Digitalna forenzika i istraga
Poslednjih dana maja udruženje eSigurnost organizovaće u beogradskom hotelu Crowne Plaza konferenciju ICT Security 2017. Naš sagovornik je doc. dr Igor Franc, osnivač firme SECIT Security Consulting, koji će na konferenciji govoriti o jednom od aspekata digitalne forenzike – korišćenju open source alata za izvlačenje podataka s Windows računara.
Šta zapravo podrazumeva pojam digitalna forenzika?
U širem smislu reči, to je nauka koja se bazira na informatici i klasičnoj forenzici dok u užem smislu predstavlja proces prikupljanja digitalnih dokaza sa elektronskih uređaja. Proces se sastoji od nekoliko faza: prva je akvizicija, odnosno prikupljanje podataka, druga analiza prikupljenih podataka i treća pisanje izveštaja.
Da li postoji više vrsta digitalne forenzičke istrage?
Postoje dve vrste istrage dokaza sa digitalnih uređaja. Prva je zvanična istraga koju sprovode policijski organi u slučajevima osnovane sumnje i počinje izdavanjem naloga za oduzimanje elektronske opreme. Druga vrsta istrage jeste korporacijska, gde menadžment angažuje privatnu kompaniju pa ne postoji potreba za sudskim nalozima. Obe istrage baziraju se na istim alatima i postupcima, s tim što u prvom slučaju moraju da se poštuju stroža pravila i izveštaj se predaje isključivo nadležnom organu, dok su kod korporacijske istrage pravila malo liberalnija i izveštaj se predaje isključivo menadžmentu kompanije koji je naručio istragu. Naravno, ovde se potpisuje ugovor o tajnosti podataka, takozvani NDA, kako bi se osiguralo da informacije stignu samo u ruke naručioca posla.
Kako postati dobar digitalni forenzičar?
Na ovo pitanje teško je dati precizan odgovor jer ne postoji zvanična ustanova u Srbiji gde bi se mogla dobiti takva diploma. Možete sami da učite iz priručnika, a na Internetu ima veliki broj kvalitetnih izvora, ali javlja se problem kako potvrditi svoje znanje i dobiti neku verifikaciju. Postoji nekoliko kurseva, a najpriznatiji je EC Council CHFI, zatim SANS GIAC sertifikati, kao i sertifikat poznate organizacije ISC2 pod nazivom CCFP, koji se bave temama digitalne forenzičke istrage nevezano za određenog proizvođača softvera. Postoje i vendorski kursevi i sertifikati od kojih je najpoznatiji EnCE iza koga stoji Guidance softver, firma čiji je proizvod jedan od najpoznatijih alata EnCase.
Da li se svi alati plaćaju i postoje li besplatni?
Osim dva alata koji se najčešće koriste i plaćaju se, a to su EnCase i FTK, postoji i veći broj Linux distribucija koje su besplatne, kao što su DEFT i SIFT. U tim distribucijama nalazi se veći broj programa koji su u sudskoj praksi prihvaćeni kao validni alati, a najpoznatiji je Autopsy.
Kolika je odgovornost u ovakvom poslu?
Odgovornost zavisi od toga za šta ste konkretno angažovani i tipa istrage. Što se tiče zvanične istrage, tu je veća odgovornost jer su u pitanju ljudski životi i neko će možda odgovarati i otići u zatvor, tako da se s tim uopšte nije igrati. Kad je reč o korporacijskoj istrazi, tu je za nijansu manja odgovornost jer najgore što može da se desi jeste to da neko dobije otkaz ili bude prebačen po kazni na neko drugo radno mesto. Naravno, ne kažem da ovde treba bilo šta uzeti olako, jer je danas veoma teško naći posao, pa samim tim i to može za nekog pojedinca biti veliki udarac, tako da uvek treba veoma pažljivo raditi s digitalnim dokazima i sve treba više puta proveriti pre pisanja konačnog izveštaja.
Šta će biti tema vašeg predavanja na predstojećoj ICT SECURITY 2017 konferenciji?
Naslov je Live Digital Forensics – Windows OS i to neće biti klasično predavanje, već živa demonstracija korišćenja besplatnih open source alata za izvlačenje podataka s Windows računara koji radi. Prikazaću šta se sve može izvući iz RAM memorije računara pre nego što se on isključi. Biće predstavljen postojeći alat koji se može koristiti, a prezentovaću i neke svoje metode kroz skripte koje sam ja razvijao za ovu namenu i koje koristim. Nadam se da će to biti zanimljivo iskustvo za slušaoce jer će sve biti uživo rađeno i moći će da vide korake, kao i čuju šta ne sme da se radi kako se dokazi ne bi trajno izgubili.
Luka Milinković