Srpski / Arhiva brojeva / OSMI BROJ / mr IGOR VUKOVIĆ: Digitalna forenzika mobilnih telefona za potrebe krivičnog postupka
SADRŽAJ
Mobilni telefon predstavlja multifunkcionalni telekomunikacioni uređaj koji je, kao nijedan drugi, postao neodvojivi deo svakodnevnice. Mobilni telefoni su široko prihvaćeni i korisnici ih svuda nose sa sobom, poseduju čak po nekoliko uređaja ili korisničkih brojeva, a posebno je zanimljivo što, bez obzira na nivo tehničkog obrazovanja i aspiracija prema novim tehničkim dostignućima, svaki korisnik nastoji da ovlada sve većim brojem funkcija, ali i da poseduje uređaje sa novim ili naprednijim mogućnostima.
S druge strane, mobilni telefoni danas mogu da čuvaju veliku količinu podataka vezanih za komunikacije (radi se već o hiljadama SMS poruka i poruka elektronske pošte), mogu se upotrebljavati i za bežični pristup Internetu (GPRS, EDGE, 3G, Wi-Fi), multifunkcionalnost telefona već dostiže mogućnosti personalnih računara, ali ide i korak dalje, jer integriše i uređaje kao što su fotoaparati, video kamere, snimači zvuka i uređaji za GPS navigaciju, i sve to mobilni telefon čini bogatim izvorom različitih podataka i informacija koje se ne mogu sagledati bez primene posebnih alata. Takve karakteristike mobilnih telefona i osobine njihovih korisnika naglašavaju značaj prikupljanja podataka koji se na njima nalaze za potrebe rada državnih bezbednosnih struktura, vođenja krivičnog postupka, ali i obezbeđivanja korporativne zaštite.
U ovom radu je dat pregled mogućnosti mobilnih telefona kao izvora digitalnih dokaza i drugih informacija, kao i načina, alata i procedura prikupljanja podataka sa njih, i razmatraju se specifičnosti vezane za forenziku mobilnih telefona u krivičnom postupku, pre svega sa stanovišta digitalnog dokaza kao suštinskog rezultata forenzičkog rada, kao i osobenosti ove vrste digitalne forenzike u odnosu na forenziku računara koja je već u značajnoj meri standardizovana.
ABSTRACT
Mobile phone is a multifunctional telecommunications device which has, unlike any other device, become an inseparable part of everyday life. Mobile phones are widely used and users carry them everywhere. Some users even possess several devices and user numbers, but it is particularly interesting that, regardless of the level of technical education and aspirations towards new technical developments, each user tries to master an increasing number of functions and also to own devices with new or advanced functions.
On the other hand, mobile phones can now store a large amount of data related to communications (like thousands of text messages and e-mails), they can be used for wireless Internet access (GPRS, EDGE, 3G, Wi-Fi). Mobile phone, with its multifunctional properties, already reaches the levels of functionality of personal computers, and it goes a step further because it integrates devices such as cameras, video cameras, sound recorders and GPS navigation units. All this makes a mobile phone a rich source of data and information which cannot be acquired without the use of special tools. Such characteristics of mobile phones and their users emphasize the importance of data collection for the needs of law enforcement agencies, criminal proceedings and corporate protection.
This paper reviews the possibilities of mobile phones as a source of digital evidence and other information. It also reviews methods, tools and procedures of data collection stored on them. Specific circumstances related to mobile phone forensics in criminal proceedings are considered primarily from the standpoint of digital evidence being an essential result of forensic work. Peculiarities of this type of digital forensics in relation to the already greatly standardized computer forensics are also considered.
1. UVOD
Masovna upotreba mobilnih telefona, zasnovana na njihovoj funkcionalnosti, jednostavnom korišćenju i pristupačnosti, kako u pogledu toga da ih korisnik uvek može nositi sa sobom, tako i u pogledu cena čiji široki opseg omogućava masovno korišćenje, dovela je do toga da postanu izuzetno zanimljivi za učesnike u krivičnom postupku. Mobilni telefoni mogu biti sredstvo za izvršenje krivičnog dela (na primer, snimanje dečije pornografije ili zlostavljanja), mogu biti objekat izvršenja (bilo da su ukradeni ili zaraženi zlonamernim softverom) i mogu sadržati dokaze vezane za određeno krivično delo. Oni se sa izvršiocem krivičnog dela nalaze na licu mesta, u toku pripreme izvršenja, pa i dok je u bekstvu (uglavnom različiti uređaji u svakoj fazi). Dokazi koje sadrže su raznovrsni i brojni, a sačuvani su u digitalnom formatu.
Još 2003. godine Kris Samers je u članku pod naslovom Mobile phones - the new fingerprints napisanom za BBC News objasnio "da su u proteklih pet godina desetine ubica (u Velikoj Britaniji) bile osuđene delimično zahvaljujući dokazima vezanim za njihove mobilne telefone ili telefone žrtava"[1], ističući na taj način značaj digitalnih dokaza još pre nego što je bilo koja od danas renomiranih firmi uopšte počela da proizvodi forenzičke alate za mobilne telefone. U Americi je, takođe 2006. godine, zabeleženo da je 80% sudskih slučajeva u to vreme imalo neku vrstu digitalnih dokaza povezanih sa njima [2]. U Srbiji je porasla svest o značaju digitalnih dokaza, mobilni telefoni se rutinski oduzimaju prilikom pretresa, a forenzika se traži pre svega u pretkrivičnom i prethodnom krivičnom postupku, ali neretko i u glavnom krivičnom postupku. Što se same forenzike mobilnih telefona tiče, ona u srpskoj policiji sistematizovano funkcioniše tek četiri i po godine, a rezultat od preko 3000 forenzički obrađenih telefona (i SIM kartica) je značajan čak i za države mnogo veće od Srbije, mada srazmeran stopi kriminala.
2. DIGITALNI DOKAZI
Da bi se rasvetlilo krivično delo i otkrio njegov počinilac, moraju se prikupiti i obezbediti relevantni dokazi, koji se kasnije u krivičnom postupku izvode i ocenjuju od strane suda, kako bi se stvorilo uverenje o istinitosti činjenica koje se dokazuju, a važne su za krivični predmet [3]. Digitalni dokazi mogu imati posredne ili neposredne relacije prema bilo kom krivičnom delu iz Krivičnog zakonika, a oni pronađeni na mobilnim telefonima, uz podatke dobijene od operatora mobilne telefonije, mogu da ukažu na detalje kao što su: vreme kada se neki događaj desio, gde su se okrivljeni ili oštećeni nalazili i sa kim su komunicirali; sadržaji komunikacija SMS i MMS servisima, koji mogu da ukažu na to kako je krivično delo planirano ili izvršeno; imena ili nadimci pronađeni u imeniku mobilnog telefona, pretplatnički brojevi koji su im dodeljeni, kao i adrese elektronske pošte, a koji mogu da identifikuju lica, posebno kada se radi o organizovanoj grupi.
Pojam dokaza se po pravilu ne definiše u zakonskim aktima, a to je slučaj i sa domaćim zakonodavstvom, već se uzima kao poznat pojam, a sama definicija se prepušta pravnoj teoriji i tumačenju. Ipak, definisanje digitalnog dokaza ima praktičan značaj u cilju sužavanja mnoštva datoteka i informacija koje se mogu dobiti, i to samo iz jednog izvora, na one koje mogu da se upotrebe kao dokazi.
Digitalni dokaz može se definisati kao bilo koji podatak sačuvan ili prenet korišćenjem računara, a kojim se potvrđuju ili opovrgavaju teorije o načinu izvršenja krivičnog dela ili označavaju kritični elementi dela kao što su namera ili alibi [4], ali i kao skup podataka koji mogu da dokažu da je krivično delo počinjeno ili da povežu zločin i žrtvu ili zločin i počinioca [5]. Definicija predložena od strane Radne grupe za standardizaciju digitalnih dokaza (Scientific Working Group on Digital Evidence - SWGDE) je da je to bilo koja informacija koja ima dokazujuću vrednost i koja je pohranjena ili preneta u digitalnoj formi. Međunarodna organizacija za računarske dokaze (International Organization of Computer Evidence - IOCE) definiše digitalne dokaze kao informacije sačuvane ili prenete u binarnom formatu na koje se može pozvati na sudu.
Kod navedenih definicija karakteristična su dva momenta: digitalni format podataka, odnosno da se radi o podacima sačuvanim ili prenetim pomoću računara (mobilni telefoni predstavljaju sisteme sa uže određenom namenom koji sadrže integrisani računar), i dokazna vrednost, odnosno kredibilitet.
Dokazni kredibilitet je u direktnoj vezi sa Zakonikom o krivičnom postupku (u daljem tekstu ZKP) koji, pre svega, određuje proceduralno ispravne načine prikupljanja dokaza. Važno je napomenuti da se dokazni kredibilitet javlja u dva oblika: načelnom, u smislu opštih zakonskih rešenja, i konkretnom, u odnosu na ocenu suda vezanu za određeni krivični slučaj. Dokazni kredibilitet digitalnih dokaza će uglavnom biti u konkretnom obliku, pošto ZKP ne propisuje postupanje u procesu dolaženja do digitalnih dokaza (osim postupaka prilikom privremenog oduzimanja predmeta), što iziskuje tehničku opravdanost, kao i zasnovanost na forenzičkim principima, svih postupaka prilikom prikupljanja ove vrste dokaza.
Prikupljanjem i obradom digitalnih dokaza prirodno bi trebalo da se bavi odeljenje kriminalističke tehnike, jer ono proučava i primenjuje metode i sredstva iz oblasti prirodnih i tehničkih nauka u cilju otkrivanja i razjašnjavanja krivičnih dela, otkrivanja počinilaca i obezbeđivanja dokaza [6]. Iako referentne obrazovne institucije u oblasti pravnih nauka nisu uvrstile prikupljanje digitalnih dokaza sa mobilnih telefona ili računara u svoje kriminalističke udžbenike, ipak treba istaći da postoje načela kriminalistike koja su univerzalna i po kojima se mora postupati u radu. Načela kriminalistike su: načelo zakonitosti, načelo metodičnosti, načelo operativnosti i brzine, načelo temeljitosti i načelo čuvanja službene tajne.
3. MOBILNI TELEFONI KAO IZVOR DIGITALNIH DOKAZA
Mobilni telefoni su laki i kompaktni komunikacioni uređaji koji imaju mogućnost obavljanja niza funkcija. U osnovi se sastoje od mikroprocesora, stalne memorije (ROM) u kojoj je smešten operativni sistem, privremene memorije (RAM) neophodne za rad aplikacija, radio-modula, procesora digitalnog signala, mikrofona i zvučnika, različitih tastera, interfejsa i displeja. Uz manje razlike između pojedinih modela, većina telefona podržava govornu komunikaciju, razmenu tekstualnih poruka i osnovne aplikacije za organizovanje ličnih podataka (PIM – Personal Information Management), koje uključuju telefonske imenike i kalendare.
Konstantan razvoj je uvodio sve više novih mogućnosti i tehničkih unapređenja. Pored neprestanog povećavanja kapaciteta interne fleš memorije, integrisani su i čitači memorijskih kartica (na primer čitači kartica tipa Mini Secure Digital – MiniSD i MultiMedia Card – MMC), čime je omogućeno skladištenje sve veće količine raznovrsnih podataka (kapaciteti obe vrste memorija već se isključivo izražavaju u gigabajtima). Mobilni telefoni postaju spoj više uređaja poput ličnih organizatora (PDA), uređaja za globalno pozicioniranje (GPS), fotoaparata, video kamera i multimedijalnih reproduktora. Različiti bežični interfejsi, od već prevaziđenih infracrvenih (npr. IrDA) do sada aktuelnih blututa (Bluetooth) i WiFi-a pružaju mogućnost povezivanja telefona, kako međusobnog tako i sa računarima, i razmene velike količine podataka. Napredak mobilnih telefona doneo je mogućnost upotrebe servisa multimedijalnih poruka (MMS), povezivanje na Internet, što pored pretrage različitih sadržaja podrazumeva i upotrebu elektronske pošte.
Kad je reč o softveru, pametni telefoni (smartphones) su napravili pravu revoluciju omogućivši instaliranje i korišćenje velikog broja različitih aplikacija (repozitorijum za operativni sistem Android sadrži više od 260.000 aplikacija [7], a App Store više od 500.000 aplikacija za iPhone telefone [8]). Uz mogućnost obavljanja više poslova u isto vreme (multitasking), funkcionalnost mobilnih telefona dostigla je nižu klasu računara. Standardni softver najrasprostranjenijih operativnih sistema za pametne telefone, kao što su Android, Symbian, iOS, RIM (Research In Motion), Bada i Microsoft [9], nude aplikacije za pregledanje datoteka paketa Microsoft Office i dokumenata u PDF formatu, aplikacije za mape i navigaciju, Internet pretraživače i brojne aplikacije za rad sa najpopularnijim Internet servisima i društvenim mrežama.
Instaliranjem aplikacija za multimedijalnu komunikaciju preko Interneta (kao što su Skype ili neki od instant mesindžera), telefon se može koristiti za pozivanje ili slanje poruka i bez korišćenja GSM mreže na mestima gde postoje pristupne tačke za bežični Internet.
Sve navedeno ukazuje na to da mobilni telefoni imaju raznovrsne mogućnosti kreiranja, preuzimanja i razmene velikog broja različitih datoteka i informacija potrebnih ili interesantnih korisniku, što ih upravo čini vrlo zanimljivim za forenziku i krivični postupak. Neke od informacija koje se mogu dobiti sa mobilnih telefona i koristiti kao dokazi su [10]:
·sačuvane SMS i MMS poruke i poruke elektronske pošte, sa podacima o pošiljaocu, odnosno primaocu i temporalnim podacima;
·podaci o podešavanju parametara (podešenost vremenske zone je posebno zanimljiva jer, ukoliko nije sinhronizovana sa zonom na forenzičkom računaru, može da utiče na pogrešno prikazivanje vremena vezanog za metapodatke datoteka);
·sačuvane fotografije, audio i video zapisi (posebno zanimljivi su oni snimljeni samim telefonom);
·sačuvane datoteke sa računara i one kreirane aplikacijama sa telefona;
·datoteke instaliranih aplikacija;
·podaci iz kalendara, telefonskih imenika i drugih PIM aplikacija;
·podešavanja vezana za Internet komunikaciju i podaci dobijeni korišćenjem telefona u ovu svrhu, poput istorije aktivnosti (History), omiljenih stranica (Favorites ili Bookmarks) i samih Internet stranica, odnosno fragmenata kada su u pitanju dinamičke stranice.
Memorijske kartice su formatirane FAT (File Allocation Table) sistemom datoteka i najčešće se mogu izvaditi iz telefona, kod nekih modela i bez skidanja poklopca baterije i same baterije, i na njih mogu da se primene sve raspoložive forenzičke metode i alati karakteristični za računare, što značajno olakšava akviziciju podataka i analizu.
Iako se većina podataka na aktuelnim modelima mobilnih telefona smešta na internu fleš memoriju uređaja, korisnici se zbog potrebe da menjaju telefone (često da bi prikrili trag i otežali rad organima otkrivanja i gonjenja) odlučuju da određene podatke čuvaju na SIM (Subscriber Identity Module) kartici. Pored informacija o pretplatniku i ključeva za enkripciju neophodnih za komunikaciju u GSM mreži, SIM kartice sadrže i sledeće podatke od značaja za forenziku mobilnih telefona:
·serijski broj kartice i podatke o mobilnom operatoru (na primer logo ili naziv) koji su najčešće odštampani na samoj kartici. To su podaci na osnovu kojih se od operatora mogu tražiti informacije važne za dalju istragu, poput podataka o pretplatniku, ukoliko je registrovan (što je najčešći slučaj kada se radi o postpejd korisniku), ali i pretplatnički broj kartice koji je dodeljen tom serijskom broju na osnovu koga se mogu tražiti listinzi komunikacija, PIN ili PUK kodovi i drugi podaci iz registara operatora;
·Location Area Identifier (LAI) uz pomoć koga može da se utvrdi (uz asistenciju operatora) oblast u kojoj se korisnik nalazio u vreme kada je uređaj poslednji put radio;
·primljene tekstualne poruke, kojih može da bude 20 do 30 [11]. Postoji i mogućnost ponovnog pristupa određenom broju obrisanih poruka, jer se prilikom brisanja poruke samo bitovima statusnog bajta dodeljuje vrednost 0, dok sadržaj ostaje netaknut dok ga ne istisne nova poruka. Nakon istiskivanja od strane nove poruke, delovi sadržaja stare poruke ne ostaju čak ni u slack prostoru, jer se on ispunjava heksadecimalnom vrednošću FF;
·listu kontakata (novije verzije kartica mogu da sačuvaju do 250 kontakata);
·listu poslednjih biranih brojeva.
U postupku forenzike mobilnih telefona mora se uzeti u obzir GSM mreža u kojoj se beleže podaci o korisniku, SIM kartici i aktivnostima telefona. GSM mreža sadrži informacije koje se mogu koristiti kao dokazi, a najvrednije se nalaze u zapisima podataka o pozivima (CDR – Call Data Record), datotekama mobilnog operatora koje sadrže podatke o svim komunikacijama u mreži [12]. To znači da, pored podataka o pretplatniku, servisima koji su mu na raspolaganju i SIM kartici (brojevi MSISDN, IMSI, ICCID, PIN i PUK), iz CDR datoteka se mogu izdvojiti informacije o datumu, vremenu, trajanju i vrsti bilo koje komunikacije, zatim o uređaju u kome se nalazila SIM kartica, kao i identifikacija ćelije preko koje je poziv ostvaren, što može da se iskoristi za lociranje korisnika. Određeni podaci iz sistema GSM mreže koji se koriste samo radi uspostavljanja i održavanja komunikacije (drugim rečima, podaci koji nisu bitni za naplatu, što utiče na njihovo relativno kratko čuvanje), poput podataka u HLR (Home Location Register) bazi podataka, mogu u određenim trenucima biti od koristi. Primera radi, ukoliko korisnik ne isključi telefon već mu se isprazni baterija ili dođe do prekida neke druge vrste, postojaće podatak u kom rejonu se telefon nalazio u momentu gašenja, što može biti od važnosti prilikom istraga o nestalim osobama [12].
4. FORENZIKA MOBILNIH TELEFONA
Kada se kaže digitalna forenzika ili forenzika računara, odnosno mobilnih telefona, stiče se utisak da je to opštepoznati pojam i da se shodno tome često i koristi, zbog čega je taj termin izabran i u ovom tekstu, iako ni u stranoj literaturi ne postoji potpuni konsenzus o nazivu ove naučne discipline (pa se tako koriste termini computer forensics, computer analysis, computer examination, digital discovery i digital investigation), a domaća literatura ne nudi alternativu (mnogo je stranih termina u kriminalistici poput balistike, daktiloskopije i drugih, pa ne bi čudilo da se neki od navedenih sinonima iz engleskog formalno prihvati i kod nas). Nekada se upotrebljava termin veštačenje, što je u suštini pogrešno, jer nije svaka forenzička obrada telefona ili računara veštačenje, a karakteristično je da se za prikupljene digitalne dokaze može angažovati više veštaka iz različitih struka, pa i iz informatičke ili telekomunikacione.
Pod digitalnom forenzikom smatra se korišćenje naučno razvijenih i dokazanih metoda za prezervaciju, prikupljanje, validaciju, identifikaciju, analizu, interpretaciju, dokumentaciju i prezentaciju digitalnih dokaza dobijenih iz izvora kao što su hard disk računara ili memorija mobilnog telefona, a radi lakše i naprednije rekonstrukcije događaja vezanih za izvršenje krivičnog dela [13]. Ova definicija navodi konkretne korake koje je potrebno preduzeti da bi se prikupljeni podaci mogli koristiti kao digitalni dokazi, naravno uz poštovanje načela kriminalistike. Forenzika mobilnih telefona može se definisati kao naučna disciplina koja se bavi pribavljanjem digitalnih dokaza iz memorija mobilnih uređaja i SIM kartica u forenzičkim uslovima uz korišćenje prihvaćenih metoda [10].
Od svih faza forenzike mobilnih telefona koje su navedene u definiciji digitalne forenzike, akvizicija ili prikupljanje digitalnih dokaza predstavlja, u kontekstu svega do sada navedenog, vitalnu fazu, a sa tehničke strane pravi suštinsku razliku između forenzike mobilnih telefona i forenzike računara.
4.1. Metode akvizicije podataka
Postupak akvizicije podređuje se očuvanju integriteta podataka i shodno tome se prilikom njegovog sprovođenja moraju poštovati određeni principi [14]:
·akcije koje se preduzimaju ne smeju menjati podatke sadržane na mobilnom telefonu ili na mediju za skladištenje (memorijska kartica);
·lica koja pristupaju originalnim podacima moraju biti kompetentna za to i sposobna da objasne akcije koje preduzimaju;
·neophodno je precizno dokumentovati svaki korak u radu;
·lice koje vodi istragu ima odgovornost da obezbedi da se principi poštuju i da su u skladu sa važećim zakonima.
U praksi se nailazi na problem pri pokušaju poštovanja prvog principa: da bi se podaci prikupili sa mobilnog telefona, on mora da bude aktivan, a uključivanje uređaja ili njegovo povezivanje sa računarom će najverovatnije promeniti određene podatke. Ukoliko je menjanje podataka neizbežno, treba da bude u što manjoj meri [15] .
Pored interne fleš memorije, mobilni telefoni poseduju i druge vrste memorija, poput memorijskih i SIM kartica, čija forenzika se može vršiti nezavisno. Zbog toga, kada se govori o akviziciji podataka sa mobilnih telefona, pre svega se misli na prikupljanje podataka sa memorije samog uređaja.
Razlikujemo dve vrste pristupa akviziciji podataka sa mobilnih telefona[16] :
• akvizicija na logičkom nivou je prikupljanje podataka sa memorije mobilnog telefona korišćenjem sistema datoteka, odnosno operativnog sistema telefona;
• akvizicija na fizičkom nivou predstavlja kopiranje celokupne memorije, bit po bit, što omogućava prikupljanje i podataka iz prostora koji nije lociran od strane operativnog sistema, odnosno oporavak obrisanih podataka.
Navedeni pristupi se primenjuju primenom različitih metoda akvizicije podataka sa mobilnih telefona.
4.1.1. Manuelni pregled mobilnih telefona
Manuelni pregled mobilnih telefona predstavlja jednostavan, ali vrlo naporan i vremenski zahtevan metod akvizicije podataka. Radi se o pristupu akviziciji na logičkom nivou korišćenjem aplikacija mobilnog telefona, uz pomoć kojih lice koje prikuplja digitalne dokaze ostvaruje uvid u različite sadržaje, pri čemu podatke upisuje u izveštaj bez ikakve automatizacije procesa.
Da bi se na ovaj način prikupljali dokazi, potrebno je poznavati svaki telefon sa kojim se radi, da bi se broj pogrešnih koraka sveo na minimum (pre svega se misli na korake koji bi vršili promene na telefonu). Zbog toga SMS poruke, koje su vrlo zanimljive za forenzičku analizu, ujedno predstavljaju izuzetno zahtevan segment manuelne akvizicije, jer se u izveštaj mora uneti ceo nepromenjen sadržaj svake poruke. Pošto se, zbog prirode savremenog organizovanog kriminala, često od stranih državljana privremeno oduzimaju mobilni telefoni koji sadrže veliki broj poruka na maternjem jeziku vlasnika, proces akvizicije se dodatno prolongira.
Aplikacije na telefonima ne teže sistematičnom prikazu svih podataka koji bi bili zanimljivi forenzičarima, pa se najčešće troši dosta vremena na pretraživanje različitih menija i podmenija. Primer opet mogu biti SMS poruke, do čijih se detalja vezanih za samu komunikaciju, kao što su datum, vreme i pretplatnički broj pošiljaoca, dolazi putem podmenija, jer ekran koji prikazuje sadržaj poruke najčešće prikazuje samo naziv iz telefonskog imenika).
Greške se ne smeju dozvoliti, pa se maksimalna energija ulaže da bi se očuvala koncentracija. Upravo zbog njegovih gorenavedenih karakteristika, manuelnom pregledu se pristupa samo ako se traži određeni digitalni dokaz na uređaju [17], ili ako ne postoji drugi način da se pristupi mobilnom telefonu i prikupe dokazi. Poseban izazov su jeftini, a novi modeli mobilnih telefona koje prodaju operatori, koji često nemaju nijedan interfejs za komunikaciju sa uređajem, ali imaju velike kapacitete za skladištenje SMS poruka. Eventualne promene koje mogu nastati (na primer, primanje poziva i SMS poruka) usled potrebe da u toku manuelne akvizicije uređaj bude uključen sprečavaju se korišćenjem Faradejevog kaveza (najčešće u obliku specijalnih kesa koje blokiraju električno polje) i kloniranjem SIM kartica (na praznu karticu snime se ICCID i IMSIbrojevi čime se omogućava rad telefona, ali ne i pristup mobilnoj mreži).
4.1.2. Akvizicija putem konekcionih servisa
Akvizicija putem konekcionih servisa predstavlja trenutno najzastupljeniju metodu, na kojoj su bazirani forenzički alati koji koriste protokole za slanje komandi i prijem podataka za komunikaciju sa servisima. Radi se takođe o akviziciji na logičkom nivou, pri čemu se koriste bilo otvoreni protokoli [18] kao što su AT Command Set, SyncML ili OBEX, koji su već zastareli, ili fabrički protokoli poput Nokia FBUS [19]. Postoje i razvojni alati [20] koji programerima omogućavaju kreiranje aplikacija koje koriste servise mobilnih telefona bez implementacije osnovnih protokola.
Akvizicija preko konekcionih servisa vrši se pomoću dve vrste alata. Najčešći se koriste alati samih proizvođača mobilnih telefona ili nezavisnih programera, koji omogućavaju prikupljanje određenog skupa podataka, a namenjeni su pre svega sinhronizaciji računara i mobilnog telefona ili pravljenju rezervnih kopija, a ne forenzici. Česta posledica nepažnje pri korišćenju ovakvih alata je ozbiljno narušavanja očuvanosti digitalnih dokaza, a dobijeni podaci su uglavnom u formi neupotrebljivoj za kreiranje izveštaja (česti su bili problemi sa Nokia PC Suite (za različite modele ovog proizvođača), koji SMS poruke prikazuje tabelarno, ali ne dozvoljava kopiranje podataka, niti nudi bilo kakav eksport).
U drugu vrstu forenzičkih alata spadaju:
·MicroSystemation XRY;
·Logicube CellDEK;
·Cellebrite Universal Forensics Extraction Device (UFED);
·Oxygen Phone Manager – Forensic Edition;
·Paraben Device Seizure.
Navedeni alati koriste iste protokole kao i neforenzički alati proizvođača, ali ne implementiraju komande koje eksplicitno modifikuju sadržaj memorije mobilnog telefona. Međutim, to ne garantuje da akcije ovih alata neće modifikovati sadržaj telefona [21], pošto komanda, iako samo zahteva podatke, može da prouzrokuje da operativni sistem promeni upravo neki od zahtevanih podataka.
4.1.3. Konekcioni agenti
Konekcioni agenti su mali programi (na primer, konekcioni agent forenzičkog alata XRY instaliran na telefonu Nokia N95 zauzima svega 34 kB) koji se smeštaju na ciljni uređaj da bi obezbedili konekciju i razmenu podataka između telefona i forenzičkog alata. Ovakav pristup koristi klijent-server arhitekturu sa agentom u ulozi servera, bez koga alat ne bi mogao da dođe do podataka iz memorije mobilnog telefona. Pošto agent igra ulogu konekcionog servisa, akvizicija podataka je u suštini slična prethodno opisanoj. Metoda se često koristi kod pametnih telefona, a glavni problem je što, kolikogod njegov softver bio mali, agent mora biti smešten u memoriju, čime se njen sadržaj menja.
4.1.4. Direktan pristup memoriji
Direktan pristup memoriji mobilnog telefona je najviše usklađen sa forenzičkim principima, ali predstavlja i najzahtevniju [11] metodu akvizicije podataka. Ova metoda prikuplja podatke na fizičkom nivou i omogućava pravljenje forenzičke kopije cele memorije mobilnog telefona, bez obzira na to koliki memorijski prostor je zauzet. Direktan pristup memoriji omogućava oporavak obrisanih ili delimično istisnutih unosa, kao i zaobilaženje bezbednosnih mera koje bi inače onemogućile pristup podacima na logičkom nivou i pred kojima su ostale metode akvizicije nemoćne bez intervencija čiji je uticaj na očuvanost digitalnih dokaza neizvestan. Još jedna prednost direktnog pristupa je njegova nezavisnost od toga da li će operativni sistem mobilnog telefona obezbediti ispravne rezultate akvizicije, što nije slučaj sa ostalim metodama.
Mogu se primeniti tri metode direktnog pristupa [16]:
·uklanjanje memorijskog čipa sa štampane ploče mobilnog telefona i čitanje njegovog sadržaja (ovo je za krivični postupak možda isuviše rizična procedura, jer čip može lako da bude uništen temperaturom koja se koristi za njegovo odvajanje od ploče, a samim tim i potencijalni digitalni dokazi);
·upotreba porta za JTAG test (Joint Test Action Group, standardizovana procedura za testiranje interkonekcija na štampanoj ploči i podblokova unutar integrisanog kola [22]) radi pravljenja kompletne forenzičke kopije sadržaja promenljive i nepromenljive memorije telefona. Nedostatak je što je na novijim modelima sve teže naći port, odnosno doći do njega, pošto ga proizvođači često kriju [16];
·upotreba alata za flešovanje (flasher tools) namenjenih za programiranje memorije uređaja (EEPROM ili fleš memorije), ili za otkrivanje grešaka i dijagnostiku, za šta ih proizvođači često koriste. Problem kod primene ove vrste alata je što u određenim slučajevima mogu da pročitaju samo deo memorije, a uz to svaki proizvođač ima svoj, drugačiji, interfejs za pristup, pa je nemoguće postići sveobuhvatnu primenljivost.[16].
Primena bilo koje od tri navedene metode direktnog pristupa zahteva visok nivo tehničke obučenosti i znanja, kao i laboratorijske uslove za rad. Najveći nedostatak u odnosu na ostale metode je što se posao ne završava akvizicijom, jer je neophodno analizirati sirove podatke i iz njih izdvojiti smislene i upotrebljive informacije, odnosno dokaze, koji će moći da budu prezentovani u razumljivoj formi.
4.1.5. Prikupljanje podataka iz GSM mreže
Telefon radi u okviru GSM mreže [23], te se svi podaci koje sistem beleži mogu se koristiti u forenzičkoj analizi telefona. Na ovaj način se, pre svega, mogu saznati detaljni podaci o ostvarenim komunikacijama uređaja za duži vremenski period, a koji su pri tom mnogo pouzdaniji nego oni koji se čuvaju na samom telefonu, pa se često ova metoda akvizicije koristi za validaciju podataka prikupljenih nekom drugom metodom.
Može se zaključiti da ne postoji idealan metod akvizicije podataka, već mora da se napravi kompromis između efektivnosti i efikasnosti, odnosno da se na osnovu operativnih podataka odredi prioritet i izabere odgovarajuća metoda za svaki slučaj ponaosob. Savremeni forenzički alati objedinjuju više metoda i pristupa, uz nastojanje da vrše što manje izmene na telefonu, a da prikupe što više digitalnih dokaza.
U cilju dokazivanja da svojim akcijama nije narušilo očuvanost digitalnih dokaza, lice koje vrši akviziciju mora da dokumentuje sve aktivnosti u radu sa mobilnim telefonom i da interakciju sa uređajem svede na minimum. Što je više interakcija, to je komplikovanije dokazati da akcije nisu kompromitovale digitalne dokaze [18]. Ukoliko je mobilni telefon prilikom privremenog oduzimanja stavljen u omot i zapečaćen (što je u širem smislu i propisano članom 84. ZKP-a), a branilac ili okrivljeni prisustvuje uklanjanju omota i izvođenju akvizicije, ostvareni su svi uslovi da se tako prikupljeni podaci mogu koristiti kao digitalni dokazi, odnosno otklonjene su sumnje u eventualno narušavanje dokaznog materijala. Ovde svakako treba spomenuti i tzv. lanac nadzora (chain of custody), koji podrazumeva hronološko dokumentovanje prikupljanja, kontrole, transfera i analize privremeno oduzetih predmeta, ali samo spomenuti, jer ga kao takvog naš zakon ne prepoznaje.
5. ALATI ZA FORENZIKU MOBILNIH TELEFONA
Forenzički alati se mogu podeliti na one kojima je to osnovna funkcija, poput MicroSystemation XRY, Logicube CellDEK i Cellebrite UFED, i alate koji predstavljaju pokušaj proizvođača softvera za forenziku računara da svoje proizvode unaprede još jednom funkcijom (primer su Mobile Phone Examiner Plus proizvođača AccessData i, do nedavno, Neutrino firme Guidance Software, čiji je dalji razvoj za sada obustavljen).
Osnovna karakteristika alata za forenziku mobilnih telefona jeste potreba da njihovi proizvođači aktivno prate tržište mobilnih telefona i da na svaki novi model, pre svega onaj koji ima potencijal široke upotrebe, reaguju odgovarajućim nadogradnjama softvera, ali i pratećim kablovima za povezivanje telefona sa alatom, obezbeđujući na taj način potpunu i sveobuhvatnu funkcionalnost svojih proizvoda.
XRY je alat koji objedinjuje oba pristupa i navedene metode akvizicije. Sastoji se od hardverske komponente koja sadrži potrebne interfejse za povezivanje sa mobilnim telefonima (infracrveni, blutut i USB port) i koja može da se poveže sa bilo kojim računarom na kome je instaliran Windows i softverska komponenta alata. XRY trenutno može da izvrši akviziciju podataka sa 2.691 različitog modela mobilnih telefona, da napravi forenzičku kopiju memorije 929 modela, a da dekodira navedene kopije za 817 telefona.
Slika 1. MicroSystemation XRY
Isti je princip i kada je reč o alatu Cellebrite UFED, kod kog su takođe zastupljena oba pristupa akvizicije, a razlika je samo u činjenici da je Cellebrite integrisao hardversku i softversku komponentu u jedan uređaj, tako da za akviziciju nije potreban računar. Podržana je logička akvizicija podataka sa više od 3.000 telefona, a moguće je prikupiti i dekodirati podatke na fizičkom nivou za preko 900 različitih modela, kao i izdvojiti zaštitne šifre telefona za 650 modela.
Slika 2. Cellebrite UFED
Logicube CellDEK omogućava akviziciju samo na logičkom nivou, a podržava preko 2.000 različitih modela telefona.
Slika 3. Logicube CellDEK
Zajedničko za sve alate jeste da obezbeđuju postupnost u radu prilikom akvizicije, naglašavajući forenzičaru šta, kada i kako treba da uradi, čime se maksimalno pojednostavljuje procedura i izbegava nepotrebno manipulisanje telefonom. Poštovanje postupka, koji se razlikuje od modela do modela, presudno je ne samo zbog izbegavanja narušavanja integriteta dokaza, već da bi akvizicija tehnički uopšte bila moguća (što je pretežno vezano i za metodu akvizicije koja se primenjuje na konkretnom modelu). Uz sve alate se isporučuju i kompleti od preko 30 kablova za povezivanje sa različitim modelima mobilnih telefona.
Svi navedeni alati imaju mogućnost akvizicije podataka i sa GPS uređaja, ali i sa tablet računara poput iPad-a i Galaxy Tab-a, što je prirodno ako se uzme u obzir da ovi uređaji koriste operativne sisteme iOS i Android, respektivno, koji se nalaze i na mobilnim telefonima.
Zajednička analiza podataka prikupljenih iz memorija mobilnog telefona i od operatora može se vršiti primenom analitičkog softvera za izradu šematskih prikaza, gde se svi strukturirani podaci mogu grafički predstaviti, čime se olakšava sagledavanje velike količine podataka (mnoštvo pojavljivanja iste vrednosti na šemi se samo jednom prikazuje kao entitet, sa relacijama prema drugim entitetima u vidu jedne ili više linija). Rezultati akvizicije se mogu eksportovati u različitim oblicima, od tabelarnog prikaza sa svim detaljima vezanim za podatke prikupljene sa telefona, do eksportovanja kopija pronađenih datoteka, a radi izrade potrebnih izveštaja.
6. ZAKLJUČAK
Zajednica forenzičara mobilnih telefona se neprestano suočava sa izazovima da ostanu u toku sa najnovijim tehnologijama koje se mogu upotrebiti da bi se razotkrili relevantni tragovi u istrazi [10]. Ceo dinamički sistem koji uključuje proizvođače telefona i forenzičkih alata, izvršioce krivičnih dela i forenzičare, kao i organe otkrivanja i gonjenja i druge učesnike u krivičnom postupku, čini forenziku mobilnih telefona još složenijom.
Radeći na unapređenju svojih proizvoda, proizvođači telefona često menjaju konekcione servise, operativne sisteme i sisteme datoteka, i na taj način otežavaju posao firmama koje prave i održavaju forenzičke alate, koje sa druge strane troše značajne resurse u nastojanju da reše tako nastale probleme, čime se povećava cena proizvoda ili podrške. Iz perspektive forenzičara, ovakva situacija predstavlja problem, jer su im neophodni alati često nepristupačni. Ostali problemi sa kojima se sreću forenzičari u krivičnom postupku vezani su za neophodnost konstantnog odmeravanja svake aktivnosti preduzete u radu sa telefonima da bi se greške svele na minimum, ali i za vreme potrebno za neprestano tehničko usavršavanje u cilju savlađivanja stalnih pokušaja izvršilaca krivičnih dela da antiforenzičkim metodama sakriju svoje podatke ili otežaju pristup.
S obzirom na to da su digitalni dokazi sve zastupljeniji u krivičnom postupku i da je značaj izvora digitalnih dokaza kao što su mobilni telefoni veliki, svi problemi da se do njih dođe moraju se prevazići primenom raspoloživih alata i izborom odgovarajućih pristupa i metoda za svaki konkretan slučaj. Iako ceo postupak pribavljanja podataka sa mobilnih telefona nije normativno regulisan, postupanjem po propisima iz ZKP-a vezanim za privremeno oduzimanje predmeta, zatim poštovanjem načela kriminalistike i principa forenzike moguće je obezbediti dokazni kredibilitet tako prikupljenih podataka, što je i krajnji cilj.
Literatura
[1] Summers C., "Mobile phones - the new fingerprints", BBC News, 2003
[2] Rogers M., "A Practical Approach to Digital Crime Scene Analysis", Department of Computer Technology, Purdue University, 2006
[3] Priručnik za istragu krivičnih dela u oblasti visokotehnološkog kriminala, Savet Evrope, Strazbur, 2008.
[4] Vacca, J.R., "Computer Forensics: Computer Crime Scene Investigation", Charles River Media, INC., Hingham, Massachusetts, 2002.
[5] Casey, E., "Digital evidence and computer crime: forensic science, computers, and the Internet", 2nd edition, Academic Press, London, 2004.
[6] Aleksić, Ž., Škulić, M., „Kriminalistika”, Dosije, Beograd, 2002.
[7] http://www.appbrain.com/stats/number-of-android-apps
[8] http://en.wikipedia/wiki/App_Store_(iOS)#Number_of_launched_applications
[9] http://www.gartner.com/it/page.jsp?id=1764714
[10] Jansen W., Ayers R., "Guidelines on Cell Phone Forensics", National Institute of Standards and Technology, U.S. Department of Commerce, 2007
[11] Willassen S., "Forensic analysis of mobile phone internal memory", Norwegian University of Science and Technology, 2005
[12] Willassen S., "Forensics and the GSM mobile telephone system", International Journal of Digital Evidence, 2003.
[13] Palmer, G., “A road map for digital forensic research”, Technical report, First Digital Forensic Research Workshop, 2001.
[14] Ayers, R., Jansen, W., Cilleros, N., Daniellou, R., "Cell phone forensic tools: An overview and analyisis", National Institute of Standards and Technology, Gaithersburg, Maryland 2005.
[15] Carrier, B., "Open source digital forensic tools – the legal argument", Research report, At Stake, 2002
[16] Keonwoo Kim, Dowon Hong, Kyoil Chung, Jae-Cheol Ryou, "Data Acquisition from Cell Phone using Logical Approach", Proceedings of World Academy of Science, Engineering and Technology, 2007.
[17] Casey, E., "Digital evidence and computer crime: forensic science, computers, and the Internet", 2nd edition, Academic Press, London, 2004.
[18] Mokhonoana P., Olivier M., "Acquisition of a Symbian smart phone’s content with an on-phone forensic tool," Proceedings of the Southern African Telecommunication Networks and Applications Conference 2007 (SATNAC 2007), Sugar Beach Resort, Mauritius, September 2007.
[19] Kot, P. and Zoltan, B. (2006). gnokii project. Website.
[20] McDowall, I., "Programming PC Connectivity Applications for Symbian OS", Wiley, 2004.
[21] McCarthy, P., "Forensic analysis of mobile phones", Master’s thesis, University of South Australia, 2005.
[22] http://en.wikipedia.org/wiki/Boundary_scan
[23] Croft, N., "Secure interoperation of wireless technologies", Master’s thesis, University of Pretoria, 2004.
Autor
Igor Vuković je diplomirao na Vojnoj akademiji, Smer veza, 2001. godine. Nakon godinu dana rada u tadašnjoj Vojsci Jugoslavije prešao je u Ministarstvo unutrašnjih poslova, u Upravu za borbu protiv organizovanog kriminala, gde je radio na poslovima primene operativno-tehničkih mera. Od aprila 2006. radi kao izvršilac, a od marta 2007. godine postaje i šef Odseka za prikupljanje i obradu digitalnih dokaza. Odsek u kome radi bavi se forenzikom računara i mobilnih telefona na nivou Ministarstva. Magistrirao je na fakultetu tehničkih nauka "Mihajlo Pupin" u Zrenjaninu, sa radom iz oblasti informacionih sistema.