Kompanija INSIG2 postala je prvi regionalni obrazovni i trening centar za kompjutersku forenziku, s ovlašćenjem kompanije Guidance Software, vodećeg svetskog proizvođača i distributera alata za računarsku forenziku i digitalne istrage. Cilj je da se obrazovanje iz oblasti računarske forenzike približi prvenstveno policijskim istražiteljima, sudskim veštacima i advokatima.
Obuka će se obavljati u sedištu kompanije INsig2 u Zagrebu, a po želji i u dogovoru s polaznicima može se obavljati i na drugim lokacijama. U kompaniji INsig2 kažu da mogu prilagoditi program i trajanje obuke potrebama i predznanjima polaznika, kako bi se postigao maksimalan učinak i polaznicima prenela samo ona znanja koja su im potrebna. Razgovaramo sa Goranom Oparnicom, direktorom firme INsig2.
BIF: Da li čitaocima možete objasniti šta je to digitalna forenzika i šta ovaj pojam obuhvata?
Goran Oparnica: Digitalna forenzika znači pretraživanje dokaza koji postoje u digitalnom obliku, a to znači da mogu biti bilo na kompjuterima, na mobilnim telefonima, digitalnim aparatima, flash uređajima, mp3 plejerima itd. Takođe pojam obuhvata i njihovu prezentaciju kao validan dokaz u sudskom postupku. Ona znači i „hajde da mi otkrijemo šta se desilo“ s jedne strane i s druge strane „hajde sada to na odgovarajući način prikazati na sudu“, ali tako da sud taj dokaz ne može odbiti. Međutim, vremenom se digitalna forenzika proširila i na privatni sektor. Vremenom su ljudi zaključili da su isti ti alati digitalne forenzike, primenjeni na malo drugačiji način mogu biti vrlo efikasno sredstvo za zaštitu informacionog sistema, odnosno intelektualnog vlasništva i ostalih podataka koji postoje na disku računara.
BIF: EnCase je poznat u svetu kao veoma dobar alat za digitalnu forenziku. Možete li nam ukratko objasniti njegovu primenu?
G. Oparnica: Danas imamo dva segmenta korišćenja EnCase-a: jedan je za post festum istrage, kad se nešto desilo, a drugi je za proaktivni zaštitu kompletnog sistema određenog preduzeća. Što je stepen informatizacije viši, to je opravdanje za korišćenje ovakvog alata veće. Koliko ćete novca uložiti u sigurnost, direktno zavisi od onoga šta štitite. Uzmimo na primer farmaceutski sektor, koji sve tajne informacije drže na disku računara ili sektor telekomunikacija koji ima zakonsku obavezu čuvanja podataka određeni broj godina, dakle sve informacije koje ne bi smele iscuriti van.
Firma IN2 je sklopila partnerstvo sa firmom Guidence Software iz SAD, koja je broj jedan po pitanju sigurnosti. Firma razvija EnCase softver koji je trenutno po svim statistikama daleko najbolji i najkorišćeniji forenznički softver u svetu. Prema statistikama u USA, preko 90% istraživača koristi upravo EnCase, dok su statistike u Velikoj Britaniji i drastičnije i govore da je čak u sto procenata zastupljen EnCase. Mi smo to prepoznali, kao i tržište i uzeli to za našu nišu kojom se možemo pojaviti i aktivirati. Zapravo se bavimo forenzikom od samog svog osnivanja, 2004. godine. Firma INsec2 je deo grupacije IN2, a grupacija se bavi razvojem softvera, ima deset firmi u celom regionu i jedna od tih firmi je IN2 u Beogradu sa kojom usko sarađujemo. Tako imamo lokalnu pokrivenost.
BIF: Koja su minimalna predznanja polaznik kursa mora da poseduje?
G. Oparnica: Osnovna motivacija za pravljenjem regionalnog centra forenzike je da forenzički alati nisu intuitivni i nisu trivijalni. Vi ne možete EnCase koristiti ako ne znate ništa o forenzici s jedne strane, s druge strane ne možete EnCase koristiti ako ne znate razvoj računara i sa treće strane ne možete očekivati da ono što radite sa EnCase-om može biti prihvaćeno na sudu, ako ne znate metodologiju forenzike. Tu postoji nekoliko kategorija znanja koje se moraju posedovati da bi se neko zvao uspešnim digitalnim forenzičarem.
Moramo znati kako Windows radi, gde zapisuje informacije. Tu postoje različiti sistemski fajlovi, registriji, svop spejsovi (swap space), dakle oni prostori za koje velika većina korisnika ne zna da postoje. Sa forenzičkog stanovišta najzanimljiviji su upravo sistemski fajlovi. Kada kroz vaš Internet Explorer želite da posetite stranicu na kojoj ste bili ranije i nakon što unesete prva dva slova adrese, program će vam ponuditi kompletnu adresu. Sama činjenica da ste negde bili je negde upisana. Morate znati gde je upisan taj history da biste znali gde da tražite.
Drugo je kako provoditi samu istragu i znati šta je cilj. Ako je vaš cilj uhvatiti krivca i na sudu predati sve relevantne dokaze da je krivac zaista kriv, morate poštovati zakonsku proceduru. Svaka uređena država ima više zakona. Jedan je Krivični zakon, koji kaže šta je krivično delo, a drugi je Zakon o krivičnom postupku koji kaže kako se vodi krivični postupak i kako se izvode dokazi. Digitalni dokazi bi morali biti jasno definisani. Onda se sa pravilnicima definiše kako istraživati određene sisteme. Zakonska regulativa je nužna, jer sve je ovo preduslov da bi dokazi bili prihvaćeni na sudu.
Nakon toga se sprovodi obuka za korišćenje EnCase softvera.
BIF: Da li se podaci do kojih se dođe forenzikom mogu koristiti kao sudski dokaz? Koja su vaša iskustva u veštačenjima na sudu?
G. Oparnica: Mi nismo veštaci i nemamo iskustvo u veštačenju te nemamo nameru baviti se veštačenjem. Zpravo možemo pomoći istražiteljima nekom svojim pomoćnim uslugama. Ne želimo znati na kom konkretnom slučaju policija radi, ali policajac može reći da je našao, na primer, sliku dečje pornografije i da želi saznati na koji je način ta slika došla tu. Možemo dati tehnički savet, ali ne učestvujemo u samom procesu.
BIF: Da li uspešnost forenzike ima veze sa operativnim sistemom kompjutera kao što su Windows, MacOs, Linux i ostali ili je nevezana za platformu?
G. Oparnica: Suštinske razlike nema. EnCase radi savršeno sa svim fajl sistemima koji postoje i sa MacOs-om, Unixom i *nix sistemima.
BIF: Da sistem čiji vlasnik je neko ko sistem redovno defragmentira i optimizuje, pri tom briše keš i ostale podatke može biti podvrgnut kompjuterskoj forenznici i da li to predstavlja problem u daljoj analizi?
G. Oparnica: On misli da sve briše. Ako u Internet Exploreru stavite „clear history“, on je uzbrisao podatke, ali oni još uvek stoje zapisani na disku, samo morate znati gde je zapisano da biste ga mogli pronaći. Slično je i sa cache-om nakon što ste neki sajt posetili.
Ali, digitalni dokaz, kao i svaku dokaz ima svoj vek trajanja. Na čaši mogu biti moji otisci prstiju, ali ako ona opere, mojih otisaka neće biti. Slična stvar je i ovde, ali nije tako trivijalna. Brisanje fajlova sa diska i formatiranje diska ne moraju nužno značiti i nestanak dokaza. Uvek se postavlja pitanje šta želite dokazati. Ako želite dokazati da je neko pedofil i da se bavi dečjom pornografijom trebali bi pronaći nekoliko slika koje bi bili dovoljan dokaz. Međutim, vi u nekom postupku želite dokazati da se dve osobe poznaju. Onda ne morate naći kompletan dokument, dovoljno je naći na disku ime, broj telefona ili e-mail adresu što može biti osnovana sumnja da se dvoje poznaju. U procesu defragmentacije, jedan deo podataka će biti obrisan, dok će jedan deo ostati.
BIF: Koji je Vaš dosadašnji najveći izazov u smislu kompjuterske forenzike?
G. Oparnica: Zanimljiv primer je conficker. To je crv, oblik virusa koji čini štetu kompjuterima, ali to je takav virus koji stalno menja svoj oblik. Klasnični antivirus programi rade po principu da ako nađu checksum u memoriji i uporede ga sa bazom, znaju koji je virus u pitanju. Kod confickera to nije moguće jer on menja oblik. On može postojati na jednoj mreži od deset kompjutera i na svakom kompjuteru izgledati drugačije. EnCase tu može pomoći jer može utvrditi šta se u memoriji nalazi a nije poznato. Ovaj komad pripada Office-u, ovaj Excel-u, ovaj Corelu i može reći „ovaj komad ne znam čemu pripada“. Zapamtiće da na nekom kompjuteru postoji nepoznati deo koda i uporediti ih sa kodovima sa ostalih kompjutera. Oni su naizgled drugačiji, ali EnCase zna utvrditi sličnosti u ponašanju određenih kodova. Tako može utvrditi da dva naizgled različita koda rade u 80% slučajeva istu stvar.
BIF: Ko su vaši najveći klijenti i kakva su iskustva sa njima?
G. Oparnica: O referencama i imenima ne bih hteo govoriti. Mi se bavimo sigurnošću i naši klijenti ne žele da govorimo o njima jer samim tim postaju izloženi. Naši klijenti su, naravno, policija, ali i najveće firme u Hrvatskoj koje imaju visok stepen informatizacije. Bitno je da postoji nešto što te firme žele zaštititi. Mogu reći samo da naši klijenti dolaze iz finansijskog sektora, saobraćaja i farmaceutskog sektora.
Uroš Nedeljković
broj 67, jun 2010.