoj komponenti procesnog informacijskog lanca štiteći time prava intelektualnog vlasništva.

Forenzika komponenti služi i kao temelj utvrđivanja vjerodostojnosti slika i fotografskih uređaja. S brzim razvojem alata za manipulaciju  multimedijalnih podataka, sve je važniji integritet  sadržaja kao i uređaja s kojeg je sadržaj dobavljen, pogotovo kada se koristi kao dokaz na sudu, istrazi, novinarstvu, vojnom obavještavanju... Na primjer, informacije o modulima sklopovlja i programskih komponenti te njihove parametre u uređajima pomažu u izgradnji sustava identifikacije uređaja. Takvi su sustavi korisni prilikom akvizicije podataka koje provode razne organizacije, kompanije i forenzički istražitelji, kao i za utvrđivanje  koji se uređaj ili tip  uređaja  koristilo za dobivanje određene slike.   Forenzika komponenti pomaže pri izradi  modela za definiranje karakteristika  slike dobavljene s nekog tipa uređaja, te time olakšavaju forenzičkim alatima  utvrđivanje postojanja  modifikacija u slikama. Nadalje, poznavanjem  karakteristika slike i modela uređaja na kojem je nastala moguće je utvrditi  koji se tip procesiranja obavljao nad slikom otkako je napustila medij za pohranu originalnog uređaja.

Forenzika komponenti može se provoditi  na tri načina ovisno o prirodi dostupnih informacija i ulaznih podataka:

·         U invazivnoj  forenzici istražitelj ima pristup uređaju, može ga rastaviti, izolirati svaku komponentu, te utvrditi individualne parametre tih  komponenti određenim metodama.

·         U slučaju djelomice  neinvazivne forenzike istražitelj  i dalje ima pristup uređaju, no ne smije ga rastavljati ; u tom slučaju može sastaviti određene ulazne podatke koje unosi u uređaj kako bi prikupio procesorne metode  i parametre individualnih komponenti.

·         U kompletno neinvazivnoj forenzici  istražitelj  procjenjuje parametre komponenti na temelju uzoraka podataka dostupnih na uređaju [3].

 

5.1.1     Metodologije  forenzike komponenti

Kada se scena iz stvarnog svijeta želi uslikati korištenjem digitalne kamere, informacije o sceni prolaze kroz različite uređaje dok na kraju ne nastane digitalna slika. Svaka od tih komponenti u lancu procesiranja informacije  modificira ulaz specifičnim algoritmima  i  skupom parametara, te ostavljaju intrinzične otiske i tragove na slici. U  nastavku su ukratko opisane neke od metoda koje neinvazivno procjenjuju  parametre raznih komponenti kamere .

slika.JPG

Slika 5.1 Obrada informacija u digitalnim kamerama

 

Procjena funkcije odgovora kamere

Funkcija odgovora kamere (eng camera response function, kratica CRF) mapira  energiju svijetla scene u vrijednosti intenziteta slike. CFR  se koriste u nekoliko aplikacija  kao što su algoritmi računalnog vida korištenim za utvrđivanje oblika  objekta iz sjene, autentifikacijskim algoritmima gdje se CFR koristi kao prirodni vodeni žig. Za procjenu CFR  trenutno se najčešće koriste eksperimentalni  nelinearni modeli koji polučuju djelomično uspješne  rezultate, dok se metode procjene CFR na temelju fotografija još uvijek istražuju.

 

Procjena mreže filtera boje i interpolacijskih parametara

Za komponente kao što su CFA i moduli interpolacije boja, znanje o komponentama izlaza daje kompletne informacije o ulaznim podatcima  jer su ulaz i izlaz u korespondenciji s uzorcima interpoliranih podataka. Za procjenu koeficijenata interpolacije boja koristi se između ostaloga i   EM algoritam. Prvo pretpostavimo kako pixeli slike pripadaju jednom od dvaju modela

1.    Pixel je linearno koreliran  sa svojim susjedima i dobiva se algoritmom linearne interpolacije

2.    Pixel nije koreliran sa svojim susjedima

Na tim se pretpostavkama  izvodi iteracijski  dvokoračni EM algoritam. U koraku očekivanja, izračunavaju  se vjerojatnosti o pripadnosti modelima  za svaki uzorak, dok se u koraku maksimizacije  nalaze specifični oblici korelacije među pixelima. EM algoritam generira dva izlaza: dvodimenzionalnu mapu vjerojatnosti koja sadrži  koeficijente vjerojatnost pripadnosti  pixela jednoj od dviju mogućnosti  i težinske koeficijente. Procijenjene mape vjerojatnosti mogu se efikasno koristit  pri otkrivanju jeli slika u boji rezultat interpolacije ili ne. Koeficijenti interpolacije pomažu pri razlikovanju različitih algoritama interpolacije.

int.bmp

Slika 5.2 Algoritam za procjenu CFA i interpolacijskih koeficjenata

 

Procjena post interpolacijskog procesiranja

Operacije procesiranja kao što su balansiranje bijele boje, te korekcije boja  kamere provode nakon interpolacije boje kako bi se osiguralo da objekt koji je bijel u stvarnom svijetu, tako izgleda i na fotografiji. Operacije balansiranja bijele boje tipično su multiplikativne i svaka se boja u fotografiji umnaža za odabranu konstantu puta u prostoru boja kamere. Zbog multiplikativne  prirode operacije  balansiranja bijele boje  one ne mogu biti procijenjene analizom samo jedne fotografije neinvazivnim metodama s prihvatljivom razinom točnosti. Preciznije se mogu procijeniti djelomice neinvazivnom  metodom  u dva koraka: prvo se dobave dvije fotografije s različitim ugrađenim postavkama balansiranja bijele boje, i tada se rješava niz jednadžbi  korištenjem Von-Kreis hipoteze.

JPEG kompresija još je jedna popularna post interpolacijska procesna  komponenta u digitalnim kamerama. JPEG kompresija može se smatrati kvantizacijom na razini  diskretne kosinusne transformacijske domene. U ovom slučaju izlaz komponente, ne daje nam kompletne informacije o pripadajućem ulazu; ali pruža grubu procjenu ulaznih informacija  unutar dosega veličine kvantizacijskog koraka. Statistička se analiza zasnovanu na binning metodama  koje se koriste za neinvazivno predviđanje kvantizacijske matrice. Ti algoritmi daju   dobre rezultate u procjeni veličine  kvantifikacijskog koraka. 

5.1.2     Primjena forenzike komponenti

U nastavku su ukratko opisane neke od primjena forenzike komponenti koje prikazuju kako se koriste intrinzični tragovi  zapisani u digitalnim fotografijama, na koja pitanja pružaju odgovore i kakve se dokaze iz njih može izvući [3].

 

 Forenzika identifikacije kamera

Procijenjeni parametri komponenti kamera mogu se koristit kao faktori  za identifikaciju modela i tipa kamere korištene za izradu ispitivane digitalne fotografije. Kao metoda za identifikaciju kamera pomoću parametara komponenti koristi EM algoritam. Sa njime se procjenjuju težinski koeficijenti, te lokacije maksimuma i veličine frekvencijskog spektra  mape vjerojatnosti. Za  ispitivanje metode koriste  se slike uslikane dvjema kamerama s kontroliranim ulaznim vrijednostima, zajedno  sa nasumce dobavljenom slikom s interneta ili usnimljene trećom kamerom.

Druge metode predlažu veći broj karakteristika za identifikaciju kamere: prosječnu vrijednost pixela, RGB parove korelacije, energetske vrijednosti  omjera RGB, statistike domene waveleta, te metrike kvalitete slike. Za klasifikaciju se koriste i Support Vector Machines (kratica SVM) kojima se postiže visoka  točnost klasifikacije.

 

Forenzička analiza kršenja autorskih prava, povreda intelektualnog vlasništva i licenciranja

Forenzika komponenti može se koristiti za identifikaciju osnovnih osobina vezanih uz određeni uređaj  prilikom potvrđivanja kršenja autorskih prava  i licenciranja komponenti uređaja. Metode klasifikacije na primjer koriste sličnosti u algoritmima interpolacije koje koriste različite kamere.

 

Otkrivanje  izreži i kopiraj krivotvorina, na temelju nekonzistentnosti  u parametrima komponenti

Stvaranje modificirane slike kopiranjem dijela slike često uključuje dobavljanje različitih dijelova slike od fotografija slikanih različitim kamerama koje vjerojatno koriste različite  skupine algoritama tj parametara u internim komponentama. Nedosljednosti  u procijenjenim uzorcima senzora dobivenih iz različitih dijelova slike  ili nedosljednosti u intrinzičnim tragovima otisaka (kao što su interpolacijski koeficijenti ili CFR), koje ostavljaju komponente kamere mogu se koristit za identifikaciju digitalnih krivotvorina nastalih kopiranjem, rezanjem ili slaganjem dijelova fotografiju novu sliku.

 

Forenzika komponenti kao dio osnovnog modela otkrivanja krivotvorina

 Operacije procesiranja slika uključuju očuvanje sadržaja i manipulacije promjene sadržaja. Procesiranje obavljeno na slici  nakon izlaska iz kamere  generalno se teško otkriva i procjenjuje zbog nedostatka informacija o tipu manipulacija što vodi do pogrešnih izbora modela.  Za otkrivanje manipulacija bez fokusa na identifikaciju tipa manipulacije ili njegovih parametara provodi se analizom varijance i wavelet statistika višeg reda. Ove metode zahtijevaju uzorke manipuliranih  i nemanipuliranih slika kako bi se statističke vrijednosti mogle predstaviti klasifikatoru, te naučiti granica klasifikacije koja će istraživanu sliku smjestiti u jedan od razreda ovisno o njenim statističkim svojstvima. Mana ovih metoda je ta da možda neće biti u stanju ispravno klasificirati slike manipulirane metodom koja nije uzeta u obzir prilikom njihove konstrukcije [3].

5.2    Neuniformnost fotografskih senzora

U ovom se poglavlju opisuju načini kako se neuniformnost izlaza (eng. Photo response nonuniformity, kratica PRNU) fotografskih senzora može koristiti za raznovrsne forenzičke zadaće kao što su identifikacija uređaja, povezivanje uređaja i fotografije, povratak procesne povijesti i otkrivanje digitalnih krivotvorina [2].

PRNU intrinzično je svojstvo svih digitalnih fotografskih senzora koji nastaje zbog neznatnih varijacija među individualnim pixelima u njihovoj sposobnosti  pretvorbe fotona u elektrone. Svaki senzor  otpušta slab uzorak sličan šumu  u svaku sliku koju generira. Ovaj uzorak koji se može smatrati identifikacijskim otiskom  senzora, u biti je nenamjeran stohastički vodeni žig raširenog spektra koji preživljava procesiranje, kompresiju s gubitcima ili filtraciju.

Postoje dva tipa fotografskih senzora koji se najčešće nalaze u digitalnim kamerama, fotoaparatima i skenerima: charge coupled device CCD uređaj, i komplementarni metal oksid poluvodič (eng. complemetrary metal oxide semiconductor, kratica CMOS). Sastoje se od velikog broja foto detektora, koji se još nazivaju i pixelima. Pixeli se izrađuju od silikona i hvataju svjetlo pretvarajući fotone u elektrone koristeći fotoelektrični efekt. Akumulirani se naboj prenosi van senzora, amplificira, i tada pretvori u digitalni signal koristeći A/D pretvornik. signal se dalje procesira  prije pohrane  podatka  u formatu slike kao što je Joint Photographic Experts Group (kratica JPEG).

Pixeli su obično pravokutnog oblika, duljine nekoliko mikrona. Količina elektrona koje uzrokuje svjetlo incidenta u svakom pixelu ovisi o fizičkim dimenzijama fotosenzitivnog područja pixela i o homogenosti silikona. Fizičke dimenzije pixela variraju  neznatno zbog nesavršenosti proizvodnog procesa. Nehomogenost koja je prirodno prisutna u silikonu pridonosi varijacijama u kvantnoj efikasnosti među pikselima tj. sposobnosti pretvaranja fotona u elektrone. Različitosti među pixelima mogu se zabilježiti  matricom  koja je istih dimenzija kao  senzor. Kada se fotografski senzor osvijetli s idealno uniformnim svjetlom  intenziteta , u odsutnosti drugih izvora šuma senzor će registrirati  signal sličan šumu oblika . Izrazom  obično se označava PRNU.

Matrica  odgovorna je za veliki dio onoga što nazivamo identifikacijski otisak kamere. Otisak se može  procijeniti eksperimentalno, na primjer  slikanje fotografija jednoliko osvijetljenih površina, te računanje srednjih vrijednosti slika kako bi se izoliralo sustavsku komponentu svih slika. U isto vrijeme  srednja vrijednost pobija slučajne komponente šuma kao što su shot noise odnosno nasumična varijacija u broju fotona koji stignu do pixela  uzrokovano kvantnim svojstvima svjetlosti, the read out  šum nasumični šum uveden tijekom očitanja senzora, itd..

Osim PRNU, identifikacijski otisak kamere sadrži  sve sustavske defekte senzora  uključujući i užarene i mrtve pixele (eng. Dead and hot pixels) koji konzistentno proizvode  izlaze visokog i niskog  iznosa neovisno o iluminaciji, i tako zvanu tamnu struju (eng. Dark curent)  uzorak sličan šumu  koji se dobiva slikanjem s  zatvorenim objektivom. No najvažnija komponenta otiska  jest PRNU.

 PRNU  je slabo prisutan  u tamnim područjima gdje je intenzitet svjetlosti približno jednak nuli. Dijelovi slike  gdje su pixeli popunjeni do krajnjih granica, te daju samo konstantan signal, ne nose tragove PRNU, ili bilo kakvog drugog šuma.  Svi su fotografski senzori građeni od poluvodiča, i njihove su proizvodne tehnike slične, stoga će njihovi otisci biti sličnih svojstava . Iako je PRNU stohastičke naravi, relativno je stabilna komponenta senzora tijekom njegova životnog vijeka. Faktor  je veoma korisna forenzička veličina zaslužna za jedinstven identifikacijski otisak  senzora  sa sljedećim svojstvima:

·         Dimenzionalnost:Otisak prsta je stohastički po prirodi i sadrži veliku količinu informacija  što ga čini jedinstvenim za svaki senzor

·         Univerzalnost: svi senzori ostavljaju PRNU

·         Generalnost: Otisak prsta prisutan je u svakoj slici nezavisno o optici kamere, njenim postavkama ili sadržaju scene fotografije, s iznimkama kompletno tamnih slika

·         Stabilnost: Stabilan je u vremenu i kroz širok spektar uvjeta kao što su visoka  ili niska temperatura te vlažnost

·         Robusnost: Preživljava kompresiju s gubitcima, filtriranje, gama korekcije, te mnoge druge procedure procesiranja

Identifikacijski otisak digitalne kamere može se koristiti u mnogim forenzičkim situacijama i zadaćama. Prilikom ispitivanja postojanja specifičnog otiska u slici može se arhivirati za pouzdane identifikacije uređaja (npr. kako je određena slika nastala na određenoj kameri) ili dokazati da su dvije slike slikane istim uređajem. Ova se metoda naziva povezivanje uređaja (eng. Device linking).

Prisutnost otiska  kamere na slici indikativna je činjenica da je istraživana slika prirodna, a ne računalno stvorena ili krivotvorine. Kada se ne ustanovi postojanje otiska senzora na pojedinim regijama slike, to može ukazivati na zamijenjene dijelove slike i njenu manipulaciju. Ovaj zadatak spada u provjeru integriteta slike. Utvrđivanjem snage ili oblika otiska  moguće je rekonstruirati povijest procesiranja. Na primjer, identifikacijski otisak kamere može se koristiti kao obrazac za procjenu geometrijske obrade kao što je skaliranje, rezanje ili rotacija. Negeometrijske  operacije također utječu na jačinu otiska u slici  i mogu se potencijalno otkriti. Spektralne i prostorne karakteristike otiska mogu se koristiti prilikom identifikacije modela kamere ili provjere radi li se o skeniranoj slici koja pokazuje prostornu aniztropiju (dobivaju se različiti podatci mjerenjima  u različitim orijentacijama) ili o digitalnoj fotografiji.

Metode procjene identifikacijskog  otiska modela kamere ili njegovo otkrivanje u slikama zasniva se na statističkim procjenama signala i teoriji detekcije. Za opis metoda koristi se model pojednostavljenog  senzorskog izlaza, koji se koristi za procjenu najveće vjerojatnosti otiska.

Procijenjeni se signal preprocesuira kako bi se otklonili određeni sustavski uzorci koji bi mogli povećati  krivu klasifikaciju pri određivanju kamera i pogrešaka pri verifikaciji integriteta slike. Zadaća otkrivanja PRNU formulira se kao dvokanalni problem  i pristupa mu se korištenjem testa generaliziranog omjera vjerojatnosti u Neyman-Pearson postavkama. Prvo se određuje detektor za identifikaciju uređaja, tek se nakon toga prilagodi za povezivanje fotografije s kamerom i uspoređivanje identifikacijskih otisaka  dvaju slika.

5.2.1     Procjena identifikacijskog otiska senzora

PRNU se ugrađuje u sliku tijekom faze akvizicije, a prije kvantizacije signala ili bilo kojeg drugog tipa procesiranja. Kako bi se izradio  algoritam za procjenu identifikacijskog otiska senzora mora se formulirati model senzorskog izlaza (eng. Sensor output).

Iako je proces nastanka digitalne slike kompleksan i znatno varira ovisno o modelu korištene kamere,   neki su osnovni elementi zajednički svim kamerama. Svjetlo koje dolazi iz optike kamere projicira se na mrežu  pixela fotografskog senzora. Naboj koji nastaje interakcijom fotona i silikona kvantizira se i amplificira. Tada se signal iz svakog kanala boje uštima kako bi dobili skalirani dobitak i balansirani postotak bijele boje.

Kako većina senzora ne može registrirati boje, pixeli su opremljeni filtrima za boje koji propuštaju samo svijetlost specifične valne duljine, odnosno boje (crven, plavi, zelen).  Mreža filtera naziva se mreža filtera boje (eng. collor filter aray, skrać CFA). CFA tanki je film na senzorima koji selektivno propušta određene komponente svijetlosti  da prođu kroz njega do senzora. Kako bi dobili sliku u boji signal se interpolira.

 Boje je moguće  dalje podesiti  na računalu koristeći gama korekcije i korekcije boja kako bi se prikazivale ispravne nijanse. Kamere mogu  provoditi i tehnike filtriranja kao što su odšumljivanje ili pooštravanje. Na samom kraju lanca procesiranja slika se sprema u JPEG formatu, ili nekom drugom, što uvjetuje kvantizaciju slike.

U praksi, za dobivanje dobre provjere identifikacijskog otiska senzora potrebno je od dvadeset do pedeset fotografija, ovisno o modelu i tipu kamere.

5.2.2     Identifikacija kamere korištenjem identifikacijskog otiska senzora

 

U nastavku je opisana metodologija otkrivanja porijekla slike ili video zapisa koristeći identifikacijski otisak senzora [2]. Najčešće se u praksi provode identifikacije uređaja na temelju prikupljenih slika. Ovdje je zadatak odrediti je li određena slika nastala uporabom određenog fotoaparata. To se postiže ispitivanjem rezidualnog šuma slike, te utvrđivanjem posjeduje li identifikacijski otisak kamere.

 Predviđajući dva sljedeća usko povezana forenzička zadatka  formulira se hipoteza ispitnog problema identifikacije kamera u okruženju koje je dovoljno općenito kako bi pokrilo preostale zadatke  povezivanja kamere i utvrđivanje sličnosti identifikacijskih otisaka. Prilikom utvrđivanja veze između fotografije i kamere, dvije se slike uspoređuju kako bi se utvrdilo da potječu iz iste kamere pošto sama kamera možda i nije dostupna za analizu.

Zadatak ispitivanja dva procijenjena identifikacijska otiska  izvršava se i prilikom  usporedbe dvaju video zapisa jer se individualni video okviri koriste kao sekvence, a iz  niza slika iz moguće je dobiti identifikacijski otisak video kamere.

U svakoj forenzičkoj aplikaciji  važno je smanjiti broj lažno pozitivnih rezultata prilikom  analize. Prilikom identifikacije kamera to znači da vjerojatnost kako ispitivana kamera nije stvorila fotografiju mora biti ispod nekog  korisnički određenog praga.

Identifikacijski se otisak kamere procjenjuje zasebno za svaki kanal boje zasebno koristeći estimator maksimalne vjerojatnosti (eng maximum likelihood estimator) od pedesetak slika plavog neba dobavljenih u TIFF formatu. Procijenjeni se otisci procesiraju korištenjem procedure svođenja srednja vrijednosti u stupcima i recima na nulu kako bi se otklonili preostali uzorci koji nisu jedinstveni za taj senzor. Ovaj je korak veoma važan jer  bi ti artefakti  stvarali nepotrebne smetnje na određenim prostornim pomacima  i skaliranjima faktora  smanjili PCE, te povećali vjerojatnost lažno pozitivne klasifikacije. Identifikacijski otisci   procijenjeni za sva tri kanala boje kombiniraju se u jedan otisak korištenjem linearnog konverzijskog pravila  pretvaranja slika u boji u crno bijele

                                   

gdje   predstavlja procjenu najveće vjerojatnosti od matrice.

5.2.3     Otkrivanje krivotvorina korištenjem  identifikacijskog otiska kamere

Identifikacijski se otisak kamere koristi i za potvrđivanje integriteta slika. Određeni tipovi  modifikacija  slika mogu se identificirati  otkrivanjem  otisaka na manjim regijama, kao što su blokovi. Pretpostavka je kako regija kopirana s drugog dijela slike ili sasvim druge fotografije neće sadržavati  ispravan identifikacijski otisak, no treba uzeti u obzir kako neke modifikacije neće uništiti ili modificirati PRNU, te ih neće biti moguće otkriti korištenjem ove metode. Dobar je primjer promjena boje mrlje, da izgleda kao mrlja krvi [2].

Algoritam otkrivanja krivotvorina ispituje prisutnost otiska u svakom bloku veličine  zasebno, i tada spaja sve lokalne rezultate u identifikacijski otisak.  Za svaki se blok , algoritam detekcije formulira kao hipoteza koja ispituje

                                   

Gdje  predstavlja ostatak šuma u bloku,  pripadajući je otisak bloka,  predstavlja intenzitet bloka, a  predstavlja modelirani šum za koji se uzima  da je bijeli Gaussov šum (eng White Gaussian noise) s nepoznatom varijancom . Omjer vjerojatnosti testa je normalizirana korelacija

                                 

Prilikom otkrivanja krivotvorina, mora se kontrolirati oba tipa pogreške; neuspjeh identifikacije manipuliranog bloka, te pogrešna identifikacija nemanipuliranog kao manipuliranog. Iz ovog se razloga procjenjuju distribucije ispitnih statistika za obije hipoteze.

Gustoća vjerojatnosti   može se procijeniti korelacijom poznatih signala   ostatcima šuma  nekih drugih kamera. Distribuciju  u    mnogo je teže dobiti jer na nju jako utječe sadržaj bloka. Tamni  blokovi imaju manju vrijednost korelacije  zbog multiplikativnog karaktera PRNU.

Identifikacijski  otisak ne mora biti prisutan u bloku zbog jake JPEG kompresije ili zasićenosti pixela (eng. saturation). Teksturirana područja imati će niže vrijednosti korelacije zbog jakih šumova modeliranja. Ovaj se problem može riješiti građenjem prediktora korelacija koji  je u stanju utvrditi vrijednost ispitne statistike   i njenu distribuciju ako blok  nije modificiran i zaista potječe od ispitivane kamere. Prediktor je zapravo karta, mapa koja se mora stvoriti za svaki model kamere posebno. Mapiranjem se dodjeljuju procjene korelacija  svakoj trojci (), koji predstavljaju mjeru intenziteta, zasićenost  i teksture bloka . Mapiranje se provodi korištenjem regresije ili metodom strojnog učenja, trenirajući klasifikatore  na bazi podataka  blokova slika koji su nastali u ispitivanoj kameri. Veličine blokova variraju od veličine 64x64 do 128x128 pixela, previše maleni blokovi uvode varijancu u korelaciju , a korištenjem previše velikih blokova kompromitiralo bi sposobnost algoritma za detekciju krivotvorina da lokalizira manipulacije. Kako se dijeljenjem slike na blokove može dobiti veoma velik broj blokova, za konstrukciju i treniranje prediktora dovoljno je otprilike deset.

Algoritam djeluje sljedećim koracima: podijeli sliku na određen broj blokova fiksne veličine, te ispituje ispitnu statistiku   za svaki blok. Decizijski prag za ispitnu statistiku postavlja se tako da  se vjerojatnost identifikacije modificiranog bloka kao nemodificiranog svede na 

                                                 

Blok  označava se kao potencijalno manipuliran ukoliko , ali ovoj su odluci  pridonosili samo središnji pixeli bloka. Kroz ovaj proces  analiziranja slike veličine    , dobivamo binarni niz koji potencijalno modificirane pixele označava postavljanjem  jedinice na točnu indeksnu lokaciju niza.

Veličinom bloka određuje se preciznost kojom algoritam može utvrditi oblik modificirane regije, kao i veličinu minimalne modificirane regije koju se uzima u obzir. Iz niza se  miču sve povezane regije označene kao modificirane koje sadrže manje pixela od definirane veličine bloka. Finalna mapa krivotvorenih regija dobiva se dilatacijom niza  sa kvadratnom jezgrom veličine 20x20, s ciljem kompenzacije činjenice da se odluka o čitavom bloku  donosi na temelju njegovog centralnog pixela, time se može preskočiti dijelove  granica modificiranih regija.

 

Kako je  dimenzionalnost identifikacijskog otiska jednaka broju pixela, otisak je jedinstven za svaku kameru, i vjerojatnost da više kamera posjeduje isti  ili veoma sličan otisak je mala. Identifikacijski je otisak stabilan tijekom vremena. Sve ove osobine čine ga izvrsnom veličinom pogodnom za provjeru mnogih forenzičkih zadataka kao što je identifikacija kamere, povezivanje uređaja, ili pronalazak modificiranih regija.

 

5.3    Otkrivanje krivotvorina digitalnih slika

Živimo u dobu u kojem smo svakodnevno izloženi velikom broju vizualnih podražaja. Prije utjecaja i infiltracije digitalnih informacija u svaki kutak naše svakodnevnice,  ljudi su vjerovali integritetu tih vizualnih slika. Počevši od tabloida, modnih časopisa, modne industrije, medija, znanstvenih časopisa, političkih kampanja, sudnica, do fotografskih prijevara koje dobivamo elektroničkom poštom, obrađene fotografije pojavljuju se s rastućom učestalosti i kvalitetom. U proteklih je nekoliko godina digitalna forenzika  svojim algoritmima i metodama analize uspjela vratiti dio povjerenja u digitalne slike i fotografije.

Uzimajući u obzir povećanu sofisticiranost grafički generiranih  slika, postaje sve teže razlikovati slike vizualnom metodom.

U današnje se vrijeme veoma lako može manipulirati slikama.  Dostupnošću jakih računala i visoko kvalitetnih digitalnih fotoaparata i kamera, te sofisticiranog softvera  za obradu fotografija, s lakoćom se stvaraju uvjerljive krivotvorine.  Dok je digitalni vodeni žig jedan od načina dokazivanja autentičnosti slike, on je limitiran na specijalno opremljene digitalne fotoaparate, stoga su potrebne općenite metode otkrivanja krivotvorina. Pasivne metode nazivaju se one koje djeluju i bez prisutstva bilo kakvog potpisa ili vodenog žiga, te se zasnivaju na činjenici da iako metode digitalnog krivotvorenja možda  ne ostavlja vizualne dokaze koji bi načinili  neke vidljive  promjene na slici one mogu promijeniti njene statističke koeficijente. Skup algoritama za digitalnu forenziku slika može se podijeliti na pet kategorija [1]:

 

1.    Algoritmi  zasnovani na pixelima koje otkrivaju statističke anomalije na razini pixela.

2.    Algoritmi   koje rade  na temelju korelacija uvedenih specifičnim shemama kompresije s gubitcima.

3.    Algoritmi zasnovani na fotoaparatima ili kamerama koje iskorištavaju  smetnje  nastale foto lećama, senzorima, ili on-chip postprocesiranjem .

4.    Fizikalno zasnovani algoritmi koji eksplicitno modeliraju i otkrivaju anomalije u tridomenzionalnoj interakciji  fizičkih objekata , svjetla i kamere.

5.    Algoritmi  zasnovani na geometriji koje bilježe mjerenja objekata u prostoru i njihovu poziciju s obzirom na kameru.

5.3.1     Algoritmi zasnovani na pixelima

Pravosudni se sustav često pouzdaje na spektar forenzičkih analiza; od identifikacije otiscima prstiju, ili utvrđivanjem DNA, do forenzičke ortodontije, entimologije, geologije... U tradicionalnim se forenzičkim znanostima analizira širok spektar fizičkih dokaza, dok se u digitalnoj forenzici  analiziraju bitovi i pixeli. Pixel je  građevni blok digitalne slike. U nastavku su opisane četiri metode detekcije raznih vrsta manipulacija slikama, od kojih svaka, izravno ili neizravno  analizira korelacije na razini pixela [1].

 

Kloniranje

Jedno od najčešćih oblika manipulacije digitalnih slika jest kopiranje ili (eng. cloning) dijela slike kako bi se tim dijelom prikrila neka osoba, ili objekt na fotografiji. Kada se ovo prikrivanje izvede pažljivo, može biti veoma teško, možda i nemoguće otkriti kloniranje vizualnom inspekcijom. Kako klonirani predio slike može biti bilo koje veličine,oblika i lokacije, računalno je nemoguće pretražiti sve lokacije na slici. Razvijena su dva računalno efikasna algoritma koji otkrivaju klonirane slike.

U prvom se pristupu  primjenjuje diskretna kosinusna transformacija (eng. Discrete cosine transform, kratica DCT ) na razini blokova. Duplicirane se regije slike otkrivaju leksikografskim sortiranjem DTC koeficijenata blokova, te se blokovi s istim prostornim ofset koeficijentom grupiraju. U sličnom pristupu autori [6] razvili su algoritam naziva copy-moove. U ovom se algoritmu primjenjuje Analiza glavnih komponenti (eng. Principal Component analisys, kratica PCA) na malene blokove fiksne veličine, kako bi se dobila reprezentacija slike smanjenih dimenzija. Duplicirane se regije također pronalaze  leksikografskim sortiranjem  i grupiranjem  svih preostalih blokova slike. Više će o ovom algoritmu biti riječi u poglavlju 6.

Oba algoritma koriste metode reduciranja računalne kompleksnosti  smanjenjem dimenzionalnosti slike (DTC i PCA), te kako bi se osigurala robusnost na male varijacije  u slikama nastale zbog šuma ili  kompresije sa gubitcima.

 

Preuzrokovanje

Kako bi se stvorila uvjerljiva kompozitna slika često je potrebno promijeniti veličinu, rotirati ili rastegnuti dijelove slike. Na primjer, kada se stvara kompozitna slika dviju osoba, dio slike koji sadrži jednu od osoba ponekad je potrebno prilagoditi veličinom, kako bi odgovarala relativnoj veličini osobe s druge fotografije. Ovaj proces zahtjeva preuzrokovanje (eng. Resampling) originalne slike na novi oblik, s uvođenjem  specifičnih periodičkih korelacije među susjednim pixelima. Kako se te korelacije općenito ne događaju prirodno, njihova se prisutnost može koristiti za otkrivanje  manipulacije preuzrokovanjem. Na primjer, uzmimo jednodimezionalni signal , duljine , i poboljšamo uzrokovanje za faktor dva koristeći linearnu interpolaciju kako bi dobili . Linearna interpolacija jedna je od najjednostavnijih oblika interpolacija, a zapravo se svodi na izračun aritmetičke sredine iz vrijednosti dviju susjednih točaka  kako bi se odredila točka smještena točno na sredini njihove udaljenosti. Neparni uzorci novog signala  poprimaju vrijednosti originalnog signala :

                                

dok parni  uzorci, dobiveni linearnom interpolacijom, poprimaju prosječnu vrijednost sljedećeg  susjeda u originalnom  signalu:

               

Kako se svaki uzorak originalnog signala može pronaći u preuzrokovanom signalu, interpolirani pixeli mogu se izraziti i samo  pomoću preuzrokovanih uzoraka:

                                 

Kroz cijeli preuzrokovani signal svaki je parni uzorak  identičan linearnoj  kombinaciji   prethodnog i sljedećeg susjeda. U ovom jednostavnom slučaju, preuzrokovani signal može se otkriti provjerom jeli svaki drugi uzorak savršeno koreliran sa svojim susjedom. Ovaj tip korelacije nije limitiran samo na poboljšano uzrokovanje  s faktorom dva. Širok spektar preuzrokovanja uzrokuje slične periodičke korelacije. Kada bi istražitelj znao koji se tip preuzrokovanja koristio, bilo bi jednostavno odrediti koji su pixeli korelirani sa svojim susjedima, jer bi znali i tip korelacije koja se događa prilikom tog tipa modifikacije.  No u praksi se najčešće ne zna ni tip korelacije, ni tip provedenog preuzrokovanja. Algoritam očekivanja i maksimizacije (eng. Expectatiom/maximization, kratica EM), koristi se za simultano rješavanje oba problema. EM algoritam iterativna je dvokoračna metoda:

1.    U koraku očekivanja, procjenjuje se vjerojatnost korelacije svakog pixela sa svojim susjednim pixelima.

2.    U koraku maksimizacije procjenjuje se specifičan oblik korelacije.

 Ako pretpostavimo linearnu metodu interpolacije, korak očekivanja  svodi se na Bayesovu funkciju vjerojatnosti, a korak maksimizacije na  procjenu najmanjih  kvadrata s težinskim faktorima (eng. Weighted least-squares estimation). Procijenjena se vjerojatnost koristi za klasifikaciju dijela slike kao modificiranog ili ne.

 

Spajanje

Čest oblik fotografske manipulacije je digitalno spajanje (eng. Splicing) dvaju ili više slika u jednu kompoziciju. Kada se provodi pažljivo, rubovi među spojenim regijama mogu biti vizualno neprimjetne. Spajanje remeti Fourierove statistike višeg reda  i ta se činjenica može upotrijebiti za otkrivanje ovog tipa manipulacije. Na primjer, uzmemo jednodimenzionalan signal   i njegovu Fourierovu transformaciju . Fourierova transformacija drugog reda naziva se funkcija autokorelacije, odnosno spektar snage

                      

rutinski se koristi za analizu frekvencijske kompozicije signala. Fourierova transformacija trećeg reda naziva se  funkcija generiranja ili bispektar (eng. bispectrum), odnosno bispektralna gustoća. Bispektar  možemo izraziti kao :

                         

 A njime se mjere korelacije višeg reda među trojkama frekvencija ,  i . Suptilne nekonzistentnosti koje se događaju zbog spajanja manifestiraju se s povećanom  magnitudom bispektra.

 

Statističke

Postoji 256n  mogućih osam bitnih gray-scale slika veličine  pixela. Čak i s malim brojem kao što je , postoji  mogućih slika što više od procijenjenog broja atoma u svemiru.

Kada bi nasumce odabrali jednu od tih mogućih slika, malo je vjerojatno kako bi iz tog mnoštva mogućnosti izvukli neku smislenu sliku.Ovaj zaključak sugerira da fotografije sadrže specifične statističke osobine.  Kao oblik prikupljanja statističkih osobina slika najčešće se koristi wavelet dekompozicija. Ova dekompozicija dijeli frekvencijski prostor na višestruke skale i orijentacijske potprstore (eng. subbands). Statistički se model sastoji od prvih četiri statističkih trenutaka  svakog wavelet potpojasa i statistika višeg reda  koje bilježe korelacije među potpojasevima. Za klasifikaciju slika koriste se metode nadgledane klasifikacije uzoraka, koje se klasificiranju  na temelju svojih  statističkih osobina.  Sličan pristup provodi se konstrukcijom statističkog modela koji se temelji na lokalnoj co-occurence  metodi; statističkom obliku bit ravnina (engl. Bit planes)  slika.  Računaju se prva četiri statistička momenta iz frekvencije bit  slaganja i neslaganja kroz  bit ravnine. Iz tih se mjerenja izvlači devet osobina koje predstavljaju  sličnosti binarnog niza. Ovaj se sekvencionalni algoritam s pretragom unaprijed koristi za odabir najdeskriptivnijih osobina, koje se koriste u klasifikatoru s linearnom regresijom kako bi se utvrdile koje su slike manipulirane a koje nisu. U oba se slučaja statistički model koristi za otkrivanje raznih vrsta manipulacije; od promijene veličine i filtriranja, pa sve do otkrivanja skrivenih poruka u slici (steganografija), ili razlikovanja fotorealističnih slika od fotografija.

5.3.2     Algoritmi zasnovani na formatu

Prvo pravilo svih forenzičkih analiza glasi: očuvati dokaze. Uzimajući ovo u obzir, sheme kompresije s gubitcima (eng. Lossy compression) kao što je JPEG, mogle bi se smatrati najgori neprijatelji forenzičkog analitičara. Stoga je ironično kako se jedinstvena svojstva kompresije s gubitcima može iskoristiti prilikom forenzičke analize. U nastavku su opisane tri metode kojima je moguće otkriti malverzacije  u JPEG  komprimiranim slikama [1].  

5.3.2.1    JPEG Kvantizacija

Većina fotoaparata kodiraju slike u JPEG formatu. Ova shema komprimiranja s gubitcima omogućava fleksibilnost u određivanju stupnja kompresije. Proizvođači tipično postavljaju postavke kako bi dobili što bolji omjer kompresije i kvalitete  specifično za svoj proizvod. Ova se razlika može koristiti za identifikaciju  izvora slike, tj.modela  i proizvođača fotoaparata. Ako imamo trokanalnu sliku u boji (eng. Red, Blue, Green, kratica RBG), standardan postupak JPEG kompresije teče ovako; RGB slika prebaci se u luminance/chrominance prostor (kratica YCbCr) boja. Ljudski je vid  znatno osjetljiviji na varijacije u svjetlosti  nego na varijacije u intenzitetu boja, stoga se veća širina pojasa (engl. bandwidth)  dodjeljuje komponenti luminancije . Komponentedva kanala boja  razlike crvene , i plave   obično se sužavaju za faktor dva u odnosu na komponentu . Svaki kanal particionira se u blokove veličine 8x8 pixela. Te se vrijednosti  prebace iz cijelih brojeve bez predznaka (eng. Unsigned integer) u cijeli broj s predznakom (eng. Signed integer). Svaki se blok prebacuje u frekvencijski prostor korištenjem dvodimenzionalne  diskretne kosinusne pretvorbe (DCT). Ovisno o specifičnoj frekvenciji i kanala, svaki se DCT koeficijent kvantificira za vrijednost ;

                         

 Ovaj je korak  primarni razlog  kompresije. Puna se kvantizacija  specificira kao tablica koja sadrži 192 vrijednosti, skupinu od 8x8 vrijednosti asociranih s svakom frekvencijom, za svaki od tri kanala. Za manje vrijednosti kompresije  te vrijednosti teže ka 1, dok kod viših vrijednosti rastu. Ovaj se niz koraka s manjim varijacijama provodi u digitalnim kamerama od strane njihovih JPEG enkodera. Enkoderi  se najčešće razlikuju po kvantizacijskim tablicama, te time ugrađuju  potpis u svaku sliku. Kvantizacijske se tablice mogu izvući iz enkodirane JPEG slike ili otprilike procijeniti iz slike. Treba uzeti u obzir da kvantizacijske tablice mogu varirati i unutar jednog fotoaparata, ovisno o postavkama kvalitete, te kako dolazi do određenog stupnja  preklapanja kvantizacijskih tablica fotoaparata različitih modela i proizvođača. Bez obzira na nedostatke, ova se metoda može primijeniti za osnovnu identifikaciju izvora slike.

 

Dupli JPEG

Svaka digitalna manipulacija zahtijeva, u najmanju ruku, otvaranje slike u programu za obradu slika, te ponovno spremanje nakon obrade. Kako se većina slika čuva u JPEG formatu, vjerojatno je kako će originalna slika kao i manipulirana biti sačuvane u tom formatu.  Manipulirana se slika u ovoj situaciji dva puta komprimira. Zbog obilježja kompresije s gubitcima JPEG formata, ovo duplo komprimiranje (eng. Double JPEG) uvodi specifične objekte koji  ne postoje u jednostruko komprimiranim slikama, ako pretpostavimo kako slika nije djelomice odrezana (eng. cropped)prije druge kompresije. Prisutnost tih objekata (eng. artifacts) može dakle koristiti kao dokaz određene vrste manipulacije. Iako se mora uzeti u obzir kako dvostruka JPEG kompresija ne mora nužno značiti maliciozno mijenjanje slike. Na primjer, moguće je nenamjerno sačuvati sliku nakon njenog pregleda. Kao što je opisano u prethodnom poglavlju, kvantizacija DTC koeficijenata  primarni je način postizanja kompresije. Dekvantizacija vraća kvantizacijske vrijednosti u njihovo originalne vrijednosti. No treba uzeti u obzir kako  kvantizacija nije invertibilna, isto tako dekvantizacija  nije inverzna funkcija kvantizacije.  Dvostruka se kvantizacija može opisati formulom

                           

 i nizom od tri koraka:

1.    Kvantizacija s korakom

2.    Dekvantizacija s korakom

3.    Kvantizacija korakom

Kao primjer možemo uzeti skup  koeficijenata normalne razdiobe u  rasponu od [0,127]. Za ilustraciju  objekata  dvostruke kvantizacije, u obzir se uzimaju četiri različite kvantizacije tih koeficijenata. U slučaju dvostruke kvantizacije može se otkriti periodičnost objekata, i ta se periodičnost koristi za otkrivanje dvostruke JPEG kompresije.

 

Blokovni  JPEG

Osnovu JPEG kompresije, kao što je već navedeno, postiže  se  DTC transformacijom blokova.  Svaki blok slike veličine 8x8 pixela individualno se transformira i kvantizira, objekti  se pojavljuju na granicama sa susjednim blokovima u obliku horizontalnih i vertikalnih rubova. Kada se manipulira slikom, ti se objekti  blokova mijenjaju ili  gube. Objekti blokova mogu se opisati koristeći razlike vrijednosti pixela unutar i preko granica bloka. Ove se razlike smanjuju unutar blokova, a povećavaju van blokova. Kada se na primjer odreže dio slike, te ponovo komprimira, stvaraju se novi artefakti blokova  koji se nužno ne poravnavaju s originalnim granicama. Razlike unutar bloka te van bloka računaju se za susjedstvo od četiri pixela koja su međusobno udaljena za fiksnu određenu vrijednost. Jedno se susjedstvo u cijelosti  nalazi unutar JPEG bloka, dok se drugome susjedstvu granice preklapaju s JPEG blokom. Tada se računa histogram tih razlika za sve nepreklapajuće blokove veličine 8x8 pixela. Kao prosječnu vrijednost među tim histogramima, računa se matrica artefakata blokova (eng. blocking artefact matrix, kratica BAM). Kod nekomprimiranih slika ova matrica sastoji se od slučajnih vrijednosti, dok kod komprimiranih poprima specifične uzorke. Kada se slici odreže dio, te ponovo komprimira ovi se uzorci poremete. Korištenjem nadgledanog raspoznavanja uzoraka, moguće je klasificirati  autentične i neautentične BAM matrice.

Lokalizirane je manipulacije moguće otkriti traženjem nekonzistentnosti u artefaktima blokova. Za regiju slike za koju se pretpostavlja kako je autentična, procjenjuje se razina kvantizacije za svaku od 64 DCT frekvencije. Nekonzistencije između DCT koeficijenata  i procijenjene količine kvantizacije  računaju se prema formuli

                     

Varijacije u  kroz sliku koriste se za otkrivanje manipuliranih regija.

 

5.3.3     Algoritmi zasnovani na fotoaparatima

Metalne linije u cijevima pištolja unose vrtnju u kretanje ispaljenog projektila, te time pridonose njegovom dometu i preciznosti gađanja. Te linije ostavljaju jedinstvene oznake na metku prilikom njegova izlaza iz cijevi, i stoga se mogu koristiti prilikom utvrđivanja veze pištolja i ispaljenog metka. Koristeći isti princip, razvijeno je nekoliko forenzički metoda koje modeliraju specifične artefakte  do kojih se dolazi u raznim koracima procesiranja slika. U nastavku su opisane četiri metode  za modeliranje i  procjenu raznih artefakata kamera. Nekonzistentnosti u tim artefaktima  koristi se kao dokaz da je slika manipulirana [1].

 

Kromatska aberacija

U idealnom fotografskom sustavu, svijetlo prolazi kroz leću i fokusira se na jedno mjesto na senzoru. Optički sustavi u realnosti odstupaju  od idealnih modela, time da ne uspijevaju savršeno fokusirati svijetlo svih valnih duljina. Preciznije, lateralna  kromatska aberacija (eng. Chromatic aberration) manifestira se  kao prostorni pomak u lokacijama gdje svijetlo različitih valnih duljina dostižu do senzora. Lateralnu  se aberaciju može predvidjeti proširenjem ili sakupljanjem kanala boja u odnosu jedni na druge.

U klasičnoj se optici   refrakcije svijetla na granici dva medija  opisuje Snellovim zakonom loma svijetlosti:

                                                                 

 gdje je  kut  prijeloma,   je kut upada, a  i  su bezdimenzijske konstante , indeksi loma dvaju sredstava.  Refraktivni  indeks loma stakla nf ovisi o valnim duljinama svjetla koje prolazi kroz njega. Ova je ovisnost rezultat rastava polikromatskog svijetla po valnim duljinama prilikom izlaza leće i dolaska do senzora. Polikoromatsko svijetlo dolazi do leće pod kutem , a izlazi pod kutom koji ovisi o valnoj duljini. Kao rezultat ove činjenice, dvije zrake različitih valnih duljina iako ulaze pod istim kutom, lomiti će se pod različitima.Tako nastaje kromatska aberacija. Kako je aberacija rezultat pomaka među kanalima boje, pokušava se maksimizirati poklapanje kanala boja. Na primjer zajedničke se informacije između crvenog  i zelenog kanala boja maksimiziraju a sličnom  se procjenom pronalazi i distorzija među kanalima boja). Lokalne se procjene kromatske aberacije uspoređuju s procjenama globalne aberacije kako bi se otkrila manipulacija.

 

Mreža filtera boja

Digitalna slika u boji sastoji se od tri kanala koji sadrže uzorke različitih područja spektra boje, npr crven, zelen, plavi. Većina digitalnih fotoaparata opremljeni su s jednim CCD ili CMOS senzorom te slikaju slike u boji koristeći mrežu filtera boje(eng. Color filter aray). Većina CFA filtera koriste trobojne filtere (crven, zelen, plavi) poredane  iznad svakog senzorskog elementa. Kako se snima samo jednobojni uzorak za svaku pixelsku lokaciju, druga se dva uzorka boja moraju procijeniti iz susjednih pixela kako bi se dobilo  trokanalnu sliku u boji. Procjena nedostajućih uzoraka boja naziva se CFA interpolacija (eng. demozaicking). Najjednostavnije metode CFA interpolacije zasnivaju se na jezgrama, i djeluju na svaki kanal neovisno. Sofisticiraniji algoritmi interpoliraju rubove  različito od uniformnih dijelova slike  kako bi se izbjeglo zamućivanje  slike. Bez obzira na implementaciju, CFA interpolacija uvodi specifične statističke korelacije u podskupovima pixela u svakom kanalu boje. Kako se filtri za boju u CFA  obično postavljaju u periodičke oblike i korelacije su periodičke. U isto je vrijeme malo vjerojatno kako će uslikani  pixeli biti periodički korelirani sami od sebe, zbog toga se korelacije mogu koristiti kao tip digitalnog potpisa. Ukoliko je poznat specifičan oblik periodičke  korelacije jednostavno se određuje koji su pixeli korelirani sa svojim susjedima,  vrijedi i obrnuta situacija. U praksi se prilikom istrage najčešće ne zna niti jedna od tih informacija. Metoda utvrđivanja oblika periodičke korelacije i koreliranih pixela provodi se  EM algoritmom. EM algoritam sastoji se od dva osnovna koraka koja se iteriraju: utvrditi vjerojatnost korelacije sa susjedima za svaki pixel, procijeniti opći oblik korelacije među pixelima. Modeliranjem CFA korelacija jednostavnim linearnim modelom, korak očekivanja svodi se na Bayesovu funkciju vjerojatnosti, a korak maksimizacije na procjenu korištenjem težinske funkcije najmanjih kvadrata. U autentičnim se slikama očekuje kako će periodički uzorak pixela biti veoma koreliran sa susjednim, te svaka devijacija može ukazivati na manipulacije slika.

 

Odgovor kamere

Većina senzora u digitalnim kamerama gotovo je linearno, stoga se očekuje linearna veza između količine svjetla izmjerenog  svakim elementom senzora i pripadajuće konačne vrijednosti pixela no kamere koriste metodu nelinearnosti u točkama (eng. Pointwise nonlinearity) kako bi  se poboljšala svojstva finalne slike . Uzmimo na primjer rub kod kojeg su pixeli ispod granice konstantne boje , a pixeli iznad granice drugačije boje . Ako je odgovor kamere linearan, tada bi pixeli na granici  trebali biti linearna kombinacija  susjednih boja.  Devijacija u vrijednostima tih međugraničnih pixela  od tih očekivanih linearnih odgovora koristi se za predviđanje funkcije odgovora kamere. Inverzna funkcija odgovora kamere koja vraća boje pixela natrag u linearan odnos  predviđa se korištenjem maximum a posteriori algoritma za predviđanje (kratica MAP). Kako bi se stabilizirao algoritam za predviđanje, odabiru se takve  granice da su područja koja dijele veoma slična, varijance su veoma male na obije strane, razlike među  i  su konstantne. Uvode se i ograničenja na procijenjenu funkciju odgovora kamere (eng. Camera response).Ona bi se  trebala monotono povećavati s najmanje jednom točkom infleksije, i trebala bi biti slična za sve kanale boje. Kako se funkcija odgovora kamere može procijeniti lokano, značajne varijacije ove funkcije kroz cijelu sliku mogu ukazivati na modificiranje slike.

 

Šum senzora

Kako se digitalna slika premješta od senzora kamere do računalne memorije, polazi  seriju koraka procesiranja uključujući kvantizaciju, korekciju boja, gama korekcije, filtriranje,balansiranje bijelog šuma, demosaicing, te najčešće JPEG kompresiju. Ovo procesiranje unosi prepoznatljiv potpis na sliku.  Moguće je modelirati procesiranje s aditivnim multiplikativnim modelom  šuma. Parametri modela šuma procjenjuju se  iz serije slika  koje dolaze s poznate kamere ili iz istraživane kamere. Korelacije između  predviđenog šuma kamere (eng. Sensor noise) i šuma izvučenog iz slika koriste se za autentifikaciju slike. Efekti procesiranja slike unutar kamere konstruirano je kao:

            

Gdje   predstavlja sliku bez šuma, je multiplikativna konstanta,  predstavlja multiplikativni šum koji se još naziva i neuniformni šum foto odgovora (eng. Photoresponse nonuniformity noise, kratica PRNU), a  je izraz za additive šum. Kako PRNU varira kroz sliku, može se koristiti za otkrivanje lokalnih ili globalnih nedosljednosti  u slici. PRNU se procjenjuje iz niza autentičnih slika  koristeći metode otklanjanja šuma zasnovane na wavelet statistikama. Općenito, potrebo je barem pedeset slika za dobivanje točne PRNU procjene.   Autentifikacija se provodi  kroz blokovsku korelaciju  između procijenjenih PRNU i slika čija je autentičnost dovedena u pitanje. Pomoću PRNU-a moguće je odrediti i specifičan model kamere.

5.3.4     Algoritmi zasnovani na fizici

Uzmimo za primjer krivotvorenu sliku koja prikazuje dvije filmske zvijezde koje su navodno u vezi kako šeću plažom gledajući zalazak sunca. Takva se slika može složiti  spajanjem individualnih slika svake od zvijezda. Prilikom takve manipulacije, teško je točno pogoditi efekte svijetlosti pod kakvim je svaka od osoba bila originalno slikana. U nastavku su opisane tri metode   koje omogućuju predviđanje različitih svojstava  svjetlosnog okruženja  pod kojima je osoba ili objekt fotografiran. Razlike u osvjetljenju  na slici mogu se koristiti kao dokazi manipulacije slikom [1].

 

Smjer svjetla 2D

Ako je desna strana nekog objekta ili osobe na slici jače osvijetljena od lijeve strane, možemo zaključiti kako se izvor svjetlosti nalazi na desnoj strani. Ovo se opažanje može  formalizirati  ako pretpostavimo kako je količina svijetla koja dolazi do površine  proporcionalna normali površine i smjera svjetlosti (eng. Light direction). S poznavanjem normala  trodimenzionalnog prostora, smjer izvora svjetlosti lako se pretpostavlja, no kako se normale ne mogu odrediti samo iz jedne slike, za određivanje smjera izvora svjetlosti koriste se dvodimenzionalne normale površine  na granici objekta, a procjenjuju se dvije od tri komponente smjera izvora svjetlosti. Kako bi se procjena pojednostavila, pretpostavlja se kako je  ispitivana površina Lambertinska (tj površina reflektira svjetlo izotropno), posjeduje konstantne refleksijske vrijednosti, i osvjetljava ju beskonačno udaljen točkasti izvor svijetlosti. Pod tim pretpostavkama može se izraziti intenzitet slike kao:

             

 gdje  predstavlja konstantu refleksijske vrijednosti,  je vektor koji je usmjeren prema izvoru svjetlosti,  vektor koji predstavlja normale površine u točci  i  je konstanta  ambient light. Kako nas zanima samo smjer izvora svjetlosti, refleksijski izraz  može poprimiti jediničnu vrijednost. Na površinskoj granici,  prostorna komponenta površinske normale jest nula, a  i  komponente površinskih normala  mogu se odrediti izravno sa slike. Sada intenzitet slike možemo izraziti sa:

         

 komponentu površinskih normala kao i smjer svjetlosti ignorira se jer . S najmanje tri točke iste refleksije i različitih površinskih normala , smjer izvora svjetlosti  može se dobiti standardnom procjenom najmanjih kvadrata. Kvadratna funkcija pogreške  minimizira se korištenjem standardne procjene najmanjih kvadrata kako bi se dobio vektor

                                 

Ovaj se proces ponavlja za ostale objekte ili osobe na slici kako bi se provjerila konzistentnost osvjetljenja.

 

Smjer svjetlosti (3D)

Procjena smjera izvora svijetlosti  u prethodno je opisanoj metodi bilo ograničeno na dvodimenzionalna prostor zbog činjenice da je veoma teško odrediti normale trodimenzionalne površine iz jedne slike. Postoji način određivanja smjera izvora svjetlosti pomoću refleksije svjetlosti  s objekata kao što su ljudsko oko ili neke druge refleksivne površine. Tražene se normale trodimenzionalnog prostora određuju uporabom  trodimenzionalnog modela oka.

ok.bmp

Slika 5.3 Formacija točkastog posvjetljenja tj odbljeska na oku.

Na ovom  dijagramu tri vektora  pripadaju smjeru svjetlosti, površinskom normalu u točki na kojoj nastaje posvjetljenje,odbljesak, i smjeru u kojem će se odbljesak  vidjeti. Njegova je pozicija određena normalom površine , i relativnih položaja izvora svjetlosti  i gledaoca . Pravilo refleksije tvrdi kako  se zraka svjetlosti reflektira od površine pod kutom refrakcije , jednak  kutu odbijanja