FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKANALOGA ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE Bostjan Kraljic Digitalno podpisal Bostjan Kralji

Transkripcija

1 FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKANALOGA ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE Bostjan Kraljic Digitalno podpisal Bostjan Kraljic DN: c=si, o=posta, ou=postarca, ou=personal, serialnumber=150986, cn=bostjan Kraljic Datum: :46:16 +02'00' BOŠTJAN KRALJIČ

2

3 FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA FORENZIKA MOBILNEGA TELEFONA NA PLATFORMI ANDROID IN UPORABA PRIDOBLJENIH ELEKTRONSKIH DOKAZOV Mentor: red. prof. dr. Miroslav Bača Novo mesto, junij 2014 Boštjan Kraljič

4 IZJAVA O AVTORSTVU Podpisani Boštjan Kraljič, študent FIŠ Novo mesto, izjavljam: da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v magistrski nalogi, da dovoljujem objavo magistrske naloge v polnem tekstu, v prostem dostopu, na spletni strani FIŠ oz. v digitalni knjiţnici FIŠ, da je magistrska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji, da je magistrska naloga lektorirana. V Novem mestu, dne Podpis avtorja

5 POVZETEK Forenzična preiskava elektronskih mobilnih naprav postaja vse pogostejša. V magistrskem delu je opisan zakonodajni okvir, znotraj katerega deluje preiskovalec elektronske naprave. Elektronski dokazi, pridobljeni z nedoslednim upoštevanjem veljavne zakonodaje, so na sodišču brez veljave. Pri preiskavi mobilnih naprav z nameščenim operacijskim sistemom Android je zaradi različnih verzij operacijskega sistema in specifičnosti strojne opreme potrebno poskusiti pridobiti podatke z različnimi orodji. Za namene primerjave učinkovitosti smo uporabili različno odprtokodno in komercialno namensko programsko opremo. Podatki o aktivnostih uporabnika se shranjujejo na različne lokacije znotraj mobilne naprave in v oblačnih shrambah podatkov. Opisali smo postopke pridobitve podatkov, podali kritično oceno uporabljene programske opreme in izpostavili prednosti in slabosti uporabe odprtokodne programske opreme. KLJUČNE BESEDE: Android, forenzika, elektronski dokaz ABSTRACT Forensic investigation of electronic mobile devices is becoming more and more frequent. The thesis describes the legislative framework within which should operate investigator of electronic devices. Electronic evidence obtained without consistently considering legislation in force has no validation on court. Investigation of mobile devices running the Android operating system is due to different versions of the operating system and the specifics of the hardware necessary to obtain information with various tools. For comparison purposes of the efficiency, we used different commercial and open-source dedicated software. Information about the activities of the user is stored in different locations within mobile device and cloud data store. We have described procedures for data acquisition, do critical evaluation of the software package and look at the advantages and disadvantages of using open source software. KEY WORDS: Android, forensics, digital evidence

6

7 KAZALO 1. UVOD Opredelitev problema Namen in cilji Raziskovalna vprašanja Metodologija ELEKTRONSKI DOKAZ Pridobivanje elektronskih dokazov Pravni vidik pridobitve elektronskega dokaza Predlog in odredba o preiskavi elektronske naprave Zaseg predmetov Zaseg elektronske naprave in zavarovanje podatkov Preiskava elektronskih naprav Elektronska forenzična preiskava Forenzika mobilnega telefona Prevzem mobilnega telefona Identifikacija Priprava na preiskavo Izolacija naprave Preiskava telefona Preverjanje rezultatov Dokumentiranje in poročanje Predstavitev rezultatov Arhiviranje Protiforenzične metode Skrivanje podatkov... 20

8

9 2.5.2 Prepisovanje podatkov Fizično uničenje naprave OPERACIJSKI SISTEM ANDROID Razvoj Verzije Zgradba Delovanje Linux jedro Knjižnice Aplikacijsko ogrodje Aplikacije Dalvik VM Lokacije podatkov o uporabniku FORENZIČNA ANALIZA Z RAZLIČNIMI ORODJI 'Root' privilegiji Android Debug Bridge (ADB) Preiskovana naprava Delovna postaja Odprtokodna programska oprema Open source android forensics (OSAF) Santoku Linux Preiskava shranjenih varnostnih kopij Komercialna programska oprema Viaforensics Viaextract MobilEdit Forensics Lite Oxygen Forensic Suite 2014 (Freeware) Micro systemation XRY v

10

11 4.7 Primerjava orodij za forenzične analize Odprtokodna programska oprema Komercialna programska oprema ZAKLJUČEK LITERATURA IN VIRI... 57

12

13 KAZALO SLIK Slika 3.1: Zgradba operacijskega sistema Android Slika 4.1: Write blocker Slika 4.2: Metode forenzične preiskave mobilne naprave z OS Androidom Slika 4.3: Samsung I8190 Galaxy S3 mini Slika 4.4: Testni podatki Slika 4.5: VirtualBox: Name and operating system Slika 4.6: VirtualBox: Memory size Slika 4.7: VirtualBox: Hard drive Slika 4.8: OSAF Slika 4.9: USB-posredovanje Slika 4.10: Vklop USB-razhroščevanja Slika 4.11: OSAF adb device Slika 4.12: AFLogical OSE Slika 4.13: Rezultati OSAF Slika 4.14: Sqliteman Slika 4.15: Rezultati Viaforensics ViaExtract Slika 4.16: Rezultati MobilEdit Forensics Lite Slika 4.17: Rezultati Oxygen Forensic Suite 2014 (Freeware) Slika 4.18: Rezultati Micro systemation XRY v KAZALO TABEL Tabela 1.1: Operacijski sistemi v prodanih pametnih telefonih končnim uporabnikom... 1 Tabela 3.1: Porazdeljenost verzij med uporabniki Tabela 4.1: Rezultati... 52

14

15 1. UVOD Prodaja mobilnih telefonov se vsako leto poveča za nekaj odstotkov. V letu 2013 je bil po navedbah druţbe Gartner globalni porast prodaje za 3,5 odstotka glede na leto 2012, kar pomeni skupaj prodanih več kot 1,8 milijarde mobilnih naprav. Od tega predstavljajo pametni mobilni telefoni kar 53,6 %. Pametni telefoni za svoje delovanje potrebujejo nameščen operacijski sistem. Kot je razvidno iz tabele številka 1.1, največji deleţ med operacijskimi sistemi za pametne telefone predstavlja Android, sledita mu ios, ki je nameščen na pametnih telefonih Apple, nato Microsoft za mobilne naprave Nokia in Blackberry (Gartner, 2014). Tabela 1.1: Operacijski sistemi v prodanih pametnih telefonih končnim uporabnikom Operacijski 2013 Tržni delež 2012 Tržni delež sistem (v tisoč enotah) 2013 (%) (v tisoč enotah) 2012 (%) Android , , ios , , Microsoft , ,7 2.5 Blackberry , ,3 5.0 Drugi OS 8.821, ,0 6.9 Skupaj , ,2 100 Vir: Gartner (2014) S pregledom statističnih podatkov dela policije je razvidno, da je bilo z namenom iskanja in dokumentiranja sledov kaznivih dejanj glede na enako obdobje lani opravljenih 4,2 % več forenzičnih zavarovanj in preiskav zaseţenih elektronskih naprav (MNZ, 2013). 1.1 Opredelitev problema Vsebina pametnega telefona je dragocen hranilnik različnih podatkov o uporabniku. Poleg informacij o zadnjih klicih, poslanih kratkih sporočilih in slik se v pomnilniku telefona nahaja še veliko drugih podatkov, ki se v njem shranjujejo brez vednosti lastnika. Pametni telefoni z 1

16 vgrajenim GPS 1 sprejemnikom shranjujejo podatke o lokaciji uporabnika in času, tovrstni podatki se shranjujejo tudi v metapodatkih posnetih fotografij. Pri preiskavah kaznivih dejanj je pridobivanje elektronskih dokazov o osumljencu s forenziko mobilne naprave urejeno z Zakonom o kazenskem postopku (ZKP), ki je bil v ta namen dopolnjen z novelo ZKP-J. Delo na tem področju je zelo dinamično, saj se tehnologija neprestano spreminja, storilci pa uporabljajo tudi različne protiforenzične metode in s tem oteţujejo, oziroma celo onemogočijo preiskavo naprave. Forenzika elektronskih naprav je področje, na katerem je razvoj izredno hiter. Področje digitalne forenzike pokriva tako področje notranjih preiskav incidentov v podjetjih, preiskav elektronskih naprav za potrebe pridobivanja elektronskih dokazov v pravdnih in kazenskih postopkih in področje, ki se nanaša na drţavno varnost. Forenzika mobilnih naprav je ena najhitreje rastočih in razvijajočih se elektronskih forenzik, ponuja veliko priloţnosti, predstavlja pa tudi veliko izzivov. Medtem ko je zanimivejši del forenzike elektronskih naprav z operacijskim sistemom Android pridobivanje in analiza podatkov iz elektronske naprave, je pri tem pomembno, da imamo širše razumevanje platforme in seveda tudi orodij, ki jih uporabljamo med preiskavo. Temeljito poznavanje bo pomagalo forenzičnemu preiskovalcu oziroma varnostnemu inţenirju na poti skozi uspešno preiskavo in analizo elektronske naprave (Hoog, 2011). Cilj katere koli forenzične preiskave je poiskati dejstva in z njihovo pomočjo priti do slike dogodka oz. dogajanja. Preiskovalec razkriva sliko z odkrivanjem in izpostavljanjem dejstev, ki so skrita v sistemu. Preiskovalec je pri tem podoben arheologu pri odkrivanju zgodovinskih dejstev. Ravnanje posameznika pušča sledi v sistemu. Bolj zapletene operacije imajo spremembe vpisane na več mestih in jih je seveda laţje odkriti (Cory, 2011). 1 Global positioning system-sistem globalnega pozicioniranja je satelitski navigacijski sistem, ki omogoča določitev točnega poloţaja in časa kjerkoli na Zemlji, upravlja ga obrambno ministrstvo ZDA (GPS, 2014). 2

17 1.2 Namen in cilji V magistrski nalogi se bomo v prvem delu osredotočili na pravni vidik pridobivanja elektronskih dokazov, ki je najpogostejši vzrok preiskave. Pri forenzični preiskavi je potrebno dosledno upoštevati veljavno zakonodajo v drţavi, kjer se preiskava opravlja, v nasprotnem primeru so pridobljeni elektronski dokazi neveljavni. Po temeljitem vpogledu v zakonodajni okvir ţelimo v prvem delu magistrskega dela opisati metodologijo uspešne pridobitve elektronskega dokaza ob upoštevanju smernic, ki jih narekuje stroka. V drugem delu bomo podrobno predstavili operacijski sistem Android in navedli lokacije podatkov o uporabniku. Tovrstni podatki se shranjujejo na različne lokacije in tudi po izbrisu ostanejo še vedno prisotni na nosilcu podatkov. Dobro poznavanje operacijskega sistema je pomembno zaradi kasnejše primerjave učinkovitosti orodij za forenzične preiskave, oziroma z njihovo pomočjo pridobljenih podatkov. V zadnjem delu bomo naredili primerjavo učinkovitosti orodij za forenzične preiskave in podali kritičen pregled uporabljene programske opreme. Različna namenska programska oprema omogoča dostop do istih podatkov, vendar je za dostop do vseh podatkov, ki so zanimivi za forenzično analizo, potrebno uporabiti več orodij. Razlika je še v kompleksnosti programske opreme in s tem povezane zamudnosti postopka, predstavitvi najdenih podatkov in njihove količine. Forenzično preiskavo bomo izvedli na mobilnem telefonu z operacijskim sistemom Android, v katerega bomo predhodno vnesli testne podatke. Primerjali bomo programsko opremo Open source android forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit Forensics, Oxygen Forensics in Micro systemation XRY Logical. Na spletu je prosto dostopnih več odprtokodnih in plačljivih programskih orodij za forenzično preiskavo mobilnih telefonov. V magistrskem delu ţelimo ugotoviti prednosti in pomanjkljivosti posamezne programske opreme, bistvene prednosti komercialnih programskih rešitev v primerjavi z odprtokodnimi ter skladnost pridobljenih podatkov z vnesenimi testnimi podatki. Za izhodišče bomo vzeli vse vnesene testne podatke. Prvi cilj je opisati metodologijo uspešne pridobitve elektronskega dokaza ob upoštevanju smernic, ki jih narekuje stroka. Drugi cilj je poiskati in opisati mesta hranjenja podatkov o uporabnikih na mobilnih napravah z operacijskim sistemom Android. 3

18 Tretji cilj je izdelati primerjavo učinkovitosti orodij za forenzične preiskave in podati kritičen pregled uporabljene programske opreme. 1.3 Raziskovalna vprašanja 1. Ali je z vsakim od izbranih programskih paketov mogoč dostop do vseh, za forenzično preiskavo relevantnih podatkov? 2. Ali je odprtokodna namenska programska oprema za forenzično preiskovanje zahtevnejša za uporabo od komercialne, je potrebno večje poznavanje operacijskega sistema Linux? 3. Ali lahko z namensko programsko opremo pridobimo nespremenjeno vsebino in podatek o času nastanka vnesenih testnih podatkov? 1.4 Metodologija V magistrski nalogi bomo uporabili primerjalno metodo merjenja učinkovitosti dostopa do vnesenih testnih podatkov, s pomočjo namenskih programov za forenzično preiskavo mobilnih telefonov. Za izhodišče bomo vzeli vse vnesene testne podatke. Različna namenska programska oprema omogoča dostop do istih podatkov, vendar je za dostop do vseh podatkov, ki so zanimivi za forenzično analizo, potrebno uporabiti več orodij. Kot navaja Digital investigation (nadalje DI), je dostop do podatkov v mobilnem telefonu (v članku je opisan dostop do podatkov na platformi Windows mobile) mogoč na več načinov. V članku je primerjanih več različnih načinov in tehnik za dostop do podatkov v mobilni napravi (Grispos George in drugi, 2011). Pred tem bomo pridobili programsko opremo Open source android forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit Forensics, Oxygen Forensics in Micro systemation XRY Logical tako odprtokodne kot komercialne programske opreme. V lastno mobilno napravo vnesene testne podatke bomo z namensko programsko opremo Open source android forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit Forensics, Oxygen Forensics in Micro systemation XRY Logical skušali pridobiti oz. poiskati. Še posebej nas zanima količina pridobljenih testnih podatkov z uporabo komercialne in odprtokodne programske opreme. 4

19 Za izdelavo kritičnega pregleda uporabljene programske opreme bomo pri analizi vsake moţnosti navedli njene osnovne značilnosti in namen, njene zmoţnosti, omejitve in pribliţno oceno potrebnega časa za pridobitev testnih podatkov. Rezultate, pridobljene s pomočjo namenske programske opreme, bomo med seboj primerjali in izpostavili prednosti in slabosti posameznih programskih produktov. 2. ELEKTRONSKI DOKAZ Danes je praktično na vseh področjih ţivljenja prisotna informacijska tehnologija. Uporabniki smo zaradi hitrega tempa ţivljenja praktično povsod vse bolj prisiljeni uporabljati sodobno tehnologijo. Tovrstne aktivnosti pa puščajo različne elektronske sledi, ki se jih pod določenimi pogojih sme in mora poiskati. Z različnimi načini preiskave se za namene preiskovanja kaznivega dejanja in dokazovanja osumljenčevega početja pridobiva elektronske dokaze. Ravno tako kot klasični, fizični dokazi, morajo biti tudi elektronski dokazi pridobljeni v skladu s smernicami stroke in ob doslednem spoštovanju zakonodaje, sicer so neveljavni, neuporabni in se jih ne more upoštevati. Definicijo elektronskega dokaza različni avtorji podajajo različno. Pojma digitalni dokaz in elektronski dokaz sta sopomenki. Stephen Mason opredeljuje elektronski dokaz kot proizvod analogne naprave ali podatek v digitalni obliki, ki je ustvarjen, shranjen ali povezan s kakršnokoli napravo, računalnikom ali računalniškim sistemom ali ki se prenaša preko komunikacijskega sistema in je relevanten za proces razsojanja (Mason, 2007). Kot navaja Selinšek (2009), bo po napovedih tuje teorije digitalna forenzika v prihodnosti še močnejše orodje v rokah organov odkrivanja, pregona in sojenja kot analiza DNA. Pojem dokaz opredeljuje: Dokaz je vir spoznanja o kakem pomembnem dejstvu oziroma sinonim za logično in izkustveno sprejemljivo trditev o obstoju kakega pravno pomembnega dejstva. Elektronski dokaz ni neka nova vrsta dokaza, ni potrebno novo znanje o dokaznem pravu, so pa potrebna znanja o značilnostih in naravi nove vrste dokaza, predvsem splošno znanje o digitalni forenziki in elektronskih dokazih (Selinšek, Liljana). 5

20 2.1 Pridobivanje elektronskih dokazov Področje računalniške forenzike spada med bolj dinamična področja znanosti. Na trţišče prihajajo vedno novejši operacijski sistemi in na njih delujoča programska oprema, ki vsaka na svoj način shranjuje podatke o dejavnostih uporabnika. Neprestano se razvija tudi namenska programska oprema, ki omogoča preiskovalcem dostop do shranjenih elektronskih dokazov. Pri izvajanju računalniške forenzike ne zadostuje le primerna strojna in programska oprema. Potrebno je dosledno upoštevati načela računalniške forenzike, v nasprotnem primeru so pridobljeni elektronski dokazi neveljavni, neuporabni in se jih ne more upoštevati: Revizijska sled Vse dejavnosti na preučevani napravi, nosilcu podatkov, sliki morajo biti dosledno dokumentirane, shranjene in dostopne. V kolikor ţeli tretja stranka do njih dostopati, preiskavo ponoviti, mora priti do enakih rezultatov. Preiskovalec vodi dnevnik dela, kjer podrobno beleţi izvajanje aktivnosti na preiskovanih podatkih oziroma napravi, postopek mora biti jasno opisan. Integriteta Preiskave se ne sme opravljati na način, da bi lahko prišlo do spremembe originalnega izvora podatkov, vedno se preiskuje kopija originala. Ob zavarovanju podatkov se naredi popolna kopija izvornega nosilca podatkov v več izvodih. Po zajemu se izračuna kontrolna zgoščena vrednost na nosilcu in kopiji in s tem zagotovi, da so zavarovani podatki nespremenjeni. Znanje preiskovalca Preiskovalec mora biti primerno usposobljen, v primeru nestrokovne oprave preiskave lahko pride do netočnih ugotovitev, kar elektronske dokaze spremeni, poškoduje ali celo uniči. V določenih primerih je potrebno preiskovati podatke na izvirnem nosilcu, preiskovalec mora vedeti, kaj je s takšnim načinom preiskave spremenil in zakaj se je zanj odločil. Skrbniška veriga Med potekom preiskave je posameznik, ki izvaja preiskavo, odgovoren za vse aktivnosti v zvezi z elektronskimi dokazi, ki morajo biti primerno zaščiteni. Vsaka oseba, ki pride v stik z zaseţenim nosilcem oziroma podatki, mora biti dokumentirana, pooblaščena in usposobljena za delo na preiskovani napravi, nepooblaščenim osebam je potrebno onemogočiti dostop. Zakonodaja Pri izvajanju forenzičnih preiskav in iskanju digitalnih dokazov je potrebno upoštevati splošna forenzična načela in zakonska določila za zavarovanje dokazov (Kovačič in drugi, 2010). 6

21 2.2 Pravni vidik pridobitve elektronskega dokaza Področje preiskave elektronskih naprav ureja Zakon o kazenskem postopku (nadalje ZKP), ki je bil v ta namen dopolnjen z novelo ZKP-J, objavljena je bila v Uradnem listu 30. septembra 2009 in prešla v veljavo v mesecu oktobru V noveli je bistveno bolj razdelano področje preiskave elektronskih naprav z razširitvijo dosedanjega 219. člena ZKP člen ZKP: Če je bila preiskava opravljena brez pisne odredbe sodišča (prvi odstavek 215. člena) ali brez oseb, ki morajo biti navzoče pri preiskavi (prvi in tretji odstavek 216. člena), ali če je bila preiskava opravljena v nasprotju z določbami prvega, tretjega in četrtega odstavka prejšnjega člena, ne sme sodišče opreti svoje odločbe na tako pridobljene dokaze (Uradni list RS, 2007). Tovrstna ureditev je bila nezadostna, področje pridobitve elektronskih dokazov se je močno razširilo, potreba po podrobnejši ureditvi je postala vse večja. Do sprejetja novele je za pridobivanje elektronskih dokazov veljala enaka zakonodaja kot za pridobitev klasičnih dokazov. V praksi se je skušalo smiselno uporabljati določila zakona, ki so veljala za ostale dokaze. V noveli je bil sprejet 219. a člen, ki podrobno ureja področje preiskave in pridobitve elektronskih dokazov Predlog in odredba o preiskavi elektronske naprave (3) Predlog in odredba o preiskavi elektronske naprave morata vsebovati: podatke, ki omogočajo identifikacijo elektronske naprave, ki se bo preiskala; utemeljitev razlogov za preiskavo; opredelitev vsebine podatkov, ki se iščejo; druge pomembne okoliščine, ki narekujejo uporabo tega preiskovalnega dejanja in določajo način njegove izvršitve. (4) Če se preiskava elektronske naprave odredi v odredbi za hišno ali osebno preiskavo, za izdajo tega dela odredbe in njeno izvršitev veljajo pogoji in postopki iz tega člena. V tem primeru tudi predlog za hišno ali osebno preiskavo poda državni tožilec (Uradni list RS, 2012). 7

22 V tretjem odstavku so navedeni bistveni elementi predloga in odredbe o preiskavi elektronske naprave. Enoznačni podatki, ki omogočajo identifikacijo elektronske naprave, morajo biti pridobljeni pred izdajo odredbe. Pomeni, da je potrebno v primeru preiskave mobilnega telefona pridobiti IMEI 2 številko. IMEI enoznačno identificira posamezno mobilno napravo, je unikatna za vsak mobilni telefon in omogoča kontrolo dostopa do GSM omreţja (GSMA, 2011). Identifikacija mobilne naprave je mogoča tudi z uporabo IMSI 3 številke. IMSI je shranjena v SIM 4 kartici, ki jo uporabnik prejme ob sklenitvi naročniškega razmerja z operaterjem, ponudnikom GSM-storitev (Crowe, 2001). V odredbi o preiskavi je navedena utemeljitev razlogov za preiskavo in opredelitev vsebine podatkov, ki se iščejo. Preiskovalec mora pri svojem delu dosledno upoštevati odredbo sodišča in iskati podatke, ki so navedeni v odredbi. V kolikor se v postopku pojavijo nova dejstva in s tem povezane zahteve po preiskavi, je potrebno pridobiti novo razširjeno odredbo Zaseg predmetov Zaseg predmetov v kazenskem postopku je opredeljen v 220. členu ZKP. Člen določa pogoje, pod katerimi se lahko zaseţe katerekoli predmete, ki bi lahko pomagali pri preiskavi kaznivega dejanja. (1) Predmeti, ki se morajo po kazenskem zakonu vzeti ali ki utegnejo biti dokazilo v kazenskem postopku, se zasežejo in izročijo v hrambo sodišču ali pa se kako drugače zavaruje njihova hramba. 2 International mobile station equipment identity je identifikacijska številka mobilnega aparata, sestavljena iz petnajstih do sedemnajstih številk. Običajno jo najdemo natisnjeno za baterijo v mobilni napravi (IMEI TOOLS, 2014). 3 International mobile subscriber identity je identifikacijska številka, dodeljena s strani mobilnega operaterja, ki omogoča identifikacijo posamezne mobilne naprave (Gartner, 2014a). 4 Subscriber identity module je pametna kartica s pomnilniškim čipom, omogoča povezavo mobilne naprave z mobilnim omreţjem, med drugim je v njej shranjena tudi IMSI številka (Gartner, 2014b). 8

23 (2) Kdor ima take predmete, jih mora na zahtevo sodišča izročiti. Če noče izročiti predmetov, se sme kaznovati z denarno kaznijo, določeno v prvem odstavku 78. člena tega zakona, če tega še vedno noče storiti, pa se sme zapreti. Zapor traja do izročitve predmetov ali do konca kazenskega postopka, vendar največ mesec dni. (3) O pritožbi zoper sklep, s katerim je bila izrečena denarna kazen ali odrejen zapor, odloča senat (šesti odstavek 25. člena). Pritožba zoper sklep o zaporu ne zadrži njegove izvršitve. (4) Policisti smejo zaseči predmete, omenjene v prvem odstavku tega člena, kadar postopajo po 148. in 164. členu tega zakona ali kadar izvršujejo nalog sodišča (Uradni list RS, 2007). V 148. členu ZKP, v zvezi s petim odstavkom 220. člena ZKP je navedeno, da v primeru podanih razlogov za sum storjenega kaznivega dejanja mora policija ukreniti vse, kar je potrebno, da se zavarujejo sledovi kaznivega dejanja in predmeti, ki utegnejo biti dokaz. V 164. členu ZKP, v zvezi s petim odstavkom 220. člena ZKP je navedeno, da sme policija zaseči predmete še pred začetkom preiskave, v kolikor bi bilo nevarno odlašati. O izvršenih dejanjih mora policija oziroma preiskovalni sodnik brez odlašanja obvestiti drţavnega toţilca. (5) Pri zasegu predmetov se navede, kje so bili najdeni, in predmeti opišejo, po potrebi pa se tudi na drug način zavaruje ugotovitev njihove istovetnosti. Za zasežene predmete se izda zapisnik (Uradni list RS, 2007). V zapisniku o zaseţenem predmetu je potrebno podrobno opisati zaseţene predmete. V primeru zaseţene elektronske naprave je običajno naprava označena z enoznačno identifikacijsko številko, mobilna naprava tudi z IMEI številko. V kolikor je mogoče, se zaseţene predmete fotografira, opiše stanje in morebitne poškodbe. Zapisnik o zasegu se izda tistemu, pri katerem se opravi preiskava Zaseg elektronske naprave in zavarovanje podatkov (1) Če se zaseže elektronska naprava (prvi odstavek 219. a člena) zaradi oprave preiskave, se podatki v elektronski obliki zavarujejo tako, da se shranijo na drug ustrezen nosilec podatkov na način, da se ohrani istovetnost in integriteta podatkov ter možnost njihove uporabe v nadaljnjem postopku ali se izdela istovetna kopija 9

24 celotnega nosilca podatkov, pri čemer se zagotovi integriteta kopije teh podatkov. Če to ni mogoče, se elektronska naprava zapečati, če je mogoče, pa samo tisti del elektronske naprave, ki naj bi vseboval iskane podatke (Uradni list RS, 2012). V 223. a členu je z novelo ZKP-J podrobno urejeno ravnanje z zaseţenimi elektronskimi napravami. Posebnost elektronskih naprav v primerjavi z drugimi zaseţenimi predmeti je v tem, da se zaseg opravi z namenom pridobiti podatke, ki se nahajajo na napravi. Elektronsko napravo se po opravljenem zavarovanju podatkov vrne lastniku. Posebnega pomena je zagotoviti istovetnost in integriteto podatkov. Navedeno se zagotovi z uporabo izračuna kontrolne vrednosti. Imetnika naprave oziroma njegovega zastopnika se povabi k navzočnosti pri izdelavi kopije podatkov, v kolikor se ga ne udeleţi, se ga opravi brez njegove prisotnosti. Zakon predpisuje ustrezno usposobljeno osebo za izvedbo zavarovanja podatkov na zaseţeni napravi. (3) Imetnik, uporabnik, upravljavec ali skrbnik elektronske naprave oziroma tisti, ki ima do nje dostop, mora na zahtevo organa, ki jo je zasegel, takoj ukreniti, kar je potrebno in je v njegovi moči, da se onemogoči uničenje, spreminjanje ali prikrivanje podatkov. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca, obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen) (Uradni list RS, 2012). V tretjem odstavku je urejeno predvsem področje dostopa do podatkov na napravah, kjer je uporabljena določena protiforenzična metoda. V kolikor ne omogoči dostopa do podatkov, se ga lahko kaznuje tudi s kaznijo zapora, vendar največ mesec dni. (5) Pri zavarovanju podatkov se v zapisnik zapiše tudi kontrolna vrednost, oziroma se na drug ustrezen način v zapisniku zagotovi možnost naknadnega preverjanja istovetnosti in integritete zavarovanih podatkov. Izvod zapisnika se izroči osebi iz prejšnjega odstavka, ki je bila navzoča pri zavarovanju podatkov (Uradni list RS, 2012). Na kopiji podatkov zaseţene naprave se naredi izračun kontrolne zgoščene vrednosti. Rezultat izračuna kontrolne zgoščene vrednosti je praktično prstni odtis datoteke zajetih podatkov. Kontrolno zgoščeno vrednost se vpiše v zapisnik, s tem se zagotovi kasnejše ponovno 10

25 preverjanje oziroma forenziko podatkov morebitni tretji osebi, zagotovi se ponovljivost postopka. (6) Zaseg in zavarovanje podatkov morata biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter se ne povzroča nesorazmerna škoda zaradi nezmožnosti uporabe elektronske naprave (Uradni list RS, 2012). V primeru vdora v informacijski sistem v podjetju se zavaruje podatke na napadenih napravah. Pri tem seveda pride do dodatnega oviranja dela in s tem posredno povečanja škode, povzročene ţe s samim napadom. Zavarovanje je potrebno izvesti na način, ki v najmanjši moţni meri ovira uporabnike napadene opreme. (7) Kopije zaseženih podatkov se hranijo, dokler je to potrebno za postopek. Elektronska naprava se hrani, dokler podatki niso shranjeni na način, ki zagotovi istovetnost in integriteto zaseženih podatkov, vendar ne več kakor tri mesece od dneva pridobitve. Če izdelava takšne kopije podatkov ni mogoča, se elektronska naprava ali del elektronske naprave, ki vsebuje iskane podatke, hrani, dokler je to potrebno za postopek, vendar ne več kakor šest mesecev od dneva pridobitve, razen če je bila zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja, oziroma je sama elektronska naprava dokaz v kazenskem postopku (Uradni list RS, 2012). V sedmem odstavku je določen čas, v katerem je potrebno opraviti zavarovanje podatkov na zaseţeni napravi in jo vrniti lastniku. Kljub določenim rokom za izvedbo zavarovanja podatkov na zaseţeni napravi se iz različnih razlogov (velika količina podatkov, pomanjkanje strokovnjakov) sama preiskava lahko zavleče tudi do enega leta in pol (Lovšin, 2013) Preiskava elektronskih naprav (1) Preiskava elektronskih in z njo povezanih naprav ter nosilcev elektronskih podatkov (elektronska naprava), kot so telefon, telefaks, računalnik, disketa, optični mediji in spominske kartice, se zaradi pridobitve podatkov v elektronski obliki lahko opravi, če so podani utemeljeni razlogi za sum, da je bilo storjeno kaznivo dejanje in je podana verjetnost, da elektronska naprava vsebuje elektronske podatke: 11

26 na podlagi katerih je mogoče osumljenca ali obdolženca identificirati, odkriti ali prijeti ali odkriti sledove kaznivega dejanja, ki so pomembni za kazenski postopek, ali ki jih je mogoče uporabiti kot dokaz v kazenskem postopku (Uradni list RS, 2012). Prvi odstavek 219. a člena ZKP točno opredeljuje definicijo elektronske naprave in določa pogoje, na podlagi katerih se opravi preiskava elektronske naprave. Elektronska naprava je definirana kot nosilec elektronskih podatkov, dokazna vrednost se tako seli s fizičnega predmeta na vsebovane podatke. Cilj preiskave je pridobitev podatkov v elektronski obliki, ki so pomembni za kazenski postopek ali jih je mogoče uporabiti kot dokaz. (2) Preiskava se opravi na podlagi vnaprejšnje pisne privolitve imetnika ter policiji znanih in dosegljivih uporabnikov elektronske naprave, ki na njej utemeljeno pričakujejo zasebnost (uporabnik), ali na podlagi obrazložene pisne odredbe sodišča, izdane na predlog državnega tožilca. Če se preiskava opravi na podlagi odredbe sodišča, se izvod te odredbe pred začetkom preiskave izroči imetniku oziroma uporabniku elektronske naprave, ki naj se preišče (Uradni list RS, 2012). Pisna privolitev imetnika ter ostalih policiji znanih in dosegljivih uporabnikov elektronske naprave se pričakuje v primeru preiskave ţrtvine elektronske naprave. Pomembno je, da se varuje zasebnost vseh znanih in dosegljivih uporabnikov. Pri preiskavi elektronske naprave storilca oziroma osumljenca kaznivega dejanja se upravičeno pričakuje odklonitev pisne privolitve. Na predlog drţavnega toţilca sodišče izda obrazloţeno pisno odredbo, ki predstavlja podlago za preiskavo, pred začetkom preiskave se jo izroči imetniku elektronske naprave. (6) Imetnik oziroma uporabnik elektronske naprave mora omogočiti dostop do naprave, predložiti šifrirne ključe oziroma šifrirna gesla in pojasnila o uporabi naprave, ki so potrebna, da se doseže namen preiskave. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca ali obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen) (Uradni list RS, 2012). Posameznik, ki noče predloţiti šifrirnih ključev in pojasnil o uporabi naprave, s katerimi se doseţe namen preiskave, lahko sodišče kaznuje z denarno kaznijo. V kolikor še vedno ne 12

27 sodeluje, pa tudi s kaznijo zapora, ki ne sme trajati več kot mesec dni. Moţnost kaznovanja ne velja za osumljence in obdolţence, ki ne smejo biti zaslišane kot priče ali pa so se zaradi spoštovanja ustavnega privilegija zoper samoobtoţbo odrekle pričanju. Kot pojasnjuje Kovačič, bodo v primeru, ko posameznik uporablja tehniko verodostojnega zanikanja, zakonske določbe o obveznosti razkritja šifrirnih ključev neuporabne. Na spletu je prosto dostopnih več brezplačnih programov, ki omogočajo šifriranje podatkov na različnih podatkovnih nosilcih. Podatki na šifriranih nosilcih so za preiskovalce praktično nedostopni, dostop do njih je mogoč samo z vnosom gesla, kar vsekakor oteţuje tovrstne preiskave. Z uporabo določenih šifrirnih tehnik je namreč mogoče znotraj posameznega šifrirnega kontejnerja skriti dodaten šifrirni kontejner. Uporabnik nato z vnosom določenega gesla dostopa do osnovnega kontejnerja, z vnosom drugega gesla pa omogoči dostop do drugih podatkov, shranjenih v dodatnem šifrirnem kontejnerju. Posameznik, ki bo prisiljen razkriti šifrirne ključe, bo v primeru verodostojnega zanikanja razkril oziroma omogočil dostop samo do zanj razbremenilnih podatkov. Sistem šifrirnih kontejnerjev je zasnovan na način, da v posameznem ni mogoče ugotoviti morebitnih skritih šifrirnih kontejnerjev (Kovačič in drugi, 2010). (7) Preiskava se opravi tako, da se ohrani integriteta izvirnih podatkov in možnost njihove uporabe v nadaljnjem postopku. Preiskava mora biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda (Uradni list RS, 2012). Eno izmed temeljnih načel forenzike pravi, da se preiskave ne sme opravljati na način, da bi lahko prišlo do spremembe originalnega izvora podatkov, vedno se preiskuje kopija originala. V osmem odstavku sta določena način in vsebina zapisnika o preiskavi elektronske naprave. Zapisnik vodi strokovno usposobljena oseba vzporedno s preiskavo, v njem so navedeni: identifikacija elektronske naprave, ki je bila pregledana; datum ter ura začetka in konca preiskave oziroma ločeno za več preiskav, če preiskava ni bila opravljena v enem delu; morebitne sodelujoče in navzoče osebe pri preiskavi; številka odredbe in sodišče, ki jo je izdalo; način izvedbe preiskave; 13

28 ugotovitve preiskave in druge pomembne okoliščine. (9) Če se pri preiskavi najdejo podatki, ki niso v zvezi s kaznivim dejanjem, zaradi katerega je bila preiskava odrejena, temveč kažejo na drugo kaznivo dejanje, za katero se storilec preganja po uradni dolžnosti, se zasežejo tudi ti. To se navede v zapisnik in takoj sporoči državnemu tožilcu, da začne kazenski pregon. Ti podatki pa se takoj uničijo, če državni tožilec spozna, da ni razloga za kazenski pregon in tudi ne kakšnega drugega zakonskega razloga, da bi se morali podatki vzeti. O uničenju se sestavi zapisnik. (11) Če je bila preiskava elektronske naprave opravljena brez odredbe sodišča ali v nasprotju z njo ali brez pisne privolitve iz drugega odstavka tega člena, sodišče svoje odločbe ne sme opreti na zapisnik o preiskavi in na tako pridobljene podatke (Uradni list RS, 2012). V devetem in enajstem odstavku 219. a člena novele ZKP-J je navedeno, da je v primeru naključnega odkritja podatkov, ki kaţejo na drugo kaznivo dejanje, potrebno obvestiti drţavnega toţilca in pridobiti novo odredbo za preiskavo. Dokazi, pridobljeni z napačno odredbo, brez pisne privolitve imetnika oziroma odredbe sodišča, niso pravno veljavni in se jih na sodišču ne upošteva. 2.3 Elektronska forenzična preiskava Forenzična preiskava elektronskih naprav je novejše področje, njegovi začetki sovpadajo s pojavom elektronskih naprav. Zajema preiskave elektronskih naprav in obravnavanje incidentov na omreţjih. Razlog za pričetek forenzične preiskave je lahko storjeno kaznivo dejanje, posledično se skuša pridobiti dokaze na elektronskih napravah osumljenca. Razlog forenzične preiskave omreţja je neobičajno delovanja omreţja oziroma naprav, priključenih na omreţje. Podatki, pridobljeni med forenzično preiskavo, pomagajo preiskovalcem pri rekonstrukciji okoliščin in skrbnikom omreţij omogočajo uvesti potrebne ukrepe za preprečitev podobnih incidentov v prihodnje. Potek preiskave se močno razlikuje in je odvisen od več dejavnikov: lokacije, razseţnosti incidenta, notranjih politik v podjetjih, naprave. Kljub temu je National institute of standards and tehnology (nadalje NIST) razdelil forenzično preiskavo v štiri glavne faze: 14

29 zbiranje podatkov, preiskava podatkov, analiza podatkov, izdelava poročila. Zbiranje podatkov je postopek fizičnega pridobivanja podatkov iz različnih pomnilniških medijev (trdi disk, spominska kartica, drugi pomnilniki). Preiskava podatkov pridobljenih z zbiranjem, je postopek, v katerem se pregleda pridobljene podatke in se jih pretvori v razumljivo obliko za preiskovalca Analiza podatkov je postopek, v katerem iz mnoţice podatkov izluščimo ţelene oziroma relevantne v preiskavi. Izdelava poročila je postopek, v katerem je zabeleţen celoten postopek pridobitve informacije iz podatka (Chevalier in drugi, 2006). 2.4 Forenzika mobilnega telefona Forenzika mobilnega telefona zajema več zaporednih faz: prevzem, identifikacijo, pripravo, izolacijo, preiskavo, preverjanje, izdelavo poročila, predstavitev in arhiviranje Prevzem mobilnega telefona Pri prevzemu mobilnega telefona se je potrebno posvetiti izpolnitvi razlogov za preiskavo. Preveri se skladnost odredbe za preiskavo s prevzeto napravo, izpolni prevzemni obrazec, vnese podatke o uporabniku mobilnega telefona, določi skrbniško verigo ter seveda preveri, katere podatke se na zaseţeni napravi išče Identifikacija Za vsako preiskavo mora preiskovalec identificirati naslednje: Zakonska podlaga za opravo preiskave mobilne naprave V tej fazi se je potrebno osredotočiti na pričakovane cilje preiskave in preverjanje pravne podlage zanjo. Pomembno je določiti, katera zakonska pooblastila obstajajo za opravo preiskave. 15

30 Cilji preiskave Zmoţnosti forenzičnega preiskovalca in njegove strojne opreme so omejene. Glede na veliko število mobilnih naprav na trgu, je nemogoče pričakovati, da bo imel vsak laboratorij za forenzične preiskave elektronskih naprav moţnost preiskave vsake naprave. Zato je potrebno glede na prevzeto napravo določiti meje preiskave. Določi se, kdo je odgovoren za dokumentiranje podatkov in kako poglobljena bo preiskava. V določenih primerih je dovolj, da se naredi preiskava z namenskimi programi za forenzične preiskave. V kolikor je potrebno dostopati tudi do izbrisanih podatkov, pa lahko postane preiskava časovno in tehnično zahtevnejša. Preverjanje proizvajalca in modela mobilnega telefona Pomembno je ţe iz razloga preverjanja moţnosti preiskave telefona s programsko opremo, ki jo imamo na voljo. V specifikacijah programske opreme je navedeno, katere mobilne telefone je mogoče preiskovati. Preveri se IMEI in IMSI številke ter se jih primerno dokumentira. Zunanji, odstranljiv pomnilnik Določeni modeli mobilnih telefonov omogočajo uporabo zunanjega medija za hranjenje podatkov. Največkrat je to TF-microSD kartica različnih kapacitet. V primeru, da mobilni telefon vsebuje takšen pomnilnik, ga je potrebno odstraniti iz naprave in uporabiti klasične forenzične metode preiskovanja. V kolikor se podatki na zunanjem pomnilniku preiskujejo z uporabo forenzičnih orodij za preiskavo mobilnih telefonov, lahko pride do spremembe časovne oznake shranjenih podatkov. Vse večje število mobilnih telefonov omogoča sinhronizacijo shranjenih podatkov s spletnim servisom ali uporabnikovim osebnim računalnikom. V kolikor je mogoče trditi, da so določeni podatki shranjeni na teh mestih, lahko pomenijo potencialni dodatni vir elektronskih dokazov, oziroma moţnost potrditve odkritih elektronskih dokazov. Moţnost zbiranja klasičnih forenzičnih dokazov V kolikor se izkaţe za potrebno, se pred izvedbo forenzike mobilnega telefona opravi analizo DNA, oziroma se poišče in zbere morebitne prstne odtise, ki povezujejo mobilno napravo z uporabnikom Priprava na preiskavo V postopku identifikacije je preiskovalec ţe začel s pripravami na preiskavo mobilne naprave. Priprava na preiskavo pomeni pridobitev podatkov o potrebni programski opremi za opravljanje forenzične preiskave, kot tudi potrebne strojne opreme. Na trţišču ni programske 16

31 opreme, ki bi omogočala pridobitev vseh podatkov iz vseh mobilnih telefonov. Preiskava določenih mobilnih telefonov pa je mogoča samo z ročno ekstrakcijo ţelenih podatkov Izolacija naprave Mobilni telefoni so namenjeni komunikaciji, pri svojem delovanju se povezujejo v različna omreţja in omogočajo prenos zvoka in podatkov. Pred izvedbo preiskave, še bolje ob zasegu elektronske naprave, jo je potrebno izolirati, oziroma ji onemogočiti nadaljnjo povezovanje in komunikacijo. Povezana naprava namreč v pomnilnik še vedno zapisuje različne podatke, ki niso povezani z uporabnikom. Lastnik naprave lahko pošlje napravi tudi navodilo, da se izbrišejo vsi zasebni podatki in se napravo postavi v tovarniško stanje. Preiskovalec lahko pri preiskovanju nehote prekorači omejitve odredbe za preiskavo in dostopa do podatkov, ki so shranjeni na omreţju ali osebnem računalniku. Napravo se izolira z uporabo Faradayevih vrečk, oziroma elektronskih naprav, ki onemogočajo povezovanje. Preiskava se lahko izvaja v Faradayevi sobi, ki onemogoča povezovanje, oziroma se napravo postavi v Airplane 5 mode in s tem onemogoči povezovanje na sami napravi. V kolikor vseeno pride do določenih novih dogodkov na napravi, jih preiskovalec zabeleţi in navede moţne razloge za njihov nastanek Preiskava telefona Mobilna naprava je brez dostopa do omreţja, orodja za opravljanje preiskave so znana. Zunanji mediji so odstranjeni in se jih preiskuje ločeno. V določenih primerih je zunanji pomnilnik teţje odstraniti, zaradi pomanjkljivega orodja ali v primeru zaklenjenih podatkov na mobilni telefon. Pri preiskavi zunanjega pomnilnika s programskimi orodji za preiskavo mobilnih telefonov je posebej pomembno dokumentirati čas oprave preiskave telefona in nameščenega zunanjega pomnilnika. Glede na cilje preiskave se izbere obseţnost preiskave. 5 Način delovanja Android mobilnega telefona v načinu brez povezave. 17

32 2.4.6 Preverjanje rezultatov Po preiskavi mobilnega telefona je potrebno preveriti skladnost dobljenih rezultatov. Potrditev rezultatov se lahko izvede na več načinov: Preverjanje dobljenih rezultatov z direktnim preverjanjem na mobilnem telefonu pri tem skušamo z uporabo mobilnega telefona potrditi rezultate, do katerih smo prišli z uporabo preiskovalnih orodij in metod. Uporaba različnih orodij za enak namen z uporabo različnih orodij skušamo potrditi dobljene rezultate. Uporaba zgoščevalne funkcije oziroma hash 6 vrednosti pred izvedbo preiskave se naredi zajem vseh podatkov na preiskovani napravi in izračuna hash vrednost. Po opravljeni preiskavi se ponovno naredi zajem vseh podatkov in izračun hash vrednosti. V kolikor so se podatki na mobilni napravi spremenili, bosta hash vrednosti različni. To pomeni, da smo med preiskovanjem spremenili podatke na preiskovani napravi Dokumentiranje in poročanje Skozi celoten postopek preiskave se vodi zapisnik o opravljenem delu in izvedenih postopkih preiskave. Preiskovalčevo poročilo mora vsebovati naslednje informacije: Naveden temelj za preiskavo (odredba ali pisna privolitev). Ime in priimek lastnika oziroma imetnika preiskovane naprave. Ime in priimek preiskovalca. Fizično stanje mobilnega telefona. Fotografije mobilnega telefona, posameznih komponent (SIM-kartice, odstranljivi spominski mediji) in identifikacijskih oznak. Stanje mobilnega telefona ob prevzemu (priţgan, ugasnjen). Proizvajalec, model, identifikacijski podatki. Datum in čas opravljenega zavarovanja podatkov, navedba prisotnosti lastnika. Opredelitev vsebine podatkov, ki se iščejo. Datum in čas začetka preiskave. 6 Algoritemska pretvorba poljubne vsebine v točno določeno številsko vrednost. RSA (2012) 18

33 Orodja, ki so bila uporabljena med preiskavo. Podroben opis dela preiskovalca. Podatki, ki so bili pridobljeni pri preiskavi. Način shranjevanja elektronskih dokazov. Posebnosti pri preiskavi Predstavitev rezultatov Pridobljene podatke in metode, s katerimi so bili pridobljeni, je potrebno na jasen in enostaven način predstaviti morebitnemu drugemu preiskovalcu, toţilcu ali sodniku. Preiskovalčevo poročilo mora biti podrobno opisano. Od izvedbe preiskave in predstavitve pridobljenih dokazov na sodišču lahko preteče daljše časovno obdobje. Preiskovalec bo v primeru pričanja o pridobljenih dokazih ugotovitve preiskave našel in zagovarjal na podlagi kvalitetno napisanega poročila. Rezultate preiskave je potrebno shraniti v elektronski obliki, ki omogoča uvoz v programe za urejanje. V primerih večje količine podatkov se pojavijo potrebe po sortiranju, glede na različne kriterije. Za potrebe predstavitve se lahko z namenskim programom pripravi tudi datoteko, ki vsebuje ključne izsledke preiskave Arhiviranje Glede na vse večje potrebe po preiskavah mobilnih telefonov se arhiviranje postopkov obrestuje pri kasnejših podobnih preiskavah. Vsaka preiskava se razlikuje v posameznih podrobnostih. V kolikor se iz kateregakoli razloga pojavi potreba po kasnejši ponovitvi preiskave, sta kvalitetno izdelana arhivska dokumentacija in spremljajoči zajeti podatki bistvenega pomena za zagotovitev integritete dobljenih rezultatov preiskave (Cindy, 2012). 2.5 Protiforenzične metode Namen uporabe protiforenzičnih metod je seveda oteţiti oziroma onemogočiti preiskovalcu dostop do podatkov na elektronski napravi. Protiforenzične metode je mogoče ločiti glede na način delovanja oziroma oteţevanja postopka preiskave. Zaradi samega postopka preiskave 19

34 elektronske naprave, ki poteka od zbiranja podatkov, njihove preiskave, analize in izdelave poročila, lahko tovrstno ravnanje ovira preiskovalca pri eni ali več stopnjah preiskave Skrivanje podatkov Steganografija Podatke se lahko zakamuflira, da jih preiskovalec ne vidi kot zanimive v preiskavi, kar se lahko naredi na več načinov. Slike, besedilo, tabele, se lahko npr. vstavi v PowerPoint 7 predstavitev. Preiskovalec, ki ima v nalogu o preiskavi navedeno iskanje slik, lahko spregleda datoteke s končnico.ppt ali.pptx, ki je privzeta za tovrstne datoteke. Podatke se lahko z namensko programsko opremo tudi vdela v nosilne datoteke, ki so lahko slike, videi ali izvršljive datoteke.exe (Kessler, 2007). Za operacijski sistem Android je na voljo brezplačna aplikacija Steganography Application, ki v poljubno sliko skrije besedilo. Do besedila lahko dostopamo s ponovno obdelavo slike v aplikaciji. Shranjevanje na mesta, nevidna logičnemu dostopu Izvedemo shranjevanje na mesta, ki so rezervirana za delovanje sistema, na njih se nahajajo podatki, namenjeni nalaganju operacijskega sistema in podobno. Na teh mestih se ne pričakuje shranjenih podatkov, logični dostop do pomnilniškega medija nam jih ne prikaţe (Kessler, 2007). Za operacijski sistem Android je na voljo brezplačna aplikacija HideItPro. Po namestitvi jo najdemo med aplikacijami z imenom 'Audio Manager'. Po zagonu vstopimo v skriti meni, kjer lahko naredimo posamezne mape in njihovo vsebino nevidno, oziroma jo še šifriramo z 256-bitnim AES algoritmom (HideItPro, 2014). Šifriranje Šifriranje je postopek, ki z uporabo različnih matematičnih metod spremeni podatke in jih s tem naredi neberljive, do njih lahko dostopamo samo z uporabo zaporedja številk in črk, katerega smo uporabili za šifriranje. Šifriranje se uporablja za povečanje varnosti na različnih nivojih, podatke lahko šifriramo na lokalnem računalniku, uporabljamo šifrirano povezavo za prenos podatkov prek spleta oziroma šifriramo podatke na mobilnem telefonu (SSD, 2014). 7 Program namenjen predstavitvam, del Microsoft Office paketa. 20

35 Dostop preiskovalca do podatkov na šifriranem mediju je praktično nemogoč. Preiskovalec lahko poskusi pridobiti dostop z avtomatskim programom, ki vnaša različna tipična gesla iz slovarja oziroma jih sam generira, vendar je takšen način časovno zahteven, uspešnega rezultata pa ni mogoče napovedati. Na mobilnem telefonu z operacijskim sistemom Android je mogoče šifrirati vse podatke na mobilni napravi od verzije Gingerbread naprej (Android Encryption, 2014). Pri vsakem zagonu naprave je potrebno vpisati geslo, sestavljeno iz najmanj šestih znakov, med katerimi more biti vsaj ena številka, uporaba daljšega gesla zmanjša verjetnost preiskovalca za uspešen dostop do podatkov. Deleţ pametnih telefonov z vklopljenim šifriranjem se bo povečeval, veliko podjetij namreč zahteva uporabo šifriranega mobilnega telefona za dostop do pošte, stikov in koledarja preko Microsoft Exchange ActiveSync 8. Shranjevanje podatkov v oblaku Značilnost pametnega telefona je njegova neprestana povezava z internetom, preko katere se sinhronizira poštni odjemalec, koledar, stiki, posodablja aplikacije in programsko opremo. Več ponudnikov shranjevanja podatkov v oblaku je razvilo aplikacije, namenjene uporabi v pametnih telefonih z operacijskim sistemom Android. Nekatere izmed njih so: Dropbox, Box, SugarSync, Google Drive, Ubuntu One Files. Tovrstni servisi predstavljajo preiskovalcem dodaten izziv, pri pridobivanju podatkov je potrebno upoštevati veljavno zakonodajo v drţavi, kjer so podatki shranjeni, preiskava poteka dlje časa Prepisovanje podatkov Večkratno brisanje podatkov Podatke, ki jih izbrišemo s podatkovnega nosilca, je praviloma mogoče obnoviti. Podatki se dejansko ne izbrišejo, temveč ostanejo še vedno zapisani na nosilcu, operacijski sistem dodeli prostor, kjer se nahajajo na voljo za nove podatke. V kolikor še niso bili prepisani z drugimi podatki, jih je še vedno mogoče obnoviti. Na spletu je mogoče dobiti več brezplačnih programov, ki prostor, kjer je izbrisan podatek zapisan večkrat, prepišejo z naključnim podatkovnim vzorcem in tako onemogočijo obnovitev (Kessler, 2007). Za operacijski sistem 8 Microsoft Exchange ActiveSync, aplikacija omogoča sinhronizacijo mobilne naprave s streţnikom. Namenjena je dostopu do pošte, koledarja, stikov, večinoma v korporativni rabi. 21

36 Android je v GooglePlay 9 na voljo več brezplačnih aplikacij, ki uporabniku omogočajo enostavno prepisovanje ţelenih podatkov. Ponarejanje metapodatkov Operacijski sistemi beleţijo za vsako datoteko, kdaj in kdo je do nje zadnjič dostopal, urejal ali spreminjal. Komercialni forenzični programi imajo moţnost prikaza analiziranih podatkov v kronološkem zaporedju. Preiskovalec se lahko osredotoči na obdobje, ki je relevantno za pridobivanje elektronskega dokaza. S ponarejanjem časovne oznake se lahko elektronski dokaz prilagodi do mere, ko postane razbremenjujoč Fizično uničenje naprave S fizičnim uničenjem naprave je dostop do podatkov seveda oteţen, vendar je v določenih primerih še vedno mogoč. Pri preiskavi poškodovanega mobilnega telefona preiskovalec, odvisno od narave poškodbe, preveri moţnost dostopa do podatkov na več različnih načinov. V primeru uničenega zaslona se do podatkov dostopa z namensko programsko opremo, namenjeno preiskavam, v določenih primerih se zaslon zamenja (USB-razhroščevanje onemogočeno). Spominski modul lahko prestavimo v drugo enako napravo in nato na njej naredimo preiskavo. Pri odstranitvi spominskega modula s plošče tvegamo izgubo podatkov zaradi toplotnih obremenitev oziroma dodatne mehanske poškodbe. Zadnja in časovno najzahtevnejša moţnost je fizična odstranitev spominskega modula iz matične plošče in izvedba 'chip-off' forenzične preiskave, potrebna so namenska orodja in programska oprema (Forensics Focus, 2014). 9 GooglePlay je Googlova spletna trgovina, preko katere je mogoča namestitev različnih brezplačnih in komercialnih aplikacij, kupiti knjige in filme oziroma dostopati do različnih multimedijskih vsebin. 22

37 3. OPERACIJSKI SISTEM ANDROID Operacijski sistem Android je odprtokodni operacijski sistem, namensko razvit za mobilne naprave. Razvilo ga je podjetje Google, deluje na Linux jedru, vse aplikacije pa so napisane v programskem jeziku Java. Drugi največji trţni deleţ ima podjetje Apple in njihov operacijski sistem ios. Podjetje Apple je 9. januarja 2007 predstavilo napravo za mobilno komunikacijo, imenovano 'iphone'. Na napravi je nameščen operacijski sistem ios, upravlja se jo z zaslonom, občutljivim na dotik. Z uporabo različnih načinov prenosa podatkov omogoča sinhronizacijo s PC ali MAC osebnim računalnikom. Aplikacije si uporabnik namešča z uporabo spletne trgovine 'AppStore' (Apple Press Info, 2007). Mobilne naprave z nameščenim Android OS omogočajo več nastavitev na napravi, v spletni trgovini je večja izbira aplikacij. Zaradi različnih konfiguracij strojne opreme je razvoj aplikacij zahtevnejši kot za ios, na mobilnih napravah z Android OS je večja uporaba piratske programske opreme (Lurchenko, 2013). Windows Phone operacijski sistem razvija podjetje Microsoft. Podjetje je vstopilo na trg operacijskih sistemov za mobilne naprave leta 2000 z OS Windows Mobile. Leta 2010 je v ZDA izšla prva verzija Windows Phone 7, ki je delovala na mobilnih napravah proizvajalcev HTC, Dell, Samsung in LG (Ricker, 2010). Zadnja verzija OS Windows Phone 8.1 je izšla aprila Glavna novost je uvedba glasovnega pomočnika, imenovanega 'Cortana', podobno aplikacijo ima tudi ios,imenovano 'Siri', in Android, imenovano 'Google Now'. Vgrajeni brskalnik Internet Explorer 11 omogoča sinhronizacijo zaznamkov in prenosa zavihkov na vseh napravah, v katerih smo prijavljeni. OS temelji na namizni različici Windows 8.1, kar pomeni enako stopnjo zanesljivosti delovanja in varnosti (Windows Phone Central, 2014). 3.1 Razvoj Podjetje Android je bilo ustanovljeno leta 2003 v kraju Palo Alto, Kalifornija. Ţe v začetku je razvoj temeljil na programski opremi za mobilne telefone. V letu 2005 je Google kupil podjetje Android. Pojavile so se govorice, da namerava preiti na trg mobilne telefonije, vendar nihče ni vedel, kakšna bo njegova vloga. 23

38 Prvotni ustanovitelji Androida Nick Sears, Chris White, Andy Rubin in Rich Miner so dobili zaposlitev v Googlu, kamor so prenesli svoje znanje. Rubin je vodil ekipo pri ustvarjanju mobilne naprave na Linux jedru. Ekipa je promovirala operacijski sistem tako pri proizvajalcih mobilnih aparatov, kot tudi pri operaterjih. Glavno sporočilo promocije tem potencialnim strankam je bilo, da je operacijski sistem zelo proţen in prilagodljiv. V javnosti so se pojavila ugibanja, ali namerava Google razviti svoj mobilni telefon, vendar so bile njihove ambicije precej večje (Bloomberg Businessweek, 2005). Novembra 2007 je bilo pod okriljem Googla ustanovljeno Open Handset alliance (OHA) poslovno zdruţenje več uglednih podjetij (Google, HTC, Sony, Dell, Intel, Motorola, Qualcomm, Texas Instruments, Samsung electronics, LG electronics, T-mobile, Sprint Nextel, Nvidia in Wind River systems) (OHA, 2007). Andy Rubin je petega novembra na novinarski konferenci zavrnil vsa namigovanja o t.i. Gphone mobilnem telefonu. Android je bil predstavljen kot del strategije podjetja Google, kjerkoli so ţeleli svojim uporabnikom zagotavljati dostop do informacij. Android ne sme biti vezan na napravo, glede na mnoţice uporabnikov po vsem svetu mora biti neodvisen, kar je zagotovljeno z ustanovitvijo poslovnega zdruţenja OHA (Rubin, 2007). Motivacija podjetja Google za podporo in razvoj Androida OS je promocija lastnih produktov, s tem pridobiti odločilen deleţ na trgu in seveda pobrati oglaševalski denar. Primarno je podjetje Google medijsko podjetje in poslovni model temelji na prodaji oglaševanja. Prodaja nekaterih programov seveda prinaša določen prihodek, vendar je glavnina usmerjena na prihodek, ki ga prinašajo aplikacije z oglaševanjem (Gargenta, 2011). 3.2 Verzije Verzija 1.0 Prva verzija OS Androida je bila predstavljena septembra 2008, vendar ni bila uporabljena v nobeni izmed komercialno dostopnih naprav. Verzija 1.1 Oktobra 2008 je bila mogoča prva uporaba OS Androida na mobilni napravi T-mobile G1, proizvajalca HTC. 24

39 Verzija 1.5 Cupcake To je prva večja verzija, ki jo je prvič uporabilo več proizvajalcev mobilnih naprav. Prvič je bilo tudi uporabljeno razvojno ime Cupcake (kolač v kozarcu) ali muffin. Vse nadaljnje verzije so poimenovane po slaščicah. Bistvene prednosti v tej verziji so: podpora kameri za snemanje videov, moţnost enostavnega prenosa posnetih videov na spletni mesti Picasa in Youtube, izboljšava bluetooth modula, nekaj kozmetičnih popravkov in tipkovnica na zaslonu s predvidevanjem teksta. T-mobile G1 ima vgrajeno fizično tipkovnico. Verzija 1.6 Donut Verzija 1.6 je bila predstavljena septembra 2009, bistvene pridobitve v tej verziji so: prenovljeni vmesniki za kamero in slikovno galerijo, izboljšano glasovno iskanje, podpora višjim resolucijam zaslona, navigacija Google s podporo 'turn by turn', moţnost spreminjanja govora v tekst, podpora več dotikov istočasno, VPN 10 podpora. Verzija 2.0 in 2.1 Eclair Oktobra 2009 je bila predstavljena verzija 2.0 in januarja 2010 verzija 2.1, bistvene pridobitve so: posodobljen grafični vmesnik, podpora Microsoft Exchange, bluetooth 2.1 podpora. Verzija 2.2 Froyo (Frozen Yoghurt) Maja 2010 je bila izdana verzija 2.2, njene bistvene izboljšave so: moţnost deljenja internetne povezave z do osmimi uporabniki preko brezţične povezave ali USB-priklopa, posodobljeno upravljanje kamere z več gumbi na zaslonu, večjezična podpora tipkovnici z moţnostjo hitrega preklapljanja, večji nabor funkcij, namenjenih storitvi Microsoft Exchange (oddaljeno brisanje, podpora koledarju, izboljšana varnost). Verzija 2.3 Gingerbread Decembra 2010 je bila predstavljena verzija 2.3, njene bistvene izboljšave so: optimizacija grafičnega vmesnika s poudarkom na enostavnosti in hitrosti, označevanje teksta z enim dotikom, izboljšano upravljanje porabe energije, moţnost ročne zaustavitve aplikacij, 10 Virtual Private Network omogoča promet prek javnih ali deljenih omreţij s prednostmi zasebnega omreţja 25

40 internetni klici, NFC 11 komunikacija, podpora več kameram na napravi, barometru, ţiroskopu in senzorju gravitacije. Verzija 3.0 Honeycomb Februarja 2011 je bila predstavljena verzija 3.0. Posodobitev je usmerjena na naprave z večjimi zasloni, kot so tablični računalniki. Posodobitev vključuje: nov uporabniški vmesnik z več meniji, nastavljiv domači zaslon in seznam zadnjih uporabljanih programov, podpora fizičnim tipkovnicam, priključenim preko USB ali bluetooth vmesnika, podpora večjedrnim procesorjem, podpora 2D- in 3D-grafiki. Verzija 3.1 in 3.2 Honeycomb Junija in julija 2011 sta bili izdani še dve verziji s poudarkom na napravi z večjimi zasloni, bistvene pridobitve so: podpora več USB-napravam, izboljšana stabilnost brezţične povezave z omreţjem, povezava je aktivna tudi z ugasnjenim zaslonom. Verzija 4.0 Ice-cream Sandwich Oktobra 2011 je bila izdana verzija 4.0, ki je zdruţevala videz androida 3.x, usmerjenega v delovanje na tabličnih računalnikih, in verzije 2.x, namenjene uporabi na mobilnih telefonih. Bistvene posodobitve so: bliţnjice na zaklenjenem zaslonu, nadzor pretoka podatkov preko omreţja, enoten koledar, odklepanje zaslona s prepoznavanjem obraza, moţnost dostopa do namiznih verzij spletnih strani preko brskalnika. Verzija 4.1, 4.2 in 4.3 Jelly Bean Julija 2012, oktobra 2012 in julija 2013 so bile izdane verzije 4.1, 4.2 in 4.3, bistvene posodobitve vključujejo: moţnost več uporabnikov za naprave, slikanje v načinu Photo Sphere 12, izboljšana odzivnost na dotik, takojšen predogled zajetih slik, Google Wallet 13. Verzija 4.4 KitKat 11 Near field communication skupek brezţičnih tehnologij, ki omogočajo povezavo naprav z namenom izmenjave podatkov, brez kontaktne oprave plačila ali hitre spremembe več različnih nastavitev v napravi 12 Photo Sphere zajemanje slik s pomočjo vgrajenega fotoaparata v 360º načinu 13 Google Wallet sistem mobilnega plačevanja, lahko uporablja tehnologijo NFC oziroma shranjuje ugodnosti pri nakupih, podobno kot kartice zvestobe 26

41 Septembra 2013 je bila izdana verzija 4.4. bistvene posodobitve vključujejo: zagon govornih ukazov z besedami 'Ok Google', seznam prioritetnih stikov, vsa sporočila so zdruţena v eni aplikaciji (Faqoid, 2014). Porazdeljenost verzij med uporabniki Tabela 3.1: Porazdeljenost verzij med uporabniki Verzija Naziv Uporaba 2.2 Froyo 1,2 % Gingerbread 19,0 % 3.2 Honeycomb 0,1 % IceCream 15,2 % Sandwich 4.1.x Jelly Bean 35,3 % 4.2.x Jelly Bean 17,1 % 4.3 Jelly Bean 9,6 % 4.4 KitKat 2,5 % Vir: Android Developers (2014a) Kot je razvidno iz tabele številka 3.1, največ naprav uporablja verzijo 4.1.x (več kot 35 odstotkov), še vedno pa je velik odstotek naprav z nameščeno različico Gingerbread (kar 19 odstotkov), predvsem na račun poceni strojne opreme, ki do izdaje verzije 4.4 Kitkat ni delovala na starejši oziroma poceni strojni opremi zaradi količine delovnega pomnilnika (Readwrite, 2014). 3.3 Zgradba Operacijski sistem Android je sestavljen iz štirih nivojev, kot je razvidno s slike št Osnovni nivo je zgrajen na osnovi Linux jedra, ki omogoča zagon naprave, delovanje višjih nivojev in upravlja delovanje strojne opreme naprave. Nad jedrom deluje več različnih knjiţnic, ki omogočajo razvijalcem različne funkcionalnosti in servisirajo aplikacijam zahtevane podatke. Aplikacije so napisane v programskem jeziku Java in omogočajo uporabniku dejansko uporabo naprave. 27

42 3.3.1 Delovanje OS Android je večuporabniški operacijski sistem, v katerem se vsaka aplikacija smatra kot drug uporabnik. Ob namestitvi aplikacije na napravo se vsaki aplikaciji dodeli enoznačna uporabniška identifikacija in mesto, znotraj katerega deluje. Sistem dodeli dovoljenja za vse datoteke, ki jih uporablja, do njih ima dostop samo avtorizirana aplikacija. Vsaka aplikacija deluje v svojem VM 14 okolju, izolirana od drugih procesov. S takšnim načinom delovanja se doseţe princip najmanjših pravic posamezne aplikacije. Vsaka aplikacija dostopa samo do komponent in podatkov, ki jih potrebuje, dostop do drugih aplikacij oziroma njihovih podatkov, do katerih nima pravic, je onemogočen. Aplikacija lahko zahteva dovoljenja za dostop do različnih uporabniško občutljivih podatkov, kot so: stiki, dnevniki klicev, sporočila SMS in podobno, vendar je ob namestitvi aplikacije potrebno to omogočiti. Običajno namestitev aplikacije brez odobritve dostopa do (po mnenju razvijalcev potrebnih) podatkov ni mogoča (Android Developers, 2014). Slika 3.1: Zgradba operacijskega sistema Android Vir: Android open source project (2014) 14 Virtual machine-programska ponazoritev fizičnega računalnika 28

43 3.3.2 Linux jedro Linux jedro ni popolnoma enako jedru Linux distribucije, v njem je veliko prilagoditev s strani razvijalcev OS Androida. Proizvajalci strojne opreme imajo jedra ravno tako prilagojena z gonilniki strojne opreme, specifične za posamezne naprave. Jedro je vmesnik med programsko in strojno opremo naprave ter nadzoruje in omogoča delovanje celotne strojne opreme. Kadarkoli programska oprema potrebuje strojno opremo, naslovi zahtevo jedru, jedro preko različnih gonilnikov dostopa do strojne opreme in posreduje podatke aplikacijam (Androidcentral, 2012). Verzija 1.5 CupCake deluje na Linux jedru , zadnja verzija KitKat pa ima verzijo 3.8. Nadgradnje jedra omogočajo hitrejše in zanesljivejše delovanje in manjšo porabo energije (Int. Business Times, 2013) Knjižnice Knjiţnice omogočajo napravi upravljanje z različnimi vrstami podatkov, napisane so v programskem jeziku C++ in so specifične glede na posamezno programsko opremo. V nadaljevanju so predstavljene nekatere izmed njih. Surface manager upravlja prikazovanje zaslonske slike. Media framework vsebuje različne medijske kodeke, namenjene snemanju in prikazovanju različnih medijskih vsebin. SqlLite je namenjen shranjevanju podatkov v podatkovno bazo. WebKit je ogrodje brskalnika in je namenjen prikazu HTML-vsebin. OpenGL omogoča prikaz 2D- in 3D-vsebin na zaslonu Aplikacijsko ogrodje Vsebuje module, preko katerih aplikacije neposredno komunicirajo. Pri razvoju aplikacij se uporablja njihove lastnosti za dosego ţelenega delovanja. V nadaljevanju so predstavljene nekatere izmed njih. Activity Manager upravlja ţivljenjski cikel aktivnosti aplikacije. Content Providers omogoča deljenje podatkov med aplikacijami. Telephony manager upravlja z glasovnimi klici. Uporabimo ga, če ţelimo dostopati do glasovnih klicev preko aplikacije. Location manager omogoča dostop do podatkov GPS. Notification manager omogoča prikaz obvestil v statusni vrstici (AndroidAppMarket.com, 2012). 29

44 3.3.5 Aplikacije OS Android ţe v osnovni različici vsebuje več aplikacij, namenjenih osnovni uporabi mobilne naprave, kot so: telefonija, odjemalec elektronske pošte, koledar, brskalnik, aplikacija SMS in podobno. Napisane so v programskem jeziku Java, končnica aplikacije, razvite za Android, je apk. Vsako izmed vgrajenih aplikacij je mogoče nadomestiti z nadomestno po lastni izbiri. Nameščamo jih lahko preko spletne trgovine GooglePlay ali iz drugih virov Dalvik VM Z načinom delovanja aplikacij v virtualnem okolju se doseţe večja varnost in zanesljivost. Omogoča istočasno delovanje več aplikacij, vsake v svojem virtualnem okolju, z zagotavljanjem optimiziranega upravljanja s spominom. Virtualno okolje Dalvik je prilagojeno za delo z minimalnim delovnim spominom in manjšo procesorsko močjo (AndroidAppMarket.com, 2012). 3.4 Lokacije podatkov o uporabniku Forenzično zanimivi podatki so na mobilni napravi z operacijskim sistemom Android shranjeni na vgrajenem notranjem pomnilniku, pomnilniški kartici (če je vstavljena) ali na omreţju. OS Android ponuja razvijalcem pet moţnih načinov shranjevanja podatkov. Preiskovalec lahko najde podatke o uporabniku vsaj v štirih od petih formatov shranjevanja. Shared preferences omogoča shranjevanje različnih podatkovnih tipov v datoteki XML. Shranjeni podatki so lahko podatkovnega tipa: boolean, float, int, long, string. Datoteke XML se običajno nahajajo v 'data/ime_aplikacije/shared_pref' imeniku aplikacije. Veliko aplikacij shranjuje podatke na takšen način, zato so lahko vir koristnih forenzičnih informacij. Za dostop do 'data/data' imenika potrebujemo 'root' dostop, ki je opisan v poglavju 4.1. Podatki na notranjem pomnilniku, aplikacije shranjujejo različne obširnejše podatke v različne datoteke na več mest v notranjem pomnilniku. Med njimi je tudi prej omenjen 15 Moţnost nameščanja iz drugih virov je privzeto onemogočena, omogočimo jo lahko v varnostnih nastavitvah naprave. 30

45 'data/data' imenik. Najboljši način za ugotovitev, katere datoteke so specifične za posamezno aplikacijo, je njihovo nahajanje izven 'shared_prefs, lib, cache, database' imenikov. Podatki na zunanjem pomnilniku so za forenzično analizo laţje dostopni. Zaradi podatkovnega sistema, ki je običajno Microsoftov FAT32 in moţnosti odstranitve kartice iz naprave, je izvedba klasične forenzične preiskave enostavnejša. Zaradi omejenega notranjega pomnilnika se na zunanjem pomnilniku običajno nahajajo slike in video posnetki. Določene aplikacije shranjujejo podatke poleg 'data/data' imenika tudi na pomnilniško kartico. SQLite je specifična vrsta podatkovne baze. Uporablja jo več, tako mobilnih kot klasičnih, operacijskih sistemov. Izvorna koda je odprtokodna, podatkovni format in program sam je zelo majhen in vsebuje vrsto funkcionalnosti. SQLite datoteke se običajno nahajajo v 'data/data/ime_aplikacije/database', lahko pa so shranjene tudi drugje. V njih najdemo različne podatke o aktivnostih uporabnika, med njimi so: dnevnik klicev, SMS-sporočila, zgodovina brskanja, zaznamki, iskalne besede in podobno. Omreţje mobilne naprave je danes preko mobilnega ali brezţičnega omreţja v neprestani povezavi z internetom. Uporabniški podatki se shranjujejo v različnih servisih za shranjevanje v oblaku. Servisi za povečanje uporabniške izkušnje in povečanje števila uporabnikov razvijajo svoje aplikacije za shranjevanje. Servis shranjevanja v oblaku, ki je priljubljen, je Dropbox. Njihova aplikacija ponuja več moţnosti uporabe, med drugim tudi avtomatičen prenos zajetih slik in video posnetkov na streţnik. V 'data/data/com.dropbox.android/files' se nahaja log.txt datoteka. V njej najdemo zapise o dejavnosti aplikacije, kot so: katere datoteke so bile prenesene, kdaj, uporabniško ime in podobno (Hoog, 2011). 31

46 4. FORENZIČNA ANALIZA Z RAZLIČNIMI ORODJI Zaradi nivojske zgradbe, vgrajenega pomnilnika in implementiranih varnostnih mehanizmov se forenzična preiskava mobilne naprave z OS Androidom razlikuje od forenzične preiskave osebnega računalnika. Forenzična preiskava se razlikuje predvsem na področju spreminjanja podatkov na zaseţeni napravi. Pri klasični forenzični preiskavi se zaseţeni pomnilnik priklopi na 'Write blocker', kot je razvidno s slike 4.1, naredi popolno kopijo in izvede preiskavo na kopiji, izvirni nosilec ostane nespremenjen. Slika 4.1: Write blocker Vir: The Forensics Ferret Blog (2011) Na mobilnih napravah je pridobitev izvirne fizične slike zaradi vgrajenega pomnilnika mogoča z 'chip-off' metodo, ki je zamudna in draga. Pomnilniško enoto se namreč odvari iz leţišča in jo priklopi na napravo za kopiranje bit za bitom. Primerna je predvsem v primerih uničenih naprav, kjer odpovejo drugi načini dostopa do podatkov, obstaja namreč moţnost 32

47 trajnega uničenja pomnilniške enote in podatkov na njej. Na napravah z OS Android je fizični zajem podatkov mogoč, če je v napravi omogočen 'root' dostop ali preko priključka JTAG 16, za kar je potrebna namenska strojna oprema. V nasprotnih primerih se v primeru potrebe po fizičnem zajemu pomnilnika lahko na različne načine omogoči 'root' dostop ali izvede 'chipoff' metodo. V magistrski nalogi bomo v naslednjih poglavjih opisali več postopkov pridobitve podatkov s pomočjo logične metode preiskave. Kot je razvidno s slike številka 4.2, lahko z logičnim pristopom pridobimo podatke iz datotek in podatkovnih baz. Bistvena slabost logične metode je onemogočen dostop do izbrisanih podatkov. Podatki so vidni v obliki, kot jo vidi uporabnik in operacijski sistem. Izbrisani podatki se lahko še vedno nahajajo na pomnilniškem mediju, zaradi lastnosti pomnilnika in tehnologije podaljševanja ţivljenjske dobe pomnilnika imenovane 'wear leveling'. Slika 4.2: Metode forenzične preiskave mobilne naprave z OS Androidom Vir: (Guido v Valle 2012, str. 42) Pri izvedbi logičnega načina preiskave se skuša minimalno posegati v podatke na napravi, vsako spreminjanje se dokumentira in podrobno razloţi, zakaj je bilo potrebno in kakšne spremembe je povzročilo. 16 Joint Test Action Group, priključek na napravi, namenjen testiranju in odpravi napak. 33

48 4.1 'Root' privilegiji Zaradi varnostnih razlogov je na mobilnih napravah z OS Androidom onemogočen dostop do sistemskih datotek. Delovanje je podobno uporabi OS Microsoft Windowsa z uporabniškim računom 'guest'. Z omogočenim 'root' dostopom lahko dostopamo do vseh podatkov na napravi, prilagodimo delovanje našim zahtevam, namestimo in odstranimo aplikacije, ki jih sicer ni mogoče. Slabost omogočenega 'root' dostopa je običajno izguba garancije, lahko pride do okvare mobilne naprave (predvsem zaradi aplikacij, ki posegajo v nastavitve strojne opreme, navijanje procesorja in podobno), večja izpostavljenost škodljivi programski opremi (z odstranitvijo varnostnih mehanizmov se varnost seveda zmanjša) (Bullguard, 2014). Zaradi različnih variacij modelov mobilnih naprav in nameščenih verzij OS Androida je zelo teţko pridobiti dostop 'root' na vsaki napravi. Postopek je namreč specifičen glede na napravo. Pomembno se je prepričati v učinkovitost in delovanje pred samim postopkom spremembe pravic. 4.2 Android Debug Bridge (ADB) Android debug bridge je zmogljivo orodje, namenjeno komunikaciji med mobilno napravo in računalnikom preko konzolnega okna. Uporabljajo ga razvijalci aplikacij za testiranje in je najpomembnejše orodje pri izvedbi logičnega načina preiskave mobilne naprave. Program deluje na principu odjemalec streţnik, sestavljajo ga tri glavne komponente: klient, ki deluje na delovni postaji, namenjeni komunikaciji z mobilno napravo; streţnik, ki deluje v ozadju na delovni postaji in upravlja komunikacijo med klientom in 'adb daemon', ki deluje kot tretja komponenta na napravi; 'daemon', ki deluje v ozadju na mobilni napravi, aktivira se v primeru priklopa USBpriključka (Android Developers, 2014). Privzeto je izklopljeno 'USB-razhroščevanje'. Za izvedbo logičnega načina preiskave mobilne naprave ga je potrebno vključiti v nastavitvah naprave. Dostop do nastavitev je lahko preprečen z različnimi varnostnimi mehanizmi, ki preprečujejo nepooblaščeni osebi dostop do naprave, kot so: varnostna koda, vzorec, prepoznavanje obraza. Navedene zaščite je mogoče na različne načine odstraniti, sicer je izvedba logične metode forenzične preiskave nemogoča. 34

49 4.3 Preiskovana naprava Slika 4.3: Samsung I8190 Galaxy S3 mini Vir: Kraljič, lastni prikaz (2014) Za izvedbo forenzične preiskave smo uporabili mobilno napravo Samsung I8190 Galaxy S3 mini, kot je razvidno s slike 4.3. Naprava ima 4.0'' zaslon, resolucijo 480x800 točk, vgrajeni pomnilnik 16 GB, 1 GB delovnega pomnilnika, razširitveno reţo za SD micro spominsko kartico, micro USB-priključek v2.0, naloţen ima operacijski sistem Android, verzijo JellyBean, dvojedrni 1 GHz procesor, AGPS, Wlan, bluetooth, NFC, vstavljeno ima naročniško SIM-kartico standardne velikosti. Vneseni so naključni testni podatki, med njimi so: 500 zapisov v dnevniku klicev, 14 stikov, 270 SMSin 29 MMS-sporočil, 11 zapisov v koledarju, 208 aplikacij, 73 slik, 31 video posnetkov, 22 zvočnih posnetkov, 1x PDF-datoteka, 14 zaznamkov, 109 zapisov v zgodovini brskanja, kot je razvidno s slike 4.4 (Samsung, 2014). Slika 4.4: Testni podatki Vir: Kraljič, lastna raziskava (2014) 35

50 4.4 Delovna postaja Za izvajanje postopkov forenzičnih preiskav uporabljamo osebni računalnik z nameščenim operacijskim sistemom Microsoft Windows bit, konfiguracija strojne opreme: Intel E8400, 8 GB delovni pomnilnik, 256 GB SSD sistemski in 3 TB sata trdi disk. 4.5 Odprtokodna programska oprema Open source android forensics (OSAF) Projekt je bil narejen pod okriljem Univerze v Cincinnatiju, ZDA. Cilj je bil izdelati odprtokodni sistem, ki bi omogočal različne forenzične preiskave na mobilnih napravah z OS Androidom. Glavna usmeritev je v preiskovanje škodljivega delovanja aplikacij. Nameščena so različna programska orodja in opisane prakse analiz delovanja aplikacij. Za namene izobraţevanja so odprli spletno stran, kjer je mogoče prenesti programsko opremo in nekaj dokumentacije. Namenjena je tudi sodelovanju zainteresiranih in deljenju izkušenj (OSAF, 2012). Po prenosu 3,2 GB velike datoteke s spletne strani OSAF-RC2.7z jo naprej razpakiramo v imenik. Za uporabo je potrebno namestiti programsko opremo za ponazoritev fizičnih računalnikov in s tem delovanje drugih operacijskih sistemov na delovni postaji. Na internetu je prosto dostopnih več različnih programov za emulacijo. Najbolj razširjeni so: VirtualBox, Vmware, Windows Virtual PC. Windows Virtual PC omogoča emulacijo izključno Microsoftovih operacijskih sistemov. Za emulacijo OSAF smo uporabili VirtualBox. Programsko opremo razvija podjetje Oracle, omogoča uporabo različnih operacijskih sistemov: Windows XP in novejši OS, Mac OS X 10.6 in novejši, Linux 10.4 in naprej in različne distribucije (Debian, Oracle Linux, Redhat, Fedora, Gantoo, opensuse, Mandriva), Solaris 10, 11. Vse spremembe, narejene pri uporabi, se shranjujejo v sliko in ne vplivajo na naš operacijski sistem. Aplikacija je uporabna za različne namene, npr. za analizo OS, testiranje varnostnih rešitev, preizkušanje programske opreme. Prenos programske opreme je mogoč z njihove spletne strani, namestitev je enostavna (VirtualBox, 2014). Po namestitvi programske opreme VirtualBox zaţenemo program in kot je razvidno s slike 4.5, izberemo iz menija 'New', vnesemo poljubno ime, iz menuja 'Type' izberemo 'Linux' in pod 'Version' izberemo Ubuntu. 36

51 Slika 4.5: VirtualBox: Name and operating system Vir: Kraljič, lastni prikaz (2014) Na naslednjem meniju določimo velikost delovnega pomnilnika in kot je razvidno s slike 4.6, je priporočena velikost 512 MB, vendar priporočam največjo moţno vrednost, glede na razpoloţljivost vgrajenega delovnega pomnilnika RAM. Pri izbiri večjih vrednosti nam bo operacijski sistem v virtualnem okolju deloval hitreje, sistem na delovni postaji pa počasneje. Slika 4.6: VirtualBox: Memory size Vir: Kraljič, lastni prikaz (2014) Po izbiri 'Next' se nam odpre meni za izbiro mesta shranjevanja datotek za potrebe delovanja emulacije. Tukaj izberemo moţnost 'Use an existing virtual hard drive file', kot je razvidno s slike 4.7, in na trdem disku poiščemo datoteko 'OSAF.vmdk'. 37

52 Slika 4.7: VirtualBox: Hard drive Vir: Kraljič, lastni prikaz (2014) S tem smo vnesli potrebne nastavitve. Iz menija programa VirtualBox izberemo še bliţnjico 'OSAF' in izberemo 'Start'. Odpre se nam okno, kamor vnesemo geslo za vstop v operacijski sistem, privzeto geslo je 'forensics'. Kot je razvidno s slike 4.8, ima naloţen operacijski sistem več orodij za forenziko mobilnih naprav na platformi OS Android. 38

53 Slika 4.8: OSAF Vir: Kraljič, lastni prikaz (2014) Distribucija ţe vsebuje Android SDK (Software developement kit), ki je potrebna zaradi ADB klienta. Android SDK vsebuje komponente, ki so potrebne za razvoj in testiranje aplikacij in odpravo napak v delovanju operacijskega sistema. Vsebuje tudi Android emulator, namenjen testiranju razvite programske opreme oziroma analizi delovanja aplikacij v virtualnem okolju (Android Developers, 2014b). Kot je razvidno s slike 4.9, moramo po priklopu naprave na vmesnik USB, v menijski vrstici okna VirtualBox posredovati USB-priključek na delujoč OSAF-sistem. 39

54 Slika 4.9: USB-posredovanje Vir: Kraljič, lastni prikaz (2014) Na preiskovani mobilni napravi je potrebno omogočiti 'USB-razhroščevanje'. Kot je razvidno na sliki 4.10, se moţnost vklopa nahaja v Nastavitvah/Moţnosti za razvijalce/razhroščevanje USB. Slika 4.10: Vklop USB-razhroščevanja Vir: Kraljič, lastni prikaz (2014) V OSAF-sistemu odpremo novo terminalno okno in vnesemo 'sudo su', sistem zahteva ponoven vnos gesla, vnesemo geslo 'forensics'. S tem smo pridobili 'root' dostop na sistemu OSAF, kar prepoznamo tudi po znaku '#' pred kazalčkom. Sedaj preverimo, če je naprava Android priključena in vidna, v okno vnesemo ukaz 'adb devices'. V kolikor nam ne najde naprave, preverimo, če je vklopljeno USB-razhroščevanje, posredovanje vhoda v virtualbox OSAF oziroma poskusimo še z ukazom 'adb kill-server' in še enkrat preverimo vidnost naprave. V oknu moramo videti izpis kot na sliki 4.11, iz katere je razvidna oznaka naprave in 40

55 vrata, preko katerih poteka komunikacija. Pri zagonu 'adb klienta' ta najprej preveri, če streţniški proces ţe deluje, v kolikor ne, ga zaţene. Streţnik posluša na vratih 5037, preko katerih po priklopu naprave poteka komunikacija med napravo in delovno postajo (Android Developers, 2014). Slika 4.11: OSAF adb device Vir: Kraljič, lastni prikaz (2014) Sedaj je potrebno na preiskovano napravo namestiti aplikacijo AF logical OSE. Uporabimo ukaz 'adb install AFLogical-OSE_1.5.2.apk'. V kolikor je bila namestitev uspešna, nam v oknu izpiše 'Success'. Med aplikacijami se sedaj nahaja AFLogical OSE, po zagonu se nam odpre izbirno okno, kot je razvidno na sliki Izberemo ţelene podatke in s pritiskom na tipko 'Capture' se na spominsko kartico SD v imeniku 'Forensics' shranijo zajeti podatki. Slika 4.12: AFLogical OSE Vir: Kraljič, lastni prikaz (2014) 41

56 Po zajemu podatkov z ukazom 'adb uninstall com.viaforensics.android.aflogical_ose' odstranimo program AFLogical, po uspešni odstranitvi nam izpiše 'Success'. Za prenos zajetih podatkov na delovno postajo uporabimo ukaz 'adb pull /mnt/sdcard/forensics'. Seznam prenesenih datotek se izpiše v konzolnem oknu. Datoteke se nahajajo v 'Home' imeniku. Na preiskovani napravi še vedno ostanejo zajeti podatki. Za izbris vnesemo v konzolno okno ukaz 'adb shell', vrne nam 'shell@android:/ $', sedaj z ukazom 'ls' pregledamo seznam datotek. Z ukazom 'cd sdcard' se premaknemo v imenik pomnilnika na spominski kartici. Z vnosom ukaza 'rm r forensics' se imenik 'forensics', ki vsebuje zajete forenzične podatke, izbriše iz naprave (Santoku, 2012). Rezultat preiskave: V imeniku 'forensics' z imenom datuma zajema podatkov se nahaja: datotek s končnico '.jpg', slik iz poslanih ali prejetih MMS 17 sporočil, ime datoteke je sestavljeno iz datuma in ure prejetega sporočila datotek s končnico '.amr', prejeti zvočni posnetki iz storitve operaterja 'MMS tajnica'. Ob nedosegljivosti uporabnika se na omreţju posname zvočno sporočilo, ki ga klicani ob dosegljivosti prejme. Ime datoteke je sestavljeno iz telefonske številke kličočega in datuma prejema sporočila MMS. 3. Datoteka info.xml, ki vsebuje informacije o preiskovani napravi (oznaka mobilne naprave, IMEI, verzija nameščenega operacijskega sistema) in 208 zapisov o nameščenih aplikacijah iz 'data/data' imenika datotek s končnico '.csv'. a) 'CallLog Calls.csv' sestavljajo naslednji atributi: _id, number, date, duration, type, new, name, numbertype, numberlabel. Vsebuje 500 zapisov o klicih. Pomembnejši atributi o posameznem klicu so sestavljeni iz: '_id'- identifikacijske številke zapisa, 'number'-telefonske številke vzpostavljenega stika, 'date' datuma in ure vzpostavljenega stika zapisanega v Unix časovnem zapisu, 'duration' trajanja pogovora, ' type' tip pogovora, sestavljenega iz številk: 1 prejeti klic, 2 klic številke, 3 zgrešeni klic, 5 zavrnjen klic. 'Name'-Imena stika, če je shranjen v imeniku telefona, vezan na telefonsko številko. 17 Multimedia Messaging Service, kratka sporočila z različnimi multimedijskimi vsebinami 42

57 b) 'Contacts Phones.csv' ne vsebuje zapisov v stikih, vsebuje naslednje atribute: times_contacted, custom_ringtone, person, primary_organization, phonetic_name, isprimary, label, number, type, last_time_contacted, display_name, _id,number_key, starred, primary_ , name, primary_phone, notes, send_to_voic . c) 'SMS.csv' sestavljajo naslednji atributi: _id, thread_id, address, person, date, date_sent, protocol, read, status, type, reply_path_present, subject, body, service_center, locked, error_code, seen, deletable, hidden,group_id, group_type, delivery_date, app_id, msg_id, callback_number, reserved, pri, teleservice_id, link_url. Vsebuje 270 zapisov, pomembnejši atributi o posameznem so: 'adress' vsebuje telefonsko številko stika, 'date' datum in ura vzpostavljenega stika zapisanega v Unix časovnem zapisu, 'type' tip komunikacije, sestavljenega iz številk: 1 prejeti SMS, 2 poslani sms, 'body' vsebina sporočila, 'read' sestavljenega iz številk: 0 sporočilo ni bilo prebrano, 1 prebrano sporočilo. d) 'MMS.csv' in 'MMS_parts.csv vsebujejo podatke o prejetih MMS-sporočilih. Iz zajetih podatkov smo uspeli razbrati skupaj 25 MMS-sporočil, tekstovno vsebino sporočil ob multimedijski vsebini, katera datoteka se nanaša na določeno MMS-sporočilo in datum prejema sporočila. Z uporabo OSAF in programa AFLogical_OSE smo uspeli pridobiti podatke, kot je razvidno s slike Slika 4.13: Rezultati OSAF Vir: Kraljič, lastna raziskava (2014) 43

58 4.5.2 Santoku Linux Pod okriljem podjetja ViaForensics se razvija odprtokodna distribucija Santoku. Izhaja iz Linux distribucije Lubuntu. Namenjena je forenziki mobilnih naprav, analizi delovanja aplikacij na mobilnih napravah in testiranju varnosti mobilnih naprav. Vsebuje naloţen Android SDK (Software developement kit), AFLogical OSE in več drugih orodij, namenjenih predvsem analizi delovanja aplikacij. Po prenosu 2,2 GB velike image datoteke 'santoku_0.4.iso' s spletnega naslova sistem zaţenemo v programu VirtualBox, pri namestitvi izberemo operacijski sistem 'Linux' in verzijo 'Debian', za potrebe tekočega delovanja AVD 18 dodelimo čim večjo količino delovnega pomnilnika. Izberemo še VDI (VirtualBox Disk Image), dodelimo 40 GB prostora na trdem disku za shranjevanje. V nastavitvah virtualnega sistema pod razširitvijo 'Storage' še določimo 'IDE Controller', 'Add CD/DVD Device' in izberemo datoteko 'santoku_0.4.iso'. Po zagonu virtualnega sistema izberemo še moţnost 'install-start the installer directly'. Geslo za prijavo v sistem je 'santoku' (Santoku, 2012a). Za izvedbo logičnega zajema podatkov je nameščena enaka programska oprema kot v OSAF distribuciji. Pri zajemu podatkov z mobilne naprave dobimo enake rezultate Preiskava shranjenih varnostnih kopij Varnostne kopije nameščenih aplikacij je mogoče s pomočjo OSAF ali Santoku Linuxa prenesti na delovno postajo. Po priklopu mobilne naprave na priključek USB z omogočenim USB-razhroščevanjem posredujemo USB-vhod na virtualni operacijski sistem Linux. V terminalskem oknu preverimo prisotnost priključene naprave in vnesemo ukaz 'adb backup apk all /home'. Na mobilni napravi še potrdimo 'Varnostno kopiraj moje podatke'. S tem se varnostne kopije vseh aplikacij na preiskovani mobilni napravi shranijo v '/home' imenik v datoteko 'backup.ab'. Pridobljeno datoteko nato razpakiramo z ukazom 'dd if=backup.ab bs=24 skip=1 openssl zlib -d > backup.ab.tar'. Z navedenim ukazom najprej z 'dd if=backup.ab' določimo, katero datoteko obdelujemo, z 'bs=24' določimo, da je velikost bloka 18 Android virtual device manager-emulator Android operacijskega sistema 44

59 24 bajtov, 'skip=1' preskočimo prvo vrstico, 'openssl zlib -d > ' navedemo način dekompresije podatkov in nato še ime datoteke '.tar' (Elenkov, 2012). Za primer smo preiskali varnostno kopijo aplikacije vgrajenega brskalnika. Shranjeni podatki o uporabniku se nahajajo v podatkovni bazi 'browser2.db'. Z orodjem 'Sqliteman', ki je ţe nameščen v Santoku distribuciji, smo odprli Sqlite podatkovno bazo 'browser2.db', ki se nahaja v 'apps/com.android.browser/db' imeniku. Kot je razvidno s slike 4.14, podatkovna baza vsebuje enajst tabel. Med njimi so tudi: synch_state, bookmarks, history, searches. Slika 4.14: Sqliteman Vir: Kraljič, lastni prikaz (2014) Vsebino tabel je mogoče shraniti v.xml datoteke, na ta način smo uspeli z mobilne naprave pridobiti: shranjenih zaznamkov spletnih strani zapisov o obiskanih spletnih straneh s spletno povezavo in datumom obiska zapisov o vnesenih iskalnih kriterijih v brskalnik 4. ime poštnega računa za sinhronizacijo zaznamkov 45