Besedilo

FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKANALOGA
ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE
Bostjan
Kraljic
Digitalno podpisal Bostjan
Kraljic
DN: c=SI, o=POSTA,
ou=POSTArCA, ou=personal,
serialNumber=150986,
cn=Bostjan Kraljic
Datum: 2014.06.16 19:46:16
+02'00'
BOŠTJAN KRALJIČ
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKA NALOGA
FORENZIKA MOBILNEGA TELEFONA NA
PLATFORMI ANDROID IN UPORABA
PRIDOBLJENIH ELEKTRONSKIH DOKAZOV
Mentor: red. prof. dr. Miroslav Bača
Novo mesto, junij 2014
Boštjan Kraljič
IZJAVA O AVTORSTVU
Podpisani Boštjan Kraljič, študent FIŠ Novo mesto, izjavljam:




da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v
magistrski nalogi,
da dovoljujem objavo magistrske naloge v polnem tekstu, v prostem dostopu, na
spletni strani FIŠ oz. v digitalni knjiţnici FIŠ,
da je magistrska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji,
da je magistrska naloga lektorirana.
V Novem mestu, dne _________________
Podpis avtorja______________________
POVZETEK
Forenzična preiskava elektronskih mobilnih naprav postaja vse pogostejša. V magistrskem
delu je opisan zakonodajni okvir, znotraj katerega deluje preiskovalec elektronske naprave.
Elektronski dokazi, pridobljeni z nedoslednim upoštevanjem veljavne zakonodaje, so na
sodišču brez veljave. Pri preiskavi mobilnih naprav z nameščenim operacijskim sistemom
Android je zaradi različnih verzij operacijskega sistema in specifičnosti strojne opreme
potrebno poskusiti pridobiti podatke z različnimi orodji. Za namene primerjave učinkovitosti
smo uporabili različno odprtokodno in komercialno namensko programsko opremo. Podatki o
aktivnostih uporabnika se shranjujejo na različne lokacije znotraj mobilne naprave in v
oblačnih shrambah podatkov. Opisali smo postopke pridobitve podatkov, podali kritično
oceno uporabljene programske opreme in izpostavili prednosti in slabosti uporabe
odprtokodne programske opreme.
KLJUČNE BESEDE: Android, forenzika, elektronski dokaz
ABSTRACT
Forensic investigation of electronic mobile devices is becoming more and more frequent. The
thesis describes the legislative framework within which should operate investigator of
electronic devices. Electronic evidence obtained without consistently considering legislation
in force has no validation on court. Investigation of mobile devices running the Android
operating system is due to different versions of the operating system and the specifics of the
hardware necessary to obtain information with various tools. For comparison purposes of the
efficiency, we used different commercial and open-source dedicated software. Information
about the activities of the user is stored in different locations within mobile device and cloud
data store. We have described procedures for data acquisition, do critical evaluation of the
software package and look at the advantages and disadvantages of using open source
software.
KEY WORDS: Android, forensics, digital evidence
KAZALO
1.
2.
UVOD................................................................................................................................. 1
1.1
Opredelitev problema .................................................................................................. 1
1.2
Namen in cilji............................................................................................................... 3
1.3
Raziskovalna vprašanja ................................................................................................ 4
1.4
Metodologija ................................................................................................................ 4
ELEKTRONSKI DOKAZ.................................................................................................. 5
2.1
Pridobivanje elektronskih dokazov .............................................................................. 6
2.2
Pravni vidik pridobitve elektronskega dokaza ............................................................. 7
2.2.1
Predlog in odredba o preiskavi elektronske naprave ........................................... 7
2.2.2
Zaseg predmetov ................................................................................................... 8
2.2.3
Zaseg elektronske naprave in zavarovanje podatkov ........................................... 9
2.2.4
Preiskava elektronskih naprav ........................................................................... 11
2.3
Elektronska forenzična preiskava .............................................................................. 14
2.4
Forenzika mobilnega telefona .................................................................................... 15
2.4.1
Prevzem mobilnega telefona............................................................................... 15
2.4.2
Identifikacija ....................................................................................................... 15
2.4.3
Priprava na preiskavo ........................................................................................ 16
2.4.4
Izolacija naprave ................................................................................................ 17
2.4.5
Preiskava telefona .............................................................................................. 17
2.4.6
Preverjanje rezultatov ........................................................................................ 18
2.4.7
Dokumentiranje in poročanje ............................................................................. 18
2.4.8
Predstavitev rezultatov ....................................................................................... 19
2.4.9
Arhiviranje .......................................................................................................... 19
2.5
Protiforenzične metode .............................................................................................. 19
2.5.1
Skrivanje podatkov ............................................................................................. 20
3.
2.5.2
Prepisovanje podatkov ....................................................................................... 21
2.5.3
Fizično uničenje naprave.................................................................................... 22
OPERACIJSKI SISTEM ANDROID .............................................................................. 23
3.1
Razvoj ........................................................................................................................ 23
3.2
Verzije ........................................................................................................................ 24
3.3
Zgradba ...................................................................................................................... 27
3.3.1
Delovanje ............................................................................................................ 28
3.3.2
Linux jedro.......................................................................................................... 29
3.3.3
Knjižnice ............................................................................................................. 29
3.3.4
Aplikacijsko ogrodje ........................................................................................... 29
3.3.5
Aplikacije ............................................................................................................ 30
3.3.6
Dalvik VM ........................................................................................................... 30
3.4
4.
Lokacije podatkov o uporabniku ............................................................................... 30
FORENZIČNA ANALIZA Z RAZLIČNIMI ORODJI ................................................... 32
4.1
'Root' privilegiji ......................................................................................................... 34
4.2
Android Debug Bridge (ADB)................................................................................... 34
4.3
Preiskovana naprava .................................................................................................. 35
4.4
Delovna postaja.......................................................................................................... 36
4.5
Odprtokodna programska oprema.............................................................................. 36
4.5.1
Open source android forensics (OSAF) ............................................................. 36
4.5.2
Santoku Linux ..................................................................................................... 44
4.5.3
Preiskava shranjenih varnostnih kopij ............................................................... 44
4.6
Komercialna programska oprema .............................................................................. 46
4.6.1
Viaforensics Viaextract ...................................................................................... 46
4.6.2
MobilEdit Forensics Lite .................................................................................... 47
4.6.3
Oxygen Forensic Suite 2014 (Freeware)............................................................ 49
4.6.4
Micro systemation XRY v.6.9.............................................................................. 50
4.7
Primerjava orodij za forenzične analize ..................................................................... 52
4.7.1
Odprtokodna programska oprema ..................................................................... 52
4.7.2
Komercialna programska oprema ...................................................................... 53
5.
ZAKLJUČEK ................................................................................................................... 54
6.
LITERATURA IN VIRI................................................................................................... 57
KAZALO SLIK
Slika 3.1: Zgradba operacijskega sistema Android .................................................................. 28
Slika 4.1: Write blocker ............................................................................................................ 32
Slika 4.2: Metode forenzične preiskave mobilne naprave z OS Androidom ........................... 33
Slika 4.3: Samsung I8190 Galaxy S3 mini ............................................................................... 35
Slika 4.4: Testni podatki ........................................................................................................... 35
Slika 4.5: VirtualBox: Name and operating system ................................................................. 37
Slika 4.6: VirtualBox: Memory size ......................................................................................... 37
Slika 4.7: VirtualBox: Hard drive............................................................................................. 38
Slika 4.8: OSAF........................................................................................................................ 39
Slika 4.9: USB-posredovanje ................................................................................................... 40
Slika 4.10: Vklop USB-razhroščevanja .................................................................................... 40
Slika 4.11: OSAF adb device ................................................................................................... 41
Slika 4.12: AFLogical OSE ...................................................................................................... 41
Slika 4.13: Rezultati OSAF ...................................................................................................... 43
Slika 4.14: Sqliteman................................................................................................................ 45
Slika 4.15: Rezultati Viaforensics ViaExtract .......................................................................... 47
Slika 4.16: Rezultati MobilEdit Forensics Lite ........................................................................ 48
Slika 4.17: Rezultati Oxygen Forensic Suite 2014 (Freeware) ................................................ 50
Slika 4.18: Rezultati Micro systemation XRY v.6.9. ............................................................... 51
KAZALO TABEL
Tabela 1.1: Operacijski sistemi v prodanih pametnih telefonih končnim uporabnikom ............ 1
Tabela 3.1: Porazdeljenost verzij med uporabniki ................................................................... 27
Tabela 4.1: Rezultati ................................................................................................................. 52
1. UVOD
Prodaja mobilnih telefonov se vsako leto poveča za nekaj odstotkov. V letu 2013 je bil po
navedbah druţbe Gartner globalni porast prodaje za 3,5 odstotka glede na leto 2012, kar
pomeni skupaj prodanih več kot 1,8 milijarde mobilnih naprav. Od tega predstavljajo pametni
mobilni telefoni kar 53,6 %.
Pametni telefoni za svoje delovanje potrebujejo nameščen operacijski sistem. Kot je razvidno
iz tabele številka 1.1, največji deleţ med operacijskimi sistemi za pametne telefone
predstavlja Android, sledita mu iOS, ki je nameščen na pametnih telefonih Apple, nato
Microsoft za mobilne naprave Nokia in Blackberry (Gartner, 2014).
Tabela 1.1: Operacijski sistemi v prodanih pametnih telefonih končnim uporabnikom
Operacijski
2013
Tržni delež
2012
Tržni delež
sistem
(v tisoč enotah)
2013 (%)
(v tisoč enotah)
2012 (%)
Android
758.719,9
78.4
451.621,0
66.4
iOS
150.785,9
15.6
130.133,2
19.1
Microsoft
30.842,9
3.2
16.940,7
2.5
Blackberry
18.605,9
1.9
34.210,3
5.0
Drugi OS
8.821,2
0.9
47.203,0
6.9
967.775,8
100
680.108,2
100
Skupaj
Vir: Gartner (2014)
S pregledom statističnih podatkov dela policije je razvidno, da je bilo z namenom iskanja in
dokumentiranja sledov kaznivih dejanj glede na enako obdobje lani opravljenih 4,2 % več
forenzičnih zavarovanj in preiskav zaseţenih elektronskih naprav (MNZ, 2013).
1.1
Opredelitev problema
Vsebina pametnega telefona je dragocen hranilnik različnih podatkov o uporabniku. Poleg
informacij o zadnjih klicih, poslanih kratkih sporočilih in slik se v pomnilniku telefona nahaja
še veliko drugih podatkov, ki se v njem shranjujejo brez vednosti lastnika. Pametni telefoni z
1
vgrajenim GPS1 sprejemnikom shranjujejo podatke o lokaciji uporabnika in času, tovrstni
podatki se shranjujejo tudi v metapodatkih posnetih fotografij.
Pri preiskavah kaznivih dejanj je pridobivanje elektronskih dokazov o osumljencu s forenziko
mobilne naprave urejeno z Zakonom o kazenskem postopku (ZKP), ki je bil v ta namen
dopolnjen z novelo ZKP-J. Delo na tem področju je zelo dinamično, saj se tehnologija
neprestano spreminja, storilci pa uporabljajo tudi različne protiforenzične metode in s tem
oteţujejo, oziroma celo onemogočijo preiskavo naprave.
Forenzika elektronskih naprav je področje, na katerem je razvoj izredno hiter. Področje
digitalne forenzike pokriva tako področje notranjih preiskav incidentov v podjetjih, preiskav
elektronskih naprav za potrebe pridobivanja elektronskih dokazov v pravdnih in kazenskih
postopkih in področje, ki se nanaša na drţavno varnost. Forenzika mobilnih naprav je ena
najhitreje rastočih in razvijajočih se elektronskih forenzik, ponuja veliko priloţnosti,
predstavlja pa tudi veliko izzivov. Medtem ko je zanimivejši del forenzike elektronskih
naprav z operacijskim sistemom Android pridobivanje in analiza podatkov iz elektronske
naprave, je pri tem pomembno, da imamo širše razumevanje platforme in seveda tudi orodij,
ki jih uporabljamo med preiskavo. Temeljito poznavanje bo pomagalo forenzičnemu
preiskovalcu oziroma varnostnemu inţenirju na poti skozi uspešno preiskavo in analizo
elektronske naprave (Hoog, 2011).
Cilj katere koli forenzične preiskave je poiskati dejstva in z njihovo pomočjo priti do slike
dogodka oz. dogajanja. Preiskovalec razkriva sliko z odkrivanjem in izpostavljanjem dejstev,
ki so skrita v sistemu. Preiskovalec je pri tem podoben arheologu pri odkrivanju zgodovinskih
dejstev. Ravnanje posameznika pušča sledi v sistemu. Bolj zapletene operacije imajo
spremembe vpisane na več mestih in jih je seveda laţje odkriti (Cory, 2011).
1
Global positioning system-sistem globalnega pozicioniranja je satelitski navigacijski sistem, ki omogoča
določitev točnega poloţaja in časa kjerkoli na Zemlji, upravlja ga obrambno ministrstvo ZDA (GPS, 2014).
2
1.2
Namen in cilji
V magistrski nalogi se bomo v prvem delu osredotočili na pravni vidik pridobivanja
elektronskih dokazov, ki je najpogostejši vzrok preiskave. Pri forenzični preiskavi je potrebno
dosledno upoštevati veljavno zakonodajo v drţavi, kjer se preiskava opravlja, v nasprotnem
primeru so pridobljeni elektronski dokazi neveljavni. Po temeljitem vpogledu v zakonodajni
okvir ţelimo v prvem delu magistrskega dela opisati metodologijo uspešne pridobitve
elektronskega dokaza ob upoštevanju smernic, ki jih narekuje stroka.
V drugem delu bomo podrobno predstavili operacijski sistem Android in navedli lokacije
podatkov o uporabniku. Tovrstni podatki se shranjujejo na različne lokacije in tudi po izbrisu
ostanejo še vedno prisotni na nosilcu podatkov. Dobro poznavanje operacijskega sistema je
pomembno zaradi kasnejše primerjave učinkovitosti orodij za forenzične preiskave, oziroma z
njihovo pomočjo pridobljenih podatkov.
V zadnjem delu bomo naredili primerjavo učinkovitosti orodij za forenzične preiskave in
podali kritičen pregled uporabljene programske opreme. Različna namenska programska
oprema omogoča dostop do istih podatkov, vendar je za dostop do vseh podatkov, ki so
zanimivi za forenzično analizo, potrebno uporabiti več orodij. Razlika je še v kompleksnosti
programske opreme in s tem povezane zamudnosti postopka, predstavitvi najdenih podatkov
in njihove količine. Forenzično preiskavo bomo izvedli na mobilnem telefonu z operacijskim
sistemom Android, v katerega bomo predhodno vnesli testne podatke. Primerjali bomo
programsko opremo Open source android forensics (OSAF), Santoku linux, Viaforensics
Viaextract, Mobiledit Forensics, Oxygen Forensics in Micro systemation XRY Logical. Na
spletu je prosto dostopnih več odprtokodnih in plačljivih programskih orodij za forenzično
preiskavo mobilnih telefonov. V magistrskem delu ţelimo ugotoviti prednosti in
pomanjkljivosti
posamezne
programske
opreme,
bistvene
prednosti
komercialnih
programskih rešitev v primerjavi z odprtokodnimi ter skladnost pridobljenih podatkov z
vnesenimi testnimi podatki. Za izhodišče bomo vzeli vse vnesene testne podatke.
Prvi cilj je opisati metodologijo uspešne pridobitve elektronskega dokaza ob upoštevanju
smernic, ki jih narekuje stroka.
Drugi cilj je poiskati in opisati mesta hranjenja podatkov o uporabnikih na mobilnih napravah
z operacijskim sistemom Android.
3
Tretji cilj je izdelati primerjavo učinkovitosti orodij za forenzične preiskave in podati kritičen
pregled uporabljene programske opreme.
1.3
Raziskovalna vprašanja
1. Ali je z vsakim od izbranih programskih paketov mogoč dostop do vseh, za forenzično
preiskavo relevantnih podatkov?
2. Ali je odprtokodna namenska programska oprema za forenzično preiskovanje
zahtevnejša za uporabo od komercialne, je potrebno večje poznavanje operacijskega
sistema Linux?
3. Ali lahko z namensko programsko opremo pridobimo nespremenjeno vsebino in
podatek o času nastanka vnesenih testnih podatkov?
1.4
Metodologija
V magistrski nalogi bomo uporabili primerjalno metodo merjenja učinkovitosti dostopa do
vnesenih testnih podatkov, s pomočjo namenskih programov za forenzično preiskavo
mobilnih telefonov. Za izhodišče bomo vzeli vse vnesene testne podatke. Različna namenska
programska oprema omogoča dostop do istih podatkov, vendar je za dostop do vseh podatkov,
ki so zanimivi za forenzično analizo, potrebno uporabiti več orodij. Kot navaja Digital
investigation (nadalje DI), je dostop do podatkov v mobilnem telefonu (v članku je opisan
dostop do podatkov na platformi Windows mobile) mogoč na več načinov. V članku je
primerjanih več različnih načinov in tehnik za dostop do podatkov v mobilni napravi (Grispos
George in drugi, 2011). Pred tem bomo pridobili programsko opremo Open source android
forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit Forensics, Oxygen
Forensics in Micro systemation XRY Logical tako odprtokodne kot komercialne programske
opreme.
V lastno mobilno napravo vnesene testne podatke bomo z namensko programsko opremo
Open source android forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit
Forensics, Oxygen Forensics in Micro systemation XRY Logical skušali pridobiti oz.
poiskati. Še posebej nas zanima količina pridobljenih testnih podatkov z uporabo komercialne
in odprtokodne programske opreme.
4
Za izdelavo kritičnega pregleda uporabljene programske opreme bomo pri analizi vsake
moţnosti navedli njene osnovne značilnosti in namen, njene zmoţnosti, omejitve in pribliţno
oceno potrebnega časa za pridobitev testnih podatkov. Rezultate, pridobljene s pomočjo
namenske programske opreme, bomo med seboj primerjali in izpostavili prednosti in slabosti
posameznih programskih produktov.
2. ELEKTRONSKI DOKAZ
Danes je praktično na vseh področjih ţivljenja prisotna informacijska tehnologija. Uporabniki
smo zaradi hitrega tempa ţivljenja praktično povsod vse bolj prisiljeni uporabljati sodobno
tehnologijo. Tovrstne aktivnosti pa puščajo različne elektronske sledi, ki se jih pod
določenimi pogojih sme in mora poiskati. Z različnimi načini preiskave se za namene
preiskovanja kaznivega dejanja in dokazovanja osumljenčevega početja pridobiva elektronske
dokaze. Ravno tako kot klasični, fizični dokazi, morajo biti tudi elektronski dokazi pridobljeni
v skladu s smernicami stroke in ob doslednem spoštovanju zakonodaje, sicer so neveljavni,
neuporabni in se jih ne more upoštevati. Definicijo elektronskega dokaza različni avtorji
podajajo različno. Pojma digitalni dokaz in elektronski dokaz sta sopomenki. Stephen Mason
opredeljuje elektronski dokaz kot proizvod analogne naprave ali podatek v digitalni obliki, ki
je ustvarjen, shranjen ali povezan s kakršnokoli napravo, računalnikom ali računalniškim
sistemom ali ki se prenaša preko komunikacijskega sistema in je relevanten za proces
razsojanja (Mason, 2007).
Kot navaja Selinšek (2009), bo po napovedih tuje teorije digitalna forenzika v prihodnosti še
močnejše orodje v rokah organov odkrivanja, pregona in sojenja kot analiza DNA. Pojem
dokaz opredeljuje: “Dokaz je vir spoznanja o kakem pomembnem dejstvu oziroma sinonim za
logično in izkustveno sprejemljivo trditev o obstoju kakega pravno pomembnega dejstva.”
Elektronski dokaz ni neka nova vrsta dokaza, ni potrebno novo znanje o dokaznem pravu, so
pa potrebna znanja o značilnostih in naravi nove vrste dokaza, predvsem splošno znanje o
digitalni forenziki in elektronskih dokazih (Selinšek, Liljana).
5
2.1
Pridobivanje elektronskih dokazov
Področje računalniške forenzike spada med bolj dinamična področja znanosti. Na trţišče
prihajajo vedno novejši operacijski sistemi in na njih delujoča programska oprema, ki vsaka
na svoj način shranjuje podatke o dejavnostih uporabnika. Neprestano se razvija tudi
namenska programska oprema, ki omogoča preiskovalcem dostop do shranjenih elektronskih
dokazov. Pri izvajanju računalniške forenzike ne zadostuje le primerna strojna in programska
oprema. Potrebno je dosledno upoštevati načela računalniške forenzike, v nasprotnem primeru
so pridobljeni elektronski dokazi neveljavni, neuporabni in se jih ne more upoštevati:





Revizijska sled
Vse dejavnosti na preučevani napravi, nosilcu podatkov, sliki morajo biti dosledno
dokumentirane, shranjene in dostopne. V kolikor ţeli tretja stranka do njih dostopati,
preiskavo ponoviti, mora priti do enakih rezultatov. Preiskovalec vodi dnevnik dela,
kjer podrobno beleţi izvajanje aktivnosti na preiskovanih podatkih oziroma napravi,
postopek mora biti jasno opisan.
Integriteta
Preiskave se ne sme opravljati na način, da bi lahko prišlo do spremembe originalnega
izvora podatkov, vedno se preiskuje kopija originala. Ob zavarovanju podatkov se
naredi popolna kopija izvornega nosilca podatkov v več izvodih. Po zajemu se
izračuna kontrolna zgoščena vrednost na nosilcu in kopiji in s tem zagotovi, da so
zavarovani podatki nespremenjeni.
Znanje preiskovalca
Preiskovalec mora biti primerno usposobljen, v primeru nestrokovne oprave preiskave
lahko pride do netočnih ugotovitev, kar elektronske dokaze spremeni, poškoduje ali
celo uniči. V določenih primerih je potrebno preiskovati podatke na izvirnem nosilcu,
preiskovalec mora vedeti, kaj je s takšnim načinom preiskave spremenil in zakaj se je
zanj odločil.
Skrbniška veriga
Med potekom preiskave je posameznik, ki izvaja preiskavo, odgovoren za vse
aktivnosti v zvezi z elektronskimi dokazi, ki morajo biti primerno zaščiteni. Vsaka
oseba, ki pride v stik z zaseţenim nosilcem oziroma podatki, mora biti dokumentirana,
pooblaščena in usposobljena za delo na preiskovani napravi, nepooblaščenim osebam
je potrebno onemogočiti dostop.
Zakonodaja
Pri izvajanju forenzičnih preiskav in iskanju digitalnih dokazov je potrebno upoštevati
splošna forenzična načela in zakonska določila za zavarovanje dokazov (Kovačič in
drugi, 2010).
6
2.2
Pravni vidik pridobitve elektronskega dokaza
Področje preiskave elektronskih naprav ureja Zakon o kazenskem postopku (nadalje ZKP), ki
je bil v ta namen dopolnjen z novelo ZKP-J, objavljena je bila v Uradnem listu 30. septembra
2009 in prešla v veljavo v mesecu oktobru 2009. V noveli je bistveno bolj razdelano področje
preiskave elektronskih naprav z razširitvijo dosedanjega 219. člena ZKP.
219. člen ZKP: Če je bila preiskava opravljena brez pisne odredbe sodišča (prvi odstavek
215. člena) ali brez oseb, ki morajo biti navzoče pri preiskavi (prvi in tretji odstavek 216.
člena), ali če je bila preiskava opravljena v nasprotju z določbami prvega, tretjega in
četrtega odstavka prejšnjega člena, ne sme sodišče opreti svoje odločbe na tako
pridobljene dokaze (Uradni list RS, 2007).
Tovrstna ureditev je bila nezadostna, področje pridobitve elektronskih dokazov se je močno
razširilo, potreba po podrobnejši ureditvi je postala vse večja. Do sprejetja novele je za
pridobivanje elektronskih dokazov veljala enaka zakonodaja kot za pridobitev klasičnih
dokazov. V praksi se je skušalo smiselno uporabljati določila zakona, ki so veljala za ostale
dokaze. V noveli je bil sprejet 219. a člen, ki podrobno ureja področje preiskave in pridobitve
elektronskih dokazov.
2.2.1 Predlog in odredba o preiskavi elektronske naprave
(3) Predlog in odredba o preiskavi elektronske naprave morata vsebovati:
– podatke, ki omogočajo identifikacijo elektronske naprave, ki se bo preiskala;
– utemeljitev razlogov za preiskavo;
– opredelitev vsebine podatkov, ki se iščejo;
– druge pomembne okoliščine, ki narekujejo uporabo tega preiskovalnega dejanja in
določajo način njegove izvršitve.
(4) Če se preiskava elektronske naprave odredi v odredbi za hišno ali osebno preiskavo,
za izdajo tega dela odredbe in njeno izvršitev veljajo pogoji in postopki iz tega člena. V
tem primeru tudi predlog za hišno ali osebno preiskavo poda državni tožilec (Uradni list
RS, 2012).
7
V tretjem odstavku so navedeni bistveni elementi predloga in odredbe o preiskavi elektronske
naprave. Enoznačni podatki, ki omogočajo identifikacijo elektronske naprave, morajo biti
pridobljeni pred izdajo odredbe. Pomeni, da je potrebno v primeru preiskave mobilnega
telefona pridobiti IMEI2 številko. IMEI enoznačno identificira posamezno mobilno napravo,
je unikatna za vsak mobilni telefon in omogoča kontrolo dostopa do GSM omreţja (GSMA,
2011).
Identifikacija mobilne naprave je mogoča tudi z uporabo IMSI3 številke. IMSI je shranjena v
SIM4 kartici, ki jo uporabnik prejme ob sklenitvi naročniškega razmerja z operaterjem,
ponudnikom GSM-storitev (Crowe, 2001).
V odredbi o preiskavi je navedena utemeljitev razlogov za preiskavo in opredelitev vsebine
podatkov, ki se iščejo. Preiskovalec mora pri svojem delu dosledno upoštevati odredbo
sodišča in iskati podatke, ki so navedeni v odredbi. V kolikor se v postopku pojavijo nova
dejstva in s tem povezane zahteve po preiskavi,
je potrebno pridobiti novo razširjeno
odredbo.
2.2.2
Zaseg predmetov
Zaseg predmetov v kazenskem postopku je opredeljen v 220. členu ZKP. Člen določa pogoje,
pod katerimi se lahko zaseţe katerekoli predmete, ki bi lahko pomagali pri preiskavi
kaznivega dejanja.
(1) Predmeti, ki se morajo po kazenskem zakonu vzeti ali ki utegnejo biti dokazilo v
kazenskem postopku, se zasežejo in izročijo v hrambo sodišču ali pa se kako drugače
zavaruje njihova hramba.
2
International mobile station equipment identity je identifikacijska številka mobilnega aparata, sestavljena iz
petnajstih do sedemnajstih številk. Običajno jo najdemo natisnjeno za baterijo v mobilni napravi (IMEI TOOLS,
2014).
3
International mobile subscriber identity je identifikacijska številka, dodeljena s strani mobilnega operaterja, ki
omogoča identifikacijo posamezne mobilne naprave (Gartner, 2014a).
4
Subscriber identity module je pametna kartica s pomnilniškim čipom, omogoča povezavo mobilne naprave z
mobilnim omreţjem, med drugim je v njej shranjena tudi IMSI številka (Gartner, 2014b).
8
(2) Kdor ima take predmete, jih mora na zahtevo sodišča izročiti. Če noče izročiti
predmetov, se sme kaznovati z denarno kaznijo, določeno v prvem odstavku 78. člena
tega zakona, če tega še vedno noče storiti, pa se sme zapreti. Zapor traja do izročitve
predmetov ali do konca kazenskega postopka, vendar največ mesec dni.
(3) O pritožbi zoper sklep, s katerim je bila izrečena denarna kazen ali odrejen zapor,
odloča senat (šesti odstavek 25. člena). Pritožba zoper sklep o zaporu ne zadrži
njegove izvršitve.
(4) Policisti smejo zaseči predmete, omenjene v prvem odstavku tega člena, kadar
postopajo po 148. in 164. členu tega zakona ali kadar izvršujejo nalog sodišča
(Uradni list RS, 2007).
V 148. členu ZKP, v zvezi s petim odstavkom 220. člena ZKP je navedeno, da v primeru
podanih razlogov za sum storjenega kaznivega dejanja mora policija ukreniti vse, kar je
potrebno, da se zavarujejo sledovi kaznivega dejanja in predmeti, ki utegnejo biti dokaz.
V 164. členu ZKP, v zvezi s petim odstavkom 220. člena ZKP je navedeno, da sme policija
zaseči predmete še pred začetkom preiskave, v kolikor bi bilo nevarno odlašati. O izvršenih
dejanjih mora policija oziroma preiskovalni sodnik brez odlašanja obvestiti drţavnega toţilca.
(5) Pri zasegu predmetov se navede, kje so bili najdeni, in predmeti opišejo, po potrebi
pa se tudi na drug način zavaruje ugotovitev njihove istovetnosti. Za zasežene
predmete se izda zapisnik (Uradni list RS, 2007).
V zapisniku o zaseţenem predmetu je potrebno podrobno opisati zaseţene predmete. V
primeru zaseţene elektronske naprave je običajno naprava označena z enoznačno
identifikacijsko številko, mobilna naprava tudi z IMEI številko. V kolikor je mogoče, se
zaseţene predmete fotografira, opiše stanje in morebitne poškodbe. Zapisnik o zasegu se izda
tistemu, pri katerem se opravi preiskava.
2.2.3 Zaseg elektronske naprave in zavarovanje podatkov
(1) Če se zaseže elektronska naprava (prvi odstavek 219. a člena) zaradi oprave
preiskave, se podatki v elektronski obliki zavarujejo tako, da se shranijo na drug
ustrezen nosilec podatkov na način, da se ohrani istovetnost in integriteta podatkov
ter možnost njihove uporabe v nadaljnjem postopku ali se izdela istovetna kopija
9
celotnega nosilca podatkov, pri čemer se zagotovi integriteta kopije teh podatkov.
Če to ni mogoče, se elektronska naprava zapečati, če je mogoče, pa samo tisti del
elektronske naprave, ki naj bi vseboval iskane podatke (Uradni list RS, 2012).
V 223. a členu je z novelo ZKP-J podrobno urejeno ravnanje z zaseţenimi elektronskimi
napravami. Posebnost elektronskih naprav v primerjavi z drugimi zaseţenimi predmeti je v
tem, da se zaseg opravi z namenom pridobiti podatke, ki se nahajajo na napravi. Elektronsko
napravo se po opravljenem zavarovanju podatkov vrne lastniku. Posebnega pomena je
zagotoviti istovetnost in integriteto podatkov. Navedeno se zagotovi z uporabo izračuna
kontrolne vrednosti. Imetnika naprave oziroma njegovega zastopnika se povabi k navzočnosti
pri izdelavi kopije podatkov, v kolikor se ga ne udeleţi, se ga opravi brez njegove prisotnosti.
Zakon predpisuje ustrezno usposobljeno osebo za izvedbo zavarovanja podatkov na zaseţeni
napravi.
(3) Imetnik, uporabnik, upravljavec ali skrbnik elektronske naprave oziroma tisti, ki ima
do nje dostop, mora na zahtevo organa, ki jo je zasegel, takoj ukreniti, kar je potrebno
in je v njegovi moči, da se onemogoči uničenje, spreminjanje ali prikrivanje podatkov.
Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka
220. člena tega zakona, razen če gre za osumljenca, obdolženca ali osebo, ki ne sme biti
zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236.
člen) (Uradni list RS, 2012).
V tretjem odstavku je urejeno predvsem področje dostopa do podatkov na napravah, kjer je
uporabljena določena protiforenzična metoda. V kolikor ne omogoči dostopa do podatkov, se
ga lahko kaznuje tudi s kaznijo zapora, vendar največ mesec dni.
(5) Pri zavarovanju podatkov se v zapisnik zapiše tudi kontrolna vrednost, oziroma se
na drug ustrezen način v zapisniku zagotovi možnost naknadnega preverjanja
istovetnosti in integritete zavarovanih podatkov. Izvod zapisnika se izroči osebi iz
prejšnjega odstavka, ki je bila navzoča pri zavarovanju podatkov (Uradni list RS,
2012).
Na kopiji podatkov zaseţene naprave se naredi izračun kontrolne zgoščene vrednosti. Rezultat
izračuna kontrolne zgoščene vrednosti je praktično prstni odtis datoteke zajetih podatkov.
Kontrolno zgoščeno vrednost se vpiše v zapisnik, s tem se zagotovi kasnejše ponovno
10
preverjanje oziroma forenziko podatkov morebitni tretji osebi, zagotovi se ponovljivost
postopka.
(6) Zaseg in zavarovanje podatkov morata biti opravljena na način, s katerim se v
najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in
varuje tajnost oziroma zaupnost podatkov ter se ne povzroča nesorazmerna škoda
zaradi nezmožnosti uporabe elektronske naprave (Uradni list RS, 2012).
V primeru vdora v informacijski sistem v podjetju se zavaruje podatke na napadenih
napravah. Pri tem seveda pride do dodatnega oviranja dela in s tem posredno povečanja
škode, povzročene ţe s samim napadom. Zavarovanje je potrebno izvesti na način, ki v
najmanjši moţni meri ovira uporabnike napadene opreme.
(7) Kopije zaseženih podatkov se hranijo, dokler je to potrebno za postopek.
Elektronska naprava se hrani, dokler podatki niso shranjeni na način, ki zagotovi
istovetnost in integriteto zaseženih podatkov, vendar ne več kakor tri mesece od dneva
pridobitve. Če izdelava takšne kopije podatkov ni mogoča, se elektronska naprava ali
del elektronske naprave, ki vsebuje iskane podatke, hrani, dokler je to potrebno za
postopek, vendar ne več kakor šest mesecev od dneva pridobitve, razen če je bila
zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja, oziroma je
sama elektronska naprava dokaz v kazenskem postopku (Uradni list RS, 2012).
V sedmem odstavku je določen čas, v katerem je potrebno opraviti zavarovanje podatkov na
zaseţeni napravi in jo vrniti lastniku. Kljub določenim rokom za izvedbo zavarovanja
podatkov na zaseţeni napravi se iz različnih razlogov (velika količina podatkov, pomanjkanje
strokovnjakov) sama preiskava lahko zavleče tudi do enega leta in pol (Lovšin, 2013).
2.2.4 Preiskava elektronskih naprav
(1) Preiskava elektronskih in z njo povezanih naprav ter nosilcev elektronskih podatkov
(elektronska naprava), kot so telefon, telefaks, računalnik, disketa, optični mediji in
spominske kartice, se zaradi pridobitve podatkov v elektronski obliki lahko opravi, če so
podani utemeljeni razlogi za sum, da je bilo storjeno kaznivo dejanje in je podana
verjetnost, da elektronska naprava vsebuje elektronske podatke:
11
– na podlagi katerih je mogoče osumljenca ali obdolženca identificirati, odkriti ali prijeti
ali odkriti sledove kaznivega dejanja, ki so pomembni za kazenski postopek, ali
– ki jih je mogoče uporabiti kot dokaz v kazenskem postopku (Uradni list RS, 2012).
Prvi odstavek 219. a člena ZKP točno opredeljuje definicijo elektronske naprave in določa
pogoje, na podlagi katerih se opravi preiskava elektronske naprave. Elektronska naprava je
definirana kot nosilec elektronskih podatkov, dokazna vrednost se tako seli s fizičnega
predmeta na vsebovane podatke. Cilj preiskave je pridobitev podatkov v elektronski obliki, ki
so pomembni za kazenski postopek ali jih je mogoče uporabiti kot dokaz.
(2) Preiskava se opravi na podlagi vnaprejšnje pisne privolitve imetnika ter policiji
znanih in dosegljivih uporabnikov elektronske naprave, ki na njej utemeljeno pričakujejo
zasebnost (uporabnik), ali na podlagi obrazložene pisne odredbe sodišča, izdane na
predlog državnega tožilca. Če se preiskava opravi na podlagi odredbe sodišča, se izvod
te odredbe pred začetkom preiskave izroči imetniku oziroma uporabniku elektronske
naprave, ki naj se preišče (Uradni list RS, 2012).
Pisna privolitev imetnika ter ostalih policiji znanih in dosegljivih uporabnikov elektronske
naprave se pričakuje v primeru preiskave ţrtvine elektronske naprave. Pomembno je, da se
varuje zasebnost vseh znanih in dosegljivih uporabnikov.
Pri preiskavi elektronske naprave storilca oziroma osumljenca kaznivega dejanja se
upravičeno pričakuje odklonitev pisne privolitve. Na predlog drţavnega toţilca sodišče izda
obrazloţeno pisno odredbo, ki predstavlja podlago za preiskavo, pred začetkom preiskave se
jo izroči imetniku elektronske naprave.
(6) Imetnik oziroma uporabnik elektronske naprave mora omogočiti dostop do
naprave, predložiti šifrirne ključe oziroma šifrirna gesla in pojasnila o uporabi
naprave, ki so potrebna, da se doseže namen preiskave. Če noče tako ravnati, se sme
kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen
če gre za osumljenca ali obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235.
člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen) (Uradni list RS,
2012).
Posameznik, ki noče predloţiti šifrirnih ključev in pojasnil o uporabi naprave, s katerimi se
doseţe namen preiskave, lahko sodišče kaznuje z denarno kaznijo. V kolikor še vedno ne
12
sodeluje, pa tudi s kaznijo zapora, ki ne sme trajati več kot mesec dni. Moţnost kaznovanja ne
velja za osumljence in obdolţence, ki ne smejo biti zaslišane kot priče ali pa so se zaradi
spoštovanja ustavnega privilegija zoper samoobtoţbo odrekle pričanju.
Kot pojasnjuje Kovačič, bodo v primeru, ko posameznik uporablja tehniko verodostojnega
zanikanja, zakonske določbe o obveznosti razkritja šifrirnih ključev neuporabne. Na spletu je
prosto dostopnih več brezplačnih programov, ki omogočajo šifriranje podatkov na različnih
podatkovnih nosilcih. Podatki na šifriranih nosilcih so za preiskovalce praktično nedostopni,
dostop do njih je mogoč samo z vnosom gesla, kar vsekakor oteţuje tovrstne preiskave.
Z uporabo določenih šifrirnih tehnik je namreč mogoče znotraj posameznega šifrirnega
kontejnerja skriti dodaten šifrirni kontejner. Uporabnik nato z vnosom določenega gesla
dostopa do osnovnega kontejnerja, z vnosom drugega gesla pa omogoči dostop do drugih
podatkov, shranjenih v dodatnem šifrirnem kontejnerju. Posameznik, ki bo prisiljen razkriti
šifrirne ključe, bo v primeru verodostojnega zanikanja razkril oziroma omogočil dostop samo
do zanj razbremenilnih podatkov. Sistem šifrirnih kontejnerjev je zasnovan na način, da v
posameznem ni mogoče ugotoviti morebitnih skritih šifrirnih kontejnerjev (Kovačič in drugi,
2010).
(7) Preiskava se opravi tako, da se ohrani integriteta izvirnih podatkov in možnost
njihove uporabe v nadaljnjem postopku. Preiskava mora biti opravljena na način, s
katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali
obdolženci, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča
nesorazmerna škoda (Uradni list RS, 2012).
Eno izmed temeljnih načel forenzike pravi, da se preiskave ne sme opravljati na način, da bi
lahko prišlo do spremembe originalnega izvora podatkov, vedno se preiskuje kopija originala.
V osmem odstavku sta določena način in vsebina zapisnika o preiskavi elektronske naprave.
Zapisnik vodi strokovno usposobljena oseba vzporedno s preiskavo, v njem so navedeni:

identifikacija elektronske naprave, ki je bila pregledana;

datum ter ura začetka in konca preiskave oziroma ločeno za več preiskav, če preiskava
ni bila opravljena v enem delu;

morebitne sodelujoče in navzoče osebe pri preiskavi;

številka odredbe in sodišče, ki jo je izdalo;

način izvedbe preiskave;
13

ugotovitve preiskave in druge pomembne okoliščine.
(9) Če se pri preiskavi najdejo podatki, ki niso v zvezi s kaznivim dejanjem, zaradi
katerega je bila preiskava odrejena, temveč kažejo na drugo kaznivo dejanje, za katero se
storilec preganja po uradni dolžnosti, se zasežejo tudi ti. To se navede v zapisnik in takoj
sporoči državnemu tožilcu, da začne kazenski pregon. Ti podatki pa se takoj uničijo, če
državni tožilec spozna, da ni razloga za kazenski pregon in tudi ne kakšnega drugega
zakonskega razloga, da bi se morali podatki vzeti. O uničenju se sestavi zapisnik.
(11) Če je bila preiskava elektronske naprave opravljena brez odredbe sodišča ali v
nasprotju z njo ali brez pisne privolitve iz drugega odstavka tega člena, sodišče svoje
odločbe ne sme opreti na zapisnik o preiskavi in na tako pridobljene podatke (Uradni list
RS, 2012).
V devetem in enajstem odstavku 219. a člena novele ZKP-J je navedeno, da je v primeru
naključnega odkritja podatkov, ki kaţejo na drugo kaznivo dejanje, potrebno obvestiti
drţavnega toţilca in pridobiti novo odredbo za preiskavo. Dokazi, pridobljeni z napačno
odredbo, brez pisne privolitve imetnika oziroma odredbe sodišča, niso pravno veljavni in se
jih na sodišču ne upošteva.
2.3
Elektronska forenzična preiskava
Forenzična preiskava elektronskih naprav je novejše področje, njegovi začetki sovpadajo s
pojavom elektronskih naprav. Zajema preiskave elektronskih naprav in obravnavanje
incidentov na omreţjih. Razlog za pričetek forenzične preiskave je lahko storjeno kaznivo
dejanje, posledično se skuša pridobiti dokaze na elektronskih napravah osumljenca. Razlog
forenzične preiskave omreţja je neobičajno delovanja omreţja oziroma naprav, priključenih
na omreţje. Podatki, pridobljeni med forenzično preiskavo, pomagajo preiskovalcem pri
rekonstrukciji okoliščin in skrbnikom omreţij omogočajo uvesti potrebne ukrepe za
preprečitev podobnih incidentov v prihodnje. Potek preiskave se močno razlikuje in je
odvisen od več dejavnikov: lokacije, razseţnosti incidenta, notranjih politik v podjetjih,
naprave.
Kljub temu je National institute of standards and tehnology (nadalje NIST) razdelil forenzično
preiskavo v štiri glavne faze:
14

zbiranje podatkov,

preiskava podatkov,

analiza podatkov,

izdelava poročila.
Zbiranje podatkov je postopek fizičnega pridobivanja podatkov iz različnih pomnilniških
medijev (trdi disk, spominska kartica, drugi pomnilniki).
Preiskava podatkov pridobljenih z zbiranjem, je postopek, v katerem se pregleda pridobljene
podatke in se jih pretvori v razumljivo obliko za preiskovalca
Analiza podatkov je postopek, v katerem iz mnoţice podatkov izluščimo ţelene oziroma
relevantne v preiskavi.
Izdelava poročila je postopek, v katerem je zabeleţen celoten postopek pridobitve
informacije iz podatka (Chevalier in drugi, 2006).
2.4
Forenzika mobilnega telefona
Forenzika mobilnega telefona zajema več zaporednih faz: prevzem, identifikacijo, pripravo,
izolacijo, preiskavo, preverjanje, izdelavo poročila, predstavitev in arhiviranje.
2.4.1 Prevzem mobilnega telefona
Pri prevzemu mobilnega telefona se je potrebno posvetiti izpolnitvi razlogov za preiskavo.
Preveri se skladnost odredbe za preiskavo s prevzeto napravo, izpolni prevzemni obrazec,
vnese podatke o uporabniku mobilnega telefona, določi skrbniško verigo ter seveda preveri,
katere podatke se na zaseţeni napravi išče.
2.4.2 Identifikacija
Za vsako preiskavo mora preiskovalec identificirati naslednje:

Zakonska podlaga za opravo preiskave mobilne naprave – V tej fazi se je potrebno
osredotočiti na pričakovane cilje preiskave in preverjanje pravne podlage zanjo.
Pomembno je določiti, katera zakonska pooblastila obstajajo za opravo preiskave.
15

Cilji preiskave – Zmoţnosti forenzičnega preiskovalca in njegove strojne opreme so
omejene. Glede na veliko število mobilnih naprav na trgu, je nemogoče pričakovati, da
bo imel vsak laboratorij za forenzične preiskave elektronskih naprav moţnost
preiskave vsake naprave. Zato je potrebno glede na prevzeto napravo določiti meje
preiskave. Določi se, kdo je odgovoren za dokumentiranje podatkov in kako
poglobljena bo preiskava. V določenih primerih je dovolj, da se naredi preiskava z
namenskimi programi za forenzične preiskave. V kolikor je potrebno dostopati tudi do
izbrisanih podatkov, pa lahko postane preiskava časovno in tehnično zahtevnejša.

Preverjanje proizvajalca in modela mobilnega telefona – Pomembno je ţe iz razloga
preverjanja moţnosti preiskave telefona s programsko opremo, ki jo imamo na voljo.
V specifikacijah programske opreme je navedeno, katere mobilne telefone je mogoče
preiskovati. Preveri se IMEI in IMSI številke ter se jih primerno dokumentira.

Zunanji, odstranljiv pomnilnik – Določeni modeli mobilnih telefonov omogočajo
uporabo zunanjega medija za hranjenje podatkov. Največkrat je to TF-microSD
kartica različnih kapacitet. V primeru, da mobilni telefon vsebuje takšen pomnilnik, ga
je potrebno odstraniti iz naprave in uporabiti klasične forenzične metode preiskovanja.
V kolikor se podatki na zunanjem pomnilniku preiskujejo z uporabo forenzičnih orodij
za preiskavo mobilnih telefonov, lahko pride do spremembe časovne oznake
shranjenih podatkov.
Vse večje število mobilnih telefonov omogoča sinhronizacijo shranjenih podatkov s
spletnim servisom ali uporabnikovim osebnim računalnikom. V kolikor je mogoče
trditi, da so določeni podatki shranjeni na teh mestih, lahko pomenijo potencialni
dodatni vir elektronskih dokazov, oziroma moţnost potrditve odkritih elektronskih
dokazov.

Moţnost zbiranja klasičnih forenzičnih dokazov – V kolikor se izkaţe za potrebno, se
pred izvedbo forenzike mobilnega telefona opravi analizo DNA, oziroma se poišče in
zbere morebitne prstne odtise, ki povezujejo mobilno napravo z uporabnikom.
2.4.3
Priprava na preiskavo
V postopku identifikacije je preiskovalec ţe začel s pripravami na preiskavo mobilne naprave.
Priprava na preiskavo pomeni pridobitev podatkov o potrebni programski opremi za
opravljanje forenzične preiskave, kot tudi potrebne strojne opreme. Na trţišču ni programske
16
opreme, ki bi omogočala pridobitev vseh podatkov iz vseh mobilnih telefonov. Preiskava
določenih mobilnih telefonov pa je mogoča samo z ročno ekstrakcijo ţelenih podatkov.
2.4.4 Izolacija naprave
Mobilni telefoni so namenjeni komunikaciji, pri svojem delovanju se povezujejo v različna
omreţja in omogočajo prenos zvoka in podatkov. Pred izvedbo preiskave, še bolje ob zasegu
elektronske naprave, jo je potrebno izolirati, oziroma ji onemogočiti nadaljnjo povezovanje in
komunikacijo. Povezana naprava namreč v pomnilnik še vedno zapisuje različne podatke, ki
niso povezani z uporabnikom. Lastnik naprave lahko pošlje napravi tudi navodilo, da se
izbrišejo vsi zasebni podatki in se napravo postavi v tovarniško stanje. Preiskovalec lahko pri
preiskovanju nehote prekorači omejitve odredbe za preiskavo in dostopa do podatkov, ki so
shranjeni na omreţju ali osebnem računalniku. Napravo se izolira z uporabo Faradayevih
vrečk, oziroma elektronskih naprav, ki onemogočajo povezovanje.
Preiskava se lahko izvaja v Faradayevi sobi, ki onemogoča povezovanje, oziroma se napravo
postavi v Airplane5 mode in s tem onemogoči povezovanje na sami napravi. V kolikor vseeno
pride do določenih novih dogodkov na napravi, jih preiskovalec zabeleţi in navede moţne
razloge za njihov nastanek.
2.4.5 Preiskava telefona
Mobilna naprava je brez dostopa do omreţja, orodja za opravljanje preiskave so znana.
Zunanji mediji so odstranjeni in se jih preiskuje ločeno. V določenih primerih je zunanji
pomnilnik teţje odstraniti, zaradi pomanjkljivega orodja ali v primeru zaklenjenih podatkov
na mobilni telefon. Pri preiskavi zunanjega pomnilnika s programskimi orodji za preiskavo
mobilnih telefonov je posebej pomembno dokumentirati čas oprave preiskave telefona in
nameščenega zunanjega pomnilnika. Glede na cilje preiskave se izbere obseţnost preiskave.
5
Način delovanja Android mobilnega telefona v načinu brez povezave.
17
2.4.6
Preverjanje rezultatov
Po preiskavi mobilnega telefona je potrebno preveriti skladnost dobljenih rezultatov. Potrditev
rezultatov se lahko izvede na več načinov:

Preverjanje dobljenih rezultatov z direktnim preverjanjem na mobilnem telefonu – pri
tem skušamo z uporabo mobilnega telefona potrditi rezultate, do katerih smo prišli z
uporabo preiskovalnih orodij in metod.

Uporaba različnih orodij za enak namen – z uporabo različnih orodij skušamo potrditi
dobljene rezultate.

Uporaba zgoščevalne funkcije oziroma hash6 vrednosti – pred izvedbo preiskave se
naredi zajem vseh podatkov na preiskovani napravi in izračuna hash vrednost. Po
opravljeni preiskavi se ponovno naredi zajem vseh podatkov in izračun hash vrednosti.
V kolikor so se podatki na mobilni napravi spremenili, bosta hash vrednosti različni.
To pomeni, da smo med preiskovanjem spremenili podatke na preiskovani napravi.
2.4.7
Dokumentiranje in poročanje
Skozi celoten postopek preiskave se vodi zapisnik o opravljenem delu in izvedenih postopkih
preiskave. Preiskovalčevo poročilo mora vsebovati naslednje informacije:

Naveden temelj za preiskavo (odredba ali pisna privolitev).

Ime in priimek lastnika oziroma imetnika preiskovane naprave.

Ime in priimek preiskovalca.

Fizično stanje mobilnega telefona.

Fotografije mobilnega telefona, posameznih komponent (SIM-kartice, odstranljivi
spominski mediji) in identifikacijskih oznak.
6

Stanje mobilnega telefona ob prevzemu (priţgan, ugasnjen).

Proizvajalec, model, identifikacijski podatki.

Datum in čas opravljenega zavarovanja podatkov, navedba prisotnosti lastnika.

Opredelitev vsebine podatkov, ki se iščejo.

Datum in čas začetka preiskave.
Algoritemska pretvorba poljubne vsebine v točno določeno številsko vrednost. RSA (2012)
18

Orodja, ki so bila uporabljena med preiskavo.

Podroben opis dela preiskovalca.

Podatki, ki so bili pridobljeni pri preiskavi.

Način shranjevanja elektronskih dokazov.

Posebnosti pri preiskavi.
2.4.8 Predstavitev rezultatov
Pridobljene podatke in metode, s katerimi so bili pridobljeni, je potrebno na jasen in
enostaven način predstaviti morebitnemu drugemu preiskovalcu, toţilcu ali sodniku.
Preiskovalčevo poročilo mora biti podrobno opisano. Od izvedbe preiskave in predstavitve
pridobljenih dokazov na sodišču lahko preteče daljše časovno obdobje. Preiskovalec bo v
primeru pričanja o pridobljenih dokazih ugotovitve preiskave našel in zagovarjal na podlagi
kvalitetno napisanega poročila.
Rezultate preiskave je potrebno shraniti v elektronski obliki, ki omogoča uvoz v programe za
urejanje. V primerih večje količine podatkov se pojavijo potrebe po sortiranju, glede na
različne kriterije. Za potrebe predstavitve se lahko z namenskim programom pripravi tudi
datoteko, ki vsebuje ključne izsledke preiskave.
2.4.9 Arhiviranje
Glede na vse večje potrebe po preiskavah mobilnih telefonov se arhiviranje postopkov
obrestuje pri kasnejših podobnih preiskavah. Vsaka preiskava se razlikuje v posameznih
podrobnostih. V kolikor se iz kateregakoli razloga pojavi potreba po kasnejši ponovitvi
preiskave, sta kvalitetno izdelana arhivska dokumentacija in spremljajoči zajeti podatki
bistvenega pomena za zagotovitev integritete dobljenih rezultatov preiskave (Cindy, 2012).
2.5
Protiforenzične metode
Namen uporabe protiforenzičnih metod je seveda oteţiti oziroma onemogočiti preiskovalcu
dostop do podatkov na elektronski napravi. Protiforenzične metode je mogoče ločiti glede na
način delovanja oziroma oteţevanja postopka preiskave. Zaradi samega postopka preiskave
19
elektronske naprave, ki poteka od zbiranja podatkov, njihove preiskave, analize in izdelave
poročila, lahko tovrstno ravnanje ovira preiskovalca pri eni ali več stopnjah preiskave.
2.5.1
Skrivanje podatkov
Steganografija
Podatke se lahko zakamuflira, da jih preiskovalec ne vidi kot zanimive v preiskavi, kar se
lahko naredi na več načinov. Slike, besedilo, tabele, se lahko npr. vstavi v PowerPoint 7
predstavitev. Preiskovalec, ki ima v nalogu o preiskavi navedeno iskanje slik, lahko spregleda
datoteke s končnico .ppt ali .pptx, ki je privzeta za tovrstne datoteke. Podatke se lahko z
namensko programsko opremo tudi vdela v nosilne datoteke, ki so lahko slike, videi ali
izvršljive datoteke .exe (Kessler, 2007). Za operacijski sistem Android je na voljo brezplačna
aplikacija Steganography Application, ki v poljubno sliko skrije besedilo. Do besedila lahko
dostopamo s ponovno obdelavo slike v aplikaciji.
Shranjevanje na mesta, nevidna logičnemu dostopu
Izvedemo shranjevanje na mesta, ki so rezervirana za delovanje sistema, na njih se nahajajo
podatki, namenjeni nalaganju operacijskega sistema in podobno. Na teh mestih se ne
pričakuje shranjenih podatkov, logični dostop do pomnilniškega medija nam jih ne prikaţe
(Kessler, 2007). Za operacijski sistem Android je na voljo brezplačna aplikacija HideItPro. Po
namestitvi jo najdemo med aplikacijami z imenom 'Audio Manager'. Po zagonu vstopimo v
skriti meni, kjer lahko naredimo posamezne mape in njihovo vsebino nevidno, oziroma jo še
šifriramo z 256-bitnim AES algoritmom (HideItPro, 2014).
Šifriranje
Šifriranje je postopek, ki z uporabo različnih matematičnih metod spremeni podatke in jih s
tem naredi neberljive, do njih lahko dostopamo samo z uporabo zaporedja številk in črk,
katerega smo uporabili za šifriranje. Šifriranje se uporablja za povečanje varnosti na različnih
nivojih, podatke lahko šifriramo na lokalnem računalniku, uporabljamo šifrirano povezavo za
prenos podatkov prek spleta oziroma šifriramo podatke na mobilnem telefonu (SSD, 2014).
7
Program namenjen predstavitvam, del Microsoft Office paketa.
20
Dostop preiskovalca do podatkov na šifriranem mediju je praktično nemogoč. Preiskovalec
lahko poskusi pridobiti dostop z avtomatskim programom, ki vnaša različna tipična gesla iz
slovarja oziroma jih sam generira, vendar je takšen način časovno zahteven, uspešnega
rezultata pa ni mogoče napovedati. Na mobilnem telefonu z operacijskim sistemom Android
je mogoče šifrirati vse podatke na mobilni napravi od verzije 2.3.4 Gingerbread naprej
(Android Encryption, 2014). Pri vsakem zagonu naprave je potrebno vpisati geslo, sestavljeno
iz najmanj šestih znakov, med katerimi more biti vsaj ena številka, uporaba daljšega gesla
zmanjša verjetnost preiskovalca za uspešen dostop do podatkov. Deleţ pametnih telefonov z
vklopljenim šifriranjem se bo povečeval, veliko podjetij namreč zahteva uporabo šifriranega
mobilnega telefona za dostop do pošte, stikov in koledarja preko Microsoft Exchange
ActiveSync8.
Shranjevanje podatkov v oblaku
Značilnost pametnega telefona je njegova neprestana povezava z internetom, preko katere se
sinhronizira poštni odjemalec, koledar, stiki, posodablja aplikacije in programsko opremo.
Več ponudnikov shranjevanja podatkov v oblaku je razvilo aplikacije, namenjene uporabi v
pametnih telefonih z operacijskim sistemom Android. Nekatere izmed njih so: Dropbox, Box,
SugarSync, Google Drive, Ubuntu One Files. Tovrstni servisi predstavljajo preiskovalcem
dodaten izziv, pri pridobivanju podatkov je potrebno upoštevati veljavno zakonodajo v drţavi,
kjer so podatki shranjeni, preiskava poteka dlje časa.
2.5.2 Prepisovanje podatkov
Večkratno brisanje podatkov
Podatke, ki jih izbrišemo s podatkovnega nosilca, je praviloma mogoče obnoviti. Podatki se
dejansko ne izbrišejo, temveč ostanejo še vedno zapisani na nosilcu, operacijski sistem dodeli
prostor, kjer se nahajajo na voljo za nove podatke. V kolikor še niso bili prepisani z drugimi
podatki, jih je še vedno mogoče obnoviti. Na spletu je mogoče dobiti več brezplačnih
programov, ki prostor, kjer je izbrisan podatek zapisan večkrat, prepišejo z naključnim
podatkovnim vzorcem in tako onemogočijo obnovitev (Kessler, 2007). Za operacijski sistem
8
Microsoft Exchange ActiveSync, aplikacija omogoča sinhronizacijo mobilne naprave s streţnikom. Namenjena
je dostopu do pošte, koledarja, stikov, večinoma v korporativni rabi.
21
Android je v GooglePlay9 na voljo več brezplačnih aplikacij, ki uporabniku omogočajo
enostavno prepisovanje ţelenih podatkov.
Ponarejanje metapodatkov
Operacijski sistemi beleţijo za vsako datoteko, kdaj in kdo je do nje zadnjič dostopal, urejal
ali spreminjal. Komercialni forenzični programi imajo moţnost prikaza analiziranih podatkov
v kronološkem zaporedju. Preiskovalec se lahko osredotoči na obdobje, ki je relevantno za
pridobivanje elektronskega dokaza. S ponarejanjem časovne oznake se lahko elektronski
dokaz prilagodi do mere, ko postane razbremenjujoč.
2.5.3
Fizično uničenje naprave
S fizičnim uničenjem naprave je dostop do podatkov seveda oteţen, vendar je v določenih
primerih še vedno mogoč. Pri preiskavi poškodovanega mobilnega telefona preiskovalec,
odvisno od narave poškodbe, preveri moţnost dostopa do podatkov na več različnih načinov.
V primeru uničenega zaslona se do podatkov dostopa z namensko programsko opremo,
namenjeno preiskavam, v določenih primerih se zaslon zamenja (USB-razhroščevanje
onemogočeno). Spominski modul lahko prestavimo v drugo enako napravo in nato na njej
naredimo preiskavo. Pri odstranitvi spominskega modula s plošče tvegamo izgubo podatkov
zaradi toplotnih obremenitev oziroma dodatne mehanske poškodbe. Zadnja in časovno
najzahtevnejša moţnost je fizična odstranitev spominskega modula iz matične plošče in
izvedba 'chip-off' forenzične preiskave, potrebna so namenska orodja in programska oprema
(Forensics Focus, 2014).
9
GooglePlay je Googlova spletna trgovina, preko katere je mogoča namestitev različnih brezplačnih in
komercialnih aplikacij, kupiti knjige in filme oziroma dostopati do različnih multimedijskih vsebin.
22
3. OPERACIJSKI SISTEM ANDROID
Operacijski sistem Android je odprtokodni operacijski sistem, namensko razvit za mobilne
naprave. Razvilo ga je podjetje Google, deluje na Linux jedru, vse aplikacije pa so napisane v
programskem jeziku Java.
Drugi največji trţni deleţ ima podjetje Apple in njihov operacijski sistem iOS. Podjetje Apple
je 9. januarja 2007 predstavilo napravo za mobilno komunikacijo, imenovano 'iPhone'. Na
napravi je nameščen operacijski sistem iOS, upravlja se jo z zaslonom, občutljivim na dotik. Z
uporabo različnih načinov prenosa podatkov omogoča sinhronizacijo s PC ali MAC osebnim
računalnikom. Aplikacije si uporabnik namešča z uporabo spletne trgovine 'AppStore' (Apple
Press Info, 2007). Mobilne naprave z nameščenim Android OS omogočajo več nastavitev na
napravi, v spletni trgovini je večja izbira aplikacij. Zaradi različnih konfiguracij strojne
opreme je razvoj aplikacij zahtevnejši kot za iOS, na mobilnih napravah z Android OS je
večja uporaba piratske programske opreme (Lurchenko, 2013).
Windows Phone operacijski sistem razvija podjetje Microsoft. Podjetje je vstopilo na trg
operacijskih sistemov za mobilne naprave leta 2000 z OS Windows Mobile. Leta 2010 je v
ZDA izšla prva verzija Windows Phone 7, ki je delovala na mobilnih napravah proizvajalcev
HTC, Dell, Samsung in LG (Ricker, 2010). Zadnja verzija OS Windows Phone 8.1 je izšla
aprila 2014. Glavna novost je uvedba glasovnega pomočnika, imenovanega 'Cortana',
podobno aplikacijo ima tudi iOS ,imenovano 'Siri', in Android, imenovano 'Google Now'.
Vgrajeni brskalnik Internet Explorer 11 omogoča sinhronizacijo zaznamkov in prenosa
zavihkov na vseh napravah, v katerih smo prijavljeni. OS temelji na namizni različici
Windows 8.1, kar pomeni enako stopnjo zanesljivosti delovanja in varnosti (Windows Phone
Central, 2014).
3.1
Razvoj
Podjetje Android je bilo ustanovljeno leta 2003 v kraju Palo Alto, Kalifornija. Ţe v začetku je
razvoj temeljil na programski opremi za mobilne telefone. V letu 2005 je Google kupil
podjetje Android. Pojavile so se govorice, da namerava preiti na trg mobilne telefonije,
vendar nihče ni vedel, kakšna bo njegova vloga.
23
Prvotni ustanovitelji Androida – Nick Sears, Chris White, Andy Rubin in Rich Miner – so
dobili zaposlitev v Googlu, kamor so prenesli svoje znanje. Rubin je vodil ekipo pri
ustvarjanju mobilne naprave na Linux jedru. Ekipa je promovirala operacijski sistem tako pri
proizvajalcih mobilnih aparatov, kot tudi pri operaterjih. Glavno sporočilo promocije tem
potencialnim strankam je bilo, da je operacijski sistem zelo proţen in prilagodljiv. V javnosti
so se pojavila ugibanja, ali namerava Google razviti svoj mobilni telefon, vendar so bile
njihove ambicije precej večje (Bloomberg Businessweek, 2005).
Novembra 2007 je bilo pod okriljem Googla ustanovljeno Open Handset alliance (OHA)
poslovno zdruţenje več uglednih podjetij (Google, HTC, Sony, Dell, Intel, Motorola,
Qualcomm, Texas Instruments, Samsung electronics, LG electronics, T-mobile, Sprint Nextel,
Nvidia in Wind River systems) (OHA, 2007).
Andy Rubin je petega novembra na novinarski konferenci zavrnil vsa namigovanja o t.i.
Gphone mobilnem telefonu. Android je bil predstavljen kot del strategije podjetja Google,
kjerkoli so ţeleli svojim uporabnikom zagotavljati dostop do informacij. Android ne sme biti
vezan na napravo, glede na mnoţice uporabnikov po vsem svetu mora biti neodvisen, kar je
zagotovljeno z ustanovitvijo poslovnega zdruţenja OHA (Rubin, 2007).
Motivacija podjetja Google za podporo in razvoj Androida OS je promocija lastnih
produktov, s tem pridobiti odločilen deleţ na trgu in seveda pobrati oglaševalski denar.
Primarno je podjetje Google medijsko podjetje in poslovni model temelji na prodaji
oglaševanja. Prodaja nekaterih programov seveda prinaša določen prihodek, vendar je
glavnina usmerjena na prihodek, ki ga prinašajo aplikacije z oglaševanjem (Gargenta, 2011).
3.2
Verzije

Verzija 1.0
Prva verzija OS Androida je bila predstavljena septembra 2008, vendar ni bila uporabljena v
nobeni izmed komercialno dostopnih naprav.

Verzija 1.1
Oktobra 2008 je bila mogoča prva uporaba OS Androida na mobilni napravi T-mobile G1,
proizvajalca HTC.
24

Verzija 1.5 Cupcake
To je prva večja verzija, ki jo je prvič uporabilo več proizvajalcev mobilnih naprav. Prvič je
bilo tudi uporabljeno razvojno ime Cupcake (kolač v kozarcu) ali muffin. Vse nadaljnje
verzije so poimenovane po slaščicah. Bistvene prednosti v tej verziji so: podpora kameri za
snemanje videov, moţnost enostavnega prenosa posnetih videov na spletni mesti Picasa in
Youtube, izboljšava bluetooth modula, nekaj kozmetičnih popravkov in tipkovnica na zaslonu
s predvidevanjem teksta. T-mobile G1 ima vgrajeno fizično tipkovnico.

Verzija 1.6 Donut
Verzija 1.6 je bila predstavljena septembra 2009, bistvene pridobitve v tej verziji so:
prenovljeni vmesniki za kamero in slikovno galerijo, izboljšano glasovno iskanje, podpora
višjim resolucijam zaslona, navigacija Google s podporo 'turn by turn', moţnost spreminjanja
govora v tekst, podpora več dotikov istočasno, VPN10 podpora.

Verzija 2.0 in 2.1 Eclair
Oktobra 2009 je bila predstavljena verzija 2.0 in januarja 2010 verzija 2.1, bistvene pridobitve
so: posodobljen grafični vmesnik, podpora Microsoft Exchange, bluetooth 2.1 podpora.

Verzija 2.2 Froyo (Frozen Yoghurt)
Maja 2010 je bila izdana verzija 2.2, njene bistvene izboljšave so: moţnost deljenja internetne
povezave z do osmimi uporabniki preko brezţične povezave ali USB-priklopa, posodobljeno
upravljanje kamere z več gumbi na zaslonu, večjezična podpora tipkovnici z moţnostjo
hitrega preklapljanja, večji nabor funkcij, namenjenih storitvi Microsoft Exchange (oddaljeno
brisanje, podpora koledarju, izboljšana varnost).

Verzija 2.3 Gingerbread
Decembra 2010 je bila predstavljena verzija 2.3, njene bistvene izboljšave so: optimizacija
grafičnega vmesnika s poudarkom na enostavnosti in hitrosti, označevanje teksta z enim
dotikom, izboljšano upravljanje porabe energije, moţnost ročne zaustavitve aplikacij,
10
Virtual Private Network omogoča promet prek javnih ali deljenih omreţij s prednostmi zasebnega omreţja
25
internetni klici, NFC11 komunikacija, podpora več kameram na napravi, barometru, ţiroskopu
in senzorju gravitacije.

Verzija 3.0 Honeycomb
Februarja 2011 je bila predstavljena verzija 3.0. Posodobitev je usmerjena na naprave z
večjimi zasloni, kot so tablični računalniki. Posodobitev vključuje: nov uporabniški vmesnik z
več meniji, nastavljiv domači zaslon in seznam zadnjih uporabljanih programov, podpora
fizičnim tipkovnicam, priključenim preko USB ali bluetooth vmesnika, podpora večjedrnim
procesorjem, podpora 2D- in 3D-grafiki.

Verzija 3.1 in 3.2 Honeycomb
Junija in julija 2011 sta bili izdani še dve verziji s poudarkom na napravi z večjimi zasloni,
bistvene pridobitve so: podpora več USB-napravam, izboljšana stabilnost brezţične povezave
z omreţjem, povezava je aktivna tudi z ugasnjenim zaslonom.

Verzija 4.0 Ice-cream Sandwich
Oktobra 2011 je bila izdana verzija 4.0, ki je zdruţevala videz androida 3.x, usmerjenega v
delovanje na tabličnih računalnikih, in verzije 2.x, namenjene uporabi na mobilnih telefonih.
Bistvene posodobitve so: bliţnjice na zaklenjenem zaslonu, nadzor pretoka podatkov preko
omreţja, enoten koledar, odklepanje zaslona s prepoznavanjem obraza, moţnost dostopa do
namiznih verzij spletnih strani preko brskalnika.

Verzija 4.1, 4.2 in 4.3 Jelly Bean
Julija 2012, oktobra 2012 in julija 2013 so bile izdane verzije 4.1, 4.2 in 4.3, bistvene
posodobitve vključujejo: moţnost več uporabnikov za naprave, slikanje v načinu Photo
Sphere12, izboljšana odzivnost na dotik, takojšen predogled zajetih slik, Google Wallet13.

11
Verzija 4.4 KitKat
Near field communication skupek brezţičnih tehnologij, ki omogočajo povezavo naprav z namenom
izmenjave podatkov, brez kontaktne oprave plačila ali hitre spremembe več različnih nastavitev v napravi
12
Photo Sphere zajemanje slik s pomočjo vgrajenega fotoaparata v 360º načinu
13
Google Wallet sistem mobilnega plačevanja, lahko uporablja tehnologijo NFC oziroma shranjuje ugodnosti pri
nakupih, podobno kot kartice zvestobe
26
Septembra 2013 je bila izdana verzija 4.4. bistvene posodobitve vključujejo: zagon govornih
ukazov z besedami 'Ok Google', seznam prioritetnih stikov, vsa sporočila so zdruţena v eni
aplikaciji (Faqoid, 2014).

Porazdeljenost verzij med uporabniki
Tabela 3.1: Porazdeljenost verzij med uporabniki
Verzija
Naziv
Uporaba
Froyo
1,2 %
2.3.3-2.3.7
Gingerbread
19,0 %
3.2
Honeycomb
0,1 %
IceCream
15,2 %
2.2
4.0.3-4.0.4
Sandwich
4.1.x
Jelly Bean
35,3 %
4.2.x
Jelly Bean
17,1 %
4.3
Jelly Bean
9,6 %
4.4
KitKat
2,5 %
Vir: Android Developers (2014a)
Kot je razvidno iz tabele številka 3.1, največ naprav uporablja verzijo 4.1.x (več kot 35
odstotkov), še vedno pa je velik odstotek naprav z nameščeno različico Gingerbread (kar 19
odstotkov), predvsem na račun poceni strojne opreme, ki do izdaje verzije 4.4 Kitkat ni
delovala na starejši oziroma poceni strojni opremi zaradi količine delovnega pomnilnika
(Readwrite, 2014).
3.3
Zgradba
Operacijski sistem Android je sestavljen iz štirih nivojev, kot je razvidno s slike št. 3.1.
Osnovni nivo je zgrajen na osnovi Linux jedra, ki omogoča zagon naprave, delovanje višjih
nivojev in upravlja delovanje strojne opreme naprave. Nad jedrom deluje več različnih
knjiţnic, ki omogočajo razvijalcem različne funkcionalnosti in servisirajo aplikacijam
zahtevane podatke. Aplikacije so napisane v programskem jeziku Java in omogočajo
uporabniku dejansko uporabo naprave.
27
3.3.1
Delovanje
OS Android je večuporabniški operacijski sistem, v katerem se vsaka aplikacija smatra kot
drug uporabnik. Ob namestitvi aplikacije na napravo se vsaki aplikaciji dodeli enoznačna
uporabniška identifikacija in mesto, znotraj katerega deluje. Sistem dodeli dovoljenja za vse
datoteke, ki jih uporablja, do njih ima dostop samo avtorizirana aplikacija. Vsaka aplikacija
deluje v svojem VM14 okolju, izolirana od drugih procesov. S takšnim načinom delovanja se
doseţe princip najmanjših pravic posamezne aplikacije. Vsaka aplikacija dostopa samo do
komponent in podatkov, ki jih potrebuje, dostop do drugih aplikacij oziroma njihovih
podatkov, do katerih nima pravic, je onemogočen. Aplikacija lahko zahteva dovoljenja za
dostop do različnih uporabniško občutljivih podatkov, kot so: stiki, dnevniki klicev, sporočila
SMS in podobno, vendar je ob namestitvi aplikacije potrebno to omogočiti. Običajno
namestitev aplikacije brez odobritve dostopa do (po mnenju razvijalcev potrebnih) podatkov
ni mogoča (Android Developers, 2014).
Slika 3.1: Zgradba operacijskega sistema Android
Vir: Android open source project (2014)
14
Virtual machine-programska ponazoritev fizičnega računalnika
28
3.3.2 Linux jedro
Linux jedro ni popolnoma enako jedru Linux distribucije, v njem je veliko prilagoditev s
strani razvijalcev OS Androida. Proizvajalci strojne opreme imajo jedra ravno tako
prilagojena z gonilniki strojne opreme, specifične za posamezne naprave. Jedro je vmesnik
med programsko in strojno opremo naprave ter nadzoruje in omogoča delovanje celotne
strojne opreme. Kadarkoli programska oprema potrebuje strojno opremo, naslovi zahtevo
jedru, jedro preko različnih gonilnikov dostopa do strojne opreme in posreduje podatke
aplikacijam (Androidcentral, 2012).
Verzija 1.5 CupCake deluje na Linux jedru 2.6.27, zadnja verzija KitKat pa ima verzijo 3.8.
Nadgradnje jedra omogočajo hitrejše in zanesljivejše delovanje in manjšo porabo energije
(Int. Business Times, 2013).
3.3.3 Knjižnice
Knjiţnice omogočajo napravi upravljanje z različnimi vrstami podatkov, napisane so v
programskem jeziku C++ in so specifične glede na posamezno programsko opremo. V
nadaljevanju so predstavljene nekatere izmed njih. Surface manager upravlja prikazovanje
zaslonske slike. Media framework vsebuje različne medijske kodeke, namenjene snemanju in
prikazovanju različnih medijskih vsebin. SqlLite je namenjen shranjevanju podatkov v
podatkovno bazo. WebKit je ogrodje brskalnika in je namenjen prikazu HTML-vsebin.
OpenGL omogoča prikaz 2D- in 3D-vsebin na zaslonu.
3.3.4 Aplikacijsko ogrodje
Vsebuje module, preko katerih aplikacije neposredno komunicirajo. Pri razvoju aplikacij se
uporablja njihove lastnosti za dosego ţelenega delovanja. V nadaljevanju so predstavljene
nekatere izmed njih. Activity Manager upravlja ţivljenjski cikel aktivnosti aplikacije. Content
Providers omogoča deljenje podatkov med aplikacijami. Telephony manager upravlja z
glasovnimi klici. Uporabimo ga, če ţelimo dostopati do glasovnih klicev preko aplikacije.
Location manager omogoča dostop do podatkov GPS. Notification manager omogoča prikaz
obvestil v statusni vrstici (AndroidAppMarket.com, 2012).
29
3.3.5
Aplikacije
OS Android ţe v osnovni različici vsebuje več aplikacij, namenjenih osnovni uporabi mobilne
naprave, kot so: telefonija, odjemalec elektronske pošte, koledar, brskalnik, aplikacija SMS in
podobno. Napisane so v programskem jeziku Java, končnica aplikacije, razvite za Android, je
apk. Vsako izmed vgrajenih aplikacij je mogoče nadomestiti z nadomestno po lastni izbiri.
Nameščamo jih lahko preko spletne trgovine GooglePlay ali iz drugih virov15.
3.3.6
Dalvik VM
Z načinom delovanja aplikacij v virtualnem okolju se doseţe večja varnost in zanesljivost.
Omogoča istočasno delovanje več aplikacij, vsake v svojem virtualnem okolju, z
zagotavljanjem optimiziranega upravljanja s spominom. Virtualno okolje Dalvik je
prilagojeno za delo z minimalnim delovnim spominom in manjšo procesorsko močjo
(AndroidAppMarket.com, 2012).
3.4
Lokacije podatkov o uporabniku
Forenzično zanimivi podatki so na mobilni napravi z operacijskim sistemom Android
shranjeni na vgrajenem notranjem pomnilniku, pomnilniški kartici (če je vstavljena) ali na
omreţju. OS Android ponuja razvijalcem pet moţnih načinov shranjevanja podatkov.
Preiskovalec lahko najde podatke o uporabniku vsaj v štirih od petih formatov shranjevanja.

Shared preferences omogoča shranjevanje različnih podatkovnih tipov v datoteki
XML. Shranjeni podatki so lahko podatkovnega tipa: boolean, float, int, long, string.
Datoteke XML se običajno nahajajo v 'data/ime_aplikacije/shared_pref' imeniku
aplikacije. Veliko aplikacij shranjuje podatke na takšen način, zato so lahko vir
koristnih forenzičnih informacij. Za dostop do 'data/data' imenika potrebujemo 'root'
dostop, ki je opisan v poglavju 4.1.

Podatki na notranjem pomnilniku, aplikacije shranjujejo različne obširnejše podatke v
različne datoteke na več mest v notranjem pomnilniku. Med njimi je tudi prej omenjen
15
Moţnost nameščanja iz drugih virov je privzeto onemogočena, omogočimo jo lahko v varnostnih nastavitvah
naprave.
30
'data/data' imenik. Najboljši način za ugotovitev, katere datoteke so specifične za
posamezno aplikacijo, je njihovo nahajanje izven 'shared_prefs, lib, cache, database'
imenikov.

Podatki na zunanjem pomnilniku so za forenzično analizo laţje dostopni. Zaradi
podatkovnega sistema, ki je običajno Microsoftov FAT32 in moţnosti odstranitve
kartice iz naprave, je izvedba klasične forenzične preiskave enostavnejša. Zaradi
omejenega notranjega pomnilnika se na zunanjem pomnilniku običajno nahajajo slike
in video posnetki. Določene aplikacije shranjujejo podatke poleg 'data/data' imenika
tudi na pomnilniško kartico.

SQLite je specifična vrsta podatkovne baze. Uporablja jo več, tako mobilnih kot
klasičnih, operacijskih sistemov. Izvorna koda je odprtokodna, podatkovni format in
program sam je zelo majhen in vsebuje vrsto funkcionalnosti. SQLite datoteke se
običajno nahajajo v 'data/data/ime_aplikacije/database', lahko pa so shranjene tudi
drugje. V njih najdemo različne podatke o aktivnostih uporabnika, med njimi so:
dnevnik klicev, SMS-sporočila, zgodovina brskanja, zaznamki, iskalne besede in
podobno.

Omreţje mobilne naprave je danes preko mobilnega ali brezţičnega omreţja v
neprestani povezavi z internetom. Uporabniški podatki se shranjujejo v različnih
servisih za shranjevanje v oblaku.
Servisi za povečanje uporabniške izkušnje in
povečanje števila uporabnikov razvijajo svoje aplikacije za shranjevanje. Servis
shranjevanja v oblaku, ki je priljubljen, je Dropbox. Njihova aplikacija ponuja več
moţnosti uporabe, med drugim tudi avtomatičen prenos zajetih slik in video
posnetkov na streţnik. V 'data/data/com.dropbox.android/files' se nahaja log.txt
datoteka. V njej najdemo zapise o dejavnosti aplikacije, kot so: katere datoteke so bile
prenesene, kdaj, uporabniško ime in podobno (Hoog, 2011).
31
4. FORENZIČNA ANALIZA Z RAZLIČNIMI ORODJI
Zaradi nivojske zgradbe, vgrajenega pomnilnika in implementiranih varnostnih mehanizmov
se forenzična preiskava mobilne naprave z OS Androidom razlikuje od forenzične preiskave
osebnega računalnika. Forenzična preiskava se razlikuje predvsem na področju spreminjanja
podatkov na zaseţeni napravi. Pri klasični forenzični preiskavi se zaseţeni pomnilnik priklopi
na 'Write blocker', kot je razvidno s slike 4.1, naredi popolno kopijo in izvede preiskavo na
kopiji, izvirni nosilec ostane nespremenjen.
Slika 4.1: Write blocker
Vir: The Forensics Ferret Blog (2011)
Na mobilnih napravah je pridobitev izvirne fizične slike zaradi vgrajenega pomnilnika
mogoča z 'chip-off' metodo, ki je zamudna in draga. Pomnilniško enoto se namreč odvari iz
leţišča in jo priklopi na napravo za kopiranje bit za bitom. Primerna je predvsem v primerih
uničenih naprav, kjer odpovejo drugi načini dostopa do podatkov, obstaja namreč moţnost
32
trajnega uničenja pomnilniške enote in podatkov na njej. Na napravah z OS Android je fizični
zajem podatkov mogoč, če je v napravi omogočen 'root' dostop ali preko priključka JTAG16,
za kar je potrebna namenska strojna oprema. V nasprotnih primerih se v primeru potrebe po
fizičnem zajemu pomnilnika lahko na različne načine omogoči 'root' dostop ali izvede 'chipoff' metodo.
V magistrski nalogi bomo v naslednjih poglavjih opisali več postopkov pridobitve podatkov s
pomočjo logične metode preiskave. Kot je razvidno s slike številka 4.2, lahko z logičnim
pristopom pridobimo podatke iz datotek in podatkovnih baz. Bistvena slabost logične metode
je onemogočen dostop do izbrisanih podatkov. Podatki so vidni v obliki, kot jo vidi uporabnik
in operacijski sistem. Izbrisani podatki se lahko še vedno nahajajo na pomnilniškem mediju,
zaradi lastnosti pomnilnika in tehnologije podaljševanja ţivljenjske dobe pomnilnika
imenovane 'wear leveling'.
Slika 4.2: Metode forenzične preiskave mobilne naprave z OS Androidom
Vir: (Guido v Valle 2012, str. 42)
Pri izvedbi logičnega načina preiskave se skuša minimalno posegati v podatke na napravi,
vsako spreminjanje se dokumentira in podrobno razloţi, zakaj je bilo potrebno in kakšne
spremembe je povzročilo.
16
Joint Test Action Group, priključek na napravi, namenjen testiranju in odpravi napak.
33
4.1
'Root' privilegiji
Zaradi varnostnih razlogov je na mobilnih napravah z OS Androidom onemogočen dostop do
sistemskih datotek. Delovanje je podobno uporabi OS Microsoft Windowsa z uporabniškim
računom 'guest'. Z omogočenim 'root' dostopom lahko dostopamo do vseh podatkov na
napravi, prilagodimo delovanje našim zahtevam, namestimo in odstranimo aplikacije, ki jih
sicer ni mogoče.
Slabost omogočenega 'root' dostopa je običajno izguba garancije, lahko pride do okvare
mobilne naprave (predvsem zaradi aplikacij, ki posegajo v nastavitve strojne opreme,
navijanje procesorja in podobno), večja izpostavljenost škodljivi programski opremi (z
odstranitvijo varnostnih mehanizmov se varnost seveda zmanjša) (Bullguard, 2014).
Zaradi različnih variacij modelov mobilnih naprav in nameščenih verzij OS Androida je zelo
teţko pridobiti dostop 'root' na vsaki napravi. Postopek je namreč specifičen glede na napravo.
Pomembno se je prepričati v učinkovitost in delovanje pred samim postopkom spremembe
pravic.
4.2
Android Debug Bridge (ADB)
Android debug bridge je zmogljivo orodje, namenjeno komunikaciji med mobilno napravo in
računalnikom preko konzolnega okna. Uporabljajo ga razvijalci aplikacij za testiranje in je
najpomembnejše orodje pri izvedbi logičnega načina preiskave mobilne naprave. Program
deluje na principu odjemalec – streţnik, sestavljajo ga tri glavne komponente:

klient, ki deluje na delovni postaji, namenjeni komunikaciji z mobilno napravo;

streţnik, ki deluje v ozadju na delovni postaji in upravlja komunikacijo med klientom
in 'adb daemon', ki deluje kot tretja komponenta na napravi;

'daemon', ki deluje v ozadju na mobilni napravi, aktivira se v primeru priklopa USBpriključka (Android Developers, 2014).
Privzeto je izklopljeno 'USB-razhroščevanje'. Za izvedbo logičnega načina preiskave mobilne
naprave ga je potrebno vključiti v nastavitvah naprave. Dostop do nastavitev je lahko
preprečen z različnimi varnostnimi mehanizmi, ki preprečujejo nepooblaščeni osebi dostop do
naprave, kot so: varnostna koda, vzorec, prepoznavanje obraza. Navedene zaščite je mogoče
na različne načine odstraniti, sicer je izvedba logične metode forenzične preiskave nemogoča.
34
4.3
Preiskovana naprava
Slika 4.3: Samsung I8190 Galaxy S3 mini
Za izvedbo forenzične preiskave smo uporabili
mobilno napravo Samsung I8190 Galaxy S3
mini, kot je razvidno s slike 4.3. Naprava ima
4.0'' zaslon, resolucijo 480x800 točk, vgrajeni
pomnilnik 16 GB, 1 GB delovnega pomnilnika,
razširitveno reţo za SD micro spominsko kartico,
micro
USB-priključek
operacijski
sistem
v2.0,
Android,
naloţen
verzijo
ima
4.1.2.
JellyBean, dvojedrni 1 GHz procesor, AGPS,
Wlan, bluetooth, NFC, vstavljeno ima naročniško
SIM-kartico standardne velikosti. Vneseni so
naključni testni podatki, med njimi so: 500
zapisov v dnevniku klicev, 14 stikov, 270 SMSin 29 MMS-sporočil, 11 zapisov v koledarju, 208
aplikacij, 73 slik, 31 video posnetkov, 22 zvočnih
posnetkov, 1x PDF-datoteka, 14 zaznamkov, 109
zapisov v zgodovini brskanja, kot je razvidno s
slike 4.4 (Samsung, 2014).
Vir: Kraljič, lastni prikaz (2014)
Slika 4.4: Testni podatki
Vir: Kraljič, lastna raziskava (2014)
35
4.4
Delovna postaja
Za izvajanje postopkov forenzičnih preiskav uporabljamo osebni računalnik z nameščenim
operacijskim sistemom Microsoft Windows 8.1 64-bit, konfiguracija strojne opreme: Intel
E8400, 8 GB delovni pomnilnik, 256 GB SSD sistemski in 3 TB sata trdi disk.
4.5
Odprtokodna programska oprema
4.5.1
Open source android forensics (OSAF)
Projekt je bil narejen pod okriljem Univerze v Cincinnatiju, ZDA. Cilj je bil izdelati
odprtokodni sistem, ki bi omogočal različne forenzične preiskave na mobilnih napravah z OS
Androidom. Glavna usmeritev je v preiskovanje škodljivega delovanja aplikacij. Nameščena
so različna programska orodja in opisane prakse analiz delovanja aplikacij. Za namene
izobraţevanja so odprli spletno stran, kjer je mogoče prenesti programsko opremo in nekaj
dokumentacije. Namenjena je tudi sodelovanju zainteresiranih in deljenju izkušenj (OSAF,
2012).
Po prenosu 3,2 GB velike datoteke s spletne strani OSAF-RC2.7z jo naprej razpakiramo v
imenik. Za uporabo je potrebno namestiti programsko opremo za ponazoritev fizičnih
računalnikov in s tem delovanje drugih operacijskih sistemov na delovni postaji. Na internetu
je prosto dostopnih več različnih programov za emulacijo. Najbolj razširjeni so: VirtualBox,
Vmware, Windows Virtual PC. Windows Virtual PC omogoča emulacijo izključno
Microsoftovih operacijskih sistemov. Za emulacijo OSAF smo uporabili VirtualBox.
Programsko opremo razvija podjetje Oracle, omogoča uporabo različnih operacijskih
sistemov: Windows XP in novejši OS, Mac OS X 10.6 in novejši, Linux 10.4 in naprej in
različne distribucije (Debian, Oracle Linux, Redhat, Fedora, Gantoo, openSUSE, Mandriva),
Solaris 10, 11. Vse spremembe, narejene pri uporabi, se shranjujejo v sliko in ne vplivajo na
naš operacijski sistem. Aplikacija je uporabna za različne namene, npr. za analizo OS,
testiranje varnostnih rešitev, preizkušanje programske opreme. Prenos programske opreme je
mogoč z njihove spletne strani, namestitev je enostavna (VirtualBox, 2014).
Po namestitvi programske opreme VirtualBox zaţenemo program in kot je razvidno s slike
4.5, izberemo iz menija 'New', vnesemo poljubno ime, iz menuja 'Type' izberemo 'Linux' in
pod 'Version' izberemo Ubuntu.
36
Slika 4.5: VirtualBox: Name and operating system
Vir: Kraljič, lastni prikaz (2014)
Na naslednjem meniju določimo velikost delovnega pomnilnika in kot je razvidno s slike 4.6,
je priporočena velikost 512 MB, vendar priporočam največjo moţno vrednost, glede na
razpoloţljivost vgrajenega delovnega pomnilnika RAM. Pri izbiri večjih vrednosti nam bo
operacijski sistem v virtualnem okolju deloval hitreje, sistem na delovni postaji pa počasneje.
Slika 4.6: VirtualBox: Memory size
Vir: Kraljič, lastni prikaz (2014)
Po izbiri 'Next' se nam odpre meni za izbiro mesta shranjevanja datotek za potrebe delovanja
emulacije. Tukaj izberemo moţnost 'Use an existing virtual hard drive file', kot je razvidno s
slike 4.7, in na trdem disku poiščemo datoteko 'OSAF.vmdk'.
37
Slika 4.7: VirtualBox: Hard drive
Vir: Kraljič, lastni prikaz (2014)
S tem smo vnesli potrebne nastavitve. Iz menija programa VirtualBox izberemo še bliţnjico
'OSAF' in izberemo 'Start'. Odpre se nam okno, kamor vnesemo geslo za vstop v operacijski
sistem, privzeto geslo je 'forensics'. Kot je razvidno s slike 4.8, ima naloţen operacijski sistem
več orodij za forenziko mobilnih naprav na platformi OS Android.
38
Slika 4.8: OSAF
Vir: Kraljič, lastni prikaz (2014)
Distribucija ţe vsebuje Android SDK (Software developement kit), ki je potrebna zaradi ADB
klienta. Android SDK vsebuje komponente, ki so potrebne za razvoj in testiranje aplikacij in
odpravo napak v delovanju operacijskega sistema. Vsebuje tudi Android emulator, namenjen
testiranju razvite programske opreme oziroma analizi delovanja aplikacij v virtualnem okolju
(Android Developers, 2014b).
Kot je razvidno s slike 4.9, moramo po priklopu naprave na vmesnik USB, v menijski vrstici
okna VirtualBox posredovati USB-priključek na delujoč OSAF-sistem.
39
Slika 4.9: USB-posredovanje
Vir: Kraljič, lastni prikaz (2014)
Na preiskovani mobilni napravi je potrebno omogočiti 'USB-razhroščevanje'. Kot je razvidno
na sliki 4.10, se moţnost vklopa nahaja v Nastavitvah/Moţnosti za razvijalce/Razhroščevanje
USB.
Slika 4.10: Vklop USB-razhroščevanja
Vir: Kraljič, lastni prikaz (2014)
V OSAF-sistemu odpremo novo terminalno okno in vnesemo 'sudo su', sistem zahteva
ponoven vnos gesla, vnesemo geslo 'forensics'. S tem smo pridobili 'root' dostop na sistemu
OSAF, kar prepoznamo tudi po znaku '#' pred kazalčkom. Sedaj preverimo, če je naprava
Android priključena in vidna, v okno vnesemo ukaz 'adb devices'. V kolikor nam ne najde
naprave, preverimo, če je vklopljeno USB-razhroščevanje, posredovanje vhoda v virtualbox
OSAF oziroma poskusimo še z ukazom 'adb kill-server' in še enkrat preverimo vidnost
naprave. V oknu moramo videti izpis kot na sliki 4.11, iz katere je razvidna oznaka naprave in
40
vrata, preko katerih poteka komunikacija. Pri zagonu 'adb klienta' ta najprej preveri, če
streţniški proces ţe deluje, v kolikor ne, ga zaţene. Streţnik posluša na vratih 5037, preko
katerih po priklopu naprave poteka komunikacija med napravo in delovno postajo (Android
Developers, 2014).
Slika 4.11: OSAF adb device
Vir: Kraljič, lastni prikaz (2014)
Sedaj je potrebno na preiskovano napravo namestiti aplikacijo AF logical OSE. Uporabimo
ukaz 'adb install AFLogical-OSE_1.5.2.apk'. V kolikor je bila namestitev uspešna, nam v
oknu izpiše 'Success'. Med aplikacijami se sedaj nahaja AFLogical OSE, po zagonu se nam
odpre izbirno okno, kot je razvidno na sliki 4.12. Izberemo ţelene podatke in s pritiskom na
tipko 'Capture' se na spominsko kartico SD v imeniku 'Forensics' shranijo zajeti podatki.
Slika 4.12: AFLogical OSE
Vir: Kraljič, lastni prikaz (2014)
41
Po zajemu podatkov z ukazom 'adb uninstall com.viaforensics.android.aflogical_ose'
odstranimo program AFLogical, po uspešni odstranitvi nam izpiše 'Success'. Za prenos zajetih
podatkov na delovno postajo uporabimo ukaz 'adb pull /mnt/sdcard/forensics'. Seznam
prenesenih datotek se izpiše v konzolnem oknu. Datoteke se nahajajo v 'Home' imeniku.
Na preiskovani napravi še vedno ostanejo zajeti podatki. Za izbris vnesemo v konzolno okno
ukaz 'adb shell', vrne nam 'shell@android:/ $', sedaj z ukazom 'ls' pregledamo seznam datotek.
Z ukazom 'cd sdcard' se premaknemo v imenik pomnilnika na spominski kartici. Z vnosom
ukaza 'rm –r forensics' se imenik 'forensics', ki vsebuje zajete forenzične podatke, izbriše iz
naprave (Santoku, 2012).
Rezultat preiskave:
V imeniku 'forensics' z imenom datuma zajema podatkov se nahaja:
1. 20 datotek s končnico '.jpg', slik iz poslanih ali prejetih MMS17 sporočil, ime datoteke
je sestavljeno iz datuma in ure prejetega sporočila.
2. 5 datotek s končnico '.amr', prejeti zvočni posnetki iz storitve operaterja 'MMS
tajnica'. Ob nedosegljivosti uporabnika se na omreţju posname zvočno sporočilo, ki
ga klicani ob dosegljivosti prejme. Ime datoteke je sestavljeno iz telefonske številke
kličočega in datuma prejema sporočila MMS.
3. Datoteka info.xml, ki vsebuje informacije o preiskovani napravi (oznaka mobilne
naprave, IMEI, verzija nameščenega operacijskega sistema) in 208 zapisov o
nameščenih aplikacijah iz 'data/data' imenika.
4. 5 datotek s končnico '.csv'.
a) 'CallLog Calls.csv' sestavljajo naslednji atributi: _id, number, date, duration,
type, new, name, numbertype, numberlabel. Vsebuje 500 zapisov o klicih.
Pomembnejši atributi o posameznem klicu so sestavljeni iz: '_id'identifikacijske številke zapisa, 'number'-telefonske številke vzpostavljenega
stika, 'date' datuma in ure vzpostavljenega stika zapisanega v Unix časovnem
zapisu, 'duration' trajanja pogovora, ' type' tip pogovora, sestavljenega iz
številk: 1 – prejeti klic, 2 – klic številke, 3 – zgrešeni klic, 5 – zavrnjen klic.
'Name'-Imena stika, če je shranjen v imeniku telefona, vezan na telefonsko
številko.
17
Multimedia Messaging Service, kratka sporočila z različnimi multimedijskimi vsebinami
42
b) 'Contacts Phones.csv' ne vsebuje zapisov v stikih, vsebuje naslednje atribute:
times_contacted,
phonetic_name,
custom_ringtone,
isprimary,
label,
person,
number,
primary_organization,
type,
last_time_contacted,
display_name, _id,number_key, starred, primary_email, name, primary_phone,
notes, send_to_voicemail.
c) 'SMS.csv' sestavljajo naslednji atributi: _id, thread_id, address, person, date,
date_sent, protocol, read, status, type, reply_path_present, subject, body,
service_center,
locked,
error_code,
seen,
deletable,
hidden,group_id,
group_type, delivery_date, app_id, msg_id, callback_number, reserved, pri,
teleservice_id, link_url. Vsebuje 270 zapisov, pomembnejši atributi o
posameznem so: 'adress' – vsebuje telefonsko številko stika, 'date' – datum in
ura vzpostavljenega stika zapisanega v Unix časovnem zapisu, 'type' – tip
komunikacije, sestavljenega iz številk: 1 – prejeti SMS, 2 – poslani sms, 'body'
– vsebina sporočila, 'read' – sestavljenega iz številk: 0 – sporočilo ni bilo
prebrano, 1 – prebrano sporočilo.
d) 'MMS.csv' in 'MMS_parts.csv vsebujejo podatke o prejetih MMS-sporočilih.
Iz zajetih
podatkov smo uspeli razbrati skupaj 25 MMS-sporočil,
tekstovno vsebino sporočil ob multimedijski vsebini, katera datoteka se nanaša
na določeno MMS-sporočilo in datum prejema sporočila.
Z uporabo OSAF in programa AFLogical_OSE 1.5.2. smo uspeli pridobiti podatke, kot je
razvidno s slike 4.13.
Slika 4.13: Rezultati OSAF
Vir: Kraljič, lastna raziskava (2014)
43
4.5.2
Santoku Linux
Pod okriljem podjetja ViaForensics se razvija odprtokodna distribucija Santoku. Izhaja iz
Linux distribucije Lubuntu. Namenjena je forenziki mobilnih naprav, analizi delovanja
aplikacij na mobilnih napravah in testiranju varnosti mobilnih naprav. Vsebuje naloţen
Android SDK (Software developement kit), AFLogical OSE in več drugih orodij, namenjenih
predvsem analizi delovanja aplikacij.
Po prenosu 2,2 GB velike image datoteke 'santoku_0.4.iso' s spletnega naslova
http://sourceforge.net/projects/santoku/files/latest/download sistem zaţenemo v programu
VirtualBox, pri namestitvi izberemo operacijski sistem 'Linux' in verzijo 'Debian', za potrebe
tekočega delovanja AVD18 dodelimo čim večjo količino delovnega pomnilnika. Izberemo še
VDI (VirtualBox Disk Image), dodelimo 40 GB prostora na trdem disku za shranjevanje. V
nastavitvah virtualnega sistema pod razširitvijo 'Storage' še določimo 'IDE Controller', 'Add
CD/DVD Device' in izberemo datoteko 'santoku_0.4.iso'. Po zagonu virtualnega sistema
izberemo še moţnost 'install-start the installer directly'. Geslo za prijavo v sistem je 'santoku'
(Santoku, 2012a).
Za izvedbo logičnega zajema podatkov je nameščena enaka programska oprema kot v OSAF
distribuciji. Pri zajemu podatkov z mobilne naprave dobimo enake rezultate.
4.5.3
Preiskava shranjenih varnostnih kopij
Varnostne kopije nameščenih aplikacij je mogoče s pomočjo OSAF ali Santoku Linuxa
prenesti na delovno postajo. Po priklopu mobilne naprave na priključek USB z omogočenim
USB-razhroščevanjem posredujemo USB-vhod na virtualni operacijski sistem Linux. V
terminalskem oknu preverimo prisotnost priključene naprave in vnesemo ukaz 'adb backup –
apk –all /home'. Na mobilni napravi še potrdimo 'Varnostno kopiraj moje podatke'. S tem se
varnostne kopije vseh aplikacij na preiskovani mobilni napravi shranijo v '/home' imenik v
datoteko 'backup.ab'. Pridobljeno datoteko nato razpakiramo z ukazom 'dd if=backup.ab
bs=24 skip=1 | openssl zlib -d > backup.ab.tar'. Z navedenim ukazom najprej z 'dd
if=backup.ab' določimo, katero datoteko obdelujemo, z 'bs=24' določimo, da je velikost bloka
18
Android virtual device manager-emulator Android operacijskega sistema
44
24 bajtov, 'skip=1' preskočimo prvo vrstico, 'openssl zlib -d > ' navedemo način dekompresije
podatkov in nato še ime datoteke '.tar' (Elenkov, 2012).
Za primer smo preiskali varnostno kopijo aplikacije vgrajenega brskalnika. Shranjeni podatki
o uporabniku se nahajajo v podatkovni bazi 'browser2.db'. Z orodjem 'Sqliteman', ki je ţe
nameščen v Santoku distribuciji, smo odprli Sqlite podatkovno bazo 'browser2.db', ki se
nahaja v 'apps/com.android.browser/db' imeniku. Kot je razvidno s slike 4.14, podatkovna
baza vsebuje enajst tabel. Med njimi so tudi: synch_state, bookmarks, history, searches.
Slika 4.14: Sqliteman
Vir: Kraljič, lastni prikaz (2014)
Vsebino tabel je mogoče shraniti v .xml datoteke, na ta način smo uspeli z mobilne naprave
pridobiti:
1. 28 shranjenih zaznamkov spletnih strani
2. 109 zapisov o obiskanih spletnih straneh s spletno povezavo in datumom obiska
3. 14 zapisov o vnesenih iskalnih kriterijih v brskalnik
4. ime poštnega računa za sinhronizacijo zaznamkov
45
4.6
Komercialna programska oprema
4.6.1
Viaforensics Viaextract
Viaforensics ViaExtract verzija 1.7 je za testne namene dostopna po registraciji na uradni
spletni strani podjetja Viaforensics: https://viaforensics.com/. Deluje v virtualnem okolju,
mogoča je tudi namestitev na delovno postajo z Linux operacijskim sistemom. Po zagonu v
programu Virtualbox se v sistem prijavimo z geslom 'forensics'.
V mobilni napravi moramo omogočiti 'USB-razhroščevanje' in v nastavitvah VirtualBox
posredovati USB-priključek. Na namizju se nahaja bliţnjica do programa ViaExtract.
Postopek zajema poteka v grafičnem vmesniku, kamor vnesemo: ime postopka, ţelene
podatke, mesto shranjevanja.
Rezultat preiskave:
Po zajemu lahko izvozimo poročilo v obliki datoteke PDF. Poročilo je zajeto na 35 straneh,
zaradi testne verzije je vsakih zajetih podatkov samo prvih deset zapisov. Poročilo vsebuje:
1. 2 zapisa o shranjenih naslovih spletnih strani, zaznamkih
2. 8 zapisov o obiskanih spletnih straneh
3. 10 zapisov iz dnevnika klicev
4. 10 zapisov o shranjenih video posnetkih
5. 10 zapisov o shranjenih zvočnih posnetkih
6. 10 zapisov najdenih slik na napravi
7. 10 zapisov o shranjenih SMS-sporočilih
8. 10 zapisov o shranjenih MMS-sporočilih
9. 208 zapisov o nameščenih aplikacijah
Z uporabo programa Viaforensics ViaExtract verzija 1.7 smo uspeli pridobiti podatke, kot je
razvidno s slike 4.15.
46
Slika 4.15: Rezultati Viaforensics ViaExtract19
Vir: Kraljič, lastna raziskava (2014)
4.6.2 MobilEdit Forensics Lite
Mobiledit Forensics Lite je aplikacija, razvita v podjetju Compelson. Omogoča preiskavo
mobilnih naprav na različnih platformah (Android OS, Apple, Blackberry, Windows mobile,
Bada, Symbian, MeeGo, Mediatek). Vsebuje orodja za dostop do zaklenjene naprave,
kopiranje podatkov s SIM-kartice, zajem fizične slike podatkov na mobilni napravi in izvedbo
preiskave z drugimi namenskimi orodji.
Prenos programske opreme je mogoč z njihove spletne strani www.mobiledit.com. Ta verzija
omogoča dostop do vseh podatkov, ki jih programska oprema podpira, vendar ni mogoče
shraniti poročila o zajetih podatkih. Namestitev je enostavna. V mobilni napravi moramo
omogočiti 'USB-razhroščevanje', priklop je mogoč preko USB-priključka, brezţične omreţne,
bluetooth ali infrardeče povezave. Po priklopu naprave programska oprema prepozna
priklopljeno napravo in namesti potrebne gonilnike za zajem podatkov.
Delo v programu poteka v grafičnem vmesniku. V prvo okno 'Data acguire settings' vnesemo
ime lastnika telefona, njegovo telefonsko številko in komentar. Izberemo, katere podatke
ţelimo zajeti – mogoči so: telefonski imenik, SMS-sporočila, koledar, MMS-sporočila,
datoteke, multimedijske datoteke, uporabniške datoteke, aplikacije. Izberemo še mesto za
shranjevanje datoteke 'Communication Log.log', ki shranjuje obvestila o poteku. Na
naslednjem oknu lahko izberemo iskanje določenih vrst datotek (audio, video, slike). Izbrali
19
Rezultati, omejeni s testno verzijo programa na 10 zapisov o posamezni kategoriji
47
smo celoten datotečni sistem (Whole File System). Programska oprema na preiskovano
napravo namesti aplikacijo 'ME! Forensic Connector'. Za pridobitev podatkov o posamezni
aplikaciji je potrebno za vsako aplikacijo, nameščeno na preiskovani mobilni napravi, izbrati
moţnost 'Varnostno kopiraj moje podatke'.
Rezultat preiskave:
V uporabniškem vmesniku programske opreme lahko, pod moţnostjo 'Cases' pregledujemo
zajete podatke. Dostop do zajetih podatkov je enostaven in je trajal 46 minut. S pomočjo
programske opreme MobilEdit Forensics Lite smo uspeli iz mobilne naprave pridobiti:
1. 14 zapisov o shranjenih stikih v mobilni napravi
2. 493 zapisov o zadnjih telefonskih klicih
3. 270 zapisov o shranjenih SMS-sporočilih
4. 208 zapisov o nameščenih aplikacijah s shranjenimi varnostnimi kopijami
5. 29 videoposnetkov
6. 93 slik
7. 22 zvočnih posnetkov
8. 29 MMS-sporočil
9. 11 zapisov iz koledarja
10. 1x datoteka PDF
Z uporabo programa MobilEdit Forensics Lite smo uspeli pridobiti podatke, kot je razvidno s
slike 4.16.
Slika 4.16: Rezultati MobilEdit Forensics Lite
Vir: Kraljič, lastna raziskava (2014)
48
4.6.3 Oxygen Forensic Suite 2014 (Freeware)
Za pridobitev programske opreme Oxygen Forensic Suite 2014 (Freeware) za študijske
namene
se
je
potrebno
registrirati
na
spletni
strani
http://www.oxygen-
forensic.com/en/download/freeware. Registracija ni dovoljena z googlovim računom
elektronske pošte, zato smo uporabili račun bostjan.kraljic@student.fis.unm.si. Po nekaj dneh
smo prejeli navodila za prenos in registracijsko šifro za namestitev programske opreme. Za
delovanje
je
potrebno
prenesti
tri
datoteke.
Program
'OxyForensic_Setup.exe','OxyForensics_Features_Setup.exe'
se
pa
nahaja
potrebuje
v
datoteki
še
datoteko
'OFS2_Drivers_Pack.zip' za namestitev gonilnikov posameznih mobilne naprave. Programska
oprema omogoča pridobitev podatkov iz več kot 7700 mobilnih naprav, delujočih na
Symbian, Windows Mobile, Apple iOS in Android platformah (Oxygen Forensics, 2014).
Programska oprema je delujoča šest mesecev.
Po namestitvi programske opreme je potrebno v mobilni napravi omogočiti 'USBrazhroščevanje', priklop je mogoč preko USB-priključka. V prvem oknu po zagonu
programske opreme izbiramo med več moţnostmi (Read device, Oxygen Backup, iTunes
backup, Apple backup/image, Android backup/image, Blackberry backup, Balckberry 10
backup). Za logični zajem podatkov na mobilni napravi izberemo 'Read device'. Po priklopu
naprave programska oprema prepozna priklopljeno napravo in namesti potrebne gonilnike za
zajem podatkov in v pogovornem oknu izpiše podatke o preiskovani napravi. Po potrditvi se
nam odpre okno, kjer izberemo vrsto zajema podatkov. Na voljo je logični in fizični zajem, če
je na napravi omogočen dostop z 'root' privilegiji. Izberemo logični z varnostno kopijo
podatkov na napravi. Po potrditvi se začne zajem, na preiskovani napravi je potrebno dovoliti
izdelavo varnostne kopije z izbiro 'Varnostno kopiraj moje podatke'.
Rezultat preiskave:
Programska oprema omogoča shranjevanje varnostne kopije za kasnejšo obdelavo, izdelavo
poročila v različnih formatih, poročilo v pdf formatu je dolgo 202 strani. S programom smo
uspeli pridobiti sedem izbrisanih sporočil. S pomočjo programske opreme Oxygen Forensic
Suite 2014 (Freeware) smo uspeli iz mobilne naprave pridobiti:
1. 14 zapisov o shranjenih stikih v mobilni napravi
2. 500 zapisov o zadnjih telefonskih klicih
3. 277 zapisov o shranjenih SMS-sporočilih
49
4. 208 zapisov o nameščenih aplikacijah s shranjenimi varnostnimi kopijami
5. 1 zvočni posnetek
6. 11 zapisov s koledarja
Z uporabo programa Oxygen Forensic Suite 2014 (Freeware) smo uspeli pridobiti podatke,
kot je razvidno s slike 4.17.
Slika 4.17: Rezultati Oxygen Forensic Suite 2014 (Freeware)20
Vir: Kraljič, lastna raziskava (2014)
4.6.4
Micro systemation XRY v.6.9.
XRY je produkt švedskega podjetja Micro systemation. Podjetje izdeluje programsko opremo
za izvedbo digitalne forenzike. Omogočajo preiskovanje različnih elektronskih naprav:
pametnih mobilnih telefonov, navigacijskih sistemov, 3g modemov, prenosnih predvajalnikov
glasbe in tabličnih računalnikov. Programska oprema XRY v.6.9. deluje na Microsoft
Windows operacijskem sistemu, podpira preko 800 elektronskih naprav na različnih
platformah. S spletne strani proizvajalca je mogoče prenesti 'XRY reader', ki omogoča
pregledovanje zajetih podatkov z naprave.
Zajem podatkov je mogoč samo z nakupom programske opreme. Pri zajemu podatkov v
uporabniškem vmesniku navedemo način povezave elektronske naprave z delovno postajo. V
našem primeru je bila povezava vzpostavljena preko USB-vmesnika. S seznama naprav
izberemo preiskovano napravo, programska oprema nam glede na tip preiskovane naprave
posreduje informacije o zmoţnostih pridobitve podatkov. Pri zajemu podatkov se piše '.log'
20
Določeni podatki v tej verziji niso dostopni (Podatki o brskalnikih, časovnica, socialna mreţa ipd.).
50
datoteka, ki vsebuje vse podatke o delu programske opreme. Zajeti podatki se shranijo v
datoteko s končnico '.xry'.
Rezultati preiskave:
Zajeti podatki so shranjeni v 4,3 GB veliki datoteki, mogoč je izvoz poročila v različnih
formatih: Excel, XML, Google Earth, GPX, HTML, PDF, Word. S pomočjo programske
opreme Micro systemation XRY v.6.9. smo uspeli iz mobilne naprave pridobiti:
1. 208 zapisov o nameščenih aplikacijah s shranjenimi varnostnimi kopijami
2. 14 zapisov o shranjenih stikih v mobilni napravi
3. 500 zapisov o zadnjih telefonskih klicih
4. 11 zapisov s koledarja
5. 270 zapisov o shranjenih SMS-sporočilih
6. 29 MMS-sporočil
7. 31 videoposnetkov
8. 14 shranjenih zaznamkov
9. 109 zapisov o zgodovini brskanja
10. 93 slik
11. 27 zvočnih posnetkov
12. 1x datoteka PDF
Z uporabo programske opreme Micro systemation XRY v.6.9. smo uspeli pridobiti podatke,
kot je razvidno s slike 4.18.
Slika 4.18: Rezultati Micro systemation XRY v.6.9.
Vir: Kraljič, lastna raziskava (2014)
51
Primerjava orodij za forenzične analize
4.7
Z uporabljeno programsko opremo za forenzične preiskave mobilnih naprav smo uspeli
pridobiti podatke, kot je razvidno iz tabele 4.1.
Tabela 4.1: Rezultati
Testni podatki
OSAF
Viaforensics ViaExtract
MobilEdit Forensics
Lite
Oxygen Forensics
Suite(Freeware) ver.
6.1.0.200
Micro Systemation
XRY V.6.9.
Dnevnik
klicev
500
500
10
493
Stiki
SMS
MMS
Koledar
Aplikacije
Slike
14
0
0
14
270
270
10
270
29
25
10
29
11
0
0
11
208
208
208
208
93
20
10
93
500
14
277
0
11
208
0
500
14
270
29
11
208
93
Testni podatki
Video
posnetki
31
Zvočni
posnetki
27
OSAF
0
Viaforensics ViaExtract
10
MobilEdit Forensics
29
Lite
Oxygen Forensics
0
Suite(Freeware) ver.
6.1.0.200
Micro Systemation
31
XRY V.6.9.
Vir: Kraljič, lastna raziskava (2014)
4.7.1
14
Zgodovina
brskanja
109
Odstotek
skupaj
100%
0
0
0
36%
10
0
2
8
20%
22
1
0
0
81%
1
0
0
0
27
1
14
109
PDF
Zaznamki
1
5
42%
100%
Odprtokodna programska oprema
Open source Android Forensics vsebuje različna orodja za forenziko mobilnih naprav
Android, med katerimi je tudi AFLogical_OSE 1.5.2.. Kot je razbrati iz končnice 'OSE', ta
pomeni 'Open Source Edition'. Za potrebe vladnih sluţb je mogoče brezplačno pridobiti 'LELaw Enforcement' verzijo, ki omogoča zajem širšega nabora podatkov. Programska oprema
52
namesti agenta na preiskovano napravo, kar je potrebno pri preiskavi zabeleţiti. Delo s
programsko opremo je potekalo tekoče, med zajemom je občasno prihajalo do prekinitve
povezave med delovno postajo in preiskovano napravo, povezavo se obnovi z vnosom ukaza
'adb kill-server' in ponovitvijo ukaza 'adb devices'. Delo poteka v konzoli, preiskovalec mora
poznati nabor osnovnih ukazov za premikanje po imenikih in delo z 'ADB'.
Vsi zajeti podatki se nahajajo v enem imeniku, za vzpostavitev slike stanja ob kritičnem
dogodku je potrebno narediti vzporedno primerjavo dogodkov, kar je ob veliki količini lahko
zamudno. Glede na komercialne programske rešitve je potrebno v preiskavo vloţiti več časa,
količina zajetih podatkov je z uporabljeno verzijo programske opreme majhna. Zadnja verzija
distribucije OSAF TK RC2 je bila izdana v maju 2012. Za namen odprtokodnih forenzičnih
preiskav je na voljo tudi Linux distribucija Santoku, ki vsebuje podobna orodja. Z izdelavo
varnostnih kopij aplikacij in preiskavo podatkovnih zbirk SQLite je mogoče priti do več
zanimivih podatkov, vendar je dostop do njih zamuden.
4.7.2 Komercialna programska oprema
Viaforensics ViaExtract verzija 1.7. delo je enostavnejše od dela z odprtokodno programsko
opremo in poteka v grafičnem vmesniku. Omogoča zajem več vrst podatkov. V uporabljeni
verziji je bil zaradi omejitev s testno verzijo zajem omejen na deset zapisov, zajem podatkov
je trajal pribliţno deset minut. V poročilu v pdf formatu so bili
podatki predstavljeni
razumljivo, iz vsake skupine iskanih podatkov smo uspeli pridobiti po deset zapisov, razen
stikov, koledarja in datoteke PDF. Med izdelavo magistrske naloge je izšla Viaforensics
ViaExtract verzija 2.0, ki omogoča tudi fizični zajem podatkov, vendar testna verzija še ni na
voljo.
MobilEdit Forensics Lite 7.5.4.4232 deluje na Microsoft Windows okolju, delo z njo je
enostavno in podpira najbolj širok nabor operacijskih sistemov na mobilnih napravah. Zajem
podatkov je trajal najdlje od vseh komercialnih orodij. Za izdelavo varnostne kopije vsake
nameščene aplikacije je potrebno na preiskovani napravi potrditi 'Varnostno kopiraj moje
podatke', kar pomeni 208 potrditev. Na zajetih slikah je bilo mogoče ugotoviti datum nastanka
in oznako naprave, s katero je bila posneta. Uporabniški vmesnik omogoča prikaz vseh
komunikacij za izbrani kontakt, kar olajša preiskavo. Iz zajetih varnostnih kopij aplikacij je
mogoče shraniti datoteko podatkovne baze in jo preiskati z uporabo namenske programske
53
opreme. Programska oprema je uspela zajeti velik del testnih podatkov, manjkajoči so podatki
o uporabi brskalnika.
Oxygen forensics Suite 2014 (Freeware) ver. 6.1.0.200 omogoča izdelavo varnostnih kopij
aplikacij, podobno kot MobilEdit Forensics Lite, vendar brez potrjevanja vsake aplikacije. Za
izdelavo varnostne kopije potrdimo 'Varnostno kopiraj moje podatke' samo enkrat. Iz zajetih
varnostnih kopij aplikacij je mogoče shraniti datoteko podatkovne baze in jo preiskati z
uporabo namenske programske opreme. Zajem podatkov je trajal pribliţno trideset minut. V
uporabniškem vmesniku je praktični pregled vseh dogodkov pod različnimi zavihki (vsi
dogodki, odgovorjeni klici, zgrešeni klici, klicane številke, sms sporočila). Programska
oprema podpira izvoz poročila v več formatih (pdf, rtf, xls, xml, csc, html). Z uporabljeno
verzijo ni mogoče uporabiti določenih funkcij (podatki o brskalniku, uporabi zemljevida,
socialna mreţa, shranjena gesla, časovnica), ravno tako je nabor zajetih podatkov skromen.
Micro systemation XRY v.6.9. – pred priklopom testne naprave lahko z uporabo XRY v.6.9.
preiskovalec preveri, katere podatke pri zajemu pričakuje. Za določene naprave je mogoč
'root' in nato fizični zajem pomnilnika. Programska oprema je enostavna za uporabo, omogoča
izvoz v različne formate (xls, xml, Google Earth, gpx, html, pdf, doc), zajem podatkov je
trajal pribliţno trideset minut. Na zajetih slikah je bilo mogoče ugotoviti datum nastanka in
oznako naprave, s katero je bila posneta. Programska oprema iz varnostnih kopij aplikacij
oziroma podatkovnih baz pridobi podatke in jih uredi v kategorije. Uporaba je enostavna,
programska oprema je uspela pridobiti vse testne podatke.
5. ZAKLJUČEK
S pametnimi mobilnimi napravami je mogoče nadomestiti osebni računalnik, fotoaparat,
navigacijo in poleg tega namestiti še vrsto aplikacij za različne potrebe uporabnikov. Glede na
vsesplošno prisotnost elektronskih naprav v naših ţivljenjih se ne zavedamo, kakšne podatke
puščamo na njih in kje vse se shranjujejo. Raznolikost sveta elektronskih naprav in
nameščene programske opreme naredi preiskovanje specifično glede na preiskovano napravo.
Forenzična preiskava mobilnih naprav je zaradi širokega nabora nameščenih operacijskih
sistemov in različnih strojnih rešitev zelo dinamično področje. Od preiskovalca zahteva poleg
54
poznavanja zakonodajnega okvira visoko stopnjo usposobljenosti in uporabo namenske
strojne in programske opreme. Glede na visok trţni deleţ naprav z nameščenim operacijskim
sistemom Android je pričakovan visok odziv razvijalcev namenske programske opreme za
preiskave mobilnih naprav. Potrebno je predvsem povečati podporo za fizični zajem
pomnilnika na napravi, kar je sedaj zaradi številnih konfiguracij strojne in programske opreme
oteţeno.
Preiskovanje elektronskih naprav in pridobivanje elektronskih dokazov mora potekati v
skladu z zakonodajo in smernicami, ki jih predpisuje stroka ne glede na vloţen čas in
sredstva. Osnova za pridobitev elektronskega dokaza mora biti pisna odredba sodišča oziroma
privolitev imetnika elektronske naprave in vseh ostalih uporabnikov, za katere se pričakuje
hramba morebitnih osebnih podatkov na preiskovani napravi. V kolikor zavarovanja podatkov
ni mogoče opraviti na kraju, se elektronska naprava zaseţe in zapečati, imetniku se izroči
potrdilo o zasegu elektronske naprave. Imetnik oziroma njegov zastopnik je obveščen o
datumu izvedbe zavarovanja podatkov na napravi, lahko je prisoten ob izvedbi zavarovanja.
Preiskava se opravi na način, da se v najmanjši meri posega v pravice oseb, ki niso relevantne
v preiskavi. Dosledno se upošteva odredbo sodišča in vodi pisno poročilo o delu.
Preiskovanje naprav z nameščenim operacijskim sistemom Android se od klasičnih preiskav
razlikuje predvsem v spreminjanju podatkov na izvirnem nosilcu. Za dostop do pomnilnika
naprave je potrebno aktivirati 'USB-razhroščevanje'. Namenska programska oprema za
pridobitev podatkov namesti agenta za zajem oziroma omogoči 'root' dostop. V poročilu mora
biti jasno navedeno, katere spremembe se je na napravi s tem povzročilo in zakaj je bila
sprememba potrebna.
Med uporabljenimi programi za forenzične preiskave smo največ podatkov uspeli pridobiti z
programsko opremo XRY v.6.9.XRY proizvajalca Micro systemation. S programskima
paketoma Mobiledit Forensics Lite in Oxygen Forensics Suite (Freeware) je bil nabor
pridobljenih podatkov skromnejši, določene bi bilo z nakupom programske opreme mogoče
pridobiti. Navedena programska oprema deluje na Microsoft Windows operacijskem sistemu.
Uporaba odprtokodne programske opreme se na operacijskem sistemu Linux lahko kombinira
s programsko opremo ViaForensics ViaExtract. Uporabljena verzija 1.7 vsebuje omejitve
zapisov. Verzije ViaForensics ViaExtract 2.0, ki omogoča tudi fizični zajem na operacijskem
sistemu Linux, ţal nismo uspeli pridobiti.
55
Pri preiskavi elektronskih naprav lahko upravičeno pričakujemo oviranje dostopa do
vsebovanih podatkov z različnimi protiforenzičnimi metodami. Pametni mobilni telefoni z
operacijskim sistemom Android omogočajo šifriranje, podatki se shranjujejo v oblačnih
shrambah, komunikacija poteka po šifriranih kanalih. Preiskovalec je prisiljen uporabiti
različne metode oziroma programsko opremo za dostop do podatkov na napravi. V primeru
zasega delujoče naprave se takoj izvede zavarovanje morebitnih datotek, shranjenih v
oblačnih shrambah, elektronskih sporočil v agentu za odjem elektronske pošte in podobno, po
vklopu načina za letenje je dostop do tovrstnih podatkov onemogočen.
Podatki o aktivnostih uporabnika se shranjujejo na različne lokacije v pomnilniku naprave. Z
uporabo odprtokodne programske opreme je mogoče dostopati do večine za preiskovalca
zanimivih podatkov. Namenska programska oprema se umešča med draţje programske
produkte, prednost uporabe odprtokodnih rešitev je predvsem v ceni. Največja teţava uporabe
odprtokodne programske opreme je v zamudnosti postopka. Glede na vedno večje število
preiskav zaseţenih elektronskih naprav mora preiskovalec priti do podatkov na čim hitrejši
način. Komercialna programska oprema ţe pretvori izsledke preiskave v razumljivo obliko,
urejeno po kategoriji in datumu nastanka. Preiskovalec tako več časa nameni analitiki
vzpostavitve slike dogajanja ob kritičnem dogodku. Sklepamo, da bo zaradi popularnosti
operacijskega sistema Android na voljo vse več odprtokodnih rešitev za preiskave mobilnih
telefonov.
56
6. LITERATURA IN VIRI
1.
Android-App-Market.com (2012) Android Architecture – The Key Concepts of
Android OS. Dostopno prek: http://www.android-app-market.com/androidarchitecture.html (25.03.2014).
2.
Androidcentral (2012) What is kernel? Dostopno prek:
http://www.androidcentral.com/android-z-what-kernel?page=1#comments
(25.03.2014).
3.
Android Developers (2014) Android Debug Bridge. Dostopno prek:
http://developer.android.com/tools/help/adb.html (01.04.2014).
4.
Android Developers (2014a) Dashboards. Dostopno prek:
http://developer.android.com/about/dashboards/index.html?utm_source=ausdroid.net
(24.03.2014).
5.
Android Developers (2014b) Exploring the SDK. Dostopno prek:
https://developer.android.com/sdk/exploring.html (01.04.2014).
6.
Android Encryption (2014) Notes on the implementation of encryption in Android
3.0. Dostopno prek: https://source.android.com/devices/tech/encryption/android_
crypto_implementation.html (20.02.2014).
7.
Android Open Source Project (2014) Android Security Overview. Dostopno prek:
http://source.android.com/devices/tech/security/ (20.03.2014).
8.
Apple Press Info (2007) Apple Reinvents the Phone with iPhone. Dostopno prek:
http://www.apple.com/pr/library/2007/01/09Apple-Reinvents-the-Phone-withiPhone.html (01.05.2014).
9.
Bloomberg Businessweek (2005) Google buys Android for its Mobile Arsenal.
Dostopno prek: http://www.businessweek.com/stories/2005-08-16/google-buysandroid-for-its-mobile-arsenal (05.12.2012).
10.
Bullguard Security Centre (2014) The risks of rooting your Android phone. Dostopno
prek: http://www.bullguard.com/bullguard-security-center/mobile-security/mobilethreats/android-rooting-risks.aspx (28.03.2014).
11.
CHEVAILER, SUZANNE, DANG, HUNG, GRANCE, TIM in KENT, KAREN
(2006) Guide to integrating forensics technics into incident response, National
institute of standards and technology. Dostopno prek:
http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf (17.02.2013).
12.
CORY, ALTHEIDE in CARVEY, HARLAN (2011) Digital forensics with open
source tools. Waltham: Syngress.
13.
CROWE, DAVID (2001) Cellular Networking Perspectives, Wireless Telecom
Magazine. Dostopno prek: http://www.cnpwireless.com/ArticleArchive/Wireless%20Telecom/2001Q1WT.html (12.02.2014).
14.
EC-COUNCIL (2010) Computer Forensics-Investigating hard disks, file & operating
systems. New York: Cengage Learning.
15.
ELENKOV, NIKOLAY (2012) Unpacking Android backups. Dostopno prek:
http://nelenkov.blogspot.com/2012/06/unpacking-android-backups.html (14.04.2014).
16.
Faqoid (2014) Android timeline and Versions. Dostopno prek:
http://faqoid.com/advisor/android-versions.php (24.03.2014).
17.
Forensics Focus (2013) Extracting data from damaged mobile devices. Dostopno prek:
http://articles.forensicfocus.com/2013/08/21/extracting-data-from-damaged-mobiledevices/ (09.03.2014).
18.
GRISPOS, GEORGE, GLISSON, BRADLEY, WILLIAM in STORER, TIM (2011)
A comparison of forensic evidence recovery techniques for a windows mobile smart
phone. Digital investigation, 8 (1), str. 23-36. Dostopno prek:
http://www.sciencedirect.com/science/article/pii/S1742287611000417 (18.02.2013).
19.
GARGENTA, MARKO (2011) Learning Android. Sebastopol. O'Reilly Media Inc.
20.
Gartner (2014a) Gartner Says Annual Smartphone Sales Surpassed Sales of Feature
Phones for the First Time in 2013. Dostopno prek:
www.gartner.com/newsroom/id/2665715?fnl=search (20.02.2014).
21.
Gartner (2014a) It glossary-IMSI. Dostopno prek: http://www.gartner.com/itglossary/imsi-international-mobile-subscriber-identity (20.02.2014).
22.
Gartner (2014b) It glossary-SIM. Dostopno prek: http://www.gartner.com/itglossary/sim-card-subscriber-identity-module-card/ (20.02.2014).
23.
GPS (2014) What is GPS?. Dostopno prek: http://www.gps.gov/systems/gps/
(15.02.2014).
24.
GSM Association (2011) IMEI Allocation and Approval Guidelines. Dostopno prek:
http://www.gsma.com/newsroom/wpcontent/uploads/2012/03/ts0660tacallocationprocessapproved.pdf (10.12.2012).
25.
GUIDO, MARK, SHAWN, VALLE (2012) Android Forensics and Security Testing.
Dostopno prek:
http://opensecuritytraining.info/AndroidForensics_files/Android%20Forensics%20and
%20Security%20Testing%20Course_PUBLIC_RELEASE.pptx.pdf (12.04.2014).
26.
Hideitpro (2014) Download for Android phone. Dostopno prek:
http://hideitpro.com/index.htm (16.02.2014).
27.
HOOG, ANDREW (2011) Android Forensics. Waltham: Syngress.
28.
Imei Tools (2014) What is imei number? Dostopno prek: http://imeinumber.com/what-is-imei-number/ (20.02.2014).
29.
International Business Times (2014) Android 4.4 KitKat: Top 6 Major Changes
Confirmed and Revealed Before October Launching Date. Dostopno prek:
http://au.ibtimes.com/articles/511297/20131004/android-4-kitkat-top-6-majorchanges.htm#.UzauVPl5OK0 (25.03.2014).
30.
KESSLER, C. GARY (2007) Anti-Forensics and the Digital Investigator.
Dostopno prek: http://www.garykessler.net/library/2007_ADFC_anti-forensics.pdf
(15.02.2014).
31.
KOVAČIČ, MATEJ, MODIC, DAVID, RUSJAN, MARKO, SELINŠEK, LILJANA,
ŠAVNIK, JANKO in ZAVRŠNIK, ALEŠ (2010) Kriminaliteta in tehnologija.
Ljubljana, Inštitut za kriminologijo pri Pravni fakulteti v Ljubljani.
32.
LOVŠIN, PETER (2013) Pomanjkanje računalniških forenzikov. Dostopno prek:
https://www.dnevnik.si/kronika/pomanjkanje-racunalniskih-forenzikov (14.01.2014).
33.
LURCHENKO, ANNA (2013) Android vs iOS: Which Mobile Platform is Right for
Your Business? Dostopno prek: http://mobileinsider.net/android-vs-ios-which-mobileplatform-is-right-for-your-business (02.05.2014).
34.
MASON, STEPHEN (2007) Electronic evidence, disclosure, discovery and
admissibility. LexisNexis, London, Butterworths.
35.
MNZ, Policija (2013) Pregled dela policije za prvo polletje 2013. Dostopno prek:
http://www.policija.si/images/stories/Statistika/LetnaPorocila/PDF/PorociloZaPrvoPol
letje2013.pdf (15.02.2014) .
36.
MURPHY, CINDY (2012) Cellular phone evidence-Data extraction&documentation,
Computer Forensics SRP, Dostopno prek:
http://www.mobileforensicscentral.com/mfc/documents/Cell%20Phone%20Evidence
%20Extraction%20Process%202.0%20with%20forms.pdf (13.12.2012).
37.
Open handset alliance (2007) Industry Leaders Announce Open Platform for Mobile
Devices. Dostopno prek: http://www.openhandsetalliance.com/press_110507.html
(05.12.2012).
38.
Open source android forensics (2012) OSAF TK. Dostopno prek: http://osafcommunity.org/home.html (01.12.2012).
39.
Oxygen Forensics (2014) Compare Oxygen Forensic® Suite Editions. Dostopno prek:
http://www.oxygen-forensic.com/en/compare (31.03.2014).
40.
RICKER, THOMAS (2010) Microsoft announces ten Windows Phone 7 handsets for
30 countries: October 21 in Europe and Asia, 8 November in US. Dostopno prek:
http://www.engadget.com/2010/10/11/microsoft-announces-ten-windows-phone-7handsets-for-30-countrie/ (05.05.2014).
41.
RSA laboratories (2012) What is a hash function? Dostopno prek:
http://www.rsa.com/rsalabs/node.asp?id=2176 (24.12.2012).
42.
RUBIN, ANDY (2007): Where's my Gphone? Dostopno prek:
http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html (05.12.2012).
43.
Readwrite (2014) Android Gingerbread refuses to die. Dostopno prek:
http://readwrite.com/2014/02/05/android-gingerbread-fragmentationkitkat#awesm=~ozvElyPlI9IdZw (24.03.2014).
44.
Samsung (2014) Galaxy S3 mini. Dostopno prek:
http://www.samsung.com/uk/consumer/mobile-devices/smartphones/android/GTI8190RWABTU (30.03.2014).
45.
Santoku (2012) HOWTO forensically examine an Android device with AFLogical
OSE on Santoku Linux. Dostopno prek: https://santoku-linux.com/howto/mobileforensics/howto-forensically-examine-android-aflogical-santoku (01.04.2014).
46.
Santoku (2012a) HOWTO install Santoku in a virtual machine. Dostopno prek:
https://santoku-linux.com/howto/installing-santoku/installing-santoku-in-a-virtualmachine (03.04.2014).
47.
SELINŠEK, LJILJANA (2009) Digitalna forenzika in elektronski dokazi. Dostopno
prek:
http://www.google.si/url?sa=t&rct=j&q=dokaz%20je%20vir%20spoznanja%20o%20
kakem%20pomembnem%20dejstvu%20oziroma%20sinonim%20za%20logi%C4%8D
no%20in%20izkustveno%20sprejemljivo%20trditev%20o%20obstoju%20kakega%20
pravno%20pomembnega%20dejstva&source=web&cd=1&cad=rja&ved=0CCoQFjA
A&url=http%3A%2F%2Fwww.pf.unimb.si%2Fdatoteke%2Fliljana_selinsek%2Fkpp%2Fdigitalna_forenzika.ppt&ei=WYj
HUNaCAsSm4AT41YGICQ&usg=AFQjCNHgsIUhjw6HEHD7oGrJZ4bUASarQ&bvm=bv.1354675689,d.bGE (10.12.2012).
48.
Surveillance self defence (2014) Encryption Basics. Dostopno prek:
https://ssd.eff.org/tech/encryption (22.02.2014).
49.
The Forensics Ferret Blog (2011) Cable connectivity for Tableau T35e Forensic
SATA bridge. Dostopno prek: http://forensicsferret.wordpress.com/2011/07/13/cableconnectivity-for-tableau-t35e-forensic-sata-bridge/ (28.03.2014).
50.
Viaforensics viaExtract (2012) ViaExtract. Dostopno prek:
https://viaforensics.com/products/viaextract/ (01.12.2012).
51.
VirtualBox (2014) Manual. Dostopno prek:
https://www.virtualbox.org/manual/ch01.html (01.04.2014).
52.
Windows Phone Central (2014) Windows Phone 8.1 Features. Dostopno prek:
http://www.wpcentral.com/windows-phone-81-features (05.05.2014).
53.
Zakon o kazenskem postopku (uradno prečiščeno besedilo) (ZKP-UPB4). Uradni list
Republike Slovenije 32/2007. Dostopno prek: http://www.uradnilist.si/1/objava.jsp?urlid=200732&stevilka=1700 (10.12.2012).
54.
Zakon o kazenskem postopku (uradno prečiščeno besedilo) (ZKP-UPB8). Uradni list
Republike Slovenije 32/2012. Dostopno prek: http://www.uradnilist.si/1/objava.jsp?urlid=201232&stevilka=1405 (19.10.2012).