Razmislite dalje od užasne (i pravedno otkazane) televizijske emisije CSI Ciber; digitalna forenzika je ključni aspekt zakona i poslovanja u doba interneta i može da predstavlja korisnu i unosnu karijeru.
Definicija digitalne forenzike
Digitalna forenzika, koja se ponekad naziva i kompjuterska forenzika, je primena naučnih tehnika na digitalne zločine i napade. To je ključni aspekt zakona i poslovanja u doba interneta i može da bude korisna i unosna karijera. Jason Jordaan, glavni forenzičar u DFIRLABS-u, definiše digitalnu forenziku kao „identifikaciju, čuvanje, ispitivanje i analizu digitalnih dokaza, koristeći naučno prihvaćeni i validirani proces, i na kraju predstavljanje tih dokaza na sudu kako bi se odgovorilo na neko pravno pitanje. “
To je prilično dobra definicija, mada treba napomenuti: termin se ponekad koristi da bi se opisala bilo kakva vrsta istraživanja ciber-napada, čak i ako policija ili sudski sistem nisu uključeni. Stručnjaci za digitalnu forenziku rade kako u javnom, tako i u privatnom sektoru. Koledž Champlain, koji ima svoj vlastiti program digitalne forenzike, ima uopšteniji opis: „Digitalni forenzički stručnjaci se pozivaju u akciju kada dođe do kršenja, i rade na identifikaciji haka, utvrđivanju izvora i obnavljanju poremećenih podataka.“
Istorija digitalne forenzike
Službe za sprovođenje zakona bile su donekle spore u shvatanju potrebe da se na računare i visokotehnološku opremu primene forenzičke tehnike. Većinom, sedamdesetih i osamdesetih godina prvi rani digitalni forenzičari su bili ljudi koji su radili u policijskim ili saveznim agencijama za sprovođenje zakona i koji su takođe bili kompjuterski hobisti. Jedna od prvih oblasti koja je privukla pažnju organa za sprovođenje zakona bilo je skladištenje podataka, jer su istražioci dugo radili na tome da zaplene, zadrže i analiziraju dokumentaciju od osumnjičenih; počeli su da shvataju da se veliki deo te dokumentacije više ne nalazi na papiru. Godine 1984. FBI je pokrenuo program za magnetne medije (Magnet Media Program) koji bi se fokusirao na ove digitalne zapise, prvi zvanični program digitalne forenzike u jednoj agenciji za sprovođenje zakona.
U međuvremenu, mnoge tehnike koje se koriste za pronalaženje i identifikaciju hakera dok ulaze u kompjuterske sisteme, razvijene su ad hoc u privatnom sektoru. Opšteprihvaćeno je da je početni trenutak bio 1986. godine, kada je Cliff Stoll, Unixov sistemski administrator u Nacionalnoj laboratoriji Lawrence Berkeley, pokušao da otkrije neslaganje od 0,75 dolara u knjigovodstvenom dnevniku i na kraju došao do nemačkog hakera koji je provaljivao u osetljive sisteme i prodavao podatke KGB-u. Usput, Stoll je napravio ono što je verovatno bila prva zamka (engl. honeypot trap).
Veliki deo specijalizacije i profesionalizacije digitalne forenzike tokom ’90 -ih i ’00-ih nastao je kao reakcija na dve neugodne realnosti: širenje dečje pornografije na internetu, što je dovelo do zaplene ogromnih količina digitalnih dokaza; i ratovi u Avganistanu i Iraku, u kojima su američke trupe često zaplenjivale laptopove i telefone neprijateljskih pobunjenika i morale iz njih da izvuku korisne informacije. Prekretnica je nastupila 2006. godine, kada su izmenjena Pravila o parničnom postupku Sjedinjenih Država da bi se uveo obavezni režim za elektronsko otkrivanje.
Kako se digitalna forenzika koristi u istraživanjima
Postoje brojni procesni modeli za digitalnu forenziku, koji definišu kako forenzički ispitivači treba da postupaju u svojem prikupljanju i tumačenju dokaza. Mada postoje varijante, većina procesa ima četiri osnovna koraka:
- Prikupljanje, u kojem se prikupljaju digitalni dokazi. To često podrazumeva zaplenu fizičke imovine, kao što su računari, telefoni ili čvrsti diskovi; mora se paziti da se podaci ne oštete ili izgube. Mediji za skladištenje mogu u ovoj fazi da se kopiraju ili snime kako bi se original zadržao u izvornom stanju radi reference.
- Ispitivanje, u kojem se koriste različite metode za identifikaciju i izdvajanje podataka. Ovaj korak se može podeliti na pripremu, izdvajanje i identifikaciju. Važne odluke koje treba doneti u ovoj fazi su da li se treba baviti živim sistemom (na primer, uključiti preuzeti laptop) ili mrtvim (na primer, povezati zaplenjeni čvrsti disk na laboratorijski računar). Identifikacija znači utvrđivanje da li su pojedinačni podaci relevantni za konkretan slučaj – posebno kada su u pitanju poternice, informacije koje su ispitivačima dopuštene mogu da se ograniče.
- Analiza, u kojoj se prikupljeni podaci koriste da bi se dokazao (ili opovrgao!) slučaj koji ispitivači grade. Za svaki relevantan element podataka ispitivači će odgovoriti na osnovna pitanja o tome – ko ga je stvorio? ko ga je uređivao? kako je stvoren? kada se sve ovo dogodilo? – i pokušati da utvrde kako se to odnosi na slučaj.
- Izveštavanje, u kojem se podaci i analize spajaju u format koji razumeju laici. Sposobnost kreiranja takvih izveštaja je apsolutno ključna veština za svakog ko je zainteresovan za digitalnu forenziku.
Alati za digitalnu forenziku
Svaki praktičar digitalne forenzike će imati široku paletu alata u svom kompletu. Na jednom kraju spektra imate alatke otvorenog koda za jednu svrhu, kao što je Wireshark ili HashKeeper, besplatan program koji može da ubrza pregled fajlova baze podataka. Na drugom kraju, imate moćne komercijalne softverske platforme sa više funkcija i elegantnim mogućnostima izveštavanja kao što su Encase ili CAINE, čitava Linux distribucija namenjena forenzičkom radu.
Institut Infosec grupiše ove alate u nekoliko kategorija, što vam samo po sebi ukazuje na zadatke koje oni mogu da obave:
- Alati za snimanje diskova i podataka
- Pregledači fajlova
- Alati za analizu fajlova
- Alati za analizu baze Registry
- Alati za internetsku analizu
- Alati za analizu e-pošte
- Alati za analizu mobilnih uređaja
- Alati za forenziku mreže
- Alati forenziku baza podataka
Institut takođe održava odličnu listu popularnih forenzičkih alata, koja se redovno ažurira.
Programi i certifikati digitalne forenzike
Obično praktičari digitalne forenzike potiču iz opšteg informatičkog okruženja, i često su bili iskusni administratori koji su već bili vešti sa mnogim osnovnim alatima koji se koriste u digitalnoj forenzici. Međutim, u skladu sa sve većom specijalizacijom unutar industrije, nekoliko škola sada nudi diplome ili specijalizacije specifične za digitalnu forenziku – dve u standardnom okruženju na kampusu i tri na mreži:
- Univerzitet Purdue ima laboratoriju Cybersecurity and Forensics i nudi magisterij sa specijalnošću sajber forenzike
- Škola za poslovne i pravosudne studije na koledžu Utica nudi diplomu iz oblasti kibernetičke bezbednosti i osiguranja informacija, sa istraživanjem i forenzikom sajber kriminala kao jednom od mogućih specijalizacija
- Koledž Champlain nudi онлајн diplomu iz računarske forenzike
- Koledž za krivično pravo John Jai na gradskom Univerzitetu u Njujorku nudi онлајн magistarske studije iz oblasti digitalne forenzike i sajber bezbednosti
- Univerzitetski koledž Univerziteta Merilend nudi онлајн magistarske studije digitalne forenzike i sajber bezbednosti
Ako imate opštije obrazovanje ili profesionalnu osnovu, ali biste želeli da se vratite u potragu za poslom, možda biste razmislili o certifikatu digitalne forenzike. Business News Daily je pripremio listu pet najvrednijih certifikata; na vrhu njihove liste su SANS-ovi: certifikat za obezbeđivanje globalnih informacija (GIAC), certifikat forenzičkog istraživača i certifikat za certifikovane forenzičke analitičare. Konačno, vredi napomenuti da, kao što je to rekao stručnjak za digitalnu forenziku John Irvine, „kompjuterska forenzika je disciplina šegrtovanja … Zanat zaista učite kada sedite na pravim slučajevima zajedno sa starijim istraživačem.“
Poslovi digitalne forenzike
Poslovi u digitalnoj forenzici obično imaju nazive kao što su „istraživač“, „tehničar“ ili „analitičar“, u zavisnosti od vašeg radnog staža i specijalizacije. Većina poslova u oblasti digitalne forenzike nalazi se u javnom sektoru – u službama za sprovođenje zakona, u državnim ili nacionalnim agencijama, ili u kriminalističkim laboratorijama, mada one mogu da budu privatno vođene i imaju ugovore sa javnim agencijama.
Međutim, javne laboratorije za kibernetski kriminal često su preplavljene – i manje okretne nego što bi mogle biti, zbog birokracije – velike kompanije počinju da uvode vlastite laboratorije, stvarajući još jedan unosan put za profesionalce u digitalnoj forenzici. Od 2017. godine postojalo je šest digitalnih laboratorija u privatnim kompanijama akreditovanih od strane direktora američkog udruženja kriminalističkih laboratorija (American Society of Crime Laboratory Directors), uključujući Target, Walmart i American Express. Kakvu platu može očekivati profesionalni forenzičar? Prema PayScale, prosečan forenzički kompjuterski analitičar zarađuje oko 70.000 dolara godišnje, iako postoji prilično širok raspon koji može ići od oko 45.000 do oko 115.000 dolara.
Karijera digitalnog forenzičara
Pošto je tako, možda ćete odlučiti da je kompjuterska forenzika karijera za vas. I to je fascinantno! Ali možda je bolje da ne prenaglite sa odlukom: kao i svaka karijera u službama za sprovođenje zakona, ona vas može dovesti u kontakt sa nekim od najgorih ljudskih osobina. John Irvine ima mračan blog o tamnijoj strani računarske forenzike. Sećate se kako smo rekli da je veliki deo oblasti računarske forenzike postao profesionalizovan u potrazi za dečjim pornografima i teroristima? Pa, kao što Irvine opisuje, to može da dovede do stvarne štete po istražitelje, jer oni moraju da ispitaju i gledaju mnogo materijala koji nađu. To je otrežnjujuća misao, ali neophodna kada razmišljate o karijeri digitalnog forenzičara.
Izvor: CSO