Računala mogu predstavljati “scenu zločina”, primjerice hakiranjem ili DDoS napadima na web poslužitelje. Također, računala mogu sadržavati dokaze u obliku e-pošte, internetske povijesti, dokumenata, metapodataka ili drugih artefakata relevantnih za zločine poput terorizma, ubojstva, otmice, pedofilije, prijevare, trgovine drogom, pranja novca, špijunaže, itd.

Forenzičkom analizom Windows operacijskog sustava možemo otkriti kada se dokument prvi put pojavio na računalu, kada je zadnji put uređen, kada je zadnji put spremljen ili ispisan te koji je korisnik izvršio te radnje. U novije vrijeme, komercijalne organizacije sve češće koriste digitalnu forenziku u raznim slučajevima kao što su;

– Krađa intelektualnog vlasništva
– Industrijska špijunaža
– Virusne zaraze
– Istraživanja prijevara
– Krivotvorine
– Stečajne istrage
– Neprikladna uporaba e-pošte i interneta na radnom mjestu
– Podrška u parnicama za odvjetnika ili vještake

DIGITALNA FORENZIKA U KORPORATIVNIM ISTRAGAMA

Unutarnja prijetnja (Insider Threat) najčešće se definira kao sigurnosna prijetnja koja proizlazi iz organizacije koja se napada ili cilja, i uglavnom se radi o zaposleniku ili visokorangiranom dužnosniku organizacije ili korporacije. Takvi, “insider” napadi vjerojatniji su i pogubniji  od mnogih vrsta vanjskih napada.

Prema nedavnoj studiji tvrtke Biscom, više od 25 posto zaposlenika krade vlasničke podatke prilikom odlaska iz tvrtke. Ukradeno intelektualno vlasništvo obično uključuje popise klijenata, popise zaposlenika, tajne formule, softverski izvorni kod, strateške dokumente, e-mail liste, financijsku evidenciju, baze podataka i druge poslovne tajne. Ukradene informacije se često koriste protiv tvrtke kada se, već bivši djelatnik, zaposli kod konkurenta ili odluči osnovati vlastitu tvrtku.

Krađe podataka najčešće se javljaju neposredno prije ili neposredno nakon prekida radnog odnosa a tehnologija ih čini jednostavnim i neprimjetnim. Npr. sa službenog računala moguće je u nekoliko minuta kopirati tisuće dokumenata na minijaturni USB stick i iznijeti iz ih tvrtke bez da to itko primijeti. Povjerljivi dokumenti se mogu poslati i na osobni e-mail račun ili prenijeti na račune u oblaku (Dropbox, iCloud, Google Disk…).

Edward Snowden je, prema procjenama američkog Ministarstva obrane, sa NSA servera kopirao na vanjski memorijski uređaj preko 1,7 milijuna dokumenata.

Nezadovoljni zaposlenik može oštetiti tvrtku i na način da namjerno izbriše važnu dokumentaciju sa službenog računala ili instalira spyware i tako si omogući neovlašteni pristup povjerljivim podacima i onda kada napusti tvrtku. Prema riječima pomoćnika ravnatelja FBI-a za protuobavještajnu djelatnost Frank Figliuzzija, “trenutni slučajevi FBI-a pokazuju da su tajne vrijedne više od 13 milijardi dolara ukradene od američkih tvrtki, često od strane insajdera ili bivših zaposlenika u tvrtkama”.

Nemoguće je stvoriti sigurnosno okruženje koje će u potpunosti eliminirati unutarnje prijetnje, i zbog toga se korporativni sektor oslanja na digitalnu forenziku za istraživanje incidenata i oporavak dokumenata. Ukoliko se sumnja na krađu intelektualnog vlasništva, ili neku drugu zlouporabu računala, potrebno je najprije osigurati “mjesto zločina” i pridržavati se sljedećih pravila:

Računalo se ne smije koristiti, i što je vrlo važno, ako je  uključeno ne smije se gasiti.

Forenzička analiza se dijeli na online i offline, odnosno na tzv. “live data” i “post-mortem” analizu. Analizom živog sustava može se doći do važnih informacija koje bi inače bile nedostupne u standardnoj “post-mortem” analizi.

U situaciji kada je računalo isključeno, treba ga ostaviti isključenim i fizički odspojiti s izvora napajanja. Ponovno pokretanje računala i nestručan pokušaj istrage može rezultirati uništavanjem podataka ili značajnim promjenama koje se ne mogu poništiti.

Izrada forenzičke kopije računala i ostalih medija (Usb stick, memorijska kartica, CD/DVD, pametni telefon…) može se obaviti tijekom radnog vremena, nakon radnog vremena ili tijekom vikenda, ovisno o prosudbi i situaciji. Forenzička kopija (forensic duplicate, forensic image) predstavlja egzaktnu fizičku kopiju spremnika podataka, odnosno tvrdog diska. Pod egzaktnom kopijom misli se na kopiranje informacija na razini bita, odnosno bajta. Na taj način je osigurano da će svi podaci biti sadržani u kopiji, uključujući izbrisane datoteke, nealocirani prostor i slobodan prostor diska. S razine datotečnog sustava ovi podaci nisu vidljivi.

Digitalna forenzička istraga  trebala bi dati odgovore na pitanja:

– Da li su, kada i koji podaci kopirani sa računala na vanjsku memoriju?
– Da li su, kada i koji USB stickovi priključivani na računalo?
– Koji su sadržaji preuzimani sa interneta?
– Da li je na računalo instaliran malware ili anti-forenzički program?
– Koje su web stranice posjećene određenog dana i sata?
– Kada i koji su podaci izbrisani sa računala?
– Da li su i koji dokumenti poslani na privatne Cloud ili e-mail račune?

Video: X-Ways Forensics – oporavak izbrisanih podataka