Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:malware:forenzika_p2p_mreza [2020/01/09 14:07] mmesaric2 [Gnutella mreža] |
racfor_wiki:malware:forenzika_p2p_mreza [2024/12/05 12:24] (trenutno) |
||
|---|---|---|---|
| Redak 1: | Redak 1: | ||
| + | ====== Forenzika P2P mreža ====== | ||
| + | |||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| - | Sažetak rada | + | P2P mreže su standard za dijeljenje velikih datoteka i masovno se koriste što pokazuju i statistički podaci ukupnog godišnjeg Internetskog prometa. Zbog svoje funkcionalnosti, |
| + | |||
| + | Ključne riječi: **Peer-to-Peer; | ||
| ===== Uvod ===== | ===== Uvod ===== | ||
| Redak 8: | Redak 13: | ||
| U ovom radu opisane su P2P mreže i njihova arhitektura te postupci računalne forenzike takvih mreža. Analizirat ću i postojeći alat RoundUp koji je temeljen na Phex Gnutella Client fork-u i koji se koristi za forenzičko istraživanje mreža temeljenih na Gnutella protokolu. Kako bi shvatili kako se provodi kriminalističko forenzičko istraživanje i kako alat RoundUp radi, objasnit će se i osnove Gnutella mreže. | U ovom radu opisane su P2P mreže i njihova arhitektura te postupci računalne forenzike takvih mreža. Analizirat ću i postojeći alat RoundUp koji je temeljen na Phex Gnutella Client fork-u i koji se koristi za forenzičko istraživanje mreža temeljenih na Gnutella protokolu. Kako bi shvatili kako se provodi kriminalističko forenzičko istraživanje i kako alat RoundUp radi, objasnit će se i osnove Gnutella mreže. | ||
| - | |||
| ===== Arhitektura P2P mreža ===== | ===== Arhitektura P2P mreža ===== | ||
| Redak 21: | Redak 25: | ||
| Slika 1. Centralizirana poslužiteljska mrežna arhitektura i decentralizirana distribuirana P2P mrežna arhitektura [5] | Slika 1. Centralizirana poslužiteljska mrežna arhitektura i decentralizirana distribuirana P2P mrežna arhitektura [5] | ||
| - | |||
| ===== Gnutella mreža ===== | ===== Gnutella mreža ===== | ||
| Redak 27: | Redak 30: | ||
| Gnutella je decentralizirana P2P mreža temeljena na istoimenom protokolu. Pri ulasku u mrežu, računalo kontaktira poznatog poslužitelja u svrhu dohvaćanja informacija o ostalim sudionicima s kojima tvori P2P mrežu. Potom pridruženo računalo kontaktira ostale sudionike i uspostavlja TCP konekciju s njima te postaju susjedi i tvore susjedstvo. Po potrebi klijent preplavljivanjem saznaje informacije o susjedovim susjedima, odnosno o ostalim sudionicima u mreži. Svaki Peer si odredi nasumično odabrani jedinstveni globalni identifikator (GUID). | Gnutella je decentralizirana P2P mreža temeljena na istoimenom protokolu. Pri ulasku u mrežu, računalo kontaktira poznatog poslužitelja u svrhu dohvaćanja informacija o ostalim sudionicima s kojima tvori P2P mrežu. Potom pridruženo računalo kontaktira ostale sudionike i uspostavlja TCP konekciju s njima te postaju susjedi i tvore susjedstvo. Po potrebi klijent preplavljivanjem saznaje informacije o susjedovim susjedima, odnosno o ostalim sudionicima u mreži. Svaki Peer si odredi nasumično odabrani jedinstveni globalni identifikator (GUID). | ||
| - | Pretraživanje datoteka u mreži vrši se putem upita (//Query String//). Pretraživanje se ostvaruje slanjem zahtjeva svim trenutno aktivnim povezanima čvorovima o kojima svaki čvor vodi evidenciju | + | Pretraživanje datoteka u mreži vrši se putem upita (//Query String//). Pretraživanje se ostvaruje slanjem zahtjeva svim trenutno aktivnim povezanima čvorovima o kojima svaki čvor vodi evidenciju. Svaki zahtjev ima određen broj skokova (//hops//) koji predstavlja vrijeme valjanosti zahtjeva, tj. koliko još puta može bit proslijeđen zahtjev prije nego što istekne. Ako neki čvor sadrži traženu datoteku, on kontaktira izvorišni čvor koji je zahtjev uputio s ciljem dijeljenja datoteke. U prijašnjim verzijama Gnutelle, takav rezultat je putovao najčešće istim putem kao i zahtjev, no u novijim verzijama protokola rezultat se izravno dostavlja klijentu putem UDP protokola (Slika 2). |
| {{ https:// | {{ https:// | ||
| Redak 40: | Redak 43: | ||
| ===== Postupci kriminalističkog istraživanja u P2P mrežama ===== | ===== Postupci kriminalističkog istraživanja u P2P mrežama ===== | ||
| - | Zbog velike količine dijeljenja i distribucije prethodno spomenutog ilegalnog sadržaja postavlja se pitanje kako prepoznati takav sadržaj i identificirati osobe odgovorne za počinjavaje tog zločina. Istraživaču je primarni cilj sakupiti dokaze o kriminalnim radnjama na Internetu, u ovom slučaju u P2P mrežama. Dokazi mogu biti pribavljeni izravno (// | + | Zbog velike količine dijeljenja i distribucije prethodno spomenutog ilegalnog sadržaja postavlja se pitanje kako prepoznati takav sadržaj i identificirati osobe odgovorne za taj zločin. Forenzičaru je primarni cilj sakupiti dokaze o kriminalnim radnjama na Internetu, u ovom slučaju u P2P mrežama. Dokazi mogu biti pribavljeni izravno (// |
| - | Kada istraživač ima direktan pristup nekom sudioniku i informacije o datotekama koje taj sudionik posjeduje ili dijeli onda govorimo izravnom načinu pribavljanja dokaza. Kada istraživač pribavlja informacije o nekom sudioniku s kojim nije povezan, neizravno preko svog susjednog čvora onda je takav način pribavljanja dokaza baziran na modelu prepričavanja. Direktni dokazi su najčešće konkretniji i korisniji od prepričavanja. | + | Kada forenzičar ima direktan pristup nekom sudioniku i informacije o datotekama koje taj sudionik posjeduje ili dijeli onda govorimo izravnom načinu pribavljanja dokaza. Kada forenzičar pribavlja informacije o nekom sudioniku s kojim nije povezan, neizravno preko svog susjednog čvora onda je takav način pribavljanja dokaza baziran na modelu prepričavanja. Direktni dokazi su najčešće konkretniji i korisniji od prepričavanja. |
| Koraci u postupku kriminalističkog istraživanja P2P mreža su sljedeći [1]: | Koraci u postupku kriminalističkog istraživanja P2P mreža su sljedeći [1]: | ||
| Redak 54: | Redak 57: | ||
| - Kada su svi prethodno navedeni koraci ispunjeni, izdaje se nalog za pretragu računala osumnjičenog i datoteka koje posjeduje. | - Kada su svi prethodno navedeni koraci ispunjeni, izdaje se nalog za pretragu računala osumnjičenog i datoteka koje posjeduje. | ||
| - Kada se računalo i račun koji je korišten u mrežu identificiraju i povežu sa stvarnom osobom koja stoji iza tih akcija, poduzimaju se daljnje akcije pretraživanja. Nakon pregledavanja sadržaja na računalu, ako se potvrde sumnje i pronađu dokazi o posjedovanju ilegalnog sadržaja, poduzimaju se daljnje zakonske radnje protiv osumnjičenika. | - Kada se računalo i račun koji je korišten u mrežu identificiraju i povežu sa stvarnom osobom koja stoji iza tih akcija, poduzimaju se daljnje akcije pretraživanja. Nakon pregledavanja sadržaja na računalu, ako se potvrde sumnje i pronađu dokazi o posjedovanju ilegalnog sadržaja, poduzimaju se daljnje zakonske radnje protiv osumnjičenika. | ||
| + | |||
| + | Forenzičko istraživanje je ograničeno zakonskim regulativama. Svi dokazi moraju biti pribavljeni legalnim putem i za svako kršenje zakona istraživač će također odgovarati. To znači da istraživač osim dobrog poznavanja P2P mreže i protokola koji se koristi, mora biti dobro upućen i u zakonsku regulativu i svoje ovlasti. | ||
| + | |||
| + | Kako bi dokazi i slučaj bio što konkretniji, | ||
| + | |||
| + | U P2P mrežama sadržaj se preuzima od više sudionika prema zadanim postavkama. Kada istraživač obavlja istraživanje i radi // | ||
| ===== Alat RoundUp ===== | ===== Alat RoundUp ===== | ||
| - | analiza | + | Alat RoundUp je razvijen kroz suradnju tijela za provedbu zakona i akademika u svrhu olakšavanja postupka forenzičkog kriminalističkog istraživanja Gnutella P2P mreže [1]. Program je //fork //Phex Gnutella klijenta (isto grafičko sučelje), baziran je na Java programskom jeziku i olakšava kriminalistička istraživanja kroz prethodno navedene metode. |
| + | |||
| + | Pri razvoju | ||
| + | |||
| + | * omogućiti bolju interakciju svih istraživača | ||
| + | * prikazivanje najvažnijih informacija dobivenih istraživanjem u grafičkom korisničkom sučelju klijenta | ||
| + | * mogućnost automatiziranog izvještavanja o dobivenim rezultatima | ||
| + | |||
| + | Funkcionalnosti ovog alata su sljedeće: | ||
| + | |||
| + | * pregled popisa postojećih ili nedavno dodanih datoteka interesa poredanih po hashu | ||
| + | * pregled popisa svih dodanih GUID-a | ||
| + | * pregled IP-a svih promatranih kandidata, filtrirani prema geolokaciji | ||
| + | * izvoz svih sakupljenih podataka s opcijom slanja tih podataka u centralnu bazu tijela za provedbu zakona | ||
| + | * dijeljenje nedozvoljenih dokumenata ostalim sudionicima je onemogućeno | ||
| + | |||
| + | Autori alata su razvili i web sustav preko kojeg se ovlašteni korisnici mogu autentificirati, | ||
| + | |||
| + | Prema statističkim podacima objavljenim u radu 2010.[2], od listopada 2009. godine alat RoundUp koristi 52 jedinice za zaštitu djece od zločina na Internetu (//Internet Crimes Against Children - ICAC//) koji međusobno razmjenjuju rezultate istraga. Nadzire se preko 300 000 instalacija Gnutella klijenta za koje je poznato da dijele ilegalni sadržaj, a izdano je i najmanje 558 naloga za pretragu. | ||
| ===== Zaključak ===== | ===== Zaključak ===== | ||
| - | tu ide zaključak | + | U radu je objašnjeno kako je organizirana arhitektura P2P mreža i konkretan primjer Gnutella mreže. Predstavljene su i metode koje forenzičari koriste pri kriminalističkom istraživanju P2P mreža i kako im alat RoundUp pomaže u tom poslu. |
| + | |||
| + | Kriminalističko istraživanje P2P mreža je vrlo zahtjevan proces jer istraživač mora odlično poznavati mrežu koju analizira i protokol na kojem je mreža temeljena. Osim tehničkog znanja, istraživač mora poznavati svoje ovlasti i raditi u skladu sa zakonskim regulativama, | ||
| - | ===== Sources | + | ===== Izvori |
| [1] [[https:// | [1] [[https:// | ||
| Redak 76: | Redak 106: | ||
| [5] [[https:// | [5] [[https:// | ||
| - | [6] https:// | + | [6] [[https:// |