Svakim danom povećava se broj korisnika računala, mobilnih, IoT i sličnih uređaja koji imaju mogućnost pohranjivanja sve veće količine podataka. Također, danas gotovo svako kazneno djelo uključuje barem jedan elektronički uređaj, dok složenija kriminalna djela mogu uključivati dvoznamenkasti broj uređaja. Povećanjem broja uređaja, kao i količine pohranjenih podataka, povećava se kompleksnost izvođenja forenzičkih istraga, što dovodi forenzičke istražitelje pod veliki pritisak kako bi se u što razumnijem vremenu došlo do traženih podataka, odnosno TTE (engl. Time To Evidence). Često određeni forenzički slučajevi zahtijevaju žurne postupke akvizicije podataka i analizu, stoga je nužno prioritizirati dokaze pomoću trijaže.
Pojam trijaža prvi se put spominje u medicini, gdje je postupak trijaže predstavljao sustav za brigu ozlijeđenih osoba prema kategorizaciji ozljeda koje su osobe zadobile tijekom bitke na bojišnici, kao i ovisnost o potrebi za žurnim zbrinjavanjem ozljeda. Ista metodologija je uvedena i u digitalnu forenziku i ona predstavlja proces brzog prikupljanja i analize dokaza pritom prioritizirajući bitne digitalne dokaze, bilo to na mjestu događaja, odnosno van laboratorija, kao i unutar laboratorija.
Benefiti primjene alata za trijažu, [1]:
- Vrijeme – znatno skraćivanje vremena nužnog do pronalaska kritičnih dokaza, brži odgovor na incidente
- Pretpregled slučaja – pruža uvid u sam incident i time omogućava stvaranje strategije analize
- Resursi – efikasnija raspodjela forenzičkih alata i fokus na najvažnije dokaze
- Količina dokaza – manja količina dokaza za prikupljanje i čuvanje
- Ušteda troškova – smanjenje financijskih troškova fokusiranjem na važnije dokaze
Uvođenjem trijaže u sam proces forenzičkih istraga djelomično se smanjuje opterećenje forenzičkih istražitelja. Uzmimo za primjer slučaj korporativnog okruženja s 7 zaposlenih i isto toliko računala gdje je došlo do eksfiltracije podataka. Ako su sva računala zaražena nekom vrstom računalnog virusa, nužno je utvrditi kako je došlo do incidenta, odnosno početnu točku zaraze virusom. Tradicionalnom forenzikom, forenzički istražitelji bi trebali napraviti forenzičku sliku diska svakog računala a zatim provoditi analizu. Testiranjem u laboratoriju za digitalnu forenziku naše tvrtke, proces izrade forenzičke slike diska računala kapaciteta 500 GB traje približno 2 sata i 20 minuta, pritom je nužno prema najboljim praksama kreirati 3 forenzičke slike. Što bi u konačnici rezultirao da je za izradu forenzičkih slika diska jednog računala potrebno okvirno 7 sati. Procesiranje forenzičke slike može potrajati približno oko 6 sati. Zbrojem vremena potrebnog za izradu, i procesiranje forenzičke slike diska jednog računala, dolazimo do brojke od 13 sati na što možemo nadodati nekoliko sati za analizu velikog broja podataka što još dodatno produžuje samu forenzičku istragu.
S obzirom na trajanje tog procesa, efikasnije bi bilo koristiti forenzičke alate za trijažu kako bi istražitelji u kratkom roku mogli saznati na kojem računalu postoje digitalni tragovi bitni za istragu. Korištenjem alata za trijažu moguće je doći do bitnih dokaza u ovisnosti od količine podataka, vrsti uređaja i samom alatu kroz 10 minuta do maksimalno nekoliko sati. Ukoliko se trijažom na nekom od računala pronađu bitni dokazi, forenzički istražitelji stavljaju to računalo u fokus forenzičke istrage, dok se s preostalim računalima postupa shodno rezultatima analize tih računala. Iako alati za trijažu ubrzavaju sam tijek forenzičkih istraga, oni zahtijevaju više znanja od strane forenzičkih istražitelja kako bi ispravno prikupili i protumačili dokaze pronađene trijažom. Važno je napomenuti i da se samom trijažom digitalnih dokaza, ne obuhvaćaju artefakti koji su pobrisani, za koje je potreban povrat podataka i sl. Trijaža uključuje samo trenutno dostupne podatke sustava.
Kada govorimo o alatima za trijažu, neki od tradicionalnih forenzičkih alata već omogućavaju djelomično izvođenje trijaže. No što je s alatima koji su izričito razvijeni za ovu vrstu akvizicije?
Pregledom tržišta trenutno dostupnih alata može se zaključiti da su proizvođači forenzičkih alata prepoznali trijažu kao iznimno bitno područje i da postoji potreba za razvojem alata za trijažu. Kao jedan od tržišnih lidera iz područja digitalne forenzike, tvrtka INsig2 surađuje sa tvrtkama koje razvijaju takve alate poput Belkasoft T, Magnet Forensics Outrider i Ignite, ADF Triage-Investigator, Cyacomb Examiner Plus, Detego Field Triage i razni alati drugih proizvođača.
Slika 1. Prikaz sučelja alata Magnet Outrider.[2]
Iako je trijaža najčešće vezana uz rad na terenu, trijažu uređaja moguće je izvršiti i u laboratoriju. Pri postupku trijaže komercijalni alati omogućavaju iznimno brzu provjeru postojanja ciljane datoteke na mediju temeljem izračuna i usporedbe HASH vrijednosti svih datoteka s HASH vrijednošću ciljane datoteke. Također, osim HASH vrijednosti, moguće je koristiti opciju pretraživanja podataka prema ključnim riječima.
Prilikom provođenja trijaže ovo su potencijalni dokazi koje je moguće pronaći, [3],[4],[5]:
- prethodno povezivane prijenosne medije na računala,
- korištene aplikacije,
- povijest internet preglednika,
- sistemske datoteke,
- tragove komunikacije (IP adrese, SMS, MMS, pozivi, e-mailovi)
- korisničke profile,
- GPS zapise,
- multimedijski sadržaj,
- detekcije sadržaja koji je vezan uz kaznena djela spolnog zlostavljanja iskorištavanja djece (engl. CSAM),
- lozinke,
- zlonamjerni softver,
- detekcija enkripcije, zaštićenih mapa i sigurnosnih kopija,
- detekciju virtualnih računala i drugo.
Neki od alata za trijažu posjeduju mogućnost učitavanja forenzičke slike predmetnog uređaja kako bi čim prije došli do bitnih dokaza, kao i mogućnost izrade forenzičke slike radne memorije i izradu snimki zaslona računala nad kojim se izvodi trijaža, [6].
Uz sve navedeno, možemo reći kako su proizvođači forenzičkih alata uz bok forenzičkim istražiteljima i teže ka olakšanju obavljanja složenog posla kojeg svakim danom ima sve više. Primjenom trijaže u digitalnoj forenzici, istražitelji značajno dobivaju na vremenu, mogu postaviti vrlo dobre i jasne ciljeve za daljnji tijek istrage kao i smanjiti broj uređaja koji čekaju provođenje akvizicije i analize. Kao ovlašteni prodajni zastupnici alata i opreme za digitalnu forenziku, posljednjih godina primijetili smo značajan porast interesa naših klijenata za trijažom u digitalnoj forenzici, što je rezultat intenzivnije edukacije i podizanja svijesti o važnosti trijaže.
Autor:
Petar Majić, Konzultant za digitalnu forenziku
Reference
[1] 3 Benefits of Digital Forensic Triage, https://www.adfsolutions.com/news/digital-forensic-triage-benefits
[2] Magnet Outrider Overview, https://www.youtube.com/watch?v=3ZVvfyk92ac&t=8s
[3] Triage Investigator, https://www.adfsolutions.com/triage-investigator
[4] Belkasoft Triage, https://belkasoft.com/t
[5] Field Triage, https://detegoglobal.com/field-triage/
[6] Magnet Outrider, https://www.magnetforensics.com/products/magnet-outrider/
