FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKANALOGA ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE Bostjan Kraljic Digitalno podpisal Bostjan Kraljic DN: c=SI, o=POSTA, ou=POSTArCA, ou=personal, serialNumber=150986, cn=Bostjan Kraljic Datum: 2014.06.16 19:46:16 +02'00' BOŠTJAN KRALJIČ FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA FORENZIKA MOBILNEGA TELEFONA NA PLATFORMI ANDROID IN UPORABA PRIDOBLJENIH ELEKTRONSKIH DOKAZOV Mentor: red. prof. dr. Miroslav Bača Novo mesto, junij 2014 Boštjan Kraljič IZJAVA O AVTORSTVU Podpisani Boštjan Kraljič, študent FIŠ Novo mesto, izjavljam: da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v magistrski nalogi, da dovoljujem objavo magistrske naloge v polnem tekstu, v prostem dostopu, na spletni strani FIŠ oz. v digitalni knjiţnici FIŠ, da je magistrska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji, da je magistrska naloga lektorirana. V Novem mestu, dne _________________ Podpis avtorja______________________ POVZETEK Forenzična preiskava elektronskih mobilnih naprav postaja vse pogostejša. V magistrskem delu je opisan zakonodajni okvir, znotraj katerega deluje preiskovalec elektronske naprave. Elektronski dokazi, pridobljeni z nedoslednim upoštevanjem veljavne zakonodaje, so na sodišču brez veljave. Pri preiskavi mobilnih naprav z nameščenim operacijskim sistemom Android je zaradi različnih verzij operacijskega sistema in specifičnosti strojne opreme potrebno poskusiti pridobiti podatke z različnimi orodji. Za namene primerjave učinkovitosti smo uporabili različno odprtokodno in komercialno namensko programsko opremo. Podatki o aktivnostih uporabnika se shranjujejo na različne lokacije znotraj mobilne naprave in v oblačnih shrambah podatkov. Opisali smo postopke pridobitve podatkov, podali kritično oceno uporabljene programske opreme in izpostavili prednosti in slabosti uporabe odprtokodne programske opreme. KLJUČNE BESEDE: Android, forenzika, elektronski dokaz ABSTRACT Forensic investigation of electronic mobile devices is becoming more and more frequent. The thesis describes the legislative framework within which should operate investigator of electronic devices. Electronic evidence obtained without consistently considering legislation in force has no validation on court. Investigation of mobile devices running the Android operating system is due to different versions of the operating system and the specifics of the hardware necessary to obtain information with various tools. For comparison purposes of the efficiency, we used different commercial and open-source dedicated software. Information about the activities of the user is stored in different locations within mobile device and cloud data store. We have described procedures for data acquisition, do critical evaluation of the software package and look at the advantages and disadvantages of using open source software. KEY WORDS: Android, forensics, digital evidence KAZALO 1. 2. UVOD................................................................................................................................. 1 1.1 Opredelitev problema .................................................................................................. 1 1.2 Namen in cilji............................................................................................................... 3 1.3 Raziskovalna vprašanja ................................................................................................ 4 1.4 Metodologija ................................................................................................................ 4 ELEKTRONSKI DOKAZ.................................................................................................. 5 2.1 Pridobivanje elektronskih dokazov .............................................................................. 6 2.2 Pravni vidik pridobitve elektronskega dokaza ............................................................. 7 2.2.1 Predlog in odredba o preiskavi elektronske naprave ........................................... 7 2.2.2 Zaseg predmetov ................................................................................................... 8 2.2.3 Zaseg elektronske naprave in zavarovanje podatkov ........................................... 9 2.2.4 Preiskava elektronskih naprav ........................................................................... 11 2.3 Elektronska forenzična preiskava .............................................................................. 14 2.4 Forenzika mobilnega telefona .................................................................................... 15 2.4.1 Prevzem mobilnega telefona............................................................................... 15 2.4.2 Identifikacija ....................................................................................................... 15 2.4.3 Priprava na preiskavo ........................................................................................ 16 2.4.4 Izolacija naprave ................................................................................................ 17 2.4.5 Preiskava telefona .............................................................................................. 17 2.4.6 Preverjanje rezultatov ........................................................................................ 18 2.4.7 Dokumentiranje in poročanje ............................................................................. 18 2.4.8 Predstavitev rezultatov ....................................................................................... 19 2.4.9 Arhiviranje .......................................................................................................... 19 2.5 Protiforenzične metode .............................................................................................. 19 2.5.1 Skrivanje podatkov ............................................................................................. 20 3. 2.5.2 Prepisovanje podatkov ....................................................................................... 21 2.5.3 Fizično uničenje naprave.................................................................................... 22 OPERACIJSKI SISTEM ANDROID .............................................................................. 23 3.1 Razvoj ........................................................................................................................ 23 3.2 Verzije ........................................................................................................................ 24 3.3 Zgradba ...................................................................................................................... 27 3.3.1 Delovanje ............................................................................................................ 28 3.3.2 Linux jedro.......................................................................................................... 29 3.3.3 Knjižnice ............................................................................................................. 29 3.3.4 Aplikacijsko ogrodje ........................................................................................... 29 3.3.5 Aplikacije ............................................................................................................ 30 3.3.6 Dalvik VM ........................................................................................................... 30 3.4 4. Lokacije podatkov o uporabniku ............................................................................... 30 FORENZIČNA ANALIZA Z RAZLIČNIMI ORODJI ................................................... 32 4.1 'Root' privilegiji ......................................................................................................... 34 4.2 Android Debug Bridge (ADB)................................................................................... 34 4.3 Preiskovana naprava .................................................................................................. 35 4.4 Delovna postaja.......................................................................................................... 36 4.5 Odprtokodna programska oprema.............................................................................. 36 4.5.1 Open source android forensics (OSAF) ............................................................. 36 4.5.2 Santoku Linux ..................................................................................................... 44 4.5.3 Preiskava shranjenih varnostnih kopij ............................................................... 44 4.6 Komercialna programska oprema .............................................................................. 46 4.6.1 Viaforensics Viaextract ...................................................................................... 46 4.6.2 MobilEdit Forensics Lite .................................................................................... 47 4.6.3 Oxygen Forensic Suite 2014 (Freeware)............................................................ 49 4.6.4 Micro systemation XRY v.6.9.............................................................................. 50 4.7 Primerjava orodij za forenzične analize ..................................................................... 52 4.7.1 Odprtokodna programska oprema ..................................................................... 52 4.7.2 Komercialna programska oprema ...................................................................... 53 5. ZAKLJUČEK ................................................................................................................... 54 6. LITERATURA IN VIRI................................................................................................... 57 KAZALO SLIK Slika 3.1: Zgradba operacijskega sistema Android .................................................................. 28 Slika 4.1: Write blocker ............................................................................................................ 32 Slika 4.2: Metode forenzične preiskave mobilne naprave z OS Androidom ........................... 33 Slika 4.3: Samsung I8190 Galaxy S3 mini ............................................................................... 35 Slika 4.4: Testni podatki ........................................................................................................... 35 Slika 4.5: VirtualBox: Name and operating system ................................................................. 37 Slika 4.6: VirtualBox: Memory size ......................................................................................... 37 Slika 4.7: VirtualBox: Hard drive............................................................................................. 38 Slika 4.8: OSAF........................................................................................................................ 39 Slika 4.9: USB-posredovanje ................................................................................................... 40 Slika 4.10: Vklop USB-razhroščevanja .................................................................................... 40 Slika 4.11: OSAF adb device ................................................................................................... 41 Slika 4.12: AFLogical OSE ...................................................................................................... 41 Slika 4.13: Rezultati OSAF ...................................................................................................... 43 Slika 4.14: Sqliteman................................................................................................................ 45 Slika 4.15: Rezultati Viaforensics ViaExtract .......................................................................... 47 Slika 4.16: Rezultati MobilEdit Forensics Lite ........................................................................ 48 Slika 4.17: Rezultati Oxygen Forensic Suite 2014 (Freeware) ................................................ 50 Slika 4.18: Rezultati Micro systemation XRY v.6.9. ............................................................... 51 KAZALO TABEL Tabela 1.1: Operacijski sistemi v prodanih pametnih telefonih končnim uporabnikom ............ 1 Tabela 3.1: Porazdeljenost verzij med uporabniki ................................................................... 27 Tabela 4.1: Rezultati ................................................................................................................. 52 1. UVOD Prodaja mobilnih telefonov se vsako leto poveča za nekaj odstotkov. V letu 2013 je bil po navedbah druţbe Gartner globalni porast prodaje za 3,5 odstotka glede na leto 2012, kar pomeni skupaj prodanih več kot 1,8 milijarde mobilnih naprav. Od tega predstavljajo pametni mobilni telefoni kar 53,6 %. Pametni telefoni za svoje delovanje potrebujejo nameščen operacijski sistem. Kot je razvidno iz tabele številka 1.1, največji deleţ med operacijskimi sistemi za pametne telefone predstavlja Android, sledita mu iOS, ki je nameščen na pametnih telefonih Apple, nato Microsoft za mobilne naprave Nokia in Blackberry (Gartner, 2014). Tabela 1.1: Operacijski sistemi v prodanih pametnih telefonih končnim uporabnikom Operacijski 2013 Tržni delež 2012 Tržni delež sistem (v tisoč enotah) 2013 (%) (v tisoč enotah) 2012 (%) Android 758.719,9 78.4 451.621,0 66.4 iOS 150.785,9 15.6 130.133,2 19.1 Microsoft 30.842,9 3.2 16.940,7 2.5 Blackberry 18.605,9 1.9 34.210,3 5.0 Drugi OS 8.821,2 0.9 47.203,0 6.9 967.775,8 100 680.108,2 100 Skupaj Vir: Gartner (2014) S pregledom statističnih podatkov dela policije je razvidno, da je bilo z namenom iskanja in dokumentiranja sledov kaznivih dejanj glede na enako obdobje lani opravljenih 4,2 % več forenzičnih zavarovanj in preiskav zaseţenih elektronskih naprav (MNZ, 2013). 1.1 Opredelitev problema Vsebina pametnega telefona je dragocen hranilnik različnih podatkov o uporabniku. Poleg informacij o zadnjih klicih, poslanih kratkih sporočilih in slik se v pomnilniku telefona nahaja še veliko drugih podatkov, ki se v njem shranjujejo brez vednosti lastnika. Pametni telefoni z 1 vgrajenim GPS1 sprejemnikom shranjujejo podatke o lokaciji uporabnika in času, tovrstni podatki se shranjujejo tudi v metapodatkih posnetih fotografij. Pri preiskavah kaznivih dejanj je pridobivanje elektronskih dokazov o osumljencu s forenziko mobilne naprave urejeno z Zakonom o kazenskem postopku (ZKP), ki je bil v ta namen dopolnjen z novelo ZKP-J. Delo na tem področju je zelo dinamično, saj se tehnologija neprestano spreminja, storilci pa uporabljajo tudi različne protiforenzične metode in s tem oteţujejo, oziroma celo onemogočijo preiskavo naprave. Forenzika elektronskih naprav je področje, na katerem je razvoj izredno hiter. Področje digitalne forenzike pokriva tako področje notranjih preiskav incidentov v podjetjih, preiskav elektronskih naprav za potrebe pridobivanja elektronskih dokazov v pravdnih in kazenskih postopkih in področje, ki se nanaša na drţavno varnost. Forenzika mobilnih naprav je ena najhitreje rastočih in razvijajočih se elektronskih forenzik, ponuja veliko priloţnosti, predstavlja pa tudi veliko izzivov. Medtem ko je zanimivejši del forenzike elektronskih naprav z operacijskim sistemom Android pridobivanje in analiza podatkov iz elektronske naprave, je pri tem pomembno, da imamo širše razumevanje platforme in seveda tudi orodij, ki jih uporabljamo med preiskavo. Temeljito poznavanje bo pomagalo forenzičnemu preiskovalcu oziroma varnostnemu inţenirju na poti skozi uspešno preiskavo in analizo elektronske naprave (Hoog, 2011). Cilj katere koli forenzične preiskave je poiskati dejstva in z njihovo pomočjo priti do slike dogodka oz. dogajanja. Preiskovalec razkriva sliko z odkrivanjem in izpostavljanjem dejstev, ki so skrita v sistemu. Preiskovalec je pri tem podoben arheologu pri odkrivanju zgodovinskih dejstev. Ravnanje posameznika pušča sledi v sistemu. Bolj zapletene operacije imajo spremembe vpisane na več mestih in jih je seveda laţje odkriti (Cory, 2011). 1 Global positioning system-sistem globalnega pozicioniranja je satelitski navigacijski sistem, ki omogoča določitev točnega poloţaja in časa kjerkoli na Zemlji, upravlja ga obrambno ministrstvo ZDA (GPS, 2014). 2 1.2 Namen in cilji V magistrski nalogi se bomo v prvem delu osredotočili na pravni vidik pridobivanja elektronskih dokazov, ki je najpogostejši vzrok preiskave. Pri forenzični preiskavi je potrebno dosledno upoštevati veljavno zakonodajo v drţavi, kjer se preiskava opravlja, v nasprotnem primeru so pridobljeni elektronski dokazi neveljavni. Po temeljitem vpogledu v zakonodajni okvir ţelimo v prvem delu magistrskega dela opisati metodologijo uspešne pridobitve elektronskega dokaza ob upoštevanju smernic, ki jih narekuje stroka. V drugem delu bomo podrobno predstavili operacijski sistem Android in navedli lokacije podatkov o uporabniku. Tovrstni podatki se shranjujejo na različne lokacije in tudi po izbrisu ostanejo še vedno prisotni na nosilcu podatkov. Dobro poznavanje operacijskega sistema je pomembno zaradi kasnejše primerjave učinkovitosti orodij za forenzične preiskave, oziroma z njihovo pomočjo pridobljenih podatkov. V zadnjem delu bomo naredili primerjavo učinkovitosti orodij za forenzične preiskave in podali kritičen pregled uporabljene programske opreme. Različna namenska programska oprema omogoča dostop do istih podatkov, vendar je za dostop do vseh podatkov, ki so zanimivi za forenzično analizo, potrebno uporabiti več orodij. Razlika je še v kompleksnosti programske opreme in s tem povezane zamudnosti postopka, predstavitvi najdenih podatkov in njihove količine. Forenzično preiskavo bomo izvedli na mobilnem telefonu z operacijskim sistemom Android, v katerega bomo predhodno vnesli testne podatke. Primerjali bomo programsko opremo Open source android forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit Forensics, Oxygen Forensics in Micro systemation XRY Logical. Na spletu je prosto dostopnih več odprtokodnih in plačljivih programskih orodij za forenzično preiskavo mobilnih telefonov. V magistrskem delu ţelimo ugotoviti prednosti in pomanjkljivosti posamezne programske opreme, bistvene prednosti komercialnih programskih rešitev v primerjavi z odprtokodnimi ter skladnost pridobljenih podatkov z vnesenimi testnimi podatki. Za izhodišče bomo vzeli vse vnesene testne podatke. Prvi cilj je opisati metodologijo uspešne pridobitve elektronskega dokaza ob upoštevanju smernic, ki jih narekuje stroka. Drugi cilj je poiskati in opisati mesta hranjenja podatkov o uporabnikih na mobilnih napravah z operacijskim sistemom Android. 3 Tretji cilj je izdelati primerjavo učinkovitosti orodij za forenzične preiskave in podati kritičen pregled uporabljene programske opreme. 1.3 Raziskovalna vprašanja 1. Ali je z vsakim od izbranih programskih paketov mogoč dostop do vseh, za forenzično preiskavo relevantnih podatkov? 2. Ali je odprtokodna namenska programska oprema za forenzično preiskovanje zahtevnejša za uporabo od komercialne, je potrebno večje poznavanje operacijskega sistema Linux? 3. Ali lahko z namensko programsko opremo pridobimo nespremenjeno vsebino in podatek o času nastanka vnesenih testnih podatkov? 1.4 Metodologija V magistrski nalogi bomo uporabili primerjalno metodo merjenja učinkovitosti dostopa do vnesenih testnih podatkov, s pomočjo namenskih programov za forenzično preiskavo mobilnih telefonov. Za izhodišče bomo vzeli vse vnesene testne podatke. Različna namenska programska oprema omogoča dostop do istih podatkov, vendar je za dostop do vseh podatkov, ki so zanimivi za forenzično analizo, potrebno uporabiti več orodij. Kot navaja Digital investigation (nadalje DI), je dostop do podatkov v mobilnem telefonu (v članku je opisan dostop do podatkov na platformi Windows mobile) mogoč na več načinov. V članku je primerjanih več različnih načinov in tehnik za dostop do podatkov v mobilni napravi (Grispos George in drugi, 2011). Pred tem bomo pridobili programsko opremo Open source android forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit Forensics, Oxygen Forensics in Micro systemation XRY Logical tako odprtokodne kot komercialne programske opreme. V lastno mobilno napravo vnesene testne podatke bomo z namensko programsko opremo Open source android forensics (OSAF), Santoku linux, Viaforensics Viaextract, Mobiledit Forensics, Oxygen Forensics in Micro systemation XRY Logical skušali pridobiti oz. poiskati. Še posebej nas zanima količina pridobljenih testnih podatkov z uporabo komercialne in odprtokodne programske opreme. 4 Za izdelavo kritičnega pregleda uporabljene programske opreme bomo pri analizi vsake moţnosti navedli njene osnovne značilnosti in namen, njene zmoţnosti, omejitve in pribliţno oceno potrebnega časa za pridobitev testnih podatkov. Rezultate, pridobljene s pomočjo namenske programske opreme, bomo med seboj primerjali in izpostavili prednosti in slabosti posameznih programskih produktov. 2. ELEKTRONSKI DOKAZ Danes je praktično na vseh področjih ţivljenja prisotna informacijska tehnologija. Uporabniki smo zaradi hitrega tempa ţivljenja praktično povsod vse bolj prisiljeni uporabljati sodobno tehnologijo. Tovrstne aktivnosti pa puščajo različne elektronske sledi, ki se jih pod določenimi pogojih sme in mora poiskati. Z različnimi načini preiskave se za namene preiskovanja kaznivega dejanja in dokazovanja osumljenčevega početja pridobiva elektronske dokaze. Ravno tako kot klasični, fizični dokazi, morajo biti tudi elektronski dokazi pridobljeni v skladu s smernicami stroke in ob doslednem spoštovanju zakonodaje, sicer so neveljavni, neuporabni in se jih ne more upoštevati. Definicijo elektronskega dokaza različni avtorji podajajo različno. Pojma digitalni dokaz in elektronski dokaz sta sopomenki. Stephen Mason opredeljuje elektronski dokaz kot proizvod analogne naprave ali podatek v digitalni obliki, ki je ustvarjen, shranjen ali povezan s kakršnokoli napravo, računalnikom ali računalniškim sistemom ali ki se prenaša preko komunikacijskega sistema in je relevanten za proces razsojanja (Mason, 2007). Kot navaja Selinšek (2009), bo po napovedih tuje teorije digitalna forenzika v prihodnosti še močnejše orodje v rokah organov odkrivanja, pregona in sojenja kot analiza DNA. Pojem dokaz opredeljuje: “Dokaz je vir spoznanja o kakem pomembnem dejstvu oziroma sinonim za logično in izkustveno sprejemljivo trditev o obstoju kakega pravno pomembnega dejstva.” Elektronski dokaz ni neka nova vrsta dokaza, ni potrebno novo znanje o dokaznem pravu, so pa potrebna znanja o značilnostih in naravi nove vrste dokaza, predvsem splošno znanje o digitalni forenziki in elektronskih dokazih (Selinšek, Liljana). 5 2.1 Pridobivanje elektronskih dokazov Področje računalniške forenzike spada med bolj dinamična področja znanosti. Na trţišče prihajajo vedno novejši operacijski sistemi in na njih delujoča programska oprema, ki vsaka na svoj način shranjuje podatke o dejavnostih uporabnika. Neprestano se razvija tudi namenska programska oprema, ki omogoča preiskovalcem dostop do shranjenih elektronskih dokazov. Pri izvajanju računalniške forenzike ne zadostuje le primerna strojna in programska oprema. Potrebno je dosledno upoštevati načela računalniške forenzike, v nasprotnem primeru so pridobljeni elektronski dokazi neveljavni, neuporabni in se jih ne more upoštevati: Revizijska sled Vse dejavnosti na preučevani napravi, nosilcu podatkov, sliki morajo biti dosledno dokumentirane, shranjene in dostopne. V kolikor ţeli tretja stranka do njih dostopati, preiskavo ponoviti, mora priti do enakih rezultatov. Preiskovalec vodi dnevnik dela, kjer podrobno beleţi izvajanje aktivnosti na preiskovanih podatkih oziroma napravi, postopek mora biti jasno opisan. Integriteta Preiskave se ne sme opravljati na način, da bi lahko prišlo do spremembe originalnega izvora podatkov, vedno se preiskuje kopija originala. Ob zavarovanju podatkov se naredi popolna kopija izvornega nosilca podatkov v več izvodih. Po zajemu se izračuna kontrolna zgoščena vrednost na nosilcu in kopiji in s tem zagotovi, da so zavarovani podatki nespremenjeni. Znanje preiskovalca Preiskovalec mora biti primerno usposobljen, v primeru nestrokovne oprave preiskave lahko pride do netočnih ugotovitev, kar elektronske dokaze spremeni, poškoduje ali celo uniči. V določenih primerih je potrebno preiskovati podatke na izvirnem nosilcu, preiskovalec mora vedeti, kaj je s takšnim načinom preiskave spremenil in zakaj se je zanj odločil. Skrbniška veriga Med potekom preiskave je posameznik, ki izvaja preiskavo, odgovoren za vse aktivnosti v zvezi z elektronskimi dokazi, ki morajo biti primerno zaščiteni. Vsaka oseba, ki pride v stik z zaseţenim nosilcem oziroma podatki, mora biti dokumentirana, pooblaščena in usposobljena za delo na preiskovani napravi, nepooblaščenim osebam je potrebno onemogočiti dostop. Zakonodaja Pri izvajanju forenzičnih preiskav in iskanju digitalnih dokazov je potrebno upoštevati splošna forenzična načela in zakonska določila za zavarovanje dokazov (Kovačič in drugi, 2010). 6 2.2 Pravni vidik pridobitve elektronskega dokaza Področje preiskave elektronskih naprav ureja Zakon o kazenskem postopku (nadalje ZKP), ki je bil v ta namen dopolnjen z novelo ZKP-J, objavljena je bila v Uradnem listu 30. septembra 2009 in prešla v veljavo v mesecu oktobru 2009. V noveli je bistveno bolj razdelano področje preiskave elektronskih naprav z razširitvijo dosedanjega 219. člena ZKP. 219. člen ZKP: Če je bila preiskava opravljena brez pisne odredbe sodišča (prvi odstavek 215. člena) ali brez oseb, ki morajo biti navzoče pri preiskavi (prvi in tretji odstavek 216. člena), ali če je bila preiskava opravljena v nasprotju z določbami prvega, tretjega in četrtega odstavka prejšnjega člena, ne sme sodišče opreti svoje odločbe na tako pridobljene dokaze (Uradni list RS, 2007). Tovrstna ureditev je bila nezadostna, področje pridobitve elektronskih dokazov se je močno razširilo, potreba po podrobnejši ureditvi je postala vse večja. Do sprejetja novele je za pridobivanje elektronskih dokazov veljala enaka zakonodaja kot za pridobitev klasičnih dokazov. V praksi se je skušalo smiselno uporabljati določila zakona, ki so veljala za ostale dokaze. V noveli je bil sprejet 219. a člen, ki podrobno ureja področje preiskave in pridobitve elektronskih dokazov. 2.2.1 Predlog in odredba o preiskavi elektronske naprave (3) Predlog in odredba o preiskavi elektronske naprave morata vsebovati: – podatke, ki omogočajo identifikacijo elektronske naprave, ki se bo preiskala; – utemeljitev razlogov za preiskavo; – opredelitev vsebine podatkov, ki se iščejo; – druge pomembne okoliščine, ki narekujejo uporabo tega preiskovalnega dejanja in določajo način njegove izvršitve. (4) Če se preiskava elektronske naprave odredi v odredbi za hišno ali osebno preiskavo, za izdajo tega dela odredbe in njeno izvršitev veljajo pogoji in postopki iz tega člena. V tem primeru tudi predlog za hišno ali osebno preiskavo poda državni tožilec (Uradni list RS, 2012). 7 V tretjem odstavku so navedeni bistveni elementi predloga in odredbe o preiskavi elektronske naprave. Enoznačni podatki, ki omogočajo identifikacijo elektronske naprave, morajo biti pridobljeni pred izdajo odredbe. Pomeni, da je potrebno v primeru preiskave mobilnega telefona pridobiti IMEI2 številko. IMEI enoznačno identificira posamezno mobilno napravo, je unikatna za vsak mobilni telefon in omogoča kontrolo dostopa do GSM omreţja (GSMA, 2011). Identifikacija mobilne naprave je mogoča tudi z uporabo IMSI3 številke. IMSI je shranjena v SIM4 kartici, ki jo uporabnik prejme ob sklenitvi naročniškega razmerja z operaterjem, ponudnikom GSM-storitev (Crowe, 2001). V odredbi o preiskavi je navedena utemeljitev razlogov za preiskavo in opredelitev vsebine podatkov, ki se iščejo. Preiskovalec mora pri svojem delu dosledno upoštevati odredbo sodišča in iskati podatke, ki so navedeni v odredbi. V kolikor se v postopku pojavijo nova dejstva in s tem povezane zahteve po preiskavi, je potrebno pridobiti novo razširjeno odredbo. 2.2.2 Zaseg predmetov Zaseg predmetov v kazenskem postopku je opredeljen v 220. členu ZKP. Člen določa pogoje, pod katerimi se lahko zaseţe katerekoli predmete, ki bi lahko pomagali pri preiskavi kaznivega dejanja. (1) Predmeti, ki se morajo po kazenskem zakonu vzeti ali ki utegnejo biti dokazilo v kazenskem postopku, se zasežejo in izročijo v hrambo sodišču ali pa se kako drugače zavaruje njihova hramba. 2 International mobile station equipment identity je identifikacijska številka mobilnega aparata, sestavljena iz petnajstih do sedemnajstih številk. Običajno jo najdemo natisnjeno za baterijo v mobilni napravi (IMEI TOOLS, 2014). 3 International mobile subscriber identity je identifikacijska številka, dodeljena s strani mobilnega operaterja, ki omogoča identifikacijo posamezne mobilne naprave (Gartner, 2014a). 4 Subscriber identity module je pametna kartica s pomnilniškim čipom, omogoča povezavo mobilne naprave z mobilnim omreţjem, med drugim je v njej shranjena tudi IMSI številka (Gartner, 2014b). 8 (2) Kdor ima take predmete, jih mora na zahtevo sodišča izročiti. Če noče izročiti predmetov, se sme kaznovati z denarno kaznijo, določeno v prvem odstavku 78. člena tega zakona, če tega še vedno noče storiti, pa se sme zapreti. Zapor traja do izročitve predmetov ali do konca kazenskega postopka, vendar največ mesec dni. (3) O pritožbi zoper sklep, s katerim je bila izrečena denarna kazen ali odrejen zapor, odloča senat (šesti odstavek 25. člena). Pritožba zoper sklep o zaporu ne zadrži njegove izvršitve. (4) Policisti smejo zaseči predmete, omenjene v prvem odstavku tega člena, kadar postopajo po 148. in 164. členu tega zakona ali kadar izvršujejo nalog sodišča (Uradni list RS, 2007). V 148. členu ZKP, v zvezi s petim odstavkom 220. člena ZKP je navedeno, da v primeru podanih razlogov za sum storjenega kaznivega dejanja mora policija ukreniti vse, kar je potrebno, da se zavarujejo sledovi kaznivega dejanja in predmeti, ki utegnejo biti dokaz. V 164. členu ZKP, v zvezi s petim odstavkom 220. člena ZKP je navedeno, da sme policija zaseči predmete še pred začetkom preiskave, v kolikor bi bilo nevarno odlašati. O izvršenih dejanjih mora policija oziroma preiskovalni sodnik brez odlašanja obvestiti drţavnega toţilca. (5) Pri zasegu predmetov se navede, kje so bili najdeni, in predmeti opišejo, po potrebi pa se tudi na drug način zavaruje ugotovitev njihove istovetnosti. Za zasežene predmete se izda zapisnik (Uradni list RS, 2007). V zapisniku o zaseţenem predmetu je potrebno podrobno opisati zaseţene predmete. V primeru zaseţene elektronske naprave je običajno naprava označena z enoznačno identifikacijsko številko, mobilna naprava tudi z IMEI številko. V kolikor je mogoče, se zaseţene predmete fotografira, opiše stanje in morebitne poškodbe. Zapisnik o zasegu se izda tistemu, pri katerem se opravi preiskava. 2.2.3 Zaseg elektronske naprave in zavarovanje podatkov (1) Če se zaseže elektronska naprava (prvi odstavek 219. a člena) zaradi oprave preiskave, se podatki v elektronski obliki zavarujejo tako, da se shranijo na drug ustrezen nosilec podatkov na način, da se ohrani istovetnost in integriteta podatkov ter možnost njihove uporabe v nadaljnjem postopku ali se izdela istovetna kopija 9 celotnega nosilca podatkov, pri čemer se zagotovi integriteta kopije teh podatkov. Če to ni mogoče, se elektronska naprava zapečati, če je mogoče, pa samo tisti del elektronske naprave, ki naj bi vseboval iskane podatke (Uradni list RS, 2012). V 223. a členu je z novelo ZKP-J podrobno urejeno ravnanje z zaseţenimi elektronskimi napravami. Posebnost elektronskih naprav v primerjavi z drugimi zaseţenimi predmeti je v tem, da se zaseg opravi z namenom pridobiti podatke, ki se nahajajo na napravi. Elektronsko napravo se po opravljenem zavarovanju podatkov vrne lastniku. Posebnega pomena je zagotoviti istovetnost in integriteto podatkov. Navedeno se zagotovi z uporabo izračuna kontrolne vrednosti. Imetnika naprave oziroma njegovega zastopnika se povabi k navzočnosti pri izdelavi kopije podatkov, v kolikor se ga ne udeleţi, se ga opravi brez njegove prisotnosti. Zakon predpisuje ustrezno usposobljeno osebo za izvedbo zavarovanja podatkov na zaseţeni napravi. (3) Imetnik, uporabnik, upravljavec ali skrbnik elektronske naprave oziroma tisti, ki ima do nje dostop, mora na zahtevo organa, ki jo je zasegel, takoj ukreniti, kar je potrebno in je v njegovi moči, da se onemogoči uničenje, spreminjanje ali prikrivanje podatkov. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca, obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen) (Uradni list RS, 2012). V tretjem odstavku je urejeno predvsem področje dostopa do podatkov na napravah, kjer je uporabljena določena protiforenzična metoda. V kolikor ne omogoči dostopa do podatkov, se ga lahko kaznuje tudi s kaznijo zapora, vendar največ mesec dni. (5) Pri zavarovanju podatkov se v zapisnik zapiše tudi kontrolna vrednost, oziroma se na drug ustrezen način v zapisniku zagotovi možnost naknadnega preverjanja istovetnosti in integritete zavarovanih podatkov. Izvod zapisnika se izroči osebi iz prejšnjega odstavka, ki je bila navzoča pri zavarovanju podatkov (Uradni list RS, 2012). Na kopiji podatkov zaseţene naprave se naredi izračun kontrolne zgoščene vrednosti. Rezultat izračuna kontrolne zgoščene vrednosti je praktično prstni odtis datoteke zajetih podatkov. Kontrolno zgoščeno vrednost se vpiše v zapisnik, s tem se zagotovi kasnejše ponovno 10 preverjanje oziroma forenziko podatkov morebitni tretji osebi, zagotovi se ponovljivost postopka. (6) Zaseg in zavarovanje podatkov morata biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter se ne povzroča nesorazmerna škoda zaradi nezmožnosti uporabe elektronske naprave (Uradni list RS, 2012). V primeru vdora v informacijski sistem v podjetju se zavaruje podatke na napadenih napravah. Pri tem seveda pride do dodatnega oviranja dela in s tem posredno povečanja škode, povzročene ţe s samim napadom. Zavarovanje je potrebno izvesti na način, ki v najmanjši moţni meri ovira uporabnike napadene opreme. (7) Kopije zaseženih podatkov se hranijo, dokler je to potrebno za postopek. Elektronska naprava se hrani, dokler podatki niso shranjeni na način, ki zagotovi istovetnost in integriteto zaseženih podatkov, vendar ne več kakor tri mesece od dneva pridobitve. Če izdelava takšne kopije podatkov ni mogoča, se elektronska naprava ali del elektronske naprave, ki vsebuje iskane podatke, hrani, dokler je to potrebno za postopek, vendar ne več kakor šest mesecev od dneva pridobitve, razen če je bila zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja, oziroma je sama elektronska naprava dokaz v kazenskem postopku (Uradni list RS, 2012). V sedmem odstavku je določen čas, v katerem je potrebno opraviti zavarovanje podatkov na zaseţeni napravi in jo vrniti lastniku. Kljub določenim rokom za izvedbo zavarovanja podatkov na zaseţeni napravi se iz različnih razlogov (velika količina podatkov, pomanjkanje strokovnjakov) sama preiskava lahko zavleče tudi do enega leta in pol (Lovšin, 2013). 2.2.4 Preiskava elektronskih naprav (1) Preiskava elektronskih in z njo povezanih naprav ter nosilcev elektronskih podatkov (elektronska naprava), kot so telefon, telefaks, računalnik, disketa, optični mediji in spominske kartice, se zaradi pridobitve podatkov v elektronski obliki lahko opravi, če so podani utemeljeni razlogi za sum, da je bilo storjeno kaznivo dejanje in je podana verjetnost, da elektronska naprava vsebuje elektronske podatke: 11 – na podlagi katerih je mogoče osumljenca ali obdolženca identificirati, odkriti ali prijeti ali odkriti sledove kaznivega dejanja, ki so pomembni za kazenski postopek, ali – ki jih je mogoče uporabiti kot dokaz v kazenskem postopku (Uradni list RS, 2012). Prvi odstavek 219. a člena ZKP točno opredeljuje definicijo elektronske naprave in določa pogoje, na podlagi katerih se opravi preiskava elektronske naprave. Elektronska naprava je definirana kot nosilec elektronskih podatkov, dokazna vrednost se tako seli s fizičnega predmeta na vsebovane podatke. Cilj preiskave je pridobitev podatkov v elektronski obliki, ki so pomembni za kazenski postopek ali jih je mogoče uporabiti kot dokaz. (2) Preiskava se opravi na podlagi vnaprejšnje pisne privolitve imetnika ter policiji znanih in dosegljivih uporabnikov elektronske naprave, ki na njej utemeljeno pričakujejo zasebnost (uporabnik), ali na podlagi obrazložene pisne odredbe sodišča, izdane na predlog državnega tožilca. Če se preiskava opravi na podlagi odredbe sodišča, se izvod te odredbe pred začetkom preiskave izroči imetniku oziroma uporabniku elektronske naprave, ki naj se preišče (Uradni list RS, 2012). Pisna privolitev imetnika ter ostalih policiji znanih in dosegljivih uporabnikov elektronske naprave se pričakuje v primeru preiskave ţrtvine elektronske naprave. Pomembno je, da se varuje zasebnost vseh znanih in dosegljivih uporabnikov. Pri preiskavi elektronske naprave storilca oziroma osumljenca kaznivega dejanja se upravičeno pričakuje odklonitev pisne privolitve. Na predlog drţavnega toţilca sodišče izda obrazloţeno pisno odredbo, ki predstavlja podlago za preiskavo, pred začetkom preiskave se jo izroči imetniku elektronske naprave. (6) Imetnik oziroma uporabnik elektronske naprave mora omogočiti dostop do naprave, predložiti šifrirne ključe oziroma šifrirna gesla in pojasnila o uporabi naprave, ki so potrebna, da se doseže namen preiskave. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca ali obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen) (Uradni list RS, 2012). Posameznik, ki noče predloţiti šifrirnih ključev in pojasnil o uporabi naprave, s katerimi se doseţe namen preiskave, lahko sodišče kaznuje z denarno kaznijo. V kolikor še vedno ne 12 sodeluje, pa tudi s kaznijo zapora, ki ne sme trajati več kot mesec dni. Moţnost kaznovanja ne velja za osumljence in obdolţence, ki ne smejo biti zaslišane kot priče ali pa so se zaradi spoštovanja ustavnega privilegija zoper samoobtoţbo odrekle pričanju. Kot pojasnjuje Kovačič, bodo v primeru, ko posameznik uporablja tehniko verodostojnega zanikanja, zakonske določbe o obveznosti razkritja šifrirnih ključev neuporabne. Na spletu je prosto dostopnih več brezplačnih programov, ki omogočajo šifriranje podatkov na različnih podatkovnih nosilcih. Podatki na šifriranih nosilcih so za preiskovalce praktično nedostopni, dostop do njih je mogoč samo z vnosom gesla, kar vsekakor oteţuje tovrstne preiskave. Z uporabo določenih šifrirnih tehnik je namreč mogoče znotraj posameznega šifrirnega kontejnerja skriti dodaten šifrirni kontejner. Uporabnik nato z vnosom določenega gesla dostopa do osnovnega kontejnerja, z vnosom drugega gesla pa omogoči dostop do drugih podatkov, shranjenih v dodatnem šifrirnem kontejnerju. Posameznik, ki bo prisiljen razkriti šifrirne ključe, bo v primeru verodostojnega zanikanja razkril oziroma omogočil dostop samo do zanj razbremenilnih podatkov. Sistem šifrirnih kontejnerjev je zasnovan na način, da v posameznem ni mogoče ugotoviti morebitnih skritih šifrirnih kontejnerjev (Kovačič in drugi, 2010). (7) Preiskava se opravi tako, da se ohrani integriteta izvirnih podatkov in možnost njihove uporabe v nadaljnjem postopku. Preiskava mora biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda (Uradni list RS, 2012). Eno izmed temeljnih načel forenzike pravi, da se preiskave ne sme opravljati na način, da bi lahko prišlo do spremembe originalnega izvora podatkov, vedno se preiskuje kopija originala. V osmem odstavku sta določena način in vsebina zapisnika o preiskavi elektronske naprave. Zapisnik vodi strokovno usposobljena oseba vzporedno s preiskavo, v njem so navedeni: identifikacija elektronske naprave, ki je bila pregledana; datum ter ura začetka in konca preiskave oziroma ločeno za več preiskav, če preiskava ni bila opravljena v enem delu; morebitne sodelujoče in navzoče osebe pri preiskavi; številka odredbe in sodišče, ki jo je izdalo; način izvedbe preiskave; 13 ugotovitve preiskave in druge pomembne okoliščine. (9) Če se pri preiskavi najdejo podatki, ki niso v zvezi s kaznivim dejanjem, zaradi katerega je bila preiskava odrejena, temveč kažejo na drugo kaznivo dejanje, za katero se storilec preganja po uradni dolžnosti, se zasežejo tudi ti. To se navede v zapisnik in takoj sporoči državnemu tožilcu, da začne kazenski pregon. Ti podatki pa se takoj uničijo, če državni tožilec spozna, da ni razloga za kazenski pregon in tudi ne kakšnega drugega zakonskega razloga, da bi se morali podatki vzeti. O uničenju se sestavi zapisnik. (11) Če je bila preiskava elektronske naprave opravljena brez odredbe sodišča ali v nasprotju z njo ali brez pisne privolitve iz drugega odstavka tega člena, sodišče svoje odločbe ne sme opreti na zapisnik o preiskavi in na tako pridobljene podatke (Uradni list RS, 2012). V devetem in enajstem odstavku 219. a člena novele ZKP-J je navedeno, da je v primeru naključnega odkritja podatkov, ki kaţejo na drugo kaznivo dejanje, potrebno obvestiti drţavnega toţilca in pridobiti novo odredbo za preiskavo. Dokazi, pridobljeni z napačno odredbo, brez pisne privolitve imetnika oziroma odredbe sodišča, niso pravno veljavni in se jih na sodišču ne upošteva. 2.3 Elektronska forenzična preiskava Forenzična preiskava elektronskih naprav je novejše področje, njegovi začetki sovpadajo s pojavom elektronskih naprav. Zajema preiskave elektronskih naprav in obravnavanje incidentov na omreţjih. Razlog za pričetek forenzične preiskave je lahko storjeno kaznivo dejanje, posledično se skuša pridobiti dokaze na elektronskih napravah osumljenca. Razlog forenzične preiskave omreţja je neobičajno delovanja omreţja oziroma naprav, priključenih na omreţje. Podatki, pridobljeni med forenzično preiskavo, pomagajo preiskovalcem pri rekonstrukciji okoliščin in skrbnikom omreţij omogočajo uvesti potrebne ukrepe za preprečitev podobnih incidentov v prihodnje. Potek preiskave se močno razlikuje in je odvisen od več dejavnikov: lokacije, razseţnosti incidenta, notranjih politik v podjetjih, naprave. Kljub temu je National institute of standards and tehnology (nadalje NIST) razdelil forenzično preiskavo v štiri glavne faze: 14 zbiranje podatkov, preiskava podatkov, analiza podatkov, izdelava poročila. Zbiranje podatkov je postopek fizičnega pridobivanja podatkov iz različnih pomnilniških medijev (trdi disk, spominska kartica, drugi pomnilniki). Preiskava podatkov pridobljenih z zbiranjem, je postopek, v katerem se pregleda pridobljene podatke in se jih pretvori v razumljivo obliko za preiskovalca Analiza podatkov je postopek, v katerem iz mnoţice podatkov izluščimo ţelene oziroma relevantne v preiskavi. Izdelava poročila je postopek, v katerem je zabeleţen celoten postopek pridobitve informacije iz podatka (Chevalier in drugi, 2006). 2.4 Forenzika mobilnega telefona Forenzika mobilnega telefona zajema več zaporednih faz: prevzem, identifikacijo, pripravo, izolacijo, preiskavo, preverjanje, izdelavo poročila, predstavitev in arhiviranje. 2.4.1 Prevzem mobilnega telefona Pri prevzemu mobilnega telefona se je potrebno posvetiti izpolnitvi razlogov za preiskavo. Preveri se skladnost odredbe za preiskavo s prevzeto napravo, izpolni prevzemni obrazec, vnese podatke o uporabniku mobilnega telefona, določi skrbniško verigo ter seveda preveri, katere podatke se na zaseţeni napravi išče. 2.4.2 Identifikacija Za vsako preiskavo mora preiskovalec identificirati naslednje: Zakonska podlaga za opravo preiskave mobilne naprave – V tej fazi se je potrebno osredotočiti na pričakovane cilje preiskave in preverjanje pravne podlage zanjo. Pomembno je določiti, katera zakonska pooblastila obstajajo za opravo preiskave. 15 Cilji preiskave – Zmoţnosti forenzičnega preiskovalca in njegove strojne opreme so omejene. Glede na veliko število mobilnih naprav na trgu, je nemogoče pričakovati, da bo imel vsak laboratorij za forenzične preiskave elektronskih naprav moţnost preiskave vsake naprave. Zato je potrebno glede na prevzeto napravo določiti meje preiskave. Določi se, kdo je odgovoren za dokumentiranje podatkov in kako poglobljena bo preiskava. V določenih primerih je dovolj, da se naredi preiskava z namenskimi programi za forenzične preiskave. V kolikor je potrebno dostopati tudi do izbrisanih podatkov, pa lahko postane preiskava časovno in tehnično zahtevnejša. Preverjanje proizvajalca in modela mobilnega telefona – Pomembno je ţe iz razloga preverjanja moţnosti preiskave telefona s programsko opremo, ki jo imamo na voljo. V specifikacijah programske opreme je navedeno, katere mobilne telefone je mogoče preiskovati. Preveri se IMEI in IMSI številke ter se jih primerno dokumentira. Zunanji, odstranljiv pomnilnik – Določeni modeli mobilnih telefonov omogočajo uporabo zunanjega medija za hranjenje podatkov. Največkrat je to TF-microSD kartica različnih kapacitet. V primeru, da mobilni telefon vsebuje takšen pomnilnik, ga je potrebno odstraniti iz naprave in uporabiti klasične forenzične metode preiskovanja. V kolikor se podatki na zunanjem pomnilniku preiskujejo z uporabo forenzičnih orodij za preiskavo mobilnih telefonov, lahko pride do spremembe časovne oznake shranjenih podatkov. Vse večje število mobilnih telefonov omogoča sinhronizacijo shranjenih podatkov s spletnim servisom ali uporabnikovim osebnim računalnikom. V kolikor je mogoče trditi, da so določeni podatki shranjeni na teh mestih, lahko pomenijo potencialni dodatni vir elektronskih dokazov, oziroma moţnost potrditve odkritih elektronskih dokazov. Moţnost zbiranja klasičnih forenzičnih dokazov – V kolikor se izkaţe za potrebno, se pred izvedbo forenzike mobilnega telefona opravi analizo DNA, oziroma se poišče in zbere morebitne prstne odtise, ki povezujejo mobilno napravo z uporabnikom. 2.4.3 Priprava na preiskavo V postopku identifikacije je preiskovalec ţe začel s pripravami na preiskavo mobilne naprave. Priprava na preiskavo pomeni pridobitev podatkov o potrebni programski opremi za opravljanje forenzične preiskave, kot tudi potrebne strojne opreme. Na trţišču ni programske 16 opreme, ki bi omogočala pridobitev vseh podatkov iz vseh mobilnih telefonov. Preiskava določenih mobilnih telefonov pa je mogoča samo z ročno ekstrakcijo ţelenih podatkov. 2.4.4 Izolacija naprave Mobilni telefoni so namenjeni komunikaciji, pri svojem delovanju se povezujejo v različna omreţja in omogočajo prenos zvoka in podatkov. Pred izvedbo preiskave, še bolje ob zasegu elektronske naprave, jo je potrebno izolirati, oziroma ji onemogočiti nadaljnjo povezovanje in komunikacijo. Povezana naprava namreč v pomnilnik še vedno zapisuje različne podatke, ki niso povezani z uporabnikom. Lastnik naprave lahko pošlje napravi tudi navodilo, da se izbrišejo vsi zasebni podatki in se napravo postavi v tovarniško stanje. Preiskovalec lahko pri preiskovanju nehote prekorači omejitve odredbe za preiskavo in dostopa do podatkov, ki so shranjeni na omreţju ali osebnem računalniku. Napravo se izolira z uporabo Faradayevih vrečk, oziroma elektronskih naprav, ki onemogočajo povezovanje. Preiskava se lahko izvaja v Faradayevi sobi, ki onemogoča povezovanje, oziroma se napravo postavi v Airplane5 mode in s tem onemogoči povezovanje na sami napravi. V kolikor vseeno pride do določenih novih dogodkov na napravi, jih preiskovalec zabeleţi in navede moţne razloge za njihov nastanek. 2.4.5 Preiskava telefona Mobilna naprava je brez dostopa do omreţja, orodja za opravljanje preiskave so znana. Zunanji mediji so odstranjeni in se jih preiskuje ločeno. V določenih primerih je zunanji pomnilnik teţje odstraniti, zaradi pomanjkljivega orodja ali v primeru zaklenjenih podatkov na mobilni telefon. Pri preiskavi zunanjega pomnilnika s programskimi orodji za preiskavo mobilnih telefonov je posebej pomembno dokumentirati čas oprave preiskave telefona in nameščenega zunanjega pomnilnika. Glede na cilje preiskave se izbere obseţnost preiskave. 5 Način delovanja Android mobilnega telefona v načinu brez povezave. 17 2.4.6 Preverjanje rezultatov Po preiskavi mobilnega telefona je potrebno preveriti skladnost dobljenih rezultatov. Potrditev rezultatov se lahko izvede na več načinov: Preverjanje dobljenih rezultatov z direktnim preverjanjem na mobilnem telefonu – pri tem skušamo z uporabo mobilnega telefona potrditi rezultate, do katerih smo prišli z uporabo preiskovalnih orodij in metod. Uporaba različnih orodij za enak namen – z uporabo različnih orodij skušamo potrditi dobljene rezultate. Uporaba zgoščevalne funkcije oziroma hash6 vrednosti – pred izvedbo preiskave se naredi zajem vseh podatkov na preiskovani napravi in izračuna hash vrednost. Po opravljeni preiskavi se ponovno naredi zajem vseh podatkov in izračun hash vrednosti. V kolikor so se podatki na mobilni napravi spremenili, bosta hash vrednosti različni. To pomeni, da smo med preiskovanjem spremenili podatke na preiskovani napravi. 2.4.7 Dokumentiranje in poročanje Skozi celoten postopek preiskave se vodi zapisnik o opravljenem delu in izvedenih postopkih preiskave. Preiskovalčevo poročilo mora vsebovati naslednje informacije: Naveden temelj za preiskavo (odredba ali pisna privolitev). Ime in priimek lastnika oziroma imetnika preiskovane naprave. Ime in priimek preiskovalca. Fizično stanje mobilnega telefona. Fotografije mobilnega telefona, posameznih komponent (SIM-kartice, odstranljivi spominski mediji) in identifikacijskih oznak. 6 Stanje mobilnega telefona ob prevzemu (priţgan, ugasnjen). Proizvajalec, model, identifikacijski podatki. Datum in čas opravljenega zavarovanja podatkov, navedba prisotnosti lastnika. Opredelitev vsebine podatkov, ki se iščejo. Datum in čas začetka preiskave. Algoritemska pretvorba poljubne vsebine v točno določeno številsko vrednost. RSA (2012) 18 Orodja, ki so bila uporabljena med preiskavo. Podroben opis dela preiskovalca. Podatki, ki so bili pridobljeni pri preiskavi. Način shranjevanja elektronskih dokazov. Posebnosti pri preiskavi. 2.4.8 Predstavitev rezultatov Pridobljene podatke in metode, s katerimi so bili pridobljeni, je potrebno na jasen in enostaven način predstaviti morebitnemu drugemu preiskovalcu, toţilcu ali sodniku. Preiskovalčevo poročilo mora biti podrobno opisano. Od izvedbe preiskave in predstavitve pridobljenih dokazov na sodišču lahko preteče daljše časovno obdobje. Preiskovalec bo v primeru pričanja o pridobljenih dokazih ugotovitve preiskave našel in zagovarjal na podlagi kvalitetno napisanega poročila. Rezultate preiskave je potrebno shraniti v elektronski obliki, ki omogoča uvoz v programe za urejanje. V primerih večje količine podatkov se pojavijo potrebe po sortiranju, glede na različne kriterije. Za potrebe predstavitve se lahko z namenskim programom pripravi tudi datoteko, ki vsebuje ključne izsledke preiskave. 2.4.9 Arhiviranje Glede na vse večje potrebe po preiskavah mobilnih telefonov se arhiviranje postopkov obrestuje pri kasnejših podobnih preiskavah. Vsaka preiskava se razlikuje v posameznih podrobnostih. V kolikor se iz kateregakoli razloga pojavi potreba po kasnejši ponovitvi preiskave, sta kvalitetno izdelana arhivska dokumentacija in spremljajoči zajeti podatki bistvenega pomena za zagotovitev integritete dobljenih rezultatov preiskave (Cindy, 2012). 2.5 Protiforenzične metode Namen uporabe protiforenzičnih metod je seveda oteţiti oziroma onemogočiti preiskovalcu dostop do podatkov na elektronski napravi. Protiforenzične metode je mogoče ločiti glede na način delovanja oziroma oteţevanja postopka preiskave. Zaradi samega postopka preiskave 19 elektronske naprave, ki poteka od zbiranja podatkov, njihove preiskave, analize in izdelave poročila, lahko tovrstno ravnanje ovira preiskovalca pri eni ali več stopnjah preiskave. 2.5.1 Skrivanje podatkov Steganografija Podatke se lahko zakamuflira, da jih preiskovalec ne vidi kot zanimive v preiskavi, kar se lahko naredi na več načinov. Slike, besedilo, tabele, se lahko npr. vstavi v PowerPoint 7 predstavitev. Preiskovalec, ki ima v nalogu o preiskavi navedeno iskanje slik, lahko spregleda datoteke s končnico .ppt ali .pptx, ki je privzeta za tovrstne datoteke. Podatke se lahko z namensko programsko opremo tudi vdela v nosilne datoteke, ki so lahko slike, videi ali izvršljive datoteke .exe (Kessler, 2007). Za operacijski sistem Android je na voljo brezplačna aplikacija Steganography Application, ki v poljubno sliko skrije besedilo. Do besedila lahko dostopamo s ponovno obdelavo slike v aplikaciji. Shranjevanje na mesta, nevidna logičnemu dostopu Izvedemo shranjevanje na mesta, ki so rezervirana za delovanje sistema, na njih se nahajajo podatki, namenjeni nalaganju operacijskega sistema in podobno. Na teh mestih se ne pričakuje shranjenih podatkov, logični dostop do pomnilniškega medija nam jih ne prikaţe (Kessler, 2007). Za operacijski sistem Android je na voljo brezplačna aplikacija HideItPro. Po namestitvi jo najdemo med aplikacijami z imenom 'Audio Manager'. Po zagonu vstopimo v skriti meni, kjer lahko naredimo posamezne mape in njihovo vsebino nevidno, oziroma jo še šifriramo z 256-bitnim AES algoritmom (HideItPro, 2014). Šifriranje Šifriranje je postopek, ki z uporabo različnih matematičnih metod spremeni podatke in jih s tem naredi neberljive, do njih lahko dostopamo samo z uporabo zaporedja številk in črk, katerega smo uporabili za šifriranje. Šifriranje se uporablja za povečanje varnosti na različnih nivojih, podatke lahko šifriramo na lokalnem računalniku, uporabljamo šifrirano povezavo za prenos podatkov prek spleta oziroma šifriramo podatke na mobilnem telefonu (SSD, 2014). 7 Program namenjen predstavitvam, del Microsoft Office paketa. 20 Dostop preiskovalca do podatkov na šifriranem mediju je praktično nemogoč. Preiskovalec lahko poskusi pridobiti dostop z avtomatskim programom, ki vnaša različna tipična gesla iz slovarja oziroma jih sam generira, vendar je takšen način časovno zahteven, uspešnega rezultata pa ni mogoče napovedati. Na mobilnem telefonu z operacijskim sistemom Android je mogoče šifrirati vse podatke na mobilni napravi od verzije 2.3.4 Gingerbread naprej (Android Encryption, 2014). Pri vsakem zagonu naprave je potrebno vpisati geslo, sestavljeno iz najmanj šestih znakov, med katerimi more biti vsaj ena številka, uporaba daljšega gesla zmanjša verjetnost preiskovalca za uspešen dostop do podatkov. Deleţ pametnih telefonov z vklopljenim šifriranjem se bo povečeval, veliko podjetij namreč zahteva uporabo šifriranega mobilnega telefona za dostop do pošte, stikov in koledarja preko Microsoft Exchange ActiveSync8. Shranjevanje podatkov v oblaku Značilnost pametnega telefona je njegova neprestana povezava z internetom, preko katere se sinhronizira poštni odjemalec, koledar, stiki, posodablja aplikacije in programsko opremo. Več ponudnikov shranjevanja podatkov v oblaku je razvilo aplikacije, namenjene uporabi v pametnih telefonih z operacijskim sistemom Android. Nekatere izmed njih so: Dropbox, Box, SugarSync, Google Drive, Ubuntu One Files. Tovrstni servisi predstavljajo preiskovalcem dodaten izziv, pri pridobivanju podatkov je potrebno upoštevati veljavno zakonodajo v drţavi, kjer so podatki shranjeni, preiskava poteka dlje časa. 2.5.2 Prepisovanje podatkov Večkratno brisanje podatkov Podatke, ki jih izbrišemo s podatkovnega nosilca, je praviloma mogoče obnoviti. Podatki se dejansko ne izbrišejo, temveč ostanejo še vedno zapisani na nosilcu, operacijski sistem dodeli prostor, kjer se nahajajo na voljo za nove podatke. V kolikor še niso bili prepisani z drugimi podatki, jih je še vedno mogoče obnoviti. Na spletu je mogoče dobiti več brezplačnih programov, ki prostor, kjer je izbrisan podatek zapisan večkrat, prepišejo z naključnim podatkovnim vzorcem in tako onemogočijo obnovitev (Kessler, 2007). Za operacijski sistem 8 Microsoft Exchange ActiveSync, aplikacija omogoča sinhronizacijo mobilne naprave s streţnikom. Namenjena je dostopu do pošte, koledarja, stikov, večinoma v korporativni rabi. 21 Android je v GooglePlay9 na voljo več brezplačnih aplikacij, ki uporabniku omogočajo enostavno prepisovanje ţelenih podatkov. Ponarejanje metapodatkov Operacijski sistemi beleţijo za vsako datoteko, kdaj in kdo je do nje zadnjič dostopal, urejal ali spreminjal. Komercialni forenzični programi imajo moţnost prikaza analiziranih podatkov v kronološkem zaporedju. Preiskovalec se lahko osredotoči na obdobje, ki je relevantno za pridobivanje elektronskega dokaza. S ponarejanjem časovne oznake se lahko elektronski dokaz prilagodi do mere, ko postane razbremenjujoč. 2.5.3 Fizično uničenje naprave S fizičnim uničenjem naprave je dostop do podatkov seveda oteţen, vendar je v določenih primerih še vedno mogoč. Pri preiskavi poškodovanega mobilnega telefona preiskovalec, odvisno od narave poškodbe, preveri moţnost dostopa do podatkov na več različnih načinov. V primeru uničenega zaslona se do podatkov dostopa z namensko programsko opremo, namenjeno preiskavam, v določenih primerih se zaslon zamenja (USB-razhroščevanje onemogočeno). Spominski modul lahko prestavimo v drugo enako napravo in nato na njej naredimo preiskavo. Pri odstranitvi spominskega modula s plošče tvegamo izgubo podatkov zaradi toplotnih obremenitev oziroma dodatne mehanske poškodbe. Zadnja in časovno najzahtevnejša moţnost je fizična odstranitev spominskega modula iz matične plošče in izvedba 'chip-off' forenzične preiskave, potrebna so namenska orodja in programska oprema (Forensics Focus, 2014). 9 GooglePlay je Googlova spletna trgovina, preko katere je mogoča namestitev različnih brezplačnih in komercialnih aplikacij, kupiti knjige in filme oziroma dostopati do različnih multimedijskih vsebin. 22 3. OPERACIJSKI SISTEM ANDROID Operacijski sistem Android je odprtokodni operacijski sistem, namensko razvit za mobilne naprave. Razvilo ga je podjetje Google, deluje na Linux jedru, vse aplikacije pa so napisane v programskem jeziku Java. Drugi največji trţni deleţ ima podjetje Apple in njihov operacijski sistem iOS. Podjetje Apple je 9. januarja 2007 predstavilo napravo za mobilno komunikacijo, imenovano 'iPhone'. Na napravi je nameščen operacijski sistem iOS, upravlja se jo z zaslonom, občutljivim na dotik. Z uporabo različnih načinov prenosa podatkov omogoča sinhronizacijo s PC ali MAC osebnim računalnikom. Aplikacije si uporabnik namešča z uporabo spletne trgovine 'AppStore' (Apple Press Info, 2007). Mobilne naprave z nameščenim Android OS omogočajo več nastavitev na napravi, v spletni trgovini je večja izbira aplikacij. Zaradi različnih konfiguracij strojne opreme je razvoj aplikacij zahtevnejši kot za iOS, na mobilnih napravah z Android OS je večja uporaba piratske programske opreme (Lurchenko, 2013). Windows Phone operacijski sistem razvija podjetje Microsoft. Podjetje je vstopilo na trg operacijskih sistemov za mobilne naprave leta 2000 z OS Windows Mobile. Leta 2010 je v ZDA izšla prva verzija Windows Phone 7, ki je delovala na mobilnih napravah proizvajalcev HTC, Dell, Samsung in LG (Ricker, 2010). Zadnja verzija OS Windows Phone 8.1 je izšla aprila 2014. Glavna novost je uvedba glasovnega pomočnika, imenovanega 'Cortana', podobno aplikacijo ima tudi iOS ,imenovano 'Siri', in Android, imenovano 'Google Now'. Vgrajeni brskalnik Internet Explorer 11 omogoča sinhronizacijo zaznamkov in prenosa zavihkov na vseh napravah, v katerih smo prijavljeni. OS temelji na namizni različici Windows 8.1, kar pomeni enako stopnjo zanesljivosti delovanja in varnosti (Windows Phone Central, 2014). 3.1 Razvoj Podjetje Android je bilo ustanovljeno leta 2003 v kraju Palo Alto, Kalifornija. Ţe v začetku je razvoj temeljil na programski opremi za mobilne telefone. V letu 2005 je Google kupil podjetje Android. Pojavile so se govorice, da namerava preiti na trg mobilne telefonije, vendar nihče ni vedel, kakšna bo njegova vloga. 23 Prvotni ustanovitelji Androida – Nick Sears, Chris White, Andy Rubin in Rich Miner – so dobili zaposlitev v Googlu, kamor so prenesli svoje znanje. Rubin je vodil ekipo pri ustvarjanju mobilne naprave na Linux jedru. Ekipa je promovirala operacijski sistem tako pri proizvajalcih mobilnih aparatov, kot tudi pri operaterjih. Glavno sporočilo promocije tem potencialnim strankam je bilo, da je operacijski sistem zelo proţen in prilagodljiv. V javnosti so se pojavila ugibanja, ali namerava Google razviti svoj mobilni telefon, vendar so bile njihove ambicije precej večje (Bloomberg Businessweek, 2005). Novembra 2007 je bilo pod okriljem Googla ustanovljeno Open Handset alliance (OHA) poslovno zdruţenje več uglednih podjetij (Google, HTC, Sony, Dell, Intel, Motorola, Qualcomm, Texas Instruments, Samsung electronics, LG electronics, T-mobile, Sprint Nextel, Nvidia in Wind River systems) (OHA, 2007). Andy Rubin je petega novembra na novinarski konferenci zavrnil vsa namigovanja o t.i. Gphone mobilnem telefonu. Android je bil predstavljen kot del strategije podjetja Google, kjerkoli so ţeleli svojim uporabnikom zagotavljati dostop do informacij. Android ne sme biti vezan na napravo, glede na mnoţice uporabnikov po vsem svetu mora biti neodvisen, kar je zagotovljeno z ustanovitvijo poslovnega zdruţenja OHA (Rubin, 2007). Motivacija podjetja Google za podporo in razvoj Androida OS je promocija lastnih produktov, s tem pridobiti odločilen deleţ na trgu in seveda pobrati oglaševalski denar. Primarno je podjetje Google medijsko podjetje in poslovni model temelji na prodaji oglaševanja. Prodaja nekaterih programov seveda prinaša določen prihodek, vendar je glavnina usmerjena na prihodek, ki ga prinašajo aplikacije z oglaševanjem (Gargenta, 2011). 3.2 Verzije Verzija 1.0 Prva verzija OS Androida je bila predstavljena septembra 2008, vendar ni bila uporabljena v nobeni izmed komercialno dostopnih naprav. Verzija 1.1 Oktobra 2008 je bila mogoča prva uporaba OS Androida na mobilni napravi T-mobile G1, proizvajalca HTC. 24 Verzija 1.5 Cupcake To je prva večja verzija, ki jo je prvič uporabilo več proizvajalcev mobilnih naprav. Prvič je bilo tudi uporabljeno razvojno ime Cupcake (kolač v kozarcu) ali muffin. Vse nadaljnje verzije so poimenovane po slaščicah. Bistvene prednosti v tej verziji so: podpora kameri za snemanje videov, moţnost enostavnega prenosa posnetih videov na spletni mesti Picasa in Youtube, izboljšava bluetooth modula, nekaj kozmetičnih popravkov in tipkovnica na zaslonu s predvidevanjem teksta. T-mobile G1 ima vgrajeno fizično tipkovnico. Verzija 1.6 Donut Verzija 1.6 je bila predstavljena septembra 2009, bistvene pridobitve v tej verziji so: prenovljeni vmesniki za kamero in slikovno galerijo, izboljšano glasovno iskanje, podpora višjim resolucijam zaslona, navigacija Google s podporo 'turn by turn', moţnost spreminjanja govora v tekst, podpora več dotikov istočasno, VPN10 podpora. Verzija 2.0 in 2.1 Eclair Oktobra 2009 je bila predstavljena verzija 2.0 in januarja 2010 verzija 2.1, bistvene pridobitve so: posodobljen grafični vmesnik, podpora Microsoft Exchange, bluetooth 2.1 podpora. Verzija 2.2 Froyo (Frozen Yoghurt) Maja 2010 je bila izdana verzija 2.2, njene bistvene izboljšave so: moţnost deljenja internetne povezave z do osmimi uporabniki preko brezţične povezave ali USB-priklopa, posodobljeno upravljanje kamere z več gumbi na zaslonu, večjezična podpora tipkovnici z moţnostjo hitrega preklapljanja, večji nabor funkcij, namenjenih storitvi Microsoft Exchange (oddaljeno brisanje, podpora koledarju, izboljšana varnost). Verzija 2.3 Gingerbread Decembra 2010 je bila predstavljena verzija 2.3, njene bistvene izboljšave so: optimizacija grafičnega vmesnika s poudarkom na enostavnosti in hitrosti, označevanje teksta z enim dotikom, izboljšano upravljanje porabe energije, moţnost ročne zaustavitve aplikacij, 10 Virtual Private Network omogoča promet prek javnih ali deljenih omreţij s prednostmi zasebnega omreţja 25 internetni klici, NFC11 komunikacija, podpora več kameram na napravi, barometru, ţiroskopu in senzorju gravitacije. Verzija 3.0 Honeycomb Februarja 2011 je bila predstavljena verzija 3.0. Posodobitev je usmerjena na naprave z večjimi zasloni, kot so tablični računalniki. Posodobitev vključuje: nov uporabniški vmesnik z več meniji, nastavljiv domači zaslon in seznam zadnjih uporabljanih programov, podpora fizičnim tipkovnicam, priključenim preko USB ali bluetooth vmesnika, podpora večjedrnim procesorjem, podpora 2D- in 3D-grafiki. Verzija 3.1 in 3.2 Honeycomb Junija in julija 2011 sta bili izdani še dve verziji s poudarkom na napravi z večjimi zasloni, bistvene pridobitve so: podpora več USB-napravam, izboljšana stabilnost brezţične povezave z omreţjem, povezava je aktivna tudi z ugasnjenim zaslonom. Verzija 4.0 Ice-cream Sandwich Oktobra 2011 je bila izdana verzija 4.0, ki je zdruţevala videz androida 3.x, usmerjenega v delovanje na tabličnih računalnikih, in verzije 2.x, namenjene uporabi na mobilnih telefonih. Bistvene posodobitve so: bliţnjice na zaklenjenem zaslonu, nadzor pretoka podatkov preko omreţja, enoten koledar, odklepanje zaslona s prepoznavanjem obraza, moţnost dostopa do namiznih verzij spletnih strani preko brskalnika. Verzija 4.1, 4.2 in 4.3 Jelly Bean Julija 2012, oktobra 2012 in julija 2013 so bile izdane verzije 4.1, 4.2 in 4.3, bistvene posodobitve vključujejo: moţnost več uporabnikov za naprave, slikanje v načinu Photo Sphere12, izboljšana odzivnost na dotik, takojšen predogled zajetih slik, Google Wallet13. 11 Verzija 4.4 KitKat Near field communication skupek brezţičnih tehnologij, ki omogočajo povezavo naprav z namenom izmenjave podatkov, brez kontaktne oprave plačila ali hitre spremembe več različnih nastavitev v napravi 12 Photo Sphere zajemanje slik s pomočjo vgrajenega fotoaparata v 360º načinu 13 Google Wallet sistem mobilnega plačevanja, lahko uporablja tehnologijo NFC oziroma shranjuje ugodnosti pri nakupih, podobno kot kartice zvestobe 26 Septembra 2013 je bila izdana verzija 4.4. bistvene posodobitve vključujejo: zagon govornih ukazov z besedami 'Ok Google', seznam prioritetnih stikov, vsa sporočila so zdruţena v eni aplikaciji (Faqoid, 2014). Porazdeljenost verzij med uporabniki Tabela 3.1: Porazdeljenost verzij med uporabniki Verzija Naziv Uporaba Froyo 1,2 % 2.3.3-2.3.7 Gingerbread 19,0 % 3.2 Honeycomb 0,1 % IceCream 15,2 % 2.2 4.0.3-4.0.4 Sandwich 4.1.x Jelly Bean 35,3 % 4.2.x Jelly Bean 17,1 % 4.3 Jelly Bean 9,6 % 4.4 KitKat 2,5 % Vir: Android Developers (2014a) Kot je razvidno iz tabele številka 3.1, največ naprav uporablja verzijo 4.1.x (več kot 35 odstotkov), še vedno pa je velik odstotek naprav z nameščeno različico Gingerbread (kar 19 odstotkov), predvsem na račun poceni strojne opreme, ki do izdaje verzije 4.4 Kitkat ni delovala na starejši oziroma poceni strojni opremi zaradi količine delovnega pomnilnika (Readwrite, 2014). 3.3 Zgradba Operacijski sistem Android je sestavljen iz štirih nivojev, kot je razvidno s slike št. 3.1. Osnovni nivo je zgrajen na osnovi Linux jedra, ki omogoča zagon naprave, delovanje višjih nivojev in upravlja delovanje strojne opreme naprave. Nad jedrom deluje več različnih knjiţnic, ki omogočajo razvijalcem različne funkcionalnosti in servisirajo aplikacijam zahtevane podatke. Aplikacije so napisane v programskem jeziku Java in omogočajo uporabniku dejansko uporabo naprave. 27 3.3.1 Delovanje OS Android je večuporabniški operacijski sistem, v katerem se vsaka aplikacija smatra kot drug uporabnik. Ob namestitvi aplikacije na napravo se vsaki aplikaciji dodeli enoznačna uporabniška identifikacija in mesto, znotraj katerega deluje. Sistem dodeli dovoljenja za vse datoteke, ki jih uporablja, do njih ima dostop samo avtorizirana aplikacija. Vsaka aplikacija deluje v svojem VM14 okolju, izolirana od drugih procesov. S takšnim načinom delovanja se doseţe princip najmanjših pravic posamezne aplikacije. Vsaka aplikacija dostopa samo do komponent in podatkov, ki jih potrebuje, dostop do drugih aplikacij oziroma njihovih podatkov, do katerih nima pravic, je onemogočen. Aplikacija lahko zahteva dovoljenja za dostop do različnih uporabniško občutljivih podatkov, kot so: stiki, dnevniki klicev, sporočila SMS in podobno, vendar je ob namestitvi aplikacije potrebno to omogočiti. Običajno namestitev aplikacije brez odobritve dostopa do (po mnenju razvijalcev potrebnih) podatkov ni mogoča (Android Developers, 2014). Slika 3.1: Zgradba operacijskega sistema Android Vir: Android open source project (2014) 14 Virtual machine-programska ponazoritev fizičnega računalnika 28 3.3.2 Linux jedro Linux jedro ni popolnoma enako jedru Linux distribucije, v njem je veliko prilagoditev s strani razvijalcev OS Androida. Proizvajalci strojne opreme imajo jedra ravno tako prilagojena z gonilniki strojne opreme, specifične za posamezne naprave. Jedro je vmesnik med programsko in strojno opremo naprave ter nadzoruje in omogoča delovanje celotne strojne opreme. Kadarkoli programska oprema potrebuje strojno opremo, naslovi zahtevo jedru, jedro preko različnih gonilnikov dostopa do strojne opreme in posreduje podatke aplikacijam (Androidcentral, 2012). Verzija 1.5 CupCake deluje na Linux jedru 2.6.27, zadnja verzija KitKat pa ima verzijo 3.8. Nadgradnje jedra omogočajo hitrejše in zanesljivejše delovanje in manjšo porabo energije (Int. Business Times, 2013). 3.3.3 Knjižnice Knjiţnice omogočajo napravi upravljanje z različnimi vrstami podatkov, napisane so v programskem jeziku C++ in so specifične glede na posamezno programsko opremo. V nadaljevanju so predstavljene nekatere izmed njih. Surface manager upravlja prikazovanje zaslonske slike. Media framework vsebuje različne medijske kodeke, namenjene snemanju in prikazovanju različnih medijskih vsebin. SqlLite je namenjen shranjevanju podatkov v podatkovno bazo. WebKit je ogrodje brskalnika in je namenjen prikazu HTML-vsebin. OpenGL omogoča prikaz 2D- in 3D-vsebin na zaslonu. 3.3.4 Aplikacijsko ogrodje Vsebuje module, preko katerih aplikacije neposredno komunicirajo. Pri razvoju aplikacij se uporablja njihove lastnosti za dosego ţelenega delovanja. V nadaljevanju so predstavljene nekatere izmed njih. Activity Manager upravlja ţivljenjski cikel aktivnosti aplikacije. Content Providers omogoča deljenje podatkov med aplikacijami. Telephony manager upravlja z glasovnimi klici. Uporabimo ga, če ţelimo dostopati do glasovnih klicev preko aplikacije. Location manager omogoča dostop do podatkov GPS. Notification manager omogoča prikaz obvestil v statusni vrstici (AndroidAppMarket.com, 2012). 29 3.3.5 Aplikacije OS Android ţe v osnovni različici vsebuje več aplikacij, namenjenih osnovni uporabi mobilne naprave, kot so: telefonija, odjemalec elektronske pošte, koledar, brskalnik, aplikacija SMS in podobno. Napisane so v programskem jeziku Java, končnica aplikacije, razvite za Android, je apk. Vsako izmed vgrajenih aplikacij je mogoče nadomestiti z nadomestno po lastni izbiri. Nameščamo jih lahko preko spletne trgovine GooglePlay ali iz drugih virov15. 3.3.6 Dalvik VM Z načinom delovanja aplikacij v virtualnem okolju se doseţe večja varnost in zanesljivost. Omogoča istočasno delovanje več aplikacij, vsake v svojem virtualnem okolju, z zagotavljanjem optimiziranega upravljanja s spominom. Virtualno okolje Dalvik je prilagojeno za delo z minimalnim delovnim spominom in manjšo procesorsko močjo (AndroidAppMarket.com, 2012). 3.4 Lokacije podatkov o uporabniku Forenzično zanimivi podatki so na mobilni napravi z operacijskim sistemom Android shranjeni na vgrajenem notranjem pomnilniku, pomnilniški kartici (če je vstavljena) ali na omreţju. OS Android ponuja razvijalcem pet moţnih načinov shranjevanja podatkov. Preiskovalec lahko najde podatke o uporabniku vsaj v štirih od petih formatov shranjevanja. Shared preferences omogoča shranjevanje različnih podatkovnih tipov v datoteki XML. Shranjeni podatki so lahko podatkovnega tipa: boolean, float, int, long, string. Datoteke XML se običajno nahajajo v 'data/ime_aplikacije/shared_pref' imeniku aplikacije. Veliko aplikacij shranjuje podatke na takšen način, zato so lahko vir koristnih forenzičnih informacij. Za dostop do 'data/data' imenika potrebujemo 'root' dostop, ki je opisan v poglavju 4.1. Podatki na notranjem pomnilniku, aplikacije shranjujejo različne obširnejše podatke v različne datoteke na več mest v notranjem pomnilniku. Med njimi je tudi prej omenjen 15 Moţnost nameščanja iz drugih virov je privzeto onemogočena, omogočimo jo lahko v varnostnih nastavitvah naprave. 30 'data/data' imenik. Najboljši način za ugotovitev, katere datoteke so specifične za posamezno aplikacijo, je njihovo nahajanje izven 'shared_prefs, lib, cache, database' imenikov. Podatki na zunanjem pomnilniku so za forenzično analizo laţje dostopni. Zaradi podatkovnega sistema, ki je običajno Microsoftov FAT32 in moţnosti odstranitve kartice iz naprave, je izvedba klasične forenzične preiskave enostavnejša. Zaradi omejenega notranjega pomnilnika se na zunanjem pomnilniku običajno nahajajo slike in video posnetki. Določene aplikacije shranjujejo podatke poleg 'data/data' imenika tudi na pomnilniško kartico. SQLite je specifična vrsta podatkovne baze. Uporablja jo več, tako mobilnih kot klasičnih, operacijskih sistemov. Izvorna koda je odprtokodna, podatkovni format in program sam je zelo majhen in vsebuje vrsto funkcionalnosti. SQLite datoteke se običajno nahajajo v 'data/data/ime_aplikacije/database', lahko pa so shranjene tudi drugje. V njih najdemo različne podatke o aktivnostih uporabnika, med njimi so: dnevnik klicev, SMS-sporočila, zgodovina brskanja, zaznamki, iskalne besede in podobno. Omreţje mobilne naprave je danes preko mobilnega ali brezţičnega omreţja v neprestani povezavi z internetom. Uporabniški podatki se shranjujejo v različnih servisih za shranjevanje v oblaku. Servisi za povečanje uporabniške izkušnje in povečanje števila uporabnikov razvijajo svoje aplikacije za shranjevanje. Servis shranjevanja v oblaku, ki je priljubljen, je Dropbox. Njihova aplikacija ponuja več moţnosti uporabe, med drugim tudi avtomatičen prenos zajetih slik in video posnetkov na streţnik. V 'data/data/com.dropbox.android/files' se nahaja log.txt datoteka. V njej najdemo zapise o dejavnosti aplikacije, kot so: katere datoteke so bile prenesene, kdaj, uporabniško ime in podobno (Hoog, 2011). 31 4. FORENZIČNA ANALIZA Z RAZLIČNIMI ORODJI Zaradi nivojske zgradbe, vgrajenega pomnilnika in implementiranih varnostnih mehanizmov se forenzična preiskava mobilne naprave z OS Androidom razlikuje od forenzične preiskave osebnega računalnika. Forenzična preiskava se razlikuje predvsem na področju spreminjanja podatkov na zaseţeni napravi. Pri klasični forenzični preiskavi se zaseţeni pomnilnik priklopi na 'Write blocker', kot je razvidno s slike 4.1, naredi popolno kopijo in izvede preiskavo na kopiji, izvirni nosilec ostane nespremenjen. Slika 4.1: Write blocker Vir: The Forensics Ferret Blog (2011) Na mobilnih napravah je pridobitev izvirne fizične slike zaradi vgrajenega pomnilnika mogoča z 'chip-off' metodo, ki je zamudna in draga. Pomnilniško enoto se namreč odvari iz leţišča in jo priklopi na napravo za kopiranje bit za bitom. Primerna je predvsem v primerih uničenih naprav, kjer odpovejo drugi načini dostopa do podatkov, obstaja namreč moţnost 32 trajnega uničenja pomnilniške enote in podatkov na njej. Na napravah z OS Android je fizični zajem podatkov mogoč, če je v napravi omogočen 'root' dostop ali preko priključka JTAG16, za kar je potrebna namenska strojna oprema. V nasprotnih primerih se v primeru potrebe po fizičnem zajemu pomnilnika lahko na različne načine omogoči 'root' dostop ali izvede 'chipoff' metodo. V magistrski nalogi bomo v naslednjih poglavjih opisali več postopkov pridobitve podatkov s pomočjo logične metode preiskave. Kot je razvidno s slike številka 4.2, lahko z logičnim pristopom pridobimo podatke iz datotek in podatkovnih baz. Bistvena slabost logične metode je onemogočen dostop do izbrisanih podatkov. Podatki so vidni v obliki, kot jo vidi uporabnik in operacijski sistem. Izbrisani podatki se lahko še vedno nahajajo na pomnilniškem mediju, zaradi lastnosti pomnilnika in tehnologije podaljševanja ţivljenjske dobe pomnilnika imenovane 'wear leveling'. Slika 4.2: Metode forenzične preiskave mobilne naprave z OS Androidom Vir: (Guido v Valle 2012, str. 42) Pri izvedbi logičnega načina preiskave se skuša minimalno posegati v podatke na napravi, vsako spreminjanje se dokumentira in podrobno razloţi, zakaj je bilo potrebno in kakšne spremembe je povzročilo. 16 Joint Test Action Group, priključek na napravi, namenjen testiranju in odpravi napak. 33 4.1 'Root' privilegiji Zaradi varnostnih razlogov je na mobilnih napravah z OS Androidom onemogočen dostop do sistemskih datotek. Delovanje je podobno uporabi OS Microsoft Windowsa z uporabniškim računom 'guest'. Z omogočenim 'root' dostopom lahko dostopamo do vseh podatkov na napravi, prilagodimo delovanje našim zahtevam, namestimo in odstranimo aplikacije, ki jih sicer ni mogoče. Slabost omogočenega 'root' dostopa je običajno izguba garancije, lahko pride do okvare mobilne naprave (predvsem zaradi aplikacij, ki posegajo v nastavitve strojne opreme, navijanje procesorja in podobno), večja izpostavljenost škodljivi programski opremi (z odstranitvijo varnostnih mehanizmov se varnost seveda zmanjša) (Bullguard, 2014). Zaradi različnih variacij modelov mobilnih naprav in nameščenih verzij OS Androida je zelo teţko pridobiti dostop 'root' na vsaki napravi. Postopek je namreč specifičen glede na napravo. Pomembno se je prepričati v učinkovitost in delovanje pred samim postopkom spremembe pravic. 4.2 Android Debug Bridge (ADB) Android debug bridge je zmogljivo orodje, namenjeno komunikaciji med mobilno napravo in računalnikom preko konzolnega okna. Uporabljajo ga razvijalci aplikacij za testiranje in je najpomembnejše orodje pri izvedbi logičnega načina preiskave mobilne naprave. Program deluje na principu odjemalec – streţnik, sestavljajo ga tri glavne komponente: klient, ki deluje na delovni postaji, namenjeni komunikaciji z mobilno napravo; streţnik, ki deluje v ozadju na delovni postaji in upravlja komunikacijo med klientom in 'adb daemon', ki deluje kot tretja komponenta na napravi; 'daemon', ki deluje v ozadju na mobilni napravi, aktivira se v primeru priklopa USBpriključka (Android Developers, 2014). Privzeto je izklopljeno 'USB-razhroščevanje'. Za izvedbo logičnega načina preiskave mobilne naprave ga je potrebno vključiti v nastavitvah naprave. Dostop do nastavitev je lahko preprečen z različnimi varnostnimi mehanizmi, ki preprečujejo nepooblaščeni osebi dostop do naprave, kot so: varnostna koda, vzorec, prepoznavanje obraza. Navedene zaščite je mogoče na različne načine odstraniti, sicer je izvedba logične metode forenzične preiskave nemogoča. 34 4.3 Preiskovana naprava Slika 4.3: Samsung I8190 Galaxy S3 mini Za izvedbo forenzične preiskave smo uporabili mobilno napravo Samsung I8190 Galaxy S3 mini, kot je razvidno s slike 4.3. Naprava ima 4.0'' zaslon, resolucijo 480x800 točk, vgrajeni pomnilnik 16 GB, 1 GB delovnega pomnilnika, razširitveno reţo za SD micro spominsko kartico, micro USB-priključek operacijski sistem v2.0, Android, naloţen verzijo ima 4.1.2. JellyBean, dvojedrni 1 GHz procesor, AGPS, Wlan, bluetooth, NFC, vstavljeno ima naročniško SIM-kartico standardne velikosti. Vneseni so naključni testni podatki, med njimi so: 500 zapisov v dnevniku klicev, 14 stikov, 270 SMSin 29 MMS-sporočil, 11 zapisov v koledarju, 208 aplikacij, 73 slik, 31 video posnetkov, 22 zvočnih posnetkov, 1x PDF-datoteka, 14 zaznamkov, 109 zapisov v zgodovini brskanja, kot je razvidno s slike 4.4 (Samsung, 2014). Vir: Kraljič, lastni prikaz (2014) Slika 4.4: Testni podatki Vir: Kraljič, lastna raziskava (2014) 35 4.4 Delovna postaja Za izvajanje postopkov forenzičnih preiskav uporabljamo osebni računalnik z nameščenim operacijskim sistemom Microsoft Windows 8.1 64-bit, konfiguracija strojne opreme: Intel E8400, 8 GB delovni pomnilnik, 256 GB SSD sistemski in 3 TB sata trdi disk. 4.5 Odprtokodna programska oprema 4.5.1 Open source android forensics (OSAF) Projekt je bil narejen pod okriljem Univerze v Cincinnatiju, ZDA. Cilj je bil izdelati odprtokodni sistem, ki bi omogočal različne forenzične preiskave na mobilnih napravah z OS Androidom. Glavna usmeritev je v preiskovanje škodljivega delovanja aplikacij. Nameščena so različna programska orodja in opisane prakse analiz delovanja aplikacij. Za namene izobraţevanja so odprli spletno stran, kjer je mogoče prenesti programsko opremo in nekaj dokumentacije. Namenjena je tudi sodelovanju zainteresiranih in deljenju izkušenj (OSAF, 2012). Po prenosu 3,2 GB velike datoteke s spletne strani OSAF-RC2.7z jo naprej razpakiramo v imenik. Za uporabo je potrebno namestiti programsko opremo za ponazoritev fizičnih računalnikov in s tem delovanje drugih operacijskih sistemov na delovni postaji. Na internetu je prosto dostopnih več različnih programov za emulacijo. Najbolj razširjeni so: VirtualBox, Vmware, Windows Virtual PC. Windows Virtual PC omogoča emulacijo izključno Microsoftovih operacijskih sistemov. Za emulacijo OSAF smo uporabili VirtualBox. Programsko opremo razvija podjetje Oracle, omogoča uporabo različnih operacijskih sistemov: Windows XP in novejši OS, Mac OS X 10.6 in novejši, Linux 10.4 in naprej in različne distribucije (Debian, Oracle Linux, Redhat, Fedora, Gantoo, openSUSE, Mandriva), Solaris 10, 11. Vse spremembe, narejene pri uporabi, se shranjujejo v sliko in ne vplivajo na naš operacijski sistem. Aplikacija je uporabna za različne namene, npr. za analizo OS, testiranje varnostnih rešitev, preizkušanje programske opreme. Prenos programske opreme je mogoč z njihove spletne strani, namestitev je enostavna (VirtualBox, 2014). Po namestitvi programske opreme VirtualBox zaţenemo program in kot je razvidno s slike 4.5, izberemo iz menija 'New', vnesemo poljubno ime, iz menuja 'Type' izberemo 'Linux' in pod 'Version' izberemo Ubuntu. 36 Slika 4.5: VirtualBox: Name and operating system Vir: Kraljič, lastni prikaz (2014) Na naslednjem meniju določimo velikost delovnega pomnilnika in kot je razvidno s slike 4.6, je priporočena velikost 512 MB, vendar priporočam največjo moţno vrednost, glede na razpoloţljivost vgrajenega delovnega pomnilnika RAM. Pri izbiri večjih vrednosti nam bo operacijski sistem v virtualnem okolju deloval hitreje, sistem na delovni postaji pa počasneje. Slika 4.6: VirtualBox: Memory size Vir: Kraljič, lastni prikaz (2014) Po izbiri 'Next' se nam odpre meni za izbiro mesta shranjevanja datotek za potrebe delovanja emulacije. Tukaj izberemo moţnost 'Use an existing virtual hard drive file', kot je razvidno s slike 4.7, in na trdem disku poiščemo datoteko 'OSAF.vmdk'. 37 Slika 4.7: VirtualBox: Hard drive Vir: Kraljič, lastni prikaz (2014) S tem smo vnesli potrebne nastavitve. Iz menija programa VirtualBox izberemo še bliţnjico 'OSAF' in izberemo 'Start'. Odpre se nam okno, kamor vnesemo geslo za vstop v operacijski sistem, privzeto geslo je 'forensics'. Kot je razvidno s slike 4.8, ima naloţen operacijski sistem več orodij za forenziko mobilnih naprav na platformi OS Android. 38 Slika 4.8: OSAF Vir: Kraljič, lastni prikaz (2014) Distribucija ţe vsebuje Android SDK (Software developement kit), ki je potrebna zaradi ADB klienta. Android SDK vsebuje komponente, ki so potrebne za razvoj in testiranje aplikacij in odpravo napak v delovanju operacijskega sistema. Vsebuje tudi Android emulator, namenjen testiranju razvite programske opreme oziroma analizi delovanja aplikacij v virtualnem okolju (Android Developers, 2014b). Kot je razvidno s slike 4.9, moramo po priklopu naprave na vmesnik USB, v menijski vrstici okna VirtualBox posredovati USB-priključek na delujoč OSAF-sistem. 39 Slika 4.9: USB-posredovanje Vir: Kraljič, lastni prikaz (2014) Na preiskovani mobilni napravi je potrebno omogočiti 'USB-razhroščevanje'. Kot je razvidno na sliki 4.10, se moţnost vklopa nahaja v Nastavitvah/Moţnosti za razvijalce/Razhroščevanje USB. Slika 4.10: Vklop USB-razhroščevanja Vir: Kraljič, lastni prikaz (2014) V OSAF-sistemu odpremo novo terminalno okno in vnesemo 'sudo su', sistem zahteva ponoven vnos gesla, vnesemo geslo 'forensics'. S tem smo pridobili 'root' dostop na sistemu OSAF, kar prepoznamo tudi po znaku '#' pred kazalčkom. Sedaj preverimo, če je naprava Android priključena in vidna, v okno vnesemo ukaz 'adb devices'. V kolikor nam ne najde naprave, preverimo, če je vklopljeno USB-razhroščevanje, posredovanje vhoda v virtualbox OSAF oziroma poskusimo še z ukazom 'adb kill-server' in še enkrat preverimo vidnost naprave. V oknu moramo videti izpis kot na sliki 4.11, iz katere je razvidna oznaka naprave in 40 vrata, preko katerih poteka komunikacija. Pri zagonu 'adb klienta' ta najprej preveri, če streţniški proces ţe deluje, v kolikor ne, ga zaţene. Streţnik posluša na vratih 5037, preko katerih po priklopu naprave poteka komunikacija med napravo in delovno postajo (Android Developers, 2014). Slika 4.11: OSAF adb device Vir: Kraljič, lastni prikaz (2014) Sedaj je potrebno na preiskovano napravo namestiti aplikacijo AF logical OSE. Uporabimo ukaz 'adb install AFLogical-OSE_1.5.2.apk'. V kolikor je bila namestitev uspešna, nam v oknu izpiše 'Success'. Med aplikacijami se sedaj nahaja AFLogical OSE, po zagonu se nam odpre izbirno okno, kot je razvidno na sliki 4.12. Izberemo ţelene podatke in s pritiskom na tipko 'Capture' se na spominsko kartico SD v imeniku 'Forensics' shranijo zajeti podatki. Slika 4.12: AFLogical OSE Vir: Kraljič, lastni prikaz (2014) 41 Po zajemu podatkov z ukazom 'adb uninstall com.viaforensics.android.aflogical_ose' odstranimo program AFLogical, po uspešni odstranitvi nam izpiše 'Success'. Za prenos zajetih podatkov na delovno postajo uporabimo ukaz 'adb pull /mnt/sdcard/forensics'. Seznam prenesenih datotek se izpiše v konzolnem oknu. Datoteke se nahajajo v 'Home' imeniku. Na preiskovani napravi še vedno ostanejo zajeti podatki. Za izbris vnesemo v konzolno okno ukaz 'adb shell', vrne nam 'shell@android:/ $', sedaj z ukazom 'ls' pregledamo seznam datotek. Z ukazom 'cd sdcard' se premaknemo v imenik pomnilnika na spominski kartici. Z vnosom ukaza 'rm –r forensics' se imenik 'forensics', ki vsebuje zajete forenzične podatke, izbriše iz naprave (Santoku, 2012). Rezultat preiskave: V imeniku 'forensics' z imenom datuma zajema podatkov se nahaja: 1. 20 datotek s končnico '.jpg', slik iz poslanih ali prejetih MMS17 sporočil, ime datoteke je sestavljeno iz datuma in ure prejetega sporočila. 2. 5 datotek s končnico '.amr', prejeti zvočni posnetki iz storitve operaterja 'MMS tajnica'. Ob nedosegljivosti uporabnika se na omreţju posname zvočno sporočilo, ki ga klicani ob dosegljivosti prejme. Ime datoteke je sestavljeno iz telefonske številke kličočega in datuma prejema sporočila MMS. 3. Datoteka info.xml, ki vsebuje informacije o preiskovani napravi (oznaka mobilne naprave, IMEI, verzija nameščenega operacijskega sistema) in 208 zapisov o nameščenih aplikacijah iz 'data/data' imenika. 4. 5 datotek s končnico '.csv'. a) 'CallLog Calls.csv' sestavljajo naslednji atributi: _id, number, date, duration, type, new, name, numbertype, numberlabel. Vsebuje 500 zapisov o klicih. Pomembnejši atributi o posameznem klicu so sestavljeni iz: '_id'identifikacijske številke zapisa, 'number'-telefonske številke vzpostavljenega stika, 'date' datuma in ure vzpostavljenega stika zapisanega v Unix časovnem zapisu, 'duration' trajanja pogovora, ' type' tip pogovora, sestavljenega iz številk: 1 – prejeti klic, 2 – klic številke, 3 – zgrešeni klic, 5 – zavrnjen klic. 'Name'-Imena stika, če je shranjen v imeniku telefona, vezan na telefonsko številko. 17 Multimedia Messaging Service, kratka sporočila z različnimi multimedijskimi vsebinami 42 b) 'Contacts Phones.csv' ne vsebuje zapisov v stikih, vsebuje naslednje atribute: times_contacted, phonetic_name, custom_ringtone, isprimary, label, person, number, primary_organization, type, last_time_contacted, display_name, _id,number_key, starred, primary_email, name, primary_phone, notes, send_to_voicemail. c) 'SMS.csv' sestavljajo naslednji atributi: _id, thread_id, address, person, date, date_sent, protocol, read, status, type, reply_path_present, subject, body, service_center, locked, error_code, seen, deletable, hidden,group_id, group_type, delivery_date, app_id, msg_id, callback_number, reserved, pri, teleservice_id, link_url. Vsebuje 270 zapisov, pomembnejši atributi o posameznem so: 'adress' – vsebuje telefonsko številko stika, 'date' – datum in ura vzpostavljenega stika zapisanega v Unix časovnem zapisu, 'type' – tip komunikacije, sestavljenega iz številk: 1 – prejeti SMS, 2 – poslani sms, 'body' – vsebina sporočila, 'read' – sestavljenega iz številk: 0 – sporočilo ni bilo prebrano, 1 – prebrano sporočilo. d) 'MMS.csv' in 'MMS_parts.csv vsebujejo podatke o prejetih MMS-sporočilih. Iz zajetih podatkov smo uspeli razbrati skupaj 25 MMS-sporočil, tekstovno vsebino sporočil ob multimedijski vsebini, katera datoteka se nanaša na določeno MMS-sporočilo in datum prejema sporočila. Z uporabo OSAF in programa AFLogical_OSE 1.5.2. smo uspeli pridobiti podatke, kot je razvidno s slike 4.13. Slika 4.13: Rezultati OSAF Vir: Kraljič, lastna raziskava (2014) 43 4.5.2 Santoku Linux Pod okriljem podjetja ViaForensics se razvija odprtokodna distribucija Santoku. Izhaja iz Linux distribucije Lubuntu. Namenjena je forenziki mobilnih naprav, analizi delovanja aplikacij na mobilnih napravah in testiranju varnosti mobilnih naprav. Vsebuje naloţen Android SDK (Software developement kit), AFLogical OSE in več drugih orodij, namenjenih predvsem analizi delovanja aplikacij. Po prenosu 2,2 GB velike image datoteke 'santoku_0.4.iso' s spletnega naslova http://sourceforge.net/projects/santoku/files/latest/download sistem zaţenemo v programu VirtualBox, pri namestitvi izberemo operacijski sistem 'Linux' in verzijo 'Debian', za potrebe tekočega delovanja AVD18 dodelimo čim večjo količino delovnega pomnilnika. Izberemo še VDI (VirtualBox Disk Image), dodelimo 40 GB prostora na trdem disku za shranjevanje. V nastavitvah virtualnega sistema pod razširitvijo 'Storage' še določimo 'IDE Controller', 'Add CD/DVD Device' in izberemo datoteko 'santoku_0.4.iso'. Po zagonu virtualnega sistema izberemo še moţnost 'install-start the installer directly'. Geslo za prijavo v sistem je 'santoku' (Santoku, 2012a). Za izvedbo logičnega zajema podatkov je nameščena enaka programska oprema kot v OSAF distribuciji. Pri zajemu podatkov z mobilne naprave dobimo enake rezultate. 4.5.3 Preiskava shranjenih varnostnih kopij Varnostne kopije nameščenih aplikacij je mogoče s pomočjo OSAF ali Santoku Linuxa prenesti na delovno postajo. Po priklopu mobilne naprave na priključek USB z omogočenim USB-razhroščevanjem posredujemo USB-vhod na virtualni operacijski sistem Linux. V terminalskem oknu preverimo prisotnost priključene naprave in vnesemo ukaz 'adb backup – apk –all /home'. Na mobilni napravi še potrdimo 'Varnostno kopiraj moje podatke'. S tem se varnostne kopije vseh aplikacij na preiskovani mobilni napravi shranijo v '/home' imenik v datoteko 'backup.ab'. Pridobljeno datoteko nato razpakiramo z ukazom 'dd if=backup.ab bs=24 skip=1 | openssl zlib -d > backup.ab.tar'. Z navedenim ukazom najprej z 'dd if=backup.ab' določimo, katero datoteko obdelujemo, z 'bs=24' določimo, da je velikost bloka 18 Android virtual device manager-emulator Android operacijskega sistema 44 24 bajtov, 'skip=1' preskočimo prvo vrstico, 'openssl zlib -d > ' navedemo način dekompresije podatkov in nato še ime datoteke '.tar' (Elenkov, 2012). Za primer smo preiskali varnostno kopijo aplikacije vgrajenega brskalnika. Shranjeni podatki o uporabniku se nahajajo v podatkovni bazi 'browser2.db'. Z orodjem 'Sqliteman', ki je ţe nameščen v Santoku distribuciji, smo odprli Sqlite podatkovno bazo 'browser2.db', ki se nahaja v 'apps/com.android.browser/db' imeniku. Kot je razvidno s slike 4.14, podatkovna baza vsebuje enajst tabel. Med njimi so tudi: synch_state, bookmarks, history, searches. Slika 4.14: Sqliteman Vir: Kraljič, lastni prikaz (2014) Vsebino tabel je mogoče shraniti v .xml datoteke, na ta način smo uspeli z mobilne naprave pridobiti: 1. 28 shranjenih zaznamkov spletnih strani 2. 109 zapisov o obiskanih spletnih straneh s spletno povezavo in datumom obiska 3. 14 zapisov o vnesenih iskalnih kriterijih v brskalnik 4. ime poštnega računa za sinhronizacijo zaznamkov 45 4.6 Komercialna programska oprema 4.6.1 Viaforensics Viaextract Viaforensics ViaExtract verzija 1.7 je za testne namene dostopna po registraciji na uradni spletni strani podjetja Viaforensics: https://viaforensics.com/. Deluje v virtualnem okolju, mogoča je tudi namestitev na delovno postajo z Linux operacijskim sistemom. Po zagonu v programu Virtualbox se v sistem prijavimo z geslom 'forensics'. V mobilni napravi moramo omogočiti 'USB-razhroščevanje' in v nastavitvah VirtualBox posredovati USB-priključek. Na namizju se nahaja bliţnjica do programa ViaExtract. Postopek zajema poteka v grafičnem vmesniku, kamor vnesemo: ime postopka, ţelene podatke, mesto shranjevanja. Rezultat preiskave: Po zajemu lahko izvozimo poročilo v obliki datoteke PDF. Poročilo je zajeto na 35 straneh, zaradi testne verzije je vsakih zajetih podatkov samo prvih deset zapisov. Poročilo vsebuje: 1. 2 zapisa o shranjenih naslovih spletnih strani, zaznamkih 2. 8 zapisov o obiskanih spletnih straneh 3. 10 zapisov iz dnevnika klicev 4. 10 zapisov o shranjenih video posnetkih 5. 10 zapisov o shranjenih zvočnih posnetkih 6. 10 zapisov najdenih slik na napravi 7. 10 zapisov o shranjenih SMS-sporočilih 8. 10 zapisov o shranjenih MMS-sporočilih 9. 208 zapisov o nameščenih aplikacijah Z uporabo programa Viaforensics ViaExtract verzija 1.7 smo uspeli pridobiti podatke, kot je razvidno s slike 4.15. 46 Slika 4.15: Rezultati Viaforensics ViaExtract19 Vir: Kraljič, lastna raziskava (2014) 4.6.2 MobilEdit Forensics Lite Mobiledit Forensics Lite je aplikacija, razvita v podjetju Compelson. Omogoča preiskavo mobilnih naprav na različnih platformah (Android OS, Apple, Blackberry, Windows mobile, Bada, Symbian, MeeGo, Mediatek). Vsebuje orodja za dostop do zaklenjene naprave, kopiranje podatkov s SIM-kartice, zajem fizične slike podatkov na mobilni napravi in izvedbo preiskave z drugimi namenskimi orodji. Prenos programske opreme je mogoč z njihove spletne strani www.mobiledit.com. Ta verzija omogoča dostop do vseh podatkov, ki jih programska oprema podpira, vendar ni mogoče shraniti poročila o zajetih podatkih. Namestitev je enostavna. V mobilni napravi moramo omogočiti 'USB-razhroščevanje', priklop je mogoč preko USB-priključka, brezţične omreţne, bluetooth ali infrardeče povezave. Po priklopu naprave programska oprema prepozna priklopljeno napravo in namesti potrebne gonilnike za zajem podatkov. Delo v programu poteka v grafičnem vmesniku. V prvo okno 'Data acguire settings' vnesemo ime lastnika telefona, njegovo telefonsko številko in komentar. Izberemo, katere podatke ţelimo zajeti – mogoči so: telefonski imenik, SMS-sporočila, koledar, MMS-sporočila, datoteke, multimedijske datoteke, uporabniške datoteke, aplikacije. Izberemo še mesto za shranjevanje datoteke 'Communication Log.log', ki shranjuje obvestila o poteku. Na naslednjem oknu lahko izberemo iskanje določenih vrst datotek (audio, video, slike). Izbrali 19 Rezultati, omejeni s testno verzijo programa na 10 zapisov o posamezni kategoriji 47 smo celoten datotečni sistem (Whole File System). Programska oprema na preiskovano napravo namesti aplikacijo 'ME! Forensic Connector'. Za pridobitev podatkov o posamezni aplikaciji je potrebno za vsako aplikacijo, nameščeno na preiskovani mobilni napravi, izbrati moţnost 'Varnostno kopiraj moje podatke'. Rezultat preiskave: V uporabniškem vmesniku programske opreme lahko, pod moţnostjo 'Cases' pregledujemo zajete podatke. Dostop do zajetih podatkov je enostaven in je trajal 46 minut. S pomočjo programske opreme MobilEdit Forensics Lite smo uspeli iz mobilne naprave pridobiti: 1. 14 zapisov o shranjenih stikih v mobilni napravi 2. 493 zapisov o zadnjih telefonskih klicih 3. 270 zapisov o shranjenih SMS-sporočilih 4. 208 zapisov o nameščenih aplikacijah s shranjenimi varnostnimi kopijami 5. 29 videoposnetkov 6. 93 slik 7. 22 zvočnih posnetkov 8. 29 MMS-sporočil 9. 11 zapisov iz koledarja 10. 1x datoteka PDF Z uporabo programa MobilEdit Forensics Lite smo uspeli pridobiti podatke, kot je razvidno s slike 4.16. Slika 4.16: Rezultati MobilEdit Forensics Lite Vir: Kraljič, lastna raziskava (2014) 48 4.6.3 Oxygen Forensic Suite 2014 (Freeware) Za pridobitev programske opreme Oxygen Forensic Suite 2014 (Freeware) za študijske namene se je potrebno registrirati na spletni strani http://www.oxygen- forensic.com/en/download/freeware. Registracija ni dovoljena z googlovim računom elektronske pošte, zato smo uporabili račun bostjan.kraljic@student.fis.unm.si. Po nekaj dneh smo prejeli navodila za prenos in registracijsko šifro za namestitev programske opreme. Za delovanje je potrebno prenesti tri datoteke. Program 'OxyForensic_Setup.exe','OxyForensics_Features_Setup.exe' se pa nahaja potrebuje v datoteki še datoteko 'OFS2_Drivers_Pack.zip' za namestitev gonilnikov posameznih mobilne naprave. Programska oprema omogoča pridobitev podatkov iz več kot 7700 mobilnih naprav, delujočih na Symbian, Windows Mobile, Apple iOS in Android platformah (Oxygen Forensics, 2014). Programska oprema je delujoča šest mesecev. Po namestitvi programske opreme je potrebno v mobilni napravi omogočiti 'USBrazhroščevanje', priklop je mogoč preko USB-priključka. V prvem oknu po zagonu programske opreme izbiramo med več moţnostmi (Read device, Oxygen Backup, iTunes backup, Apple backup/image, Android backup/image, Blackberry backup, Balckberry 10 backup). Za logični zajem podatkov na mobilni napravi izberemo 'Read device'. Po priklopu naprave programska oprema prepozna priklopljeno napravo in namesti potrebne gonilnike za zajem podatkov in v pogovornem oknu izpiše podatke o preiskovani napravi. Po potrditvi se nam odpre okno, kjer izberemo vrsto zajema podatkov. Na voljo je logični in fizični zajem, če je na napravi omogočen dostop z 'root' privilegiji. Izberemo logični z varnostno kopijo podatkov na napravi. Po potrditvi se začne zajem, na preiskovani napravi je potrebno dovoliti izdelavo varnostne kopije z izbiro 'Varnostno kopiraj moje podatke'. Rezultat preiskave: Programska oprema omogoča shranjevanje varnostne kopije za kasnejšo obdelavo, izdelavo poročila v različnih formatih, poročilo v pdf formatu je dolgo 202 strani. S programom smo uspeli pridobiti sedem izbrisanih sporočil. S pomočjo programske opreme Oxygen Forensic Suite 2014 (Freeware) smo uspeli iz mobilne naprave pridobiti: 1. 14 zapisov o shranjenih stikih v mobilni napravi 2. 500 zapisov o zadnjih telefonskih klicih 3. 277 zapisov o shranjenih SMS-sporočilih 49 4. 208 zapisov o nameščenih aplikacijah s shranjenimi varnostnimi kopijami 5. 1 zvočni posnetek 6. 11 zapisov s koledarja Z uporabo programa Oxygen Forensic Suite 2014 (Freeware) smo uspeli pridobiti podatke, kot je razvidno s slike 4.17. Slika 4.17: Rezultati Oxygen Forensic Suite 2014 (Freeware)20 Vir: Kraljič, lastna raziskava (2014) 4.6.4 Micro systemation XRY v.6.9. XRY je produkt švedskega podjetja Micro systemation. Podjetje izdeluje programsko opremo za izvedbo digitalne forenzike. Omogočajo preiskovanje različnih elektronskih naprav: pametnih mobilnih telefonov, navigacijskih sistemov, 3g modemov, prenosnih predvajalnikov glasbe in tabličnih računalnikov. Programska oprema XRY v.6.9. deluje na Microsoft Windows operacijskem sistemu, podpira preko 800 elektronskih naprav na različnih platformah. S spletne strani proizvajalca je mogoče prenesti 'XRY reader', ki omogoča pregledovanje zajetih podatkov z naprave. Zajem podatkov je mogoč samo z nakupom programske opreme. Pri zajemu podatkov v uporabniškem vmesniku navedemo način povezave elektronske naprave z delovno postajo. V našem primeru je bila povezava vzpostavljena preko USB-vmesnika. S seznama naprav izberemo preiskovano napravo, programska oprema nam glede na tip preiskovane naprave posreduje informacije o zmoţnostih pridobitve podatkov. Pri zajemu podatkov se piše '.log' 20 Določeni podatki v tej verziji niso dostopni (Podatki o brskalnikih, časovnica, socialna mreţa ipd.). 50 datoteka, ki vsebuje vse podatke o delu programske opreme. Zajeti podatki se shranijo v datoteko s končnico '.xry'. Rezultati preiskave: Zajeti podatki so shranjeni v 4,3 GB veliki datoteki, mogoč je izvoz poročila v različnih formatih: Excel, XML, Google Earth, GPX, HTML, PDF, Word. S pomočjo programske opreme Micro systemation XRY v.6.9. smo uspeli iz mobilne naprave pridobiti: 1. 208 zapisov o nameščenih aplikacijah s shranjenimi varnostnimi kopijami 2. 14 zapisov o shranjenih stikih v mobilni napravi 3. 500 zapisov o zadnjih telefonskih klicih 4. 11 zapisov s koledarja 5. 270 zapisov o shranjenih SMS-sporočilih 6. 29 MMS-sporočil 7. 31 videoposnetkov 8. 14 shranjenih zaznamkov 9. 109 zapisov o zgodovini brskanja 10. 93 slik 11. 27 zvočnih posnetkov 12. 1x datoteka PDF Z uporabo programske opreme Micro systemation XRY v.6.9. smo uspeli pridobiti podatke, kot je razvidno s slike 4.18. Slika 4.18: Rezultati Micro systemation XRY v.6.9. Vir: Kraljič, lastna raziskava (2014) 51 Primerjava orodij za forenzične analize 4.7 Z uporabljeno programsko opremo za forenzične preiskave mobilnih naprav smo uspeli pridobiti podatke, kot je razvidno iz tabele 4.1. Tabela 4.1: Rezultati Testni podatki OSAF Viaforensics ViaExtract MobilEdit Forensics Lite Oxygen Forensics Suite(Freeware) ver. 6.1.0.200 Micro Systemation XRY V.6.9. Dnevnik klicev 500 500 10 493 Stiki SMS MMS Koledar Aplikacije Slike 14 0 0 14 270 270 10 270 29 25 10 29 11 0 0 11 208 208 208 208 93 20 10 93 500 14 277 0 11 208 0 500 14 270 29 11 208 93 Testni podatki Video posnetki 31 Zvočni posnetki 27 OSAF 0 Viaforensics ViaExtract 10 MobilEdit Forensics 29 Lite Oxygen Forensics 0 Suite(Freeware) ver. 6.1.0.200 Micro Systemation 31 XRY V.6.9. Vir: Kraljič, lastna raziskava (2014) 4.7.1 14 Zgodovina brskanja 109 Odstotek skupaj 100% 0 0 0 36% 10 0 2 8 20% 22 1 0 0 81% 1 0 0 0 27 1 14 109 PDF Zaznamki 1 5 42% 100% Odprtokodna programska oprema Open source Android Forensics vsebuje različna orodja za forenziko mobilnih naprav Android, med katerimi je tudi AFLogical_OSE 1.5.2.. Kot je razbrati iz končnice 'OSE', ta pomeni 'Open Source Edition'. Za potrebe vladnih sluţb je mogoče brezplačno pridobiti 'LELaw Enforcement' verzijo, ki omogoča zajem širšega nabora podatkov. Programska oprema 52 namesti agenta na preiskovano napravo, kar je potrebno pri preiskavi zabeleţiti. Delo s programsko opremo je potekalo tekoče, med zajemom je občasno prihajalo do prekinitve povezave med delovno postajo in preiskovano napravo, povezavo se obnovi z vnosom ukaza 'adb kill-server' in ponovitvijo ukaza 'adb devices'. Delo poteka v konzoli, preiskovalec mora poznati nabor osnovnih ukazov za premikanje po imenikih in delo z 'ADB'. Vsi zajeti podatki se nahajajo v enem imeniku, za vzpostavitev slike stanja ob kritičnem dogodku je potrebno narediti vzporedno primerjavo dogodkov, kar je ob veliki količini lahko zamudno. Glede na komercialne programske rešitve je potrebno v preiskavo vloţiti več časa, količina zajetih podatkov je z uporabljeno verzijo programske opreme majhna. Zadnja verzija distribucije OSAF TK RC2 je bila izdana v maju 2012. Za namen odprtokodnih forenzičnih preiskav je na voljo tudi Linux distribucija Santoku, ki vsebuje podobna orodja. Z izdelavo varnostnih kopij aplikacij in preiskavo podatkovnih zbirk SQLite je mogoče priti do več zanimivih podatkov, vendar je dostop do njih zamuden. 4.7.2 Komercialna programska oprema Viaforensics ViaExtract verzija 1.7. delo je enostavnejše od dela z odprtokodno programsko opremo in poteka v grafičnem vmesniku. Omogoča zajem več vrst podatkov. V uporabljeni verziji je bil zaradi omejitev s testno verzijo zajem omejen na deset zapisov, zajem podatkov je trajal pribliţno deset minut. V poročilu v pdf formatu so bili podatki predstavljeni razumljivo, iz vsake skupine iskanih podatkov smo uspeli pridobiti po deset zapisov, razen stikov, koledarja in datoteke PDF. Med izdelavo magistrske naloge je izšla Viaforensics ViaExtract verzija 2.0, ki omogoča tudi fizični zajem podatkov, vendar testna verzija še ni na voljo. MobilEdit Forensics Lite 7.5.4.4232 deluje na Microsoft Windows okolju, delo z njo je enostavno in podpira najbolj širok nabor operacijskih sistemov na mobilnih napravah. Zajem podatkov je trajal najdlje od vseh komercialnih orodij. Za izdelavo varnostne kopije vsake nameščene aplikacije je potrebno na preiskovani napravi potrditi 'Varnostno kopiraj moje podatke', kar pomeni 208 potrditev. Na zajetih slikah je bilo mogoče ugotoviti datum nastanka in oznako naprave, s katero je bila posneta. Uporabniški vmesnik omogoča prikaz vseh komunikacij za izbrani kontakt, kar olajša preiskavo. Iz zajetih varnostnih kopij aplikacij je mogoče shraniti datoteko podatkovne baze in jo preiskati z uporabo namenske programske 53 opreme. Programska oprema je uspela zajeti velik del testnih podatkov, manjkajoči so podatki o uporabi brskalnika. Oxygen forensics Suite 2014 (Freeware) ver. 6.1.0.200 omogoča izdelavo varnostnih kopij aplikacij, podobno kot MobilEdit Forensics Lite, vendar brez potrjevanja vsake aplikacije. Za izdelavo varnostne kopije potrdimo 'Varnostno kopiraj moje podatke' samo enkrat. Iz zajetih varnostnih kopij aplikacij je mogoče shraniti datoteko podatkovne baze in jo preiskati z uporabo namenske programske opreme. Zajem podatkov je trajal pribliţno trideset minut. V uporabniškem vmesniku je praktični pregled vseh dogodkov pod različnimi zavihki (vsi dogodki, odgovorjeni klici, zgrešeni klici, klicane številke, sms sporočila). Programska oprema podpira izvoz poročila v več formatih (pdf, rtf, xls, xml, csc, html). Z uporabljeno verzijo ni mogoče uporabiti določenih funkcij (podatki o brskalniku, uporabi zemljevida, socialna mreţa, shranjena gesla, časovnica), ravno tako je nabor zajetih podatkov skromen. Micro systemation XRY v.6.9. – pred priklopom testne naprave lahko z uporabo XRY v.6.9. preiskovalec preveri, katere podatke pri zajemu pričakuje. Za določene naprave je mogoč 'root' in nato fizični zajem pomnilnika. Programska oprema je enostavna za uporabo, omogoča izvoz v različne formate (xls, xml, Google Earth, gpx, html, pdf, doc), zajem podatkov je trajal pribliţno trideset minut. Na zajetih slikah je bilo mogoče ugotoviti datum nastanka in oznako naprave, s katero je bila posneta. Programska oprema iz varnostnih kopij aplikacij oziroma podatkovnih baz pridobi podatke in jih uredi v kategorije. Uporaba je enostavna, programska oprema je uspela pridobiti vse testne podatke. 5. ZAKLJUČEK S pametnimi mobilnimi napravami je mogoče nadomestiti osebni računalnik, fotoaparat, navigacijo in poleg tega namestiti še vrsto aplikacij za različne potrebe uporabnikov. Glede na vsesplošno prisotnost elektronskih naprav v naših ţivljenjih se ne zavedamo, kakšne podatke puščamo na njih in kje vse se shranjujejo. Raznolikost sveta elektronskih naprav in nameščene programske opreme naredi preiskovanje specifično glede na preiskovano napravo. Forenzična preiskava mobilnih naprav je zaradi širokega nabora nameščenih operacijskih sistemov in različnih strojnih rešitev zelo dinamično področje. Od preiskovalca zahteva poleg 54 poznavanja zakonodajnega okvira visoko stopnjo usposobljenosti in uporabo namenske strojne in programske opreme. Glede na visok trţni deleţ naprav z nameščenim operacijskim sistemom Android je pričakovan visok odziv razvijalcev namenske programske opreme za preiskave mobilnih naprav. Potrebno je predvsem povečati podporo za fizični zajem pomnilnika na napravi, kar je sedaj zaradi številnih konfiguracij strojne in programske opreme oteţeno. Preiskovanje elektronskih naprav in pridobivanje elektronskih dokazov mora potekati v skladu z zakonodajo in smernicami, ki jih predpisuje stroka ne glede na vloţen čas in sredstva. Osnova za pridobitev elektronskega dokaza mora biti pisna odredba sodišča oziroma privolitev imetnika elektronske naprave in vseh ostalih uporabnikov, za katere se pričakuje hramba morebitnih osebnih podatkov na preiskovani napravi. V kolikor zavarovanja podatkov ni mogoče opraviti na kraju, se elektronska naprava zaseţe in zapečati, imetniku se izroči potrdilo o zasegu elektronske naprave. Imetnik oziroma njegov zastopnik je obveščen o datumu izvedbe zavarovanja podatkov na napravi, lahko je prisoten ob izvedbi zavarovanja. Preiskava se opravi na način, da se v najmanjši meri posega v pravice oseb, ki niso relevantne v preiskavi. Dosledno se upošteva odredbo sodišča in vodi pisno poročilo o delu. Preiskovanje naprav z nameščenim operacijskim sistemom Android se od klasičnih preiskav razlikuje predvsem v spreminjanju podatkov na izvirnem nosilcu. Za dostop do pomnilnika naprave je potrebno aktivirati 'USB-razhroščevanje'. Namenska programska oprema za pridobitev podatkov namesti agenta za zajem oziroma omogoči 'root' dostop. V poročilu mora biti jasno navedeno, katere spremembe se je na napravi s tem povzročilo in zakaj je bila sprememba potrebna. Med uporabljenimi programi za forenzične preiskave smo največ podatkov uspeli pridobiti z programsko opremo XRY v.6.9.XRY proizvajalca Micro systemation. S programskima paketoma Mobiledit Forensics Lite in Oxygen Forensics Suite (Freeware) je bil nabor pridobljenih podatkov skromnejši, določene bi bilo z nakupom programske opreme mogoče pridobiti. Navedena programska oprema deluje na Microsoft Windows operacijskem sistemu. Uporaba odprtokodne programske opreme se na operacijskem sistemu Linux lahko kombinira s programsko opremo ViaForensics ViaExtract. Uporabljena verzija 1.7 vsebuje omejitve zapisov. Verzije ViaForensics ViaExtract 2.0, ki omogoča tudi fizični zajem na operacijskem sistemu Linux, ţal nismo uspeli pridobiti. 55 Pri preiskavi elektronskih naprav lahko upravičeno pričakujemo oviranje dostopa do vsebovanih podatkov z različnimi protiforenzičnimi metodami. Pametni mobilni telefoni z operacijskim sistemom Android omogočajo šifriranje, podatki se shranjujejo v oblačnih shrambah, komunikacija poteka po šifriranih kanalih. Preiskovalec je prisiljen uporabiti različne metode oziroma programsko opremo za dostop do podatkov na napravi. V primeru zasega delujoče naprave se takoj izvede zavarovanje morebitnih datotek, shranjenih v oblačnih shrambah, elektronskih sporočil v agentu za odjem elektronske pošte in podobno, po vklopu načina za letenje je dostop do tovrstnih podatkov onemogočen. Podatki o aktivnostih uporabnika se shranjujejo na različne lokacije v pomnilniku naprave. Z uporabo odprtokodne programske opreme je mogoče dostopati do večine za preiskovalca zanimivih podatkov. Namenska programska oprema se umešča med draţje programske produkte, prednost uporabe odprtokodnih rešitev je predvsem v ceni. Največja teţava uporabe odprtokodne programske opreme je v zamudnosti postopka. Glede na vedno večje število preiskav zaseţenih elektronskih naprav mora preiskovalec priti do podatkov na čim hitrejši način. Komercialna programska oprema ţe pretvori izsledke preiskave v razumljivo obliko, urejeno po kategoriji in datumu nastanka. Preiskovalec tako več časa nameni analitiki vzpostavitve slike dogajanja ob kritičnem dogodku. Sklepamo, da bo zaradi popularnosti operacijskega sistema Android na voljo vse več odprtokodnih rešitev za preiskave mobilnih telefonov. 56 6. LITERATURA IN VIRI 1. Android-App-Market.com (2012) Android Architecture – The Key Concepts of Android OS. Dostopno prek: http://www.android-app-market.com/androidarchitecture.html (25.03.2014). 2. Androidcentral (2012) What is kernel? Dostopno prek: http://www.androidcentral.com/android-z-what-kernel?page=1#comments (25.03.2014). 3. Android Developers (2014) Android Debug Bridge. Dostopno prek: http://developer.android.com/tools/help/adb.html (01.04.2014). 4. Android Developers (2014a) Dashboards. Dostopno prek: http://developer.android.com/about/dashboards/index.html?utm_source=ausdroid.net (24.03.2014). 5. Android Developers (2014b) Exploring the SDK. Dostopno prek: https://developer.android.com/sdk/exploring.html (01.04.2014). 6. Android Encryption (2014) Notes on the implementation of encryption in Android 3.0. Dostopno prek: https://source.android.com/devices/tech/encryption/android_ crypto_implementation.html (20.02.2014). 7. Android Open Source Project (2014) Android Security Overview. Dostopno prek: http://source.android.com/devices/tech/security/ (20.03.2014). 8. Apple Press Info (2007) Apple Reinvents the Phone with iPhone. Dostopno prek: http://www.apple.com/pr/library/2007/01/09Apple-Reinvents-the-Phone-withiPhone.html (01.05.2014). 9. Bloomberg Businessweek (2005) Google buys Android for its Mobile Arsenal. Dostopno prek: http://www.businessweek.com/stories/2005-08-16/google-buysandroid-for-its-mobile-arsenal (05.12.2012). 10. Bullguard Security Centre (2014) The risks of rooting your Android phone. Dostopno prek: http://www.bullguard.com/bullguard-security-center/mobile-security/mobilethreats/android-rooting-risks.aspx (28.03.2014). 11. CHEVAILER, SUZANNE, DANG, HUNG, GRANCE, TIM in KENT, KAREN (2006) Guide to integrating forensics technics into incident response, National institute of standards and technology. Dostopno prek: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf (17.02.2013). 12. CORY, ALTHEIDE in CARVEY, HARLAN (2011) Digital forensics with open source tools. Waltham: Syngress. 13. CROWE, DAVID (2001) Cellular Networking Perspectives, Wireless Telecom Magazine. Dostopno prek: http://www.cnpwireless.com/ArticleArchive/Wireless%20Telecom/2001Q1WT.html (12.02.2014). 14. EC-COUNCIL (2010) Computer Forensics-Investigating hard disks, file & operating systems. New York: Cengage Learning. 15. ELENKOV, NIKOLAY (2012) Unpacking Android backups. Dostopno prek: http://nelenkov.blogspot.com/2012/06/unpacking-android-backups.html (14.04.2014). 16. Faqoid (2014) Android timeline and Versions. Dostopno prek: http://faqoid.com/advisor/android-versions.php (24.03.2014). 17. Forensics Focus (2013) Extracting data from damaged mobile devices. Dostopno prek: http://articles.forensicfocus.com/2013/08/21/extracting-data-from-damaged-mobiledevices/ (09.03.2014). 18. GRISPOS, GEORGE, GLISSON, BRADLEY, WILLIAM in STORER, TIM (2011) A comparison of forensic evidence recovery techniques for a windows mobile smart phone. Digital investigation, 8 (1), str. 23-36. Dostopno prek: http://www.sciencedirect.com/science/article/pii/S1742287611000417 (18.02.2013). 19. GARGENTA, MARKO (2011) Learning Android. Sebastopol. O'Reilly Media Inc. 20. Gartner (2014a) Gartner Says Annual Smartphone Sales Surpassed Sales of Feature Phones for the First Time in 2013. Dostopno prek: www.gartner.com/newsroom/id/2665715?fnl=search (20.02.2014). 21. Gartner (2014a) It glossary-IMSI. Dostopno prek: http://www.gartner.com/itglossary/imsi-international-mobile-subscriber-identity (20.02.2014). 22. Gartner (2014b) It glossary-SIM. Dostopno prek: http://www.gartner.com/itglossary/sim-card-subscriber-identity-module-card/ (20.02.2014). 23. GPS (2014) What is GPS?. Dostopno prek: http://www.gps.gov/systems/gps/ (15.02.2014). 24. GSM Association (2011) IMEI Allocation and Approval Guidelines. Dostopno prek: http://www.gsma.com/newsroom/wpcontent/uploads/2012/03/ts0660tacallocationprocessapproved.pdf (10.12.2012). 25. GUIDO, MARK, SHAWN, VALLE (2012) Android Forensics and Security Testing. Dostopno prek: http://opensecuritytraining.info/AndroidForensics_files/Android%20Forensics%20and %20Security%20Testing%20Course_PUBLIC_RELEASE.pptx.pdf (12.04.2014). 26. Hideitpro (2014) Download for Android phone. Dostopno prek: http://hideitpro.com/index.htm (16.02.2014). 27. HOOG, ANDREW (2011) Android Forensics. Waltham: Syngress. 28. Imei Tools (2014) What is imei number? Dostopno prek: http://imeinumber.com/what-is-imei-number/ (20.02.2014). 29. International Business Times (2014) Android 4.4 KitKat: Top 6 Major Changes Confirmed and Revealed Before October Launching Date. Dostopno prek: http://au.ibtimes.com/articles/511297/20131004/android-4-kitkat-top-6-majorchanges.htm#.UzauVPl5OK0 (25.03.2014). 30. KESSLER, C. GARY (2007) Anti-Forensics and the Digital Investigator. Dostopno prek: http://www.garykessler.net/library/2007_ADFC_anti-forensics.pdf (15.02.2014). 31. KOVAČIČ, MATEJ, MODIC, DAVID, RUSJAN, MARKO, SELINŠEK, LILJANA, ŠAVNIK, JANKO in ZAVRŠNIK, ALEŠ (2010) Kriminaliteta in tehnologija. Ljubljana, Inštitut za kriminologijo pri Pravni fakulteti v Ljubljani. 32. LOVŠIN, PETER (2013) Pomanjkanje računalniških forenzikov. Dostopno prek: https://www.dnevnik.si/kronika/pomanjkanje-racunalniskih-forenzikov (14.01.2014). 33. LURCHENKO, ANNA (2013) Android vs iOS: Which Mobile Platform is Right for Your Business? Dostopno prek: http://mobileinsider.net/android-vs-ios-which-mobileplatform-is-right-for-your-business (02.05.2014). 34. MASON, STEPHEN (2007) Electronic evidence, disclosure, discovery and admissibility. LexisNexis, London, Butterworths. 35. MNZ, Policija (2013) Pregled dela policije za prvo polletje 2013. Dostopno prek: http://www.policija.si/images/stories/Statistika/LetnaPorocila/PDF/PorociloZaPrvoPol letje2013.pdf (15.02.2014) . 36. MURPHY, CINDY (2012) Cellular phone evidence-Data extraction&documentation, Computer Forensics SRP, Dostopno prek: http://www.mobileforensicscentral.com/mfc/documents/Cell%20Phone%20Evidence %20Extraction%20Process%202.0%20with%20forms.pdf (13.12.2012). 37. Open handset alliance (2007) Industry Leaders Announce Open Platform for Mobile Devices. Dostopno prek: http://www.openhandsetalliance.com/press_110507.html (05.12.2012). 38. Open source android forensics (2012) OSAF TK. Dostopno prek: http://osafcommunity.org/home.html (01.12.2012). 39. Oxygen Forensics (2014) Compare Oxygen Forensic® Suite Editions. Dostopno prek: http://www.oxygen-forensic.com/en/compare (31.03.2014). 40. RICKER, THOMAS (2010) Microsoft announces ten Windows Phone 7 handsets for 30 countries: October 21 in Europe and Asia, 8 November in US. Dostopno prek: http://www.engadget.com/2010/10/11/microsoft-announces-ten-windows-phone-7handsets-for-30-countrie/ (05.05.2014). 41. RSA laboratories (2012) What is a hash function? Dostopno prek: http://www.rsa.com/rsalabs/node.asp?id=2176 (24.12.2012). 42. RUBIN, ANDY (2007): Where's my Gphone? Dostopno prek: http://googleblog.blogspot.com/2007/11/wheres-my-gphone.html (05.12.2012). 43. Readwrite (2014) Android Gingerbread refuses to die. Dostopno prek: http://readwrite.com/2014/02/05/android-gingerbread-fragmentationkitkat#awesm=~ozvElyPlI9IdZw (24.03.2014). 44. Samsung (2014) Galaxy S3 mini. Dostopno prek: http://www.samsung.com/uk/consumer/mobile-devices/smartphones/android/GTI8190RWABTU (30.03.2014). 45. Santoku (2012) HOWTO forensically examine an Android device with AFLogical OSE on Santoku Linux. Dostopno prek: https://santoku-linux.com/howto/mobileforensics/howto-forensically-examine-android-aflogical-santoku (01.04.2014). 46. Santoku (2012a) HOWTO install Santoku in a virtual machine. Dostopno prek: https://santoku-linux.com/howto/installing-santoku/installing-santoku-in-a-virtualmachine (03.04.2014). 47. SELINŠEK, LJILJANA (2009) Digitalna forenzika in elektronski dokazi. Dostopno prek: http://www.google.si/url?sa=t&rct=j&q=dokaz%20je%20vir%20spoznanja%20o%20 kakem%20pomembnem%20dejstvu%20oziroma%20sinonim%20za%20logi%C4%8D no%20in%20izkustveno%20sprejemljivo%20trditev%20o%20obstoju%20kakega%20 pravno%20pomembnega%20dejstva&source=web&cd=1&cad=rja&ved=0CCoQFjA A&url=http%3A%2F%2Fwww.pf.unimb.si%2Fdatoteke%2Fliljana_selinsek%2Fkpp%2Fdigitalna_forenzika.ppt&ei=WYj HUNaCAsSm4AT41YGICQ&usg=AFQjCNHgsIUhjw6HEHD7oGrJZ4bUASarQ&bvm=bv.1354675689,d.bGE (10.12.2012). 48. Surveillance self defence (2014) Encryption Basics. Dostopno prek: https://ssd.eff.org/tech/encryption (22.02.2014). 49. The Forensics Ferret Blog (2011) Cable connectivity for Tableau T35e Forensic SATA bridge. Dostopno prek: http://forensicsferret.wordpress.com/2011/07/13/cableconnectivity-for-tableau-t35e-forensic-sata-bridge/ (28.03.2014). 50. Viaforensics viaExtract (2012) ViaExtract. Dostopno prek: https://viaforensics.com/products/viaextract/ (01.12.2012). 51. VirtualBox (2014) Manual. Dostopno prek: https://www.virtualbox.org/manual/ch01.html (01.04.2014). 52. Windows Phone Central (2014) Windows Phone 8.1 Features. Dostopno prek: http://www.wpcentral.com/windows-phone-81-features (05.05.2014). 53. Zakon o kazenskem postopku (uradno prečiščeno besedilo) (ZKP-UPB4). Uradni list Republike Slovenije 32/2007. Dostopno prek: http://www.uradnilist.si/1/objava.jsp?urlid=200732&stevilka=1700 (10.12.2012). 54. Zakon o kazenskem postopku (uradno prečiščeno besedilo) (ZKP-UPB8). Uradni list Republike Slovenije 32/2012. Dostopno prek: http://www.uradnilist.si/1/objava.jsp?urlid=201232&stevilka=1405 (19.10.2012).
© Copyright 2024