- FBI se računalnom forenzikom prvi koristio za istraživanje zločina povezanih s računalima
- Za uspon znanosti najzaslužniji je Cliff Stoll koji je 1986. istraživao problem povezan s financijskim izvješćem
- Digitalna forenzika ne poboljšava poslovanje, već pomaže tek kad zakaže sigurnost ili se dogodi zločin
‘Selfie‘ s društvene mreže razotkrio je rusku diplomatsku laž, dokument u Wordu s diskete otkrio je masovnog ubojicu nakon trideset godina njegova igranja lovice s američkom policijom, pogreška u financijskom izvješću manja od jednoga dolara otkrila je njemačkog hakera koji upada u sustave i ukradene podatke prodaje tajnoj službi… Sve te tajne otkrila je digitalna forenzika.
Iako je Rusija nakon nasilna pripajanja Krima 2014. oštro osporila da se njezine vojne jedinice nalaze na području Ukrajine, fotografija narednika ruske vojske Aleksandra Sotkina objavljena na Instagramu razotkrila je diplomatsku laž. Dok je bio na dužnosti, krećući se između vojne baze u Rusiji i Ukrajine, Sotkin je, naime, okinuo selfie i objavio ga na fotografiji sa zemljopisnom oznakom na društvenoj mreži Instagramu.
To je samo jedan od primjera digitalne forenzike i načina na koje digitalni forenzičari pribavljaju dokaze. U drugom je primjeru digitalna forenzika odigrala glavnu ulogu u pronalasku masovnog američkog ubojice, slučaj poznat kao ‘BTK‘. Dennis Rader mučio je i ubio najmanje deset ljudi, ali ostao je neotkriven tri desetljeća. Čak je trideset godina američkoj policiji slao čudne poruke tijekom svojih ubilačkih pohoda, a razotkriven je tek 2005. kad joj je na disketi poslao dokument u Wordu. Digitalni forenzičari uspjeli su ući u trag podatcima s diska, što je pomoglo u otkrivanju pravog identiteta BTK ubojice pa je Rader napokon uhićen.
Od pornografije do špijunaže
Digitalna forenzika grana je forenzičke znanosti koja uključuje prikupljanje i obradu podataka pohranjenih u digitalnom obliku, obično povezanih sa zločinom koji uključuje uporabu računala; uključuje prikupljanje digitalnih dokaza s različitih uređaja, alata ili infrastrukture kao što su računala, mobilni uređaji, e-pošta, tvrdi diskovi i sustavi za pohranu u oblak. Izraz ‘računalna forenzika‘ u uporabi je od 1984. – FBI se njime prvi koristio za istraživanje zločina povezanih s računalima kad je pokrenuo prvi računalni forenzički program (Magnet Media Program).
No za uspon digitalne forenzike najzaslužniji je Cliff Stoll iz Nacionalnog laboratorija Lawrence Berkeley koji je 1986. istraživao problem povezan s nekim financijskim izvješćem. Iako je bila riječ o iznosu manjem od dolara, Cliff je pomno istražujući taj slučaj ušao u trag njemačkom hakeru koji je upadao u sustave i prikupljene podatke prodavao ruskoj tajnoj službi KGB-u. To je bilo prvo otkriće digitalne forenzike. Ubrzo ju je počela upotrebljavati američka policija za otkrivanje dječje pornografije i ostale kriminalne istrage, a onda i američka vojska u ratovima u Iraku i Afganistanu.
Nakon što je računalna forenzika uzela maha, ponajprije u suzbijanju dječje pornografije, proširila se na sva područja koja sadržavaju digitalne podatke. Danas se njome naveliko koriste i kompanije, za koje digitalni forenzičari otkrivaju primjere u kojima zaposlenici pogrešno rukuju osjetljivim informacijama i posljedice kibernetičkih napada.
Prvi policajci
Vlasnik američke tvrtke za računalnu forenziku 4Discovery Chad Gough, koji već više od dvadeset godina surađuje s tvrtkama s popisa ‘Fortune 500‘ i vodio je stotine digitalnoforenzičkih istraga, izjavio je da je ‘digitalna forenzika forenzička znanost baš kao i toksikologija jer se računalni artefakti mogu identificirati, ispitati, testirati, ponoviti i recenzirati‘.
Prema izvješću o tržištu forenzičkih tehnologija Vantage Market Researchu za 2022., očekuje se da će globalna forenzička industrija donijeti oko 27 milijardi dolara do 2028. godine. Tržište digitalne forenzike raste zahvaljujući tomu što su računala sastavni dio pametnih satova, mobilnih telefona, CCTV sustava, čak i pametnih sprinkler-sustava (mlaznica za vodu za gašenje požara), pa više nijedna industrija ne može napredovati bez ugradnje digitalne tehnologije u poslovne procese.
Ministarstva unutarnjih poslova (policija) bila su prve institucije koje su počele primjenjivati digitalnu forenziku, a poslije se, kad se uvidjelo koliko je korisna i gdje se može upotrebljavati, proširila i na druge državne institucije koje postupaju po zakonu (engl. law enforcement): poreznu upravu, carinu, agenciju za zaštitu tržišnog natjecanja, financijsku policiju, državne sigurnosne agencije, vojsku…
Čitanje digitalnih tragova
U Hrvatskoj se digitalnom forenzikom bavi više kompanija. Jedna je od njih INsig2, specijalizirana za integrirana sigurnosna rješenja te rješenja i usluge povezane s digitalnom forenzikom, koja već gotovo dvadeset godina posluje na hrvatskom i stranom tržištu. Radi za privatni i javni sektor, od policije i vojske, bankarske i farmaceutske industrije do zdravstva i tehnološkog sektora.
Voditelj digitalne forenzike u toj tvrtki Krešimir Hausknecht objašnjava da nakon ranih početaka veliki zamah digitalna forenzika doživljava s većom dostupnosti širokopojasnog interneta, mobilnih uređaja, socijalnih mreža te, u novije vrijeme, s kibernetičkim kriminalom – ponajviše ransomwareom i krađom podataka. Dijeli se na računalnu, mobilnu, mrežnu forenziku i forenziku u oblaku (cloud). Glavna je razlika među tim kategorijama u tome gdje se nalaze podaci i kako se prikupljaju: izvor podataka je ugašen/uključen, podaci su fizički dostupni ili im se mora udaljeno pristupati ili su pak u tranziciji.
– Postupak digitalne forenzike sastoji se od nekoliko koraka: pripreme, pronalaženja, prikupljanja, analize i dokumentiranja digitalnih dokaza. Redoslijed može biti i drukčiji, ovisno o vrsti slučaja i tomu tko ga provodi, tijelo za provedbu zakona ili korporacija. Danas je većina podataka u digitalnom obliku i većina posla koji se obavlja ostavlja digitalni trag. Svi smo cijeli dan ovisni o mobilnim uređajima zbog komunikacije, informiranja ili korištenja usluga potrebnih za svakodnevni život, poput bankovnih.
I cijeli svijet ide u tom smjeru: da jednostavno ne možete funkcionirati kao građanin bez pojedinih mobilnih aplikacija ili interneta – kaže Hausknecht i dodaje da digitalni dokazi mogu dati iznimno mnogo podataka o svakoj osobi: ime i prezime, njezinu adresu, imena članova obitelji, interese, posjećene lokacije, prijatelje, rodbinu, povijest komunikacije, kretanje, obrazovanje, bankovne podatke, poslovne podatke i komunikaciju, povijest kupnje… Ti podaci mogu poslije poslužiti u nekoj istrazi i biti upareni s više podataka drugih ljudi ili izvora. Drugi izvori odnose se na različite baze podataka, javni videonadzor, podatke ISP-a (davatelja internetskih usluga), državne institucije, arhive…
– Digitalna forenzika postala je i dio IT sigurnosti, tj. kibernetičke sigurnosti korporacija te čak i manjih poduzeća. Njome se bave digitalni forenzičari. Različita je situacija u svijetu. Općenito imamo dva izvora stručnjaka: policijske akademije ili specijalizirana sveučilišta koja su više orijentirana na kibernetičku sigurnost odnosno kibernetičku forenziku.
Na istim se mjestima dobiva i osnovna naobrazba, ali glavni dio školovanja održava se u sklopu specijalizirane edukacije kakvu nudi i INsig2; tu je i školovanje kod proizvođača opreme koja se upotrebljava u tom području. INsig2 nudi različite tečajeve iz različitih područja i različitih razina: početne, srednje i napredne – navodi Hausknecht i objašnjava da digitalni forenzičari mogu biti istražitelji, analitičari, tehničari... Ako je riječ o kibernetičkoj forenzici, niz zanimanja uključuje digitalnu forenziku: SOC analitičar, osoba zadužena za odgovore na incidente, SIEM operativac itd.
Sve se dozna
Prema Hausknechtovim riječima, digitalni forenzički proces ovisi od slučaja do slučaja i modeli se razlikuju ovisno o cilju istrage: provedba zakona, revizija ili odgovor na incident, a u prosjeku traju najmanje pet dana. Kad je podataka ili uređaja više, analiza traje i nekoliko mjeseci. Hausknecht zbog ugovora o poslovnoj tajni ne može govoriti s kojim je kompanijama INsig2 radio digitalnu forenziku i koji su bili razlozi za to.
No, općenito, svaka istraga ima cilj ili pitanja na koje treba odgovoriti. Primjerice, je li A komunicirao s B-om, kad se to dogodilo, što je bio sadržaj, je li A bio na lokaciji B na određeni datum; otkrivanje osobe s videonadzora, otkrivanje vlasnika pojedinog online računa, dokazivanje da je osoba nešto napravila korištenjem pojedinog uređaja, primjerice izradila neki dokument, ukrala ga ili poslala trećoj strani, te je li se manipuliralo podacima…
Bezbroj je pitanja na koja odgovor može dati samo digitalna forenzika, ali ona ne poboljšava poslovanje jer se primjenjuje tek kad zakaže sigurnost ili se dogodi problem odnosno zločin.