CSI/Forensic Cyber Division -
Počítačová forenzní analýza
Informatika a počítačová věda
Pojem počítačová věda je v české a v celé kontinentálně-evropské literatuře velmi často významově ztotožňován s pojmem informatika. Důkazem může být citát nizozemského informatika Edsgera Wybe Dijkstra „Computer science is no more about computers than astronomy is about telescopes.“ tedy „Informatika se nezabývá počítači o nic více než astronomie dalekohledy.“2 V anglicky mluvících zemích je však pojem computer science chápán jen jako součást obecné informatiky – informatics.
Informatika a její vztah k počítačové vědě
Obecná informatika je věda o informaci samotné, praktikách a postupech užívaných při zpracování informace a navrhování informačních systémů (samozřejmě ne nutně na počítačích). Informatika studuje strukturu, algoritmy, chování a interakce přirozených a umělých systémů, které ukládají, zpracovávají, zpřístupňují a přenášejí informace. Dále rozvíjí svůj vlastní pojmový a teoretický aparát a využívá základů, rozvinutých v jiných oborech. Také rozvíjí vlastní koncepční a teoretické základy a schémata ale využívá k tomu i poznatky z jiných oblastí. Od doby vynalezení počítačů začali jednotlivci i organizace masově zpracovávat digitálně. To vede k dnešní představě o tom, že informatika má nutně něco společného s počítači.
Dá se říci, že dříve byla hlavní náplní informatiky informační věda. Nicméně, co se týče ztotožňování těchto pojmů a rozdílů mezi nimi, liší se evropská a americká literatura a mnohdy dochází k velkým rozdílům v jejich chápání i v rámci jednotlivých zemí. S nástupem počítačů však začala přibývat další a další subodvětví, jež zastřešuje informatika. Mezi ně patří například teorie informací, počítačová věda, kognitivní věda, umělá inteligence, didaktika informatiky či osobní informační management a mnoho dalších.
Informatika (informatics)
· informační věda (information science)
· teorie informace (information theory)
· umělá inteligence (artificial intelligence)
· kognitivní věda (cognitive science)
· počítačová věda (computer science)
· didaktika informatiky (didactics of informatics)
· informační managment (personal information managment)
Teorie informace (anglicky information theory) je věda spojující aplikovanou matematiku a elektrotechniku za účelem kvantitativního vyjádření informace. Zabývá se převážně přenosem, kódováním a měřením informace. Otcem teorie informací je americký matematik a elektrotechnik Claude Elwood Shannon. K rozvoji tohoto oboru po druhé světové válce přispěli také R. A. Fischer a N. Wiener4. Informací jako měřitelnou veličinou, kdy se míra opírá o redukci na určitý počet alternativ, se zabývá český filozof J. Patočka ve své stati5. V modernějším pojetí se pak teorie informace zabývá také například bezeztrátovou (např. ZIP) či ztrátovou kompresí (např. MP3), kapacitou přenosového kanálu či datových médií apod.
Informační věda bývá, jak je zmíněno výše, někdy nesprávně ztotožňována s informatikou. Je však pouze její součástí. Přestože je jen podmnožinou obecné informatiky, jde o obsáhlou interdisciplinární vědu zahrnující i aspekty na první pohled více čí méně vzdálených vědních oblastí s velkou rozmanitostí. Má blízký vztah ke knihovnictví, managementu, matematice či sociálním vědám. Informační věda se zaměřuje na porozumění problematiky z pohledu zainteresovaných stran a následnou aplikaci informací a dalších potřebných technologií. Jinými slovy, primárně se pouští do systematických problémů spíše než do jednotlivých částí technologií v systému. V tomto ohledu může být vnímána jako odpověď na technologický determinismus, víra v to, že technologie rozvíjí své vlastní zákony, realizuje vlastní potenciál a je omezována pouze materiálními zdroji, které jsou k dispozici, a musí být proto vnímána jako autonomní systém kontrolující a prostupující všechny podsystémy společnosti.
V rámci informační vědy byla poslední dobou věnována pozornost interakci člověka a počítače (human computer interaction), softwaru pro skupinovou práci (groupware), sémantickému webu, apod. Informační věda by neměla být zaměňována s obory jako teorie informace, či s knihovnictvím – oborem věnujícím se knihovnám, nebo studiem konkrétních matematických konceptů informatiky, tedy s obory, které používají jen některé z principů informační vědy. Někteří autoři používají pojem informatika jako synonymum pro informační vědu, zejména ve vztahu ke konceptu rozvinutému A. I. Mikhailovem a ostatními sovětskými autory poloviny šedesátých let, kteří zastávali názor, že informatika je vědní disciplína příbuzná studiu vědecké informace (informatiky).
Vzhledem k rychle se rozvíjející interdisciplinární povaze informatiky je dnes obtížné vysvětlit a definovat přesný význam pojmu „informatika“. Regionální odlišnosti a mezinárodní terminologie tento problém ještě více komplikují. Mnoho autorů poukazuje na fakt, že většina toho, čemu dnes říkáme informatika, bylo kdysi nazýváno informační vědou. Přesto, když knihovníci začali používat slovní spojení informační věda ve vztahu ke své práci, pojem informatika se začal v USA objevovat jako odpověď počítačových vědců k odlišení jejich práce od knihovnické vědy, a ve Velké Británii jako termín pro vědu o informacích, která studuje přirozené i umělé nebo konstruované systémy, které zpracovávají informace.
Informační věda se zabývá principy porozumění jak sbírat, třídit, ukládat, obnovovat (znovu získávat) a šířit jakýkoliv typ informace a jak s nimi zacházet. Informační věda má souvislost s forenzním subodvětvím nazývaným inforamation forensics.
Počítačová věda
Počítačové věda je studiem teoretických základů informatiky a aplikací praktických metod pro jejich realizaci a uplatnění v počítačových systémech. Často je charakterizována jako systematické studium algoritmických procesů, které popisují a transformují informace. Základní otázkou počítačové vědy je „Co může být (efektivně) automatizované?“7Počítačová věda má řadu subodvětví, z nichž některá, jako je počítačová grafika, kladou důraz na konkrétní výsledky, zatímco jiné, jako například teorie složitosti, studují vlastnosti výpočetních problémů obecně. Další se zaměřují na problémy při provádění výpočtů. Například teorie programovacích jazyků studuje přístupy popisující výpočet, zatím co při programování se aplikují konkrétní programovací jazyky na řešení konkrétních výpočetních problémů. Interakce člověk-počítač (HCI) se zaměřuje na to, aby počítače a výpočty realizované pomocí nich byly užitečné, použitelné, a univerzálně přístupné lidem.
Široká veřejnost si občas plete počítačovou vědu se souvisejícími oblastmi aplikace, které se zabývají počítači (např. obecně informační technologie), nebo si myslí, že souvisí s jejich vlastní zkušeností s počítači, která zpravidla zahrnuje činnosti, jako je hraní her, prohlížení webu či kancelářské aplikace. Nicméně počítačové věda je zaměřena na pochopení vlastností programů a algoritmů používaných k implementaci softwaru, jako jsou ony hry či webové prohlížeče, a na základě tohoto porozumění pomoci při tvorbě nových programů či zlepšení stávajících.
Jde tedy o aplikaci poznatků z obecné informatiky a jejich rozšiřování pro implementaci na počítačích. Aplikací počítačové vědy jsou potom oblasti jako:
· Operační systémy
· Počítačové sítě
· Počítačová grafika
· Databáze
· Bezpečnost IT
· HCI (human computer interaction)
Jako vědní disciplína zahrnuje počítačová věda celou řadu témat od teoretické studie algoritmů až po praktické otázky implementace výpočetních systémů v oblasti hardwaru a softwaru.9 The Computer Sciences Accreditation Board (CSAB)10, které se skládá ze zástupců Association for Computing Machinery (ACM)11, Institute of Electrical and Electronics Engineers Computer Society (IEEE)12 a Association for Information Systems(AIS)13 vymezuje čtyři oblasti, které považuje za zásadní:
· teorie výpočtu,
· algoritmy a datové struktury,
· programovací jazyky a metody,
· architektury počítačů.
Kromě těchto čtyř hlavních oblastí, CSAB také vymezuje oblasti, jako je softwarové inženýrství, umělá inteligence, počítačové sítě a komunikace, databázové systémy, paralelní výpočty, distribuované výpočty, interakce člověka a počítače, počítačová grafika, operační systémy, a numerické a symbolické výpočty jako důležité oblasti počítačové vědy. Toto rozdělení oblastí a podoblastí počítačové vědy pak vypadá asi takto:
Počítačová věda (computer science)
· Teorie výpočtu (Theory of computation)
o Vyčíslitelnost (Computability theory)
o Složitost (Computational complexity theory)
· Teoretická počítačová věda (Theoretical computer science)
o Matematická logika (Mathematical logic)
o Teorie automatů (Automata theory)
o Teorie čísel (Number theory)
o Teorie grafů (Graph theory)
o Teorie typů (Type theory)
o Teorie kategorií (Category theory)
o Geometrické algoritmy (Computational geometry)
o Teorie kvantového počítání (Quantum computing theory)
· Algoritmy a datové struktury (Programming methodology and languages)
o Analýza algoritmů (Analysis of algorithms)
o Vlastní algoritmy (Alrgorithms)
o Datové struktury (Data structures)
· Metodika programovací jazyků
o Kompilátory (Compilers)
o Programovací jazyky (Programming languages)
· Architektury počítačů
o Logické obvody (Digital logic)
o Mikroarchitektury (Microarchitecture)
o Paralelizace (Multiprocessing)
Historie počítačové vědy
Když pomineme teoretické základy formulované před stovkami let, sloužící mimo jiné počítačové vědě, jako například použití nuly indickým matematikem Grahmaguptou, či práce On the Calculation with Hindu Numerals a Algoritmi de numero Indorum perského matematika Al-Khwarizmiho, ve kterých bylo poprvé použito pojmu algoritmus (jako systematické aplikace aritmetiky v algebře), je možno datovat počátky opravdové počítačové vědy do doby, kdy Charles Babbage navrhl svůj Difference Engine následovaný návrhem plně programovatelného Analytical Engine (který je z dnešního pohledu výpočetní silou ekvivalentní Turingovu stroji – podle Church-Turingovi teze14) a Augusta Ada King, známá jako Ada Lovelace, pro něj navrhla způsob programování pomocí děrných štítků a zavedla pojmy jako podmíněný a nepodmíněný skok, tedy někdy do přelomu poloviny 19. století. Nicméně ještě ve dvacátých letech 20. století byly počítači (computers, někdy téže computors) úředníci, kteří většinou pod vedením fyziků prováděli výpočty. Mnoho tisíc počítačů bylo zaměstnáno v obchodu, státních institucích a výzkumných zařízeních. Většina z těchto počítačů byly ženy. Prováděly výpočty například pro astronomické kalendáře. Po roce 1920 je již výrazu výpočetní stroj používáno pro stroj, který provádí práce lidského počítače, a ještě později zejména pro ty, které fungují v souladu s metodami z Church-Turingovy teze.
Když si uvědomíme, že vývoj k dnešnímu stavu, kdy máme přístupný veškerý obsah internetu ze zařízení velikosti krabičky od cigaret na téměř jakémkoli obydleném místě na světě, kdy drtivá většina objemu všech celosvětových finančních transakcí probíhá elektronickou cestou, netrval ani sto let, musíme dát za pravdu citátu jednoho slavného fyzika:„Computer science is not as old as physics; it lags by a couple of hundred years. However, this does not mean that there is significantly less on the computer scientist's plate than on the physicist's: younger it may be, but it has had a far more intense upbringing!“ tedy „Informatika není tak stará jako fyzika, pár set let za ní zaostává. To však neznamená, že si informatici naložili menší sousto než fyzici: informatika může být mladší, ale její vývoj byl mnohem intenzivnější.
Z těchto charakteristik počítačové vědy je mimo jiné zřejmé, že computer forensics vychází z významového smyslu anglického computer science a nikoli ze smyslu českého překladu, často ztotožňovaného s obecnou informatikou. Využívá poznatky a teoretická východiska počítačové vědy v kombinaci s výbornou znalostí oblastí její aplikace a zároveň užívá postupy vědy forenzní. Další forenzní vědou, odlišnou od computer forensics, související spíše s informační vědou, případně dalšími obory obecné informatiky (například informačním managementem), než s počítačovou vědou je pak information forensics.
Forenzní věda
Forenzní vědy (anglicky forensic science, často zkracováno na forensics) jsou aplikací širokého spektra vědních oborů ke zodpovídání otázek, jež jsou v zájmu právního systému. A to jak ve vztahu k právu trestnímu, tak i občanskému, či k jiným odvětvím práva. Při oproštění se od původního významu, souvisejícího s právním systémem, je možné forenzní vědy chápat obecně jako vědy, které se za pomoci přijatých teoretických či vědeckých metodik a norem snaží určit, zda fakta týkající se událostí nebo předmětů, jsou v širší představě o ověření pravosti tím, za co jsou ve skutečnosti označovány, nebo se jen snaží tak vypadat.16 Forenzní věda:
· je aplikací věd ve věcech právních (velmi často trestních, ale také občansko právních a dalších),
· podává nestranné, spolehlivé a definitivní informace,
· pomáhá identifikovat osoby, věci a látky,
· podává důkaz o vzájemném kontaktu osob či věcí,
· kvantifikuje, odhaluje časovou posloupnost dějů.
Význam slova forenzní pochází z latinského adjektiva forensis – před fórem. V době Římského impéria znamenalo obvinění z trestného činu nutnost prezentace případu před skupinou osob na veřejném fóru. Jak osoba obviněná z trestného činu, tak žalobce, pronesli proslov, založený na jejich pohledu na událost. Jedinec s nejlepšími argumenty a jejich podáním rozhodl výsledek procesu. Jednoduše řečeno osoba s nejlepším forenzní dovedností vyhrála proces. Tento původ slova forenzní je příčinou dvou jeho poněkud odlišných moderních použití:
· jako formy přípustného důkazu,
· jako kategorie veřejné prezentaci.
Nás bude přirozeně zajímat forenzní ve smyslu důkazu přípustného před soudem. Pokud budeme mluvit o forenzně čistém důkazu (například obraz datového nosiče) půjde o kopii získanou takovým způsobem, aby data na ní obsažená byla možno použít jako přípustný důkazní materiál při soudním sporu. Zjednodušeně řečeno, pojmem forenzní obvykle označujeme postupy a vědy související s vyšetřováním a soudním dokazováním skutečností, nejčastěji, a však ne pouze, v trestních záležitostech.
Používání termínu „forensics“ na místo „forenzní věda“ může být považováno za nesprávné stejně jako používání termínu „forensic“ jako synonymum pro „právní“ nebo „vztahující se k soudu“. Tento termín je v současné době tak úzce spjat s vědeckou oblastí, že většina slovníků ztotožnila pojmy forensic a forensics science. Forenzní vědy jsou tedy vědy, které se aplikují při vyšetřování a dokazování trestných činů, při ověřování identity osob, pravosti listin, dokazování skutečnosti, že proběhla jistá komunikace a podobně. Souhrn těchto věd se někdy zkráceně označuje jako forenzika (z anglického forensics).
Historie
Nejstarší zmínka o aplikaci vědy, konkrétně fyziky, pro odhalení podvodu, pochází z legendy „Heuréka“ ze třetího století př. n. l., kde Archimédes ze Syrakus zjistil specifickou hmotnost údajně zlaté koruny ponořením do vody a dokázal, že není zlatá, aniž by ji poškodil.18 Arabský příběh ze sedmého století vypráví o kupci Soleimanovi, který nechal na dlužní úpis otisknout prst dlužníka a ten byl pak jednoduše rozpoznán. Jde tak o první případ daktyloskopie. Čínskou příručku vyšetřovatele napsal roku 1248 Song Ci. Vyšetřovatel případu vraždy srpem nechal přinést všechny srpy ve vesnici a na ten, ze kterého byla nedokonale setřena krev, se slétly mouchy přitahované její vůní. Kniha dále nabízí rady, jak rozlišit mezi utonutím (voda v plicích) a uškrcením (poškození chrupavek v krku) i další postupy zkoumání mrtvého těla vedoucí ke zjištění, zda byla smrt způsobena vraždou, sebevraždou nebo nehodou.19 Mezi průkopníky forenzních věd v Evropě patřil francouzský dvorní lékař a chirurg Ambroise Paré (1510–1590), koncem 18. století vyšlo i několik pojednání o forenzním a policejním lékařství. Mezníkem v dalším vývoji forenzních věd byl objev mikroskopu, daktyloskopie a identifikace osob a stop z místa činu pomocí analýzy DNA.
Dělení forenzních věd
Existuje velká spousta odvětví forenzní vědy. Je jasné, že podskupinu forenzní vědy může tvořit téměř jakákoli věda, jejíž subjekt je spíše konkrétní než abstraktní. Pokud připustíme dělení věd na praktické a teoretické, budou právě ty praktické vědy mít s velkou pravděpodobností svého forenzního potomka. Existuje tak například forenzní psychologie, computer forensic, či forenzní inženýrství, avšak forenzní filozofie, forenzní matematika, či forenzní teoretická fyzika příliš smyslu nedávají. Mezi nejznámější forenzní vědy patří:
· Fyziologické vědy
o Forenzní patologie
o Forenzní stomatologie
o Forenzní antropologie
o Forenzní entomologie
o Forenzní archeologie
· Společenské vědy
o Forenzní psychologie
o Forenzní psychiatrie
· Ostatní obory
o Daktyloskopie
o Forenzní analýzy účetnictví
o Balistika
o Analýzy vzorů krevních skvrn o Identifikace těl
o DNA profilování o Forenzní toxikologie
· Související obory
o Forenzní inženýrství
o Forenzní materiálové inženýrství
o Forenzní inženýrství polymerů
o Rekonstrukce dopravní nehody
· Kybertechnologie ve forenzních vědách
o Information forensics
o Computer forensics
Computer forensics
Computer forensics je tedy syntézou dvou výše zmíněných věd – počítačové vědy a forenzní vědy. Je oborem forenzní vědy, zabývající se zajišťováním přípustných důkazů vyskytujících se v počítačích a na digitálních paměťových médiích. Computer forensics je známá také jako digital forensics. Cílem computer forensics je vysvětlit současný stav digitální stopy (potencionálního důkazu). Digitální stopou může být počítačový systém, paměťové médium (jako je pevný disk nebo CD-ROM), elektronický dokument (např. e-mailové zprávy, SMS zprávy nebo JPEG obrázek) nebo dokonce prostá posloupnost paketů v komunikaci přes počítačovou síť. Většinou jde o objasnění jednoduchých otázek jako například „jaká informace je zde skryta?“ nebo „jaký sled událostí je odpovědný za současnou situaci?“ V oblasti computer forensics existují například odvětví:
· Firewall Forensics
· Database Forensics
· Mobile Device Forensics
· Network forensics
Existuje mnoho důvodů, proč využívat technik computer forensics:
V právních případech jsou techniky computer forensics často používány k analýze počítačových systémů patřících obviněným (v trestních věcech) nebo některé ze stran sporu (v občansko-právních věcech).
· V případě potřeby obnovy dat po selhání hardwaru nebo softwaru.
· Při analýzy počítačových systémů po průniku útočníka, například k určení toho, jakým způsobem útočník získal přístup a jaké napáchal škody.
· Při shromaždování důkazů proti zaměstnancům organizace, kteří odcházejí, případně mají být propuštěni.
· Při získávání informací o tom, jak počítačový systém funguje, pro účely ladění, optimalizace výkonnosti, nebo reverzního inženýrství.
Při provádění forenzního šetření by měla být přijata zvláštní opatření, obzvláště máli být výsledek šetření použit u soudu. Jedním z nejdůležitějších opatření je zajistit, aby důkazy byly shromážděny korektně a dodržovat, aby od okamžiku, kdy je důkaz sebrán, byla každá transakce důkazu mezi osobami zdokumentována, a že je prokazatelné, že nikdo jiný nemohl mít k němu přístup (nejlepší je samozřejmě držet počet transakcí s důkazem na co nejnižší úrovni). Poté stačí jen prokázat, že existuje jasná vazba mezi obviněným a získaným důkazem. Za účelem dosažení souladu s potřebou zachování integrity digitálních důkazů je třeba dodržovat tyto zásady:
· Žádná opatření přijatá orgány činnými v trestním řízení nebo jejich zástupci by neměla změnit údaje uložené na počítači či paměťových médiích, které mohou být následně dovolávány u soudu.
· Ve výjimečných případech, kdy se zjistí, že je nutné přistoupit k původním údajům uloženým v počítači nebo na datových médiích, je příslušná osoba povinna být k tomu oprávněna a musí být schopna vysvětlit význam a důsledky svého jednání. Měly by být vytvořeny a uchovány revizní záznamy nebo jiné záznamy o všech procesech použitých při zkoumání digitálního důkazu. Nezávislá třetí strana, by měla být schopna zkoumat tyto procesy a dosáhnout stejného výsledku.
· Osoba, která má na starost vyšetřování (vyšetřovatel) má celkovou odpovědnost za dodržování těchto zásad.
Terminologie computer forensics
K objasnění základních pojmů z této oblasti či pochopení jejich vzájemných vztahů a hlavně porozumění dalšímu textu je třeba si vymezit některé z nich a ukázat mezi nimi rozdíly i shody. Vzhledem k tomu, že se jedná o vědu relativně novou, nejsou některé pojmy zcela ustálené a v průběhu času se poněkud mění, případně se mění jejich význam. Už samotný pojem computer forensics (někdy téže digital forensics) bývá významově ztotožňován s některými dalšími pojmy, které však nejsou vždy zcela ekvivalentní. Také elegantní, vystižný a logický český překlad ve zkrácené formě neexistuje. Nabízí se snad jen ona počítačová forenzika, jejímuž používání bych se spíše bránil. Některé další nepřesné překlady jako forenzní analýza nebo též soudní analýza bývají definovány jako druh zkoumání počítačů a počítačových systémů patřících do skupiny forenzních věd, což jsou vědy používané k řešení právních otázek. Právní moc se snaží zjistit pravdu v soudní při, forenzní zkoumání se snaží odhalit také pravdu, ale poněkud odlišnými metodami.
někud odlišnými metodami. Forenzní počítačová analýza má za cíl zajišťovat a získávat počítačová data pro účely případných soudních sporů. Informace takto získané mohou být:
· důkazem spáchání trestného činu
· mohou potvrzovat nebo vyvracet porušení interních předpisů
Hlavním principem forenzní počítačové expertizy je průkaznost a opakovatelnost důkazů, tedy veškeré činnosti znalce musí směřovat k plně dokumentovaným postupům za účelem přezkoumání činností.
· Vyhodnocování a zpřístupňování dokumentace datového obsahu osobních počítačů, notebooků primárně s OS MS Windows, méně pak Linux nebo Mac OS.
· Dokumentace datového obsahu mobilních telefonů, komunikátorů, karet SIM a paměťových karet.
· Forenzní bezpečnostní audit se zaměřením na nalezení mechanizmu provedení a dokumentaci formy bezpečnostního incidentu.
Forenzní analýza bývá občas chápána jako jediná náplň soudního znalectví v oboru počítačů, nicméně většina zdrojů se významově přiklání spíše k tomu, že jde pouze o tu část celého forenzního procesu, která zkoumá data získaná sběrem v terénu, a tedy nezahrnuje vlastní získávání dat pro analýzu. Forenzní analýzou tedy dále rozumíme forenzní analýzu digitálních důkazů. Nejpřesněji vystihujícím, avšak neprakticky dlouhým překladem, je pravděpodobně soudní znalectví v oboru počítačů. V angličtině se zase krom výrazů computer forensics a digital forensics setkáváme třeba s forensics IT jako ekvivalentním pojmem, od jehož používání se již ale spíše upouští, případně také pojmem forensic analysis, který bývá chápán spíše jako podmnožina computer/digital forensics.
Vymezení dalších pojmů
Digitální stopa a digitální důkaz jsou dalším příkladem pojmů, které jsou chápány jinak v odborné literatuře české a anglické. V zahraniční, ale i v české literatuře existuje několik definic vymezujících již běžně vžitý termín digitální důkaz (digital evidence). V češtině se ještě setkáváme s pojmem digitální stopa, který může být chápán poněkud odlišně. Slovo „evidence“ má však v angličtině primární význam „důkaz“. České slovo „stopa“ v souvislosti s moderními technologiemi v zahraniční literatuře nenalezneme (můžeme se setkat s významem potential digital evidence, který má smysl blízký českému pojmu „stopa“). Příčina je jednoduchá a vychází z praxe – zahraniční teorie i praxe jsou silně orientovány na výsledek trestního procesu, tj. stopa musí být soudem akceptovatelná, a proto ve vnímání a následném používání termínů dochází k automatickému ztotožňování pojmů stopa a důkaz (angl. evidence).
Digitální stopa je jakákoliv informace s výpovědní hodnotou uložená nebo přenášená v digitální podobě.
Tato definice je otevřená jakékoliv digitální technologii. Tímto způsobem definovaná digitální stopa pokrývá jak oblast počítačů a počítačové komunikace, tak i oblast digitálních přenosů (mobilní telefony, ale do budoucna i digitální TV apod.), videa, audia, digitální fotografie, data kamerových systémů, data elektronických zabezpečovacích systémů a jakýchkoliv dalších technologií potenciálně spojených s hi-tech kriminalitou. V původním návrhu se hovořilo o binární podobě uložené nebo přenášené informace. Slovo binární bylo následně změněno na digitální, protože tento pojem je obecnější (binární forma je podmnožinou obecnější digitální formy). Na rozdíl od jiných definic je definice obecná i v tom smyslu, že digitální stopu nespojuje nutně s trestným činem, což je, jak uvidíme dále, velmi důležité. Digitální stopa musí být využitelná nejenom pro silové resorty, kriminalistiku, ale i pro obecné forenzní šetření prováděné jak státními orgány (občanskoprávní spory, obchodní zákony apod.), tak i na komerční bázi, pro potřeby nezávislých interních či externích auditů apod.
Vyšetřovatel je každý, kdo vyšetřuje případy, ve kterých je potřebné pracovat s digitálními důkazy, nezávisle na tom, zda vyšetřování probíhá v rámci trestního řízení nebo na základě jiných (např. vnitrofiremních) podnětů.
Znalec bude výraz pro všechny odborníky, kteří se zkoumáním digitálních důkazů zabývají nezávisle na tom, zda jsou oficiálně zapsáni v seznamu znalců ministerstva spravedlnosti, zda to jsou policejní experti a nebo jiní odborníci, kteří tuto činnost vykonávají pouze „ad-hoc“ nebo v rámci své pracovní náplně nebo se s ní setkávají pouze příležitostně.
Forenzní laboratoř je pak specializované pracoviště pro provádění znaleckého zkoumání digitálních důkazů
Motivace vzniku a historie
Motivací pro vznik tohoto odvětví forenzních věd je již zmíněné masové rozšíření informačních technologií, jejich snadná dostupnost a použitelnost, a tím zneužívání k trestné činnosti i páchání přestupků vůči právu. Bezprostřední motivací však byl narůstající počet incidentů, jimž se nedaří předcházet, ale je nutné je dodatečně odhalovat, objasňovat a cíleně postihovat.
Incidenty a reakce na ně
Incident je jakákoli událost, jež mění plánovaný chod, funkci nebo význam systému. Každý takový průnik, ale automaticky nemusí znamenat narušení chodu systému. Metodologie reakce na incident bývá popisována následujícími kroky:
· Příprava na incident
· Detekce incidentu
· Počáteční reakce
· Formulace strategie reakce na incidenty
· Forenzní duplikace kritických dat
· Pátrání
· Implementace bezpečnostních opatření
· Monitorování sítě
· Obnova
· Protokolování
· Poučení
Jedná se o obecně platné principy, jejichž zcela striktní dodržování nemusí být vždy možné, například z důvodů finančních omezení.
Příprava na incident a detekce bývají velmi složité. Detekovat incident se většinou povede až po relativně dlouhém časovém úseku, protože útočník se snaží nechávat minimum stop za svým počínáním v systému, a ten tak nemusí jevit žádné vnější rozpoznatelné známky změněné funkčnosti. Usnadněním detekce může být příprava na incident. Toto počínání vede ke zvýšení pravděpodobnosti odhalení incidentu, kterému však nebylo možné předcházet. Jedná se v podstatě o kontrolní mechanismy funkčnosti systému. Každý, kdo je zodpovědný za bezpečnost systému, by měl počítat s tím, že ani při nejlepší snaze nedokáže všem potenciálním problémům preventivně zabránit a k incidentu přece jen dojde. Proto je potřeba věnovat čas nejen vlastnímu zabezpečení, ale také přípravě na případný incident. Takovým opatřením je vytvoření kontrolních součtů všech souborů pro budoucí přezkoumávání, dále je vhodné logovat co nejvíce událostí systému. Samozřejmostí je použití firewallů, application gateway opět včetně logování apod. Toto je však spíše úkolem tvorby bezpečnostní politiky organizace a nad rámec této práce.
Počáteční reakce na incident se odvíjí od jeho typu. Je možné jej ignorovat, zabránit jeho pokračování, či vyčkávat a získávat cenná data o útočníkovi vedoucí k jeho dopadení. Důvody zvoleného postupu se mohou různit případ od případu, nemusí být vždy cílem dostat útočníka před soud a potrestat ho. Organizace může například chránit své dobré jméno a bude se snažit, aby informace o incidentu nebyly zveřejněny.
Formulace strategie reakce na incidenty zahrnuje způsob chování následující po odhalení incidentu, vedoucí k nápravě škod při zachování maximálního objemu potencionálních důkazních materiálů. Jde tedy o rozhodnutí, zda systém odpojit od sítě, či nechat připojený, které služby nechat přístupné a které nikoli apod. Je potřeba zvážit dopad na uživatele a zároveň zohlednit vyšetření incidentu.
Forenzní duplikace kritických dat je již součástí forenzního procesu. V tomto kroku je velmi důležité se rozhodnout, zda bude pořízena forenzní kopie důkazních datových médií (typicky pevný disk), nebo budou důkazy zkoumány přímo. Bývá doporučováno provádět zkoumání na kopiích, avšak v praxi se ukazuje, že velmi často je vhodnější získat důkazy přímo. Než bude vytvářena forenzní kopie měla by být zkoumána a zohledněna dočasná data Zkoumaný systém by mělo zůstat po zaznamenání incidentu zapnutý. Vypnutím, či restartováním systému o tato data a o případné potencionální důkazy nenávratně přicházíme. Jde ovšem o práci na živém systému kdy je možné v pozici vyšetřovatele či experta potencionální důkazy velmi snadno znehodnotit a je tedy třeba velké obezřetnosti.
Pátrání je v podstatě analýzou získaných dat v prostředí forenzní laboratoře a druhou částí forenzního procesu.
Implementace bezpečnostních opatření jako úprava bezpečnostní politiky a její zavedení do praxe, monitorování sítě jako předcházení dalším, potencionálním incidentům, obnova systému do původního stavu, protokolování jako součást dokumentování sledu události po vzniku incidentu (nikoli jen tvorba reportu forenzního procesu) a poučení se ze situace pro příště již nesouvisí příliš úzce s oblastí computer forensics.
Nejen incidenty
Postupem času však přestala být oblast computer forensics jen něčím co reagovalo na rostoucí počet bezpečnostních incidentů. V dnešní době je využíváno služeb expertů z této oblasti pro získávání důkazů ve všech myslitelných případech. Nejde už pouze o soudní spory, ale i případy auditování v rámci organizace, či šetření probíhajících v rámci správních řízení.
Computer forensics vs. physical forensics
Existuje mnoho základních rozdílů mezi computer a ostatními "physical forensics" odvětvími forenzní vědy.30 Na nejvyšší úrovni jsou fyzické forenzní vědy zaměřené na identifikaci a individualizaci. Oba tyto procesy porovnávají předmět z místa činu s jinými látkami kvůli identifikaci třídy předmětu (tj. je červená tekutina ovocné šťáva nebo krev?) nebo zdroje předmětu (pochází tato krev od osoby X?). Na straně druhé computer forensics se zaměřuje na hledání důkazů a jejich analýzu. Proto jde spíše o vyšetřování než o forenzní proces.31 Někteří autoři dávají přednost výrazu digitální forenzní vyšetřování (digital forensic investigation) před digital forensics právě proto, že práce, která je spojena s digital forensics je mnohem více podobná práci vyšetřovatele na místě činu než práci forenzního znalce z jiné oblasti forezních věd a jejich aplikací.
Computer fornesics vs. information forensics
Information Forensics je věda, zabývající se šetřením systémových procesů, které produkují informace. Systémové procesy primárně využívají počítače a komunikační technologie k zachycení, zacházení, ukládání a přenosu dat. Manuální procesy doplňují systémy technologické na všech úrovních systémových procesů od správy komunikace až k zálohování informačních reportů. Technologické i manuální systémy, které jsou buď cíleně chráněny duševním vlastnictvím či vyvinuty zcela nezamyšleně, tvoří firemní informační systém. Komplexní firemní informační systémy jsou často náchylné k podvodům, zneužití, omylům a napadání.
Information forensic se zabývá povahou vzniku, fungování a vývojem IS podniku. Výzkum se především zaměřuje na kauzální faktory a procesy, které řídí životní cyklus implementace takovýchto systémů. Forenzní vyšetřování bývá zahájeno, když je systém podezřelý nebo oslabený. Obecně začíná vyšetřování tehdy, když systém či jeho součást selže. Vyšetřování se obvykle soustřeďuje na specificky problematické oblasti nebo komponenty systému. Spletitosti systému, náklady a zdroje, které jsou k dispozici, často znemožňují podrobné šetření celého IS. Přesto uskutečnění vědeckého posouzení faktů, když se objeví problém, není jen rozumné, ale přímo nezbytné pro soud.
Je tedy patrné, že se jedná spíše o forenzní zkoumaní toku informací, postupů jejich zpracování a zkoumání procesů probíhajících v organizacích. Spíše než využívání teoretických základů počítačové vědy a prostředků, které vzešly z její aplikace, jde o zhodnocování poznatků informační vědy, obecné informatiky a také informačního managementu. Je zde kladen menší důraz na znalost a používaní pokročilých technologií, větší na zkoumání procesů a znalosti managementu. Je tu také jistá podobnost a provázanost s auditorskou prací.
Forenzní proces
Forenzní proces je posloupnost úkonů, na jejichž vstupu je vytipovaný šetřený a na jeho konci důkazní materiál, který jej pomůže usvědčit u soudu. Forenzní proces je možné v první fázi dělit na práci v terénu a práci se získanými daty ve forenzní laboratoři. Jde a použití metod a postupů popsaných v následující kapitole (viz. 5) při šetření na místě i pozdější laboratorní analýze.
Práce v terénu
Práce v terénu je, něčím co práci experta v oblasti computer forensics odlišuje od práce mnohých ostatních, výhradně laboratorně zaměřených expertů z jiných oblastí (viz. 3.4). Jde o vyšetřování na místě, ze kterého byl veden nějaký útok a také na místě, na něž bylo útočeno v rámci incidentu, ve firemních i soukromých prostorách šetřených subjektů. Veškeré tyto postupy musí vždy probíhat v souladu s platnými právními předpisy. Vystává tak například problém, zda se bude řídit šetření právními předpisy země, kde je sídlo šetřené organizace, nebo předpisy země, ve které je fyzicky umístěno datové úložiště s šetřenými daty apod. Zkoumání těchto souvislostí je však opět nad rámec rozsahu diplomové práce.
Shromažďování digitálních důkazů
Digitální důkazy lze shromažďovat z mnoha zdrojů. Mezi nejběžnější zdroje patří počítače, mobilní telefony, digitální fotoaparáty, pevné disky, CD-ROM, USB paměťové zařízení, atd. Mezi méně běžné zdroje může patřit nastavení všemožných embedded systémů (drtivá většina spotřební elektroniky od herních konzolí, přes multimediální přehrávače po kuchyňské spotřebiče dnes obsahuje nějaký jednoúčelový systém), černá skříňka automobilů, RFID identifikátor (nálepky sloužící k identifikaci zboží v obchodech) nebo webové stránky.
Manipulaci s digitálními důkazy v počítačích je třeba věnovat zvláštní péči. Tak jak je na jednu stranu velmi jednoduché změnit většinu digitálních informací, tak může být velmi složité zjistit, že ke změně došlo, nebo vrátit data do původního stavu. Z tohoto důvodu je běžnou praxí co nejčastější a nejdůkladnější tvorba kryptografických hashí a kontrolních součtu důkazních souborů a jejich uchovávání mimo šetřené médium (například v notebooku vyšetřovatele). Takže je pak kdykoli v budoucnu možné prokázat, že nedošlo k žádným změnám důkazů. Jedná se o jeden ze základních principů práce vyšetřovatelů a forenzních expertů. Další velmi užitečné metody a praktiky uplatňující se ve forenzním procesu.
Live vs. dead analýza
V počátcích computer science bývala šetření prováděna výhradně na datech v klidu – typicky obsah pevného disku PC. To lze pokládat za mrtvou analýzu (dead nalysis – analýzu mrtvého systému). Vyšetřovatelé v minulosti vypínali systémy z obavy, že by mohly obsahovat digitální time-bomby, které mohou způsobit vymazání dat po určitém čase. Analýza takového vypnutého zabaveného systémů v klidu laboratoře navíc v méně složitých případech přinese maximální výsledek, co se týče objemu získaných informací.
V posledních letech se stále více klade důraz na analýzu živých systémů (live anlysis). Jedním z důvodů je, že mnoho současných útoků na počítačové systémy nenechá žádné stopy na pevném disku počítače – útočník pouze získává informace z paměti počítače. Dalším důvodem je rostoucí využívání ke skladování kryptografických klíčů. Může se stát, že jediná kopie klíčů k dešifrování uložených dat je uchována v paměti počítače. Vypnutí počítače v takovém případě způsobí, že informace budou ztraceny. Také dead analýza (občas bývá používán výraz off-line analýza) clusteru s několika desítkami jader a připojeným diskovým polem nepřipadá většinou v úvahu. Na druhou stranu je to již vcelku běžné vybavení středně velké organizace, se kterým je možné se velmi často setkávat. Live analýzu od dead analýzy odlišuje hlavně přítomnost nestálých dat a snaha o jejich získání.
Sběr nestálých dat
Mezi tato data patří hlavně obsah vyrovnávacích pamětí, obsah operační paměti a odkládacího souboru (zde je možné dostat s ve speciálních případech k datům i po vypnutí systému , výpis spuštěných procesů, či informace o aktivních síťových připojeních. Při analýze „živého“ systému je potřeba jej co nejméně modifikovat. Je tedy vhodné používat nástroje, které podávají informace, ale modifikují minimum dat.
Tvorba obrazů digitálních médií
Pokud to podmínky dovolují je možné, a pro pozdější analýzu v laboratoři dokonce nezbytné vytvořit forenzně čistý obraz dat uložených na digitálním médiu. Možnost tohoto úkonu souvisí jednak s objemem času, který má expert k dispozici – tvorba obrazu o velikosti desítek či stovek GB je časově poměrně náročná, ale také s tím, zda je za použití dostupných HW a SW prostředků vůbec možné takovou kopii vytvořit. V situaci kdy jsou tato data uložena například na redundantním diskovém poli SAN připojeném přes fiber channel rozhraní jde o úkol daleko náročnější (časově i použitými finančními prostředky) než pokud vytváříme obraz pevného disku obyčejného PC. Tento postup je používán proto, aby docházelo k co možná nejmenším změnám (v ideálním případě při použití write blockeru žádným) a tím případnému znehodnocení původního systému.
Dalšími důvody je fakt, že v laboratorních podmínkách mohou být dlouhodobějším zkoumáním objevena data, která by bylo možno na místě v časovém presu či při vyhrocenějších situacích přehlednout. Praktické zkušenosti zde ale ukazují, že velká část důkazů je nalezena přímo na místě a obrovské objemy dat předané do laboratoře jsou spíše kontraproduktivní. Dlouhý čas strávený jejich další analýzou nepřináší často kýžený výsledek a také mohou způsobovat další komplikace a zdržení, protože se může jednat osobní údaje šetřených, nesouvisející s případem, připadne legal privilege (jakýsi závazek mlčenlivosti neumožňující nahlížet do komunikace šetřeného s jeho právníkem; v poslední době existuje dokonce tlak na to, aby se tato zásada aplikovala i na komunikaci s firemním právníkem35).
K takovýmto datům by neměl mít nikdo přístup a musí byt odfiltrována. K forenzní duplikaci digitálních médií se používá celá řada komerčních i nekomerčních softwarových i hardwarových nástrojů. Mezi nejvýznamnější patří produkty firmy Logicube36. Jedná se o propracované kity obsahující veškeré potřebné nástroje pro práci v terénu. Včetně systému pro kopírování pevných disků a vlastně jakýchkoli myslitelných datových nosičů, připojitelných přes všechna myslitelná rozhraní. Tato zařízení dovolují i takové věci jako vytvořit tištěné zprávy o zkopírovaných datech a to včetně souřadnic z GPS. Další význačným výrobcem systémů pro forenzní analýzu a kopírování dat je Acme Portable Machines37. Tato firma produkuje výkonné, ale přesto přenosné pracovní stanice. Veškerá hardwarová i softwarová zařízení musí používat postupů a technologií, které prokazatelně nemodifikují vytvořený obraz proti originálu. Jedná se tedy vždy o přesnou bitovou kopii.
Práce v laboratoři
Práce ve forenzní laboratoři zahrnuje převážně zkoumání digitální důkazů shromážděných v terénu. Jde o práci dosti časově náročnou a zdlouhavou. Ani za použití moderních nástrojů a výkonných serverů není možné analyzovat stovky GB dat v řádu minut či jednotek hodin. Tato část procesu je velmi závislá na tom, jak relevantní data byla sebrána.
Analýza
Všechny digitální důkaz bývají analyzovány za účelem určení typu informací, které jsou na nich uloženy. Pro tento účel se používají speciální nástroje, které mohou zobrazovat informace ve formátu užitečné a čitelném pro vyšetřovatele a ne jen pro něj. Mezi nejznámější z nich patří
· AccessData FTK
·Guidance Software EnCase
· Brian Carrier's Sleuth Kit
První dva jsou heavy-weight aplikace s vysokými pořizovacími náklady zahrnujícími výkonný hardware. Třetí pak open source projekt, který je k dispozici zdarma. Výhoda drahých robustních aplikací je ta, že jsou relativně uživatelsky přívětivé a jejich obsluhu dokáže do jisté úrovně zvládnout i laik, který nepracuje primárně v oboru IT. Může jím být například case handler, či jiný právník řešící případ, nebo dokonce v jednom čase i jejich skupina. Pro práci se získanými a obnovenými daty pak není potřeba přílišné účasti technicky vzdělané obsluhy. Heavy-weight aplikace v sobě zakomponovávají i nástroje které jsou dostupné v rámci operačního systému a vytváří jednotné a přehledné rozhraní pro analýzu. Ve některých případech bývají k analýze specifických typů dat využívány i četné další nástroje. Typické forenzní analýza zahrnuje manuální přezkoumání materiálu dat na médiu, přezkoumání registru systému Windows, hledání a prolomení hesel, hledání klíčových slov souvisejících s případem, a exrahovaní e-mailů z datových souborů.
Tvorba reportu
Jakmile je analýza kompletní vyhotovuje se zpráva. Tato zpráva může být formou písemného dokumentu, či ústního svědectví, nebo kombinací obou.
Metody a postupy
Následující kapitola se bude zabývat postupy a nástroji, které výrazně usnadňují forenzní šetření na místě i analýzu sebraných dat. Rozdělení je zvoleno podle typu šetřených systémů. Jsou zde osvětleny principy fungování konkrétního systému s přihlédnutím k tématu a ukázáno kde a jakým způsobem bývají ukládána potencionálně zajímavá data. Mnoho mocných nástrojů je k dispozici přímo v konkrétních operačních systémech, avšak uživatelsky příjemnější a přehlednější bývá využití některých dalších, ať komerčních, či nekomerčních nástrojů. Největší prostor je věnován analýze systémům s OS Microsoft Windows. Stejně tak příklady analýzy sítí a komunikačních prostředků jsou zaměřeny na tyto operační systémy. Praxe ukazuje, že tyto systémy mají mezi šetřenými majoritní podíl a reflektují tak rozdělení trhu. Profesionální kyberzločinec sice zvolí sofistikovanější řešení, nicméně těchto případů není mnoho. Metody a postupy zde popsané tak najdou uplatnění daleko častěji.
Analýza Windowsových systémů
Tato část se bude zabývat forenzní analýzou systémů Windows. V dnešní době již v podstatě nemá cenu zabývat se systémy, které nejsou postaveny na technologii NT – tedy starší verze jako Windows 95, Windows 98 a Windows Millenium Edition. Ve většině případů se používají právě NT systémy jako desktopové Windows XP, Windows Vista či nové Windows Seven a serverové Windows 2000 Server, Windows 2003 Server a Windows 2008 Server. Většina postupů a nástrojů důležitých pro forenzní analýzu je shodná a použitelná pro všechny verze tohoto operačního systému.
Mezi tři základní pilíře kvalitní forenzní analýzy systému Windows patří:
· chápání principů souborových systému (hlavně NTFS),
· pochopení Windows artefaktů (většinou metasoubory vytvářené operačním systémem), včetně toho, jak je najít a interpretovat jejich vlastnosti,
· využití zdokumentovaného dostupného SW i HW vybavení.
Windows NT a vyšší (verze postavené na „New technology“) jsou značně odlišné od předchozích verzí operačních systémů společnosti Microsoft. Jednou z nejdůležitějších změn byl přechod z FAT na souborový systém NTFS.
FAT – File Allocation Table je názvem souborového systému a zároveň tabulkou alokace souborů, která popisuje přiřazení každého clusteru v oddílu (1 záznam odpovídá 1 clusteru). Obvykle existují 2 kopie (obě jsou uloženy bezprostředně za sebou) – ta druhá je použita v momentě, kdy se první stane nečitelnou. Přiřazení clusteru může nabývat různých specifických hodnot jako např. volný (0x0000), vadný (0xFFFE), cluster indikující konec souboru (0xFFFF) nebo obsahuje číslo následujícího clusteru souboru.
Jedná se sice o starší souborový systém, avšak pro svoji jednoduchost je stále velmi často používaný. Podporují jej OS MS-DOS, FreeDOS, OS/2, Linux, FreeBSD a BeOS.
Kvůli jednoduchosti a rozšíření je velmi často používán na výměnných médiích jako je disketa (zde se používá verze FAT12) nebo IOMEGA ZIP disk. Nejdůležitější však je, že se používá pro USB flash disky. K ukládání dat na optická média jako CD a DVD se však nepoužívá – zde je použit CDFS.
NTFS používá na rozdíl od FAT mnoho metadat. Pro NTFS je vše soubor, jak soubor tak složka. NTFS byl navržen jako nativní souborový systém pro Windows NT a (zejména oproti zastaralému souborovému sytému FAT) obsahuje spoustu novinek:
· Žurnálování – všechny zápisy na disk se zároveň zaznamenávají do speciálního souboru, tzv. žurnálu. Pokud uprostřed zápisu systém havaruje, je následně možné podle záznamů všechny rozpracované operace dokončit nebo anulovat a tím systém souborů opět uvést do konzistentního stavu.
· Access control list – podpora pro přidělování práv k souborům.
· Kompresi na úrovni souborového systému.
· Šifrování (EFS – Encrypting File System) umožňuje chránit data uživatele na úrovni souborového systému a je transparentní.
· Diskové kvóty umožňují nastavit pro konkrétního uživatele maximálně využitelné místo na diskovém oddíle. Do diskové kvóty se nezapočítávají komprimované soubory, ale jejich reálná velikost.
· Dlouhá jména souborů (ve FAT původně nebyla a ve Windows 95 je bylo třeba doplňovat značně komplikovaným způsobem).
· Pevné a symbolické linky – odkazy na soubory na úrovni filesystémů, známé z operačních systému UNIX. Windows pro editaci tohoto typu odkazů nemají standardní uživatelské rozhraní, ale umí je interpretovat a také
(Distribuovaný systém souborů na Windows server 2003 apod.). NTFS je flexibilní – všechny jeho soubory (včetně speciálních, s výjimkou boot sektoru) se dají přesunout. K indexování souborů se zde používá B+ stromů. FAT používá 8bit ASCII/ANSI. Naproti tomu NTFS používá Unicode kódování. Pro soubor pojmenovaný Document.doc pak vypadá
ASCII reprezentace:
44 6F 63 75 6D 65 6E 74 2E 64 6F 63
Unicode reprezentace:
0044 006F 0063 0075 006D 0065 006E 0074 002E 0064 006F 0063
Vzhledem k tomu, že systémy Intel jsou little endian, byty každého Unicode znaku se zobrazí při prohlížení v hexadecimálním editoru reverzně. Tak se bude 006B zobrazovat jako 6B00 v hexadecimální zobrazení. Naštěstí Windows NT má mnoho vlastností zděděných z předchozích verzí Windows. Je stále možné obnovovat smazaná data, která nebyla přepsána, odkládací soubor i volné místo stále obsahují užitečná data a registry a koš jsou stále bohatými zdroji informací. Navíc Windows NT a novější udržují mnohem více informací o systému a uživatelských akcích než předchozí verze Windows (logy apod.).
Časová razítka – MAC times
Windows zaznamenávají časová razítka (time stamps), tedy datum a čas vytvoření souboru (Created), poslední modifikace (Modified) a také datum a čas, kdy byl soubor naposledy zpřístupněn (Accessed). U data a času vytvoření je třeba mít na paměti, že jde o datum a čas vytvoření na aktuálním svazku. Při přesunu v rámci svazku se nemění, avšak při přesunu mezi svazky ano. Datum a čas posledního zpřístupnění souboru jsou pak měněny v závislosti na aplikaci. Některé aplikace změnu provádí, některé ne. Pro výpis MAC časů slouží v systémech Windows příkaz dir s přepínači Vytvoření (Created)
dir /tc
Poslední modifikace (Modified)
dir /tw
Posední zpřístupnění (Accessed)
dir /ta
Prošetření MAC časů souborů může poskytnout dobrou představu o historii souborů na počítači a o rozsahu povědomí uživatele o souborech, jejich existenci a obsahu. Využití nástrojů pro seřazení těchto časových razítek může být velmi užitečné pro vytváření časových os, čímž je možné získat mnohem lepší náhled na aktivity uživatele v systému. Tato data mohou být mnohem smysluplnější v kombinaci s informací o době smazání souboru.
F:\Case>dir /tc
Svazek v jednotce F je hda0.
Sériové číslo svazku je 8020-F610.
Výpis adresáře F:\Case
02.05.2009 23:20 .
02.05.2009 23:20 ..
02.05.2009 23:22 1 287 712 Animation.gif
02.05.2009 23:23 794 624 Audio.mp3
02.05.2009 23:23 33 792 Document.doc
02.05.2009 23:22 134 675 Index.htm
02.05.2009 23:22 592 709 Picture.jpg
02.05.2009 23:25 1 445 068 Video.avi
02.05.2009 23:22 189 247 Video.swf
7 souborů, 4 477 827 bajtů
Adresářů: 2, Volných bajtů: 36 544 294 912
F:\Case>dir /ta
Svazek v jednotce F je hda0.
Sériové číslo svazku je 8020-F610.
Výpis adresáře F:\Case
02.05.2009 23:26 .
02.05.2009 23:26 ..
02.05.2009 23:22 1 287 712 Animation.gif
02.05.2009 23:23 794 624 Audio.mp3
02.05.2009 23:23 33 792 Document.doc
02.05.2009 23:22 134 675 Index.htm
02.05.2009 23:22 592 709 Picture.jpg
02.05.2009 23:25 1 445 068 Video.avi
02.05.2009 23:22 189 247 Video.swf
7 souborů, 4 477 827 bajtů
Adresářů: 2, Volných bajtů: 36 544 294 912
F:\Case>dir /tw
Svazek v jednotce F je hda0.
Sériové číslo svazku je 8020-F610.
Výpis adresáře F:\Case
02.05.2009 23:25 .
02.05.2009 23:25 ..
02.05.2009 11:29 1 287 712 Animation.gif
15.12.2008 01:33 794 624 Audio.mp3
30.04.2009 00:46 33 792 Document.doc
02.05.2009 22:57 134 675 Index.htm
02.05.2009 12:33 592 709 Picture.jpg
02.05.2009 23:25 1 445 068 Video.avi
02.05.2009 10:51 189 247 Video.swf
7 souborů, 4 477 827 bajtů
Adresářů: 2, Volných bajtů: 36 544 294 912
Možnosti obnovení smazaných souborů
K pochopení toho, jak mohou být na NTFS smazané soubory obnoveny, je nutné porozumět několik aspektů NTFS. NTFS používá 64bitové adresy clusterů, takže diskový oddíl může být větší než u FAT (která ve své poslední verzi používala efektivně 28bitové adresování) a to konkrétně až 16 EB. Celý systém je řešen jako obří databáze, jejíž jeden záznam odpovídá souboru. Základ tvoří 12 systémových souborů, tzv. metadat, které vznikají bezprostředně po naformátování svazku.
Tabulka 1 – NTFS metadata
Číslo záznamu | Jméno | Popis
|
1 | $MFT | (Master File Table) – tabulka obsahující záznamy o všech souborech, adresářích a metadatech (jelikož $MFT je soubor, je i informace o něm v této tabulce); Nachází se hned za boot sektorem; jelikož se jedná o soubor, lze jej teoreticky fragmentovat (prakticky je tomu zamezeno), avšak aby se tomu předešlo, systém kolem něj udržuje zónu volného místa |
2 | $MFTMIRR | soubor, zajišťující bezpečnost dat; nachází se uprostřed disku, obsahuje prvních 16 záznamů $MFT; pokud je $MFT z nějakédo důvodu poškozená, použije se tato kopie |
3 | $LOGFILE | žurnálování – File system transactions |
4 | $VOLUME | obsahuje informace o svazku, tj. identifikátor svazku, název svazku, verze souborového systému apod. |
5 | $ATTRDEF | tabulka MFT atributů která asociuje numerické atributy se jmény kořenový adresář disku |
6 | $BITMAP | jednorozměrné pole bitů, které slouží ke sledování volného místa, když je bit 0, je volný a v opačném případě použitý |
7 | $BOOT | je vždy v prvním clusteru svazku a obsahuje bootloader (NTLDR či BOOTMGR) |
8 | $BADCLUS | drží seznam známých vadných clusterů, které znovu nebudou použity; pokud nastane chyba při čtení dat, systém označí clustery za špatné a $Badclus se aktualizuje |
9 | $SECURE | obsahuje Access control list |
10 | $UPCASE | obsahuje tabulku Unicode znaků zajišťující case sensitivity |
11 | $EXTEND | rozšíření souborového systému – kvóty apod. |
$MFT jeden ze souborů, které jsou vytvořeny při formátování NTFS svazku, obsahuje MFT záznam pro každý soubor na svazku a jejich rezidentní a nerezidentní atributy. $BITMAP, další ze souborů, které jsou vytvořeny při formátování NTFS svazku, eviduje využití clusterů v NTFS. Využívá jeden bit k zaznamenávání stavu každého clusteru na svazku. Pokud je cluster na NTFS svazku používán, je odpovídající bit v souboru $BITMAP změněn na 1. Když je cluster k dispozici, odpovídající bit je změněn na 0. Pro alokování souboru na svazku musí být tedy splněno následující:
· $BITMAP soubor je upraven tak, aby zohlednil skutečnost, že používané clustery jsou alokovány,
· je vytvořen alokovaný MFT záznam pro soubor,
· je vytvořen záznam indexu pro název souboru v mateřské složce MFT záznamu,
· cluster rozsahu je vytvořen v souboru MFT záznamu pokud je nerezidentní.
Když je soubor smazán, jsou záznamy o clusterech, které využíval v souboru $BITMAP změněny na nulu. MFT záznam pro tento soubor je označen pro smazání a jeho index je smazán. Pokud je záznam zrušen, záznamy níže jsou přesunuty nahoru, čímž se zruší původní záznam. Jediný případ, kdy záznam zůstane viditelný po smazání, nastane tehdy, když jde o poslední položku v seznamu. V takovém případě je soubor smazán, ale data jsou stále na disku a jeho MFT záznam stále existuje. Pokud lze nalézt MFT záznam, je možné obnovit rezidentní atributy souborů včetně jména a časových razítek. Za předpokladu, že nejsou přepsány, je možno obnovit i nerezidentní atributy.
Při vytváření MFT záznamu NTFS přepisuje smazané MFT záznamy před tím než vytvoří nové. Proto s prodlužováním času uplynulého od smazání po obnovení výrazně klesá pravděpodobnost plného obnovení (včetně jména souboru a všech metadat) souboru. Nicméně i údaje, týkající se starších (dříve smazaných) souborů, mohou být ještě nalezeny v nepřiděleném místě. MFT záznamy jsou přepisovány daleko rychleji než volné místo (nealokované clustery), tedy nerezidentní atributy mohou zůstat na disku ještě velmi dlouho. Stejně tak jako vlastní obsah souborů. Těchto vlastností souborového systému NTFS lze úspěšně využívat při sběru dat a tyto pak využít znalcem při analýze ve forenzní laboratoři. Takto získaná data mohou dále posloužit jako digitální důkaz.
Koš
Pochopení, jak funguje Koš (Recycle Bin), je pro forenzní znalce kriticky důležité. Typický systém obsahuje velké množství důležitých dat přesunutých do koše a roztroušených po celém disku. Znalec může často určit, kdy uživatel mazal jednotlivé soubory, četnost operací mazání, či další důležitá metadata, a to i v případě, že tyto soubory byly zcela odstraněny – koš byl vyprázdněn. Koš je skrytá systémová složka systému Windows, pro kterou platí mírně odlišná pravidla než pro ostatní složky. Je vytvořena na každém svazku. Soubory odstraněné do koše se nachází v
.\Recycler
Když uživatel nebo aplikace smaže soubor, je jeho záznam v původní složce smazán a vytvořen nový ve složce koše. Krom toho jsou přidány informace o smazaném souboru do souboru INFO (nebo INFO2). Přestože systém Windows neuchovává datum a čas smazání souboru, je tato informace zaznamenána při přesunu souboru do koše právě v souboru INFO. V tomto souboru je uchováno krom informace o datu a čase smazání také umístění souboru a jeho jméno. Soubory jsou po přesunutí do koše přejmenovány do formátu D[písmeno svazku][číslo indexu].[originální přípona], tedy například soubor smlouva.doc původně uložená na svazku D: přesunutá do prázdného koše je v něm přejmenována na Dd0.doc. Indexy určují pořadí přesunu souborů do koše. Po vysypání koše se čítač nuluje, původní INFO soubor je smazán a je vytvořen nový. Platí pro něj všechna pravidla obnovitelnosti jako pro jiné soubory (viz. 5.1.2). Mnohdy může být velmi cenný i fragment tohoto souboru. Důležitým faktem je, že soubory mazané operačním systémem nejsou přesouvány do koše a zaznamenávány do INFO souboru. Je tedy průkazné, že soubory, které se nacházejí v koši, mazal uživatel, a že se tedy jedná o projev jeho vůle.
Registry
Registry jsou databází, do které si Windows ukládají všechna svá nastavení. V registrech najdeme nastavení týkající se veškerého používaného hardwaru a softwaru, dále pak nastavení týkající se vzhledu plochy, konkrétních uživatelů atd. Jakmile uživatel provede jakoukoliv změnu v systému prostřednictvím Ovládacích panelů, změnu v asociování souborů, systémových politikách nebo v instalovaném softwaru, promítnou se všechny změny do registrů. Windows registry mají tedy pro chod systému zcela zásadní význam.
Registry jsou jako databáze fyzicky uloženy na pevném disku v několika souborech. Z těchto souborů se jejich obsah načítá při startu operačního systému do paměti. Drtivá většina těchto souborů je uložena v
%SYSTEMROOT%\system32\config\
Jen soubory Ntuser.dat a UsrClass.dat jsou uloženy v
%SYSTEMDRIVE%\Documents and Settings\%USERNAME%\
tedy
%USERPROFILE%
Registry se dělí na sedm „podregistrů“ – registry hives. Jde o logickou skupinu klíčů, podklíčů a hodnot v registru mající řadu podpůrných souborů obsahujících i zálohu dat.
Tabulka 2 – přípony souborů registrů
Přípona Popis
žádná kompletní data
.alt záloha kritického podregistru HKEY_LOCAL_MACHINE\System; pouze klíč System má .alt soubor
.log transakční log změn klíčů a hodnot
.sav Kopie dat pro případ, že by nastala neočekávaná chyba při užití editoru
Pokaždé, když se přihlásí k počítači nový uživatel, je pro něj vytvořen nový registry hive v souboru v příslušném profilu. Tento obsahuje konkrétní informace týkající se živatele, nastavení aplikací, desktopu, prostředí, síťových připojení a tiskárny. Tento registry hive je umístěn pod klíčem HKEY_USERS.
Nejen běžní uživatelé, ale i LocalService a NetworService mají svůj registry hive, který je opět uložen v
%SYSTEMDRIVE%\Documents and Settings\%USERNAME%\
Tabulka 3 – soubory registrů
Registry hive Soubory
HKEY_CURRENT_CONFIG System, System.alt, System.log, System.sav
HKEY_CURRENT_USER Ntuser.dat, Ntuser.dat.log
HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE\Security Security, Security.log, Security.sav
HKEY_LOCAL_MACHINE\Software Software, Software.log, Software.sav H
KEY_LOCAL_MACHINE\System System, System.alt, System.log, System.sav
HKEY_USERS\.DEFAULT Default, Default.log, Default.sav
Ve forenzním procesu mohou být zajímavé obzvláště některé větve registrů
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
MRU je zkratka pro most-recently-used. Tento klíč uchovává seznam nedávno otevřených nebo uložených souborů pomocí klasických dialogových oken průzkumníku (např. dialogové okno Uložit). Soubory, které jsou uloženy pomocí webového prohlížeče (včetně IE a Firefoxu) jsou zachovány. Avšak dokumenty, které jsou otevřeny nebo uloženy pomocí aplikace Microsoft Office zachovány nejsou
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
Tento klíč rozšiřuje OpenSaveMRU klíč a poskytuje další informace. Pokud je přidána nová položka do klíče OpenSaveMRU, je vytvořena nebo aktualizována hodnota registru v tomto klíči. Každá binární hodnota registru tohoto klíče obsahuje nedávno použitý program, jeho spustitelný soubor, složku, cestu k souboru, na které byl program použit k otevření či uložení.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Tento klíč také udržuje seznam naposledy otevřených souborů. Odpovídá %USERPROFILE%\Recent (Start>Poslední dokumenty). Obsahuje seznam souborů na lokálním stroji nebo síti, které byly nedávno otevřeny. Uložena jsou pouze jména souborů a cesta.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Obsahuje seznam aplikací a příkazů spouštěných pomocí Start>Spustit... MRUList pak obsahuje záznam pořadí, ve kterém byly naposledy spouštěny.
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management
Obsahuje informace o stránkovacím souboru Windows, jeho umístění, velikosti a chování. Stránkovací soubor (obvykle %systemdrive%\pagefile.sys) může obsahovat důkazní informace, které by mohly být odstraněny, jakmile je šetřený počítač vypnut. Tento klíč registru obsahuje hodnotu s názvem ClearPagefileAtShutdown, která určuje, zda by měly Windows vymazat obsah stránkovacího souboru v případě, že je počítač vypnut. Ve výchozím nastavení systému Windows není nastaveno vymazání obsahu stránkovacího souboru. Nicméně šetřený může změnit tuto hodnotu registru na 1 a tím vynutit smazání obsahu stránkovacího souboru. Forenzní vyšetřovatel by měl ověřit tuto hodnotu před vypnutím počítače šetřeného během procesu shromažďování důkazů.
HKCU\Software\Microsoft\Search Assistant\ACMru
Obsahuje poslední výrazy hledané pomocí výchozího vyhledávače. Podklíč 5603 obsahuje klíčová slova pro nalezení složky či souboru, zatímco podklíč 5604 obsahuje hledané výrazy pro hledání slov nebo fráze v souboru.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Každý podklíč v tomto klíči představuje nainstalovaný program v počítači. Všechny programy, kterou jsou uvedeny v Ovládací panely>Přidat nebo odebrat programy odpovídají jednomu z uvedených podklíčů. Jsou však i další nainstalované programy (například ovladač zařízení, aktualizace), které nejsou uvedeny v Přidat nebo odebrat programy. Každý podklíč obvykle obsahuje mimo jiné i hodnoty registru – DisplayName (název programu) a UninstallString (instalátor a cesta k němu). Může obsahovat i další užitečné informace, například o času instalace či použité verzi.
HKLM\SYSTEM\MountedDevices
Obsahuje seznam všech namontovaných svazků, kterým je přiřazené písmeno jednotky, včetně zařízení USB a externí DVD/CD-ROM mechaniky.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\
Z hodnot zde uvedených je možné zjistit informace o konkrétním namontovaném zařízení. Například v případě, že hodnoty obsahují Storage#RemoveableMedia, znamená, že jde o USB vyměnitelný disk, který byl připojen do systému. LastWrite zase obsahuje informace o čase posledního připojení.
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
Tento klíč obsahuje informace o namontovaných USB paměťových zařízeních, včetně externích paměťových karet. Tento klíč, pokud je použit ve spojení se dvěma předchozím klíči, může poskytnout důležité důkazní informace.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Tyto klíče obsahují informace o programech, které se spouštějí automaticky bez interakce s uživatelem.
HKLM\SOFTWARE\Microsoft\Command Processor
HKCU\Software\Microsoft\Command Processor
Tento klíč má hodnotu registru s názvem Autorun, která může obsahovat příkaz, který je automaticky proveden pokaždé, když je spuštěn cmd.exe.50 Nicméně změna tohoto klíče vyžaduje administrátorská práva. Malware může využívat tuto funkci, aby nahrál sám sebe bez vědomí uživatele
HKLM\SYSTEM\CurrentControlSet\Services\
Tento klíč obsahuje seznam služeb Windows. Každý podklíč představuje službu a služba obsahuje informace jako je konfigurace spouštění a cesta spustitelného souboru. I některé malware se mohou nainstalovat jako služba.52 Další důležité klíče registrů související se sítěmi.
Nástrojem sloužícím pro prohlížení souborů registry hives je regedit
%SystemRoot%\regedit.exe
Event logs
Zaznamenávání (žurnálování) události v systému (event logging) poskytuje správcům systému důležité informace o stavu systému, ale také je pro forenzní znalce zdrojem mnoha užitečných informací a může být potencionálním důkazem. Soubory event logů jsou uloženy v:
%SystemRoot%\System32\Config\
Desktopové systémy obsahují tři základní logy:
%SystemRoot%\System32\ConfigSysEvent.evt
- log systémových událostí
%SystemRoot%\System32\Config\AppEvent.evt
- log událostí aplikací
%SystemRoot%\System32\Config\SecEvent.evt
- log bezpečnostních událostí Serverové operační systémy pak přidávají
%SystemRoot%\System32\Config\Director.evt
- log adresářové služby – obsahuje události reportované Active Directory
%SystemRoot%\System32\Config\DNSEvent.evt
- log DNS Serveru – obsahuje události reportované Windows DNS Serverem
%SystemRoot%\System32\Config\NTFrs.evt
-log File Replication Service – obsahuje události reportované FRS Service.54 Windows Event event logs rozlišuje 5 typů událostí:
Upozornění (warning) – nemusí představovat závažný problém, ale jde o indikování potencionálního problému v budoucnosti.
Chyba (error) – upozorňuje na závažný problém, který může mít za následek ztrátu dat nebo funkčnosti systému. Příkladem může být například konflikt IP adres.
Informace (information) – popisuje úspěšné provedení operace aplikací nebo službou. Může jít například o protokolování úspěšného spuštění konkrétní služby. Dalším příkladem využití jsou informace print spooleru. Z těch je možné zjistit kdo, kdy a v jakém objemu tiskl na které tiskárně.
Auditovaná úspěšná operace (success audit) – přístup k auditovanému zdroji se zdařil. Záznam je vytvořen například tehdy, když uživatel úspěšně vstoupí do složky, pro niž má příslušná oprávnění a u níž je současně aktivováno auditování úspěšných pokusů o přístup.
Auditovaná neúspěšná operace (failure audit) – přístup k auditovanému selhal. Záznam je vytvořen například tehdy, jestliže se uživatel pokusí vstoupit do složky, do níž nemá přístup a u níž je současně zapnuto auditování neúspěšných pokusů o přístup. Všechny typy událostí najdou široké uplatnění v rámci computer forensics. Naučit se číst v těchto událostech tak, aby toto počínání vedlo ke zdárnému výsledku, však chce dlouhodobější zkušenost. První dva typy událostí najdou uplatnění hlavně při zkoumání napadených systémů. Poslední dva pak mohou pomoci při auditech a v rámci information forensics. K prohlížení těchto událostí ze souboru event logů je nejvhodnější použít snap-in modul Microsoft management konzole – event viewer.
%SystemRoot%\system32\eventvwr.msc
Nástroje pro analýzu
Jelikož operační systémy Microsoft Windows jsou ryze komerční, jsou i nástroje analýzy těchto systémů velmi často komerčními produkty. Mezi nejvýznamnější patří výše zmíněné ForesicToolKit a Guidance Software EnCase, výhodou je jejich komplexnost. Obsahují variaci na všechny zmíněné nástroje obsažené přímo v OS, přidávají prohlížeč všech možných typů souborů a indexované vyhledávání klíčových slov. Nespornou výhodou, jak už tomu na dané platformě bývá, je intuitivnost grafického uživatelského prostředí. To vše je však vyváženo vysokou cenou.
Analýza Unixových systémů
Stejně jako je tomu u operačních systému MS Windows, tak i u Unixových systému a hlavně u často používaných Linuxových distribucí, je potřeba pochopit jak funguje souborový systém.
Ext – Extended file system (rozšířený souborový systém) byl první souborový systém vytvořený speciálně pro operační systém Linux. Napsán byl Rémym Cardem a měl překonat omezení Minix file systemu (první Linuxový filesystem implementovalný Linusem Torvaldsem; podobný Unix V7 FS; používal bitmapy místo zřetězených seznamů; velikost omezena na 64MB; maximální délka jmen 14 znaků)
Ext2 – Second extended file system byl původně implementován pro jádro Linuxu, avšak je možné ho nalézt i v dalších operačních systémech. Navrhl ho opět Rémy Card jako nástupce souborového systému ext a je k dispozici jako open source software. Mezi jeho hlavní vylepšení proti ext patří:
· lze vytvářet adresáře,
· lze vytvářet různé typy souborů: obyčejný soubor, speciální soubor (reprezentuje zařízení, je typu blokový a znakový), pojmenované roury, society,
· umožňuje používat pevné odkazy, symbolické odkazy,
· pro každý soubor a adresář se ukládají práva UGO – vlastníka (user), skupiny (group), ostatních (other) a rozšířené atributy.
Ext3 – ext3 je žurnálovací systém souborů vytvořený pro operační systém Linux a je přímým a zpětně kompatibilním následníkem souborového systému ext2. Ext3 je implicitním souborovým systémem mnoha populárních Linuxových distribucí. Ačkoli je výkon (rychlost) v některých specifických operacích nižší než u konkurentů jako je JFS2, ReiserFS a XFS, má tu významnou výhodu, že umožňuje jednoduchý přechod z původního ext2 na ext3 bez nutnosti kompletní zálohy a obnovy dat. Další výhodou je jeho dlouhá historie a široké nasazení, které zajišťuje dostatek aktivních vývojářů a vysokou úroveň jeho kódu. Souborový systém ext3 nabízí oproti svému předchůdci ext2:
· žurnálování (informace o dokončených operacích),
· indexy souborů v adresáři implementované pomocí stromových struktur (do té doby se používal pouze lineární seznam, v ext3 se používá jen na malé adresáře),
· možnost změnit velikost souborového systému za běhu (od listopadu 2004).
V Linuxové implementaci ext3 jsou dostupné tři způsoby žurnálování:
· Žurnál – metadata i obsah souborů se ukládají do žurnálu a teprve poté jsou zapsány na disk. Nejspolehlivější, ale zároveň nejpomalejší metoda, protože data jsou zapisována dvakrát.
· Writeback – metadata se žurnálují, ale obsah souborů ne. Toto je nejrychlejší způsob, ale přináší riziko, že při pádu budou data zapsána tam, kam nemají. Při dalším mountu se tedy může stát, že k souborům, se kterými systém v tu chvíli pracoval, budou na konec zapsány různé nesmysly.
· Ordered – podobné jako writeback, s tím rozdílem, že si vynucuje zapsání souboru, než jej v metadatech označí jako zapsaná. Tento způsob je dobrým kompromisem mezi výkonem a stabilitou, a z toho důvodu je použit jako výchozí.
Ext4 přináší mnoho novinek typických pro moderní souborové systémy, jako je odstranění limitů ext3 (velikost souborového systému, souborů, počtu souborů v adresáři), podporu extentů, prealokaci místa na disku, odloženou alokaci, kontrolní součet žurnálu, online defragmentaci, rychlejší kontrolu, multiblokový alokátor a zvýšenou přesnost uložených časových údajů a také samozřejmě zvýšení výkonu. Tento souborový systém se teprve rozšiřuje.
I-node (I-uzel) je datová struktura uchovávající metadata o souborech a adresářích (objektech) používaná v Unixových souborových systémech (např. ext2, ext3, UFS). Z důvodu zachování kompatibility ostatní souborové systémy I-uzly emulují. Jde tedy o pravděpodobně nejdůležitější vlastnost těchto souborových systémů z hlediska forenzní analýzy. I-node obsahuje metadata pro každý libovolně velký soubor i adresář. Například čas poslední změny, přístupová práva, seznam datových bloků a podobně. V adresářích jsou pak dvojice název souboru a I-node, které definují soubory a adresáře. I-node popisuje i některé systémové struktury, jako je kořenový adresář nebo žurnál. Počet I-uzlů je u klasických souborových systémů (ext2, ext3) určen při formátování systému souborů a později již nemůže být změněn. Jejich množství určuje maximální počet adresářů a souborů, které lze v souborovém systému vytvořit. I když může být na disku volné místo pro data, nemusí být možné z důvodu nedostatku volných i-uzlů vytvořit další soubory a adresáře.
Výpis obsazeného datového prostoru:
df
Výpis počtu obsazených I-uzlů:
df -i
Výpis názvů spolu s čísly I-uzlů v adresáři:
ls –i
Struktura I-uzlu je popsána standardem POSIX:
· MODE – druh souboru a přístupová práva
· OWNER – vlastník (ID vlastníka)
· GROUP – skupina (ID skupiny)
· TIME STAMPS – časové informace
o atime: čas posledního přístupu (čtení ze souboru, výpis adresáře)
o mtime: čas poslední změny objektu
o ctime: čas poslední změny informací o objektu
· SIZE – velikost objektu
· REFERENCE COUNT – počet odkazů mířicích na tento objekt
· DIRECT BLOCKS – přímé odkazy mířící na objekt
· SINGLE INDIRECT – odkazy na blok, který obsahuje odkaz na objekt
Časová razítka – MAC times
Stejně jako Windows (viz. 5.1.1) i Unixové systémy zaznamenávají MAC times. Časová razítka souborů jsou pro vyšetřovatele nejcennějším zdrojem informací v situaci, kdy se snaží o rekonstrukci událostí v čase. Většina souborových systémů používá nejméně tři časová razítka pro každý soubor, ale například Ext4 už používá modification time (mtime), attribute modification time (ctime), access time (atime), delete time (dtime), create time(crtime). MAC times se používají stejně jako v případě NTFS ve Windows, tedy čas vytvoření souboru (Created), poslední modifikace (Modified) a čas, kdy byl soubor naposledy zpřístupněn (Accessed). Linux používá také čas smazání. V raw formátu jsou informace uloženy jako čas v sekundách od počátku.
Historie shellu
Řádkový shell je v Unixových systémech ještě mocnějším (také díky propracovanějšímu skriptování a kvalitní dokumentaci v podobě manuálových stránek) a hlavně daleko používanějším nástrojem než příkazová řádka ve Windows, kde se často preferuje GUI (grafické uživatelské rozhraní). Výhodou při forenzním šetření je, že historie příkazů shellu bývá zaznamenávána. Historie záznamu shellu (příkazové řádky) je obvykle nastaven tak, že ukládá příkazy zadané v jeho prostředí. To může být velmi užitečné, neboť v podstatě umožňuje vyšetřovateli tímto způsobem sledovat přesně to, jaké příkazy vetřelec použil ke kompromitování daného systému a i v jakém pořadí. Ve výchozím nastavení je záznam historie uložen pro každého uživatele zvlášť v jeho domovském adresáři. Jméno souboru historie se liší pro každý použitý shell. Někdy, když je použito více shellů současně, bývá historie příkazů zapsána do nového souboru poté, co byl soubor historie smazán. Níže je uveden seznam výchozích umístění pro historii souborů v některých z nejpopulárnějších shellů:
C shell (CSH)
.history
Korn Shell(KSH)
.ksh_history
Bourne Again Shell(BASH)
.history
Bohužel, Bourne shell neudržuje soubor s historií příkazů. To je z hlediska forenzního šetření závažný problém, protože právě Bourne shell bývá výchozím shellem pro root uživatele a jiné systémové účty v mnoha Unixových systémech a Linuxových distribucích.
Nástroje pro analýzu
Stejně jako jistá část Unixových systémů a hlavně Linuxových distribucí, jsou nástroje pro forenzní analýzu pro tuto platformu vyvíjeny jako open source, případně GNU General Public License apod. Jedná se sice o kvalitní produkty, nicméně reflektují celou ideologii Unixových systémů se všemi pro i proti. Jedná se většinou o nástroje bez GUI, skládající se z mnoha jednoúčelových aplikací.
The Coroner’s Toolkit (TCT) je sada nástrojů určených pro efektivní forenzní analýzu unixového systému. Autoři Dan Farmer a Wietse Venema o něm říkají, že toto softwarové vybavení nemá jednoznačně vytyčený jediný cíl, ale že s ním lze rekonstruovat události, které se v čase v systému staly – vytvářet snapshoty systému. Aplikace spadá pod IBM Public Licence a její zdrojové kódy jsou plně k dispozici. Program je kompatibilní kromě Linuxu i se systémy FreeBSD, OpenBSD, SunOS a některými dalšími.
Hlavní program grave-robber využívá podprogramů:
· file – rozeznávání typů souborů
· icat – kopíruje soubory podle čísla i-uzlu
· ils – vypíše informace o i-uzlu
· lastcomm – vypíše informace o zadaných příkazech
· mactime – vypíše atime, mtime a ctime
· md5 – vytváření MD5 hashí
· pcat – vypíše paměť procesu
TCT dále obsahuje programy:
· bdf – prochází rekurzivně textové i binární soubory a vyhledává
· ils2mac – konvertuje výstup programu ils, aby byl použitelný pro program mactime a tak bylo možné získat přístupové časy smazaných souborů
· realpath – získávání skutečných cest k souboru – včetně odkazů
· findkey – hledání kryptografických klíčů
· entropy – počítá entropii dat
· unrm – obnovení nealokovaných sektorů a program
· lazarus – obnovování smazaných souborů
The Sleuth Kit, jehož tvůrcem je Brian Carrier, je založen na TCT. Zdrojové kódy jsou volně ke stažení. The Sleuth Kit je podporován operačními systémy Linux, Mac OS X, OpenBSD, FreeBSD, Solaris, nebo jej lze spustit přes CYGWIN (v podstatě prostředí textového shellu s Linuxovými příkazy pod Windows). Mezi podporované souborové systémy patří NTFS, FAT, FFS, Ext2 a Ext3, UFS1/2. Lze však zpracovávat pouze obrazy jednotlivých oddílů, nikoli celého disku. Jednotlivé nástroje této aplikace lze rozčlenit do několika vrstev:
· File System Layer Tools
o fsstat – vypisuje základní údaje o souborovém systému
· File Name Layer Tools
o ffind – vypisuje alokovaná i nealokovaná jména souborů vážící se k zadanému i-uzlu
o fls – vypisuje alokované a smazané soubory a adresáře
· Meta Data Layer Tools
o icat – kopíruje soubory podle čísla i-uzlu
o ils – vypíše informace
o i-uzluDále o ifind – najde i-uzel k zadanému jménu souboru nebo jiné datové struktuře (block, cluster, apod.) a to i v nealokovaném prostoru
o istat – zobrazuje informace o datové struktuře v uživatelsky přívětivějším formátu
· Data Unit Layer Tools
o dcat – extrahuje obsah zadané datové struktury
o dls – zobrazí informace o datové struktuře a také umí extrahovat nealokované prostory souborového systému
o dstat – zobrazí statistické informace o zadané datové struktuře ve snadno čitelném formátu o dcalc – počítá, kde data v nealokovaném prostoru jsou
· File System Journal Tools
o jcat – který zobrazuje obsah určitého bloku
o jls – vypisuje přístupy do žurnálu
· Media Management Tools
o mmls – zobrazení struktury disku.
· Image File Tools o img_stat – zobrazuje informaceo obrazu.
· Disk Tools o disk_sreset – utilita kterou lze dočasně odstranit HPA (Host Protected Area) na discích ATA.
o disk_stat – ukazuje, zdali HPA na disku existuje
· Další utility o hfind – práce s hashi vytvořenými programem md5sum
o mactime – vytvoří časovou řadu s událostmi, které se s daným souborem děly, kdy jako vstup bere výstup programu fls a ils
o sorter – třídí vyhledané soubory
o sigfind – hledá binární hodnoty při zadaném offsetu, což je vhodné pro hledání ztracených datových struktur.
K dispozici je i grafický frontend k The Sleuth Kit s názvem Autopsy65. Výhoda GUI je zde však vykompenzována omezením spočívajícím v tom, že Autopsy vyžaduje pro svůj běh X Windows.
Analýza sítového prostředí a komunikačních nástrojů
Analýza síťového prostředí a nástrojů využívaných na nich ke komunikaci je díky množství možných použitých technologií a aplikací velmi rozmanitá. Předpokladem pro zvládnutí analýzy forenzní komunikace v prostředí počítačových sítí je nutná vynikající znalost komunikačních protokolů a principů jejich fungování. Následující subkapitola proto shrnuje jen ty opravdu nejpoužívanější metody a postupy aplikovatelné v prostředí nejrozšířenějších operačních systému, webových prohlížečů (dle Market Share66) či Instant Messaging klientů (dle Billions Connected67). Z velké části půjde o metody použitelné na serverových OS a aplikacích firmy Microsoft a klientech stejného výrobce. Krom následujících je možné použít.
Důležité klíče registrů a nástroje
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\GUID
Tento klíč obsahuje poslední nastavení síťových adaptérů, jako je IP adresa a výchozí brána pro dané síťové adaptéry. Každý GUID podklíč odkazuje na síťový adaptér68. Údaje jsou uchovávány i v případě, kdy je síťové připojení již odpojeno.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
První klíč udržuje seznam namapovaných síťových disků, včetně serveru a sdílené složky. Hodnoty v tomto klíči zůstávají zachovány i v případě, kdy namapované síťové jednotky byly již trvale odstraněny nebo odpojeny. Kromě prvního podklíče bývají informace uchovány (za předpokladu, že by byly z prvního ručně smazány) i v druhém.
HKCU\Software\Microsoft\Internet Explorer\TypedURLs
Tento klíč obsahuje seznam 25 posledních URL adres (nebo cest k souboru), které byly naposledy napsány v adresním řádku Internet Exploreru nebo Průzkumníku Windows. Nicméně obsahuje pouze odkazy, které jsou plně napsané. Tedy adresy automaticky doplněné při psaní, nebo odkazy, které jsou vybrány ze seznamu historie navštívených adres, zobrazeny nebudou. Také webové stránky, které jsou přístupné přes oblíbené položky, nejsou zaznamenány. Tyto hodnoty je také jednoduše možno odstranit přímo v Internet Exploreru pomocí vymazání historie.
HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\GUID
Tento klíč obsahuje informace o bezdrátové síti a o adaptérech využívajících Windows Wireless Zero Configuration Service. Pod GUID podklíči jsou binární hodnoty registru pojmenované Static#0000, Static#0001 atd. (v závislosti na počtu registrovaných SSID), které odpovídají příslušné SSID v seznamu preferovaných sítí v konfiguraci bezdrátového připojení k síti71. Hodnota registru obsahuje název SSID v binární podobě. Pokud hodnota registru ActiveSettings obsahuje SSID jméno, jde o poslední připojenou síť. Nevýhodou je ovšem to, že pokud na šetřeném PC není bezdrátové připojení spravováno systémem Windows, ale správcem připojení, například od výrobce síťové karty (např. Intel), či správcem připojení zajišťujícím bezpečné připojení do firemní sítě (např. Cisco), nebudou tyto klíče registru obsahovat hledané informace. Další důležité klíče registrů, které se vztahují nejen k forenzní analýze sítí, ale OS Windows.
Velmi užitečnými nástroji pro forenzní analýzu stavu sítě je několik příkazů dostupných přímo v systému Windows. Patří mezi ně:
· ipconfig.exe
· nbtstat.exe
· netstat.exe
· nslookup.exe
· route.exe
· tracert.exe
Všechny jsou dostupné v
%SystemRoot%\system32\
ipconfig.exe zobrazí všechny aktuální hodnoty konfigurace sítě TCP/IP a aktualizuje nastavení protokolu DHCP (Dynamic Host Configuration Protocol) a služby DNS (Domain Name System). Při použití bez parametrů zobrazí příkaz ipconfig pro všechny adaptéry adresu IP, masku podsítě a výchozí bránu
nbtstat.exe mimo jiné zobrazí statistické údaje o protokolu NetBIOS přes TCP/IP (NetBT), tabulky názvů NetBIOS místních i vzdálených počítačů a mezipaměť systému NetBIOS pro názvy
netstat.exe zobrazí aktivní připojení TCP, porty, přes které počítač přijímá požadavky, statistické údaje systému Ethernet, směrovací tabulku protokolu IP, statistické údaje IPv4 (pro protokoly IP, ICMP, TCP a UDP) a IPv6 (pro protokoly IPv6, ICMPv6, TCP přes IPv6 a UDP přes IPv6).
nslookup.exe zobrazí informace, které lze využít k diagnostice infrastruktury systému DNS (Domain Name System). Před použitím tohoto nástroje je třeba znát, jakým způsobem systém názvů domén (DNS) funguje. Příkaz nslookup je k dispozici pouze v případě, že je nainstalován protokol TCP/IP.
tracert.exe určuje trasu k cíli tím, že do cíle odešle zprávy protokolu ICMP (Internet Control Message Protocol) s požadavkem na odezvu se zvyšujícími se hodnotami polí TTL (Time-To-Live). Zobrazenou cestu představuje seznam bližších rozhraní směrovačů na trase mezi zdrojovým hostitelem a cílem. Bližší rozhraní je rozhraní směrovače, které je k odesílajícímu hostiteli z hlediska cesty nejblíže.
Internet Explorer
Internet Explorer vytváří ve výchozím nastavení cache navštívených stránek. Když uživatel navštíví stránku, Internet Explorer zkontroluje, zda je soubor již nacacheován. Pokud je ve vyrovnávací paměti, Internet Explorer používá nacacheovaný soubor namísto stahování souboru z Internetu. Tyto dočasné soubory jsou uchovávány spolu s indexačním souborem INDEX.DAT v adresáři.
%USERPROFILE%\Temporary Internet Files\Content.IE5\
Dalším zdrojem potencionálních důkazů můžou být soubory cookie. Jako cookie se v protokolu HTTP označuje malé množství dat, která WWW server pošle prohlížeči, a ten je uloží na počítači uživatele. Při každé další návštěvě téhož serveru pak prohlížeč tato data posílá zpět serveru. Cookies běžně slouží k rozlišování jednotlivých uživatelů, ukládá se do nich obsah „nákupního košíku“ v elektronických obchodech, uživatelské předvolby apod. Jedná se o jedinou výjimku, kdy může webová stránka ukládat data na klientský počítač. Cookies jsou uloženy v
%USERPROFILE%\Cookies\
Cookies jsou podobně jako dočasné soubory internetu idexovány. Sobor je uložen ve stejné lokaci jako cookies pod názvem INDEX.DAT.
Exchange server
Jelikož je Microsoft Exchange, přesto že se jedná o samostatně prodejný produkt, silně integrován s platformou Windows NT, není možné jednoduše obnovit soubory a databáze Exchange a zkoumat ji přímo. Pro zkoumání obsahu databáze Exchange existují jen dvě možnosti. Tou náročnější je vytvoření serveru pokud možno co nejshodnějšího s původním a překopírování databáze. Tento zdlouhavý postup je možné ve speciálních případech výrazně urychlit (například když server běží ve virtuálním prostředí), nicméně nejde o univerzální postup. Veškerá data databáze Exchange jsou ve výchozím nastavení uložena v adresáři
%Program Files%\Exchsrvr\Mdbdata
Tabulka 4 – soubory databáze exchange
Název Popis
Priv1.ebd rich-textový databázový soubor, který obsahuje e-mailové zprávy, textové přílohy a hlavičky pro uživatele e-mailu
Priv1.stm streaming soubor, který obsahuje multi-mediální údaje, které jsou ve formátu MIME dat
Pub1.ebd rich-textový databázový soubor, který obsahuje zprávy, text a přílohy záhlaví pro soubory uložené ve veřejné složce stromu.
Pub1.stm streaming soubor, který obsahuje multi-mediální údaje, které jsou ve formátu MIME dat
E##.log aktuální transakční log databáze; jakmile dosáhne soubor velikosti 5MB je přejmenována na E#######.log je vytvořen a nový E##.log soubor; stejně jako u kontrolního souboru ## reprezentuje identifikátor datové skupiny. Zatímco je vytvářen nový E##.log soubor je vidět soubor s názvem Edbtmp.log což je šablona log souborů Exchange Server
E#######.log jsou sekundárním transakční logy; jsou číslovány hexadecimální posloupností začínající E0000001.log a opět mají velikost 5MB.
Res1.log soubor rezervovaný pro případ nedostatku místa na disku
Res2.log další rezervovaný log se stejnou funkci jako Res1.log
Lokace databázových souborů však může být změněna administrátorem serveru. Informaci o tom, kde je aktuálně úložiště, nalezneme v registrech Windows
HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem\Working Directory
Druhou možností, jak získat data z databáze Microsoft Exchange server, je pomocí utility exmerge.exe. Tu je možné získat zdarma na stránkach Microsoftu nebo z instalačního CD Exchange serveru. Soubor je vhodné překopírovat ze složky na CD
Support\Utils\I386\Exmerge
do
%PROGRAMFILES%\Exchsrvr\bin
Exmerge umožňuje za pomoci GUI vyexportovat libovolnou poštovní schránku z databáze Exchange do souboru osobních složek *.pst. Tento databázový soubor je pak možné připojit a prohlížet v poštovním klientu Outlook, nebo otevřít v některém ze specializovaných nástrojů pro forenzní analýzu. Nevýhodou tohoto postupu je, že jsou získána pouze data z konkrétního mailboxy (případně všech mailboxů na serveru), ale nejsou získány informace z transakčních logů.
Grafické uživatelské rozhraní pro práci s Exchange serverem je opět řešeno jako snap-in modul do Microsoft management Konsole
%PROGRAMFILES%\Exchsrvr\bin\Exchange System Manager.msc
Active Directory
Adresářová služba je jednou z core komponent serverových operačních systému firmy Microsoft, která funguje jako centrální úložiště pro velké množství kritických dat včetně uživatelských účtů, hesel, e-mailových adres a dalších osobních údajů. Active Directory také ukládá nastavení zabezpečení objektu oprávnění NTFS a nastavení a kontrolu nastavení jednotlivých objektů. Informace v AD jsou uloženy na řadičích domény v databázi s názvem Ntds.dit
%Program Files%\NTDS\Ntds.dit
Jako database engine je použit Extensible Storage Engine (ESE) postavený na Jet database používané také pro MS Exchange Server. Vzhledem k množství dat, které Active Directory obsahuje, může být bohatým zdrojem důkazů. Souboru Ntds.dit lze prohlížet pomocí Active Directory snap-in modulu v Microsoft Management Console.
%SystemRoot%\system32\dsa.msc
Typické otázky, které mohou být zodpovězeny za pomoci AD, jsou: „Kdo má oprávnění číst data konkrétního uživatel?“ či „Kdo může měnit přístupová práva pro danou organizační jednotku?“
Analýza embedded systémů
Téměř libovolné digitální zařízení v dnešní době obsahuje nějaký jednoúčelový vestavný počítač. Embedded systémy jsou například mobilní i pevné telefony, kopírky, faxy, přijímače pozemního i satelitního digitálního vysílaní, MP3, DVD, BD, DivX i HD přehrávače a rekordéry, HUBy, routery, switche či GPS. Dále pak monitorovací systémy, systémy řídící dopravu, prodejní automaty, řídící jednotky klimatizací a vytápění a domovní alarmy, výtahy a eskalátory, digitální fotoaparáty a kamery, systémy pro kontrolu výroby a řízení v energetice apod. V podstatě každé elektronické zařízení je dnes řízeno jednoúčelovým procesorem. Jakékoli z těchto zařízení, disponující pamětí, je možné podrobit forenzní analýze a je z něj možné získat potenciální důkaz. Rozmanitost těchto zařízení však nedovoluje formulovat mnoho obecně platných postupů při jejich analýze, kromě těch pro práci s pamětí (například nevhodnost odpojení napájení u zařízení s energeticky závislou pamětí). Velmi často je nutné paměť vyjmout ze zařízení a podrobit ji zkoumání ve forenzní laboratoři.
Zajímavým zdrojem informací pro analýzu jsou digitální fotoaparáty. Přestože se jedná o embedded systémy, ukládají data na masově rozšířená média a přidávají k nim spoustu metadat použitelných ve forenzním procesu ve formě EXIF. Z EXIF dat je možno zjistit kromě méně důležitých expozičních údajů také jméno majitele fotoaparátu (pokud jej zadal), jeho výrobní číslo, čas, datum a v poslední době i souřadnice pořízení snímku (u fotoaparátů vybavených GPS).
Analýza mobilních zařízení
Vzhledem k masovému rozšiřování mobilních technologií (nikoli jen laptopy, či tablet PC, ale spíše menší zařízení) je potřeba zlepšovat znalosti těchto zařízení v rámci computer forensics. V dnešní době již téměř neexistuje trh PDA (personal digital assistant – osobní digitální pomocník) zařízení. Tato byla nahrazena chytrými telefony – smatphone. V mnoha případech jde vlastně o PDA s telefonním GSM modulem umožňujícím připojení do WWAN datové sítě. Takové zařízení v závislosti na zvoleném operačním systému a rychlosti datového připojení dokáže plně nahradit, alespoň co se týče komunikace, laptop či PC. Hlavní problém v šetření mobilních zařízení je zapříčiněn velkou roztříštěností trhu použitých operačních systému. Mezi dnes nejpoužívanější, případně ty s potenciálem masově se rozšířit, patří:
· Windows Mobile
· Symbian
· Linux
· Blackberry OS
· Google Android
· iPhone OS X
· WebOS
Forenzní analýza mobilních zařízení patří společně s analýzou embedded systémů k obtížnějším a hlavně méně prozkoumaným subodvětvím computer forensics. Každý mobilní operační systém je zcela odlišný. Navíc tato zařízení jsou vysoce multifunkční a spojují mnoho přístrojů technologií. Dokáží komunikovat v rámci WWAN – GSM modul (včetně vysokorychlostních přenosů GPRS, EDGE, 3G, HSDPA, HSUPA) i WLAN (Wi-Fi 802.11a/b/g/n) či PAN (IrDA, BlueTooth). Dále nabízí spojení PDA, GPS, digitálního fotoaparátu a kamery a přehrávače médií. Existují pro ně plnohodnotné webové prohlížeče, kancelářské aplikace, emailové klienty s přímým připojením na firemní emailový server (například díky technologii DirectPush ve Windows Mobile je možné přijímat v telefonu emaily ihned poté, co jsou přijaty Exchange serverem). Veškeré instant messaging sítě disponují i mobilní nebo webovou verzí svých klientů. Všechny tyto komunikační soubory mohou zanechávat informace o své činnosti. Je tedy zřejmé, že takové zařízení bude zdrojem velmi užitečných informací, které se mohou stát cennými důkazy.
Nástroje pro analýzu
Nástroje pro forenzní analýzu SIM karet a mobilních zařízení jako PDA, smartphone i klasické mobilní telefony vyvíjí firma Paraben80. Její nástroje PDA Seizure a Cell Seizure byly prvními komerčními forenzní nástroje pro mobilní telefony. Současný produkt Device Seizure je kombinací těchto dvou programů a má širokou podporu mobilních telefonů a PDA, dalším nástrojem je pak například Oxygen Forensic Suite.
Praktické poznatky
Uvedené metody a postupy umožňují zkušenému znalci či vyšetřovateli zjistit nejen obsah, pro případ důležitých souborů, ale také, což je neméně důležité, si udělat (nejen za pomoci získaných metadat) velmi přesný obrázek o chování a zvycích uživatele a sestavit přesnou časovou osu jeho počínání. Je zřejmé, že jinak bude probíhat šetření, kde na straně šetřeného je IT profesionál s letitou zkušeností v oboru, a jinak v situaci, kde na straně šetřených je vrcholový management podniku či běžný administrativní pracovník nebo odborník v oboru mimo informační technologie, který nemá o technickém řešení ani zdání. Sběr dat je vždy podobný u šetřených se stejným technickým řešením. Technické řešení se typicky odvíjí od počtu zaměstnanců a případně také oboru podnikání. Je možné se naučit správné a vyzkoušené postupy – algoritmy pro sběr a analýzu dat. K efektivní práci je však potřeba uplatnit jistou mazanost a schopnosti – skilly nabyté dlouhodobou praxí a založené na přehledu a znalosti systémů „z druhé strany“. Forenzní znalec v oboru IT bývá většinou velmi zdatný administrátor konkrétního počítačového systému s letitou praxí v oboru a širokým přehledem o informačních technologiích jako celku a také systematik se znalostí principů teoretické informatiky. Od určité velikosti organizace dle počtu zaměstnanců je relativně málo kombinací a možností komplexních řešení IT zázemí. Je pravděpodobné, že například podnik využívající přístup ke kontaktům, emailům či kalendářům z mobilních zařízení bude zároveň využívat MS Exchange server a MS Outlook (ať na mobilní či desktopový) na straně klienta. Podobně je tomu třeba i na trhu IP telefonie, či security appliance. Určité skupiny produktů fungují ideálně jen s některými dalšími.
Praxe ukazuje, že nejcennější informace bývají získávány z počítačů uživatelů v jejich přítomnosti. Ti občas vůbec netuší, co se na jejich HDD skrývá. Rozhovor s uživatelem velmi často přináší informace o tom, jaké má postupy on a jaké se aplikují v rámci organizace, co je v ní zvykem. Na základě těchto informací je pak daleko snadnější např. seznámení se s nestandardním informačním systémem či toky informací v organizaci a vypátrání důkazů v něm obsažených. Analýza systému se také výrazně zjednoduší, pokud má expert k dispozici heslo pro přístup do systému a k šifrovaným souborům. Toto je vhodné zajistit například za pomoci právníka poučením, včetně důsledků odmítnutí. Velmi kvalitním elektronickým zdrojem dalších informací může být webová stránka Forensics Wiki na adrese: http://www.forensicswiki.org/wiki/Main_Page.