THE IMPORTANCE OF VIRTUAL MACHINES IN DIGITAL FORENSIC INVESTIGATION

UVOD

U ovom radu biće obrađena uloga virtuelizacije u toku digitalne forenzičke istrage. Prvo će biti objašnjen sam pojam ,,Virtuelna Mašina" (VM) a zatim će biti prikazano kako se sve VM može koristiti u toku digitalne forenzičke istrage. Takođe, biće reči i o tome kako se VM može koristiti kao dokaz, a biće predstavljeni predlog kako da se VM koristi zajedno sa standardnim konvencionalnim (DD) prikupljenim digitalnim dokazom da bi se rešio slučaj kompjuterskog incidenta.

Biće reči i o tome kako se VM može koristiti i kao moćan forenzički alat pomoću kojeg možemo prikupiti podatke, koji su neophodni u toku digitalne forenzičke istrage. U poslednjem delu rada prikazano je i kako se VM može koristiti kao antiforenzički alat, kojim se mogu prikriti tragovi koji su neophodni za dalju forenzičku istragu, i samim tim sprečiti normalan tok digitalne forenzičke istrage.

VM -VIRTUELIZACIJA

Virtuelna mašina (VM) je softver koji omogućava korisniku da na jednom računaru kreira više nezavisnih i izolovanih operativnih sistema sa različitim podešavanjima samog hardvera (CPU, hard disk, memorija, mrežne kartice, i ostale komponente) i sa različitom vrstom operativnog sistema (OS) koji će se izvršavati na njima. Korisnik može da konroliše svaki sistem posebno, a može ih koristiti izolovano ili povezati u računarsku mrežu.

Ovakav pristup je vrlo moćan i fleksibilan i štedi resurse, jer nije potrebno više fizičkih računara, već se hardver jedne

ORACLE VIRTUELbOX

Oracle VM VirtuelBox je x86 virtuelizacija softverski paket [8], izvorno izradjen od strane nemacke kompanije Innotek, koja je kupljena od strane kompanije Sun Microsystems, ali je sada razvijen od strane Oracle kompanije kao deo svoje porodice virtuelizacije proizvoda. U okviru ove aplikacije dodatni gost operativni sistem poznat kao GuestoS može da se učita i pokrene, svako sa svojim virtuelnim okruženjem. Preko Vir-tuelBox aplikacije omogućeno je višestruko učitavanje gost operativnih sistema. Svaki od njih može biti pokrenut, zaustavljen i nezavisno zaustavljen. Domaći operativni sistemi i gostujući operativni sistemi mogu međusobno da komuniciraju preko mreže, a moguća je i sama komunikacija između više gostujućih operativnih sistema.

VirtuelBox podržava Intel i AMD virtuelizaciju hardvera. Hard diskovi su emulirani u poseban kontejner format pod nazivom Virtuel Disk Images koji nije kompatibilan sa drugim virtuelizacionim formatima. Obično uskladištene kao sistem datoteke na sistemu domaćih operativnih sistema (sa VDI sufixom). Takođe, VirtuelBox može da koristi ISO fajlove preko CD/DVD. (Na primer, operativni sistem koj je veličine jednog DVD-a može da se preuzme sa interneta i da se direktno koristi preko VirtuelBox aplikacije. iako nema potrebe da se taj fajl prebacuje na sam DVD disk, takođe je moguće da se fizički montiraju CD/DVD diskovi na samom VirtuelBox-u.

VMwARE

Postoje tri različita VMWare proizvoda (Workstation, Server i Player), koji se mogu koristiti za pokretanje i podešavanje virtuelnih mašina.

VMWare Workstation se najčešće koristi od svih i nije besplatan (osim što se može koristiti 30 dana dok traje trial period).

VMWare Server ima nešto manje mogućnosti u odnosu na Workstation, ali je zato besplatan i može se potpuno besplatno instalirati i koristiti.

VMWare Player je takođe potpuno besplatan proizvod, ali ne poseduje mogućnost podešavanja VM-a što je neophodno za digitalnu forenzičku istragu, i samim tim se ne može koristiti za ovu namenu.

PRIKUPLJANJE I OPORAVAK ObRISANIH ILI ŠIfROVANIH VIRTUELNIH MAŠINA

Osnovna stvar kod vraćanja obrisanih fajlova jeste, prvo proveriti da li se oni nalaze u Recycle Bin-u. Kod VM fajlova to nije slučaj, jer su ovi fajlovi mnogo veće veličine i zbog limita se ne šalju u Racycle Bin već se brišu direktno, ali postoji način da se oni povrate za dalju digitalnu forenzičku analizu. Pošto je fajl dosta veliki (veličine i do nekoliko GB) neki put je moguće vratiti ga u potpunosti, a u nekim slučajevima moguće je povratiti samo delove VM (fragmente), koji se mogu koristiti u daljoj digitalnoj forenzičkoj istrazi.

Šifrovanje VM je vrlo složen proces i može se vršiti kroz nekoliko različitih slojeva (layer-a).

Sam folder u kome se nalazi VM moguće je šifrovati određenim osnovnim Windows algoritmom za tu namenu FDe (Full Disk Encryption), kao što je, na primer, softver BitLocker ili neki od programa za tu namenu. Dodatno i sam virtuelni operativni sistem može biti šifrovan. Pristup sifrovanim fajlovima i pristup šifrovanom hard disku izlazi van okvira ovog rada tako da ovde neće biti objašnjen.

RAZLIČITI PRISTUPI PRAVLJENJA KOPIJE VM

Standardno pravljanje imidža u forenzičkoj istrazi radi se na jedan od dva načina. Prvi način: hard disk se priključi na neku vrstu uređaja koji onemogućuje upisivanje sadržaja, odnosno, koji garantuju da se sadržaj hard diska neće promeniti (hardware write blockers). Drugi način: računar se podiže sa nekog butabilnog diska (Helix, Knopix STD) i tada se može koristiti i softverski način blokiranja upisa (software write blockers). Tek posle ovog (kada je osigurano da neće doći do promene podataka na hard disku), moguće je nekim programom za tu namenu napraviti imidž diska (FTKImager), kao na slici 4.

Što se VM tiče, tu je stvar potpuno drugačija, jer VM predstavlja skup fajlova koje je potrebno kopirati, ali to nije dovoljno, jer se može desiti da se na hard disku nalaze još neki povezani fajlovi koji će kasnije biti neophodni u toku digitalne forenzičke istrage. Takođe, može se javiti problem sa MACe podacima koji se mogu izmeniti u odnosu na Host mašinu koja se koristi, i samim tim uništiti dalji tok digitalne forenzičke istrage. Zbog svega navedenog kopiranje fajlova se ne smatra dobrom metodom za ovu namenu, već je potrebno, prvo na standardan način izvrišiti forenzičku akviziciju podataka, pa tek onda iz nje ekstraktovati VM fajlove i analizirati ih.

Još jedna od čestih situacija jeste, da se na računaru Host-u nalazi folder koji služi za razmenu podataka sa VM (shared folder) i ukoliko bi se podaci prikupljali samo prostim kopiranjem fajlova, do tih podataka više ne bi mogli doći osim ako bi i dalje imali pristup datom računaru, što je u nekim slučajevima potpuno nemoguće. Ovde je bitno naglasiti da se VM može montirati i kao fizički uređaj uz pomoć raznih softverskih aplikacija i onda vršiti analiza podataka.

ISTRAGA VM

istraga VM je skoro ista kao i standardno prikupljenog forenzičkog imidža. VM se može istraživati na standardan način kao imidž, koji je napravljen od strane forenzičara klasičnom metodom. Međutim, VM sadrži i meta podatke koji mogu biti vrlo korisni, jer daju razne dodatne informacije o VM i Host računaru na kome se izvršavala, koji mogu biti vrlo korisni forenzičarima u toku digitalne forenzičke istrage. Primer takvih podataka su MACe podaci koji mogu dati uvid

Slika 4 -AccessData FTK Imager

Slika 5 -Helix 3 live OS startovan na WMVare Workstation 6.5 u to koji korisnički nalog se koristio na host računaru kada se pristupačno VM. Tu možemo videti i dodatne informacije o samom korisniku računara, ili u najgorem slučaju samo korisnički nalog, koji je bio u upotrebi.

VIRTUELNA MAŠINA KAO fORENZIČKI ALAT

Ne tako davno podizanje forenzičkog imidža je trajalo nekoliko sati, pa i čitav dan, i sastojalo se u tome, što se hard disk sa imidžom ubacivao fizički u kompjuter i tako podizao. To je često zahtevalo pravilno konfigurisanje sistema da prepozna različit hardver, koji se nalazi na fizičkom računaru, a koji se nije nalazio na originalnom računaru odakle je napravljen imidž.

Kod VM procedura se drastično promenila i to vreme je redukovano, potrebno je nekoliko klikova mišem da bi se podigao sistem i to bez ikakvih hardverskih radova (ubacivanja hard diska u računar), za ilustraciju pogledajte sliku 6. Hardver je standardizovan, tako da se automatski podešava bez potrebe za dodatnim drajverima. Na ovaj način štedi se vreme forenzičara i samim tim ubrzava čitav proces digitalne forenzičke istrage.

Ovakav sistem se može koristiti da bi se u toku forenzičke istrage ili prilikom veštačenja na sudu mogli grafički predstaviti određeni elementi sistema koji se koristio za napad, ili je meta napada. Na primer, moguće je prikazati kreirane fajlove i foldere zajedno sa datumima kreiranja, na ovaj način moguće je i prikazati prisustvo određenih vrsta malicionznih programa, kao što su virusi, crvi ili trojanci.

DVOSTRUKI PRISTUP

ono što se ovde pojavljuje kao problem jeste to, što će prilikom podizanja sistema u virtuelnom okruženju neizbežno doći do određenih promena na samom imidžu, tako da on više neće biti identičan onom koji je uzet sa originalne mašine, što pokazuje verifikacija Hash vrednosti. Samim tim ovakav dokaz nije validan pred sudom, i zbog toga se predlaže primena dvostrukog pristupa: dve kopije bi se čuvale što je i standard u digitalnom forenzičkom procesu, dok bi se treća kopija podizala preko VM i na njemu bi se vršila razna ispitivanja. original bi ostao netaknut, i na taj način bi se mogao bez problema koristiti kao validan dokaz na sudu. kao što je poznato, prikom uzimanja imidža, pravi se jedinstvena hash vrednost koja garantuje da nije došlo do bilo kakvih promena na imidžu tokom forenzičke istrage, i pošto se sva istraživanja sprovode na kopiji, koja ja podignuta na VM-u ta vrednost će ostati očuvana. Na ovaj način, korišćenjem tehnologije virtuelizacije drastično se može ubrzati tok istrage jer stručnjak za VM okruženje radi na kopiji i pokušava na sve načine da rekonstruiše incident (sliku 7). Takođe, postoji mogućnost da se u toku istrage dođe do određenih podataka do kojih se ne bi moglo doći na standardni način digitalne forenzičke istrage, i samim tim da se istraga usmeri u pravom smeru.

ČIST OPERATIVNI SISTEM U SVAKOM TRENUTKU

Još jedna od bitnih prednosti korišćenja VM je ta što se vrlo lako i jednostavno, u svakom trenutnku, može podići nov, čist virtuelni operativni sistem na kome se mogu vršiti različita testiranja. Mogu se u toku forenzičkog procesa testirati različite vrste malicionznog kôda, kao i to, da se može na licu mesta, u toku ekspertize, a u toku procesa digitalne forenzičke istrage pred sudom demonstrirati rad određenih softvera, pa tako sudiji i ostalim netehničkim licima pokazati na lep i vizuelno prijemčiv način funkcionisanje određenog softvera.

VIRTUELNA MAŠINA KAO ANTI-fORENZIČKI ALAT

Iako se VM može koristiti u toku digitalne forenzičke istrage kao značajna pomoć, takođe, ona se može koristiti i kao sredstvo za skrivanje tragova ili remećenje normalnog toka digitalne forenzičke istrage od strane kompjuterskih (cyber) Slika 7 -Dvostruki pristup prikupljanju podataka kriminalaca. Kao što je već rečeno, VM predstavlja skup fajlova koji se mogu obrisati ili se mogu nalazite na nekom eksternom mediju. Takođe, moguće je, da je za određenu VM dovoljno da se na računaru nalazi instaliran VMWare Player ili Server koji je zadužen za otvaranje vmdk fajlova. Bitno je napomenuti da se određene VM mogu pokrenuti čak i bez programa koji je potrebno da bude instaliran na hard disk računaru, što još više ometa tok digitalne forenzičke istrage.

Pošto je moguće da se virtuelna mašina nalazi na eksternom mediju, postoji opasnost da je VM na neki način kriptovana, kako bi se neovlašćenim osobama sprečio pristup fajlovima. Ali o ovome je već bilo reči, i ovo izlazi van okvira ovog rada.

ZAKLJUČAK

Tehnologija VM danas se često primenjuje u različitim vrstama poslovnih okruženja. Samim tim, neophodno je analizirati različite načine za koje je moguće prikupiti podatke koji su neophodni za digitalnu forenzičku istragu u uslovima VM okruženja. Ovde je bitno naglasiti da postoje velike razlike u prikupljanju standardnih i VM operativnih sistema. U radu je predložen dvostruki pristup koji se može koristiti za digitalnu istragu VM. Objašnjeno je i koliko vremena se može uštedeti korišćenjem tehnlogoije VM u digitalnoj forenzičkoj istrazi, ali je prikazano i to, kako se ova tehnologija može koristiti i u svrhu ometanja digitalne forenzičke istrage (kao anti-forenzički alat).

Slika 8 -Startni ekran MS Windows 2003 Server R2 operativnog sistema