You are currently browsing the archives for the “ICT forenzika” category.
Infografika – postupak odgovora na incident informacijske sigurnosti
21/01/2019 // Posted in ICT forenzika | Comments Off on Infografika – postupak odgovora na incident informacijske sigurnosti
Vremenska linija cyber-forenzike
22/02/2018 // Posted in ICT forenzika | Comments Off on Vremenska linija cyber-forenzike
Cyber crime
04/05/2017 // Posted in ICT forenzika | Comments Off on Cyber crime
Locardov princip razmjene u forenzici
13/12/2016 // Posted in ICT forenzika | Comments Off on Locardov princip razmjene u forenzici
“Every contact leaves a trace”
Faze vjeÅ¡taÄenja iz podruÄja informatike i telekomunikacija
03/07/2016 // Posted in ICT forenzika | Comments Off on Faze vjeÅ¡taÄenja iz podruÄja informatike i telekomunikacija
ÄŒlanak o forenziÄkoj analizi video zapisa
18/06/2015 // Posted in ICT forenzika | Comments Off on ÄŒlanak o forenziÄkoj analizi video zapisa
Podjela znanstvenih forenziÄkih specijalizacija – ameriÄka Akademija forenziÄkih znanosti
17/07/2014 // Posted in ICT forenzika | Comments Off on Podjela znanstvenih forenziÄkih specijalizacija – ameriÄka Akademija forenziÄkih znanosti
iPredator
25/01/2014 // Posted in ICT forenzika | No Comments
IT forenzika, seminar u Beogradu, 23. i 24.10.2013.
24/10/2013 // Posted in ICT forenzika | No Comments
23. i 24.10.2013. godine u Beogradu je održan seminar iz podruÄja IT forenzike. Ukupna ocjena seminara je 4,7 na skali od 1-5.
Komponente ocjene su sljedeće:
Koliko ste zadovoljni jasnoćom komunikacije s predavaÄem? – 4.9
Koliko ste zadovoljni jasnoćom izlaganja? – 4.4
Koliko ste zadovoljni odnosom zastupljenosti teorijskih i praktiÄnih koncepata? – 4.1
Koliko ste zadovoljni poÅ¡tivanjem dogovorenog vremenskog rasporeda izlaganja od strane predavaÄa? – 5.0
Koliko ste zadovoljni prostorom i opremom seminara? – 4.7
Svi polaznici mogu prikazanu prezentaciju preuzeti sa ovog linka, a Å¡ifru za pristup mogu dobiti email upitom na: sasa dot aksentijevic at gmail dot com.
Forenzika registryja
18/05/2010 // Posted in ICT forenzika | No Comments
Naslov je jasan – Windows registry je nepresuÅ¡no vrelo informacija sudskome vjeÅ¡taku. U originalu se prenosi dokument Äiji je autor Lih Wern Wong iz School of Computer and Information Science, Edith Cowan University.
Varnostni Forum – tema mjeseca – Älanak “Å to uÄiniti u sluÄaju sigurnosnog incidenta?”
13/04/2010 // Posted in ICT forenzika | No Comments
Tema mjeseca slovenskog Äasopisa posvećenog informacijskoj sigurnosti je “endpoint security”. U okviru toga, u broju od ožujka 2010. godine objavljen je Älanak pod naslovom “What to do in case of security breaches and how to prevent them” – nažalost, doÅ¡lo je do pogreÅ¡ke u pripremi teksta je je naslov greÅ¡kom tiskan kao “What to do in case of security breach and how to prevent them”.
Sudski priznati forenziÄki program II dio.
26/03/2010 // Posted in ICT forenzika | No Comments
U veljaÄi 2009 godine objavljen je na ovim stranicama Älanak pod nazivom “Sudski priznati forenziÄki program“.
Ovih dana u medijima su se pojavili Älanci koji govore o tome kako ovaj ili onaj raÄunalni program nije “profesionalni forenziÄki program”, pa stoga dokazi pribavljeni istim nose sa sobom sumnju u njhovu ispravnost.
Uz dužno poÅ¡tovanje prema temeljnim principima raÄunalne (i svake druge) forenzike, a osobito prema principima dokumentiranosti lanca posjedovanja dokaznog materijala i nepromjenjivosti dokaza, mislim da je ovo pravo mjesto da se joÅ¡ jednom istakne Äinjenica kako ne postoje “profesionalni” i “neprofesionalni” raÄunalni programi za forenziku, postoje samo metode koje sudski vjeÅ¡taci koriste i one koje ne bi trebali koristiti jer mogu kompromitirati dokaze a samim time i aplikacije koje mogu biti podesne ili nepodesne za forenziÄku uporabu Å¡to nema nikakve veze s cijenom ili “komercijalnošću” programa koji se koriste.
Svi sudski vjeÅ¡taci informatike jako dobro znaju kako su meÄ‘u najjaÄim i najkorisnijim forenziÄkim alatima neki koji su nekomercijalni i svaki sud će prihvatiti dokaze pribavljene na taj naÄin ukoliko se može pokazati njihova ispravnost i ako se mogu reproducirati koristeći znanstvene metode i empirijski pristup. PriÄa o komercijalnim programima kao jedinim koji se mogu koristiti na sudu plasira se najÄešće od strane nekih zastupnika tvrtki koje proizvode te programe a koje uglavnom nemaju zaposlenog niti jednog vjeÅ¡taka informatike (i/ili) telekomunikacija koji bi u praksi izradio poneko vjeÅ¡taÄenje na sudu.
Stoga, joÅ¡ jednom podsjećam na Älanak iz veljaÄe 2009. godine.
Forenzika Microsoft Windowsa 7
28/12/2009 // Posted in ICT forenzika | No Comments
Microsoft Windows 7 u sebi donosi neke posve nove tehnologije koje predstavljaju izazov forenziÄkoj analizi i posljediÄnim vjeÅ¡taÄenjima. Detaljnije o tome u sljedećem tekstu.
Intervju – SaÅ¡a Aksentijević u Äasopisu “Varnostni forum”
13/12/2009 // Posted in ICT forenzika | No Comments
U broju od studenog 2009. u slovenskom mjeseÄnom Äasopisu “Varnostni forum” posvećenom informacijskoj sigurnosti objavljen je intervju (stranice 16-18).  Intervju je na engleskom jeziku te je posvećen vjeÅ¡taÄenjima odnosno raÄunalnoj forenzici. Na reviju se možete pretplatiti putem Internet stranica Varnostnog foruma a intervju možete preuzeti klikom na sliku ispod, ili u sekciji s desne strane pod “Radovi”.
Odgovor na sigurnosne incidente
08/11/2009 // Posted in ICT forenzika | No Comments
Odgovor na sigurnosne incidente u tehniÄkom smislu je zahtjevna aktivnost, no u svojoj osnovi se oslanja na iskustvo, tehniÄko znanje i imaginaciju tehniÄkog osoblja zaduženog za pojedine funkcije unutar korporacije. Najvećim dijelom tehniÄka reakcija na sigurnosne incidente je problematiÄna aktivnost jer je vremenski ograniÄena na Äim kraći rok – kako bi se saÄuvali dokazi, sprijeÄila dodatna Å¡teta po informacijske sustave i djelatnost organizacije, odgovor na sigurnosni incident mora biti Äim brži, ali i u skladu sa zakonskim propisima odnosno principom oÄuvanja dokaza.
U ovoj interesantnoj knjizi su na granularni naÄin izložene konkretne tehniÄke aktivnosti koje se provode kako bi se osigurala adekvatna reakcija na sigurnosne incidente.
Incident Response – Computer Forensics Toolkit
No, Äak i kada je tehniÄki odgovor na sigurnosne incidente adekvatan, odnosno ukoliko je on možda bio automatski, koristeći već preinstalirana hardverska i softverska rjeÅ¡enja, u kompleksnim organizacijama potpunost odgovora na incidente Äesto se oslanja na onu komponentu organizacije koja je najviÅ¡e podložna voluntarizmu a to je organizacijska komponenta. Odluka o posljedicama sigurnosnog incidenta najÄešće je na upravi organizacije ili službi za ljudske resurse a ako te procedure nisu jasno odreÄ‘ene, moguće je da prijetnja koja je rezultirala incidentom i dalje ostane ugraÄ‘ena u sustav, odnosno da osim tehniÄke nema i organizacijske reakcije na incident.
Prikupljanje dokaza tijekom forenziÄke analize raÄunala
27/10/2009 // Posted in ICT forenzika | No Comments
Forenzika GPS uređaja
05/10/2009 // Posted in ICT forenzika | No Comments
Å irenjem i integracijom ureÄ‘aja potroÅ¡aÄke elektronike zadnjih godina pojavila se i forenzika GSM ureÄ‘aja. GSM ureÄ‘aji imaju procesor, memoriju i vrlo Äesto u sebi sadrže podatke o rutama i lokacijama na kojima se GSM ureÄ‘aj nalazio Å¡to može biti dodatni pokazatelj u dokazivanju u nekom sluÄaju s kriminalnom pozadinom.
U zadnjih nekoliko godina pojavili su se i vrlo jeftini ureÄ‘aji za ometanje GSM signala koji u potpunosti mogu obezvrijediti klasiÄne kombinirane ureÄ‘aje koji koriste GPS i podatkovnu vezu (GPRS/UMTS/HSDPA) koji se koriste  za osiguravanje praćenih vozila (skupocjeni automobili, vozila koja prevoze vrijedne poÅ¡iljke ili novac). OmetaÄi GSM i GPS signala mogu se kupiti već za 60 do 90 US$!
Smatra se da je sljedeći korak koji će vjerojatno poduzeti pripadnici kriminalnog miljea GPS spoofing. U potencijalnom scenariju tako bi bilo moguće oteti vozilo koje je praćeno preko GPSa a koje prevozi npr. novac, lažirati signal i nastaviti ga emitirati preko podatkovne veze dok je vozilo u biti oteto i prepraćeno na posve drugu lokaciju.
Testovi provedeni u Velikoj Britaniji pokazuju kako postoje na crnom tržištu uređaji snage 2 W koji su sposobni ovisno o konfiguraciji terena ometati propagaciju GPS signala u radijusu do 30 km i koji vrlo dobro obavljaju svoju zadaću.
Protumjera za ovakve sustave je uglavnom koriÅ¡tenje zemaljskih lokacijskih sustava koji imaju funkciju zamjenskih lokacijskih sustava i koji su se poÄeli razvijati nakon Drugog svjetskog rata a koji su upravo zbog relativno lakog ometanja GPS signala ponovo dobili na važnosti. Takav sustav je npr. eLoran.  Oni su ipak neÅ¡to manje osjetljivi na ometanje ovog tipa no daleko su od komercijalne uporabljivosti u gotovo svim uvjetima i na svim lokacijama Å¡to je znaÄajka GPS sustava.
DoS napadi
30/09/2009 // Posted in ICT forenzika | No Comments
Ovih dana aktualni su u medijima DoS napadi.
Ostavimo na stranu konkretan sluÄaj, moguće motive i poÄinitelje, pa Äak i naÄin na koji je konkretno napad uÄinjen. Orijentirajmo se na komentar Å¡to bi toÄno trebalo uÄiniti kod prevencije DoS napada te kod oporavka od istoga. Naime, kod ovakve vrste prijetnji, koje bi trebale biti obuhvaćene općom implementacijom ISMS-a, najvažnije je proaktivno ponaÅ¡anje. Reaktivna (povratna) reakcija svodi se na uspostavljanje ugroženih mrežnih servisa, sanaciju eventualno poÄinjene Å¡tete i naposlijetku, eventualno, otkrivanje poÄinitelja.
Pet je temeljnih mjera koje je potrebno poduzeti kako bi se unaprijed smanjila mogućnost uspješnih DoS napada, odnosno smanjio njihov utjecaj na mrežne i aplikativne sustave:
- Procedure konfiguriranja i nabave mrežne opreme (firewalli, routeri, switchevi) moraju biti u skladu s temeljnim ciljevima politika osiguranja mrežne sigurnosti, odnosno u ovom sluÄaju dostupnosti (u okviru klasiÄne C-I-A trijade, izbjegavanje DoS napada je klasiÄna razrada “Availability” vrha trokuta – u zadnje vrijeme postoje i tzv. permanent DoS napadi, kod kojega hackeri postižu kontrolu nad hardverskim komponentama i flashaju sustave programima blokirajući permanentno njihov rad, Äime se ne ugrožava samo raspoloživost sustava nego i njihov integritet – “I” vrh trokuta)
- Hardverski sustavi za prevenciju uskraćivanja usluge – radi se o samostalnim hardverskim komponentama (“appliances”) koje se instaliraju u mreži prije samog aplikacijskog servera koji se Å¡titi a mogu podržavati i zajedniÄki naÄin rada sa mrežnom opremom. Postoji Äitav niz ponuÄ‘aÄa ovakvih ureÄ‘aja od kojih svaki ima svoje mane i prednosti a zajedniÄko im je da posjeduju postavljanje i odreÄ‘ivanje prioriteta u mrežnom prometu, mogućnost hardverske akceleracije prometa te inteligentne (proaktivne) analize prometa u potrazi za sumnjivim obrascima. Ovisno o mogućnosti regulacije prometa, brzini rada te implementiranim algoritmima cijena ovakvih sustava najÄešće u osnovnoj konfiguraciji kreće od 15.000 EUR nadalje, uvećano za godiÅ¡nje održavanje (u pravilu oko 20 % nabavne cijene) pa je njihova cijena najÄešći razlog zaÅ¡to se svjesno ne primjenjuju u zaÅ¡titi mrežnih sustava
- Sustavi za prevenciju upada (intrusion prevention systems), hardverski ili softverski, u sluÄaju DoS napada mogu biti efikasni ukoliko se radi o napadima koji imaju tipiÄni obrazac odvijanja uz koji se može povezati odreÄ‘eni “digitalni potpis”. IPS sustavi tipiÄno funkcioniraju sliÄno sustavima antivirusne zaÅ¡tite, tako da se od strane pružatelja zaÅ¡titnih usluga koji održava bazu “digitalnih otisaka” napada primjenjuju najnovije definicije koje zatim hardversko ili softversko rjeÅ¡enje koristi u analizi mrežnog prometa tragajući za tipiÄnim obrascima ponaÅ¡anja. IPS sustavi moraju imati jaku procesorsku snagu jer moraju biti sposobni odvojiti legitimni promet od onoga koji je dio DoS napada, moraju vrÅ¡iti online analizu sadržaja mrežnog prometa. Glavni ograniÄavajući Äimbenik je taj Å¡to većina DoS napada koristi legitimne oblike prometa koji zbog svog volumena postižu maliciozne ciljeve.
- Jasno dokumentirane procedure implementacije ISMSa, a unutar njih, razrada postupaka i kontingencijskih procedura vezano uz IP adrese, komunikacijske kanale i serverske resurse te oporavak od katastrofe i kontinuitet obavljanja temeljne djelatnosti i pružanje usluga; vezano uz to jasni SLA ugovori
- Ugovori sa specijaliziranim konzultantskim kućama koje se bave tzv. odgovorom na napad. Takve kuće tipiÄno pružaju specijalizirane usluge kriznog rukovoÄ‘enja incidentom na tehniÄkom nivou, odnosno visoko su specijalizirane pri zaustavljanju napada, otklanjanju Å¡tetne radnje koja blokira pružanje mrežnih usluga i oporavak usluge na poÄetne razine.Pritom je važno reći kako u Republici Hrvatskoj ne postoji niti jedna tvrtka koja bi se ekskluzivno bavila samo ovom djelatnošću – tržiÅ¡te ovakve usluge Äiji korisnici su iskljuÄivo osvijeÅ¡teni korporativni korisnici je jednostavno previÅ¡e malo da bi si tvrtke dozvolile specijalizaciju ove vrste. Stoga neka poduzeća nude odgovor na incidente u svojoj ponudi, no radi se o vrlo dinamiÄnoj grani tehniÄke informacijske sigurnosti i ostavlja se klijentima procjena validiteta takvih ugovora i ponuÄ‘enih usluga poÅ¡to nije jednostavno dobiti komercijalnu ponudu a joÅ¡ je teže obaviti komparaciju
Kada je jednom doÅ¡lo do uspjeÅ¡nog napada, vrlo Äesto je uz tehniÄki odgovor potreban i odgovor koriÅ¡tenjem metoda socijalnog inženjeringa. Vrlo je teÅ¡ko a s praktiÄnog stajaliÅ¡ta ponekad i potpuno nemoguće utvrditi odakle dolazi napad i tko je za njega “kriv”, odnosno tko je inicijator u smislu jedne osobe ili organizacije. Naime, sofisticirane DoS napade koji nisu jednostavni “flooding” moguće je uz neÅ¡to detaljne pripreme pokrenuti na naÄin da je Äak i teoretski gotovo nemoguće otkriti koja osoba fiziÄki stoji iza napada. Stoga je Äesta pojava neadekvatne reakcije onih koji su napadom pogoÄ‘eni a koja Äesto ide u smjeru “otkrivanja i kažnjavanja jednog krivca”. Potrebno se primarno orijentirati na naÄine zaustavljanja napada i spreÄavanja ponavljanja istih napada u budućnosti.
UobiÄajeno je da su investicije u informacijsku infrastrukturu na granici minimalno mogućeg i praktiÄnog umjesto da djeluju razvojno i proaktivno, jer joÅ¡ uvijek postoji svijest o tome kako je ICT iskljuÄivo troÅ¡ak poÅ¡to se u Hrvatskoj danas vrlo rijetko raÄuna povrat na investiciju u ICT sektoru a uprave korporacija posjeduju jako malo praktiÄnog znanja o ulozi i položaju strateÅ¡ke informatiÄke funkcije svodeći je na uslužnu potpornu djelatnost. Primjena ili nekoriÅ¡tenje nekih ili većine navedenih principa zaÅ¡tite mrežnih usluga u svjetlu te Äinjenice spada u domenu procjene odnosno prihvaćanja objektivno postojećeg rizika.
U sluÄaju medijskih kuća koje kao iskljuÄivi komunikacijski medij koriste Internet i raÄunalne mreže, miÅ¡ljenja sam kako je poslovni model u kojemu se prihvaća rizik napada na mrežne sustave ili mu nije posvećena maksimalna pažnja (u praksi se to svodi na investicije i znanje, interno ili konzultantsko) u najmanju ruku manjkav, odnosno nije u skladu s temeljnim pravilima poslovne logike.