Naše semináře ve dnech 18. až 29. listopadu ve Frankfurtu na téma IT forenziky, které se zaměřily na nástroje jako Detego Global a MOBILedit a zejména na analýzu a ruční kontrolu databází SQLite, nabídly.
Komplexní úvod do problematiky uchovávání a analýzy digitálních důkazů. Ústřední roli zde hrají technické i právní aspekty. Podrobný přehled probíraných témat je uveden níže.
Detego Global
Jednotná forenzní platforma Detego® je výkonné digitální forenzní řešení navržené speciálně pro rychlé shromažďování, analýzu a podávání zpráv. Umožňuje:
- Forenzní zabezpečení dat z tisíců zařízení, jako jsou chytré telefony, počítače a zařízení internetu věcí.
- Analýzy podporované umělou inteligencí k identifikaci souvislostí mezi osobami, zařízeními a případy.
- Využití funkcí, jako je analýza dat GPS, porovnávání hodnot hash a automatizované pracovní postupy pro efektivní vyšetřování.
MOBILedit je univerzální nástroj pro získávání a analýzu dat z mobilních zařízení a chytrých hodinek. Nabízí:
- Získávání fyzických a logických dat.
- Obnova smazaných dat.
- Podpora mnoha aplikací, jako jsou WhatsApp, Instagram, Snapchat a mnoho dalších.
- Pokročilé funkce, jako je prolamování a dešifrování hesel.
Oba nástroje jsou navrženy tak, aby zajistily důkazy pro použití u soudu tím, že zabrání změnám původních dat.
Analýza databází SQLite
Databáze SQLite se hojně používají v aplikacích, jako jsou mobilní telefony, messengerové služby a operační systémy. Jejich forenzní analýza zahrnuje:
- Obnova smazaných datových záznamů, často včetně dočasných souborů, jako jsou protokoly WAL (write-ahead logs).
- Použití specializovaného softwaru, jako je MobilEdit nebo Rabbithole, k analýze obsahu databáze.
- Možnost rekonstrukce činností a časových posloupností, což z nich činí důležitý zdroj důkazů.
Rootování mobilního telefonu je často nutné k tomu, aby bylo možné získat hlubší úrovně přístupu pro forenzní vyšetřování. To zahrnuje odblokování práv správce pro přístup k chráněným oblastem operačního systému. Mezi tyto metody patří:
- Používání vlastních aplikací pro obnovení a sad pro root.
- Je však nutné zajistit, aby nedošlo ke změně údajů. To je zajištěno porovnáním hodnot hash před a po zkoušce.
Zajištění integrity důkazů
Klíčovým aspektem IT forenziky je zajistit, aby analyzovaná data nebylo možné změnit:
- Vytvoření forenzních kopií (kopie 1:1) datových nosičů.
- Dokumentace všech kroků v soudně průkazné znalecké zprávě.
- Použití hash hodnot ke kontrole integrity dat.
Na semináři se učili důležité základy forenzní analýzy IT: používání specializovaných nástrojů, jako jsou Detego a MOBILedit, analýza databází SQLite a techniky rootování mobilních zařízení. Důraz na integritu důkazů zajišťuje, že výsledky zůstanou použitelné u soudu. Takové školení je pro odborníky na digitální forenzní analýzu nezbytné, aby splňovali požadavky moderního vyšetřování.
