Existuje mnoho mýtů o tom, co lze provést pomocí specializovaného softwaru analýzou digitálních médií. Některé z těchto mýtů jsou odvozeny z filmů, jiné pocházejí z obecného nepochopení toho, jak funguje software a hardware. Vzhledem k tomu, že obecní – non-DFIR – vyšetřovatelé mohou být také považováni za běžné osoby, jejich očekávání toho, co vyšetřovatel DFIR dokáže, by mohlo být nerealistické.
Zde je příklad požadavku, který obdržel jeden ze zákazníků společnosti Belkasoft:
Může to znít legračně, ale taková je realita každodenní práce digitálních forenzních expertů.
Dejte nám nějaké skutečné kouzlo
S jakými typy obtíží si digitální forenzní vyšetřovatel může poradit? „Dejte nám nějaké příklady toho, co lze vnímat jako magii,“ zeptal se jeden z novinářů.
Existuje řada triků, které vyšetřovatelům DFIR nepřipadají kouzelné, ale některé z nich vypadají zázračně i pro ty nejzkušenější lidi.
Když už mluvíme o tom prvním, není to kouzlo obnovit smazaná nebo částečně poškozená data z pevného disku (i když se to s rozšířením vestavěného šifrování stává složitějším). Odpovídající techniky zahrnují carving (hledání specifického „podpisu“ na úrovni nezpracovaných dat), analýzu koše, analýzu snímků systému souborů a další. Méně časté, ale někdy je možné obnovit data smazaná na mobilním zařízení. K tomu lze použít analýzu volného seznamu SQLite; někdy lze zbytky uživatelských dat nalézt v různých mezipamětích na mobilním zařízení.
Ačkoli se běžně věří, že speciální policejní jednotky dokážou odblokovat jakékoli mobilní zařízení, neplatí to pro žádnou značku a model. To je pro nová zařízení a verze operačních systémů stále obtížnější. Pro některé z nich však existují určité triky.
Je také možné dešifrovat zašifrovaná data: v závislosti na použité metodě šifrování, síle hesla a dostupných zdrojích. Použití specializovaného hardwaru (jako je Passware’s Decryptum), duhových tabulek a funkcí jako ‚Create keyword dictionary‘ v Belkasoft X může výrazně zlepšit změny a prolomit i silná hesla, jejichž hrubou silou bude obecně trvat miliardy let.
Když už jsme u případů, kdy vyšetřovatelům k obnově dat pomohlo jen štěstí, zmiňme dva případy.
Úplně vyhořelé auto
Auto nevypadá dobře, že? Jako odborník na digitální forenzní analýzu byste slíbili svému kolegovi vyšetřovateli, že obnovíte data z palubního počítače?
V reálném životě to odborník dokázal. Na níže uvedených obrázcích se podívejte na úložná zařízení:
Čistým štěstím byl disk čitelný, i když všechno ostatní bylo spálené. (s laskavým svolením Patricka Ellera)
Prostřelený notebook
Další příběh vyprávěl Deepak Kumar. Jak velká je šance, že tento notebook bude možné analyzovat?
Naštěstí pro vyšetřovatele byl pevný disk v tomto případě neporušený. To stále spadá pod klasifikaci „zázračných“ případů.
Neskutečná magie
Co nelze udělat s digitální forenzní analýzou ani za pomoci vzácné shody okolností zvané „zázrak“?
Z popela jako na úplně první fotografii nelze získat data.
Není možné získat data ze zařízení, pokud na něm nebyly nikdy uložena (ačkoli je to velmi oblíbený požadavek, například „jak získám všechny verze dokumentu Word a všechny editory a jejich odpovídající úpravy“ nebo „jak Vidím všechny výskyty USB zařízení připojeného k počítači spolu se všemi zkopírovanými soubory“ – i když některé z těchto informací lze získat, u obou neexistuje úplný záznam).
Nemůžete vzdáleně získat libovolný počítač nebo mobilní zařízení.
Připojením magické krabičky k libovolnému počítačovému systému se nemůžete přihlásit během několika sekund. I když taková schránka existuje, většina systémů vám po několika pokusech zablokuje uhodnutí hesel.
Budete šokováni, ale je dokonce nemožné přečíst tajný dokument zvětšením odrazu lidské duhovky z monitorovacího videa.
Digitální forenzní software není kouzelná hůlka, bez ohledu na zázraky zobrazované ve filmech. Je však schopen provádět menší magii (z pohledu běžného člověka). Samozřejmě, že tato magie vůbec není magií. Cokoli software DFIR dokáže, je založeno na vědeckém přístupu, matematice a pečlivém programování.
Originální článek najdete zde.