Forenzika web preglednika

 

Računalni forenzičari su stručnjaci za računala koji sudjeluju u policijskim istragama u kojima se sumnja na uporabu računala u svrhu počinjavanja zločina. U svakoj vrsti forenzičke istrage, pa tako i računalnoj, slijede se određeni koraci i procedure kako bi dokazi otkriveni tijekom istrage bili prihvaćeni na sudu. Forenzika web preglednika je jedno od područja računalne istrage, a uključuje analizu posjećenih stranica, webmail elektroničke pošte i metapodataka, zatim kolačića, preuzetih datoteka, lozinki za posjećivane stranice, pojmova upisanih u tražilice te podataka upisanih u formulare. Različiti preglednici pohranjuju ove informacije na različite načine. U ovom dokumentu su opisani formati pohrane, smještaj datoteka te neki od programa koji se koriste za pregledavanje tih datoteka.

 

 

Forenzika web preglednika je grana računalne forenzike koja se bavi istraživanjem i analizom korisnikovih radnji na računalu koje uključuju korištenje web preglednika. Računalni forenzičari su obrazovani ljudi koji moraju biti upoznati, kako s načinom rada računala, tako i sa zakonima zemlje u kojoj rade. Forenzičar koji ne poznaje zakonske procedure se može naći u situaciji gdje je danima radio na skupljanju dokaza u nekom slučaju da bi mu na kraju sve nalaze odbili na sudu jer nije poštivao propisane procedure (npr. nije obavio analizu na kopiji memorije računala osumnjičenika nego na samom računalu).

Forenzičari koriste profesionalne alate, po vlastitom izboru ili po odredbama organizacije u kojoj su zaposleni. Ti su alati obično skupi i, osim što se mogu koristiti za istraživanje korisnikove web aktivnosti, služe i za mnogo širi spektar mogućnosti (npr. pregledavanje metapodataka raznih datoteka, memorije računala i dr.). U svrhu prikaza mogućnosti analize web aktivnosti, u ovom dokumentu se opisuju alati dostupni široj javnosti, ali zato specijalizirani za pojedine zadatke. Tako alat Pasco mijenja format enigmatske datoteke index.dat u koju preglednik Internet Explorer pohranjuje podatke o posjećenim stranicama, preuzetim datotekama i dr., tako da se datoteka može otvoriti običnim tekstualnim preglednicima. Heksadecimalni uređivači se koriste za direktno pregledavanje podataka zapisanih u memoriju pa se na taj način može pregledati i datoteka index.dat. Pri tome je bitno poznavati strukturu datoteke kako bi se u naizgled čudnim zapisima u memoriji mogli pronaći traženi podaci. Alat Web Historian ima mogućnost prikazivanja posjećenih stranica, preuzetih datoteka, ispunjenih formulara i pohranjenih kolačića za preglednike Mozilla Firefox, Internet Explorer, Google Chrome i Safari. U dokumentu su još opisani i besplatni alati tvrtke NirSoft kojima se može pregledavati povijest posjećenih stranica, preuzete datoteke, kolačići, tražene ključne riječi te lozinke pohranjene u pojedinim preglednicima. Navedene funkcionalnosti ovise o pregledniku, a podržani su Internet Explorer, Mozilla Firefox, Google Chrome i Opera.

Podaci o web aktivnosti pohranjeni su na različite načine ovisno o korištenom pregledniku i operacijskom sustavu na računalu. Internet Explorer pohranjuje sve podatke u jednu datoteku, index.dat, u formatu koji je čitljiv samo njemu, tako da se za njegovo čitanje moraju koristiti pomoćni alati kao što su Pasco, razni heksadecimalni uređivači ili programi usmjereni na analizu web aktivnosti (npr. Web Historian). Mozilla Firefox pohranjuje podatke u niz datoteka (npr. places.sqlite, cookies.sqlite, downloads.sqlite) koje se mogu pregledavati programima za rad sa SQL bazama podataka (npr. SQLite Manager) ili programima za analizu web aktivnosti (npr. Web Historian). Google Chrome također pohranjuje podatke u nekoliko datoteka (npr. History.file, Web Data.file, Login Data.file) koje se također mogu pregledavati programima za rad sa SQL bazama podataka (npr. SQLite Manager) ili programima za analizu web aktivnosti (npr. Web Historian).

Unatoč dostupnim mogućnostima za amaterske forenzičare, ozbiljne probleme (koji bi mogli završiti na sudu) je najbolje prepustiti profesionalcima koji koriste naprednije (i skuplje) komercijalne alate.

Cijeli dokument (u PDF formatu) "Forenzika web preglednika" preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr