PassMark OSForensics 3.3

Pojam forenzike se kod nas odomaćio najviše zahvaljujući brojnim američkim filmovima i serijama u kojima su glavni likovi mahom predstavljeni kao vrsni agenti koji rešavaju najzamršenije slučajeve ubistava. Sam pojam potiče iz latinskog jezika i u bukvalnom prevodu glasi „na otvorenom prostoru”, a u pravnoj praksi bi trebalo da ukazuje na potragu za dokazima koji potvrđuju neko kriminalno delo.

Kako su računari vremenom postajali sve popularniji, tako je rasla i potreba da se u slučaju sumnje u neku nedozvoljenu aktivnost vrši analiza podataka koji su smešteni na memorijskim medijumima. Prvo zvanično odeljenje za ekspertizu kompjuterske opreme u svrhu pronalaženja dokaza za inkriminisana dela je osnovano pri američkom FBI 1984. godine. Kasnija pojava interneta, masovna produkcija računara i mobilnih telefona je digitalne forenzičare svrstala među vrlo tražene kadrove u celom svetu. Reč je o nimalo jednostavnom pozivu koji zahteva vrhunsko poznavanje svega što ima veze sa računarima (i savremeni mobilni telefoni su vrsta računara) i njihovim operativnim sistemima. U svom radu na raspolaganju imaju kako hardverska, tako i softverska pomagala. U ova prva uglavnom spadaju uređaji koji služe za brzo kopiranje podataka sa memorijskih nosača, kako bi se posle analizirali na za to osposobljenim računarima.

Programi koji bi trebalo da olakšaju potragu za materijalnim dokazima nekog prekršaja se generalno mogu podeliti u dve grupe. U prvu spadaju opšte alatke za vraćanje izgubljenih podataka, otkrivanje šifri, analizu komunikacija i drugih namena koje po ideji nemaju direktnu vezu sa prikupljanjem dokaza potrebnih za vođenje krivičnog postupka, ali mogu da pomognu na tom zadatku. U drugu grupu spadaju specijalizovane alatke od početka kreirane sa namenom da na jednom mestu ponude mnoštvo instrumenata sa jasnom funkcijom „vršljanja” po podacima nekog uređaja. Još je moguće ostvariti podelu na alatke (komercijalne i besplatne) dostupne za korišćenje svim zainteresovanim licima i na one koji su razvijene specijalno za potrebe državnih službi zaduženih za bezbednost i sprovođenje zakona i koje nisu za javnu upotrebu.

Proizvođač programa, PassMark je boljim poznavaocima računara poznat pre svega po svojim testovima hardverskih komponenata. Iako je (po autorovom mišljenju) rezultat tih testova često sumnjive upotrebne vrednosti, potraga za rezultatima benčmark testiranja na pretraživačima će vas često odvesti baš do njihovog sajta. Međutim, dosta je manje poznata činjenica da ista firma izdaje jedan zanimljiv proizvod specijalizovan za pronalaženje obrisanih ili skrivenih informacija na računarskim sistemima (o verziji programa 2.0 pisali smo u SK 4/2013). Kao što ćemo videti, program ne mora isključivo da se koristi kao sredstvo namenjeno policajcima, već može imati praktičnu korist za sve vlasnike računara.

Već od prvog pokretanja vidi se da je u pitanju moćan i kompleksan alat, pošto glavni meni koji se nalazi s leve strane prozora sadrži čak 30 različitih stavki. Prva od njih nosi naziv Start i sadrži prečice do najčešće upotrebljavanih opcija. Ceo posao započinjemo sa otvaranjem slučaja, gde u priloženom dijalogu popunjavamo osnovne podatke o sakupljaču informacija, načinu prikupljanja dokaza i mestu gde storniramo prikupljene podatke. Unutar formiranog izveštaja možemo dodavati izvore podataka koji mogu biti interni ili eksterni memorijski medijumi, slike diskova (images), mrežne lokacije i podaci u okviru bekapa koji pravi operativni sistem, a poznatiji je pod nazivom Volume Shadow Copy. Ukoliko želimo da uz izveštaj dostavimo sadržaj nekog od fajlova, to ćemo uraditi preko opcije Add attachment iz istog menija.

Nakon formiranog slučaja, prelazimo na prikupljanje dokaza. Opcija File Name Search je namenjena traženju fajlova koji u sebi sadrže deo teksta koji smo upisali u za to predviđeno polje. Polje Presets nudi desetak filtera koji nam omogućavaju da ubrzamo pretragu ako tražimo određenu vrstu datoteka. Dugme Config skriva još ceo niz korisnih opcija za pretraživanje, pa tako možemo da odredimo vremenski okvir u kome su fajlovi kreirani ili modifikovani, odredimo im minimalnu i maksimalnu veličinu, atribute koje imaju i način traženja podataka. Ukratko, reč je o specijalizovanoj verziji opcije Search koja dolazi uz Windows, ali je od nje dosta fleksibilnija. Stubac Thumbnails nam omogućava da vidimo sadržaj pronađenih fajlova (ukoliko su u pitanju fotografije) ili da im pristupimo preko nekog eksternog programa koji podržava taj format. Inače, u program je ugrađen pregledač za najčešće tipove podataka koji osim prikaza same datoteke nudi i podatke u heksadecimalnom i tekstualnom obliku. Potencijalno se može korisnim pokazati prikazivanje EXIF informacija koje se nalaze u okviru fotografija.

Opcija Create Index je namenjena katalogizaciji fajlova po nekom od kriterijuma. Za tu svrhu prolazimo kroz „čarobnjak” u kome određujemo šta i od kuda želimo da indeksiramo. Na nju se naslanja opcija Search Index čiji je zadatak da analizira sadržaj fajlova koje smo obradili u prethodnom koraku. Ukoliko nas interesuje neka posebna reč, upisujemo je u za to predviđeno polje, ali postoji i mogućnost istovremenog pretraživanja većeg broja reči korišćenjem opcije Use Word List File. Kao demonstracija su priloženi primeri tekstualnih fajlova sa pojmovima vezanim za droge, oružje terorizam i slične stvari. Vrlo zanimljiva opcija nalazi se pod nazivom Recent Activity i uz njenu pomoć je moguće saznati jako veliki broj informacija o korišćenju računara. Počevši od fajlova koji su prethodno korišćeni, reči upisivanih u polje Search, foldera kojima je pristupano, događaja iz sistemskog loga, USB uređaja koji su priključivani na računar, spiska Wi-Fi mreža na koje je računar bio priključen i još nogo toga. Toliki broj informacija o korišćenju sistema na jednom mestu do sada nismo imali priliku da vidimo. Sledeća opcija Deleted Files Search radi upravo to, traži obrisane fajlove koji sadrže deo teksta koji smo upisali u predviđeno polje. Kao što je to jasno napisano u dijalogu na početku korišćenja opcije Memory Viewer, njen osnovni zadatak je da analizira sadržaj RAM sumnjivog računara i predviđena je za prikupljanje podataka in vivo, kada je pojedinac uhvaćen za računarom u toku izvođenja potencijalno nelegalnog dela. Prefetch Viewer daje informacije o tome koliko je neka aplikacija pokretana, kada je poslednji put pokretana i koje memorijske medije je koristila u toku rada.

Kada neko sa ciljem uništavanja dokaza obriše fajlove (ukoliko nije korišćena tehnika prepisivanja podataka), to još uvek ne znači da nije moguće rekonstruisati sadržaj tih dokumenata. Postoji prilično dobra verovatnoća da se može rekonstruisati deo obrisanog i nakon nekoliko meseci od brisanja. Analizu takvih sadržaja vršimo putem modula Raw Disk Viewer, pri čemu možemo koristiti ugrađene opcije koje znatno olakšavaju pretraživanje po hrpi naizgled besmislenih bajtova. Mismatch File Search pregleda datoteke na fajl-sistemu i traži one fajlove čiji sadržaj ne odgovara specifikaciji fajl formata ukazanog u ekstenziji. Tu može biti reč o oštećenim ili fajlovima koji u sebi maskiraju neki drugi sadržaj. Sakupljanju podatak iz sistemskog registra Windowsa je namenjen modul pod nazivom Registry Viewer. Odmah da kažemo da je njegova prvenstvena namena da sakuplja željene ključeve registra u slučaj koji istražujemo. Dakle, ne očekujte da će vam poslužiti kao zamena za standardni editor koji dolazi sa operativnim sistemom. Slične filozofije se, kada je u pitanju fajl-sistem, drži i modul File System Browser. To je svojevrsni Windows Explorer sa specijalizovanom namenom da pomogne u konkretnom poslu pronalaženja dokaznog materijala. Moguće je raditi u standardnom i „forenzičkom” režimu koji će prikazati i obrisane datoteke. Osim očekivanih fajl-sistema za Windows (FAT/FAT32/NTFS), podržana je i analiza fajlova za Linux (Ext2/3/4) i MacOS X/iOS (HFS+/HFSX). Danas mnogi programi i brojna računarske platforme za čuvanje informacija često koriste poznatu otvorenu platformu za rad sa relacionim bazama podataka SQLite. Koristeći modul SQLite Database Browser, možemo pregledati sadržaj internih informacija u programima kao što su Mozilla Firefox i Google Chrome, kao i na mobilnim telefonima koje pokreću iOS i Android.

Disk Drive Signatures je modul uz čiju pomoć pravimo svojevrsni zapisnik o fajl-sistemu računara zajedno sa veličinama fajlova i prisutnim atributima. Posle toga je relativno lako utvrditi koji fajlovi su menjani ili brisani. Za potrebe pravljenja „slika” celih diskova imamo na raspolaganju opciju Drive Imaging, dok putem opcije Mount Drive Image te „slike” ubacujemo u program kako bi ih analizirali.

U poslovima ovakve vrste, šifre igraju vrlo važnu ulogu, pa ne čudi postojanje specijalizovanog modula za njihovo pronalaženje u okviru sistema. Pronalaze se kako one koje se koriste za pristupanje raznoraznim sajtovima, tako i one koje se odnose na logovanje na sistem. Postoje dva načina prikupljanja ovih podataka: u realnom vremenu i pretraživanjem sadržaja hard-diska.

OSForensics je zanimljiv program specifične namene koji u sebi sadrži više različitih modula za pronalaženje digitalnih krivičnih dokaza. Iluzorno bi bilo očekivati da svi ti moduli pojedinačno po kvalitetu prevazilaze specijalizovane programe, recimo, za oporavak izgubljenih podataka ili sofisticirane aplikacije za pronalaženje šifara na analiziranom sistemu. Zato nudi jedinstvenu mogućnost vođenja celog postupka iz okvira jedne aplikacije.

Igor S. RUŽIĆ