Forenzika elektronske pošte

  • Milorad S. Markagić Military academy
Ključne reči: computer forensics||, ||računarska forenzika, digital forensics||, ||digitalna forenzika, Electronic mail||, ||elektronska pošta,

Sažetak


U najopštijem smislu digitalna forenzika može se definisati kao skup metoda za prikupljanje, analizu i prezentaciju digitalnih dokaza koji se mogu pronaći na računarima, serverima, u računarskim mrežama, bazama podataka, mobilnim uređajima i svim drugim elektronskim uređajima na kojima se čuvaju podaci. U ovom radu su opisane metode prikupljanja digitalnih dokaza u elektronskoj pošti i njihova analiza.

Uvod

Elektronska pošta se kao dokazni materijal pojavljuje u velikom broju kako građanskih tako i kriminalnih forenzičkih istraga. Elektronska pošta i elektronska pošta zasnovana na internet serverima  širi se veoma brzo, pa lako i brzo završi i na računaru korisnika kome nije namenjena.

Prvu elektronsku poruku poslao je Ray Tomilson 1971. godine, a deset godina kasnije u kombinaciji sa personalnim računarima i internetom prerasta u globalni način komuniciranja i personalnog i poslovnog. Takođe se koristi i u svrhu zabave, načina razmene podataka, ali predstavlja i nezamenjiv izvor digitalnih dokaza, kada dodje do računarskog incidenta.

Analiza elektronske pošte

Svaka elektronska poruka sastoji se od dva dela: zaglavlja i teksta poruke. Iz zaglavlja je moguće saznati izvorišnu i odredišnu adresu, pošiljaoca i namenjenog primaoca, a telo poruke sadrži tekst poruke.

Ekstenzije dokumenata elektronske pošte

U slučajevima kada je potrebno otkriti samo dokumente potrebne za pregled elektronskih poruka, ili kopirati pojedinačni dokument sačuvan unutar elektronske pošte, moguće je koristiti sistem na istraživanom računaru ili specijalizovani softver kao što je Outlook Extract Pro ili Outlook Export.

Mnogo ispravniji, sigurniji i jednostavniji način je korišćenje forenzičkih alata kao što su EnCase ili FTK, sa ugrađenim pregledačima koji omogućavaju pregled i snimanje sadržaja baze podataka kao i njihovo kopiranje na druge medije za dalju analizu. Forenzički alati automatizuju proces skidanja i kopiranja podataka, pa ih je jednostavnije analizirati i generisati izveštaj.

Analiza elektronske pošte zasnovane na internet serverima

Za personalnu komunikaciju često  se koriste Web servisi za elektronsku poštu: Google, Yahoo, Hotmail, gmail.... Ovi se servisi koriste bez upotrebe softvera klijenata elektronske pošte i sačinjavaju klijent-server sistem. Web mail sistem predaje elektronsku poruku koristeći SMTP protokol i koristeći POP ili IMAP protokole. Web pošta se ne čuva se na lokalnom računaru, osim ako to korisnik izričito ne zahteva, već ista ostaje memorisana na serveru.

Pristup nalogu elektronske pošte na serveru ili prikupljanje podataka o korisničkom nalogu od strane pružaoca usluga umnogome smanjuje količinu posla forenzičkom istražiocu. Ako pristup nije dozvoljen, do web mail poruka može se doći pregledom radne i keš memorije. Kada korisnik proverava poruke, ili sastavlja novu, operativni sistem sačuva podatke sa ekrana na hard disku, pogotovo ako korisniku treba više  vreme da sastavi poruku.

Privremeni dokumenti

Operativni sistemi privremene dokumente kreiraju za aplikacije koje šalju i primaju podatke preko mreže. Ti se podaci prvo skladište u radnoj memoriji, a kada se ista popuni, operativni sistem pomera podatke niže na listu prioriteta podataka koji su potrebni aplikacijama i zapisuje ih na tvrdi disk. Ne postoji posebno i jedinstveno područje gde se čuvaju privremeni dokumenti jer neke aplikacije stvaraju dodatne privremene datoteke uz one što ih stvara operativni sistem.

Aplikacije koje nemaju mogućnost privremenog čuvanja podataka, prepuštaju operativnom sistemu da ih memoriše koristeći swap datoteke ili virtualnu memoriju. Kada aplikaciji zatreba privremeno sačuvani podatak, operativni sistem ga šalje aplikaciji i briše sa hard diska. Iako se swap datoteke brišu, do podataka je ipak moguće doći, jer još uvek fizički postoje na disku

Instant poruke

U većim organizacijama komunikacija sa korisnicima se češće obavlja putem instant poruka. Radnici u okviru firme međusobno razgovaraju instant porukama, a veoma se često koriste i za lične međusobne razgovore. Osobe međusobno razmenjuju poruke koje putuju preko servera, a princip rada skoro je identičan kao princip rada elektronske pošte, sa osnovnom razlikom, da se odvija u realnom vremenu.

Zaključak

Današnja tehnologija omogućava promenu i manipulaciju digitalnim medijem na načine koji su pre nekoliko godina bili nemogući. Buduća tehnologija gotovo će sigurno omogućiti manipulacije digitalnih medija na način koji se danas čini nemogućim. Kako tehnologija nastavlja svoju evoluciju, biće sve važnije da  digitalna forenzika održi korak sa tim razvojem. Kako se razvijaju tehnike i metode za otkrivanje računarskih prevara, razvijaće se i nove sofisticiranije metode izrade falsifikata koje će biti teže otkriti.

 

Biografija autora

Milorad S. Markagić, Military academy

Nastavnik u Katedri telekomunikacija i informatike.

Stalni sudski veštak za oblast informacione tehnologije.

Specijalista upravljanja kvalitetom kriptografskih sistema.

Ovlašćeni sertifikator po standardu ISO 9001:2005

Reference

Caloyannides, M.A., 2009, "Forensics Is So Yesterday", IEEE Security & Privacy, Volume 7, Number 2,

Carrier, B.D., 2009. "Digital Forensics Works", IEEE Security & Privacy, Volume 7, Number 2,

Nolan, R., Branson, J., Wait, C., O'Sullivan, C., 2005. "First Responders Guide to Computer Forensics", CERT,

Swaminathan, A., Wu, M., Ray Liu, K.J. 2009. "Component Forensics", IEEE Signal Processing Magazine, Volume 26, Number 2,

Volonino, L., Anzaldua, R., 2008. "Computer Forensics", Wiley Publishing Inc.

Objavljeno
2013/02/16
Rubrika
Stručni radovi