Digitalna forenzika - University of Ljubljana · Opis predmeta – nadalj. • predavanja:...
Transcript of Digitalna forenzika - University of Ljubljana · Opis predmeta – nadalj. • predavanja:...
Digitalnaforenzika
AndrejBrodnik
AndrejBrodnik:Digitalnaforenzika
Digitalnaforenzika
• predavanja:dr.AndrejBrodnik• vaje:dr.TimotejLazar,dr.GašperFele-Žorž• e-viri:učilnica
AndrejBrodnik:Digitalnaforenzika
Opispredmeta• Literatura:
– EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)
– DFRWS(DigitalForensicsResearchConference):http://www.dfrws.org/
– DigitalInvestigation–Elsevier:http://www.journals.elsevier.com/digital-investigation/
– SSDDFJ(SmallScaleDigitalDeviceForensicsJournal):http://www.ssddfj.org/
– IFIPWorkingGroup11.9DigitalForensics:http://www.ifip119.org/
– IJDCF(InternationalJournalofDigitalCrimeandForensics):http://www.igi-global.com/Bookstore/TitleDetails.aspx?TitleId=1112
AndrejBrodnik:Digitalnaforenzika
Opispredmeta–nadalj.
• predavanja:vključnozvsajdvemavabljenimapredavanjima
• domačenaloge(DN):– štiridomačenalogeizvsebinepredavanj(!),vajinknjige– zapozitivno:vsakanalogavsaj20%inpovprečjevsaj40%
• laboratorijskinalogi(LN):– dvepraktičnilaboratorijskinalogi– nalogipostavljenivučilnici,kamorsetudioddajarezultate– zapozitivno:vsakavsaj20%inpovprečjevsaj50%
AndrejBrodnik:Digitalnaforenzika
Opispredmeta–nadalj.• seminarskanaloga(SN):
– skupinabomoralaprebrati:znanstveničlanekizrevijealikonference,knjige,orodjaalipodobno
– predstavitev(20minut)inpisniizdelek,kigakolegirecenzirajoternakoncudokončniizdelek
– časovnirazpored:• do3.3.izbiraskupine;do10.3.vsakaskupinaoddapredlogtemesvojeseminarskenaloge,kisejopotrdioziromazavrnevendarnajkasnejedo17.3.potrdi;
• do30.5.oddanapredstavitev;do5.5.oddanaseminarska;do19.5.recenzija;do3.6.dokončnobesedilo;
• vmajuinjunijupredstavitveseminarskihnalog– zapozitivno:oddanivsiizdelkiinvsaj40%izpredstavitveter40%izkončnegapisnegaizdelkatervsaj50%izskupneoceneseminarskenaloge
AndrejBrodnik:Digitalnaforenzika
Opispredmeta–nadalj.
• pisniizpit(PI):– samoenpisniizpitintosredileta(predvidomavtednu7.5.)
– zapozitivno:vsaj50%
• skupnaocenpredmeta:
1/3*PI+1/3*SN+1/3*(½*LN+½*DN)
AndrejBrodnik:Digitalnaforenzika
Okvirniprogram
• Uvodinosnove• Preiskavaelektronskenapravezuvodomvkazenskipostopek
• Računalniki–strojnaoprema
• Operacijskisistemi(MSWindows,Unix/Linux)
AndrejBrodnik:Digitalnaforenzika
� Računalniškaomrežja
� Mobilnenaprave
� Izvajanjedigitalnepreiskave
� Digitalnaforenzikaslik
slikenaprosojnicahsoizknjige©2011:EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)
Okvirniprogram–nadlj.
• vabljenapredavanja:– DigitalnaforenzikavPoliciji(Policija)– Varovanjeosebnihpodatkov(Informacijskapooblaščenka)
– Digitalnaforenzikaomrežij(SI-CERT)
AndrejBrodnik:Digitalnaforenzika
Uvodinosnovepoglavja1–5
AndrejBrodnik:Digitalnaforenzika
Osnovedigitalneforenzikepoglavje1
• Kajjedigitalnidokaz?– Digitalnidokazjekaterikolidigitalnipodatek,kijeshranjenaliprenešeninomogočadokazalizanikanje[kriminalnega]dejanja.
• Kajjetoračunalniškisistem?
– odprtiračunalniškisistemi– komunikacijskisistemi– vgrajenisistemi
AndrejBrodnik:Digitalnaforenzika
Osnovedigitalneforenzike
• zaizvajanjeforenzičnepreiskavenidovoljznanje,ampaksezahtevacertificiranostosebja,organizacije,laboratorija,...
AndrejBrodnik:Digitalnaforenzika
Principidigitalneforenzike
• uporabaznanostizapotrebeprava• pomenrazlikovanjagotovostiinverjetnosti:
Neobstojdokazanidokazoneobstoju!
• pripravainhranjenjegradivazamorebitnisodnispor
AndrejBrodnik:Digitalnaforenzika
Izmenjavadokaza
Izmenjavadokaznegagradivamedžrtvijoinstorilcem(aliprizoriščem)Locardovprincipizmenjave
AndrejBrodnik:Digitalnaforenzika
• prstniodtisi(natipkovnici)
• e-poštainzabeležke
• zabeležkeoobiskovanihstraneh
• komunikacijskesledi
• ...
Dokazi
• dokaziimajoskupnelastnosti(vsiprogramitevrste)inposebnelastnosti(konkretnenastavite)
• dajedigitalnidokazsprejemljivnasodišču:– morabitipravilnoobdelan(zajet)in– morabitihranjennaforenzičnopravilennačin
• zatojepotrebnobeležitivseakcijenaprizorišču
AndrejBrodnik:Digitalnaforenzika
Dokazi
• zagotavljanjeavtentičnosti:1. vsebinamorabitinespremenjena2. vsebinamoraizviratisprizorišča(beleženjevrstnega
redaposedovanjadokaza–dokaznaveriga)3. dodatneinformacijeorokovanjuzdokazi
AndrejBrodnik:Digitalnaforenzika
Celovitostdokaza
• sprejetaoblikazagotavljanjacelovitostidokazajepodpisovanjezrazpršilnofunkcijo– MD5,SHA-1,...
AndrejBrodnik:Digitalnaforenzika
Ravnanjezdokazi
• objektivnostdokaza– vsebujeinterpretacijoinpredstavitevdokaza
• ponovljivostanalizedokaza
AndrejBrodnik:Digitalnaforenzika
Izzivirokovanjazdigitalnimidokazi
• ostankialirekonstrukcijaniistokotcelotnogradivo:– rekonstruiranadatoteka,kijebilaizbrisana,niistokotdelčkile-te
– ostankiposlanee-pošteniistokotcelotnae-pošta• povezavamed(digitalnim)dokazominstorilcemnivednoočitna
• podatkinisovečni– podatkioprometunaomrežju
AndrejBrodnik:Digitalnaforenzika
Izzivirokovanjazdigitalnimidokazi
• dokazinisonujnobreznapak– administratorježebilposkušalrešitipobrisanodatoteko
– sistemskiadministratorjespremenilvsebino,dabizavarovalsistem
– prišlojedonapakeprizajemupodatkov(nestandardnipostopek)
– prizajemupodatkovjebiluporabljenokuženmedij– medijsshranjenimipodatkisejepoškodoval– ...
AndrejBrodnik:Digitalnaforenzika
Digitalnisvetniločenodrealnega
• primer:kupecjeprekoeBaykupildobrino– caseexample:AuctionFraud,2000;str.29
• podatkilahkopridejoizpovsemnepričakovanihmest
AndrejBrodnik:Digitalnaforenzika
Razvojjezikaraziskaveračunalniškihzločinov
poglavje2• nazačetkunibiloračunalnikovinzakonješčitilsamomaterialnedokaze
• digitalnidokazivključujejo:– računalniška(datotečna)forenzika– omrežnaforenzika– mobilnaforenzika– slabogramje(malware)forenzika
• pomembnarazlikamedpreiskovanjeminanalizopodatkov– preiskovanjevključujezajem,organizacijo,...– analizapredstavljadejanskoobravnavodokazov
AndrejBrodnik:Digitalnaforenzika
VlogaračunalnikaPoParkerju,1976,1983,1998:1. predmet(objekt)zločina– krajaračunalnikaaliuničenje
2. osebek(subjekt)zločina–zločinjebilnarejenspomočjoračunalnika– okužbaračunalnika
3. orodjezapripravoin/aliizvedbozločina– kopiranjedokumentov
4. uporabaposvojihlastnostihvzločinu(symbol)– ponujanjestoritevalizmožnostiračunalniškihstoritev:dobitki
naborzi,...• virpodatkov(!!)–ostankidatotek,e-pošte,...
AndrejBrodnik:Digitalnaforenzika
Vlogaračunalnika
USDOJ(USDepartmentofJustice),1994,1998:• strojnaopremakotpredmetalirezultat
zločina• strojnaopremakotinstrument• strojnaopremakotdokaz• informacijakotpredmetalirezultatzločina• informacijakotinstrument• informacijakotdokaz
AndrejBrodnik:Digitalnaforenzika
Digitalnidokaznasodišču
poglavje3digitalnidokaznasodišču
AndrejBrodnik:Digitalnaforenzika
Nalogeizvedenca
• predstavitevdokaznegagradiva:– nepodlečivplivom– odklanjatiprezgodajpostavljanjeteorije– rabaznanstveneresnicezapotrebepravnegaprocesa
• ACMCodeofethics• IEEECodeofethics
AndrejBrodnik:Digitalnaforenzika
Sprejemljivostgradiva
• petosnovnihpravil:1. relevantnostgradivazaprimer2. avtentičnostgradiva(zajem,sledljivost,...)3. nisogovorice(dokazsamnisogovorice,čeni
govorecprisoten)4. najboljšimožendokaz(originalinkopija)5. dokaznogradivobrezpotrebenenapeljujena
zaključke
• nalogzapreiskavoAndrejBrodnik:Digitalnaforenzika
Stopnjezanesljivosti
AndrejBrodnik:Digitalnaforenzika
� vbeležkahimamozapis:
2009-04-03 02:28:10 W3SVC1 10.10.10.50 GET /images/snakeoil13.jpg-80-192.168.1.1 Mozilla/4.0+(compatible;+MSIE+6.0;Windows+NT+5.1) 200 0 0
� kajsklepamoiznjega?
� stopnjezanesljivosti:
• (1)skorajzagotovo;(2)zeloverjetno;(3)verjetno;(4)zelomožno;(5)možno
• statističnaverjetnost
Računalniškazakonodaja
poglavje4• zakonodajaZDA– 50zakonodaj– zakonodajaWashingonDC– zveznazakonodaja
AndrejBrodnik:Digitalnaforenzika
Računalniškazakonodaja
poglavje5• zakonodajaES(EU)– IrskainVelikaBritanijaločensistem–commonlaw
– preostaledržave–civillaw• skupnazakonodaja:– parlamentEU– Konvencijaoračunalniškihzločinih(ConventiononCybercrime),1.julij2004• nistaratificiraliIrskainVelikaBritanija
– Protokolodejanjihrasizmainksenofobije,1.marec2006
AndrejBrodnik:Digitalnaforenzika
Zločininadintegritetoračunalnika
• Dostopdoračunalnikanidovoljen,čenamteganedovolilastnik
• Primeri:– hekerji– krajapodatkov– prestrezanjepodatkov– vplivanjenapodatkein/alisisteme(DOS,virusi)– ››napačna‹‹alinenamenskauporabaenote/naprave
AndrejBrodnik:Digitalnaforenzika
Zločinispomočjoračunalnika
• ponarejanje• goljufija• zloraba
AndrejBrodnik:Digitalnaforenzika
Zločinipovezanizvsebinopodatkov
• Zločini,kizadevajovsebinopodatkov– otroškapornografija– spletnozapeljevanje– rasizeminksenofobija
AndrejBrodnik:Digitalnaforenzika
Ostalizločini
• kršenjeavtorskihpravic• računalniškoizsiljevanje• ...
AndrejBrodnik:Digitalnaforenzika