UNIVERSITETI “UKSHIN HOTI’’ PRIZREN
FAKULTETI I SHKENCAVE KOMPJUTERIKE KOMPJUTERIKE TEKNOLOGJIA E INFORMACIONIT INFORMACIONIT DHE TELEKOMUNIKIMIT TELEKOMUNIKIMIT
PUNIM DIPLOME Tema: Procedurat dhe veglat në forenzikën kompjuterike
Studenti:
Mentori:
Arsim Gjinovci
Prof. Dr. Naim Baftiu
[email protected]
Prizren, 2016
2
PARATHËNIE Duke përdorur pajisje të ndryshme, sot është gati e pamundur, që gjatë një dite të vetme, të mos lejmë gjurmë, të cilat mund të përdoren si prova digjitale për ndonjë veprim tonin. Zakonisht, këtë ne e bëjmë në një mënyrë të automatizuar, të pandërgjegjshme dhe si një rutinë të përditshme. Teknologjia, duke përparuar gjithnjë e më shumë, ka shtuar edhe mundësitë që provat për veprimet tona, të ruhen në më shumë vende. Disa nga ato prova mund të i gjejmë madje edhe në pajisjet elektronike shtëpiake të cilat i kemi përdorur. Prandaj sot, cilido përdorues i pajisjeve elektronike, elektronike, lenë së paku paku një gjurmë në një pajisje, gjatë një dite. Shumë nga pajisjet që i përdorim në shtëpi dhe në punë, ka mundësi të jenë j enë të lidhura në rrjet me njëra tjetrën, dhe si të tilla së bashku, ato mund të jenë të kyçura në Internet. Nga ana tjetër, mungesa e njohurive të mjaftueshme që përdoruesit të mbrohen me sukses nga sulmet e ndryshme përmes rrjetit, ka bërë që kriminaliteti kompjuterik dhe në përgjithësi ai digjital, çdo ditë të rritet dhe të perfeksionohet duke u bërë gjithnjë e më efikas. Vjedhja dhe dëmtimi i informatës, paraqet aspekt të veçantë në fushën e forenzikës kompjuterike. Zakonisht, sulmet e tilla kriminale kohë më parë kanë qenë të orientuara drejtë ndërmarrjeve të mëdha, në mënyrë që të vidhen apo të dëmtohen informatat e vlefshme. Në kohët e fundit, shpesh si objektiv i sulmeve të kriminelëve kibernetikë paraqiten edhe ndërmarrjet e vogla, shkollat, institucionet tjera jofitimprurëse dhe individët, me qëllim të vjedhjes së informatës së ndjeshme, apo për dëmtimin, kodimin, enkriptimin 1, ndryshimin e të dhënave, që qëllimshëm të pamundësohet ose vështirësohet puna. Rasti i fundit i një incidenti të kriminalitetit kibernetikë ndërkombëtar, me të cilin jam ‘ krimb’’, të cilin ballafaquar, ishte në një shkollë në Prizren, ku virusi ”CBT Locker” i llojit ‘krimb fatkeqësisht nuk e detekton asnjë nga shumë antivirus të njohur deri sot 2, i kishte enkriptuar gjitha ato të dhëna më të rëndësishme në ‘hard diskun ’ e kompjuterit të shkollës. Dokumentet që i kishte bërë të papërdorshme ishin të llojit: fotografi (jpg, jpeg, bmp, png, tif etj.), dokumentet e MS Office (doc, docx, xls, xlsx, mdb, accdb, ppt, pptx etj.) dhe disa nga dokumentet tjera. Enkriptimin e të dhënave, virusi e kishte bërë me shpejtësi, sa që përdoruesit nuk e kanë kuptuar k uptuar as se çka po ndodh. Dhe si përfundim, për kthimin e gjitha dokumenteve në gjendjen e më parme, pra për dërgim të çelësit për dekriptim, kërkohej një pagesë mjaft e madhe për kushtet kushtet tona 3. Zakonisht te ne në Kosovë, rastet e tilla raportohen shumë pakë ose aspak, te institucionet e rendit dhe të ligjit. Prandaj, mbledhja e provave te ne, për qëllim të evidentimit dhe raportimit të kriminalitetit kompjuterik ndërkombëtar, mbeten në nivel shumë të ultë. 1
Shifrim, kodim, e kundërta e dekriptimit d ekriptimit Nëntor 2015 3 Kërkohej shuma 690 USD në formë monedhe digjitale, Bitcoint për ta dërguar çelësin për dekriptim. Pagesa mund të bëhej vetëm në këtë monedhë digjitale, në një nyje Interneti të dhënë nga ata, dhe të veçantë.
2
3
PËRMBAJTJA
PARATHËNIE ............................................ .................................................................. ............................................ ............................................ .................................. ............ 3 ABSTRAKTI ........................................... ................................................................. ............................................ ............................................ ...................................... ................ 8 ABSTRACT............................................. ................................................................... ............................................ ............................................ ...................................... ................ 8 HYRJA, MOTIVIMI DHE OBJEKTIVAT......................................... ............................................................... ...................................... ................ 9 Hyrja .......................................... ................................................................ ............................................ ............................................ ............................................. ........................... .... 9 Motivimi ........................................... ................................................................. ............................................ ............................................. .......................................... ................... 9 Objektivat ............................................. ................................................................... ............................................ ............................................ .................................... .............. 10 STRUKTURA E PUNIMIT .......................................... ................................................................ ............................................ .................................... .............. 11 KAPITULLI 1 ............................................ .................................................................. ............................................ ............................................ ................................ .......... 13 1.
SHKENCA E FORENZIKËS FORENZIKËS DIGJITALE DIGJITALE ............................................ ................................................................... ........................... 13 1.1 Krimi kibernetikë ............................................. .................................................................... ............................................. ....................................... ................. 13 1.2 Kategoritë e krimit kibernetikë .......................................................... ................................................................................ ............................ ...... 13 1.2.1 Veprat penale që e kanë kompjuterin si cak ........................................... ............................................................ ................. 14 1.2.2 Veprat penale që e kanë kompjuterin si instrument ................................................ ................................................ 14 1.2.3 Veprat penale ku kompjuteri është përdorur rastësisht për krime tjera ...................14 1.2.4 Veprat penale si krime të reja të paraqitura me përhapjen e kompjuterit ................ 14 1.3 Nën disiplinat e forenzikës digjitale ........................................... .................................................................. .................................... ............. 15 1.3.1
Forenzika kompjuterike .......................................... ................................................................ ........................................... .....................15
1.3.2
Forenzika e rrjetit ............................................ ................................................................... ............................................. ............................ ...... 15
1.3.3
Forenzika e telefonave mobil dhe të mençur ........................................... ..................................................... .......... 15
1.3.4
Forenzika e GPS pajisjeve .......................................... ................................................................ ....................................... ................. 15
1.3.5
Forenzika e rrjetave sociale ........................................... .................................................................. .................................... ............. 15
1.3.6
Forenzika e pajisjeve mediale ............................................ ................................................................... ................................ ......... 16
1.3.7
Forenzika digjitale e fotografive ............................................ ................................................................... ............................ ..... 16
1.3.8
Forenzika e pajisjeve telefonike me sekretari automatike ................................. ................................. 16
1.3.9
Forenzika e provave audio digjitale .......................................... ................................................................. ........................... 16
1.3.10
Forenzika e lojërave me shumë përdorues dhe e konzollave për lojëra ............ 16
1.1.1
Forenzika kompjuterike .......................................... ................................................................ ........................................... .....................17
1.1.2
Çka kërkohet përmes forenzikës kompjuterike............................................ .................................................. ...... 18
1.3.3 Përfituesit nga forenzika kompjuterike........................................... .................................................................. ........................... 19 4
1.3.4 Objektivat e Forenzikës Kompjuterike ........................................... .................................................................. ........................... 20 KAPITULLI 2 .......................................... ................................................................ ............................................ ............................................ .................................... ..............21 2. TIPAT E HETUESVE DHE MODELET HETUESE TË FORENZIKËS KOMPJUTERIKE .......................................... ................................................................. ............................................. ............................................ ............................ ...... 21 2.1 Tipat e hetuesve ..................................... ........................................................... ............................................ ............................................. ........................... 21 2.2 Komponentët kryesore të modelit të forenzikës kompjuterike ................................... ................................... 22 2.2.1 Procesi i hetimit të forenzikës kompjuterike sipas Pollitt Polli tt ....................................... ....................................... 22 2.2.2 Modeli hetues i Digital Forensics Research Workshop........................................... Workshop........................................... 23 2.2.3 Modeli Abstrakt i Forenzikës Digjitale (ADFM) (2002) ........................................ ........................................24 KAPITULLI 3 .......................................... ................................................................ ............................................ ............................................ .................................... ..............27 3. Veglat e domosdoshme të forenzikës kompjuterikë ........................................... ............................................................ ................. 27 3.1 Vegla softuerike të forenzikës kompjuterike ............................................. .............................................................. ................. 27 3.2 Vegla harduerike të forenzikës kompjuterike............................................ ............................................................. ................. 29 KAPITULLI 4 .......................................... ................................................................ ............................................ ............................................ .................................... ..............31 4. Rregullat e përgjithshme të forenzikës kompjuterike ......................................... .......................................................... ................. 31 4.1 Aspektet ligjore dhe teknike sa i përket hetimeve të forenzikës kompjuterike .............. 31 4.2 Kujdesi ndaj provave............................................ .................................................................. ............................................ .................................... .............. 31 4.3 Bllokimi harduerik i regjistrimit ............................................. ................................................................... ....................................... ................. 32 4.4 Përshtatja e sistemit operativ për të mos i montuar automatikisht USB disqet.............. 35 4.4.1 Ndalja e sistemit operativ Windows që t’i montoj automatikisht USB disqet ........ 35 KAPITULLI 5 .......................................... ................................................................ ............................................ ............................................ .................................... ..............36 5. Nxjerrja e të dhënave nga mediumet dhe disqet e provave ........................................... ................................................. ...... 36 Në forenzikën kompjuterike kompjuterike njihen tre mënyra kryesore të nxjerrjes së të dhënave. dhënave. Ato janë: janë: ........................................... .................................................................. ............................................. ............................................ ............................................ .................................... .............. 36 5. 1 Mënyra statike e nxjerrjes së të dhënave nga disqet e provave..................................... ..................................... 36 5.1.1 Nxjerrja statike e të dhënave me FTKimager ............................................ .......................................................... .............. 36 5.1.2 Nxjerrja statike me softuerë falas (open source) duke përdorur Linux Ubuntu dhe komandën dcfldd. ............................................ .................................................................. ............................................ ........................................... .....................38 5.2 Mënyra aktive e nxjerrjes së të dhënave nga disqet e provave ...................................... ...................................... 40 5.2.1 Nxjerrja aktive (live) (li ve) e të dhënave me FTKimager ........................................... ................................................. ...... 40 5.3 Mënyra e nxjerrjes nga distanca e të t ë dhënave nga disqet e provave .............................. .............................. 41 5.3.1 Nxjerrja e të dhënave nga distanca .......................................... ................................................................. ................................ ......... 41 KAPITULLI 6 .......................................... ................................................................ ............................................ ............................................ .................................... ..............43 6. Analizimi i të dhënave .................................... .......................................................... ............................................ ............................................. ........................... 43 5
6.1 Analizimi i fajllit identik të memories së kopjuar............................................ .......................................................... .............. 44 6.2 Analizimi i të dhënave nga disku i zbrazët ............................................... .................................................................... .....................46 6.3 Të kuptuarit e disqeve dhe sistemit të fajllave dhe Hashingu ....................... ........................................ ................. 48 6.3.1 Sistemi i fajllave dhe metadatat .......................................... ................................................................. .................................... ............. 48 6.3.2 Sektorët dhe Klasterët........................................... .................................................................. ............................................. ............................ ...... 48 6.3.3 Problemi i hapësirës së humbur........................................... .................................................................. .................................... ............. 49 6.3.4 Radha e ngritjes (Boot sekuence) ......................... ................................................ .............................................. ............................ ..... 49 6.3.5 Hashingu në forenzikës kompjuterike ..................................... ........................................................... ................................ .......... 54 Shembull i hashingut në sistemin operativ Linux ...................................................... ............................................................ ...... 55 KAPITULLI 7 .......................................... ................................................................ ............................................ ............................................ .................................... ..............56 7. Softuerët e specializuar për forenzikë kompjuterike .......................................... ........................................................... ................. 56 7.1 Softuerët komercial që përdoren në forenzikën kompjuterike .................................. ....................................... ..... 56 7.1.1 EnCase dhe LinEn ........................................................ .............................................................................. ........................................... .....................56 7.1.2 Forensics Toolkit (FTK) ........................................ .............................................................. ............................................ ............................ ...... 58 7.1.3 ProDiscover ............................................ .................................................................. ............................................ ........................................... .....................59 7.2 Softuerët pa pagesë që përdoren në forenzikën kompjuterike ............................. ........................................... .............. 60 7.2.1 Autopsy................................................... ......................................................................... ............................................ ........................................... .....................60 7.2.2 Digital Forensics Framework (DFF) ......................................................... ....................................................................... .............. 62 7.2.3 PyFlag ............................................. .................................................................... ............................................. ............................................ ............................ ...... 62 7.2.4 Memgator..................................... Memgator........................................................... ............................................ ............................................ ................................ .......... 63 7.3 Rrethinat për forenzikë digjitale për startim të sistemit nga CD / DVD dhe USB disqet.. 63 7.5.1 Kali Linux .................................... .......................................................... ............................................ ............................................ ................................ .......... 64 7.5.2 SANS SIFT S IFT (Kompleti i veglave hetuese nga SANS) .......................................... .............................................. 65 7.5.3 CAINE (Mjedisi hetimor ndihmuar nga kompjuteri) ......................... .............................................. .....................65 7.5.4 DEFT (Kompleti i veglave për prova dhe forenzikë digjitale) ................................ ................................ 66 7.5.5 XPLICO (Kompleti i veglave për analizë forenzike në rrjetë) ................................ ................................ 66 7.5.6 PlainSight.................................... PlainSight.......................................................... ............................................ ............................................ ................................ .......... 67 7.5.7 HELIX3 ........................................................ .............................................................................. ............................................ .................................... .............. 67 7.5.8 Paladin Forensic Suite ............................................. ................................................................... ............................................ ......................... ... 68 KAPITULLI 8 .......................................... ................................................................ ............................................ ............................................ .................................... ..............69 8. Raste studimore ............................ ................................................... ............................................. ............................................ ........................................... ..................... 69 8.1 Forenzika kompjuterike në praktikë, ecuria e procesit të hetimit nga departamenti i policisë së shtetit shtetit New York [2] ............................................ .................................................................. ........................................... .....................69
6
8.2 Rasti 1 - Steganografia me me fotografi – fshehja fshehja e dokumenteve, të dhënave në fotografi ............................................ .................................................................. ............................................ ............................................ .................................... .............. 70 8.3 Rasti 2 – Fshehja Fshehja e të dhënave me ndryshimin e ekstenzionit të fajllit ...................... ...................... 71 8.4 Rasti 3 - Fshehja e të dhënave me zhvendosjen e bitëve në hederin e dokumentit ... 74 8.5 Rasti 4 - Fshehja e të dhënave duke i ndryshuar atributet e fajllit................... fajllit ............................. .......... 74 Përfundim............................................. ................................................................... ............................................ ............................................. ........................................ ................. 76 Fjalori i shprehjeve teknike të përdorura në krime kompjuterike .......................................... .............................................. 77 Referenca ............................................. ................................................................... ............................................ ............................................. ........................................ ................. 84 Burimet tjera ............................................ .................................................................. ............................................ ............................................ .................................... ..............86 Lista e figurave ............................................ .................................................................. ............................................ ............................................ ................................ .......... 87 Lista e tabelave ............................................ .................................................................. ............................................ ............................................ ................................ .......... 88
7
ABSTRAKTI Në këtë punim është trajtuar procesi i grumbullimit të provave digjitale, procedurat dhe përdorimi i softuerëve komercial dhe atyre me kod të hapur, në procesin e forenzikës kompjuterike. Në botën e ligjit, provat janë gjithçka. Provat përdoren për ndërtimin e fakteve. Zbatuesit e ligjit, që janë një pjesë e rëndësishme e botës së ligjit, gjinden në garë të vazhdueshme me kriminelët, në aplikimin e teknologjive digjitale, andaj dhe gjithnjë është e madhe kërkesa për zhvillimin sistematik të mjeteve për gjurmimin dhe ekzaminimin e pajisjeve digjitale për gjetjen e provave përkatëse. Si degë e shkencës së forenzikës, forenzika kompjuterike përdorë metodat ligjore për grumbullimin dhe përpunimin e provave digjitale të ruajtura në kompjuter dhe në ndonjë pajisje tjetër digjitale. Sot, shprehja forenzika kompjuterike ka evoluar në forenzikë digjitale, ngase krahas kompjuterëve si pajisje, përdoren edhe pajisjet tjera si aparatet fotografike digjitale, telefonat mobil dhe të mençur. F jal ë t k yçe: F orenzik orenzik a, A nal i za f orenzi orenzi ke, F orenzi orenzi ka k ompjuteri ompju terike, ke, F orenzik orenzik a digji di gji tale, provat provat digji tale, Kr imi kompjuterik , H ashi ashi ngu, dcfl dcfl dd, Ubun tu, Win dows dows,, Encase Encase, F orensics orensics Toolki t (F TK ), ProDi scove cover, r, A utopsy, utopsy, Di gital F orensics orensics F r amework amework (D F F ), Steganografia.
ABSTRACT This paper deals with process of gathering digital evidences through computer forensic, its procedures and use of commercial and open source software for that process. In the world of law, Evidence is everything. Evidence is used to establish facts. Law enforcement bodies as an important part of legal world, are in a perpetual race with criminals in the application of digital technologies, therefore it is always great demand for systematically development of tools to search and examine digital devices for pertinent evidence. As a branch of forensic science, computer forensic is dealing with legal methods of collection and processing of digital evidence stored on a computer and other digital data carrier. Today, the term computer forensics evolved into a digital forensics, because along the computer as a tool, the other digital devices such as digital cameras, mobile and smart phones, are used too. Keywor Keywor ds: ds: F orensi orensi c, F orensi orensi c analys anal ysis, is, Computer for ensics, nsics, Digi tal f orensics, orensics, Di gital evidence vidence,, Computer Computer cr im e, H ashi ashi ng, dcfl dd, Ubu ntu , Win dows, dows, Encase Encase, Forensics F orensics Toolki Tool ki t (F TK ), ProD iscov iscove er, Au topsy, topsy, Digi tal F orensics orensics F r amework amework (DF F ), Stega Steganography. nography. 8
HYRJA, MOTIVIMI DHE OBJEKTIVAT Hyrja Në këtë punim, është përshkruar dega e forenzikës, e njohur si forenzika digjitale , gjegjësisht forenzika kompjuterike, me përpjekje për të treguar se çka paraqet ajo dhe cilat janë procedurat dhe veglat harduerike dhe ato softuerike, programet komerciale në treg dhe ato që shpërndahen falas, të cilat mund të i përdor një ekspert i autorizuar i forenzikës apo një student i shkencave kompjuterike, për sigurimin dhe prezantimin e provave. Pesëmbëdhjetë vite më parë, kur nuk ishin të përhapur në atë masë pajisjet digjitale, aq sa janë të përhapur sot, kjo degë e forenzikës, njihej me emrin forenzika kompjuterike. Ndërsa sot me digjitalizimin e të dhënave dhe shpërndarjen e pajisjeve të shumta digjitale, të cilat funksionojnë dukë përdorur sisteme të ndryshme operative, forenzika kompjuterike e dikurshme njihet më tepër me emrin si forenzika digjitale. Madje, fushat e studimit dhe hulumtimit të forenzikës digjitale , sot zgjerohen edhe drejt pajisjeve shtëpiake të cilat në vete përmbajnë memorie, memorie, kur rruhet informata e cila mund të shërbej shërbej si provë. Pajisjet të tilla janë: aparatet e ndryshme fotokopjuese, skanerët, televizorët, ruterët, telefonat fiks dhe mobil etj. Ky punimi po ashtu mundohet të tregoj se çka paraqesin provat digjitale, si gjinden, si grumbullohen, si ruhen, si analizohen dhe si prezantohen ato, me kërkesë të gjykatës.
Motivimi Motivi kryesor për zgjedhjen e kësaj teme e cila bazohet në hulumtimet e mia nëpër libra elektronike dhe në Internet, ka të bëjë me dëshirën që ta kompensoj pak mungesën e materialit në gjuhën shqipe për këtë fushë të shkencave kompjuterike, me një punim sa më gjithëpërfshirës, ngase personalisht nuk kam hasur në literaturë në gjuhën shqipe lidhur me këtë lëmi, përderisa në fakultetet vendeve të ndryshme ndr yshme të botës, forenzika digjitale mësohet si lëndë apo program i veçantë për specializantë të fakulteteve të shkencave kompjuterike 4. [1] Gjatë punës time shumë vjeçare, mes tjerash kam bërë servisimin e harduerit si dhe instalimet dhe konfigurimet e nevojshme softuerike të pajisjeve kompjuterike. Po ashtu shpeshherë kamë punuar punuar edhe në kthimin e të dhënave dhënave nga disqet, disqet, të dhëna dhëna ato të humbura apo apo të dëmtuara nga pakujdesia apo nga viruset kompjuterike. Prandaj si motiv shtesë për këtë temë, ka shërbyer edhe hulumtimi i vazhdueshëm për gjetjen e softuerëve efektiv, që janë kryesisht pa pagesë. Nxitja Nxitj a që ende më shtynë për të i vazhduar v azhduar dhe zgjeruar hulumtimet e mia, është
4
Disa Universitete b otërore që ofrojnë studime të Forenzikës Digjitale janë: Universiteti i Lubjanës – Fakulteti i Informatikës dhe Kompjuterëve [43], DevRy Universiry me 90 kampuse në SHBA [1], Champlain College në Burlington, Vermont, Defiance College në Ohio etj.
9
ngritja e nivelit të sigurisë të ueb serverëve, pasi që tash mbi pesëmbëdhjetë vjet merrem në mënyrë aktive me krijimin, dizajnin dhe mirëmbajtjen e ueb faqeve 5.
Objektivat Qëllimi i këtij punimi është të mundohet të sqaroj procedurat e mbledhjes së provave sipas kërkesave ligjore, dhe mënyrën e arkivimit të atyre provave, në mënyrë që ato të mos e humbin besueshmërinë dhe vlefshmërinë në gjykatë. Pastaj, mënyrat teknike të gjetjes dhe nxjerrjes së shënimeve prova, nga pajisjet me sistemet operative Windows dhe Linux, si dhe aplikimin e disa softuerëve komercial në kombinim me programet me kod të hapur ( open source), për ekzaminimin dhe analizimin e atyre të dhënave digjitale që do të përdoren si prova nga specialisti specialisti i forenzikës kompjuterike. ekt i vëtëpar ë Si obj ekti , gjatë këtij punimi e kam pasur definimin dhe përafrimin në shqip të terminologjisë dhe shprehjeve , të hasura në lëmin e forenzikës kompjuterike. Objekti Objekti vi i dytë dytë që jam munduar ta arrij në punim është njohja me hapat dhe procedurat e
gjetjes, ruajtjes dhe sigurimit të provave digjitale, në mënyrë që ato prova të mos dëmtohen gjatë punës. objekti v i tr etë Si objekti në këtë punim ishte përshkrimi i shkurtër i pajisjeve harduerike në forenzikë kompjuterike si dhe gjetja e softuerëve falas dhe komercial në grumbullimin e provave digjitale. Objekti Objekti vat vat tjera janë: Njohja e koncepteve të përgjithshme për të dhënat dhe disqet, si
mediume për arkivimin e të dhënave dhe përshkrimi i disa mundësive në praktikë, për fshehjen me qëllim të të dhënave digjitale, pastaj përshkrimi hap pas hapi i disa pjesëve të procesit të gjetjes së provave të fshehura fshehura apo të fshira fshira nga disqet.
5 Disa
faqe ueb të fundit që i kam punuar dhe që ende janë online: mjellma.net, kdi-kosova.org. euro-food.org, atta-ks.org, demokracianeveprim.org etj.
10
STRUKTURA E PUNIMIT Punimi është i ndarë në tetë kapituj.
Në kapitullin e parë paraqiten njohuritë e përgjithshme lidhur me shkencën e forenzikës dhe forenzikës digjitale, nën disiplinave të saja, mes të cilave është edhe forenzika kompjuterike. Po ashtu shkurtimisht përshkruhet krimi kibernetikë, kategorizimi i saj, caqet dhe llojet e veprave penale që dalin nga kjo formë e kriminalitetit. Në këtë kapitull jam munduat të sqaroj po ashtu se çka pritet dhe çka kërkohet nga forenzika kompjuterike, cilat janë dimensionet dhe objektivat e saj dhe kush përfiton nga kjo degë e fozrenzikës. Kapitulli i dytë merret me modelet kryesore hetuese, të ndërtuara dhe zhvilluara me qëllim të arritjes së maksimumit të kualitetit të rezultatit hetimor, pastaj me komponentët kryesore të atyre modeleve, proceset e hetimit në forenzikën kompjuterike dhe tipat e hetuesve bashkë me aktivitetet e tyre. Në kapitullin e tretë përshkruhen veglat e domosdoshme domosdoshme të forenzikës kompjuterike, ndarja e tyre sipas qëllimit, përdorimit dhe mënyrës së shpërndarjes. Në kapitullin e katërt jam munduar të i tregoj rregullat e përgjithshme, aspektet ligjore dhe teknike. Aspektet teknike që përshkruhen në këtë kapitull janë: - përdorimi i pjesës së domosdoshme të harduerit të t ë specializuar, sa i përket hetimeve
në këtë lëmi; -
mundësia e përdorimit të pjesës ekzistuese softuerike nga sistemi operativ, për arritjen e synimeve siç janë bllokimi i regjistrimit në disqe, veprime këto që zëvendësojnë deri diku përdorimin e harduerit special dhe të shtrenjtë.
Kapitulli i pestë shqyrton dhe përshkruan mënyrën e nxjerrjes së të dhënave nga disqet dhe mediumet tjera ku të dhënat regjistrohen. Në kapitullin e gjashtë, fokusimi im ka qenë në analizimin e të dhënave të nxjerra, të kuptuarit e disqeve, sistemit të fajllave, radhën e ngritjes së sistemit ( boot sequence), si dhe një përshkrim për hashingun, koncepte këto që çdo hetues i forenzikës kompjuterike duhet t’i njohë mirë, madje edhe shumë më tepër se që kam mundur t’i përshkruaj në këtë kapitull, në mënyrë që ta kryej punën e hetimit me sukses. Në kapitullin e shtatë kam përmendur disa softuerë më të njohur komercial dhe disa nga ato me kod të hapur që shpërndahen falas, dhe përshkrimi i shkurtër se si përdoren dhe çka ofrojnë. Sidomos e rëndësishme më është dukur përshkrimi i disa rrethinave që kryesisht janë të bazuara në sistemin operativ Linux dhe mundësojnë ngritjen e sistemit nga CD, DVD disqet ose USB Disk drajvi. Qëllimi im ka qenë të hulumtoj në Internet , të gjej dhe të tregoj se ka mjaftë shumë rrethina me kod të hapur, të përshtatura për forenzikë digjitale me përplot vegla. 11
Kapitulli i tetë përshkruan rastet studimore. Në pamundësi të përshkrimit së ndonjë rasti konkret, apo ecurie nga Policia e Kosovës 6 , e kam përshkruar një rast hap pas hapi nga departamenti i policisë policisë në New York, nga një libër elektronik elektronik [2]. Po ashtu në këtë kapitull jam munduar t’i tregoj në mënyrë praktike disa raste të fshehjes së
dokumenteve apo të dhënave si: - steganografia me fotografi duke përdor linjën komanduese Command Prompt dhe
komandat nga sistemi operativ DOS ; -
analizimin e kreut ( header ) të fajllave me programin Hex Editor , te rastet e ndryshimit të qëllimshëm të ekstensionet të fajllit, për ti fshehur të dhënat;
-
fshehjen e informatës në kreun e dokumentit, me zhvendosjen e bitëve;
-
fshehjen dokumenteve, me ndryshimin e atributeve të fajllave, nga virusi apo nga njeriu.
6 Në
e-mail kërkesë dërguar më 22 dhjetor 2015, në adresën:
[email protected] dhe
[email protected] , kam kërkuar nga Policia e Kosovës dhe departamenti i saj i forenzikës disa të
dhëna lidhur me procedurat e hetimit në rastet e krimeve kibernetike, duke sqaruar se të dhënat lidhur me procedurat e hetimit në rastet kibernetike më nevojiten për punim të diplomës, në Universitetit “Ukshin Hoti” në Prizren. Policia e Kosovës dhe as departamenti i forenzikës nuk i është përgjigjur kërkesës time me shkrim me e-mail.
12
KAPITULLI 1 1. SHKENCA E FORENZIKËS DIGJITALE Shkenca e Forenzikës është aplikimi i shkencave (kimi, biologji, fizikë, matematikë, inxhinieri, makineri, kriminalistikë, etj.) për gjetjen, identifikimin, individualizimin, analizimin dhe vlerësimin e provave fizike (provave materiale) për çështje ligjore penale dhe civile; [3] Fjala „Forenzikë“ rrjedh nga fjala latine: „Forensis“ që në përkthim do të thotë: “ajo “ ajo që është në shesh“, shesh“, pra „ sheshazi“ sheshazi“ apo „ publike“ publike“ [4] dhe ka kuptimin “të sjellësh provë në gjykatë .” .”
Forenzika paraprakisht merret me rikthimin dhe analizën e provave të fshehura. Provat latente mund të shfaqen në forma të ndryshme, që nga gjurmët e gishtërinjve të lëna në dritare e deri te prova e ADN-së e nxjerrë nga njolla e gjakut apo dhe provat digjitale në formë të dhënave në diskun e pajisjes digjitale. [5]
1.1 Krimi kibernetikë Me krim kibernetikë njihet një aktivitet kriminal i zhvilluar në rrjet, që ka si objekt apo si mënyrë të kryerjes së krimit, keqpërdorimin e sistemeve dhe të dhënave kompjuterike . [6]
1.2 Kategoritë e krimit kibernetikë Krimet kompjuterike mund të kategorizohen në bazë të asaj se për çfarë motivi janë kryer, cili është synimi i mundshëm dhe çfarë veprime që janë ndërmarrë. Kryesit e krimeve kibernetike përdorin metodologji dhe vegla të ndryshme. Prandaj krimet kibernetike mund t’i kategorizojmë
në krime që: [2]
e kanë kompjuterin si cak; e kanë kompjuterin si instrument; kompjuteri është përdorur rastësisht për krime tjera; krimet e reja të paraqitura me përhapjen e kompjuterit.
13
1.2.1 Vepr at penal p enale e që e kanë kan ëkom pju pj u teri ter i n si cak
Krimet kibernetike që e kanë si cak tipik kompjuterin , zakonisht janë krime që kryhen për gjetjen dhe vjedhjen e informatës. Këto vepra mund të jenë: vjedhja e pronës intelektuale, vjedhja e numrit të kredit kartelave të konsumatorëve, listës së klientëve, të dhënat e çmimeve ose informatat tjera të marketingut . [7]
Krimet më të dukshme kibernetike janë shantazhet e bazuara në informatat e nxjerra nga fajllat e kompjuterit, si p.sh.: informatat mjekësore, historia personale, fotografitë dhe të dhënat intime etj.
1.2.2 Veprat V eprat penal pena l e qëe kan ëkom pju pj u teri ter i n si instr i nstr um ent
Ato krime kibernetike ku k ompj om pj u ter i ë shtë sht ëi n stru str u ment men t , e përfshijnë përdorimin e kompjuterit për marrjen e kontrollit të një kompjuteri të palës tjetër, për t’i përdor ur ur burimet e sistemit të tij, për nevojat e veta. Kjo zakonisht manifestohet me futjen e kodit malicioz , për t’i rrëmbyer proceset e kompjuterit. Ky lloj i krimit kibernetikë ka tendencë të ketë motiv krijimin e fitimit të paligjshëm. Si shembull do të ishte mashtrimi financiar. [7]
1.2.3 1.2 .3 V eprat epr at penal pen al e ku k u k ompj om pj u t eri er i ë shtë sht ëpë r dor u r r astë sisht si sht pë r k r i me t j era er a
Te rastet e krimeve kur k ompj om pj u teri er i ë sht sh tëpë r dor do r u r r astë ast ë sish si shtt , për t’u kryer krimi nuk është i domosdoshëm kompjuteri, por, përdorimi i kompjuterit në këtë rast e lehtëson kryerjen e veprës penale. Zakonisht këtu përfshihen disa vepra penale që kryhen më lehtë apo përhapen më shumë shkaku i rrjetave telekomunikuese si dhe pajisjeve të fuqishme kompjuterike. Në këtë kategori mund të numërojmë: shpëlarjen e parave, bixhozin ilegal, drogat dhe shumë krime tjera të organizuara si pornografia me fëmijë dhe të mitur dhe eksploatimet tjera të zakonshme të këtyre manifestimeve kriminale.
1.2.4 V eprat penal e si si kr i me tër eja të t ëpar aqitu aqi turr a me pë r h apjen apj en e kompj uteri ut eri t
Pasi që në shoqërinë bashkëkohore, teknologjia kompjuterike po bëhet gjithnjë e më dominuese, edhe krimet po evoluojnë, dhe po shfaqen kr i met e r eja të t ëparaqi par aqitu turr a me pë r hapj en e kompjuterit . Pirateria e programeve kompjuterike, mashtrimet në ankande përmes Internetit, shkelje të drejtave të autorit të programeve kompjuterike, pajisjet e falsifikuara, pajisjet dhe programet kompjuterike të tregut të zi, si dhe vjedhja e pajisjeve teknologjike, hyjnë në këtë kategori të
krimit kompjuterik.
14
1.3 Nën disiplinat e forenzikës digjitale Me zhvillimin e teknologjisë, Forenzika digjitale vazhdimisht degëzohet dhe ndahet në nën disiplinat të saja. Disa nga ato nën disiplina janë: orenzik a kompjuteri kompjuteri ke 1.3.1 F orenzik
Është nën disiplinë më e vjetër. Merret kryesisht me gjetjen e provave në pajisje kompjuterike, disqet e tyre fikse dhe lëvizëse, memorien e punës etj. Ekzaminimi kryesisht bazohet në rikthimin e të dhënave të fshira nga disqet, nga memoria RAM, leximi i aktiviteteve nga log fajlli, e-maili etj. orenzik a e r rj etit 1.3.2 F orenzik
Përfshinë sigurinë e rrjetit, detektimin e sulmeve sulmeve të cilat mund të vijnë nga: nga: hakerët, softuerët malicioz , detektimin e softuerëve qëllim keq që e përdorin rrjetin, si: rootkit, krimbat, trojanët, malverët 7 etj. Forenzika e rrjetit po ashtu përfshinë analizimin e stacioneve në rrjet si: routerët, serverët, switch-at, hubat dhe dhe pajisjet tjera të rrjetit. enzik a e telef onave on ave mobi l dhe dh e tëmençu r 1.3.3 F or enzika
Telefonat mobil dhe të mençur, sot posedojnë kapacitet dhe shpejtësi të një kompjuteri, prandaj në shumicën e rasteve përdoren në vend të kompjuterit apo në kombinim me kompjuterin, dhe kështu në raste të krimeve digjitale bëhen objekt objekt i ekzaminimit të forenzikës forenzikës digjitale. or enzik a e GPS paj paj i sj eve 1.3.4 F ore
GPS pajisjet sot përdoren në automjete, të integruara në telefona të mençur, si pajisje e veçantë individuale, të integruara në aparate digjitale etj. Prandaj gjatë ekzaminimeve të forenzikës digjitale kërkohet informatë lidhur me lokacionet e vizituara nga personi, lokacionet më të shpeshta dhe më të preferuara, vendet e vizituara së fundi, adresat etj. Nga këto pajisje po ashtu mund të rikuperohen të dhënat e fshira). orenzi ka e rr r r j etave sociale 1.3.5 F orenzi
Faqet e rrjetave sociale si: Facebook, Twitter, Linkedin, MySpace, Google+, Instagram etj., mund të përmbajnë informata jashtëzakonisht të vlefshme dhe të shumta për personin e dyshuar. 7
Malware - shkurtesë nga softuer keqdashës (malicious software) - është term i përgjithshëm me të cilin emërtohet një spektër i gjerë i softuerit armiqësor ose invaziv, gjegjësisht softuerit që përdoret me qëllim që të pengohet funksionimi i kompjuterit, të merren informata të ndjeshme, ose të hyhet në sisteme private kompjuterike. Mund të jetë në formë të kodit, skriptës, përmbajtjes aktive dhe llojeve të tjera të softuerit. [40] 15
enzi ka e mediu medi u meve pë r r u aj tj en e të t ëdhë dh ë n a di gj i tal ta l e 1.3.6 F or enzika
Janë pajisjet si hard disqet e jashtme, audio regjistruesit digjital , USB disqet , plejerët digjital të të muzikës. Po ashtu nga këto pajisje mund të rikuperohen të dhënat e fshira orenzik a digji tale e fotografi ve 1.3.7 F orenzik
Me analizimin e fotografive digjitale e kuptojmë se mos ka ndonjë apo më shumë dokumente të fshehur në brendi të saj, ndonjë informatë steganografike, pastaj analizohet se me çka është bërë fotografia, duke përcaktuar se cili senzor është përdorur, a është fotografia autentike, a ka ndërhyrje në fotografi si te fotomontazhet etj. orenzi ka e paji paji sj eve tel tel ef oni ke me sekr etari tar i automati ke 1.3.8 F orenzi
Shpesh, për nxjerrjen e porosive të zërit nga sekretaria automatike, nevojitet ndërhyrje në mikro çipin ku arkivohen regjistrimet. Zëri i regjistruar bartet në kompjuter dhe analizohet. Këto pajisje janë zakonisht të lidhura në linjën telefonike. orenzik a e provave provave audio di gji tale 1.3.9 F orenzik
Ekzaminohen pajisjet për regjistrimin e zërit. Kryesisht procesi i analizës bazohet në rregullimin e kualitetit të zërit, pastrimin nga zhurmët, izolimin e zërave të caktuar, ngadalësimin, shpejtimin, detektimin dhe njohjen automatike të zërit, duke bërë krahasimin e zërit me ndihmën e softuerit të specializuar. en zikk a e l oj ë r ave m e shu sh u m ëpë r dor do r u es dhe dh e e kon k on zol l ave av e pë r l oj ë r a 1.3.10 F or enzi
Lojërat online sot janë shumë të popullarizuar në botë. Zakonisht luhen mes shumë përdoruesve dhe kërkojnë regjistrim të përdoruesit. Përdoruesi krijon botën e tij virtuale, ndërsa në serverët e lojërave regjistrohet çdo aktivitet i pjesëmarrësve. pjesëmarrësve. Me këtë mund të analizohet sjellja, shoqërimi si dhe çdo e dhënë që mund të shndërrohet në informatën e kërkuar për një apo më shumë përdorues të mbikëqyrur. Fokusi i këtij punimit është, pjesa e parë dhe më e përhapur, për momentin, e forenzikës digjitale. Ajo është forenzika kompjuterike.
16
1.1.1 F orenzika orenzika kompju teri teri ke Forenzika kompjuterike, është degë e shkencës së forenzikës, gjegjësisht e forenzikës digjitale
e cila ka të bëjë me metodat ligjore të mbledhjes dhe përpunimit të provave digjitale, të ndodhur në kompjuter apo dhe në ndonjë pajisje tjetër me të dhënat digjitale. Pra, qëllimi kryesor i kësaj lëmie është të gjej dhe ofroj prova për rastet li gjore. Forenzika kompjuterike, thjeshtë, mund të definohet si proces i aplikimit të teknikave
shkencore dhe analitike të sistemit sistemit operativ të kompjuterit kompjuterit dhe strukturës së dokumenteve, dokumenteve, për të gjetur prova potenciale për kryerjen kryerjen e krimit kibernetikë. Për shkak se forenzika kompjuterike është një disiplinë e re e forenzikës, mes gjyqit dhe industrisë gjejmë pak standardizim dhe konsistencë në këtë fushë. Prandaj, si rezultat i kësaj, në shumë vende, forenzika kompjuterike, ende nuk është e njohur si një disiplinë disiplinë formale "shkencore". Zakonisht forenzika kompjuterike definohet si disiplinë që kombinon elemente të ligjit dhe shkencave kompjuterike për të mbledhur dhe analizuar të dhënat nga sistemet kompjuterike, rrjetat, sistemet e komunikimit pa tel, pajisjet që ruajnë të dhëna, në atë mënyrë, që do të ishte e pranueshme në aspektin ligjor, si provë në një gjykatë. Përmes forenzikës kompjuterike shqyrtohen gjitha mediumet për deponimin e të dhënave, me qëllim të gjetjes dhe analizimit të dokumentacionit apo provave tjera, që janë të lidhura me ndonjë aktivitet kundërligjor. Sot koncepti i forenzikës kompjuterike është zgjeruar në forenzikën digjitale , ngase krahas kompjuterëve, gjithnjë e më shumë po shfaqen edhe pajisje digji tale, telefonat tel efonat mobil, telefonat e mençur, tjera digjital si: fotoaparatet digjitale, kamerat digjitale, asistentët digjital personal (PDA) etj. Forenzika digjitale, nuk është më e lidhur vetëm për laboratorë të policisë dhe agjencive të sigurisë, por aplikimin e vet e ka gjetur edhe jashtë kësaj fushe. Si ecuri forenzika kompjuterike paraqet procesin procesin e sigurimit , autentifikimit, rikthimit dhe analizës analizës së provave
digjitale. [8] Procesi i sigurimit të dhënave do të thotë bërja e kopjes së dytë identike të dhënave kompjuterike që do të ekzaminohen. kompjuterik e, është procesi i të provuarit, se kopja e të Procesi i autentifikimit në forenzikën kompjuterike, dhënave të diskut që do të përdoret për të provuar krimin, është një kopje e përpiktë e të dhënave origjinale që ekzaminohen. Një autetifikim i tillë, arrihet përmes krahasimit të gjurmës elektronike të dy kopjeve të të dhënave, që njihet si MD5 hash (message digest version 5). Vlera e kalkuluar përmes MD5 funksionit, e cila është një hash vlerë 128 bitësh (16 bajt) dhe e cila paraqitet në formë vargu tekstual me 32 shifra heksadecimale.
Autentifikimi arrihet kur, hash vlera e diskut origjinal është e njëjtë me hash vlerën e kopjes. Kështu provohet autentifikimi se mediumi që ekzaminohet është identik dhe provat janë të vlefshme.
17
1.1.2 Çk a k ë r k oh et pë r m es for f or enzi en zikk ë s kom k ompj pj u t eri er i k e
Ka dy lloje themelore të dhënave që kërkohen të mblidhen për ekzaminime dhe analiza forenzike. Ato janë: të dhënat e qëndrueshme dhe të dhënat e paqëndrueshme . Të dhënat e qëndrueshme janë ato që janë të ruajtur në një hard disk ose ose një mjet tjetër memorizues dhe vazhdojnë të ruhet edhe kur kompjuteri është i fikur. Të dhënat e paqëndrueshme paraqesin çdo të dhënë, që është ruajtur në memorie ose ekziston si e dhënë transite, dhe që do të humbet kur kompjuteri të fiket. Shpesh, pikërisht të dhënat e paqëndrueshme mund të jenë prova kyçe, kështu që është e rëndësishme që nëse kompjuteri është në skenën e krimit të mbetet i ndezur. Janë po ashtu, dy dimensione të botës digjitale që mund të ofrojnë dhe konsiderohen si prova të mundshme. Njëri dimension është gjithçka e dukshme për njeriun, si fajllat dhe të dhënat e tjera, dhe dimensioni tjetër, gjithçka e padukshme, si fajllat dhe të dhënat që janë fshirë, të fshehur apo të maskuar, por që mund të rikthehen me ndihmën e veglave të forenzikës kompjuterike. [9]
Dimensioni i dukshëm paraqet: • • • • •
dokumentet si formularët digjital, fotografitë, e-mail porositë; fajllat dhe follderët; programet dhe aplikacionet; aplikacionet; fajllat linqe (nyje); log fajllat.
Dimensioni i padukshëm paraqet: • • • • • • • • •
•
dokumentet e fshira si, formularët digjital, fotografitë, e-mail porositë; fajllat dhe follderët që janë bërë me qëllim të padukshëm (të fshehura); artefaktet e fajllave sistemorë; historia e vizitave në Internet; punët e printuara; printuara; të dhënat në RAM memorie; fotografitë dhe dokumentet tjera brenda fotografisë së dukshme; fushat e mbrojtura (vendet ku ueb brauseri i mban mend numrat e regjistruara të kartelës së kreditit); vend ruajtjet e të dhënave jashtë sistemit të fajllave të sistemit operativ (fusha që nuk mund të lexohen nga sistemi operativ dhe paraqiten si vende të mira për ruajtjen e fajllave); log fajllat sistemor;
18
Shumë nga këto të dhëna, të përmendura në kuadër të dimensionit të padukshëm, krijohen nga vet sistemi operativ apo programet tjera, dhe tregojnë veprimet e kryera nga përdoruesi. Ndërsa një pjesë tjetër e të dhënave të padukshme, krijohet me synim të caktuar dhe fshihet nga vet përdoruesi.
Shembulli më i thjeshtë i të dhënave të dukshme, të F igura 1: 1: Shembulli krijuara automatikisht nga programi për editim të t ekstit MS Word, pa vullnetin e përdoruesit
1.3.3 Pë r f i tue tu esi t nga n ga for f ore enzik a kompj uteri ut eri ke
Përfituesit nga kjo disiplinë e forenzikës janë kryesisht ata që kanë nevojë që ta ndriçojnë një rast dhe ta vendosin drejtësinë në vend. Ndër ata përfitues janë: Prokurorët — që hetojnë një sërë krimesh, hetime ku mund të gjinden dokumente të inkriminuara në krim, duke përfshirë vrasjet, mashtrimet mashtrimet financiare, pornografinë pornografinë me fëmijë. — zbutja e shpenzimeve duke përdorur provat kompjuterike të Kompanitë e sigurimit — zbuluara të mashtrimit të mundshëm në aksident, zjarr vënie, dhe rastet e kompanive artizanale.
Korporatat – nxjerrja nxjerrja e provave lidhur me ngacmimet seksuale, vjedhjet, përvetësimet ose te keqpërdorimet e sekreteve sekreteve tregtare dhe dhe informatave të tjera interne / konfidenciale. Zyrtarët për zbatimin e ligjit – para para kërkimit të urdhër bastisjes dhe trajtimit të e pajisjeve kompjuterike.
19
— mbështetja e pretendimeve të përfundimit të padrejtë të kontratës, ngacmimi Individët — seksual, apo diskriminimit të moshës.
Viktimat – Qeveria, Qeveria, Bizneset private, personat privat etj.
1.3.4 Obj ekti vat e F orenzik or enzikë ë s K ompj u teri ter i ke
-
Objektiva e parë: përgatitja për hetim o
-
Objektiva e dytë: nxjerrja e provave o
-
Shembull: mbrojtja e diskut të provave nga të regjistruarit
Kjo nënkupton, bërjen kopje të diskut që hetohet, ashtu që hetimet të kryhen në kopje përderisa disku origjinal mbetet i mbrojtur duke e pamundësuar regjistrimin në të.
Objektiva e tretë: analizimi i të dhënave, shënimeve. shënimeve. o
Shembull: një nga format më të thjeshta për analizimin e të dhënave është, kërkimi i të dhënave në bazë të fjalëve kyçe.
-
Objektiva e katërt: gjetja e provave dhe prezantimi i tyre t yre o
Shembull: prezantimi në formë të raportit. Shpesh herë raportet gjenerohen në mënyrë automatike nga veglat softuerikë për forenzikë kompjuterike, por që si hetues, nevojitet edhe editimi dhe përgatitja në formë të përshtatshme dhe më domethënëse të raportit, që do të prezantohet si përmbledhje e provave.
20
KAPITULLI 2 2. TIPAT E HETUESVE DHE MODELET HETUESE TË FORENZIKËS KOMPJUTERIKE 2.1 Ti T i pat e he h etue tu esve
Fillimisht hetuesit e provave të forenzikës kompjuterike ndahen në dy tipa të hetuesve: -
Hetuesit publik Hetuesit privat
Hetuesit publik zakonisht merren me raste penale, mbështeten në kodin penal dhe ofrohen nga implementuesit e ligjit ( policia, prokuroria), dhe si përmbajtje të hetimit i kanë rastet kriminele. Rastet tipike të hetuesve publik të forenzikës kompjuterike janë rastet e hetimit të: -
Vjedhjeve të rënda ( krimet ekonomike, vjedhjet elektronike) Shpërndarësve Shpërndarësve të narkotikëve Trafikimit njerëzor dhe eksploatimi seksual
Hetuesit privat, zakonisht merren me rastet civile që kryesisht janë të paguar nga kompanitë dhe hetojnë rastet interne, si që është rasti i hetimit, nëse një zyrtar i bakës i qaset në mënyrë të pa autorizuar kontos bankare të klientit, apo mos respektimi i fshehtësisë së punës ku është shkelur rregullorja e brendshme etj. Ky tip i hetuesit të forenzikës kompjuterike mbështeten në kodin civil apo rregulloret e brendshme të organizatës për të cilin hetojnë. Kryesisht te ky tip i hetuesve qëllimi është të i siguroj biznesit vazhdimësinë, dhe si prioritet dhe synim shfaqet ndërprerja e dëmtimit të biznesit dhe jo dënimi i individit. Rastet tipike të hetuesve privat të forenzikës kompjuterike janë rastet e hetimit të: -
Sabotimit Spiunimit teknologjik Përvetësimit
Ka shumë raste kur është vështirë të vendoset kufiri mes hetuesit publik dhe privat të forenzikës kompjuterike. Këto raste zakonisht fillojnë si hetime private dhe interne dhe rezultojnë me hetime publike, atëherë kur zbulohet së në hetim ka gjurmë të konsumimit të veprës penale. Si shembull është rasti kur hetohet një nëpunës për shkelje potenciale të rregullores së brendshme të organizatës dhe në pajisjet e tija digjitale hasen prova edhe për pornografi me fëmijë – gjë gjë që nuk bënë të injorohet.
21
2.2 K ompon om pon entë ent ë t kr k r yesor yesor e tëm odel i t të t ëf or enzik enzi k ë s kompj kom pj u t eri er i k e
Definimi dhe përcaktimi i një modeli standard, për hapat dhe procedurat e forenzikës kompjuterike dhe digjitale, në përgjithësi, është edhe më tej sfidë në botë. Definimi dhe përcaktimi i modelit standard e ka rëndësinë e vet, ashtu që procesi i mbledhjes, ruajtjes, sigurimit, analizimit, prezantimit të provave, si dhe vendim marrja në fund të procesit, të mos jetë i varur nga teknologjia e caktuar apo nga krimi elektronik, dhe në këtë mënyrë, të mos ketë nevojë që ajo të ndryshoj nga rasti në rast. 2.2.1 Procesi i hetimit të forenzikës kompjuterike sipas Pollitt
Themeluesi i Digital Evidence Professional Services Inc.8, Mark M. Pollitt, një ish-oficer ushtarak i cili vazhdoi të shërbejë më shumë se njëzet vjet si një agjent special i Byrosë Federale të Hetimeve (FBI) në SHBA, ku ai kishte hetuar një gamë të gjerë të krimeve, duke përfshirë krimet e “ jakave të bardha ” 9 dhe krimet kompjuterike [10], ka propozuar një metodologji, për marrjen me gjurmimet e provave digjitale, ashtu që rezultati të jetë i besueshëm besueshëm në aspektin shkencor dhe i pranueshëm në aspektin ligjor. Kjo metodologji përbëhet nga katër faza. [11]
Nxjerrja e të dhënave
Identifikimi
Vlerësimi
Pranimi
Procesi Procesi i hetimit të forenzikës kompjuterike kompjuterike sipas Mark M. Pollitt F igura 2: 2:
Nxjerrja e të dhënave – në këtë faze, provat janë nxjerrë në mënyrë të pranueshme me aprovimin e duhur nga autoriteti . Identifikimi – Ka Ka për detyrë identifikimin e komponentëve digjitale nga provat e fituara dhe konvertimin e tyre në formatin kuptuar nga njeriut. Pra kthimin e të dhënave në informatë. Vlerësimi - Përbëhet prej detyrave për të përcaktuar nëse komponentët e identifikuara në fazën e mëparshme, janë me të vërtetë të rëndësishme për çështjen që është duke u hetuar, dhe se a mund të konsiderohen ato komponentë si prova legjitime. Pranimi – Është Është faza përfundimtare sipas Mark M. Pollitt, ku provat e fituara dhe të nxjerra paraqiten në gjykatë. gjykatë. [11]
8 http://www.digitalevidencepro.com/index_files/Page381.htm 9 Krime
financiare jo të dhunshme, të kryera nga biznesmenët dhe profesionistët qeveritar
22
2.2.2 Modeli hetues i Digital Forensics Research Workshop
Bazuar në protokollet paraprake gjyqësore, dhe duke i pasur parasysh masat e caktuara që të mund t’i definoj më si të përgjithshme, një model i avancuar është propozuar nga Digital Forensics Research Workshop (DFRW)10 që paraqet një nga nga pjesëmarrësit e rëndësishëm rëndësishëm në zhvillimin e proceseve të forenzikës. Në vitin 2001, gjatë punëtorisë së parë, Digital Forensics Research Workshop (DFRWS) [8] propozoi procesin e përgjithshëm të hetimit për forenzikë digjitale . Procesi sipas këtij modeli përbëhej nga gjashtë gjashtë faza. [12]
Identifikimi Konservimi Grumbullimi Ekzaminimi Analizimi Prezantimi
F igura 3: 3: Modeli Modeli hulumtues i DFRWS [12]
Modeli hulumtues i DFRWS-së nis me fazën e Identifikimit te e cila kryhet detektimi i profilit, mbikëqyrja e sistemit, sistemit, analizimet e auditimit auditimit etj. Pasohet nga faza e konservimit (ruajtjes), që përfshin detyra të tilla si ngritjen duhur të rastit për tu menaxhuar dhe sigurimin e një zinxhir mbikëqyrës të pranueshëm. Kjo fazë është me rëndësi për tu siguruar se mbledhja e të dhënave do të ruhet nga kontaminimi. Faza pasuese është grumbullimi, ku shënimet relevante mblidhen duke u mbështetur në përdorimin e metodave të ndryshme të miratuara, për rikthimin e të dhënave. Këtë fazë e pasojnë dy fazat tjera kruciale, të emërtuara si faza e ekzaminimit dhe faza e analizimeve. 10 DFRW
është organizatë jofitimprurëse, vullnetare. Që nga viti 2001 mban punìtori të hapura për forenzikën digjitale. Konsiderohet një nga pjesëmarrësit e rëndësishëm në zhvillimin e proceseve të forenzikës. Aspekti unik i DFRW-së është se përbëhet nga një shkallë e gjerë e konzorciumeve, kon zorciumeve, të udhëhequra u dhëhequra nga akademia dhe jo nga implementuesit e ligjit. Kjo ka ndihmuar që të definohen dhe fokusohen drejtimet e komunitetit shkencor përballë sfidave të forenzikës digjitale. Web adresa e organizatës është: http://www.dfrws.org/
23
Në këto dy faza, kryhen detyra të t ë tilla si: gjetja e provave, validimi i provave, rikthimi i të dhënave të enkriptuara apo të fshehura, të dhënave kohore, ekzaminimi i ashtuquajtur “data mining” etj.
Faza e fundit, sipas DFRWS-së është prezantimi. Veprimet që lidhen me këtë fazë janë: dokumentimi, dëshmitë e ekspertëve etj.
2.2.3 M odeli odeli Abstrakt i F orenzik orenzik ë s Di gji tale tal e (AD F M ) (2002)
Inspiruar nga modeli hetues DFRWS, autorët Reith, Carr & Gunsch [13] kanë propozuar modelin e njohur si Modeli Abstrakt i Forenzikës Digjitale. Në këtë model ata shtojnë edhe tre faza, dhe kështu numri i etapave gjatë hetimit zgjerohet në nëntë
Identifikimi Përgatitja Strategjia e qasjes Konservimi Grumbullimi Ekzaminimi Analizimi Prezantimi Kthimi i provave
F igura 4: 4: Modeli Modeli Abstrakt i Forenzikës Digjitale [12]
Tre fazat e rëndësishme të këtij modeli janë: Përgatitja, strategjia e qasjes dhe kthimi i provave. Në fazën e përgatitjes, kryhen aktivitetet si përgatitja e veglave dhe mjeteve, përcaktimi dhe zgjedhja e teknikave të identifikimit dhe marrja e mbështetjes nga ekipi menaxhues.
24
Strategjia e qasjes, është prezantuar në këtë model me qëllim të shtimit të nxjerrjes së të
dhënave të paprekura, dhe në të njëjtën kohë, të pakësimit të ndikimit negativ te viktima dhe njerëzit që e rrethojnë. Pasi që gjitha provat, janë pronë e dikujt, në fazën e kthimit të provave duhet të sigurohemi që provat digjitale dhe materiale, pa dëmtime të i kthehen pronarit të duhur ose ato prova të arkivohen apo shkatërrohen sipas procedurave dhe udhëzimeve të gjykatës. Baza e këtij modeli, tenton ti përcaktoj aspektet kyçe të bazuara në protokollet e dhëna paraprake gjyqësore nga idetë e shkencës së forenzikës tradicionale, e sidomos protokollet e veçanta për hetim dhe hulumtim të skenës së krimit nga Byroja Federale për Investigim (FBI), e SHBA-së. [14] Tabela 1: Komponentët Komponentët kryesore të modelit të propozuar nga DFRW [14]
Nr.
1
2
3
4
5
Fazat
Përshkrimi
Identifikimi
Nj ohj a e inci denti denti t n ga krye kr yessi dhe pë r caktimi caktim i i tipit ti pit të i n ci dent den t i t . K j o f azën u k ë sht sh t ën ëm ë n yr ëekspl ek splii ci t e br b r enda en da f u shë sh ë s së sëf or enzi en zi k ë s, por ë sht sh t ëe r ë n dë si sh m e pë pë r shk sh k ak t ë ndi ki mi t nëhapat tj er a.
Pë r gat ga t i t j a
Pë r gati gat i tj a e veglave, vegl ave, tekn t ekn i k ave, kë kë r k i m i i u r dhë dh ë r basti bast i sjes sj es dhe dh e autor au tor i zimeve tj era pë r mon i tor i m dhe dh e ofr of r i mi i n dihm di hm ë s eki pit pi t të t ëmenaxh im it .
Strategji Str ategji a e qasj qasj es
F ormul orm ul imi din amik i qasjes qasjes,, i bazuar bazuar nëndi kimi ki mi n potenci potencial al tësoditë sodi të sve, sve, si dhe dh e ndi n di ki mi i tekn tek n ologj ol ogj i së speci speciff i ke që q ë pë r dor do r et. Q ë l l i m i i str ategj at egj i së ë sht sh t ëm bl edhj edh j a m aksi ak sim m al e e provave tëpandrys pandr yshu hu ara dhe min im izimi i n dik imit im it të vi k t i m ë s.
Konservimi (Ruajtja)
I zolohen, olohen, r uhen dhe sigur sigur ohen ohen provat provat f izike dhe digji tale. K j o në në n k u pton pto n pengi mi n e personave per sonave qëti qasen dhe dh e pë r dor i n paj i sj et digj i tal e, apo pen pen gimi gi mi n e pë r dor i mi t të t ë paji sj eve el el ektr kt r omagne omagn eti ke bre br enda r ezes së sëi nf l uencuar uencu ar..
Koleksionimi
Regji stri str i mi (i nci zi mi ) i skenë ken ë s fi zike zik e dhe bë r j a e kopj k opjes es i denti ke tëpr ovave digj i tal e duk e u mbë shtetur shtetu r në pr ocedur ocedu r at standar stan dar de dh e të t ëpë r shtat sht atshm shme. e.
25
6
7
8
9
Ekzaminimi
Kë r k i m i sistem si stemat atii k dh e i h ol l ë sish si shë ë m i pr ovave ova ve që q ëk an ët ë bë j n ëm e kr k r i m i n e supo supozu zuar ar . F ok u sim si m i n ëk ë t ëf azëbi e mbi mb i i dent dentii f i ki mi n dhe gje gj etj en e provave potencial potenci ale e, me mun dë si n dodh dod h j eje ej e nëvende ven de tëpazak onta on ta.. Pastaj Pa staj pë r pi l i mi n ëdetaj deta j e i dokum dok umentaci entaci oni on i t pë r anal ana l i za.
Analiza
Pë r cak ca k t oh et r ë n dë sia, si a, bë h et r i n dë r t i m i i f r agm ag m ent en t eve të t ë provave pr ovave dhe nxj nx j err j a e konkl konk l uzion eve, ve, bazuar bazuar nëprovat pr ovat e gj etu r a. M u n d të t ëk ë r k oh en di d i sa pë r së r i t j e tëekzam ekza m i n i m i t dh dh e anal an al i zë s pë r tëm bë shtetu sht etu r teor i n ël i dhu dh u r m e kr i m i n . D al l i mi t e an a n al i za ë sht sh t ëse, m u n d t ëm os kë kë r k oj shk sh k at h t ë si t ëm ë dh a t ekn ek n i k e pë r t ëk r yer pu n ë n , pr an daj da j shu sh u m ë n j erë er ë z mu m u n d t ë pu n oj n ën ër asti st i n e dh dh ë në .
Prezantimi
Hetuesi përmbledhë rezultatet përmbledhë rezultatet dhe siguron shpjegim siguron shpjegim të konkluzioneve. Kjo duhet të duhet të jetë e shkruar në shkruar në kushtet e kushtet e një personi laik, duke përdorur terminologjinë përdorur terminologjinë abstrakte. Të gjitha shprehjet gjitha shprehjet abstrakte duhet të referohen në detaje konkrete.
Kth imi i pr ovav ovave e
Sigurimin e pronës e pronës fizike fizike dhe digjitale për të ia kthyer pronarit të pronarit të duhur , si dhe përcaktimin dhe përcaktimin e asaj se si dhe cilat prova penale prova penale duhet të hiqen . Përsëri kjo nuk është hap eksplicit i forenzikës digjitale, megjithatë çdo megjithatë çdo model që grumbullon prova, grumbullon prova, rrallë herë e adreson këtë aspekt .
Këto komponentë, të paraqitura në tabelë mundësojnë standardizimin e procesit pa i definuar pajisjet dhe teknologjitë specifike. Kjo bënë të mundur aplikimin e një metodologjie të qëndrueshme, për përfshirjen e gjitha pajisjeve dhe teknologjive nga e kaluara e tashmja dhe e ardhmja. Pra metodologjia e dhënë në tabelë mund të aplikohet duke filluar nga pajisjet më të thjeshta llogaritëse e deri te ato më të ndërlikuara që do të prodhohen në të ardhmen.
26
KAPITULLI 3 3. Veglat e domosdoshme të forenzikës kompjuterikë Veglat kryesore që i përdorin hetuesit e forenzikës kompjuterike për gjetjen e provave ndahen në: -
Vegla softuerike të forenzikës kompjuterike Vegla harduerike të forenzikës kompjuterike
3.1 V egla sof tu eri ke të t ëf or enzikë enzik ë s kompj kom pju u teri ter i ke
Një pjesë e madhe e suksesit të hetuesve specialist të kësaj fushe, ka të bëjë me njohjen dhe përdorimin e softuerëve softuerëve më të njohur të forenzikës kompjuterike. ‘open source’ që Njihen llojet komerciale dhe ‘open që shpërndahen falas të softuerëve të forenzikës kompjuterike.
Ndër softuerët komercial, komercial, më të njohur të kësaj kësaj lëmie janë: -
EnCase Forensics Toolkit (FTK) ProDiscover
Ndër softuerët falas, falas, më të njohur të kësaj kësaj lëmie janë: -
Autopsy Digital Forensics Framework (DFF) etj.
Softuerët që përdore për këtë lëmi mund të i ndajmë edhe si softuerë: -
Gjithëpërfshirës Të specializuar
Kur softueri ofron shumicën apo gjitha veçoritë dhe mundësitë për forenzikë kompjuterike, atë softuer e quajmë Kompleti i softuerit të forenzikës ( Forensic Software Suite). Në këtë komplet me veçori gjithëpërfshirëse mund t’i numërojmë këto softuerë:
-
EnCase Forensics Toolkit (FTK) ProDiscover Autopsy Digital Forensics Framework (DFF) 27
Zakonisht, këto softuerë vijnë si vegla komplete në një vend, me një sërë veçorish gjithëpërfshirëse, për përmbushjen e detyrave nga fillimi në përfundim. përfundim. Këto veçori përfshijnë mundësitë për: -
nxjerrjen dhe procedimin e të dhënave; kryerjen e kërkimeve; gjenerimin e raporteve.
Forensic” nga Guidance software. Një nga shembujt shembujt e një softueri të tillë është: “ EnCase Forensic”
F igura 5: 5: Ndërfaqja Ndërfaqja e softuerit EnCase Forensic 7
Mirëpo, shpesh në varësi nga rasti, përveç veglave softuerike gjithëpërfshirës për forenzikë kompjuterike, nevojiten edhe vegla softuerike të specializuara, që fokusohen në aspekte të ndara të hetimit, dhe ofrojnë veçori të caktuara që ndihmojnë për ti mbështetur provat. Si shembull mund ta përmendim gjetjen e një teksti të fshehur në fotografi. Për këtë qëllim nuk do të ndihmonte një vegël softuerike gjithëpërfshirëse si EnCase por do të mund të na kryente më shumë punë një vegël softuerike e specializuar për steganografi sikurse Xiao Stegnography.
Ndërfaqja grafike e programit Xiao F igura 6: 6: Ndërfaqja Steganography
FTK imager , DiskExplorer , dcfldd ose Veglat tjera softuerike të specializuara si FTK imager ose dd që që ofrojnë vetëm veçorinë e krijimit të imazhit të diskut ku ndodhen provat, apo Hex Workshop që është
28
vegël e specializuar për ekzaminimin e provave në nivelin binar gjegjësisht heksadecimal, mund të jenë të shumë të nevojshme krahas kompletit të softuerit për forenzikë kompjuterike. Këto softuerë të specializuar, për të funksionuar pa problem, zakonisht kërkojnë: -
Fuqi procesuese (procesorë të fuqishëm) RAM memorie të bollshme Hapësirë të konsiderueshme të diskut
Sa më e madhe të jetë fuqia procesuese, memoria dhe hapësira në disk, aq më mirë do të ecë mbarëvajtja e hetimit të provave digjitale. 3.2 V egla h ar dueri du eri ke tëf or enzikë enzik ë s kompj ut eri ke
Shpesh, gjatë hetimeve profesionale, më lehtë dhe më e sigurt për këtë qëllim, është përdorimi i pajisjeve speciale harduerike si: bllokuesit e regjistrimit në disqe, duplikuesi i disqeve, arkivuesit e provave etj.
F igura 7: 7: Stacioni Stacioni Mobil i Forenzikës Kompjuterike Fotografi nga nga : Computer Computer Forensics Forensics Essential Training Training (Aug 20, 20, 2014), http://www.Lynda.com
Bllokuesi i regjistruesit në disk, e pengon sistemin operativ që të shkruan në diskun origjinal të provave. Edhe pse ekzistojnë bllokues softuerik të regjistrimit në disk, më të preferuar dhe më të sigurt janë ato harduerik. Pajisjet tjera harduerike shumë të nevojshme janë pajisjet me kapacitet të madh për deponimin e të dhënave ( Hard disqet, disqet magnetik, flash disqet etj.) etj.) ku vendoset imazhi (image) i diskut me procedurë “bit-to-bit “ bit-to-bit copy” copy”
Kërkesat kryesore dhe minimale të harduerit të forenzikës kompjuterike janë: efikasiteti, kapaciteti, kompatabiliteti dhe mobiliteti. - Efikasiteti nënkupton shpejtësinë e harduerit. Të shumtën e kohës së hetimit,
specialistët e forenzikës kompjuterike e kalojnë duke pritur që të kopjohen të dhënat, si kopjimi i imazhit të diskut apo kërkimi i të dhënave në disk. Prandaj shpejtësia e harduerit në këtë fushë është kritike. 29
- Kapaciteti nënkupton hapësirën, memorien dhe sasinë e slloteve apo fiokave për kyçje
të disqeve apo kartelave shtesë. - Kompatabiliteti nënkupton përputhjen e harduerit me sisteme të ndryshme operative si
dhe të harduerit të ndërtuar me teknologji të ndryshme ndr yshme harduerike. - Mobiliteti nënkupton mundësinë e marrjes së harduerit me vete gjatë punës hetuese.
Varësisht nga vendi i kryerjes së hetimeve të forenzikës kompjuterike mjetet dhe hardueri mund të jenë: -
kompjuter desktop ) Pajisje e kompletuar e tavolinës ( stacion pune apo kompjuter
-
Pajisje mobile ( llaptop me pjesë shtesë për teren )
-
Mjete të ndryshme ( bateritë e dorës, qeset e provave, kamerat, formularë për ecurinë e rruajtjes së provave, kabllot, kaçavidat, darët, dorëzat etj. )
Sidomos kur kemi të bëjmë me pajisje të ndjeshme elektronike, është me rëndësi përdorimi i qeseve dhe dorëzave anti-statikë, për të mos i dëmtuar provat nga elektriciteti statik, që mund të zbrazet nga duart e ekzaminuesit, gjatë punës.
30
KAPITULLI 4 4. Rregullat e përgjithshme të forenzikës kompjuterike 4.1 Aspektet ligjore dhe teknike sa i përket hetimeve të forenzikës kompjuterike Varësisht nga hapat e ndërmarra, në gjyq , provat mund të pranohen apo të refuzohen si jo të besueshme. besueshme. Madje edhe më keq, hetuesi mund të ketë implikime ligjore të shkeljes së ligjit gjatë hetimit nëse nuk është mjaft i kujdesshëm. Prandaj, te rastet e hetuesve publik të forenzikës kompjuterike që hetimet i bazojnë në procedura ligjore, është e nevojshme të sigurohet urdhër bastisja nga gjykata. Ndërsa te hetuesit privat të forenzikës kompjuterike, hetimet mbështeten në rregullore të brendshme të organizatës. Sidoqoftë në dyja rastet provat mund të kontestohen. Prandaj është me rëndësi që provat të jenë të: -
Riprodhueshme; Verifikueshme.
Një nga mënyrat mënyrat e verifikueshmërisë është përdorimi i veglës veglës softuerike për HASH . Nëse të dhënat në pajisjen origjinale ori gjinale japin vlerën hash A, ndërsa ato në pajisjen kopje japin vlerën hash B, dhe nëse A = B, atëherë vlefshmëria e kopjes së provave është verifikuar. Po ashtu veglat HASH, mund të përdoren për t’u siguruar edhe për ri-prodhueshmërinë e provave. Nëse gjenerohet vlera e njëjtë HASH sa sa herë që fajlli dhe vegla e përdorur është e njëjtë, atëherë me këtë këtë edhe ri-prodhueshmëria është verifikuar. Ndër prioritetet më kryesore të forenzikës kompjuterike është ruajtja dhe mbrojtja e integritetit e të dhënave që hetohen.
4.2 Kujdesi ndaj provave Një rregull i përgjithshëm që njihet si rregulla e artë është: kujdes, mos i dëmto provat! Shprehja “ prova”, në rastin tonë i referohen diskut që përmban prova që hetohen. hetohen. Një nga rreziqet e përhershme është që Sistemi Operativ Operativ i pajisjes së hetuesit apo i pajisjes së personit që hetohet, të shkruaj në diskun e provave. Prandaj, si masë preventive që ndermirët për këtë problematikë në forenzikës kompjuterike, është përdorimi i “ Bllokuesit të 31
regjistrimit ” (Write Blocker ). ). Ekzistojnë dy tipa të bllokuesve të regjistrimit. Bllokuesi
harduerik dhe bllokuesi softuerik i regjistrimit. Bllokuesi harduerik, është pajisje harduerike që vendoset mes diskut të provave dhe kompjuterit, që është stacion punues 11 i forenzikës kompjuterike. Bllokuesi softuerik mund të jetë në formë të softuerit të veçantë të specializuar apo si pjesë e “ computer kompletit softuerik të forenzikës kompjuterike , që në gjuhën angleze njihet si “computer forensic suite”. suite”.
Efektin e bllokuesit softuerik mund ta arrijmë edhe pa ndonjë softuer të veçantë për këtë qëllim, por duke e ndryshuar konfigurimin e sistemit operativ në regjistër. Një nga Writte Blocker softuerët për USB që mund ta gjejmë falas ( LGLP licencë ), ), është softueri Orion USB Writte Blocker nga nga kompania Orion Forensics. Orion USB bllokuesi i pengimit të regjistrimit në disk i lejon përdoruesit mbrojtjen e shkrimit në të gjitha pajisjet USB të lidhura me kompjuter ose bllokon plotësisht USB pajisjet. [15] Programi mund të përdoret pa pasur nevojë që të instalohet në kompjuter.
4.3 Bllokimi harduerik i regjistrimit Janë disa raste kur duhet përdorur bllokuesi harduerik të regjistrimit në diskun e provave. Se çfarë bllokuesi harduerik harduerik të regjistrimit do të përdorim përdorim për ekzaminimin e provave provave digjitale, varet nga qëllimi dhe natyra e hetimit, buxheti etj. Ekzistojnë disa tipa të bllokuesve harduerik të regjistrimit, me kosto të ndryshme. Ato më të shtrenjtat ofrojnë shpejtësi, siguri dhe mbarëvajtje. Nëse kemi kohë të mjaftueshme për zhvillimin e hetimit si dhe mundësi, natyrisht mund të përdorim edhe bllokues më të lirë harduerik të regjistrimit. Disa nga format më të thjeshta të bllokuesve harduerik të regjistrimit janë pajisjet e thjeshta që mundësojnë lidhjen e diskut të provave me ndërfaqen e USB-së. Në këtë raste pajisja harduerike e bënë vetëm lidhjen fizike të diskut të provave me USB të stacionit të punës, ndërsa bllokimi i regjistrimit arrihet duke u mbështetur në softuer. Është metodë e lirë por jo edhe metodë që i mënjanon gjitha brengat lidhur me mbarëvajtjen e punës.
11 Stacion
punues- nga anglishtja: workstation, që është pajisje kompjuterike e tavolinës, por më e fuqishme se kompjuterët
personal
32
F igura 8: 8: Bllokuesit Bllokuesit e thjeshtë harduerik Fotografi nga nga : “Computer Forensics Essential Training ” , http://www.Lynda.com http://www.Lynda.com
Bllokuesit e thjeshtë harduerik mund të përdoren për shumë tipa të disqeve që lidhen përmes ndërfaqeve të ndryshme.
Bllokuesi i thjeshtë harduerik F igura 9: 9: Bllokuesi Fotografi nga nga : “Computer Forensics Essential Forensics Essential Training” Training” , http://www.Lynda.com http://www.Lynda.com
Varësisht nga disku i provave, bllokuesi harduerik i thjeshtë ofron mundësinë e lidhjes me ndërfaqet SATA, IDE 3.5/5.25, IDE 2.5 dhe USB, si në fotografi. Formë pak më e avancuar janë të ashtuquajturat “ Hard Drive Docking Station” Station”, që
mundësojnë kryerjen e punës me më pak kabllo, gjatë kopjimit të imazhit të diskut të provave.
F igur a 1 10: 0: Bllokuesi i avancuar harduerik " Hard disc Bllokuesi docking station" Fotografi nga : “Computer Forensics Essential Training”, http://www.Lynda.com
33
Për punë më profesionale, nevojiten pajisje më profesionale, që kanë për qëllim mënjanimin e aksidenteve dhe rrezikut të dëmtimit të diskut të provave gjatë punës, dhe të përputhen me standarde ligjore. Pra, hetuesi i forenzikës kompjuterike detyrohet të përdor pajisje të till ë për bllokim të regjistrimit, në mënyrë mën yrë që gjykata t’i pranojë provat e gjetura. Provat e siguruara me pajisje më të thjeshta, një avokat i zoti mund të i kontestoj me sukses. Ky lloj i bllokuesit harduerik është më i shtrenjtë, por ofron shumë më tepër siguri dhe metodë që i mënjanon gjitha brengat lidhur me mbarëvajtjen e punës Pra integriteti i të dhënave në diskun e provave është ajo që vendos se sa qëndrojnë dhe sa të zbatueshëm janë provat digjitale. Tableau”, e cila njëkohësisht prodhon Një nga pajisjet e këtij lloji prodhohet te kompania “Tableau” shumë pajisje tjera për forenzikë kompjuterike. Kjo pajisje përkrahë lidhjen me ndërfaqet eSata, FireWire, USB etj. Po ashtu ka edhe ndërprerësa on dhe off që përdoren për konfigurime, për read (vetëm lexim) read/writte (lexim dhe regjistrim), e që përdoren sipas nevojës.
F igur a 11: 11: Pajisja Pajisja bllokues i regjistrimit në diskun e provave nga kompania Taleau Fotografi nga nga : “Computer Forensics Essential Forensics Essential Training” Training” , http://www.Lynda.com http://www.Lynda.com
Një nga indikatorët rëndësishëm është indikatori që tregon se është aktiv bllokues i regjistrimit në diskun e provave. Sa i përket bllokuesve harduerik të regjistrimit në diskun e provave, ka edhe zgjidhje tjera që që vijnë në madhësi më të vogla apo më të mëdha dhe me opsione të ndryshme. Një nga këto pajisje shumë profesionale është duplikatori i hard disqeve. Këto pajisje janë të shpejta dhe “ plug and play” play ”, dhe kështu ofrojnë siguri të lartë dhe maksimumin e evitimit të kokëçarjes në mbarëvajtjen e punës.
F igur a 12: 12: Duplikatori Duplikatori i disqeve Fotografi nga nga : “Computer Forensics Essential Forensics Essential Training” Training” , http://www.Lynda.com
34
Përveç përdorimit të bllokuesve të regjistrimit, për integritetin e provave duhet t’i kushtohet rëndësi edhe sigurisë fizike dhe zinxhirit të veprimeve. Në këtë mënyrë e dimë në çdo kohë, kur dhe pse dikush ka pasur qasje në diskun e provave. Zinxhiri i veprimeve hap pas hapi regjistrohet në formularë të veçantë për këtë punë. Prandaj, në rast se pas krijimit të imazhit të diskut me prova, ndryshon diçka në të, dhe vlerat hash nuk përputhen, atëherë, hetuesi hetuesi i forenzikës kompjuterike e kupton se dikush ka pasur qasje të pa autorizuar në diskun e provave.
4.4 Përshtatja e sistemit operativ për të mos i montuar automatikisht USB disqet Te stacionet punuese të forenzikës me sistemet operative, Windows apo Linux të rregulluara paraprakisht për forenzikë kompjuterike, me kyçjen k yçjen e USB diskut në portin fizik, USB disqet nuk montohen (angl. mount ) automatikisht. Ndërsa te sistemet operative që ne i përdorim në desktop kompjuterët tonë, nëse dëshirojmë t’i përshtatim për forenzikë kompjuterike, duhet tua ndalojmë montimin automatik të disqeve ngase ne nuk dëshirojmë që sistemi operativ rastësisht të shkruaj në USB disk që është disku i provave. 4.4.1 Ndalja e sistemit operativ qet operativ Windows që që t’i montoj automatikisht automatikisht USB di sqet
Në shembullin në vijim tregohet ndalja e montimit automatik në Windows, në mënyrë që kur të na duhet, e përdorim mënyrën manuale të montimit të USB disqeve në sistem. Startojmë nga linja komanduese programin diskpart me privilegje të administratorit. Ky disable program është vegël e Windows për particionimin e disqeve. Shkruajmë automount disable dhe shtypim tastin enter .
F igur a 13: 13: Ndalja Ndalja e sistemit sistemit operativ Windows që t’i montoj automatikisht automatikisht USB disqet
35
KAPITULLI 5 5. Nxjerrja e të dhënave nga mediumet dhe disqet e provave Në forenzikën kompjuterike, kompjuterike, njihen tre mënyra kryesore të nxjerrjes së të dhënave. dhënave. Ato janë: 1. Mënyra statike e nxjerrjes së të dhënave nga disqet e provave. 2. Mënyra aktive e nxjerrjes së të dhënave nga disqet e provave. provave. 3. Mënyra e nxjerrjes nga distanca e të dhënave nga disqet e provave.
5. 1 Mënyra statike e nxjerrjes së të dhënave nga disqet e provave Mënyrë më e zakonshme dhe më e shpeshtë në forenzikën kompjuterike është mënyra statike e nxjerrjes së të dhënave. Mënyra statike shërben për të nxjerr të dhëna nga burimet me të dhëna të qëndrueshme (angl. non-volatile), siç janë disqet e ngurta (angl. hard drives) ku të dhënat mbeten të ruajtura edhe pasi ndalet furnizimi me rrymë elektrike i pajisjes.
5.1.1 N xj err j a stati ke e tëdhë dh ë n ave me F T K i mager
Programi FTKimager është pjesë e kompletit të softuerit komercial FTK, për forenzikë digjitale [16]. Shembulli në vijim tregon si kryhet krijimi i imazhit të diskut, që do të përdoret për ekzaminime ekzaminime të mëtejme. Në Windows, ku paraprakisht e kemi instaluar programin FTKimager , e startojmë me privilegje të administratorit. administratorit. E kyçim USB diskun e provave në një USB port fizik të kompjuterit. Pastaj nga FTKimager opsionin Cre Cr eate Di sk I mage zgjedhim menynë F i l e dhe .
Krijimi i imazhit F igur a 14: 14: Krijimi të diskut me softuerin FTK imager 36
Physical Dr ive Zgjedhim opsionin Physical pastaj pastaj Next dhe, dhe, nga lista e zgjedhim cili është USB disku, imazhin e të cilit dëshirojmë ta krijojmë.
Opsionet tjera kanë të bëjnë me destinimin se ku do të ruhet imazhi, pastaj llojin e imazhit të diskut. Për llojin e imazhit në punën e forenzikës kompjuterike e zgjedhim Raw (dd), që është kopjim bit pas biti (angl. bit by bit copy ), dhe e krijon kopjen ekzakte të diskut që ekzaminohet. Pastaj, pasojnë informatat e provave që duhet plotësuar me kujdes. Fushat për plotësimin e informatave të provave janë: - Numri i rastit të hetimit - Numri i provave - Përshkrimi unik - Ekzaminuesi - Shënimet tjera
F igur a 15: 15: Hapja Hapja e rastit të hetimit dhe regjistrimi i provave gjatë krijimit të kopjes së SD diskut me programin FTK FTK imager.
Me krijimin e imazhit krijohen edhe vlerat HASH . Në figurë shohim se programi FTKimager, HASH vlerat vlerat e të dhënave i ka krijuar në MD5 dhe SHA, para se të krijoj imazhin e tyre si dhe pasi e ka krijuar imazhin e tyre. Me M e këtë kryhet verifikimi i kopjes identike. Shihet se në të të dyja rastet ato janë të njëjta dhe verifikimi i tyre plotësisht përputhet.
Hash vlerat e krijuara për të dhënat, në F igur a 16: 16: Hash MD5 dhe SHA
37
5.1.2 Nx j er r j a stati stati ke me softu of tu er ëf alas al as (open sour sour ce) ce) duke du ke pë r dorur dor ur L i nu x U bun tu dhe k oman om andë dë n dcf d cf l dd. Ubuntu Kopjimin e imazhit të USB diskut si dhe fajllave tjerë në sistemin operativ Linux Ubuntu mund ta bëjmë me komandën dd (convert and copy a file ).
Komanda dcfldd është është version forenzikë i komandës dd në në Linux që na mundëson kopjimin e diskut (krijimin e imazhit të tij me disa opsione shtesë). E përdorim komandën dcfldd në në vend të dd ngase është më e lehtë për t’u përdorur dhe a më shumë veçori forenzike, si p.sh.: krijimi i hash vlerës për imazhin dhe log fajllin fajllin për atë vlerë. Së pari e shikojmë se si prezantohet USB disku në sistemin operativ. Shkruajmë komandën sudo f disk -l
Në sistemin operativ Linux, pajisja për ruajtjen e shënimeve shënimeve si p.sh. USB disku prezantohet si file. P.sh., një hard disk Serial ATA (SATA), në sistemin e fajllave te Linux prezantohet si dev/sda . Disku i dytë fizik, prezantohet si dev/sdb ndërsa USB disku shfaqet si dev/sdd në sistemin e fajllave. Ndërsa numrat si sda1, sda2, sdb1 etj., prezantojnë disqet logjike apo particionet. Prandaj Prandaj USB disku shfaqet ne këtë rast si sdd1 . Për ta kopjuat USB diskun shkruajmë komandën : sudo dcfl dd if =/dev/s =/dev/sdd dd of= USBi mage.dd mage.dd hash= hash=md5 md5 hashl hashl og=USBi mage.log mage.log
Komanda sudo na jep privilegje të administruesit. Komanda i f është për input file ku e përcaktojmë USB diskun që prezantohet si sdd1 në në Linux, pastaj komanda of është është për output file, të cilit ia përcaktojmë një emër për kopjen e USB diskut. Komanda hash na mundëson të zgjedhim cilin algoritëm të hashingut duam të përdorim, në rastin tonë md5 , e cila, në fund të procesit do te krijoj md5 vlerën e imazhit të USB diskut që e kopjojmë, ndërsa me komandën hashlog i tregojmë sistemit operativ Linux, që të na e ruaj i log fajllin fajllin me vlerën hash të USB diskut. Në fund shtypim enter , dhe fillon procesi i kopjimit të imazhit të diskut, e cila në ekran na shfaqë drejtpërdrejtë statusin e kopjimit të bajtëve.
38
Krijimi i imazhit të diskut në Ubuntu Linux F igur a 17: 17: Krijimi
Për të parë nëse është krijuar hash vlera e imazhit me md5 , shkruajmë komandën: more USBimage.log. List Ndërsa për të parë se ku na është krijuar imazhi i USB diskut shkruajmë komandën: l s ( List information about the FILEs), dhe listohet mes tjerash edhe emri i imazhit të USB diskut që e kemi kopjuar.
: Komanda " l s " në Linux Ubuntu, dhe shfaqja e fajllit të kopjuar të diskut, me emrin F igura 18 18 USBimage.dd
39
5.2 Mënyra aktive e nxjerrjes së të dhënave nga disqet e provave Mënyrë tjetër është nxjerrja nga pajisja aktive (angl. live acquisition). Kjo mënyrë përdoret kohëve të fundit gjithnjë e më shumë, shkaku i ndryshimit të teknologjisë kompjuterike, si dhe shkaku i enkriptimit të të t ë dhënave. Nxjerrja e aktive e të t ë dhënave përdoret te burimet me të dhëna të pa qëndrueshme (angl. volatile), siç janë RAM memoria, memoria, ku të dhënat humben pasi ndërprehet furnizimi me rrymë elektrike.
5.2.1 N xj err j a akt i ve (l i ve) e tëdhë dh ë nave na ve me F TK i mager
Ndër gjërat e para që duhet të bëjë një ekzaminues i forenzikës kompjuterike, është nxjerrja dhe kopjimi i të dhënave nga RAM memoria e pajisjes kompjuterike, nëse pajisja ka qenë duke funksionuar me sistemin operativ aktiv. Softueri FTKimager mund të përdoret edhe për t’i nxjerrë provat drejtpërdrejte nga RAM memoria si burim i paqëndrueshëm paqëndrueshëm i të dhënave, duke qenë pajisja kompjuterike e ndezur. E startojmë programin Access data FTK imager si administrator i sistemit. Pastaj zgjedhim dhe Captur Captur e memor memor y opsionin F i le dhe .
Nxjerrja dhe kopjimi i përmbajtjes së RAM memories e FTK imager F igur a 19: 19: Nxjerrja
Pas kësaj e zgjedhim destinimin ku dëshirojmë ta ruajmë provën e nxjerrë, për ekzaminim të memor y mëtejmë. Në fund e zgjedhim opsionin Captur e memor . Varësisht nga sasia e memories, zgjat edhe procesi i nxjerrjes së informatës nga aty dhe krijimi i kopjes identike.
40
Zakonisht, fajlli në këtë rast emërtohet si memorydump.mem por na mund t’ia ndryshojmë ’ të emërtimin, duke e lënë ekstenzionin ‘.mem ’ të paprekur. Madhësia e fajllit të krijuar zakonisht është sa e RAM memories, përmbajtjen e së cilës e kemi kopjuar, apo ndonjëherë dhe më e madhe se aq.
F igur a 20: 20: Hapja Hapja e memories memories së kopjuar me programin Volatility 2.4 dhe Command Prompt nga Windows
5.3 Mënyra e nxjerrjes nga distanca e të dhënave nga disqet e provave Kjo mënyrë e nxjerrjes së të dhënave (angl. remote acquisition) e përdor rrjetin dhe arkitekturën klient-server. Edhe kjo mënyrë është një formë e nxjerrjes nga pajisja aktive e të dhënave, ngase kërkon që edhe serveri edhe klienti të jenë të ndezur gjatë gjithë kohës. Ndryshe njihet edhe edhe si Forenzika e rrjetit apo online forenzika kompjuterike. Kohëve të fundit, edhe kjo mënyrë e nxjerrjes së të dhënave po bëhet gjithnjë e më e aplikueshme, ngase metodat metodat statike të nxjerrjes së të dhënave po hasin në probleme pr obleme të mëdha, shkaku i enkriptimeve të të dhënave të ruajtura në disqe.
5.3.1 5.3. 1 N x j err j a e të t ëdhë dh ë n ave nga n ga di d i stanca stan ca
Nxjerrja nga distanca kryhet përmes rrjetit, r rjetit, duke e përdorur tipin klient-server të të arkitekturës së rrjetit. Për ta arritur këtë qëllim, duhet instaluar programi apo aplikacioni server te te pajisja nga ku dëshirojmë të i nxjerrim të dhënat prova, nga distanca. Ndërsa të pajisja ku do t’i kopjojmë të dhënat instalohet pjesa e softuerit klient . Serveri dhe klienti duhet të jenë aktiv gjatë gjithë kohës, prandaj edhe këtë metodë të
nxjerrjes së të dhënave, mund ta quajmë si nxjerrje aktive në distancë. Në shembullin tim, programi server është HDhost dhe atë e aktivizojmë me privilegje administruesi (në Windows, me tastin e djathtë dhe Run as Administrator ). ). E Zgjedhim mënyrën e lidhjes me kompjuter përmes rrjetit TCP/IP . Është edhe mënyra tjetër me kabëll, me lidhje serike.
41
Pasi ta zgjedhim mënyrën TCP/IP , e shkruajmë IP adresën adresën e dhënë ngase na nevojitet kjo IP adresë te pjesa e klientit që të lidhemi me serverin. Klikojmë Wait for connection dhe kalojmë në pjesën e klient pajisjes.
Ndërfaqet e softuerëve HD Host si server dhe Disk Explorer si klient për nxjerrje të të F igur a 21: 21: Ndërfaqet dhënave nga distanca
Te pjesa e klientit e përdorim softuerin Disk Explorer . Edhe këtë e startojmë me privilegje të administratorit. Pastaj shkojmë te File, Drive dhe Remote. Zgjedhim LAN . Shkruajmë IP adresën dhe klikojmë Connect. E zgjedhim diskun e pajisjes, nga e cila dëshirojmë të i kopjojmë të dhënat. Pastaj procesin e krijimit të imazhit e bëjmë nga menyja Tools dhe pastaj Create image file. Përparësia e kësaj është se nuk është nevoja që personalisht të ndodhemi te pajisja nga e cila i nxjerrim të dhënat prova. Shpejtësia dhe mbarëvajtja e procesit varet nga stabiliteti dhe shpejtësia e rrjetit.
42
KAPITULLI 6 6. Analizimi i të dhënave Gjatë ekzaminimeve, në forenzikën kompjuterike, nuk preferohet preferohet të kryhen analizat aty për aty – pra pra drejtpërdrejtë. Një nga arsyet se pse zakonisht, gjatë forenzikës kompjuterike nuk aplikohet analizimi i drejtpërdrejtë i të dhënave të gjetura në sistemin operativ, duke i përdorur vet komandat e atij sistemi gjersa ajo pajisje është aktive, është ngase, çdo komandë komandë e përdorur në sistemin operativ të pajisjes së personit të dyshuar për vepër penale apo civile, e dëmton dhe e ndryshon sadopak përmbajtjen e atij sistemi. Si shembull të thjeshtë po e marrim, hapjen e drejtpërdrejtë të një dokumenti të programit MS Word . Programi, gjatë hapjes së dokumentit, e regjistron në dokument kohën e hapjes së fundit, si dhe këtë veprim e regjistron edhe sistemi operativ në log fajllin e tij. Pastaj, kur komanda ekzekutohet, ekzekutohet, ajo bartet në memorien e pajisjes, e cila në atë rast mund të mbishkruaj të dhënën paraprake që gjendet në atë memorie, e që mund të jetë provë e rëndësishme. Arsye tjetër që nuk duhen përdorur komandat e sistemit operativ të dyshuarit, është se sistemit kompjuterik që e a përdorur i dyshuari nuk duhet t’i besohet. Sistemi operativ mund
të jetë i programuar që në ekzekutoj ndryshe ndonjë komande të zakonshme, si p.sh. di r në linjën komanduese, që njihet për listimin e direktoriumeve, e në vend se ti komanda dir listoj ato, sistemi, mund të jetë i ri programuar që me këtë komandë ti fshijë apo dëmtoj. Arsyeja e fundit logjike se pse nuk aplikohet analizimi i drejtpërdrejtë i të dhënave të gjetura në sistemin operativ të të dyshuarit, gjatë ekzaminimeve të forenzikës kompjuterike është edhe se shpesh, analizat mund të zgjasin me ditë dit ë dhe javë të tëra. Prandaj specialisti i forenzikës kompjuterike, ndonjëherë punën detyrohet t’ia lejë kompjuterit që ta kryej ( stacionit kompjuterik të forenzikës), pa ndërprerje ditë e natë.
43
6.1 Analizimi i fajllit identik të memories së kopjuar Për ta analizuar një fajll apo imazh të diskut përdoren programet si Hex Editor , por mund të përdoren edhe edhe programe tjera open source, sikurse programi Volatility etj.
F igur a 22: 22: Hapja Hapja dhe analizimi i përmbajtjes së RAM memories, memories, me Hex Editor
Shembull: Për gjetjen e ndonjë fjalëkalimi, e hapim fajllin e RAM memories memories së kopjuar me hex editor , klikojmë te search ikona dhe në fushën value e shkruajmë fjalën password . Në këtë mënyrë gjejmë se ku shfaqet fjala e kërkuar, në këtë rast fjala password , në memorien e
kopjuar. editor të thjeshtë mund t’i kryejmë analizimet e memories së kopjuar nga Pra edhe me një hex editor të pajisja, por rekomandohet të përdoret ndonjë softuer më i avancuar dhe më profesional për këtë qëllim. Një softuer i tillë është softueri “Volatility “Volatility”. ”. [17] X Këtë softuer falas e gjejmë për sisteme të ndryshme operative, si Windows, Linux, Mac OS X etj.
Programin e aktivizojmë përmes vijës komanduese të Windows (command promt ), ), ku së pari shkruajmë komandën cd për për vendin ku ndodhet programi (në rastin tonë në desktop ), ), pastaj e shkruajmë emrin e programit, në rastin tonë volatility-2.4.exe , dhe para se të shtypim tastin f dhe i tregojmë emrin e fajllit (në rastin tonë me emrin enter , shkruajmë komandën – f memdump.mem ), ), i cili duhet të jetë në vendin e njëjtë me programin. volati l ity-2.4 it y-2.4.e .exe xe -f memdump.mem memdump.mem image im agein in f o Pra: C:\Users\Arsim\Desktop>volatil
E shkruajmë në fund fjalën kyçe imageinfo ngase së pari dëshirojmë të shikojmë se çfarë është fajlli imazh, dhe me cilin sistem operativ është krijuar. Pasi ta shtypim Enter , procesi zgjat për një kohë deri sa të përfundoj. Me përfundim, ne si informatë të rëndësishme për ugested Prof il e hapin tjetër, e shikojmë se çka shkruan në fushën Sugested .
44
F igur a 23: 23: Gjetja Gjetja e profileve dhe informatave i nformatave tjera të imazhit të kopjes identike së memories RAM
Në hapin tjetër do të mundohemi t’i shfaqim gjitha proceset që kanë qenë aktive në kohën kur
memoria e pajisjes është kopjuar. Pasi i kemi gjetur profilet për për këtë pajisje, e zgjedhim një profil dhe dhe shikojmë proceset që kanë qenë aktive gjatë nxjerrjes së memories. Këtu si fjalë kyçe përdorim dy viza njëra pas tjetrës, pastaj fjalën profi le = dhe profilin e zgjedhur dhe fjalën kyçe pslist që që e ka kuptimin e proces list . Në fund shtypim tastin Enter . p rofile=Win7SP0x64 Pra: C:\Users\Arsim\Desktop>volatility-2.4.exe -f memdump.mem – profile=Win7SP0x64 pslist
Pas kësaj na shfaqet lista e gjitha proceseve që kanë qenë aktive në kohën kur memoria është kopjuar. Si shembull tjetër, po ashtu nga ky fajll i kopjuar i memories, me nxjerrjen aktive e të dhënave, mund të nxjerrim edhe historinë e faqeve të vizituara në Internet. Për këtë qëllim përdorim përafërsisht komandën e njëjtë për profilin por me fjalën kyçe iehistory e cila bënë të gjendet historia e vizitave në ueb nga Internet Explorer. p rofile=Win7SP0x64 Pra: C:\Users\Arsim\Desktop>volatility-2.4.exe -f memdump.mem – profile=Win7SP0x64 iehistory.
Për brauserët tjerë si Chrome, Firefox etj., instalohen plugins për Volatility, dhe përdoren fjalët kyçe: chromehistory, chromedownloads, chromevisits, chromesearchterms, chromecookies, chromedownloadchains etj., apo për Mozila Firefox: firefoxhistory, firefoxcookies, firefoxdownloads. [18]
45
Po ashtu me softuerin Memgator nga kompania Orion Forensics mund të nxjerrim dhe analizojnë të dhënat dhënat nga memoria e kopjuar. Për dallim nga softueri Volatility, këtu i zgjedhim në mënyrë grafike se çka duam të analizojmë. Në dritaren që hapet me aktivizimin e softuerit, shkruajmë të dhënat për rastin, zgjedhim fajllin e memories, dhe në formë grafike zgjedhim duke klikuar se çka dëshirojmë të analizojmë.
6.2 Analizimi i të dhënave nga disku i zbrazët Një nga softuerët të cilin mund të përdorim përveç për krijimin e imazhit të diskut, po ashtu edhe për analizat e të dhënave, është softueri Autopsy (ndërfaqe grafike e koleksionit të softuerëve për forenzikë kompjuterike kompjuterike me emrin The Sleuth Kit ). ). Me programin Autopsy e hapim imazhin e regjistruar të diskut duke klikuar Cr eate New Case dhe i plotësojmë të dhënat për rastin që e hetojmë. E zgjedhim tastin, nga vendi ku është i ruajtur imazhi i diskut. Pasi hapet, na shfaqen një grumbull i folderëve dhe fajlli me au t . Pasi hapet rasti, shfaqet shtylla me strukturën e të dhënave, dukjet, ekstenzionin aut rezultatet, tagjet dhe raportet. Fajllat mund t’i kërkojmë duke klikuar një nga një në foldera, apo duke kërkuar përmes fjalëve kyçe. Për t’u kryer sa më shpejtë kërkimi, fajllat së pari duhet të indeksohen. indeksohen. Indeksimi është po ashtu një nga veçoritë e rëndësishme të forenzikës kompjuterike. Indeksimi paraqet krijimin e një katalogu të diskut të provave, duke regjistruar lokacionin e secilës të dhënë që është gjetur në diskun e hetimeve. Në fillim indeksimi merr pakë kohë, por më vonë na e shpejton kërkimin e provave në disqe, ngase e regjistron lokacionin e të dhënave në disk, duke u bazuar në fjalët kyçe të atyre të dhënave. Indeksimi, te programi Autopsy kryhet automatikisht dhe aktualizohet në periudha kohore prej 1 minutë deri në 20 minuta, varësisht se si konfigurohet. Për ta shikuar sa fjalë të indeksuara kemi, shtypim tools, options, keywords search. Fajllat e fshira te ndërfaqja grafike e programit Autopsy shfaqen me ikonën e folderit të shënuar me iks të kuqe në pjesën e poshtme të majtë. Gjitha këto fajlla, ne mund t’ i rikthejmë duke klikuar me tastin e djathtë mbi atë fajll dhe duke përdorur opsionin Extract Files. Fajllave të gjetura mund ti vendosim tagje ( tags) dhe komente në to dhe në fund t’i gjenerojmë si raport duke klikuar butonin Generate report .
46
Fajlli fotografi i gërmuar gërmuar dhe nxjerrë nxjerrë nga SD disku disku i zbrazët pas formatimit të shumëfishtë shumëfishtë F igur a 24: 24:
Formën e raportit që do të gjenerohet, kemi mundësi ta zgjedhim si HTML ueb faqe, Excel Dokument, Tekst fajll, Google Earth/KML fajll fajl l , etj. Ky lloj i raportit e lehtëson prezantimin e provave të gjetura. gjetura.
F igur a 25: 25: Dukja Dukja e një html raporti për analizën e SD diskut të zbrazët të gjeneruar nga Autopsy
47
6.3 Të kuptuarit e disqeve dhe sistemit të fajllave dhe Hashingu Për analiza sa më të mira dhe në përgjithësi gjatë punës në forenzikën kompjuterike thelbore po ashtu është të kuptuarit mirë se si Sistemi Operativ i vendos fajllat në disqe, ngase shpesh personat që hetohen hetohen e përdorin këtë këtë njohuri për fshehjen fshehjen e fajllave dhe dhe të dhënave tjera.
6.3.1 Siste Sistemi mi i f ajl lave dhe metadatat metadatat
Një nga sistemet më të shpeshta, deri vonë të përdorura nga Windows Wi ndows është sistemi i fajllave F A T (File (File Allocation Table) apo Tabela e Alokimit të Fajllave. Krahas këtij sistemi që është i vjetërsuar, Windows përdor sistemin e quajtur Teknologjia e re e fajllave sistemore ose NTFS (New Technology File System). Dallimi kryesor mes këtyre dy sistemeve është te baza e të dhënave të strukturës së fajllit, ku ruhen metadatat dhe dhe mënyra se si regjistrohet r egjistrohet lokacioni i të dhënave. FAT përdor përdor Tabelën e Alokimit të Fajllave (FAT) si data bazë të strukturës së fajllit, ndërsa NTFS përdorë përdorë tabelën e fajllit kryesor kryesor (MFT – Master File Table) si data bazë të strukturës së fajllit. Metadata mund t’i quajmë të dhënat mbi mbi të dhënat tjera. P.sh.: Emri i fajllit, vula kohore e
krijimit, ndryshimit, leximit, dhe atributet tjera. Ndërsa të dhënat e fajllit janë të dhënat brenda fajllit dhe në fajll.
6.3. 6. 3.2 2 Sekt Sek t or ë t dh d h e Kl K l aster ast erë ë t
Po ashtu njohja e dallimit mes sektorëve dhe kllasterëve është i rëndësishëm në forenzikën kompjuterike.
Sektorët (sectors ) janë njësia më e vogël fizike e diskut. Secili sektor përmban 512 bajt. Klasterët (clusters ) janë njësia logjike e diskut. Ato përbëhen nga nga një apo më shumë shumë sektorë.
Pllaka e Hard diskut F igur a 26: 26: Pllaka
A – Shtegu Shtegu (Tr ack) B – Se Sektor i i diskut apo se sektor i gj eometr ometr i k C – Sektori Sektori
D - Kllasteri
48
Njësia fizike ( sektori), është pjesa që e njeh pajisja (disku), aty ku vendosen të dhënat ndërsa ajo logjike (kllasterët ) është pjesa që e njeh Sistemi Operativ. Prandaj kur sistemi operativ e regjistron një fajll, atë e regjistron në nivelin e kllasterëve. Kjo shkakton problemin e ashtuquajtur, problemi i hapësirës së humbur .
6.3. 6. 3.3 3 Pr obl ob l emi i h apë ap ë sir si r ë s së h u m bur bu r
Le të supozojmë se duam të regjistrojmë një fajll 2155 bajt , në diskun, kllasterët e të cilit kanë nga dy sektorë dhe secili sektor mund t’i regjistrojë nga 512 bajt . Ky fajll nuk mund të vendoset në dy kllasterë , por i kërkon tre. Klasteri i tretë përdoret përdoret vetëm pak. Herën tjetër kur Sistemi Operativ regjistron një tjetër fajll, regjistrimin e fillon nga kllasteri i katërt . Prandaj “Slack në kllasterin e tretë mbetet mbetet një hapësirë e papërdorur që njihet si hapësira e amullt apo “Slack space” space”
Fajlli i regjistruar, kllasterët kllasterët e përbërë nga sektorët dhe hapësira e papërdorur Slack F igur a 27: 27: Fajlli
Sistemi i fajllave NTFS në në këtë drejtim është më efikas ngase përdor madhësi më të vogël të kllasterëve në krahasim me sistemin FAT , me ç’rastë zvogëlohet sasia e hapësirës së amullt “Slack space” space”, që shkon dëm.
6.3.4 Radha e ngr i tj es (Boot (B oot se seku ence) ence)
Është e rëndësishme edhe njohja e radhës së ngritjes së sistemit, që njihet si boot sequence, ngase shpesh duhet të manipulojmë me këtë. Disa pajisje harduerike si boot sequence e kanë një memorie që quhet CMOS, 12 dhe që pa furnizim fur nizim të t ë energjisë i humb të dhënat. dh ënat. Aty zakonisht ruhet data dhe koha si dhe disa informata tjera për konfigurim të sistemit operativ. Këto të dhëna dhëna i mbanë në jetë një bateri bateri e vogël. Përveç Përveç CMOS , ato pajisje kanë edhe po 12
Complementary Metal Oxide Semiconductor 49
ashtu edhe pjesën e sistemit bazik për hyrje dalje - Basic Input Output System / BIOS 13. BIOS ngarkon drajverët e harduerit si dhe disa konfigurime të sistemit operativ. Kur të starton kompjuteri, një nga gjërat që verifikon BIOS , është Boot sekuenca që ndodhet e regjistruar në CMOS . Kjo sekuencë e bënë që të vendoset se cili disk do të startoj sistemin operativ. Prandaj, në forenzikë kompjuterike është me rëndësi, që disku që hetohet, të mos startoj ngase sistemi operativ mund të regjistroj të dhëna në të dhe kështu dëmtohen provat. Për këtë, hetuesi e rregullon në BIOS që që sistemi të startojë nga CD ose DVD disqet, apo nga USB disku ku paraprakisht është instaluar sistemi operativ special me programe për forenzikë kompjuterike. Disqet e tilla njihen si Live CD apo Live DVD apo Live USB. Një nga ato Live CD disqe është Kali Linux Live CD.
Dukja e menysë së Kali Linux Live CD F igur a 28: 28: Dukja
6.3.5 D i sa l l oje oj e tësu l meve që s kom k ompj pj u ter i k e duhet t’i njoh hetuesi i specializuar i forenzik ë
6.3.5.1 Fingerprinting Ndër hapat e parë që një nj ë sulmues ndërmerr, është që të dijë se çfarë softueri do të sulmojë. Secili softuer i ka specifikat e veta e po ashtu edhe dobësitë e veta, prandaj edhe llojet e sulmeve janë specifike për secilin softuer. Kështu që një sulmuesi i duhet patjetër të dijë se çfarë softueri i duhet të sulmojë dhe veprimet e para janë marrja e informacioneve për produktin . URL. Kjo bëhet përmes veprimit që quhet “ DNS “ DNS Hapi i parë i sulmit është marrja e IP-së për për URL. Lookup” Lookup” dhe shikohet regjistri i ICANN për të marrë informatat për URL të caktuar, ku përfshihen IP dhe dhe informata tjera të personit përgjegjës që ka regjistruar atë URL. 13 Kohët
e fundit BIOS po zëvendësohet me UEFI – Unified Unified Extensible Firmware Interface
50
Hapi i dytë është të dihet se çfarë sistemi operativ qëndron prapa një IP-je, dhe njihet si “ fingerprinting ” që do të thotë “ shenjat e gishtërinjve” gishtërinjve”. Kjo është e barabartë me identifikimin e personit përmes shenjave të gishtërinjve, veçse këtu bëhet identifikimi i serverit përmes përmes IP-së . Kjo metodë përdoret shume nga korporatat e mëdha si Google, Facebook, Microsoft, Yahoo e shumë të tjera të cilat marrin IP-në e e klientit dhe identifikojnë shfletuesin e Internetit që po e përdor klienti ose sistemin operativ. Këtë disa faqe e bëjnë për qëllime të statistikave tregtare, për të ditur përqindjen e përdorimit të produkteve të tyre nga përdoruesit si dhe cenimin e ”. privatësisë së përdoruesit. Kjo njihet edhe edhe si “krijimi i gjurmëve në Internet ”. Facebook përdor këtë metodë jo për të cenuar privatësinë e klientit apo për qëllime të
statistikave tregtare, por përkundrazi për të ruajtur privatësinë e klientit dhe për ta mbrojtur atë. Një klient përdor një kohë të gjatë një sistem të caktuar operativ dhe gjithashtu një shfletues të caktuar dhe në rastin kur ose sistemi operativ ose shfletuesi papritmas është i ndryshëm prej atij që klienti përdor zakonisht atëherë bën që Facebook të të alarmojë klientin e vet për cenim të mundshëm të llogarisë së tij. Ndërkaq sulmuesit bëjnë fingerprinting përmes programit NMAP i cili është një skaner i shumë i popullarizuar për skanimin e rrjeteve kompjuterike. Një metodë e kontestuar nga komuniteti komuniteti i ekspertëve të sigurisë, për mbrojtje ndaj kësaj është fshehja e identitetit të serverit . Kjo ka ngjallur debate të zjarrta në komunitetin e ekspertëve të sigurisë, pasi që kjo metodë është mjaft e dobët për t’u mbrojtur. Si shembull i kontestimit të kësaj metode është fshehja e identitetit të Apache serverit duke duke e bërë atë të duket sikur të jetë një server i Microsoft (IIS – Internet Information Services), duke e çorientuar sulmuesin dhe duke e detyruar atë të përdorë metoda dhe teknologji të sulmit ndaj IIS , të cilat nuk funksionojnë kur sulmohet Apache në sistemin operativ Linux apo Unix. Mirëpo, edhe kjo shumë lehtë mund të verifikohet. Apache është programuar nga Komuniteti i Burimeve të t ë Hapura dhe është falas. Ai instalohet zakonisht në Linux i cili po ashtu është programuar nga ky komunitet dhe po ashtu i tëri është falas. Gjuhët programuese të cilat janë përdoren për të krijuar u eb faqe për t’u vendosur në Apache janë HTML për konstruktimin e ueb faqes, CSS për për stilizimin e ueb faqes, JavaScript për efekte mediale, PHP për për lidhjen me bazën e të dhënave dhe MySQL për programimin e
bazës së të dhënave të gjitha këto të programuara po nga i njëjti komunitet dhe të gjitha janë falas. Active Server Pages) për Ndërkaq IIS përdor C# për ndërtimin e funksioneve, ASP ( Active konstruktimin e ueb faqeve dhe stilizimin e tyre ndërkaq përdor SQLServer për për programimin e bazës së të dhënave, të gjitha këto kundrejt një pagese mjaftë të madhe.
Në rastin e fshehjes së identitetit të serverit , NMAP skeneri do t’ia bënte me dije sulmuesit se sistemi operativ është Linux ndërkaq serveri është IIS . Një server i Microsoft nuk është komaptabil dhe gati është e pamundur dhe e palogjikshme, të instalohet në sistem operativ Linux. Përveç kësaj, në mënyrë ligjore sulmuesi do të hapte faqen e Internetit të firmës dhe do 51
të klikonte faqet e uebit dhe do të shihte se faqet kanë prapashtesën . php përderisa ai do të priste që t’i hapeshin faqet me prapashtesën .asp ose . aspx që janë faqe karakteristike të vendosura në ueb serverin IIS . Sot, aplikohet teknika që këto prapashtesa të janë të fshehura me mjeshtri, nga zhvilluesit e ueb faqeve. [19] Fshehja e identitetit më së miri do të shpjegohej si në rastin si vijon: Një njeri mund të ketë gjëra të vlefshme në një depo prej druri, e cila simbolizon objektin që lehtë mund të thyhet, Ai ka vendosur shenja në rrugët që çojnë te ai objekt, duke njoftuar mes tjerash se ajo depo është një kështjellë e fortifikuar mirë, dhe e ruajtur ditë e natë nga ushtarë të trajnuar dhe të armatosur mirë. Sidoqoftë, kjo aspak nuk do ta ndalonte një sulmues, që të tentoj të realizoj qëllimin e vet – pra pra sulmin. [19]
6.3.5.2 Mbrojtja në kohë reale Pasi që shpesh forenzika kompjuterike përdoret jo për të dënuar dikë, po për të penguar dhe ndalur dëmin, mbrojtja e aplikacionit në kohë reale mbetet mbrojtja më e mirë që duhet pasur parasysh, pasi që ofron opsione jetike të mbrojtjes së informatës. Ky lloj ll oj i mbrojtjes duhet të të mundësoj parandalimin e sulmeve në kohë reale. Nëse ne dështojmë në parandalimin e sulmit, dhe ai sulm arrin të ekzekutohet, atëherë softueri në server duhet të jetë i konfiguruar që të mundësoj përgjigje ndaj sulmit në ekzekutim e sipër dhe detektimi të bëhet në kohë reale, duke alarmuar të gjithë përgjegjësit e sigurisë së ueb aplikacionit. Mbrojtja në kohë reale bëhet duke përdorur dy teknika: mbrojtja e bazuar në rrjet, e cila mundëson që një nyje e rrjetit ta skanojë trafikun e HTTP, para se ato informata të arrijnë cakun dhe teknika e bazuar në ueb server e cila integron përbrenda serverit një agjent të detektimit të ndërhyrjeve në ueb server . Teknika e mbrojtjes së bazuar në server është është më e thjeshtë, sepse e tëra që nevojitet të bëhet është aktivizimi i një moduli në server dhe nuk është nevoja që të ndryshohet dizajni dhe konfigurimi i rrjetit. Kur në përdorim janë shumë serverë, atëherë detektimi i ndërhyrjeve në rrjet prej një vendi qendror është edhe më i efektshëm. Ka shumë softuerë të cilët ofrojnë detektimin e ndërhyrjeve në ueb, disa janë nga Komuniteti i Burimeve të Hapura ( Open Source) dhe disa janë komerciale. Po ashtu, në Internet mund të gjejmë shërbime me pagesë dhe falas, që ofrojnë monitorim dhe njoftim në kohë reale për pengesat në qasjen e ueb faqeve apo ueb aplikacioneve. Një nga ato faqe me shërbime të tilla është Internet Seer 14. Ky shërbim monitoron në kohë reale dhe në rast të pengesave në ueb faqe apo aplikacion, njofton urgjentisht administruesin e faqes apo aplikacionit të monitoruar. Shërbimet bazë të monitorimit në kohë reale i ka falas, ndërsa ato me pagesë ofrojnë monitorim të DNS -ave, -ave, kundër hakëreve dhe alarmime urgjente për çdo pengesë pengesë [20]. 14
http://www.internetseer.com 52
Figura 29: E-mai alarmi i dërguar nga Internet Seer Seer shërbimi shërbimi me rastin e ndërprerjes ndërprerjes së sulmeve sulmeve në ueb serverin e ndërmarrjes Mjellma.net Mjellma.net dhe raporti i shkurtër kur dhe për sa kohë serveri ka qenë jo aktiv.
Disa kompani tjera që ofrojnë shërbime të ngjashme, duke monitoruar në kohë reale dhe duke alarmuar përmes e-mailit, SMS-it apo telefonit janë: Site Uptime 15, Site24x716, Hyperspin17, Pingdom18 etj. Masë mbrojtëse për serverin është edhe verifikimi i anomalisë së protokolleve, e cila bazohet në verifikimin e kërkesave, dhe ato kërkesa refuzohen nëse nuk janë në përputhshmëri me standardet e protokollit HTTP . Në këtë mënyrë zvogëlohen zonat e rrezikuara dhe ulet numri i sulmeve. [19]
6.3.5.3 Sulmet mbi bazën e të dhënave Sulmet mbi bazën e të dhënave janë sulme të zakonshme mbi ueb aplikacionin, pasi që aplikacioni është i ndërlidhur me të ngushtë dhe baza e të dhënave është element përbërës i aplikacionit dhe si i tillë është edhe cak i sulmuesve. Sulmet mbi bazat e të dhënave, bazohen në futjen fshehurazi të pyetësorëve (query) SQL në parametrat e kërkesave. Këtu tentohet të ndërmirret sulm me injektim të pyetësorëve SQL në bazën e të dhënave. dhënave. “ provo dhe Injektimi i pyetësorëve SQL në bazën e të dhënave funksionon në bazë të parimit “ provo gabo” gabo” (trial (trial and error ) derisa të arrihet suksesi.
Përmes këtij parimi, sulmuesi, duke u bazuar në përgjigjet që merr nga MySQL fillon të rindërtojë strukturën e bazës së të dhënave, tabelave, rreshtave dhe kolonave në tabelë, derisa t’ia arrin qëllimit që të ndërtojë një pyetësor SQL të saktë që i paraqet informacionin e dëshiruar nga baza e të dhënave. https://www.siteuptime.com/ http://www.site24x7.com/ 17 http://www.hyperspin.com/en/ 18 https://www.pingdom.com/ 15 16
53
Detektimi i këtyre sulmeve bëhet duke u bazuar në aktivitetin normal të përdoruesve, të cilët përmes funksioneve në aplikacion ekzekutojnë pyetësor SQL në bazën e të dhënave. Këta quhen pyetësorë të zakonshëm dhe, nëse një përdorues ekzekuton pyetësorë që janë jashtë listës së pyetësorëve të zakonshëm dhe për më tepër ata pyetësorë janë të pasaktë në raport me strukturën e bazës së të dhënave, atëherë kjo duhet të regjistrohet si sulm. Ky konfigurim duhet të bëhet për shkak se, programuesi i aplikacioni dhe i bazës së të dhënave nuk do të ndërtonin një funksion në aplikacion që ekzekuton pyetësorë të pasaktë, duke u paraqitur klientëve njoftimin e gabimit se pyetësori është i pasaktë, pasi që kjo do të çonte në largim të klientëve nga ueb faqja e firmës. [19]
6.3.6 H ashi n gu n ëf orenzik or enzikë ë s kompj kom pju u teri ter i ke Hashingu luan rol të rëndësishëm në forenzikës kompjuterike. Me hashing sigurohet
vërtetësia që, kopja e krijuar e të dhënave është identike me burimin. Hashingu i referohet procesit të transformimit të fajllit si hyrje, në një varg unik, si dalje, e
cila është asocuar me fajllin hyrës.
Fajlli
HASH Algoritmi
Vargu unik
30: 30: Skema e procesit të hashingut Figura
Çfarëdo ndryshim sado të vogël që bëjmë në fajll, rezulton me ndryshim të madh në vlerën HASH të saj. Prandaj, kjo e bënë të lehtë zbulimin e ndërhyrjes së qëllimshme apo aksidentale në fajll. Hashingu e siguron integritetin e të dhënave. Me këtë garantohet se asnjë ndryshim i paqëllimtë nuk është bërë në të dhëna. Në forenzikë kompjuterike kjo do të thotë se disku me
shënime ka mbetur i pandryshuar gjatë gjithë procesit të hetimit dhe se imazhi i diskut përfaqëson kopjen kopjen identike të saj. saj. Prandaj procesi i hashingut është pjesë e rëndësishme e forenzikës kompjuterike dhe çdo softuer pak më komplet i kësaj lëmie, duhet të ofroj mundësi të krijimit të hash vlerave të disqeve. Prandaj është shumë e rëndësishme që hetuesi kompetent i forenzikës kompjuterike, të njoh mirë se si funksionon HASH algoritmi. algoritmi.
54
Hash algoritmet implementojnë HASH funksionet në mënyra të ndryshme. Shumë HASH algoritme që shpesh shpesh përdoren përdoren në forenzikë kompjuterike kompjuterike janë: MD5 e cila megjithatë është e dëshmuar si HASH algoritëm algoritëm i cenueshëm, si dhe Secure Hash Algorithm apo SHA që është më i sigurt dhe vjen në formë si SHA-1. SHA-2, SHA-3 . Në gjitha HASH algoritmet, njihen disa cenueshmëri. Një nga ato është mundësia e përplasjes. Teorikisht mund ndodh që dy fajlla të japin vargun me HASH vlerë vlerë të njëjtë, edhe pse procesohen nga algoritmi i njëjtë. Në praktikë gati kurrë nuk ndodh kjo, por teorikisht është e mundur. Për ta bërë algoritmin sa më pak të cenueshëm, përdorim mundësinë që na jep një HASH varg varg më të madhe, me ç ’rastë mundësia e përplasjes zvogëlohet. Prandaj sa më e madhe të jetë HASH vlera vlera aq më i sigurt dhe më i fortë është hashingu. Shumë softuerë të forenzikës kompjuterike vijnë të pajisura me hash funksione të bashkëngjitura. Qëllimi kryesor i këtyre veglave është verifikimi dhe validimi i të dhënave prova në të cilat cilat punohet.
Shembul Shembul l i hashi hashi ngut ngu t në në sistemi istemin n operati v Lin L in ux nan o test.txt test.txt . Komanda nano Krijojmë një tekst fajll, sa për ilustrim me komandën nano e hap “ Testimi i hash vlerave të fajllit .” .” E tekst editorin Nano . Shkruajmë, një tekst. P. Sh.: “Testimi mbyllim tekst editorin me ctrl+x dhe dhe shtypim Y për me e konfirmuar konfirmuar ruajtjen e fajllit. Ubuntu Tash e përdorim një nga algoritmet për hash që vjen me Linux Ubuntu . Një nga komandat që test.tx t . Dhe krijohet vlera HASH për këtë fajll. krijon hash vlerë të fajllit është md5sum test.tx Nëse vetëm një shenjë e ndryshojmë ndryshojmë në fajll, HASH vlera vlera do të jetë krejt tjetër.
55
KAPITULLI 7 7. Softuerët e specializuar për forenzikë kompjuterike Softuerët e specializuar që përdoren për forenzikë kompjuterike janë: softuerë komercial dhe me kod të hapur. Dallimi esencial është se softuerët komercial, kryesisht ofrojnë siguri më të madhe, përkrahje, trajnime, certifikime dhe janë të validuara nga gjykatat apo institutet e specializuara. Përdoren nga kompanitë dhe individët profesional dhe kushtojnë mjaftë shtrenjtë. Softuerët me kod të hapur për këtë fushë zakonisht shpërndahen shpërndahen falas, dhe kryesisht përdoren për qëllime testuese, nëpër shkolla, fakultete dhe për nevoja individuale dhe më pak në raste gjyqësore. Arsye për këtë është sepse nuk janë të validuara nga gjykatat apo institucionet relevante. Mirëpo shpesh gjinden edhe disa pjesë të softuerëve komercial që shpërndahen falas nga vet prodhuesi, si FTK , , Pro Discover basic etj.
7.1 Softuerët komercial që përdoren në forenzikën kompjuterike Disa nga softuerët komercial, zakonisht komplete të veglave më të suksesshme për këtë lëmi janë: - EnCase - Forensics Toolkit (FTK) - ProDiscover 7.1.1 En Case Case dhe L in En EnCase është program i specializuar kompjuterik për forenzikë kompjuterike i prodhuesit nga SHBA-ja, Guidance Software 19. Me këtë program të cilin e përdorin një numër shumë i madh
i përdoruesve, mund të bëhen analizat forenzike komplete dhe në detaje, që nga momenti fillestar i aktivizimit dhe deri te hartimi i raportit përfundimtar të provave dhe rastit. EnCase funksionon në sistemin operativ Windows. Ekziston edhe versioni i këtij softueri për sistemin operativ Linux, që njihet me emrin LinEn.
Ky program është i pranuar nga shumë gjykata botërore, si mjet për sjelljen e provave digjitale. Programi EnCase është gjerësisht i mirënjohur edhe i përdorur edhe në organizata të sektorit privat. Po ashtu zbatim të gjerë ka gjetur edhe në shërbimet ushtarake dhe institutet tjera që 19
www.guidancesoftware.com 56
merren me siguri. Çmimi i EnCase Forensic me një vit përkrahje është rreth 3600 dollarë amerikan.20 Karakterizohet nga përkrahja shumë e mirë që i ofron përdoruesve. Programi EnCase Forensics mundëson: - Nxjerrjen e shpejtë shpejtë të dhënave nga një shumëllojshmëri shumëllojshmëri e gjerë e pajisjeve pajisjeve - Nxjerrjen në dritë të provave të mundshme mundshme me analizave analizave forenzike në nivel nivel disku - Hartimi i raporteve të hollësishme mbi gjetjet - Mundëson ruajtjen e integritetit të provave në një format që e ka besimin e gjykatës. [21]
F igur a 31: 31: Aplikimi Aplikimi i EnCase në pajisje të ndryshme dhe në etapat e ndryshme të forenzikës digjitale. Burimi: guidancesoftware.com guidancesoftware.com
Fajlli provë i EnCase njihet si EWF fajlli, fajlli, dhe përbëhet nga tre komponentët kryesore: kreu (header), blloku i të dhënave, dhe komponenti për integritetin e fajllit (CRC 21 dhe MD5). [22] Headeri është i lokalizuar në ballinën e EWF fajllit, fajllit, ndërsa blloku i të dhënave e të dhënave e pason headerin. Komponenti i integritetit të fajllit ekziston nëpër fajll, duke ofruar nivele redundante të integritetit. Çdo e dhënë individuale në bllok, bashkë me headerin, verifikohet dhe vuloset me CRC të të vetë.
I tërë seksioni i të dhënave, shënohet me hash funksionin unik MD5 që njihet si hash i të dhënave të nxjerra dhe ndodhet e bashkëngjitur pas bllokut të të dhënave. [22]
20 http://www.scmagazine.com/encase-forensic-v70902/review/4179/ 21
Cyclic Redundancy Check (CRC) kontrolli është një mekanizëm i verifikimit të gabimit, i ngjashëm me checksum , që i
mundëson një aplikacioni të përcaktoj nëse informacioni në një skedar është ndryshuar
57
Kreu (Headeri): Përmban informatat për rastin
t u C er C
R i
K
Blloku i të dhënave
C R C
Blloku i të dhënave C
R
C
Blloku i të dhënave
5 C
R
C D
EWF formati i të dhënave të nxjerra F igur a 32: 32: EWF
Softueri i specializuar EnCase është në gjendje të analizoj një sërë formate të ndryshme sistemore si: Nga Windows FAT 12/16/32, NTFS, Macintosh HFS/HFS+, Sun Solaris UFS, ZFS, Linux Ext2/3, Reiser, BSD FFS, FFS2, UFS2, NSS, NWFS, AIX jfs, JFS, TiVo seria One dhe Two, Joilet, UDF, ISO 9660, Palm si dhe file sistemet specifike për CD-ROM (CDFS) dhe DVD.
7.1.2 7.1.2 For ensics Toolki t (F TK ) Forensics Toolkit (FTK) është një platformë e plotë për hetimet digjitale, e zhvilluar
për të ndihmuar punën e profesionistëve që punojnë në sigurinë e informatës, t ë teknologjisë, dhe sektorë të zbatimit të ligjit. [23] [ 23] Njihet në gjithë botën si zgjidhje softuerike standarde për forenzikën kompjuterike. Është zhvilluar nga kompania Access Data. Ofron stabilitet, lehtësi në përdorim dhe shpejtësi. Përdoret për skanimin e disqeve, krijimin e imazheve të diskut (kopjes digjitale identike me FTK Imager ), ), që përdorë një data bazën për krejt rastin hetues, që mundëson krejt ekipin e hetuesve të përdorin po të njëjtën bazë të dhënave gjatë hetimeve të tyre, dhe të gjithë të t ë kenë qasje në informata të njëjta. Softueri vjen në dy versione. Si FTK Forensics dhe AD Enterprise . Versioni AD Enterprise , përveç mundësive që i ka edhe FTK Forensics, ofron edhe disa mundësi të avancuara si analizimi i shumë kompjuterëve në rrjetë në mënyrë simultane (të njëkohshme). Po ashtu ofron edhe analizën e memories derisa kompjuterët janë aktiv (të ndezur). Procesi i hetimit është tërësisht konfidencial dhe përdoruesi që hetohet nuk e dinë që po hetohet në ato qaste, edhe nëse një hetim i tillë bëhet në rrjetë. Fajll sistemet që përkrahen nga FTK janë: DVD (UDF), CD ( ISO, Joliet, and CDFS ), ), FAT (12, 16, dhe 32), exFAT, VXFS, EXT (2, 3, and 4), NTFS (dhe NTFS e e kompresuar), HFS, HFS+, dhe HFSX. Fajllat prova të krijuara me FTK Imager janë janë të formatit: E01, S01, dhe L0, AFF ( Advanced Forensic Format ), ), AD1, RAW/DD. [21]
58
7.1.3 Pr oDi scove cover ProDiscover është vegël softuerike komerciale për forenzikë digjitale i zhvilluar nga Technology Pathways dhe përdor formatin e vet të imazhit të fajllit, formatin ProDiscover image, image, dhe mund t’i shndërroj fajllat raw image në bootable VMWare makinë (fajlla që
mundësojnë ngritjen e sistemit identik të kopjuar nga disku i hetimeve, në makina virtuale VMWare). ProDiscover është është një mjet i fuqishëm i sigurisë kompjuterike që mundëson profesionistët e
kompjuterit të gjejnë të gjitha të dhënat në një disk kompjuteri dhe në të njëjtën kohë të mbrojnë provat dhe krijojnë raporte me cilësi të provave për përdorim në procedurat ligjore. Me këtë softuerë mund të rikthehen fotografitë e fshira, të ekzaminohet hapësirë e mbetur e slack space). Softueri ofron qasje alternative të rrjedhës së të dhënave në papërdorur ( slack Windows, lejon shfaqjen dinamike të fajllave, kërkimin, kapjen e imazhit të harduerit nga fushat e mbrojtura të diskut ( HPA Hardware Protected Area), duke shfrytëzuar teknologjinë e saj pioniere. Nuk është e mundur për të fshehur të dhënat nga ProDiscover Forensics, sepse i lexon disqet në nivel të sektorëve. [24]
F igur a 33: 33: Dukja Dukja e ndërfaqes grafike të përdoruesit, të programit ProDiscover ProDiscover
59
7.2 Softuerët pa pagesë që përdoren në forenzikën kompjuterike Disa nga softuerët më të njohur si vegla individuale apo si komplet i veglave të forenzikës kompjuterike që i gjejmë pa pagesë, janë: -
Autopsy (për The Sleuth kit ) Digital Forensics Framework (DFF) PyFlag etj. Memgator
7.2.1 Au topsy Autopsy® është një platformë e forenzikës digjitale me ndërfaqe grafike për kompletin e veglave të forenzikës kompjuterike si Sleuth Kit ® dhe veglave tjera të forenzikës digjitale. Autopsy ka gjetur përdorim edhe nga institucionet e zbatimit të ligjit, ato ushtarake dhe
ekzaminuesit e korporatave për të hetuar se çfarë ka ndodhur në një kompjuter. Atë përdorin edhe përdoruesit individual për t’i rikthyer fotografitë nga kartela e memories së kamerës së tyre. Është projektuar të jetë intuitiv nga ndëfaqja e vet. Instalimi është i lehtë me udhëzues në çdo hap. Të gjitha rezultatet e gjetura shfaqen në një trung të vetëm. [25]
Nxjerrja e fotografive të fshira nga imazhi identik i krijuar i SD kartelës së memorjes, me F igur a 34: 34: Nxjerrja Autopsy 4.0 60
Disa nga modulet që programi Autopsy ofron janë: A n ali al i za e lil i n j ë s kohor koh or e (timeline)- me ndërfaqe të avancuar grafike dhe video udhëzues të
bashkëngjitur, ofron ofron shfaqjen dhe analizimin e ngjarjeve. ngjarjeve. H ash ash Fil trimi – I I shënon fajllat e njohura si të këqija dhe i injoron ato të njohura si fajlla të
mirë. Kë r k i m i m e fj f j al ëk yçe – E indekson kërkimin e fjalëve për të gjetur fajllat që përmendin
shprehjet relevante. Ueb artefakt et bookmarks”, dhe “cookies” cookies” nga brauserët si: Firefox, - Ekstrakton, historinë, “bookmarks” Chrome dhe Internet Explorer . Gë r m i m i i t ëdh ë n ave (dat ( data a car vin vi n g) - Rimëkëmb fajllat nga hapësira e pa alokuar (unallocated space) duke përdorur përdorur veglën PhotoRec. Multimedia – – Ekstrakton Ekstrakton të ashtuquajturat EXIF 22 nga fotografitë dhe videot e shikuara. Treguesi i k ompromisi ompromisi - Skanon një kompjuter duke përdorur STIX 23.
Janë dy mënyra të analizës në programin Autopsy: -
Analiza jo e gjallë Analiza e gjallë
Analiza jo e gjallë (dead analysis) ndodh kur një sistem i dedikuar për analiza përdoret për të ekzaminuar të dhënat nga sistemi i të dyshuarit. Kur kjo ndodh, Autopsy dhe The Sleuth Kit kompleti i veglave për forenzikë kompjuterike, drejtohen nga një mjedis i besuar, në rast tipik nga një laborator. Autopsy dhe TSK (The Sleuth Kit) ofrojnë përkrahje për formatin e fajllave “RAW”24, “EWF”25 dhe “AFF”26. “i Analiza e gjallë (live analysis) ndodh kur sistemi i të dyshuarit analiz ohet duke qenë “i ndezur ”, ”, pra aktiv. Në këtë rast, Autopsy dhe The Sleuth Kit drejtohen drejtohen nga një CD disk (Live CD) ngase mjedisi është jo i besueshëm. Kjo metodë është përdorur shpesh gjatë reagimit ndaj incidenteve, kur incidenti është duke u konfirmuar. Pas konfirmimit, sistemi kopjohet dhe një analizë e thuktë bëhet me mënyrën e analizimit “ jo të gjallë ”.
22 Formati
i shkëmbyeshëm i fajllit fotografik, (Exchangeable Image File Format), http://www.exif.org/ e strukturuar për inteligjencën e kërcënimeve kibernetike, Structured Threat Information eXpression 24 Një RAW fajll është një përmbledhje e të dhënave të papërpunuara. Kjo do të thotë se fajlli nuk është ndryshuar, i ngjeshur, apo manipuluar në asnjë mënyrë nga kompjuteri. [41] 25 Expert Witness Format – është është tip i fajllave të përdorur për vendosjen e imazhit të mediumit për qëllime të forenzikës digjitale. Përdoret gjerësisht në fushën e forenzikës kompjuterike nga kompleti i veglave FTK dhe dhe EnCase [39] 26 Formati AFF -Advanced Forensic Format është format i zgjeruar i hapur i fajllit, për depozitimin e imazhit të diskut dhe Forensic Format është informatave në lidhje me forenzikën kompjuterike. [36] 23 Gjuhë
61
7.2.2 7.2.2 Di gital F orensics orensics F ramework ramework (DF F ) DFF është është softuer me kod të hapur për forenzikë kompjuterike që propozon një alternativë ndaj veglave tjera të forenzikës digjitale si zgjidhje të vjetërsuara dhe të përdorura deri sot. E projektuar për përdorim të thjeshtë dhe automatizimi, ndërfaqja e DFF -së -së udhëzon
përdoruesin hap pas hapi gjatë një hetimi digjital, kështu që bën të mundur të përdoret nga të dy palët, ata profesionist dhe ekspert dhe përdoruesit jo-ekspert, që shpejt dhe me lehtësi të kryejë një hetim digjital, si përgjigje ndaj ndonjë incidenti. Është e përdorur në mbarë botën nga agjencitë e zbatimit të ligjit, kompanitë private dhe universitetet. DFF është është në gjendje që shpejt të kryej analizat e disqeve dhe memorieve të paqëndrueshme paqëndrueshme për një hetim në thellës të kompjuterit ose të një telefoni të mençur. DFF përdor teknologjinë e të shkruarit të bllokuar për të siguruar provat dhe për të ruajtur integritetin e medias. DFF është në gjendje të mbledhë burime të ndryshme të informatës, nga memoria e
paqëndrueshme, paqëndrueshme, disqet sistemore, disqeve të magazinimit, disqet e lëvizshme etj. Kjo lejon të kemi një pamje të plotë të sistemit dhe të aktiviteteve të shfrytëzuesve, por po ashtu edhe për t'u lidhur me sisteme tjera për detektim të kërcënimit dhe sisteme të analizës. [24]
7.2.3 PyFl ag PyFlag është vegël falas me kod të hapur për përdorim të përgjithshëm në forenzikën kompjuterike, e cila përfshinë në vete: forenzikën e diskut , forenzikën e memories dhe forenzikën e rrjetit .
Emri PyFlag vjen vjen ngase kjo vegël fillimisht është zhvilluar në gjuhën programuese Python ndërsa pjesa Flag vjen vjen si akronim i emrit Forensics and Log Analysis GUI . Si projekt me kod të hapur, ia mundëson përdoruesve të adaptojnë dhe ta zhvillojnë më tutje, sipas kërkesave të veta. Për dallim nga EnCase, PyFlag kërkon kërkon sistemin operativ Linux që të funksionoj. Duke pasur ndërfaqe të bazuar në ueb, programi mund të përdoret dhe të operoj nga distanca, nga klientët madje edhe ata që përdorin sisteme tjera operative, si Windows etj. PyFlag përdor sistemin virtual të fajllave ose VFS (Anglisht: VFS - virtual file system) që shërben si mbajtëse apo strukturë e gjitha provave. VFS është është e organizuar në hierarki, dhe
përmban follderë dhe fajlla, të cilat mund të kërkohen njëjtë si në sisteme të zakonshme operative. Posa të mbushet VFS , softueri PyFlag nuk nuk e dallon nëse prova ka ardhur nga rrjeta, memoria apo disku. Kjo shfaqet si përparësi ngase lejon përdorimin e teknikave forenzike të diskut si: 62
indeksimi i fjalëve kyçe, hashingu, që të përdoren të gjitha fajllat, pa e marrë parasysh a e
kanë prejardhjen nga disku, memoria apo trafiku i rrjetit. Ky softuer fillimisht në vitin 2005 është zhvilluar nga departamenti i mbrojtjes së Australisë dhe më vonë në vitin 2007 shpërndahet nga Fondacioni për softuer falas. HFS+ , dhe UFS1/2. Fajllat sistemor që PyFlag i i përkrah janë FAT, NTFS, Ext2/3, HFS+
7.2.4 M emgator MemGator është vegël softuerike për analizimin e fajllave të memories. Ky softuer
shpërndahet falas. E bënë në mënyrë automatike ekstraktimin e të dhënave nga fajlli i memories dhe mundëson krijimin e raportit për hetuesin. MemGator i i sjell në një vend shumë Volatility Framework , Scalpel File File Carver dhe vegla softuerike të forenzikës kompjuterike si: Volatility Framework dhe AES Key Finder . Përveç tjerash programi automatizon aktivizimin e veglës softuerike me emrin Scalpel, që përdoret për gjetjen e fjalëkalimeve të përdoruesit edhe nga Gmail , Hotmail , Yahoo, Facebook , Livedrive etj. Programi po ashtu mund të ekstraktoj edhe çelësat e enkriptuar nga TrueCrypt 27 softueri. [15] Ky program vjen në 32 dhe 64 bit për sistemin operativ Wndows .
7.3 Rrethinat për forenzikë kompjuterike për startim të sistemit nga CD / DVD dhe USB disqet Në disa raste, gjatë punës së tij, hetuesi i forenzikës kompjuterike, duhet përdorë softuerë / vegla programore për ekzaminim dhe hetim, por pa i instaluar ato në kompjuterin që hetohet. Në ato raste përdoren të ashtuquajturat ashtuquajturat live cd , e që në forenzikën kompjuterike njihen si Live CD forensic softuare suite. CD apo DVD disqe të tilla startuese mundet secili specialist i forenzikës digjitale t’i krijoj edhe vet, me një koleksion të veglave softuerike, që i nevojiten. Por mund t’i gjejmë të gatshme edhe në Internet. Shumica nga ato janë falas. Disa nga ato rrethina janë:
-
Kali linux (https://www.kali.org) SANS SIFT (https://digital-forensics.sans (https://digital-forensics.sans.org/) .org/) CAINE (http://www.caine-live.net/) DEFT (http://www.deftlinux.net) Xplico (http://www.xplico.org) PlainSight (http://www.plainsight.info) HELIX3 Free (http://www.e-fense.c (http:/ /www.e-fense.com) om) Paladin Forensic Suite (https://www.sumuri.com/pro (https://www.sumuri.com/products/paladin/) ducts/paladin/)
27
True Crypt është softuer nga TrueCrypt Foundation për enkrimptim që nuk përdoret më. 63
7.5. 7.5.1 1 Kali Kali L inu x Kali Linux është një sistem operativ me aplikacione të para instaluara, që bazohet në Linux Debian dhe shpërndahet me synim testimi, për avancimin dhe përmirësimin e sigurisë. ‘ Kali’ Kali’
përmban disa qindra vegla softuerike që përdoren për kryerjen e detyrave të ndryshme për siguri të informacionit, të tilla si: testimi i depërtimit, forenzika digjitale dhe inxhinjeringu reversibil 28. Kali Linux është zhvilluar, financuar dhe mirëmbahet nga një kompani liderë për trajnime të sigurisë së informacionit, me emrin Ofensive Security. Kali Linux "Live" ofron ofron një mundësi të punës në " regjimin e forenzikës digjitale". Ky sistem operativ me mundësi të tillë, mund të startoj nga CD, DVD disqet apo nga USB disku. Është pasardhës i versionit BackTrack Linux.
Është i lehtë dhe i shpejtë për t’u përdorur. Kryesisht përmban softuerët më të popullarizuar të forenzikës kompjuterike që janë falas falas ( open source). Kur starton sistemi kompjuterik nga Kali Linux live, ndodhin disa ndryshime shumë të rëndësishme, krahasuar krahasuar me startimin e sistemit operativ nga Hard disku: E para, disqet e brendshme asnjëherë nuk preken por lidhen automatikisht ( auto mount ). ). Këtë që disqet nuk preken e as nuk shkruhet në to nga sistemi operativ e verifikojmë nëse e nxjerrim fizikisht diskun e ngurtë nga kompjuteri që hetohet, dhe e lidhim me USB në një stacion kompjuterik të parapërgatitur për forenzikë kompjuterike. Nga aty e krijojmë HASH vlerën e atij disku, me ndonjë softuer komercial dhe të autorizuar për forenzikë kompjuterike. Pastaj diskun e njëjtë e kthejmë në pajisjen që hetohet, e nisim sistemin me Kali linux live, dhe nga aty verifikojmë HASH vlerën vlerën e diskut. Do ta shohim se vlera është e njëjtë. E dyta, po aq e rëndësishme, është mundësia e bllokimit të lidhjes automatike (automounting) të mediumit zhvendosës (removable media). USB disqet, CD dhe disqet tjera të ngjashme, nuk do të lidhen automatikisht, posa vendosen apo të kyçen në pajisje kompjuterike. Pra, në regjimin forenzikë të punës, Kali Linux live nuk duhet të lejoj asgjë të ndodh pa ndikimin e drejtpërdrejtë të përdoruesit ekzaminues. Kali Linux live është i përshtatshëm për trajnime, studime, hulumtime në forenzikën kompjuterike, ngase është pa pagesë. Sidoqoftë, në përdorimin në realitet për punë
profesionale në forenzikë kompjuterike, gjitha veglat softuerike dhe harduerike duhet të validohen, duke u njoftuar mirë me reagimin e atyre veglave në gjitha rrethanat gjatë përdorimit. [25]
28 Njihet
edhe si Inxhinjeringu mbrapa, që paraqet procesin e nxjerrjes së informacionit si njohuri apo dizajn nga gjitha produktet e bëra nga njeriu dhe riprodhimi i atij produkti apo produkteve tjera bazuar në informacionin e nxjerrë me këtë k ëtë proces.
64
29 7.5.2 SAN SAN S SI SI F T (Kompl ( Kompl eti i veglave veglave hetuese hetuese nga SAN S )
Është i zhvilluar nga ekipi ndërkombëtar i ekspertëve të forenzikës, të udhëhequr nga Fakulteti SANS . Ky komplet i veglave softuerike shpërndahet shpërndahet falas me emrin “SANS Incident Forensic Toolkit (SIFT) Workstation”. Workstation”. Përdoret për forenzikë digjitale dhe përgjigje ndaj incidenteve si dëmtimet e diskut, humbja e të dhënave etj. Në kuadër të kompletit të live diskut janë janë edhe softuerët: log2timeline (vegël (vegël për gjenerim të afatit kohor grafik - Timeline Generation Tool ), ), Rekall Framework (Për analizë të amework memories), Volatili ty Fr amework (Për analizë të memories), Autopsy (Ndërfaqe grafike e përdoruesit për softuerin Sleuthkit të të forenzikës kompjuterike), PyFLAG (Ndërfaqe (Ndërfaqe grafike e përdoruesit për ekzaminim ekzaminim të diskut) etj. F ajl lat sistemor istemor që që i përkrahë janë: ntfs (NTFS), iso9660 (ISO9660 CD), hfs (HFS+), raw
(Raw Data), swap (Swap Space), memory (RAM Data), fat12 (FAT12), fat16 (FAT16), fat32 (FAT32), (FAT32), ext2 (EXT2), (EXT2), ext3 (EXT3), ext4 (EXT4), (EXT4), ufs1 (UFS1), ufs2 (UFS2), vmdk vmdk etj. T abelat e par ti cion ci onii t tëdi sqeve të i përkrahë janë: dos ( DOS Tabela Tabela e particionit), mac ( MAC Mapa e particionit), bsd ( BSD Disk Labela), sun ( Sun Tabela vëllimore e përmbajtjes (Solaris)), gpt (GUID Tabela e Partiticionit (EFI)). Këtë Live disk mund ta shkarkojmë në këtë nyje: https://digital-forensics.sans.org/community/download-sift-kit/3.0 [26]
7.5. 7.5.3 3 CAI NE (M jedis jedisii hetimor hetimor ndihmuar nga kompjute kompjuteri ri ) CAINE (Computer Aided INvestigative Environment ) po ashtu është Linux live CD që përmban një bollëk të veglave softuerike për forenzikë kompjuterike. Disa veçori të këtij
kompleti janë: Ndërfaqja grafike për përdorues shumë, krijimi i gjysmë i automatizuar i raporteve, veglat për forenzikë mobile, forenzikë të rrjetit, rikthim i të dhënave e të tjera. Kur startohet rrethina CAINE Linux , nga ndërfaqja grafike mund të nisim veglat softuerike për forenzikë digjitale. digjitale. Kjo rrethinë CAINE shpërndahet shpërndahet plotësisht pa pagesë. Në regjimin vetëm për lexim ( Read-Only) CAINE 7.0 bllokon gjitha disqet e lidhura (si. /dev/sda). Për ta ndryshuar gjendjen e bllokimit të disqeve që sistemi të mos shkruaj në to, mund ta përdorim një ndërfaqe grafike ( GUI ) me emrin BlockON/OFF që që ndodhet në desktop të kësaj rrethine. Në këtë mënyrë sigurohemi që aksidentalisht të mos shkruajmë nëpër disqe. Po ashtu veçori e rëndësishme është VNC 30 serveri dhe klienti, që shërben për kontrollin e rrethinës Caine nga distanca. [27] 29 Instituti
SANS është themeluar në vitin 1989 si një organizatë bashkëpunuese për kërkime dhe arsim. Programet e saj tani i arrijnë më shumë se 165 ,000 profesionistë të sigurisë në mbarë botën. https://www.sans.org/about/ 30
Virtual Network Computing, është softuer me ndërfaqe grafike për lidhje dhe kontroll nga distance e pajisjes tjetër, që nuk varet nga platformat e sistemit operativ. 65
7.5.4 DE D E F T (K omple ompl eti i vegl veglave ave pë r prova pr ova dhe f ore or enzik ëdigj di gjii tal e) DEFT (Digital Evidence & Forensic Toolkit) është një tjetër Linux rrethinë që mundëson ngritjen e sistemit nga CD dhe përmbledhë një grumbull të veglave softuerike për forenzikë digjitale, që janë mjaft të njohura dhe ofrohen pa pagesë si softuerë me kod të hapur (open source). Versioni i parë i kësaj rrethine prezantohet nga Fakulteti i Drejtësisë nga Universiteti
i Bolonjës, në vitin 2005, që shërbente për programin mësimor të forenzikës kompjuterike. Qëllimet e zhvillimit të një rrethine me përmbledhje të tillë ka qenë ofrimi i ndihmës në reagime ndaj incidenteve digjitale, inteligjencës kibernetike dhe skenarëve të forenzikës or enzik ëmobil mobi l e kompjuterike. Përveç tjerash, përmban edhe vegla softuerike për f ore , forenzikë tër r j etit eti t , r estaur tau r i m tëf ajl aj l l ave dhe hashing . Sot përdoret nga shumë Fakultete në Itali si dhe nga institutet private që merren me hetime. [28] Në fillim kur startohet nga DEFT rrethina, mund të zgjedhim opsionin që softueri të instalohet në kompjuterë (te krijimi i pajisjeve të përgatitur për forenzikë digjitale), apo të zgjedhim të startohet drejtpërdrejtë sistemi nga kjo rrethinë në CD / DVD di sk. Përveç si CD / DVD, kjo rrethinë për ngritjen e sistemit mund të përdoret edhe si USB flash diskun, nga i cili mund të niset sistemi. Linux DEFT rrethina rrethina përbëhet nga një ndërfaqe grafike e Linux, dhe pjesa e veglave digjitale për reagime të avancuara - DART (Digital Advanced Response Toolkit) , që i dedikohet
forenzikës digjitale. Disa nga vegla softuerike që i përmban janë: Sleuthkit 3.2.3, Autopsy 2.24, dff 1.2, ptk forensic 1.0.5, dcfldd 1.3.4.1, 1.3.4.1, Iphone analyzer etj.
7.5.5 7.5. 5 X PL I CO (K ompl om pleti eti i veglave vegl ave pë r anal an alii zë f or enzike enzi ke n ër r j etë ) Xplico, është vegël softuerike për analiza forenzike në rrjetë - Network Forensic Analysis Tool (NFAT), që shpërndahet pa pagesë dhe me kod të hapur. Qëllimi i këtyre veglave është të nxjerrë të dhëna nga trafiku në Internet si: nxjerrja e e-mail porosive nga POP , IMAP ose ose SMTP trafiku. trafiku. Disa veçori që i përmban janë përkrahja e shumë protokolleve si: HTTP, SIP, IMAP, TCP, UDP, si dhe përveç tjerash mundësia e nxjerrjes së të dhënave nga baza e të dhënave MySQL ose SQLite.
Posa të instalohet Xplico, i qasemi ueb ndërfaqes duke naviguar në adresën http://
:9876 dhe dhe duke u kyçur me konto normale të përdoruesit. Në radhë të parë duhet të krijojmë një rast dhe ta shtojnë në sesion të ri. Kur të krijojmë sesionin mund të startojmë një PCAP 31 fajll (të nxjerrë nga p.sh Wireshark 32) ose të startojmë 31 Në
fushën e administrimit të rrjetit kompjuterik, PCAP (kapja (kapja e paketave) përbëhet nga një ndërfaqe për programimin e aplikacioneve ( A në bibliotekën libpcap ; Windowsi përdor një API) për kapjen e rrjetit të trafikut. Sistemet Unix zbatojë PCAP në port të libpcap të njohur si WinPcap që shpërndahet falas në winpcap.org . 32 Wireshark është është një analizues i protokolleve të rrjetit për Unix dhe Windows .
66
një kapje të gjallë ( live capture). Posa sesioni të përfundoj, e përdorim menynë për navigim për ti shfaqur rezultatet. rezultatet. Xplico sistemi përbëhet nga katër komponentë:
- DeMa ( menagjuesi i dekodimit); - Xplico IP dekoduesi; dekoduesi; - një grumbull i veglave për manipulimin e të dhënave; - sistemi i vizualizimit për të dhënat e nxjerra.
Gjuhët programore të përdorura në Xplico janë: C, Python, PHP, JavaScript [29] [29]
7.5.6 7.5.6 Plai nSight PlainSight është është një rrethinë për ngritjen e sistemit nga CD që është e bazuar në versionin Knoppix33 të sistemit operativ Linux, që mundëson kryerjen e detyrave të forenzikës digjitale si: shfaqja e historisë vizitave në Internet , gërmimi i të dhënave, grumbullimi i informatave për USB pajisjet, ekzaminimi i memorjes fizike dhe ruajtja e kopjes identike të asaj memorie, nxjerrja e hasheve të fjalëkalimeve, dhe shumë të tjera. Disa nga veprimet që mund t’i kryejmë me PlainSight me PlainSight janë: janë:
- Nxjerrja e informatës për hard disqet dhe dhe particionet; - Nxjerrja e informatës për përdoruesin dhe grupin e përdoruesve; përdoruesve; - Shfaqja e historisë së vizitave në Internet; - Ekzaminimi i konfigurimit të Firewall -it -it të Windowsit; - Zbulimi i dokumenteve të hapura së fundi; - Rikthimi dhe gërmimi i 15 llojeve të fajllave të ndryshme; - Zbulimi i informative të USB disqeve; - Ekzaminimi i kopjes identike të memories; - Ekstraktimi i fjalëkalimeve nga LanMan;34 - Shfaqja e sistemit para se t’i nxjerrim të dhënat; 7.5. 7.5.7 7 HE L I X3 HELIX3 po ashtu është një rrethinë për ngritjen e sistemit nga CD që mbështetet në Linux, i
dizajnuar që të përdoret për reagime ndaj incidenteve, forenzikë kompjuterike, dhe skenarë të një rrethinë për nisjen e sistemit nga CD, që është e bazuar në zbulimit elektronik
33 Një
sitëm për Live CD / DVD / USB bazuar në Linux me ndërfaqe grafike - http://www.knopper.net http:/ /www.knopper.net një funksion i përbërë për hashing të fjalëkalimeve. Është përdorur nga Microsoft LAN dhe Microsoft Windows versionet para Windows NT, Menaxher Menaxher dhe Windows NT, për të ruajtur fjalëkalimet e përdoruesve. 34 LAN HASH LAN HASH Manage Manager r është
67
e-Discovery35. Është e paketuar me një numër të t ë veglave softuerike me kod të hapur nga heks
editorët e deri te veglat për gërmim të fajllave, thyerje të fjalëkalimeve dhe më shumë. Versioni 2009R1 i HELIX3 është versioni i fundit falas. [30] 7.5.8 Paladi n For ensic Suite
Kompleti i veglave softuerike të forenzikës forenzikës kompjuterike Paladin është po ashtu mundësi mundësi për ngritjen e sistemit nga CD që bazohet në sistemin operativ Linux Ubuntu. Në vete kjo rrethinë përmban mbi 80 vegla që janë të organizuara organizuara në 25 kategori. Në mesin mesin e atyre veglave gjejmë gjejmë softuerë për fotografi, vegla për analizë të viruseve, mediave sociale, vegla për hashing etj. etj.
35 E-Discovery
i referohet zbulimit në gjyqe ose hetimeve të qeverisë që merret me shkëmbimin e informacionit në formë elektronike (shpesh të referuara si informacion të ruajtur në formë elektronike apo ESI ). ).
68
KAPITULLI 8 8. Raste studimore 8.1 F ore or enzik a kompj k ompjut ute er i ke në n ëprakt pr aktii kë , ecur i a e pr oces ocesi t tëheti mi t nga depar departamenti tamenti i pol i cisë ci së së shteti sht etitt N ew Yor k [ 2]
Le ta analizojmë ecurinë e një rasti të forenzikës kompjuterike në departamentin e policisë së shtetit të Nju Jorkut. -
-
Reagimi i parë i kësaj policie është konfiskimi i kompjuterit dhe pajisjeve relevante teknike. Zyrtarët që i konfiskojnë pajisjet i sjellin në Qendrën e Hetimeve të Forenzikës ( Forensic Forensic Investigation Center - FIC ) të shtetit, ku më pastaj ato pajisje mbyllen në kasafortë. Posa kjo qendër vazhdon me hetim, krijohet kopja mbështetëse (backup) identike, prej pajisjes origjinale duke përdorur vegla si softuerët: Safeback, Expert Witness (që tash njihet si EnCase), apo Snapback , para se ato të dhëna të depozitohen në ndonjë medium optik ( DVD, CD, Blueray etj). Në disa raste ky proces i kryerjes së kopjes identike mbështetëse ( backup), zgjat deri në dy javë, varësisht nga lloji i problemit të paraqitur. Problemet tipike që shfaqen janë sikurse pamundësia e krijimit të kopjes identike mbështetëse, për shkak të sistemeve të ndryshme, skemave me hapësirë dyfishe të formatimit hard disqeve 36 të kompresuara, llojeve të ndryshme të sistemeve operative (sidomos në lidhje me pajisjet Macintosh), ose disqeve jo kompatabile lidhur me harduerin apo dhe softuerin.
-
Pasi që krijohet fajlli për rastin, përdoret softueri EnCase për ekstraktim të papërpunuar papërpunuar (raw) të të dhënave provë, si dhe organizimi i duhur i atyre provave.
-
Me softuerin EnCase, hetuesit e policisë kërkojnë provat relevante duke përdorur shprehjet e zakonshme të kërkimit.
-
Më pastaj provat shikohen duke e përdor paraqitësit e përmbajtjes ( content viewers) të integruara në EnCase. Pasi që prova është ekstraktuar, fillon analizimi i provave.
36 Skemë
e formatimit të diskut të ngurtë apo disqeve tjera.
69
-
-
Gjatë procesit të analizimit përdoret përvoja dhe mësimet nga trajnimet e vijuara për të kërkuar nëpër kompjuter për dokumente, fajlla të fshira, fotografi, e-mail, hapësirë të papërdorur 37 dhe hapësirë të pa alokuar të diskut . Pason faza e analizimit, ku hetuesi udhëheqës i ndërlidhë gjitha ngjarjet të ndodhura në kompjuter, sikurse që janë: gjetja e kronologjisë së ngjarjeve duke përdorë linjën kohore (timeline), ose MAC analiza për kërkimin e aktiviteteve përkatëse si dhe kërkimi i gjetjes së provave kundërthënëse.
- Në mënyrë sekuenciale, hetuesi ndërlidhë provat elektronike me provat jo-
kompjuterike sikurse: dëftesat për kartelë krediti, provat fizike forenzike, raportet nga skena e krimit dhe dëshmitë e dëshmitareve okular, për të fituar më shumë kuptim lidhur me zinxhirin e ndodhive .
-
Rasti prezantohet në gjyq përmes softuerëve standard të zyrës ( MS office, open office etj.)
Pra, fazat nëpër gjithë hetimin janë si vijon: 1. Konfiskimi i kompjuterit 2. Krijimi i kopjes identike mbështetëse mbështetëse - backup 3. Ekstraktimi i provave 4. Krijimi i rastit 5. Analizimi i rastit 6. Ndërlidhja e ngjarjeve të kompjuterit 7. Ndërlidhja e ngjarjeve të jo-kompjuterit 8. Prezantimi i rastit
8.2 Rasti Rasti 1 - Steganogr teganografi afi a me f otograf i – fsheh f shehjj a e doku dok u m enteve, ent eve, tëdhë dh ë n ave në n ëf otogr ot ogr af i
Fshehja e një fajlli apo ZIP arkivi arkivi në fotografi, është një nga veprimet që e aplikojnë shumë përdorues të kompjuterit kur kanë për të fshehur diçka. Fshehja e zip fajllit (arkivit) në fotografi është e mundshme pasi që fotografia gjatë hapjes nga programi lexohet nga kreu (headeri ) e poshtë, ndërsa zip arkivi nga fundi ( footeri) e lartë. Shembulli në vijim tregon se si arkivi me emrin listat.zip do të bashkohet me fotografinë zogu.jpg dhe dhe do të krijohet fajlli i ri me emrin hapi.jpg . Në brendi të fajllit të ri hapi.jpg , e cila hapet dhe shfaq një fotografi, do të qëndroj i fshehur arkivi listat.zip brenda të cilit ndodhen 5 fajlla të kompresuar. 37 Hapësira
e papërdorur, e lire brenda kllasterit të diskut. Sistemet i DOS dhe Windows kërkojnë kllasterin e diskut me madhësi fikse. Kur e dhëna zë më pak vend se komplet kllasteri i rezervuar për atë të fajll, pjesa e pashfrytëzuar njihet si slack space – hapësirë hapësirë e papërdorur.
70
Figura tregon se brenda zip arkivit me emrin listat.zip ndodhen 5 fajlla tekstual. F igur a 35: 35: Figura
Për ta fshehur zip arkivin në fotografi, hapim linjën komanduese command prompt në Windows dhe pasi e hyjmë në shtegun (follderin) ku ndodhen fajllat, shkruajmë komandën: copy copy /B zogu.j zogu.j pg+li stat.zip tat.zip h api.jpg api.j pg
/B – tregon tregon se fajlli duhet kopjohet në formatin binar. (/A është për formatin f ormatin tekstual ASCII )
dritares së Command Command Promt dhe komandat e përdorura përdorura për bashkimin bashkimin e fajllave fajllave F igura 36: 36: Dukja e dritares
Ndërsa në Linux dhe Mac hapet terminali, shkojmë deri te shtegu (folderi) ku ndodhen fajllat me komandën cd, dhe për t’i bashkuar fajllat përdoret komanda cat . [31] [32] cat zogu.jpg zogu.jpg l istat.zip istat.zip > hapi.j pg
8.3 Rasti Rasti 2 – Fshehj F shehj a e tëdhë dh ë n ave me n dr yshi mi n e ekstenzion ekstenzi onii t të t ëf aj l l i t
Ekzistojnë shumë metoda të fshehjes së shënimeve, madje për këto teknika janë shkruar libra të tëra. Teknikat më të avancuara, aplikohen nga përdoruesit me njohuri të avancuar në shkenca kompjuterike. Shembull i teknikave të avancuara janë kombinimi i teknikave dhe fajllave duke i zhdukur gjurmët e një apo disa fajllave, në një fajll të vetme. Si te rastet e fshehjes me ndihmën e përdorimit të softuerit për steganograf i të njohur si stego programi 71
apo S-Tool . Mirëpo shumica e njerëzve, i përdorin edhe disa teknika bazike për fshehjen e informatës, e që çdo hetues i forenzikës kompjuterike duhet të dijë t’i zbuloj. Metodat më të përhapura në botën e shkelësve të ligjit janë më të thjeshtat. Në vijim ja disa shembuj: r r i mi i ekstenzion kstenzion i t tëf tëf ajl aj l l i t - Ndë të dokumentit p.sh. nga MS Word në tjetër xls. Me këtë ndryshon dhe ikona. Kur tentojmë ta ekstension, si ekstenzionit . doc në . xls hapim fajllin, hapet programi MS Excel , por përmbajtja e fajllit nuk na shfaqet, duke lajmëruar gabim gjatë hapjes. [33]
Një hetues i aftë i forenzikës kompjuterike, e krahason kreun ( header ) të fajllit me ekstenzionin për tu siguruar nëse përshtaten. përshtaten. Kreu i fajllit ( header ) është sekuenca e bitëve në fillimin e fajllit, që përdoret nga programet të cilat përcaktojnë nëse mund ta hapin apo jo atë fajll. Kreu i fajllit përdoret nga programi për të identifikuar një fajll duke i shqyrtuar 4 ose 5 bitet e parë të përmbajtjes përmbajtjes së tij heksa decimale. Pa e marrë parasysh ekstenzionin e ndryshuar të dokumentit, gjitha MS Word fajllat fajllat e kanë në fillim kreun (headerin) e njëjtë. Një nga faqet që ofron informata për llojin e fajllave në bazë të sekuencës së bitëve të hederit, është: http://www.filesignatures.net/index.php. Në Internet këto tabela njihen si Hex Tabela Magjike (Magic Hex Tables). [34]
F igur a 37: 37: Kreu Kreu (header) i pandryshuar një MS Word (2010) dokumenti i hapur në Hex Workshop, i cili fillimisht e ka pasur ekstenzionin .docx por që është është ndryshuar në ekstenzionin ekstenzionin .xlsx .
Programi si Hex Editor nuk nuk ka nevojë të dijë ekstenzionin e fajllit për ta hapur atë, por i qaset atij drejtpërdrejtë dhe e hap në nivelin e bajtëve, duke e lexuar bajt për bajt. [9]
72
Tabela 2: Kodet Kodet heksadecimale të kreut (header) të fajllave [36] [37]
Tipi i fajllit (ekstensioni) ani au bmp bmp bmp cab dll excel exe exe flv gif gif gz ico jpeg jpeg jpeg linux bin png mid, midi msi mp3 mp3 mp4 mp4 mov mov oft ppt pdf psd rar rtf sfw tar tif, tiff tif, tiff tgz word word, excel, powerpoint wmv zip
Kodi Heksadecimal në fillimin e kreut 52 49 46 46 2E 73 6E 64 42 4D F8 A9 42 4D 62 25 42 4D 76 03 4D 53 43 46 4D 5A 90 00 D0 CF 11 E0 4D 5A 50 00 4D 5A 90 00 46 4C 56 01 47 49 46 38 39 61 47 49 46 38 37 61 1F 8B 08 08 00 00 01 00 FF D8 FF E1 FF D8 FF E0 FF D8 FF FE 7F 45 4C 46 89 50 4E 47 4D 54 68 64 D0 CF 11 E0 49 44 33 2E 49 44 33 03 66 74 79 70 4D 53 4E 56 66 74 79 70 69 73 6F 6D 66 74 79 70 71 74 20 20 6D 6F 6F 76 4F 46 54 32 D0 CF 11 E0 25 50 44 46 38 42 50 53 52 61 72 21 7B 5C 72 74 66 31 43 57 53 06/08 1F 8B 08 00 4D 4D 00 2A 4D 4D 00 2B 1F 9D 90 70 D0 CF 11 E0 50 4B 03 04 14 00 06 00
Fillimi i përkthyer në ASCII kod RIFF snd BM BMp% BMv MSCF MZ MZP (inno) MZ FLV GIF89a GIF87a
JFIF JFIF ELF PNG MThd ID3 ID3 ftypMSNV ftypisom ftypqt moov OFT2 %PDF 8BPS Rar! {\rtf1 cws MM.* MM.+ PK......
30 26 B2 75 50 4B 03 04
PK
73
8.4 Rasti Ra sti 3 - F shehj sheh j a e tëdhë dh ë n ave me zhvendosj zhven dosj en e bitë bi të ve nëh eaderi eader i n e doku dok u m enti ent i t
Përdoruesit e avancuar, mund ta ndryshojnë headerin e dokumentit me hex editor dhe ti zhvendosin bitët. Në këtë rast vështirësohet puna e hetuesit të forenzikës kompjuterike, po sërish me krahasimin e bitëve tjera, një hetues me përvojë mund të gjej se për çfarë fajlli bëhet fjalë.
F igur a 38: 38: Zhvendosja Zhvendosja e bitëve të headerit të fajllit për një pozicion djathtas. Edhe pse fajlli e ka ekstensionin origjinal, nuk mund të hapet. Kjo paraqet mënyrë më të avancuar të fshehjes së dokumenteve që mund të përdoren si prova.
8.5 Rasti Rasti 4 - F shehj a e të dhë nave duke i ndr yshu yshu ar atr i bute but et e faj l l i t
Fajllat e fshehura nga sistemet operativë, janë sfidë tjetër me të cilën përballen specialistët e forenzikës kompjuterike. Gjitha sistemet operative ia regjistrojnë fajllave atributet . Një tip i veçantë i atributeve është aftësia për t’i fshehur fajllat, ose më saktësisht për t’i shënuar ato si
të fshehura. Zakonisht në sistemin operativ Windows, shfaqja e fajllave të fshehur bëhet duke zgjedhur Folders ”. Mirëpo në disa raste nga përvoja ime, këto opsionin “Show Hidden Files and Folders”. fajlla, nëse i kanë të ndryshuara atributet, nuk shfaqen me opsionin e përmendur. Një rast i tillë më i shpeshtë është fshehja e fajllave në USB disk nga virusi i llojit krimb ( worm) 38 Win32:Rontokbr-L. Në këto raste ndihmon komanda Attrib nga Command Promt .39 Një komandë për shfaqjen e gjitha gjitha fajllave të fshehura në nivelin e atributeve është:
attrib – s – h – r /s /d *.* -s opsioni përdoret për largimin dhe ndaljen e atributeve të sistemit -h opsioni përdoret për heqjen e atributeve të fshehura -r mbrojtja e fajllit ( file protection) kthehet në normal /s çelësi përdorët të vendosur atributet në fajllat dhe nën follderët që gjenden brenda follderit të specifikuar. 38 ATTRIB është
një komandë, në DOS, OS/2 dhe Microsoft Windows që lejon përdoruesin të ndryshojë karakteristikat e ndryshme, ose "atributet" e një fajlli apo folderi 39 Është vegël në SO Windows e cila funksionon duke i përdorur komandat sikurse në sistemin operativ DOS .
74
/d çelësi përdoret për të vendosur atributet po ashtu edhe në follderë. Shenja plus (+) i vendos atributet ndërsa shenja minus (-) i largon atributet. Edhe fshehja e fajllit në një follderë, në nivelin e atributeve mund të bëhet me komandën e njëjtë attrib. Shembull: fajllin me emrin lista.docx në follderin me emrin arsim mund ta fshehim me komandën attrib +s +h +r lista.docx . Edhe nëse është aktiv opsioni nga dritarja e Windows Explorer , files” për t’i shfaqur fajllat e fshehura, ky fajll nuk do të duket. , “show hiden files” për
75
Përfundim Zhvillimi i teknologjisë digjitale dhe përdorimi i asaj teknologjie në masë të madhe nga njerëzit, si dhe njëkohësisht edhe keqpërdorimi i saj, e bëjnë me rëndësi të padiskutueshme forenzikës kompjuterike, j o vetëm për qëllime gjyqësore për t’i dënuar shkelësit e ligjit por në të shumtën e rasteve edhe për identifikimin e pikave të dobëta të sistemit informatikë të ndërmarrjeve dhe korrigjimin e tyre. Në radhë të parë, përcjellja dhe respektimi i procedurave të hetimit në forenzikën kompjuterike, sidomos për procese gjyqësore, është me rëndësi të madhe. Në këtë mënyrë sigurohet që provat e nxjerra do shërbejnë që shkelësit e ligjit të marrin dënimin e merituar. Të respektuarit respektuarit e këtyre procedurave procedurave nënkupton nënkupton po ashtu edhe edhe përdorimi i mjeteve mjeteve të duhura për nxjerrjen dhe analizimin e provave në mënyrë korrekte. Varësisht se çka duhet të ekzaminohet dhe analizohet, përdorën vegla adekuate. Kur forenzika kompjuterike përdoret te ndërmarrjet, se cilat vegla do të përdoren varet edhe nga madhësia e ndërmarrjes. Ndërmarrjet e vogla nuk kanë nevojë për përdorim të mjeteve të shumta në numër, prandaj këtu përdorimi i hapave të caktuara të procedurave mund të jetë jo shumë në detaje, përderisa te ndërmarrjet e të mëdha hasim në përdorin të një numër të madh dhe llojllojshmërisë së kompjuterëve, serverëve, rrjetave dhe nën rrjetave, si dhe pajisjeve dhe stacioneve tjera të lidhura në to. Prandaj në këto raste me siguri se nevojitet krejt tjetër qasje, si përdorimi i disqeve me shumë hapësirë për kopjimin e të dhënave, nevojiten thasët e veçantë për nevoja të forenzikës për vendosjes e pajisjeve, mbylljen dhe shënimin (evidentimin) e tyre, kamera për xhirimin e vendit të hetimit etj. Kështu që disa hapa procedurale mund mund të jenë shumë më në detaje.
76
Fjalori i shprehjeve teknike të përdorura në krime kompjuterike
AFF formati i fajllave: Advanced Forensic Format është format i zgjeruar i hapur i fajllit për depozitimin e imazhit të diskut dhe informatave në lidhje me forenzikën kompjuterike. [36] Bad sector: Sektori i keq fusha e diskut që është bërë e papërdorshme. Back door: (Dera e prapme) paraqet kodet kodet sekrete (të pa dokumentuara) dokumentuara) të qasjes, qasjes, të hard-code) ose procedurat për t’iu qasur koduara me parametra apo të dhëna fikse ( hard-code) “back dors” dors” ekzistojnë në paketa softuerike të ofruara si softu erë informatës. Disa “back komercial; p.sh., fjalëkalimet të përputhshme (kanonike) për llogaritë e softuerëve të palës së tretë. Nga ana tjetër, “back door” mund të futet në një program ekzistues apo sistem për të siguruar më vonë qasje të paautorizuar. Një program, me një metodë pa dokumentuar të qasjes është shembulli i një programi “ Trojan Horse” Horse” ose në përkthim kalë troje. [38] Bitstream image: Ekstraktimi i kopjes së dytë ekzakte të diskut me procedurë joinvazive. Kjo provë vetëm e lexueshme ( read-only) njihet edhe si imazhi sektor për sector-bysector image). sektor ( sector-bysector Brute force: Teknika e thyerjes së fjalëkalimit që i përdorë kombinimet e mundshme derisa fjalëkalimi të gjendet. [38] Bot: shkurtesë nga "robot" - një program i përdorur për një funksion të veçantë sikurse mbajtja hapur e një porti ose nisjen e një përmbytjes me paketa (“ flood (“ flood of packets”) të një sulmi mohimi i shpërndarë i shërbimit (“distributed (“distributed denial-of-service attack ”). ”). [38]
Botnet: një grup i boteve të instaluara (zakonisht të mbajtur në fshehtësi ngase nuk do të miratohej) në një numër të kompjuterëve të viktimizuar (kompjuter zombi apo skllave) për të nisur sulmin mohimi i shpërndarë i shërbimit ( DDoS ) ose për të dërguar të njëjtin mesazh pa dallim për numër të madh të marrësish në Internet (spam). [38] Boot sector - Sektori i parë i të pajisjes ku ndodhen ndodhen të dhënat dhënat që përmban përmban kodin për për ngritjen e sistemit ( bootstraping ). ). Bootstrapping – Procesi përmes të cilit një program i vogël e nis (inicializon) sistemin operativ të instaluar në kompjuter. Cache - Quhet ajo pjesë e memories së kompjuterit ku janë depozituar të dhënat e përdorura më shpesh. Për shembull: (falë këtij funksioni) kur nisim të shkruajmë adresën e një faqeje Interneti, kjo e fundit plotësohet automatikisht. Chat - Mund ti referohet çdo lloji komunikimi në Internet por kryesisht ka të bëjë me shkëmbimin e mesazheve tekst midis dy përdoruesve. 77
Cloud Computing - Është një bashkim teknologjish të bazuara në Internet të cilat mundësojnë menaxhimin dhe ofrimin e shërbimeve të informatikës në largësi përmes rrjetit. Checksum: Metoda primare e përdorur nga të gjitha paketat softuerike të forenzikës kompjuterike, për të verifikuar integritetin e provës digjitale të nxjerrë. Cluster - njësia më e vogël logjike në hard hard disk. Cookies - Janë disa të dhëna që regjistrohen në kompjuter, të cilat përmbajnë informatë specifik. "cookie" "cookie" lejon që çdo çdo server mund të dijë se çfarë faqesh faqesh janë vizituar kohët e fundit, vetëm duke i lexuar ato. Cracking: “thyerja apo hacking” kriminal për qëllime të këqija. Depërtimi i paautorizuar i sistemeve kompjuterike dhe rrjeteve, keqpërdorimit i privilegjeve, përdorimi i paautorizuar paautorizuar i shërbimeve. [38] Disk drive – mekanizmi mekanizmi që lexon të dhënat nga diku dhe i shkruan ato në disk. Disk file system – tipi i fajllit të sistemit për të vendosur apo rikthyer fajllat në pajisjen për ruajtje ruajtje si hard disku, që drejtpërdrejtë drejtpërdrejtë ose indirekt lidhet lidhet me kompjuterin. Denial-of-service (DoS) sulmi: Mohimi i shërbimit, bënë tronditjen apo bombardimin e burimeve në sistemin që është cak i sulmit, për të shkaktuar reduktim të disponueshmërisë për përdoruesit legjitim. Në Internet, zakonisht përfshin paketat e rreme (spoofing packets) apo kreun e e-mailit (email heder). [38] Distributed DoS (DDoS) sulmi : Mohimi i shpërndarë i shërbimit, i kryer nëpërmjet Internetit duke marrë në shërbim shumë sisteme të komprometuara për të nisur një sulm si mohimi i shërbimit (DoS). [38] [ 38] DNS cache poisoning : Helmimi i depos së fshehtë të DNS-it, paraqet ndryshimin ndryshimin e të dhënave në serverin e sistemit të emrave të domenit (Domain Name System DNS) ashtu që thirrjet drejt një websajti të caktuar ose madje brenda krejt domaineve keq orientohen për qëllime mashtruese. [38] E dhënë personale - Është çdo informatë për një person fizik, i cili është i identifikuar ose i identifikueshëm. Elementet, me të cilat realizohet identifikimi i një personi, drejtpërdrejt apo tërthorazi, janë numrat e identitetit ose faktorë të tjerë të veçantë fizikë, psikologjikë, ekonomikë, ekonomikë, socialë, kulturorë etj. [37] E dhënë senzitive - Është çdo informatë për personin fizik, që ka të bëjë me origjinën e tij racore ose etnike, mendimet politike, anëtarësimin në sindikata, besimin fetar apo filozofik, dënimin penal, si dhe të dhëna për shëndetin dhe jetën seksuale. [37] Të dhëna të zërit - Janë të gjitha llojet ll ojet e regjistrimeve të zërit të çdo personi. [37] Të dhëna të figurës- Janë të gjitha llojet e regjistrimeve video të pamjeve për çdo individ. [37] Të dhëna të automatizuara - Të dhëna të hedhura në sisteme elektronike dhe të përpunuara në në to. [37] 78
Të dhëna të klasifikuara - Janë ato të dhëna, dalja e paautorizuar e të cilave jashtë strukturave të një institucioni përkatës, dëmton veprimtarinë e tij për përmbushjen e detyrave institucionale, dhe sigurinë kombëtare. [37] Të dhëna për trafikun e komunikimeve - Është çdo e dhënë e përpunuar përpunuar për qëllime të transmetimit të komunikimeve në një rrjet të komunikimeve elektronike ose për qëllime faturimi. [37] Të dhëna biometrike - Të dhëna që lidhën më tiparet biologjike të njeriut. Janë dimensionet e matshme të trupit dhe sjelljes së individit, veçanërisht gjurmët e gishtave, struktura e kreshtave të gjurmëve, skanimi i retinës dhe irisit të syrit, analiza e formës së fytyrës dhe veshëve, karakteristikat e qëndrimit të trupit, karakteristikat fizike, psikologjike dhe të sjelljes së individit të cilat janë unike dhe të qëndrueshme. [37] E dhënë gjyqësore - Është çdo e dhënë dhënë lidhur me vendimet në fushën e gjykimeve gjykimeve penale, civile, administrative, apo me dokumentimet në regjistrat penalë, civilë, ato të dënimeve administrative, etj. [37] E dhënë anonime - Është çdo e dhënë që në origjinë, ose gjatë përpunimit, nuk mund ti shoqërohet një individi të identifikuar ose të identifikueshëm. [37] Të dhëna pasurore - Të dhëna, informata që lidhen me pasurinë e personit. [37] Të dhëna sekrete - Të dhëna të fshehta që lidhen me veprimtarinë e shtetit dhe që nuk duhet të bëhen publike. [37] Të dhëna që lidhen me personin - Çdo informatë që lidhet me një person i cili është i identifikuar ose i identifikueshëm. [37] Të dhëna lidhur me vendin - Çdo e dhënë e trajtuar në një rrjet të komunikimit elektronik që tregon pozicionin gjeografik të terminalit të përdoruesit të një shërbimi të komunikimit elektronik të hapur për publikun. [37] Të dhëna identifikuese - janë të dhëna personale që lejojnë identifikimin e drejtpërdrejtë të personit. [37] EXIF - Formati i shkëmbyeshëm i fajllit fotografik, (Exchangeable Image File Format), http://www.exif.org/ EWF - Expert Witness Format – (Formati (Formati dëshmues dëshmues i ekspertit), ekspertit), është tip i fajllave të përdorur për vendosjen e imazhit të mediumit për qëllime të forenzikës digjitale. Përdoret gjerësisht në fushën e forenzikës kompjuterike nga kompleti i veglave FTK, Autopsy dhe EnCase [39] Firewall - Pajisje apo një program kompjuterik që është i konfigururar për të kontrolluar trafikun që kalon nëpër rrjet, duke e lejuar apo bllokuar atë në bazë të një grupi rregullash. [37]
79
File shares - Ambient në të cilin një grup të dhënash janë të aksesueshme nga më tepër se një përdorues. Përdoruesit mund të kenë kufizime në të drejta për ti modifikuar, kopjuar, prishur të dhënat. [37] Fonogramë - Përkufizohet si një regjistrim zanor i një shfaqeje ose tingujve të tjerë [37] Fshehtësi e korrespondencës - Ndalimi i hapjes së korrespondencës që mbajnë dy persona apo apo institucione [37] Fshirje e të dhënave - Nënkupton asgjësimin ose eliminim përfundimtar të të dhënave nëpërmjet metodave të përcaktuara paraprakisht. [37] Fjalët kyçe/ Key words - Pjesë e një treguesi të vërtetësisë v ërtetësisë që i përket një personi dhe që njihet vetëm prej tij, ndërtuar nga disa karaktere ose të dhëna të tjera në në formë elektronike. [37] Hapje e korrespondencës - Hapja e letrave, shkresave, komunikimeve elektronike mes dy njerëzve/institucioneve nga persona të tjerë të ndryshëm nga marrësi i destinuar. [37] Hacker - Persona të cilët modifikojnë programe kompjuterike për përdorime të jashtëligjshme. [37] Host - Është një server në të cilin mund të vendosen një apo më tepër shërbime ose ueb site. [37] ICT (Information and Communication Technology) ose TIK (Teknologjitë e Informatës dhe Komunikimeve) - Tërësia e pajisjeve, sistemeve dhe shërbimeve që mundësojnë përpunimin, ruajtjen dhe komunikimin elektronik. [37] [ 37] Identitet - Kuptohet një kombinim unik i karakteristikave të lidhura me çdo person si p.sh., emri, mbiemri, data dhe vendi i lindjes, gjinia dhe karakteristikat fizike, kjo e gjitha duhet të jetë në përputhje me legjislacionin kombëtar apo legjislacionin ndërkombëtar të fushës duke lejuar identifikimin e personit nga autoritetet përkatëse. [37] Instant Messaging, Chat - Teknologji që japin mundësinë e komunikimit tekst në kohë reale midis dy apo më shumë bashkëbiseduesve ne rrjet të mbyllur apo Internet. [37] Informatë që cenon nderin e personit - Informatë që në përmbajtjen e tij ka të dhëna që cenojnë nderin e personit. [37] Informatë që cenon dinjitetin e personit - Informatë që në përmbajtjen e tij ka të dhëna që cenojnë dinjitetin e personit. [37] Llogari anonime - Mjete financiare, të ruajtura ose të depozituara në bankë, të cilat përdoren për qëllime të ndryshme të cilat nuk e kanë të identifikueshëm personin që i disponon. [37]
80
Media Access Control (MAC) address – është është numër i vetëm identifikimi që e kanë numri më i madh i adapterëve ose i kartelave të rrjetit, që janë futur nga ana e prodhuesit dhe ato japin të dhëna të vetme për ekzistimin e komunikimit nëpër nëpër ndonjë adapter ose kartelë të rrjetit. Ky numër identifikimi haset te të gjitha pajisjet që mund të jenë bartëse të të dhënave (kompjuterët, shtypësit, skanerët, pajisjet shumë funksionale që janë të lidhura me kompjuterin, foto-aparatet, video-kamerat etj.) [40] Netiquette (Network Etiquette) - Etika e përdorimit të shërbimeve të rrjetit. [37] Newsgroup - Quhet një sistem i cili i lejon përdoruesve të lexojnë dhe të nisin mesazhe rreth një teme të caktuar. [37] Nickname - Quhet pseudonimi i cili vendoset nga përdoruesit përdoruesit sipas dëshirës. [37] Përgjim - Përqendrim i vëmendjes dhe i shqisave për të hetuar çfarë ndodh me një person fizik/ juridik të caktuar; vëzhgimi organizuar i çdo veprimi, thënie ose lëvizjeje të personit. [37] Përpunim i të dhënave - Është çdo çdo veprim që kryhet plotësisht plotësisht ose jo me mjete automatike, me të dhënat personale, si grumbullimi, regjistrimi, ruajtja, renditja, përshtatja, ndreqja, këshillimi, shfrytëzimi, përdorimi, bllokimi, fshirja ose shkatërrimi apo çfarëdo veprim tjetër, si dhe transmetimi i të dhënave. [37] Phishing - Është metoda e marrjes së të dhënave nëpërmjet mashtrimit. [37] Pronësia intelektuale / Intellectual property - Ashtu si mallrat e prekshme, krijimet intelektuale mund të përbëjnë pronësi që përcaktohet si “Pronësi Intelektuale”. Pronësia Intelektuale mbulon tradicionalisht dy fusha: • pronësinë industriale, që përfshin kryesisht patentat, skicat dhe modelet, markat e
prodhimit dhe shërbimit shërbimit dhe përcaktimet e origjinës te mbrojtura; • të drejtën e autorit dhe të drejtat e lidhura me të, që zbatohen për të gjitha veprat
letrare dhe artistike. [37]
RAW fajlli - është një përmbledhje e të dhënave të papërpunuara. Kjo do të thotë se fajlli nuk është ndryshuar, i ngjeshur, apo manipuluar në asnjë mënyrë nga kompjuteri [41] Regjistër i të dhënave elektronike - Çdo grup të dhënash që i nënshtrohet procedimit automatik. automatik. [37] Router - Pajisje komunikimi. Përdoret për të bërë adresimin dhe vendosjen e privilegjeve të komunikimeve komunikimeve të ndryshme ndryshme në një rrjet kompjuterik. kompjuterik. [37] Ruajtje e të dhënave - Vendosje e të dhënave personale në kushte sigurie, në përputhje me rëndësinë rëndësinë e tyre dhe legjislacionin në fuqi. fuqi. [37] Sekret industrial - Diçka e fshehtë që ka të bëjë me punë dhe detyra të caktuara industriale, të cilat nuk duhet të shpallen a të njihen botërisht; që lidhet me veprimtarinë e posaçme industriale. [37] 81
Sekret i shoqërisë - Të dhëna të fshehta që lidhen me veprimtarinë tregtare të shoqërisë dhe që nuk duhet të bëhen publike. [37] [ 37] Sekret profesional - Diçka e fshehtë që ka të bëjë me punë dhe profesione të caktuara, të cilat nuk duhet të shpallen a të t ë njihen botërisht; që lidhet me veprimtarinë profesionale. [37] Sekret shtetëror - Të dhëna të fshehta që lidhen me veprimtarinë e shtetit dhe që nuk duhet të bëhen publike. Ekspozimi i paautorizuar i tyre mund të rrezikojë sigurinë kombëtare. [37] Sekret tregtar - Diçka e fshehtë që ka të bëjë me punë dhe detyra të caktuara tregtare, të cilat nuk duhet të shpallen a të njihen botërisht; që lidhet me veprimtarinë e posaçme tregtare. [37] Sekret vetjak - Diçka që lidhet me vetë personin dhe mbahet e fshehtë e nuk u tregohet të tjerëve. [37] Server - Kompjuter me parametra të larta në të cilin cili n mund të instalohen disa shërbime të centralizuara për ti shërbyer aplikacioneve të kompjuterëve të tjerë t ë rrjetit. Serveri mund të përdoret si shpërndarës e-maili, file share, vendosje e intranetit etj. [37] Sigurim kombëtar - Do të thotë mbrojtja e pavarësisë, integritetit territorial, rendit kushtetues dhe marrëdhënieve me jashtë të Republikës së Kosovës. [37] Sistemi i telekomunikacionit - Është infrastruktura e telekomunikacionit e cila është përdorur si një sistem sistem përdorues i mbyllur mbyllur për kryerjen e detyrave. detyrave. [37] Sistem arkivimi - Është çdo grup i strukturuar i të dhënave personale të cilat janë të aksesueshme aksesueshme në bazë të kritereve specifike. [37] Sistemi i autorizimit - Bashkim instrumentesh dhe procedurash që mundësojnë hyrjen në të dhënat dhe mënyrat e trajtimit të tyre, t yre, në funksion të profilit të autorizimit të kërkuesit. [37] Streaming - Një sekuence elementesh të të dhënave të vëna në dispozicion në një kohë të caktuar. [37] Subjekti i të dhënave personale - Është çdo person fizik, të cilit i përpunohen të dhënat personale. [37] Spam: dërgimi i të njëjtin mesazh pa dallim për numër të madh të marrësish në Internet.
Spim: spam përmes instant messenger
Spit: spam përmes Internet telefonisë
Steganografia – praktika praktika e fshehjes së informatës sekret brenda tekstit, mesazheve apo të dhënave tjera, si fajlli tekstual brenda fajllit fotografi etj. STIX - Gjuhë e strukturuar për inteligjencën e kërcënimeve kibernetike, Structured Threat Information eXpression 82
Tag - Vendosja e një "etikete virtuale" një teksti, një zëri, një videoje, një imazhi. Më shpesh gjen përdorim në rrjetet sociale. Thuhet që je i etiketuar kur dikush emërton një foto të vendosur online. Si rrjedhojë, nëse dikush kërkon emrin tënd, del fotoja e sugjeruar. [22] Terminale elektronike - Janë pajisje elektronike, të cilat shërbejnë për ruajtjen, përpunimin dhe transmetimin e informatës. [22] [22] Tregtim i sekretit shtetëror - Bërja publike e të dhënave të fshehta që lidhen me veprimtarinë e shtetit dhe që nuk duhet të bëhen publike, të njohura për shkak të profesionit. [22] Transmetim i të dhënave - është transferimi i të dhënave personale te marrësit. [22] Transferim ndërkombëtar - Është dhënia e të dhënave personale marrësve në shtetet e huaja. [22] Trajtimi i të dhënave - Janë procedurat dhe proceset e mbledhjes, përpunimit, grumbullimit, përhapjes, përdorimit dhe shkatërrimit të të dhënave. [22] Trajtimi kompjuterik i të dhënave - Është trajtimi i të dhënave me ndihmën e një kompjuteri duke përdorur memorie dhe programe të nevojshme për zbatimin efektiv të tij. [22] Treguesit e vërtetësisë - Të dhënat dhe diapozitivat në posedim të një personi, të njohura nga ai apo apo lidhur në në mënyrë mënyrë unike me të, që përdoren për vërtetimin vërtetimin informative. [22] Vjedhja e identitetit (Identity theft): krijimi i një identiteti të rremë duke përdorur informatat identifikuese të dikujt tjetër - viktimës (p.sh. emri, Numri i Sigurimit Social, ditëlindja) për të krijuar karta të reja të kreditit apo për të marr një kredi e cila më pas i kthehet viktimës origjinale dhe ndikon në të dhënat e kredisë së tij. [38] Write Blocker - Bllokuesi i regjistrimit në diskun e provave
83
Referenca [1] "DevRy University," [Online]. Available: http://www.devry.edu/degree-programs/liberal-artshttp://www.devry.edu/degree-programs/liberal-artssciences/digital-forensics.html. sciences/digital-forensics.htm l. [Accessed 28 2 2016]. [2] B. E. Hermansen, An Evaluation of Forensic Forensic Tools for Linux, 2010. [3] LIGJI Nr. 04/L-064 04/L-064 për agjencinë agjencinë e Kosovës Kosovës për forenzikë. forenzikë. [4] P. d. s. s. M. Haskoviq, Haskoviq, PSIKOLOGJIA PSIKOLOGJIA FORENZIKE, Sarajevë: Fakulteti i Shkencave Kriminalistike Sarajevë, 2008. [5] LIGJI Nr. Nr. 03/L-166 i Republikës së së Kosovës, për parandalimin parandalimin dhe luftimin e krimit kibernetikë,fq.2. [6] Computer Forensics, Forensics, US-CERT US-CERT (United States Computer Computer Emergency Readiness Team), Team), 2008, fq 1; www.us-cert.gov/sites/default/files/publications/forensics.pd www.us-cert.gov/sites/default/files/publications/forensics.pdf. f. [7] Linda Volonino, Volonino, Reynaldo Anzaldua, Jana Godwin, Computer Forensics: Forensics: Principles Principles and Practices. Security, Pearson Prentice Hall, 2007. [8] M. T. B. Ph.D., Computer Computer Forensics and Cyber Crime Crime , fq.39, Pearson Education, Education, Inc., Inc., 2013. [9] Linda Volonino , Reynaldo Anzaldua, Computer Computer Forensics For Dummies, Dummies, fq. 34, Wiley Publishing, Inc., 2008. [10] "http://www.digitalevidencepro.com "http://www.digitalevidencepro.com/index_files/Page381.htm," /index_files/Page381.htm," Digital Evidence Pro. [Online]. [11] M. M. Pollitt, An Ad Hoc Review of Digital Digital Forensic Models, in Proceeding Proceeding of the Second Second International Workshop Workshop on Systematic Systematic Approaches Approaches to Digital Forensic Forensic Engineering Engineering (SADFE’07), (SADFE’07), Washington, USA., 2007.
[12] International Jurnal Jurnal of Computer Science Science & Information Technology Technology (IJCSIT), Vol Vol 3, No 3, june 2011.
[13] M. Reith, C. Carr, G. Gunsh, An Examination of Digital Forensics Models, International International Journal of Digital Evidence, Vol. 1, No. 3., 2002. [14] "FTKimager, http://accessdata.com," http://accessdata.com," Access Data. [Online]. [15] "OrionForensics," 20 12 12 2015. [Online]. Available: http://www.orionforensics.com/w_en_page/Orion%20 http://www.orionforensics. com/w_en_page/Orion%20USB%20Write%20Block USB%20Write%20Blocker.php. er.php. [16] Mark Reith, Clint Carr, Gregg Gunsch, An Examination of Digital Forensic Models; International Journal Journal of Digital Evidence, Evidence, Fall 2002, Volume Volume 1, Issue 3. 3. fq.6, http://digital4nzics.com/Student%20Librar http://digital4nzics.com/S tudent%20Library/An%20Ex y/An%20Examination%20of% amination%20of%20Digital%20Forensic 20Digital%20Forensic %20Models.pdf.
84
[17] Volatility Foundation, open source memory forensics, http://www.volatilityfoundation.org/]., http://www.volatilityfoundation.org/]., Volatility Foundation. [18] "Superponiblog," [Online]. Available: Available: http://blog.superponible.com/2014/08/31/volatilityhttp://blog.superponible.com/2014/08/31/volatility plugin-firefox-history/. [19] Prof. Dr. Baftiu, Naim "Pjesë nga kontributi dhe ligjerata e profesorit," Prizren, 2016. [20] "Internet Seer," [Online]. [Online]. Available: http://www.internetseer.com/home/index.xtp;jsessionid=avvV09lv http://www.internetseer.com /home/index.xtp;jsessionid=avvV09lvrwE6. rwE6. [Accessed 14 3 2016]. [21] "https://www2.guidanceso "https://www2.guidancesoftware.com/products/Pages ftware.com/products/Pages/encase-forensic/overview.aspx," /encase-forensic/overview.aspx," [Online]. [22] S. Bunting, EnCE - The Official EnCase Certified Examiner Study Guide, 2nd edition, Wiley Publishing, 2008. [23] F. Carbone, Computer Forensics with FTK, Birmingham Birmingham B3 2PB, UK: Packt Publishing, 2014. [24] "ARC GROUP NY," [Online]. Available: http://www.arcgroupny.com/products/prodiscoverhttp://www.arcgroupny.com/products/prodiscoverforensic-edition/. [Accessed 21 12 2015]. [25] "http://www.sleuthkit.org/autopsy/," [Online]. [26] "ArxSys, Digital Forensics Framework, http://www.arxsys.fr/discover/," http://www.arxsys.fr/discover/," [Online]. [27] "Kali Linux Official Documentation," Documentation," [Online]. Available: http://docs.kali.org/general-use/kalihttp://docs.kali.org/general-use/kalilinux-forensics-mode. [Accessed 14 12 2015]. [28] "SANS," [Online]. Available: https://digital-forensics.sans.org/community/downl https://digital-forensics.sans.org/community/downloads. oads. [Accessed 14 1 2016]. [29] "CAINE LIVE," [Online]. Available: Available: http://www.caine-live.net/. [Accessed 14 1 2016]. [30] Stefano Fratepietro & Alessandro Rossetti & Paolo Dal Checco, "DEFT," "DEFT," [Online]. Available: http://www.deftlinux.net/doc/EN-deft7.pdf. http://www.deftlinux.net/doc/ENdeft7.pdf. [Accessed 11 1 2016]. [31] "XPLICO," [Online]. Available: http://www.xplico.org/. http://www.xplico.org/. [Accessed 21 1 2016]. [32] "TalkTechToMe," [Online]. Available: Available: http://www.gfi.com/blog/top-20-free-digital-forensichttp://www.gfi.com/blog/top-20-free-digital-forensicinvestigation-tools-for-sysadmins/. investigation-tools-for-sysadmins/. [Accessed 20 2 2016]. [33] "Steganography- Hide Your Your Files Inside An Image Image in Linux, http://www.unixmen.com/steganography-in-ubuntu-hide-y http://www.unixmen.com/s teganography-in-ubuntu-hide-your-files-inside-an-image/," our-files-inside-an-image/," [Online]. [34] "How to Hide Files in Pictures on a Mac, http://www.hackpconline.com/2010/11/how-to-hidehttp://www.hackpconline.com/2010/11/how-to-hidefiles-in-pictures-on-mac.html," files-in-pictures-on-mac.htm l," [Online]. [35] Linda Volonino , Reynaldo Anzaldua, Computer Forensics Forensics For Dummies, fq. 140, Wiley
85
Publishing Inc., 2008. [36] "FILE SIGNATURES SIGNATURES TABLE," [Online]. Available: Available: http://www.garykessler.net/library/file_sigs.html http://www.garykessler.net/library/file_sigs.html . [Accessed 15 12 2015]. [37] "SANS Institute," 24 12 2015. [Online]. Available: http://computer-forensics.sans.org. http://computer-forensics.sans.org. [Accessed 24 12 2015]. [38] "Alliance Permanent Acces, http://www.alliancepermanentaccess.org/index.php/preservationsoftware/advanced-forensicformat-and-aff-library-and-toolkit/," [Online]. [39] K. M. E. Ph.D., Glossary of Computer Crime Terms, School of Graduate Studies Norwich University, Northfield, VT, USA, 2008. [40] "Fjalor terminologjik, Komisioneri për të drejtën e Informimit dhe mbrojtjen e të dhënave personale, Republika e Shqipërisë; Shqipërisë; http://idp.al/index.php/sq/publikime-al/fjalor-terminologjik," http://idp.al/index.php/sq/publikime-al/fjalor-terminologjik," [Online]. [41] A. Rosen, ASR Expert Witness Compression Compression Format specification, http://www.asrdata.com/SMART/whitepaper.html. [42] Marko Zvërlevski, Spasenka Andonova, Vlladimir Vlladimir Milloshesk, Doracak për krimin kompjuterik, Shkup: OSBE, 2014. [43] "Teach Terms, http://techterms.com/definition/rawfile," http://techterms.com/definition/rawfile," [Online]. [44] A. Hog, Android Forensic Investigation, Investigation, Analysis and Mobile Security for Google Android, 2011. [45] "Univerza v Ljubljani," [Online]. Available: Available: http://www.fri.unilj.si/si/izobrazevanje/11807/class.html. [Accessed 21 2 2016].
Burimet tjera 1. Coputer Forensics Tool Testing Handbook, National Institute of Standard and Technology, 2012 2. Training video: Computer http://www.Lynda.com
Forensics
Essential
Training
(Aug
20,
2014),
3. Training video: Learning Computer Forensics – Infinite Infinite Skills, http://www.infiniteskills.com/ 4. COMPUTER FORENSICS METHODOLOGY AND PRAXIS, Robin Cincinnatis Morrison, University of Louisville, 1999 5. Doracak për krimin kompjuterik, Marko Zvërlevski, Spasenka Andonova, Vlladimir
Milloshesk, Shkup: OSBE, 2014. 86
6. Glossary of Computer Crime Terms, M. E. Kabay, PhD, CISSP-ISSMP Program
Director, MSIA CTO, School of Graduate Studies Norwich University, Northfield, VT 05663 - 1035 USA, http://www.mekabay.com/overviews/glossa http://www.mekabay.com/overviews/glossary.pdf ry.pdf
Lista e figurave Figura 1: Shembulli më i thjeshtë i të dhënave të dukshme, të krijuara automatikisht nga programi për editim të tekstit MS Word, pa vullnetin e përdoruesit .......................................................................... .......................................................................... 19 Figura 2: Procesi i hetimit të forenzikës kompjuterike sipas Mark M. Pollitt ..................................... 22 Figura 3: Modeli hulumtues i DFRWS [12] ........................................................................................ ........................................................................................ 23 Figura 4: Modeli Abstrakt i Forenzikës Digjitale [12] ........................................................................ ........................................................................ 24 Figura 5: Ndërfaqja e softuerit EnCase Forensic 7 ................................................................... .............................................................................. ........... 28 Figura 6: Ndërfaqja grafike e programit Xiao Steganography ............................................................ ............................................................ 28 Figura 7: Stacioni Mobil i Forenzikës Kompjuterike .......................................................................... .......................................................................... 29 Figura 8: Bllokuesit e thjeshtë harduerik ............ ............................................................................... ................................................................................. .............. 33 33 Figura 9: Bllokuesi i thjeshtë harduerik........................................................... ............................................................................................... .................................... 33 Figura 10: Bllokuesi i avancuar harduerik " Hard disc docking station" ............................................ 33 Figura 11: Pajisja bllokues i regjistrimit në diskun e provave nga kompania Taleau ......................... 34 Figura 12: Duplikatori i disqeve ...................................................................... .......................................................................................................... .................................... 34 Figura 13: Ndalja e sistemit operativ operativ Windows që t’i t’i montoj automatikisht automatikisht USB disqet ................... 35 Figura 14: Krijimi i imazhit i mazhit të diskut me softuerin FTK imager......................................................... 36 Figura 15: Hapja e rastit të hetimit dhe regjistrimi regjistrimi i provave gjatë krijimit të kopjes së SD diskut me programin FTK imager. ............................................................. ........................................................................................................................ ........................................................... 37 Figura 16: Hash vlerat e krijuara për të dhënat, në MD5 dhe SHA..................................................... 37 Figura 17: Krijimi i imazhit të diskut në Ubuntu Linux Li nux ...................................................................... 39 Figura 18: Komanda "ls" në Linux Ubuntu, dhe shfaqja e fajllit të kopjuar të diskut, me emrin USBimage.dd........................................................................................................................................ ........................................................................................................................................ 39 Figura 19: Nxjerrja dhe kopjimi i përmbajtjes së RAM memories e FTK imager .............................. 40 Figura 20: Hapja e memories së kopjuar me programin Volatility 2.4 dhe Command Prompt nga Windows .............................................................. .................................................................................................................................... ................................................................................. ........... 41 Figura 21: Ndërfaqet e softuerëve HD Host si server dhe Disk Explorer si klient për nxjerrje të të dhënave nga distanca ................................................................................................... ............................................................................................................................ ......................... 42 42 Figura 22: Hapja dhe analizimi i përmbajtjes së RAM memories, me Hex Editor ............................. 44 Figura 23: Gjetja e profileve dhe informatave tjera të imazhit të t ë kopjes identike së memories RAM 45 Figura 24:Fajlli fotografi i gërmuar dhe nxjerrë nga SD disku i zbrazët pas formatimit të shumëfishtë ..................................................................................................................................... ............................................................... ............................................................................................... ......................... 47 Figura 25: Dukja e një html raporti r aporti për analizën e SD diskut të zbrazët të gjeneruar nga Autopsy .... 47 Figura 26: Pllaka e Hard diskut A – Shtegu Shtegu (Track) ............................................................ .......................................................................... .............. 48 Figura 27: Fajlli i regjistruar, kllasterët e përbërë nga sektorët dhe hapësira e papërdorur Slack ....... 49 Figura 28: Dukja e menysë së Kali Linux Live CD ............................................................................ 50 Figura 29: E-mai alarmi i dërguar nga Internet Seer shërbimi me rastin e ndërprerjes së sulmeve në ueb serverin e ndërmarrjes Mjellma.net dhe raporti i shkurtër kur dhe për sa kohë serveri ka qenë jo aktiv. .................................................................... ....................................................................................................................................... ................................................................................. .............. 53 Figura 30: Skema e procesit të hashingut ............................................................................................ ............................................................................................ 54 Figura 31: Aplikimi i EnCase në pajisje të ndryshme dhe në etapat e ndryshme të forenzikës digjitale. Burimi: guidancesoftware.com ............................................................................................................. ............................................................................................................. 57 57 87
Figura 32: EWF formati i të dhënave të nxjerra .................................................................................. .................................................................................. 58 Figura 33: Dukja e ndërfaqes grafike të përdoruesit, të programit ProDiscover ................................. 59 Figura 34: Nxjerrja e fotografive të fshira nga imazhi identik i krijuar i SD kartelës së memorjes, me Autopsy 4.0 ........................................................................................................................................... ........................................................................................................................................... 60 Figura 35: Figura tregon se brenda zip arkivit me emrin listat.zip ndodhen 5 fajlla tekstual.............. 71 Figura 36: Dukja e dritares së Command Promt dhe komandat e përdorura për bashkimin e fajllave 71 Figura 37: Kreu (header) i pandryshuar një MS Word (2010) dokumenti i hapur në Hex Workshop, i cili fillimisht e ka pasur ekstenzionin .docx por që është ndryshuar në ekstenzionin .xlsx. ................. 72 Figura 38: Zhvendosja e bitëve të hederit të fajllit për një pozicion djathtas. Edhe pse fajlli e ka ekstensionin origjinal, nuk mund të hapet. Kjo paraqet mënyrë më të avancuar të fshehjes së dokumenteve që mund të përdoren si prova. ........................................................................................ 74
Lista e tabelave Tabela 1: Komponentët kryesore të modelit të propozuar nga DFRW [14] ........................................ 25 Tabela 2: Kodet heksadecimale të t ë kreut (headerit) të fajllave [34] [35].............................................. 73
88
