Τεχνολογίες ανάκτησης ψηφιακών πειστηρίων (Digital Forensics)

LiMe (Βίδρας Ιωάννης)

επεξεργασία

Το LiME είναι ένα loadable Kernel Module(LKM) με σκοπό την ανάκτηση των ασταθών δεδομένων που υπάρχουν στην RAM και γενικά στις μνήμες ενός ηλεκτρονικού υπολογιστή με την τάση να αλλάζουν με την πάροδο του χρόνου και επίσης να χάνονται αν τερματιστεί η λειτουργία του υπολογιστή από υπολογιστές ή γενικότερα συσκευές Linux ή Linux – Based και φυσικά συσκευές Android μιας και τρέχουν πάνω σε μία έκδοση του Linux Kernel. Με την εφαρμογή μπορεί κανείς να ανακτήσει δεδομένα είτε μέσω του File System του ιδίου υπολογιστή, είτε μέσω δικτύου αφού πρώτα δημιουργηθεί μια σύνδεση με το πρωτόκολλο TCP. Είναι ανοιχτού κώδικα υπό την άδεια χρήσης GPL version 2. Το LiME είναι από ένα από τα λίγα Volatile data acquisition applications που επιτρέπει την πλήρη καταγραφή της μνήμης του συστήματος μιας Android συσκευής, η τακτική που προτείνεται από τους δημιουργούς του LiME είναι μέσω adb. Άλλη μια ιδιότητα του LiME είναι ότι ελαχιστοποιεί την παρέμβαση του στο σύστημα, με αποτέλεσμα τα δεδομένα που λαμβάνονται να είναι πιο αξιόπιστα. Το LiME παρουσιάστηκε για πρώτη φορά το 2012 στο συνέδριο ShmooCon.

Υπάρχουν ασταθή δεδομένα σε διάφορες συσκευές σε έναν ηλεκτρονικό υπολογιστή. Τα ασταθή δεδομένα μπορούν να υπάρχουν αποθηκευμένα σε καταχωρητές, στην μνήμη RAM και στην μνήμη Cache. Η ερευνητές καλούνται να ανακτήσουν τα δεδομένα από αυτές τις περιοχές, ένα δύσκολο εγχείρημα μίας και τα δεδομένα χάνονται κατά την μη λειτουργία του συστήματος. Ένας άλλος λόγος που αποτελεί τροχοπέδη στο έργο των ερευνητών είναι ότι θα δεδομένα όντας σε ηλεκτρονική μορφή αντικαθίστανται από λειτουργίες του συστήματος ή άλλων εφαρμογών. Η μνήμη RAM περιέχει ασταθή δεδομένα τα οποία συντηρούνται με την παροχή ρεύματος, αν σταματήσει η τροφοδοσία του ρεύματος τα δεδομένα χάνονται. Οι περιπτώσεις διακοπής του ρεύματος ενδεικτικά είναι η ασφαλής απενεργοποίηση του Ηλεκτρονικού Υπολογιστή, διακοπή ρεύματος κ.ο.κ. Η ασταθής μνήμη έχει πολλές χρήσεις αλλά κυρίως χρησιμοποιείται ως κύρια μνήμη RAM. Υπάρχουν 2 τύποι ασταθούς μνήμης, η Στατική και η δυναμική. Οι δύο τύποι μνήμης χρειάζονται συνεχή παροχή ρεύματος για να δουλέψουν όπως προαναφέρθηκε και νωρίτερα, αλλά έχουν διαφορές στην ταχύτητα, την αρχιτεκτονική, την κατανάλωση, και την τιμή. Η Cache είναι πιο γρήγορη μνήμη από την RAM αλλά έχει πολύ μικρότερο αποθηκευτικό χώρο. Χρησιμοποιείται από τον υπολογιστή για να αποθηκεύσει δεδομένα τα οποία αντλεί από την μνήμη RAM για ταχύτερη εκτέλεση από τον επεξεργαστή. Η φυσική τοποθεσία της μνήμης cache είναι στο die του επεξεργαστή οπού αποτελεί και την μνήμη του. Μπορεί να υπάρξει και κάποια cache λογισμικού όπως για παράδειγμα αυτή που προσφέρει η μηχανή αναζήτησης της google.

Τα ψηφιακά διαπιστευτήρια αποτελούν μία αποτελεσματική πηγή είτε υπέρ, είτε κατά μιας υπόθεσης στο δικαστήριο και πρέπει αντιμετωπίζονται με προσοχή, συνεπώς πρέπει να μπορούν να παρουσιαστούν με σαφήνεια έχοντας λάβει τις απαραίτητες ενέργειες ώστε να διασφαλιστεί η ακεραιότητα τους όπως η αντιγραφή σε ένα άλλο μέσο (πχ CD), αλλά και την τιμή Hash (πχ MD5). Οι οδηγίες για την συλλογή και την παρουσίαση των δεδομένων ποικίλουν από χώρα σε χώρα. Για το Ηνωμένο Βασίλειο οι οδηγίες έρχονται από τον ACPO (Association of Chief Police Officers of England, Wales and Northern Ireland). Ο ACPO ήταν μία μη κερδοσκοπική εταιρεία τύπου Limited που ασκούσε και ανέπτυσσε πολιτικές αστυνομίας. Δημιουργήθηκε το 1948 και αντικαταστάθηκε από το National Police Chief Council το 2015. H ACPO σύνταξε έναν οδηγό με όνομα Good Practice Guide όπου αναφέρει ενδεικτικά το πώς πρέπει να εξάγονται τα δεδομένα σωστά και με ασφάλεια. Το ACPO Good Practice Guide βρίσκεται στην έκδοση 5 από τον Μάρτιο του 2012.

ACPO GOOD PRACTICE GUIDE VERSION 5

LINUX MEMORY EXTRACTOR - LINUX.COM

How to use YouTube Video - DFIR.science

WireShark ~ Ζαχαριάδης Μανώλης

επεξεργασία

Disk Drill ~ Χατζόπουλος Δημήτριος

επεξεργασία

Εισαγωγή

επεξεργασία

Στην σύγχρονη ψηφιακή εποχή που ζούμε όλα τα εγκλήματα περιλαμβάνουν ψηφιακά πειστήρια εφόσον έχουν μπει τόσο βαθιά στις ζωές μας οι ηλεκτρονικές συσκευές. Ο μέσος άνθρωπος χρησιμοποιεί διάφορες συσκευές προκειμένου να αποθηκεύσει προσωπικές πληροφορίες όπως φωτογραφίες, βίντεο και έγγραφα. Όλη αυτή η πληροφορία μπορεί να αποτελέσει βασικό αποδεικτικό υλικό που θα επιλύσει κάποιου είδους παρανομία όπως για παράδειγμα απάτη, πορνογραφία ανηλίκων, πλαστογραφία, εκβίαση ή ακόμα και ανθρωποκτονία. Ο όρος ψηφιακά πειστήρια έχει να κάνει με την πρόσβαση σε ηλεκτρονικά δεδομένα και είναι πολύ κρίσιμος για τις ποινικές έρευνες, διότι αυτού του είδους τα πειστήρια αποτελούν σημαντικό βήμα για την ταυτοποίηση του παραβάτη. Την διαχείριση των ερευνών ψηφιακών πειστηρίων έχει ειδική ομάδα εξειδικευμένου ανθρώπινου δυναμικού που εντάσσεται στον χώρο της Ψηφιακής Εγκληματολογίας (Digital Forensics). Πρόκειται για αναπτυσσόμενο κλάδο της εγκληματολογίας, ο οποίος είναι αρμόδιος για τον εντοπισμό, την ανάκτηση και την διερεύνηση ψηφιακού υλικού που εντοπίζεται σε συσκευές εμπλεκόμενες σε ηλεκτρονικά εγκλήματα. Σε ανώτερα εξειδικευμένα επίπεδα η ψηφιακή εγκληματολογία χωρίζεται σε κλάδους οι οποίοι είναι η εγκληματολογία Υπολογιστών, η εγκληματολογία Κινητών Συσκευών, η εγκληματολογία Δικτύων, η εγκληματολογία Ανάλυσης Δεδομένων και η εγκληματολογία Βάσεων Δεδομένων. Στην περίπτωσή μας θα εστιάσουμε κυρίως στην εγκληματολογία Υπολογιστών όπου η ανάκτηση δεδομένων γίνεται με συγκεκριμένο τρόπο και συγκεκριμένες εφαρμογές. Η εφαρμογή που επιλέξαμε να κάνει αυτή την δουλειά ονομάζεται Disk Drill και έχει την επιλογή της δωρεάν εφαρμογής και την επιλογή της επαγγελματική χρήση που είναι επί πληρωμής. Παρόλα αυτά η είναι μια αξιόπιστη εφαρμογή για όποιον επιθυμεί να επαναφέρει αρχεία.

To Disk Drill έκανε την εμφάνιση του το 2010 και αποτελεί ένα αξιόπιστο λογισμικό ανάκτησης δεδομένων. Αρχικά, αξίζει να σημειώσουμε ότι έχει την δυνατότητα να ανακτήσει δεδομένα από μια ποικιλία συσκευών όπως είναι οι ηλεκτρονικοί υπολογιστές Mac και Windows, κινητές συσκευές iOS και Android, σκληροί δίσκοι, μονάδες USB, κάρτες SD και ψηφιακές κάμερες. Ακόμα, το εύχρηστο λογισμικό του δίνει την δυνατότητα να επαναφέρει κάθε τύπου αρχεία που έχουν διαγραφεί συμπεριλαμβανομένων όλων των δημοφιλών μορφών εικόνας, ήχου, βίντεο και εγγράφων. Στην έκδοση Mac η σάρωση γίνεται με δύο τρόπους, με την γρήγορη σάρωση και με την βαθιά σάρωση. Η γρήγορη σάρωση επιτρέπει στον χρήστη να σαρώσει γρήγορα τον δίσκο και να ανακτήσει όσα αρχεία τον ενδιαφέρουν από αυτά που θα εντοπιστούν, ενώ η βαθιά σάρωση εξετάζει τις υπογραφές των αρχείων με σκοπό να δει τι αποθηκεύεται και προσπαθεί να το ανακτήσει. Η εντολή Deep Scan λειτουργεί για αρχεία που έχουν σβηστεί από κάποιο λειτουργικό δίσκο αλλά και από κατεστραμμένο δίσκο με την προϋπόθεση όμως ότι είναι αρκετά χρονοβόρα. Ακόμα, η έκδοση Mac δίνει την δυνατότητα στον χρήστη να δημιουργήσει αντίγραφα ασφαλείας με την εικόνα δίσκου DMG, έτσι το αρχείο που δημιουργείται από την δημιουργία αντιγράφων ασφαλείας αποτελεί ένα ακριβές αντίγραφο των δεδομένων σας. Δεν πρέπει να παραλείψουμε μια ακόμα σημαντική λειτουργία που έχει η συγκεκριμένη έκδοση και αυτήν είναι το Recovery Vault. Με αυτή την λειτουργία ενεργοποιείται η προστασία συγκεκριμένης μονάδας του δίσκου για αρχεία που διαγράφονται με σκοπό να θυμάται τα στοιχεία των αρχείων αυτών και να μπορεί να τα επαναφέρει γρήγορα. Η έκδοση των Windows είναι παρόμοια με της Mac αφού έχει ακριβώς τις ίδιες λειτουργίες. Συμπερασματικά θα λέγαμε ότι το Disk Drill αποτελεί μια αξιόπιστη εφαρμογή για επαγγελματική χρήση με την έκδοση Pro όπου όλες οι λειτουργίες είναι ενεργές αλλά και για ερασιτεχνική χρήση με περιορισμένες λειτουργίες και δωρεάν έκδοση.

https://en.wikipedia.org/wiki/Disk_Drill_Basic

https://en.wikipedia.org/wiki/Digital_forensics

https://www.cleverfiles.com

Magnet Forensics ~ Τόσκα Νικολίν 4418225

επεξεργασία

Εισαγωγή

επεξεργασία

Η Magnet Forensics είναι μία εταιρία που εξειδικεύεται στα ηλεκτρονικά εγκλήματα και υπηρεσίες για προστασία προσωπικών δεδομένων στο διαδίκτυο από κλοπές και άλλες εγκληματικές ενέργειες. Ήταν ιδέα του Jad Saliba και ιδρύθηκε από τον ίδιο με την βοήθεια Adam Belsher, το 2009. Η εταιρία επεκτείνεται με συνεργάτες σε πολλές χώρες ανά ηπείρους όπως Ασία, Ευρώπη , Αφρική και Αμερική . Κύριος σκοπός της εταιρίας είναι να βρίσκει αποδεικτικά στοιχεία σε πελάτες με σκοπό την δικαιοσύνη και καταπολέμηση του ηλεκτρονικού εγκλήματος, δεν σταματάει εκεί δίνει δυνατότητες online εκπαίδευσης και χρήσης των προγραμμάτων, παρέχει πιστοποιήσεις για εξειδίκευση ως εγκληματολόγος ιατροδικαστής με δύο πιστοποιήσεις την MCFE-Axiom και ΜCFE-IEF τα οποία μπορούν να αποκτηθούν με εξετάσεις και παρακολούθηση των δωρεάν και επί πληρωμή online μαθημάτων για την χρήση των προγραμμάτων της εταιρίας, αυτό δίνει δυνατότητα συνεργασίας για παροχή υπηρεσιών επεξεργασίας δεδομένων και εφαρμογή δικαιοδοσίας σε έρευνες εύρεσης αποδεικτικών στοιχείων.

ΥΠΗΡΕΣΊΕΣ ΚΑΙ ΠΡΟΙΌΝΤΑ

επεξεργασία

Η εταιρία έχει ως σκοπό την υπεράσπιση του δικαίου και εξυπηρέτηση με τις καλύτερες δυνατές λύσεις στους πελάτες και συνεργάτες της, έτσι επιβάλει το νόμο με τα εξής προγράμματα και τις δυνατότητες που μπορούν να χειριστούν από εξειδικευμένους ιατροδικαστές ανάλυσης ψηφιακών δεδομένων.

Είναι η πλήρης πλατφόρμα που μπορεί κάποιος να την χρησιμοποιήσει για οποιαδήποτε χρήση, είτε αυτή είναι για κάποια εταιρία είτε για οικιακή χρήση ακόμα και για μεταπώληση, η πλατφόρμα είναι ειδική για ανάκτηση πολλών στοιχείων από ηλεκτρονικούς υπολογιστές ανεξαρτήτως λειτουργικού συστήματος, κινητές συσκευές android και iPhones με τον συγχρονισμό της εφαρμογής GreyKey για εξιχνίαση κρυπτογραφημένων δεδομένων. Το AXIOM μπορεί επίσης να εξορύξει ιστορικό και δεδομένα από υπηρεσίες Cloud όπως social media, Google, IoT και άλλα πολλά, η εφαρμογή έχει και δυνατότητα ανάκτησης κωδικών από συσκευές με σεβασμό στην προστασία του απορρήτου. Το εργαλείο μπορεί να οπτικοποιήσει και να οργανώσει μια υπόθεση σε ένα μόνο αρχείο συγκεντρώνοντας όλα τα ανακτήσιμα δεδομένα μαζί για πλήρης αξιοπιστία εξιχνίασης.

Magnet AXIOM CYBER

επεξεργασία

Η έκδοση Cyber έχει δυνατότητες ελέγχου για απάτες όπως η κλοπή αρχείων ή μεταφορές, εντοπίζοντας τους χρήστες που είχαν πρόσβαση σε αυτά, συγκέντρωσή στοιχείων από κατηγορήματα και ύποπτες κινήσεις σε κάποια ομαδική περίπλοκη υπόθεση, επιθέσεις κακόβουλων λογισμικών παρέχει δυνατότητες εντοπισμού της αιτίας στο διαδίκτυο και σε περιπτώσεις κλοπής ip εντοπίζει κάθε πηγή και αιτία ενός προβλήματος. Μπορεί να εκτελέσει απομακρυσμένες κρυφές εξορύξεις αποδεικτικών δεδομένων και όταν γίνει μία διακοπή μπορεί να συνεχίσει όταν ξαναγίνει σύνδεση στο διαδίκτυο, είναι ικανό να αποκτήσει cloud όπως Office 365, G Suit και Box. Του επιτρέπεται συλλογή δεδομένων από ΑWS S3, EC2, Azure Virtual Machines, MS Teams και Slack.

Προϊόντα οργάνωσης και ομαδικής δουλειάς

επεξεργασία

Είναι τρία προϊόντα που δημιουργήθηκαν για χρήση σε ομαδική δουλειά οργάνωση υποθέσεων και γρηγορότερων αποτελεσμάτων χρησιμοποιώντας τα ήδη υπάρχοντα εργαλεία και υλικό hardware.

Magnet AUTOMATIVE
επεξεργασία

Ικανό να ομαδοποιήσει δουλειές και να τα χωρίσει σε ξεχωριστά κομμάτια για μια υπόθεση σε ένα εργαστήριο μειώνοντας το χρόνο των αποτελεσμάτων με την ομαδική εέρευνα.

Επιτρέπει τον έλεγχο την οργάνωση παρακολούθηση και αναφορά αποδεικτικών στοιχείων σε μία υπόθεση που έχει μοιραστοί ή συνδυαστεί με στοιχεία από κάποια άλλη υπόθεση, απλά επεξεργάζεται από υποθέσεις στοιχεία.

Είναι μια υπηρεσία που επιτρέπει από τρίτους να εξετάζουν υποθέσεις χωρίς να είναι ειδική σε χρήση προγραμμάτων και εξιχνίαση υποθέσεων μέσω διαδικτύου.

Είναι μια εφαρμογή που επιτρέπει την φυσική σύνδεση μίας συσκευής και μπορεί να συλλέξει δεδομένα από τη συσκευή όπως αναφορές εφαρμογών, αρχείων καταγραφής, χρήση λέξεων κλειδιών και όλα αυτά σε μία εύστοχή σάρωση σε κάποια συσκευή.

https://www.magnetforensics.com/

https://training.magnetforensics.com/

https://el.wikipedia.org/wiki/%CE%A8%CE%B7%CF%86%CE%B9%CE%B1%CE%BA%CE%AE_%CE%B5%CE%B3%CE%BA%CE%BB%CE%B7%C2%B5%CE%B1%CF%84%CE%BF%CE%BB%CE%BF%CE%B3%CE%AF%CE%B1#%CE%A8%CE%B7%CF%86%CE%B9%CE%B1%CE%BA%CE%AC_%CE%A0%CE%B5%CE%B9%CF%83%CF%84%CE%AE%CF%81%CE%B9%CE%B1

https://www.crunchbase.com/organization/magnet-forensics

SUMURI - Γιώτης Δημήτριος

επεξεργασία

Εισαγωγή

επεξεργασία

Στη εποχή μας όλο και περισσότερες δικαστικές υποθέσεις χρησιμοποιούν εγκληματολογική εξέταση ψηφιακών πειστηρίων καθώς όλες οι ηλεκτρονικές δραστηριότητες ενός χρήστη καταγράφονται και αφήνουν πίσω τους αποδείξεις, δηλαδή ψηφιακά πειστήρια, τα οποία αν διερευνηθούν σωστά μπορεί να μας οδηγήσουν στην εξαγωγή ασφαλών συμπερασμάτων για τη δραστηριότητα ενός χρήστη. Η εγκληματολογική εξέταση ψηφιακών πειστηρίων μπορεί να χρησιμοποιηθεί σε διάφορα μέσα όπως:

• Κινητά Τηλέφωνα • Ηλεκτρονικό Υπολογιστή • USB/Memory Card/Micro sd • Drones.

Η εγκληματολογική εξέταση ψηφιακών πειστηρίων μπορεί να φανεί χρήσιμη για την διαλεύκανση διάφορων υποθέσεων όπως για παράδειγμα σεξουαλική παρενόχληση μέσω κάθε μορφής ηλεκτρονικής επικοινωνίας, παραποίηση αρχείων, σαμποτάζ και διαρροή δεδομένων, πειρατεία λογισμικού κ.α.

Η SUMURI είναι μια εταιρία που δημιουργήθηκε το 2010 στο Delaware της Αμερικής. Βασικός σκοπός της εταιρίας είναι παρέχει στην εγκληματολογική κοινότητα σχετικές ψηφιακές ιατροδικαστικές λύσεις, τηρώντας παράλληλα τις βασικές αξίες της τιμής, της ακεραιότητας, της πίστης, της θετικής στάσης, της αφοσίωσης και το πιο σημαντικό, πάνω από όλα, αλτρουισμό όπως αναφέρει ο συνιδρυτής της SUMURI, Steve Whalen. Ο Steve, όπως και άλλα μέλη της ομάδας SUMURI, είναι πιστοποιημένος εξεταστής ιατροδικαστικών υπολογιστών και συνταξιούχος αστυνομικός. Είναι γνωστός για την εμπειρία του στην εγκληματολογία του Mac και το μοναδικό στυλ διδασκαλίας του. Η SUMURI προσφέρει διάφορα εργαλεία και τεχνολογίες πάνω στη εγκληματολογία όπως για παράδειγμα το Carbon, το Recon lab και το Paladin.

Το RECON LAB είναι ένα πλήρες Forensic Suite που υποστηρίζει πολλά συστήματα αρχείων όπως Windows, macOS, Linux, iOS, Android και άλλα. Το RECON LAB δημιουργήθηκε για επιλύσει πολλαπλά προβλήματα που ενυπάρχουν σε άλλα εγκληματολογικά εργαλεία και για την επιτάχυνση της επεξεργασίας και να αναλύει χωρίς να επηρεάζεται η ποιότητα των εξετάσεων.

Το CARBON είναι μια bootable εγκληματολογική υπηρεσία Linux που βασίζεται στο Ubuntu και παρέχεται από τη SUMURI. Η διαδικασία boot τροποποιείται για να διασφαλιστεί ότι τα εσωτερικά ή εξωτερικά μέσα υπολογιστών και συσκευών δεν έχουν τροποποιηθεί. Το CARBON μπορεί να χρησιμοποιηθεί για την εκκίνηση συνδεδεμένων συσκευών SATA - εσωτερικές ή εξωτερικές ή εγκληματολογικές εικόνες. Το Carbon μπορεί να υποστηρίξει τις πιο δημοφιλείς εγκληματολογικές εικόνες όπως: RAW, 001, DD, E01, Ex01, DMG, S01, AFF ή virtual σκληρούς δίσκους όπως: VDMK, QCOW, HDD, VHD και πολλές άλλες μορφές.

Το Paladin είναι και αυτό μια bootable εγκληματολογική υπηρεσία με βάση το Ubuntu όπου επιχορηγήθηκε από την SUMURI ως ένα πρόγραμμα ανοιχτού κώδικα. Το Paladin διατίθεται ως ISO το οποίο μπορεί να χρησιμοποιηθεί για να δημιουργηθεί ένα Bootable CD/DVD ή USB. Το επίκεντρο του Paladin είναι η εργαλειοθήκη του αφού είναι ένα πρόγραμμα ανοιχτού κώδικα, με πάνω από 100 εργαλεία που βοηθούν στην εγκληματολογία μερικά από αυτά είναι : ανάλυση λογισμικού, ανάλυση κινητόυ τηλεφώνου, ανάλυση δικτύου, εύρεση προσωπικών κωδικών κ.α. Ακόμη, η SUMURI με την κυκλοφορία του Paladin άρχισε να το διαθέτει δωρεάν στους χρήστες της αντάλλαγμα μια μικρή δωρεά για την υποστήριξη του project από τους χρήστες στο ποσό των 25 δολαρίων ετησίως.

https://sumuri.com/ https://en.wikipedia.org/wiki/Digital_forensics https://www.provendatarecovery.com/blog/what-is-digital-forensics/

Autopsy - Βασιλειάδης Θεόδωρος

επεξεργασία

Εισαγωγή

επεξεργασία

Το Autopsy είναι μια δωρεάν εφαρμογή ανάκτησης ψηφιακών δεδομένων. Η εφαρμογή αυτή χρησιμοποιείται από έναν απλό χρήστη για την ανάκτηση φωτογραφιών από ένα παλιό σκληρό δίσκο, μέχρι και από την αστυνομία για την ανάκτηση στοιχείων από μια συσκευή που πιθανών περιέχει στοιχεία για κάποια υπόθεση. Το Autopsy κυκλοφόρησε τον Οκτώβρη το 2008 και είναι γραμμένο στη γλώσσα προγραμματισμού Perl, και με άδεια GPL 2. Λίγα χρόνια αργότερα, το 2011, κυκλοφόρησε η επόμενη έκδοση του λογισμικού αυτού, η οποία πλέον ήταν εξ ολοκλήρου πλέον γραμμένη σε Java. Η έκδοση αυτή ήταν συμβατή μόνο με ένα λειτουργικό σύστημα, τα Windows. Το λογισμικό λάμβανε ενημερώσεις σε μικρά χρονικά διαστήματα, στις οποίες οι προγραμματιστές έκαναν βελτιώσεις στο εύρος των δεδομένων που μπορούσε να ανακτήσει. Οι ενημερώσεις αυτές οφείλονται κατά ένα μέρος στην χρηματοδότηση την οποία έλαβαν από το κέντρο αριστείας των πληροφοριών του Αμερικανικού Στρατού (US Army Intelligence Center of Excellence). Το 2015 ανακοινώθηκε και η τελευταία μέχρι τώρα έκδοσή του 4.0.0 υπό την άδεια Apache 2.0 . Παρά το ότι το Autopsy είναι σχεδιασμένο να λειτουργεί σε όλα τα λογισμικά (Windows, Linux, MaxOSX), το λογισμικό είναι πλήρως δοκιμασμένο μόνο σε όλες τις εκδόσεις των Windows. Η κύρια αλλαγή του από την προηγούμενη έκδοσή του είναι η συνεργασία που προσφέρει μεταξύ των χρηστών, αφού δίνει την δυνατότητα συνεργασίας των χρηστών για την επίλυση μια υπόθεσης.

Δυνατότητες

επεξεργασία

Το Autopsy έχει διάφορα χαρακτηριστικά που διευκολύνουν τη χρήση του. Για παράδειγμα, έχει επιλογή ανάλυσης του χρονοδιαγράμματος, εμφανίζοντας μια γραφική παράσταση για να βοηθήσει στον εντοπισμό της δραστηριότητας. Δίνει ακόμη τη δυνατότητα για την αναζήτηση λέξεων κλειδιών για την ευκολότερη αναζήτηση συγκεκριμένων αρχείων και τον διαχωρισμό της δραστηριότητας των προγραμμάτων περιήγησης. Διαχωρισμός όμως γίνεται και στα αρχεία που θεωρούνται επιβλαβή για την συσκευή προφυλάσσοντάς από κακόβουλο λογισμικό. Επιτρέπει ακόμη στο χρήστη την αναπαραγωγή βίντεο και φωτογραφιών στην εφαρμογή χωρίς να απαιτεί την χρήση κάποιας άλλης εφαρμογής, καθώς υπάρχει και μια μικρογραφία των φωτογραφιών για πιο γρήγορη προβολή των αρχείων. Γίνεται αντιληπτό πως το Autopsy δίνει την δυνατότητα στο χρήστη να ανακτήσει οποιοδήποτε τύπο αρχείου ψάχνει προσφέροντας του παράλληλα διάφορες διευκολύνσεις που κάνουν τη διαδικασία πιο εύκολη και πιο γρήγορη.

Τρόπος λειτουργείας

επεξεργασία

Με το άνοιγμα της εφαρμογής δίνεται η επιλογή στο χρήστη για δημιουργία νέας υπόθεσης ή άνοιγμα μιας ήδη υπάρχων. Όταν γίνεται η επιλογή μιας καινούργιας, ο χρήστης επιλέγει την συσκευή από τον οποία θα κάνει την ανάκτηση των αρχείων . Στη συνέχεια, επιλέγει από ποιο μέρος του αποθηκευτικού χώρου επιθυμεί την εύρεση αρχείων, ενώ πριν ξεκινήσει η διαδικασία ανάγνωσης της συσκευής ο χρήστης έχει την δυνατότητα επιλογής ανάκτησης συγκεκριμένου τύπου αρχείων για την επιτάχυνση της διαδικασίας κάνοντας παράλληλα της εύρεση των αρχείων που ψάχνει πιο εύκολη. Όταν η αναζήτηση έχει τελειώσει, δημιουργούνται κατηγορίες στο αριστερό μέρος της οθόνης της εφαρμογής, δίπλα στις οποίες υπάρχει ο αριθμός των αρχείων που βρίσκεται στην κάθε μια. Επίσης δημιουργείται ένα χρονοδιάγραμμα, χωρισμένο σε έτη, μέρες και ώρες δημιουργίας κάθε αρχείου, καθώς και ένας γεωγραφικός χάρτης όπου εμφανίζονται αντικείμενα που έχουν χαρακτηριστικά γεωγραφικού μήκους και πλάτους ως σημεία στο χάρτη.

https://www.autopsy.com/

https://en.wikipedia.org/wiki/Autopsy_(software)#Process

https://www.sleuthkit.org/autopsy/

Encase Forensic ~ Σταθάκης Αθανάσιος

επεξεργασία

Εισαγωγή

Καθώς η τεχνολογία εξελίσσεται, το ίδιο κάνουν και οι προκλήσεις της ψηφιακής δικαστικής έρευνας. Οι ερευνητές πρέπει να καλύπτουν όλες τις συσκευές και τα λειτουργικά συστήματα, να προσεγγίζουν όλα τα δεδομένα και να εργάζονται διακριτικά και παγκοσμίως, εξασφαλίζοντας ταυτόχρονα μια γρήγορη, αποτελεσματική, επαναλαμβανόμενη και εγκληματικά ορθή διερευνητική διαδικασία.

Τα εργαλεία Ψηφιακών Πειστηρίων ανοίγουν το δρόμο προς την ικανοποίηση της συγκεκριμένης επιδίωξης.

Το EnCase είναι από τα πιο διαδεδομένα λογισμικά Ψηφιακών Πειστηρίων. Με το εργαλείο αυτό ο ερευνητής έχει την δυνατότητα να συλλέξει πληροφορίες από διάφορες ηλεκτρονικές συσκευές. Έχει ένα φιλικό προς τον χρήστη περιβάλλον και την ικανότητα να παράγει αυτόματα αναφορά. Εκτός από αυτά μπορεί να αποκρυπτογραφήσει στοιχεία που θα φανούν χρήσιμα κατά την διάρκεια της έρευνας. Το κόστος για μία άδεια κυμαίνεται στο ύψος των $3594.

Περιγραφή

Το EnCase αποτελεί τεχνολογία Ψηφιακού Πειστηρίου της εταιρείας Guidance Software που αποκτήθηκε στη συνέχεια από την OpenText. Το Encase χρησιμοποιείται παραδοσιακά στην εγκληματολογία για την ανάκτηση στοιχείων από κατασχεμένους σκληρούς δίσκους. Επιτρέπει στον ερευνητή να διεξάγει σε βάθος ανάλυση των αρχείων χρήστη για τη συλλογή αποδεικτικών στοιχείων όπως έγγραφα, εικόνες, ιστορικό διαδικτύου και πληροφορίες μητρώου των Windows. Η εταιρεία προσφέρει επίσης εκπαίδευση και πιστοποίηση EnCase.

Το EnCase Forensic ακολουθεί το παγκόσμιο πρότυπο της τεχνολογίας ψηφιακών ερευνών για ιατροδικαστές που πρέπει να διεξάγουν αποτελεσματική, εγκληματολογικά ορθή συλλογή δεδομένων και έρευνες χρησιμοποιώντας μια επαναλαμβανόμενη και αμυνόμενη διαδικασία. Βασικό στόχο του συγκεκριμένου λογισμικού αποτελεί η ενδυνάμωση των εξεταστών εγκληματολογικών υποθέσεων με την υψηλότερη απόδοση, ισχύ και αποτελεσματικότητα. Κατέχει μια από τις πρώτες θέσεις στην αγορά αντίστοιχων εργαλείων με βασικές παροχές:

Τη γρήγορη λήψη δεδομένων από την ευρύτερη ποικιλία συσκευών

Έχει τη δυνατότητα διερεύνησης σε όλα τα πιθανά λειτουργικά συστήματα των συσκευών

Ανακάλυψη πιθανών στοιχείων με εγκληματολογική ανάλυση σε επίπεδο δίσκου

Δημιουργία αναλυτικών αναφορών για ευρήματα

Διατήρηση της ακεραιότητας των αποδεικτικών στοιχείων που εμπιστεύονται τα δικαστήρια με αποδεκτές μορφές αρχείων αποδεικτικών στοιχείων (L01, LX01, E01 και Ex01)

Αποκρυπτογράφηση δεδομένων και κατάργηση κωδικού από κλειδωμένα αρχεία

Παροχή υποστήριξης μέσω μιας μηχανής ευρετηρίασης με στόχο την απόδοση και αυτοματοποίηση πολύπλοκων ερωτημάτων σε διάφορες πηγές αποδεικτικών στοιχείων, εξοικονομώντας χρόνο και αυξάνοντας την αποδοτικότητά της έρευνας.

Η ταχύτητα και η ισχύς είναι μόνο δύο από τα οφέλη που αποκομίζουν οι ερευνητές από το συγκεκριμένο λογισμικό. Προσφέρει αύξηση της εμπιστοσύνης στα ευρήματα των ερευνητών χρησιμοποιώντας το αποδεδειγμένο, ψηφιακό ιατροδικαστικό πρότυπο, ανακάλυψη στοιχείων χρησιμοποιώντας προηγμένες δυνατότητες αναζήτησης και αύξηση της παραγωγικότητας με προεπισκόπηση των αποτελεσμάτων καθώς αποκτώνται δεδομένα. Μόλις δημιουργηθούν αρχεία εικόνας, είναι εφικτή η αναζήτηση και η ανάλυση ταυτόχρονα σε πολλές μονάδες δίσκου. Στις μέρες μας χρησιμοποιείται από περισσότερους από 60.000 επαγγελματίες ψηφιακών ερευνών που έχουν εκπαιδευτεί από πραγματικούς εμπειρογνώμονες στον τομέα της επιβολής του νόμου, νομικών και ψηφιακών ερευνών στα κέντρα εκπαίδευσης λογισμικού. Τα δεδομένα που ανακτήθηκαν από το λογισμικό EnCase έχουν χρησιμοποιηθεί σε διάφορες δικαστικές υποθέσεις, όπως στις υποθέσεις του BTK Killer και τη δολοφονία του Danielle van Dam με μεγάλη επιτυχία.

Συμπεράσματα

Το EnCase Forensic, αποτελεί ένα ολοκληρωμένο εργαλείο ψηφιακής έρευνας που έχει δημιουργηθεί με γνώμονα τον ερευνητή και έχει στεφθεί με επιτυχία στις υποθέσεις που έχει χρησιμοποιηθεί.

Πηγές:

https://cdfs.com.au/product/encase-forensic/

https://www.guidancesoftware.com/encase-forensic

https://en.wikipedia.org/wiki/EnCase

https://eforensicsmag.com/how-encase-software-has-been-used-major-crime-cases-plus-how-to-use-encase-forensic-imager-yourself-by-brent-whitfield/