Forenzika društvenih mreža

Društvene mreže su neodvojivi dio današnjeg interneta i putem njih se odvijaju novi oblici privatne i poslovne komunikacije. Neke od najpopularnijih društvenih mreža su Facebook, Instagram, YouTube, Twitter, LinkedIn itd. Brz rast društvenih mreža rezultirao je porastom kriminalnih aktivnosti na Internetu. Forenzički znanstvenici prepoznali su ovo povećanje i stalno rade na razvoju modela za postupke digitalne forenzičke istrage.

U ovom seminarskom radu opisane su prijetnje na društvenim mrežama i posljedice koje mogu uzrokovati. Predstavljena je i studija slučaja čiji je fokus krađa identiteta na Facebook-u. Unutar studije slučaja opisane su faze istrage, izazovi i korišteni alati. Naposljetku, napravljen je osvrt na sadržaj koji se postavlja na društvene mreže i dane su pripadne smjernice za povećanje sigurnosti korisničkih računa.

Ključne riječi: digitalna forenzika, forenzika društvenih mreža, Facebook, društvene mreže

Društvene mreže su neodvojivi dio današnjeg interneta i putem njih se odvijaju novi oblici privatne i poslovne komunikacije. Neke od najpopularnijih društvenih mreža su Facebook, Instagram, YouTube, Twitter, LinkedIn itd. Globalno gledajući,društvene mreže u 2018. godini koristi 98% internetskih korisnika. Dnevno se u prosjeku provede više od 2 sata na društvenim mrežama kroz dopisivanje i razmjenu informacija. Društvene mreže koriste se i za praćenje novih proizvoda i trendova te ih gotovo polovica svih korisnika koristi upravo u tu svrhu.

Brz rast društvenih mreža rezultirao je porastom kriminalnih aktivnosti na Internetu. Forenzički znanstvenici prepoznali su ovo povećanje i stalno rade na razvoju modela za postupke digitalne forenzičke istrage. Danas ne postoji model dizajniran posebno za internetske društvene mreže. Forenzički istražitelji koriste standardne okvire i modele u kombinaciji s posebno razvijenim alatima. Još jedno važno područje su pametni telefoni, pomoćnik za osobne podatke (PDA), pametni televizori, Android uređaji i drugi ugradbeni sustavi koji mogu uključivati ​​pristup društvenim mrežama. Povećana upotreba društvenih mreža i aplikacija društvenih mreža na tim uređajima čine ih zlatnim rudnicima za forenzičke istrage. Na tim se uređajima mogu čuvati potencijalni digitalni dokazi koji se uz pomoć ispravnih alata i metoda ispitivanja mogu pronaći.

U ovom seminarskom radu opisane su prijetnje na društvenim mrežama i posljedice koje mogu uzrokovati. Predstavljena je i studija slučaja čiji je fokus krađa identiteta na Facebook-u. Unutar studije slučaja opisane su faze istrage, izazovi i korišteni alati. Naposljetku, napravljen je osvrt na sadržaj koji se postavlja na društvene mreže i dane su pripadne smjernice za povećanje sigurnosti korisničkih računa.

Sigurnosne prijetnje društvenih mreža moguće je podijeliti u četiri skupine: prijetnje privatnosti, prijetnje mrežama i podatcima, prijetnje identitetu i društvene prijetnje.

Otkrivanjem osobnih podataka korisnici se svjesno odriču dijela vlastite privatnosti, međutim vrijedno je navesti neke od prijetnji privatnosti korisnika.

Moguće je da neki pojedinac ili tvrtka preuzme i pohrani korisničke profile sa stranica društvenih mreža, stvarajući digitalne zapise o korisnicima bez pristanka korisnika. Informacije i podaci navedeni na korisničkom profilu mogu biti zloupotrijebljeni. Rizici prikupljanja digitalnih zapisa o korisnicima su: uzrokovanje neugodnosti i štete ugledu korisnika, ucjena korisnika i otkrivanje povjerljivih podataka o korisniku.

Uz podatke koje korisnik svojevoljno otkriva na društvenoj mreži, vlasnik društvene mreže također prati i podatke poput vrijeme uspostavljanja i trajanje povezanosti s društvenom mrežom, IP adresu (eng. Internet Protocol address), koje je profile korisnik posjetio, poslane i primljene poruke putem društvene mreže, itd. Rizici prikupljanja sporednih podataka su: zlouporaba sporednih podataka za ciljano oglašavanje i prodaja prikupljenih podataka drugim tvrtkama i pojedincima bez pristanka korisnika.

Gotovo svaki korisnik društvene mreže na svoj je profil postavio barem jednu fotografiju, onu koja predstavlja korisnički profil. Fotografije postavljene na profil direktno ili indirektno omogućuju identifikaciju korisnika pomoću računalnih alata za prepoznavanje lica. Rizici prepoznavanja lica korisnika su: povezivanje fotografija korisnika i pripadajućih podataka sa svih web usluga na kojima je korisnik postavio svoju fotografiju (npr. otkrivanje Facebook profila, Twitter profila, LinkedIn profila, itd.), kao i prikupljanje velike količine podataka o korisniku.

Otkrivanje podataka pomoću fotografija (eng. Content-based Image Retrieval) je tehnologija koja omogućuje prepoznavanje svojstava fotografije, uspoređujući zadanu fotografiju s drugima u bazi fotografija. Tako je moguće na primjer. usporediti svojstva okoline na fotografiji, kako bi se doznala točna lokacija. Rizici otkrivanja podataka pomoću fotografija su: otkrivanje lokacije korisnika, ucjena korisnika, primanje neželjenih promotivnih materijala i ugrožavanje fizičke sigurnosti pojedinca.

Većina društvenih mreža omogućuje korisnicima označavanje (eng. tag) pojedinaca na zajedničkim fotografijama. Moguće je označiti ime i prezime pojedinca, staviti poveznicu na korisnički profil pojedinca ili čak na adresu e-pošte pojedinca. Iako neki korisnici pažljivo biraju fotografije koje će postaviti na svoje korisničke profile kako bi umanjili rizik otkrivanja osobnih podataka, ugroziti ih mogu poznanici koji na svoje korisničke profile postave zajedničke fotografije s oznakama. Fotografije također sadržavaju podatke o uređaju i vremenu kada su snimljene. Rizici povezivanja meta-podacima i oznakama su: nenamjerno otkrivanje povjerljivih podataka (npr. adresa e-pošte), otkrivanje podataka o uređaju koji je korisnik koristio za snimanje fotografije i otkrivanje podataka o korisniku.

Pojedinci koji žele obrisati svoj korisnički račun na društvenoj mreži će otkriti da nije moguće ukloniti sve podatke vezane uz korisnički profil. Iako će korisnički profil biti uspješno obrisan, npr. komentari i razgovori na profilima drugih korisnika će ostati zabilježeni. Primjerice, na mreži Facebook, nije moguće obrisati korisnički profil, već ga samo deaktivirati. Deaktivacijom profila, korisnik uklanja svoj profil s društvene mreže, dok osobni podaci ostaju pohranjeni (u svrhu da korisnik poželi ponovno aktivirati svoj profil). Rizici nemogućnosti potpunog brisanja korisničkog računa su: otkrivanje podataka koji su zastarjeli i prikupljanje preostalih podataka o korisniku.

Neželjene poruke (eng. spam) su se pojavile na društvenim mrežama zbog velike popularnosti istih. Neke od tehnika kojima se napadači služe su:

• slanje poruka koje sadržavaju poveznice na pornografske web stranice ili web stranice putem kojih se želi prodati određeni proizvod,
• predstavljanje s lažnim korisničkim profilom na kojemu su postavljene poveznice na stranice za oglašavanje ili phishing stranice i krađa lozinki drugih korisnika kako bi se poveznice postavile na druge korisničke profile.

Rizici neželjenih poruka su: preopterećenje mreže, gubitak povjerenja korisnika i preusmjeravanje na zlonamjerne ili stranice neprimjerenog sadržaja.

Ovakvi alati (npr. Snag i ProfileLinker) dozvoljavaju korisnicima da dodavanjem novih podataka ažuriraju korisničke profile na više društvenih mreža istovremeno. U alat je potrebno unijeti korisnička imena i lozinke računa kojima se želi pristupati. Korištenje ovakvih alata povećava opasnost otkrivanja povjerljivih podataka o korisničkim računima (korisnička imena, lozinke, adrese e-pošte, itd.). Rizici ovakvih alata su: krađa identiteta, krađa korisničkih računa radi zlonamjernih aktivnosti i gubitak privatnosti.

Phishing napadi su postali vrlo učestali na društvenim mrežama. Korisnik putem poruke ili komentara na vlastitom profilu prima poveznicu koja ga vodi na zlonamjernu web stranicu koju kontrolira napadač. Takve zlonamjerne web stranice su najčešće identične kopije web stranica društvenih mreža, banaka, te drugih servisa koji bi napadaču mogli koristiti. Od korisnika se najčešće zahtjeva unos korisničkog imena i lozinke odabranog servisa. Ako korisnik unese tražene podatke, napadač može nanijeti znatnu štetu. Rizici phishing napada su: krađa identiteta, šteta na ugledu korisnika i materijalna šteta.

Neki podaci postavljeni na korisničkom profilu su dostupni samo pojedincima na listi prijatelja. Ovo se smatra prvom zaštitom korisnikove privatnosti. Neki korisnici prihvaćaju pojedince u svoj krug prijatelja bez provjere njihove autentičnosti. Trenutno je moguće koristiti određene alate za pozivanje novih prijatelja na listu korisnika, npr. FriendBot i FriendBlasterPro. Primjerice, tvrtka Sophos je provela istraživanje vezano uz otkrivanje podataka. Tvrtka je stvorila korisnički profil nasumičnog imena na jednoj od društvenih mreža i poslala 200 zahtjeva za prijateljstvo kako bi se otkrilo koliko će korisnika odgovoriti. Rezultati su sljedeći:

• od 200 poslanih zahtjeva 87 je prihvaćeno,
• 72% korisnika koji su prihvatili su otkrili jednu ili više adresa e-pošte i
• 84% korisnika koji su prihvatili zahtjev su otkrili i svoj datum rođenja.

Rizici otkrivanja podataka su: zlouporaba osobnih i povjerljivih podataka, ugrožavanje drugih pojedinaca i neželjene poruke i druge aktivnosti.

Lažni profili se najčešće stvaraju u ime poznatih osoba ili osoba poznatih u određenom krugu prijatelja. Lažni profili ne moraju imati zlonamjerni učinak, međutim ako im je to namjena, mogu nanijeti značajnu štetu osobama čiji je identitet iskorišten. Rizici lažnih profila su: šteta na ugledu pojedinca, ucjena pojedinca, korištenje lažnih profila kako bi se navelo druge korisnike da otkriju osobne i povjerljive informacije i marketinške aktivnosti putem lažnih profila.

Uhođenje (eng. stalking) uključuje prijeteće ponašanje u kojem izvršitelj zahtjeva fizički ili virtualni kontakt s osobom koju uhodi. Društvene mreže ohrabruju postavljanje osobnih podatka poput lokacije ili dnevnog rasporeda, te korisnikove aktivnosti na društvenoj mreži. Rizici uhođenja su: zastrašivanje, gubitak privatnosti i nanošenje fizičke i psihičke boli.

Cyber-nasilje (eng. Cyber-bullying) je termin kojim se opisuje besciljno i ponavljano nanošenje štete drugom pojedincu pomoću tehnologije, najčešće pomoću mobilnih telefona ili putem Interneta. Najčešće se radi o izmijenjenim multimedijskim sadržajima (fotografijama, video zapisima, itd.) kojima je cilj poniziti pojedinca, te ponižavajućim porukama i komentarima na nečijem korisničkom profilu.

Otkrivanje povjerljivih podataka na društvenim mrežama predstavlja veliku opasnost za intelektualno vlasništvo tvrtki. U ovakvim slučajevima, napadači na prijevaru pokušavaju od zaposlenika neke tvrtke dobiti povjerljive podatke. Također, neke profesionalne društvene mreže omogućuju korisnicima da pregledavaju listu zaposlenika neke tvrtke. Objava bilo kakvih osjetljivih informacija o tvrtki može naštetiti normalnom poslovanju. Rizici industrijske špijunaže su: gubitak intelektualnog vlasništva, napad na računalnu infrastrukturu tvrtke, ucjena zaposlenika tvrtke i pristup materijalnoj imovini pojedinca/tvrtke.

Za potrebe seminarskog rada uzet je osmišljen primjer, s najčešćim scenarijem, koji se temelji na bilo kojoj stvarnoj situaciji. Primjer je opisan u nastavku.

„Facebook račun je ukraden jednom korisniku, te su se s tim korisničkim računom počinile kriminalne radnje poput slanja poruka sa zlonamjernim sadržajem (prijevara, phishing napadi), te postavljanje i preuzimanje zabranjenog sadržaja. Pravi korisnik prijavio je slučaj policiji, i istražitelji su, po sudskom nalogu, započeli istragu.“

Nakon što korisnik, čiji je identitet ukraden, dostavi dokaz o vlasništvu profila Facebook administraciji vlasništvo nad profilom mu se vraća, ali počinjen je zločin i trebaju se pronaći odgovorni. Službenici za provedbu zakona u SAD-u mogu se služiti „Sustav mrežnih zahtjeva za provođenje zakona“¹⁾ za podnošenje, praćenje i obradu zahtjeva. U sustavu je napomenuto da je za pristup mrežnom sustavu zahtjeva za provođenje zakona o provođenju zakona potrebna vladina adresa e-pošte. Zahtjev za informacijama može se poslati i e-poštom ili faksom (Sjedinjene Države ili Irska). Facebook objavljuje podatke računa isključivo u skladu s Facebook uvjetima korištenja i primjenjivim zakonom. Facebook će poduzeti korake za očuvanje podataka korisničkog računa u suradnji sa službenom kriminalističkom istragom u roku od 90 dana od prijema formalnog pravnog postupka. Za države izvan SAD-a situacija je različita i varira od države do države. Potrebno je zatražiti međunarodnu pravnu pomoć od američkih institucija. Te aktivnosti obično prolaze kroz instituciju Ministarstva pravosuđa određene zemlje. Zahtjev i sva potrebna dokumentacija moraju biti napisani na engleskom jeziku i ovjereni od nadležnog suda, te moraju biti priloženi uz sudski nalog i opis svih navedenih zahtjeva i detaljnim pratećim dokumentima.

Nekoliko tjedana nakon toga istražitelji dobivaju od Facebooka potrebne informacije (skup IP adrese, vremenskom linijom itd.) i kontaktira se internetski pružatelj usluga koji postavlja IP adresu za sve ostale potrebne podatke (ime i adresu vlasnika IP adrese). Nadalje, na zahtjev suda zapljenjuje se tehnički uređaj koji je prethodno identificiran kao nosač digitalnih dokaza, relevantnih za referentni slučaj, od osobe koja je identificirana kao vlasnik uređaja nakon što se podudaraju s IP adresom i drugim informacijama dobivenim od Facebook-a u prethodnom postupku.

Postoji više modela i okvira digitalne forenzike u dostupnoj literaturi. U većini, prva faza digitalne forenzičke istrage uključuje prepoznavanje, identifikacija i očuvanje digitalnih dokaza.

Ova faza nije tako jednostavna zbog poteškoća u očuvanju integriteta i lanca čuvanja digitalnih dokaza. U ovoj su fazi ključni elementi forenzički istražitelji, žrtve, osumnjičeni i prolaznici. A odvija se i zapljena digitalnih uređaja, potencijalnih nositelja digitalnih dokaza s kojima je bilo moguće pristupiti Facebooku putem internetske veze. Istražitelj treba biti vrlo oprezan, jer pod digitalnim uređajem postoje razni uređaji kao što su: pametni telefoni, pametni televizori, igraće konzole itd. i zaplijeniti ispravne uređaje. Nakon zapljene digitalni uređaj se mora registrirati i održavati u odgovarajućem pritvoru do sljedeće faze istrage.

Druga faza procesa digitalne istrage zahtijeva prikupljanje, ispitivanje i analizu digitalnih dokaza. Ovo je najkompleksnija faza zbog potrebe poznavanja digitalnih dokaza (formata itd.) i alata za analizu digitalnih dokaza. U zadanom scenariju pretpostavlja se da su digitalni dokazi smješteni na računalu osumnjičenog na SCSI HDD-u na kojem su pohranjeni podaci. Softver koji se koristio za analizu je Internet Evidence Finder od Magnet Forensic-a (IEF)²⁾ .

Analizu mora provesti stručno i obučeno osoblje za ovu fazu istrage. Kompletna bit2bit kopija tvrdog diska mora biti izvršena zbog pravila da se na originalnom uređaju kao nosaču dokaza ne vrši analiza. Nakon provedbe IEF-a, prvi su se rezultati pokazali negativnima i nije pronađeno ništa što bi potkrijepilo hipotezu istražitelja. Nisu pronađeni dokazi o povezivanju bilo koje internetske aktivnosti i komunikacije na Facebooku. Nakon sljedeće detaljne analize, na tvrdom disku pronađen je VMware softver s instaliranim virtualnim strojem sa sustavom Windows XP. Sve su datoteke kopirane i u IEF je dodan virtualni disk te je izvršena analiza diska. Softver je pronašao nekoliko stavki koje bi stavljene u kontekst mogle dokazati početnu hipotezu. Osumnjičeni je zapravo koristio tuđe korisničko ime i lozinku i Facebook račun za obavljanje kriminalnih aktivnosti korištenjem VMware XP virtualnog stroja koristeći samo preglednik Internet Explorer.

Kao što se vidi na slici ispod, postoji mnogo Facebook sadržaja i aktivnosti na Internetu – 77 Facebook fotografija, 29 Facebook statusa, 7 Facebook URL-ova, 14 web stranica itd. Očuvanjem sadržaja i analizom vremenskih oznaka potvrđena je početna hipoteza.

Sljedeća i posljednja faza procesa digitalne istrage je faza obnove i prezentacije. U ovoj fazi sudski vještaci, svjedoci i forenzički istražitelji sastavljaju iz svih dokaza, kolektivni materijal koji se može predstaviti u sudnici. U ovoj su fazi ključni elementi sudac, tužiteljstvo i obrana. Od velike je važnosti objasniti i dokazati sucima i žiriju što su: digitalni dokazi, kako se pronalaze i zapljenjuju, koja se relevantna metodologija koristi za analizu i način održavanja integriteta digitalnog lanca dokaza. Potrebno se dobro pripremiti oko mogućeg pitanja o relevantnosti tih dokaza i SW-a koji se koriste za digitalnu analizu dokaza. Istražitelj s iskustvom i visokim stupnjem znanja o materiji neće imati problema u procesu dokazivanja.

Na društvenim mrežama dostupno je puno više informacija nego što se čini. Korisnički računi sadrže većinu osobnih kriterija, počevši od rođendana do broja mobilnog telefona, boravišta, informacije vezane za obitelj, i veći broj sigurnosnih pitanja (majčino djevojačko prezime, itd.) Osim navedenog, čak i postavljene fotografije mogu sadržavati skrivene podatke poput informacija o uređaju, lokaciji i vremenu. Opreznost i promišljenost su od velike važnosti prilikom djelovanja i postavljanja sadržaja na društvenim mrežama. U nastavku su predstavljene neke od mjera opreza prilikom objavljivanja sadržaja.

Prilikom postavljanja sadržaja na društvene mreže potrebno je dobro analizirati sam sadržaj i moguće opasnosti koje bi proizašle iz istog. Neke od smjernica kojih bi se korisnik trebao pridržavati kod sigurnosti korisničkog računa su:

• Snažna lozinka – temelj sigurnosti korisničkog računa i prva linija obrane od zlonamjernih korisnika.
• Dvostruka autentifikacija – sigurnosni mehanizam koji prilikom prijave na neku uslugu, servis ili društvenu mrežu od korisnika traži unošenje dodatnog podatka. Uobičajeno je riječ o dodatnom kodu koji se šalje na adresi elektroničke pošte ili na pametni mobitel.
• Osobe koje imaju pristup sadržaju – tko sve ima pristup informacijama i podatcima koji se objavljuju na internetu?

• Osobni podatci trebaju ostati osobni.

Porastom popularnosti društvenih mreža raste i broj kriminalnih aktivnosti, što zahtjeva razvoj novih modela i okvira za postupke digitalne forenzičke istrage. Društvene mreže su neizostavan dio svakodnevnog života gdje se dijeli mnogo informacija, od kojih je većina privatna što pogoduje raznim kriminalnim radnjama.

U okviru seminarskog rada kategorizirane su prijetnje na društvenim mrežama i navedeni su moguće posljedice ako se prijetnje ostvare. Sigurnosne prijetnje društvenih mreža moguće je podijeliti u četiri skupine: prijetnje privatnosti, prijetnje mrežama i podatcima, prijetnje identitetu i društvene prijetnje. Potom je predstavljena studija slučaja čija je tema krađa identiteta na Facebook-u. Unutar studije analiziran je postupak forenzičke istrage po fazama i opisani su izazovi te korišteni alati. Konačno, skrenuta je pažnja na sadržaj koji se objavljuje i njegov doprinos narušavanju sigurnosti korisničkih računa. Osim analize sadržaja, dane su i smjernice za povećanje sigurnosti korisničkih računa.

[1] Forensic analysis of social networks: M. Bača, J. Čosić, Z. Čosić; 2013.

[2] Sigurnosni rizici društvenih mreža: CARNet;