Digitalna forenzika - University of Ljubljana · Opis predmeta – nadalj. • predavanja: vključno z vsaj dvema vabljenima predavanjima • domače naloge (DN): – štiri domače

Digitalnaforenzika

AndrejBrodnik

AndrejBrodnik:Digitalnaforenzika

Digitalnaforenzika

•  predavanja:dr.AndrejBrodnik•  vaje:dr.TimotejLazar,dr.GašperFele-Žorž•  e-viri:učilnica


Opispredmeta•  Literatura:

–  EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)

–  DFRWS(DigitalForensicsResearchConference):http://www.dfrws.org/

–  DigitalInvestigation–Elsevier:http://www.journals.elsevier.com/digital-investigation/

–  SSDDFJ(SmallScaleDigitalDeviceForensicsJournal):http://www.ssddfj.org/

–  IFIPWorkingGroup11.9DigitalForensics:http://www.ifip119.org/

–  IJDCF(InternationalJournalofDigitalCrimeandForensics):http://www.igi-global.com/Bookstore/TitleDetails.aspx?TitleId=1112


Opispredmeta–nadalj.

•  predavanja:vključnozvsajdvemavabljenimapredavanjima

•  domačenaloge(DN):–  štiridomačenalogeizvsebinepredavanj(!),vajinknjige–  zapozitivno:vsakanalogavsaj20%inpovprečjevsaj40%

•  laboratorijskinalogi(LN):–  dvepraktičnilaboratorijskinalogi–  nalogipostavljenivučilnici,kamorsetudioddajarezultate–  zapozitivno:vsakavsaj20%inpovprečjevsaj50%


Opispredmeta–nadalj.•  seminarskanaloga(SN):

–  skupinabomoralaprebrati:znanstveničlanekizrevijealikonference,knjige,orodjaalipodobno

–  predstavitev(20minut)inpisniizdelek,kigakolegirecenzirajoternakoncudokončniizdelek

–  časovnirazpored:•  do3.3.izbiraskupine;do10.3.vsakaskupinaoddapredlogtemesvojeseminarskenaloge,kisejopotrdioziromazavrnevendarnajkasnejedo17.3.potrdi;

•  do30.5.oddanapredstavitev;do5.5.oddanaseminarska;do19.5.recenzija;do3.6.dokončnobesedilo;

•  vmajuinjunijupredstavitveseminarskihnalog–  zapozitivno:oddanivsiizdelkiinvsaj40%izpredstavitveter40%izkončnegapisnegaizdelkatervsaj50%izskupneoceneseminarskenaloge


Opispredmeta–nadalj.

•  pisniizpit(PI):– samoenpisniizpitintosredileta(predvidomavtednu7.5.)

– zapozitivno:vsaj50%

•  skupnaocenpredmeta:

1/3*PI+1/3*SN+1/3*(½*LN+½*DN)


Okvirniprogram

•  Uvodinosnove•  Preiskavaelektronskenapravezuvodomvkazenskipostopek

•  Računalniki–strojnaoprema

•  Operacijskisistemi(MSWindows,Unix/Linux)


�  Računalniškaomrežja

�  Mobilnenaprave

�  Izvajanjedigitalnepreiskave

�  Digitalnaforenzikaslik

slikenaprosojnicahsoizknjige©2011:EoghanCasey:DigitalEvidenceandComputerCrime(thirdedition)

Okvirniprogram–nadlj.

•  vabljenapredavanja:– DigitalnaforenzikavPoliciji(Policija)– Varovanjeosebnihpodatkov(Informacijskapooblaščenka)

– Digitalnaforenzikaomrežij(SI-CERT)


Uvodinosnovepoglavja1–5


Osnovedigitalneforenzikepoglavje1

•  Kajjedigitalnidokaz?–  Digitalnidokazjekaterikolidigitalnipodatek,kijeshranjenaliprenešeninomogočadokazalizanikanje[kriminalnega]dejanja.

•  Kajjetoračunalniškisistem?

–  odprtiračunalniškisistemi–  komunikacijskisistemi–  vgrajenisistemi


Osnovedigitalneforenzike

•  zaizvajanjeforenzičnepreiskavenidovoljznanje,ampaksezahtevacertificiranostosebja,organizacije,laboratorija,...


Principidigitalneforenzike

•  uporabaznanostizapotrebeprava•  pomenrazlikovanjagotovostiinverjetnosti:

Neobstojdokazanidokazoneobstoju!

•  pripravainhranjenjegradivazamorebitnisodnispor


Izmenjavadokaza

Izmenjavadokaznegagradivamedžrtvijoinstorilcem(aliprizoriščem)Locardovprincipizmenjave


•  prstniodtisi(natipkovnici)

•  e-poštainzabeležke

•  zabeležkeoobiskovanihstraneh

•  komunikacijskesledi

•  ...

Dokazi

•  dokaziimajoskupnelastnosti(vsiprogramitevrste)inposebnelastnosti(konkretnenastavite)

•  dajedigitalnidokazsprejemljivnasodišču:– morabitipravilnoobdelan(zajet)in– morabitihranjennaforenzičnopravilennačin

•  zatojepotrebnobeležitivseakcijenaprizorišču


Dokazi

•  zagotavljanjeavtentičnosti:1.  vsebinamorabitinespremenjena2.  vsebinamoraizviratisprizorišča(beleženjevrstnega

redaposedovanjadokaza–dokaznaveriga)3.  dodatneinformacijeorokovanjuzdokazi


Celovitostdokaza

•  sprejetaoblikazagotavljanjacelovitostidokazajepodpisovanjezrazpršilnofunkcijo– MD5,SHA-1,...


Ravnanjezdokazi

•  objektivnostdokaza– vsebujeinterpretacijoinpredstavitevdokaza

•  ponovljivostanalizedokaza


Izzivirokovanjazdigitalnimidokazi

•  ostankialirekonstrukcijaniistokotcelotnogradivo:–  rekonstruiranadatoteka,kijebilaizbrisana,niistokotdelčkile-te

– ostankiposlanee-pošteniistokotcelotnae-pošta•  povezavamed(digitalnim)dokazominstorilcemnivednoočitna

•  podatkinisovečni– podatkioprometunaomrežju


Izzivirokovanjazdigitalnimidokazi

•  dokazinisonujnobreznapak–  administratorježebilposkušalrešitipobrisanodatoteko

–  sistemskiadministratorjespremenilvsebino,dabizavarovalsistem

–  prišlojedonapakeprizajemupodatkov(nestandardnipostopek)

–  prizajemupodatkovjebiluporabljenokuženmedij– medijsshranjenimipodatkisejepoškodoval–  ...


Digitalnisvetniločenodrealnega

•  primer:kupecjeprekoeBaykupildobrino– caseexample:AuctionFraud,2000;str.29

•  podatkilahkopridejoizpovsemnepričakovanihmest


Razvojjezikaraziskaveračunalniškihzločinov

poglavje2•  nazačetkunibiloračunalnikovinzakonješčitilsamomaterialnedokaze

•  digitalnidokazivključujejo:–  računalniška(datotečna)forenzika–  omrežnaforenzika–  mobilnaforenzika–  slabogramje(malware)forenzika

•  pomembnarazlikamedpreiskovanjeminanalizopodatkov–  preiskovanjevključujezajem,organizacijo,...–  analizapredstavljadejanskoobravnavodokazov


VlogaračunalnikaPoParkerju,1976,1983,1998:1.  predmet(objekt)zločina–  krajaračunalnikaaliuničenje

2.  osebek(subjekt)zločina–zločinjebilnarejenspomočjoračunalnika–  okužbaračunalnika

3.  orodjezapripravoin/aliizvedbozločina–  kopiranjedokumentov

4.  uporabaposvojihlastnostihvzločinu(symbol)–  ponujanjestoritevalizmožnostiračunalniškihstoritev:dobitki

naborzi,...•  virpodatkov(!!)–ostankidatotek,e-pošte,...


Vlogaračunalnika

USDOJ(USDepartmentofJustice),1994,1998:•  strojnaopremakotpredmetalirezultat

zločina•  strojnaopremakotinstrument•  strojnaopremakotdokaz•  informacijakotpredmetalirezultatzločina•  informacijakotinstrument•  informacijakotdokaz


Digitalnidokaznasodišču

poglavje3digitalnidokaznasodišču


Nalogeizvedenca

•  predstavitevdokaznegagradiva:– nepodlečivplivom– odklanjatiprezgodajpostavljanjeteorije–  rabaznanstveneresnicezapotrebepravnegaprocesa

•  ACMCodeofethics•  IEEECodeofethics


Sprejemljivostgradiva

•  petosnovnihpravil:1.  relevantnostgradivazaprimer2.  avtentičnostgradiva(zajem,sledljivost,...)3.  nisogovorice(dokazsamnisogovorice,čeni

govorecprisoten)4.  najboljšimožendokaz(originalinkopija)5.  dokaznogradivobrezpotrebenenapeljujena

zaključke

•  nalogzapreiskavoAndrejBrodnik:Digitalnaforenzika

Stopnjezanesljivosti


�  vbeležkahimamozapis:

2009-04-03 02:28:10 W3SVC1 10.10.10.50 GET /images/snakeoil13.jpg-80-192.168.1.1 Mozilla/4.0+(compatible;+MSIE+6.0;Windows+NT+5.1) 200 0 0

�  kajsklepamoiznjega?

�  stopnjezanesljivosti:

•  (1)skorajzagotovo;(2)zeloverjetno;(3)verjetno;(4)zelomožno;(5)možno

•  statističnaverjetnost

Računalniškazakonodaja

poglavje4•  zakonodajaZDA– 50zakonodaj– zakonodajaWashingonDC– zveznazakonodaja


Računalniškazakonodaja

poglavje5•  zakonodajaES(EU)–  IrskainVelikaBritanijaločensistem–commonlaw

– preostaledržave–civillaw•  skupnazakonodaja:– parlamentEU– Konvencijaoračunalniškihzločinih(ConventiononCybercrime),1.julij2004•  nistaratificiraliIrskainVelikaBritanija

– Protokolodejanjihrasizmainksenofobije,1.marec2006


Zločininadintegritetoračunalnika

•  Dostopdoračunalnikanidovoljen,čenamteganedovolilastnik

•  Primeri:– hekerji– krajapodatkov– prestrezanjepodatkov– vplivanjenapodatkein/alisisteme(DOS,virusi)–  ››napačna‹‹alinenamenskauporabaenote/naprave


Zločinispomočjoračunalnika

•  ponarejanje•  goljufija•  zloraba


Zločinipovezanizvsebinopodatkov

•  Zločini,kizadevajovsebinopodatkov– otroškapornografija– spletnozapeljevanje–  rasizeminksenofobija


Ostalizločini

•  kršenjeavtorskihpravic•  računalniškoizsiljevanje•  ...


Documents

Digitalna forenzika - University of Ljubljana · Opis predmeta – nadalj. • predavanja: vključno z vsaj dvema vabljenima predavanjima • domače naloge (DN): – štiri domače