Počítačová forenzní věda
Počítačová forenzní věda[1] (neboli počítačová forenzika) je v informatice odvětví digitální forenzní vědy týkající se hledání právních důkazů v počítačích a na datových médiích. Cílem je šetrným způsobem forenzně přečíst datové médium z důvodu identifikace, zachování, obnovení nebo analyzování dat k získání skutečností a posouzení digitální informace.
Ačkoli je počítačová forenzika často spojována s vyšetřováním široké škály kybernetické kriminality, může být využita i v občanskoprávním řízení. Obor používá podobné techniky a principy také pro záchranu dat, ale s dodatečnými směrnicemi a postupy přikazující vést podrobnou dokumentaci.
Důkazy z počítačových forenzních vyšetřování obvykle podléhají stejným postupům jako jakékoliv jiné digitální důkazy. Počítačová forenzika byla již využita ve spoustě známých procesů a stává se široce přijímaná jako spolehlivá ve Spojených státech i v evropských soudních systémech.
Přehled
[editovat | editovat zdroj]V první polovině osmdesátých let se staly osobní počítače dostupnější, což vedlo ke zvýšení jejich použití ke kriminálním účelům (například pro páchání podvodů). Ve stejné době vznikly nové „počítačové zločiny“ jako například „Hackerství“. V této době se objevila počítačová forenzika jako metoda k získání a zkoumání digitálních důkazů pro použití při soudních procesech. Od té doby se počítačová kriminalita rozrostla a mezi lety 2002 a 2003 stoupla dokonce o 63%.[2] Dnes je počítačová forenzika používána k vyšetřování široké škály případů včetně dětské pornografie, podvodů, špionáže, kyberstalkingu, vražd a znásilnění. Počítačová forenzika se také využívá pro získávání důkazů při občanskoprávních řízeních.
Forenzní techniky a odborné znalosti jsou používány k zjištění aktuálního stavu jakékoliv části počítače, jako je například úložné médium v počítači (např. pevný disk nebo CD-ROM), elektronický dokument (např. e-mail nebo JPEG obrázek).[3] Možnosti forenzní analýzy se mohou pohybovat od obnovy jednoduché informace až po rozsáhlé sériové rekonstruování. V roce 2002 autoři knihy „Počítačová forenzika“, Kruse a Heiser, definovali počítačovou forenziku jako „zachovávající, identifikující, extrahující, dokumentující a interpretující počítačová data“.[4] Dále popsali tento obor jako „spíše umění než vědu“. Což znamená, že forenzní metodika se opírá o flexibilitu a rozsáhlé znalosti v této oblasti. Nicméně, i když je možné použít několik metod k získání důkazů z daného počítače, tak strategie používané v trestním řízení jsou poměrně jednotvárné a postrádají flexibilitu.[5]
Použití jako důkaz
[editovat | editovat zdroj]U soudu jsou důkazy získané počítačovou forenzikou brány jako běžné digitální důkazy. To znamená, že informace musí být autentické, nezfalšované a přípustné.[6] Různé země mají specifické pokyny a postupy pro extrakci důkazů. Ve Velké Británii se často řídí postupy podle Asociace policejních ředitelů (Association of Chief Police Officers), které pomáhají zajistit autenticitu a pravost získaných důkazů. Tento dobrovolný postup je u většiny britských soudů hojně využíván.
Počítačová forenzika je v trestním právu využívána pro získávání důkazů od poloviny osmdesátých let dvacátého století. Zde jsou uvedené některé případy:[7]
- Denis Rader (přezdívaný jako BTK Killer) byl odsouzený za sérii vražd, ke kterým došlo v průběhu 16 let. Ke konci tohoto období, Rader napsal zprávu na policii uloženou na disketě. Metadata v dokumentu obsahovala jméno autora „Denis“ a místo „Christ Lutheran Church“. Tyto důkazy napomohly dostat Radera do vězení.
- Joseph E. Duncan III: Z Ducanova počítače byl extrahován soubor tabulkového procesoru, který obsahoval data o jeho zločineckých plánech. Žalobci tohoto využili k dokázání úkladnosti jeho činů a zajistili mu tím trest smrti.[8]
- Sharon Lopatka: Stovky e-mailů v jejím počítači dovedly vyšetřovatele k jejímu vrahovi Robertu Grassovi.[7]
- Corcoran Group: Tento případ potvrzuje, že je povinností obou stran zachovat digitální důkazy, i když byl spor zahájen nebo hrozí jeho zahájení. Počítačový forenzní expert analyzoval pevné disky obžalovaných, avšak údajná elektronická pošta na nich nebyla nalezena. I když expert nenalezl žádný důkaz o jakémkoliv mazání na discích. Poté vyšlo najevo, že obžalovaní vědomě smazali e-maily a omylem tím znemožnili předložení materiálů soudu obsahující fakta o žalobcích.
- Dr. Conrad Murray, lékař zesnulého Michaela Jacksona, byl částečně odsouzený na základě digitálních důkazů na jeho počítači. Tyto důkazy obsahovaly lékařskou dokumentaci, která obsahovala smrtící množství propofolu.
Forenzní postup
[editovat | editovat zdroj]Počítačové forenzní vyšetřování se obvykle řídí následujícími standardními postupy: získávání a analýza dat a podání zprávy o výsledku šetření.[7] Vyšetřovatelé častěji využívají práci s diskovými obrazy, než přímo s konkrétním diskem. Naproti tomu v začátcích forenzní praxe nedostatek specializovaných nástrojů vedl vyšetřovatele pracovat přímo na konkrétních discích.
Techniky
[editovat | editovat zdroj]Během počítačového forenzního vyšetřování je využíváno vícero technik.
- Cross-drive analýza
- Je forenzní technika, která vyhledává informace najednou na více discích. Tato metoda je stále předmětem výzkumu a může být využita například pro identifikaci sociálních sítí a k provedení detekce anomálií.[9][10]
- Analýza za běhu
- Je analýza počítačů k získání důkazů v rámci operačního systému pomocí vlastní forenziky nebo pomocí nástrojů systémového administrátora. Tato metoda je užitečná při práci s šifrovaným souborovým systémem. Například pro získání šifrovacích klíčů. V některých případech může být vytvořen obraz pevného disku ještě před vypnutím počítače.
- Smazané soubory
- Nejběžnější technikou používanou v počítačové forenzice je obnova smazaných dat. Moderní forenzní software mají svoje vlastní nástroje pro obnovu smazaných dat.[11] Operační systémy a souborové systémy často fyzicky data neodstraní. Vyšetřovatelům toto umožňuje rekonstruovat data z fyzických diskových sektorů. Pro rekonstrukci smazaných dat uvnitř diskového obrazu se používá tzv. „File carving“, který hledá hlavičky známých souborů.
- Stochastická forenzika
- Je metoda využívající stochastické vlastnosti operačního systému počítače pro zkoumání činností postrádající digitální pozůstatky. Tato metoda se nejčastěji využívá pro vyšetřování krádeže dat.
- Steganografie
- Jedna z technik využívaná pro ukrývání dat je za pomoci steganografie. S její pomocí se dají data ukrýt uvnitř obrazového souboru. Takto může být ukrytá například dětská pornografie, nebo jiné ilegální materiály. Počítačoví forenzní profesionálové mohou odhalit pozměnění originálního obrázku pomocí porovnání jeho haše s hašem originálního obrázku (pokud je k dispozici). I když se modifikovaný obrázek zdá shodný s původním, jeho haš se razantně změní od původního s jakoukoliv nepatrnou změnou v obrázku.[12]
Volatilní data
[editovat | editovat zdroj]Pokud je při získávání důkazů počítač stále zapnutý a nějaká informace je udržována pouze v paměti RAM a není získána před vypnutím počítače, může být navždy ztracena.[8] Pro získání dat z paměti RAM před vypnutím počítače se aplikuje tzv. „live“ analýza (tzn. analýza za běhu počítače) např. pomocí programů: Microsoft COFFEE, WinDD nebo WindowsSCOPE. Pro obejití přihlašování do zamčeného systému Windows se využívá zařízení s názvem CaptureGUARD Gateway.
Po vypnutí napájení do paměti RAM mohou být data ještě chvíli čitelná, jelikož jednotlivým paměťovým buňkám chvíli trvá, než uloženou informaci ztratí. Časový úsek, než se data vytratí, lze prodloužit snížením teploty paměťových čipů a zvýšením napětí na paměťových buňkách. Udržením teploty čipů pod −60 °C umožní zachovat data čitelná ve velkém rozsahu po dlouhou dobu a zvýší šanci pro úspěšnou obnovu dat. Nicméně tato metoda může být velice nepraktická pro plošné zmrazování velkého množství čipů.[13]
Pro komplexní extrakci volatilních dat je potřeba, aby byl počítač ve forenzní laboratoři, jak k zachování legitimního postupu, tak k usnadnění práce na konkrétním počítači. Pokud je to nezbytné, tak právní předpisy přikazují přenést počítač za běhu. Počítač je při přenosu napájen z UPS, a aby nedošlo k nechtěnému odhlášení ze systému vlivem nečinnosti, je k počítači připojeno zařízení, které v krátkých intervalech prudce pohybuje myší.
Nicméně jeden z nejjednodušších způsobů získání dat z paměti RAM je překopírovat jí na pevný disk. Různé žurnálovací souborové systémy (např. NTFS nebo ReiserFS) si při činnosti počítače stránkují data z paměti RAM na pevný disk. Po poskládání těchto stránkovacích souborů může být zjištěn aktuální obsah paměti RAM.[14]
Nástroje pro analýzu
[editovat | editovat zdroj]Pro forenzní analýzu existuje spousta komerčních i open source nástrojů. Typická forenzní analýza zahrnuje: manuální prohlížení média, prozkoumání podezřelých údajů ve Windows registrech, hledání a prolamování hesel, hledání klíčových slov typických souvisejících se zločinem, získání e-mailů a obrazových souborů.[7]
Odkazy
[editovat | editovat zdroj]Reference
[editovat | editovat zdroj]V tomto článku byl použit překlad textu z článku Computer forensics na anglické Wikipedii.
- ↑ Michael G. Noblett; MARK M. POLLITT; LAWRENCE A. PRESLEY. Recovering and examining computer forensic evidence [online]. October 2000 [cit. 2010-07-26]. Dostupné online.
- ↑ Leigland, R. A Formalization of Digital Forensics [online]. September 2004. Dostupné online.
- ↑ A Yasinsac, RF Erbacher, DG Marks, MM Pollitt. Computer forensics education [online]. IEEE Security & Privacy, 2003 [cit. 2010-07-26]. Šablona:CiteSeerX.
- ↑ Warren G. Kruse; JAY G. HEISER. Computer forensics: incident response essentials. [s.l.]: Addison-Wesley, 2002. Dostupné online. ISBN 0-201-70719-5. S. 392.
- ↑ Gunsch, G. An Examination of Digital Forensic Models [online]. August 2002. Dostupné online.
- ↑ Adams, R. 'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice [online]. 2012. Dostupné online.
- ↑ a b c d CASEY, Eoghan. Digital Evidence and Computer Crime, Second Edition. [s.l.]: Elsevier, 2004. Dostupné online. ISBN 0-12-163104-4.
- ↑ a b VARIOUS. Handbook of Digital Forensics and Investigation. Redakce Eoghan Casey. [s.l.]: Academic Press, 2009. Dostupné online. ISBN 0-12-374267-6. S. 567.
- ↑ Garfinkel, S. Forensic Feature Extraction and Cross-Drive Analysis [online]. August 2006. Dostupné online.
- ↑ EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis [online]. Dostupné online.
- ↑ Aaron Phillip; DAVID COWEN; CHRIS DAVIS. Hacking Exposed: Computer Forensics. [s.l.]: McGraw Hill Professional, 2009. Dostupné online. ISBN 0-07-162677-8. S. 544.
- ↑ Dunbar, B. A detailed look at Steganographic Techniques and their use in an Open-Systems Environment [online]. January 2001. Dostupné online.
- ↑ J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten. Lest We Remember: Cold Boot Attacks on Encryption Keys. citp.princeton.edu. Princeton University, 2008-02-21. Dostupné online [cit. 2009-11-20]. Archivovaná kopie. citp.princeton.edu [online]. [cit. 2015-01-14]. Dostupné v archivu pořízeném z originálu dne 2011-07-22.
- ↑ Geiger, M. Evaluating Commercial Counter-Forensic Tools [online]. March 2005 [cit. 2015-01-14]. Dostupné v archivu pořízeném dne 2014-12-30.