Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:nb53922 [2026/01/21 23:13]
Nikša Brala [Poglavlje ...] 		racfor_wiki:seminari2025:nb53922 [2026/02/03 11:23] (trenutno)
Nikša Brala [Sažetak]
Redak 3: Redak 3:
 ===== Sažetak ===== ===== Sažetak =====
  
-Ova wiki stranica analizira Windows Recall - relativno novu značajku unutar operativnog sustava Windows 11. S obzirom na to da je Windows Recall iznimno bogati izvor digitalnih tragova, naglasak je na forenzičkoj vrijednosti značajke i rizicima vezanima za privatnost koji uz nju dolaze.+Ova wiki stranica analizira Windows Recall - relativno novu značajku unutar operacijskog sustava Windows 11. S obzirom na to da je Windows Recall iznimno bogati izvor digitalnih tragova, naglasak je na forenzičkoj vrijednosti značajke i rizicima vezanima za privatnost koji uz nju dolaze.
 Recall kontinuirano snima korisnički zaslon, lokalno pohranjuje snimke zaslona u JPEG formatu, iz njih ekstrahira OCR tekst, a sve zatim povezuje u pretraživu vremensku liniju, čime nastaje iznimno detaljan zapis aktivnosti korisnika i pristupa (potencijalno) osjetljivim podatcima. Recall kontinuirano snima korisnički zaslon, lokalno pohranjuje snimke zaslona u JPEG formatu, iz njih ekstrahira OCR tekst, a sve zatim povezuje u pretraživu vremensku liniju, čime nastaje iznimno detaljan zapis aktivnosti korisnika i pristupa (potencijalno) osjetljivim podatcima.
 Analiza ove značajke uključuje i pregled arhitekture sustava, vrsta prikupljenih podataka, lokacija i strukturu glavnih artefakata, metode akvizicije podataka, anti-forenzičke mogućnosti, usklađenost s GDPR-om, privatnosne i pravne implikacije te kriteriji sudske prihvatljivosti Recall artefakata kao digitalnih dokaza; a poseban je naglasak stavljen na mogućnosti rekonstrukcije vremenske linije aktivnosti korisnika, analizu same baze podataka, načina pohrane vremenskih oznaka i povezivanje snimki s OCR tekstom. Analiza ove značajke uključuje i pregled arhitekture sustava, vrsta prikupljenih podataka, lokacija i strukturu glavnih artefakata, metode akvizicije podataka, anti-forenzičke mogućnosti, usklađenost s GDPR-om, privatnosne i pravne implikacije te kriteriji sudske prihvatljivosti Recall artefakata kao digitalnih dokaza; a poseban je naglasak stavljen na mogućnosti rekonstrukcije vremenske linije aktivnosti korisnika, analizu same baze podataka, načina pohrane vremenskih oznaka i povezivanje snimki s OCR tekstom.
Redak 123: Redak 123:
 Ipak, VBS enklave (VTL1 memorija) dizajnirane su upravo tako da budu izvan dosega klasičnih memory dumpova, što otežava izravnu dekripciju sadržaja koji se nalazi unutar njih. U praksi to znači da će istražitelj u RAM-u prije svega tražiti tragove interakcije s Recallom (npr. API pozive, putanje, dekriptirane blokove podataka privremeno mapirane u običnu memoriju i sl.), dok se sama struktura enkriptiranog spremnika i većina artefakata i dalje pribavlja kroz disk imaging i analizu ukg.db baze. Ipak, VBS enklave (VTL1 memorija) dizajnirane su upravo tako da budu izvan dosega klasičnih memory dumpova, što otežava izravnu dekripciju sadržaja koji se nalazi unutar njih. U praksi to znači da će istražitelj u RAM-u prije svega tražiti tragove interakcije s Recallom (npr. API pozive, putanje, dekriptirane blokove podataka privremeno mapirane u običnu memoriju i sl.), dok se sama struktura enkriptiranog spremnika i većina artefakata i dalje pribavlja kroz disk imaging i analizu ukg.db baze.
  
-===== Analiza Recall baze =====+===== 6. Analiza Recall baze =====
  
 Recall baza (ukg.db) središnji je izvor strukturiranih podataka o snimkama zaslona, prozorima i aplikacijama te predstavlja ključnu točku za forenzičku analizu sadržaja i konteksta korisničke aktivnosti. Analiza ove baze omogućuje povezivanje vremenskih oznaka, OCR teksta i procesnih informacija sa stvarnim JPEG snimkama pohranjenima u ImageStore direktoriju. Recall baza (ukg.db) središnji je izvor strukturiranih podataka o snimkama zaslona, prozorima i aplikacijama te predstavlja ključnu točku za forenzičku analizu sadržaja i konteksta korisničke aktivnosti. Analiza ove baze omogućuje povezivanje vremenskih oznaka, OCR teksta i procesnih informacija sa stvarnim JPEG snimkama pohranjenima u ImageStore direktoriju.
Redak 146: Redak 146:
  
 Tablica //WindowCaptureTextIndex_content// omogućuje pretraživanje po sadržaju jer stupac c2 sadrži tekst izdvojen OCR-om za odgovarajući WindowCapture.Id. Korištenjem JOIN-ova između //WindowCaptureTextIndex_content//, //WindowCapture//, //WindowCaptureAppRelation// i //App// moguće je jednim upitom dobiti vremensku oznaku, naslov prozora, putanju procesa, relevantni OCR tekst i identifikator slike – praktički kompletan kontekst svake pohranjene snimke zaslona. Tablica //WindowCaptureTextIndex_content// omogućuje pretraživanje po sadržaju jer stupac c2 sadrži tekst izdvojen OCR-om za odgovarajući WindowCapture.Id. Korištenjem JOIN-ova između //WindowCaptureTextIndex_content//, //WindowCapture//, //WindowCaptureAppRelation// i //App// moguće je jednim upitom dobiti vremensku oznaku, naslov prozora, putanju procesa, relevantni OCR tekst i identifikator slike – praktički kompletan kontekst svake pohranjene snimke zaslona.
 +
 +===== 7. Antiforenzički aspekti =====
 +
 +Windows Recall, iako iznimno vrijedan izvor dokaza, istovremeno otvara prostor za tehnike usmjerene na brisanje, prikrivanje ili manipulaciju snimki zaslona i pridruženih zapisa. Razumijevanje načina na koji se Recall podaci mogu ukloniti ili izmijeniti, kao i metoda detekcije tih izmjena, ključno je za ispravnu interpretaciju rezultata forenzičke analize.
 +
 +==== Brisanje Recall podataka ====
 +
 +Korisnik iz korisničkog sučelja ili kroz postavke sustava može ručno obrisati sve ili dio Recall snimki, pri čemu se uklanjaju JPEG snapshotovi i pripadajući zapisi iz baze (ukg.db). Dodatno, putem opcija poput potpunog isključivanja Recall značajke ili uklanjanja Recall komponenti kao Windows značajke, sustav može automatski obrisati postojeće snapshotove i indeksirane podatke.
 +
 +S antiforenzičkog stajališta, napadač može koristiti iste mehanizme za //čišćenje// traga nakon incidenta ili skripte koje ciljano brišu datoteke iz ImageStore direktorija i odgovarajuće retke iz ukg.db baze; ali tragovi prethodnog postojanja Recalla (npr. registry postavke, logovi promjena funkcionalnosti, preostali fragmenti JPEG-ova ili SQLite stranica u nealociranom prostoru) mogu i dalje ostati vidljivi u forenzičkoj slici diska.
 +
 +==== Manipulacija bazom ====
 +
 +Zbog činjenice da je Recall baza SQLite datoteka, u scenarijima gdje je napadač uspio dobiti pristup dekriptiranom sadržaju, moguće su ciljane manipulacije zapisima. Potencijalne antiforenzičke radnje uključuju selektivno brisanje //WindowCapture// zapisa za određeni vremenski raspon, mijenjanje vremenskih oznaka kako bi se vrijeme aktivnosti //pomaknulo// ili umetanje lažnih zapisa koji stvaraju lažnu sliku korisničkog ponašanja.
 +
 +Iako je Microsoft dodatno učvrstio Recall enkripcijom baze i oslanjanjem na TPM za upravljanje ključevima, jednom kada je baza dekriptirana i dostupna iz korisničkog konteksta, klasični napadi na SQLite datoteke (npr. skrivena manipulacija stranica, promjena sadržaja bez korektnog ažuriranja internih struktura) i dalje su teoretski mogući. Forenzička analiza stoga u obzir mora uzeti mogućnost da ukg.db ne odražava vjerodostojno stvarnu povijest, osobito ako postoje indikacije kompromitacije sustava ili administratora.
 +
 +==== Detekcija izmjena ====
 +
 +Detekcija brisanja i manipulacije Recall artefakata oslanja se na kombinaciju integritetskih provjera, dosljednosti podataka i korelacije s drugim izvorima. Neusklađenosti između broja i raspona vremenskih oznaka u //WindowCapture// tablici i stvarnog broja JPEG datoteka u ImageStore direktoriju (npr. „rupe“ u vremenu bez snimki, nelogični skokovi i sl.) mogu ukazivati na selektivno brisanje ili neovlaštene izmjene.
 +
 +Usporedba Recall vremenske linije s drugim artefaktima (Windows event logovi, mrežni logovi, artefakti aplikacija) može otkriti nesklade, primjerice situacije u kojima postoje dokazi o aktivnoj upotrebi sustava, a Recall u istom periodu uopće nema zapisa. Na razini same baze, tehnike forenzičke analize SQLite datoteka – poput pregleda slobodnih stranica (//freelist//), provjere zaglavlja, metainformacija i usporedbe hash vrijednosti baze prije i nakon incidenta – mogu pomoći u otkrivanju ručnog uređivanja ili masovnog brisanja zapisa iz baze podataka.
 +
 +
 +===== 8. Privatnost i pravni aspekti =====
 +
 +Recall svojim kontinuiranim snimanjem zaslona stvara iznimno detaljan zapis digitalnog ponašanja korisnika, uključujući i osjetljive osobne podatke, što otvara ozbiljna pitanja o privatnosti i usklađenosti s propisima o zaštiti podataka. Iako Microsoft naglašava da se podatci pohranjuju lokalno i da je Recall //opcionalno iskustvo//, regulatorna tijela i stručna javnost upozoravaju da sama količina i granularnost prikupljenih informacija predstavlja visok rizik zlouporabe i neovlaštenog pristupa.
 +
 +==== Rizici masovnog nadzora ====
 +
 +Recall generira kontinuirani tok snimki zaslona koji obuhvaća gotovo sve aktivnosti korisnika – od privatne komunikacije i pretraživanja do poslovnih dokumenata i financijskih transakcija. Ako se takav sustav koristi u organizacijskom ili državnom okruženju bez jasnih ograničenja, on de facto može poslužiti kao alat za permanentni nadzor zaposlenika ili građana, iako formalno radi lokalno na uređaju.
 +
 +UN i druga tijela za ljudska prava godinama naglašavaju da sama mogućnost masovnog, neselektivnog nadzora predstavlja zadiranje u pravo na privatnost, bez obzira na to je li do zlouporabe doista došlo. U kombinaciji s potencijalnim zahtjevima državnih tijela za pristup lokalno pohranjenim Recall podacima, postoji realna opasnost da se tehnološka funkcionalnost pretvori u podršku za masovni digitalni nadzor, ako ne postoji strogi pravni okvir i nadzor neovisnih tijela.
 +
 +==== GDPR implikacije ====
 +
 +Za korisnike i organizacije u EU Recall izravno ulazi u područje Opće uredbe o zaštiti podataka (GDPR), budući da snimke zaslona i izdvojeni tekst gotovo uvijek sadrže osobne podatke, često i posebne kategorije (npr. zdravstveni podatci, politička uvjerenja i sl.). Regulatori poput britanskog ICO a već su zatražili dodatna pojašnjenja od Microsofta o pravnoj osnovi, transparentnosti, sigurnosnim mjerama i zadanim postavkama za ovu značajku.
 +
 +GDPR traži jasan zakonski temelj obrade (npr. privola, legitimni interes), načelo minimizacije podataka, ograničenje svrhe i primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite (čl. 5. i 32.). Za organizacije koje dopuste Recall na službenim uređajima, to podrazumijeva potrebu za DPIA analizom (Data Protection Impact Assessment), jasnim pravilima o korištenju, mogućnošću isključenja Recalla i dokazivanjem da je obujam prikupljenih podataka nužan i razmjeran svrsi.
 ===== Zaključak ===== ===== Zaključak =====
  
 +Windows Recall predstavlja jednu od najznačajnijih novosti u području prikupljanja i indeksiranja korisničke aktivnosti na suvremenim operacijskim sustavima. Iako je izvorno razvijen kao alat za povećanje produktivnosti kroz semantičko pretraživanje povijesti rada, njegova arhitektura, način pohrane podataka i razina detalja prikupljenih zapisa čine ga iznimno relevantnim iz perspektive računalne forenzike.
 +
 +Analiza Recall sustava pokazuje da on generira novu klasu forenzičkih artefakata koji kombiniraju vizualne dokaze (snimke zaslona), tekstualne zapise dobivene OCR-om i bogate metapodatke s preciznim vremenskim oznakama. Takva kombinacija omogućuje rekonstrukciju korisničkih aktivnosti s razinom konteksta i granularnosti kakva do sada nije bila uobičajena u standardnim Windows forenzičkim izvorima. Recall time postaje snažan alat za izgradnju vremenskih linija, dokazivanje pristupa određenom sadržaju i razumijevanje slijeda događaja u digitalnim istragama.
 +
 +S druge strane, istraživanje je pokazalo da Recall otvara i niz tehničkih, sigurnosnih i pravnih izazova. Enkripcija i vezanost podataka uz korisničku autentikaciju zahtijevaju pažljivo planiranje metoda akvizicije, uključujući primjenu live forenzike i analize radne memorije. Mogućnosti brisanja i manipulacije podacima nameću potrebu za razvijanjem postupaka detekcije anti-forenzičkih radnji i provjere integriteta. Istodobno, opseg i osjetljivost prikupljenih informacija podižu ozbiljna pitanja privatnosti, usklađenosti s GDPR-om te sudske prihvatljivosti tako dobivenih dokaza.
 +
 +Zaključno, Windows Recall se može promatrati kao dvosjekli mač: s jedne strane iznimno vrijedan izvor digitalnih dokaza koji može znatno unaprijediti mogućnosti rekonstrukcije događaja, a s druge strane tehnologija koja zbog svoje invazivne prirode zahtijeva strogu kontrolu, jasne pravne okvire i visoku razinu forenzičke stručnosti. Uvođenje Windows Recall značajke označava pomak prema forenzici temeljenoj na kontinuiranom snimanju i semantičkoj analizi korisničkog okruženja te predstavlja važnu prekretnicu za smjer u kojem će se računalna forenzika u budućnosti razvijati.
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland BrünkenCognitive Load TheoryCambridge University Press2010.]]+[1] [[https://learn.microsoft.com/en-us/windows/client-management/manage-recall|Manage Recall for Windows clients]] 
 + 
 +[2] [[https://learn.microsoft.com/en-us/windows/apps/develop/windows-integration/recall/|Recall overview]] 
 + 
 +[3] [[https://support.microsoft.com/en-us/windows/retrace-your-steps-with-recall-aa03f8a0-a78b-4b3e-b0a1-2eb8ac48701c|Retrace your steps with Recall]] 
 + 
 +[4] [[https://blogs.windows.com/windowsexperience/2024/09/27/update-on-recall-security-and-privacy-architecture/|Update on Recall security and privacy architecture]] 
 + 
 +[5] [[https://www.cryptika.com/kaspersky-details-windows-11-forensic-artifacts-and-changes-with-windows-10-for-investigators/|Kaspersky Details Windows 11 Forensic Artifacts and Changes With Windows 10 for Investigators]] 
 + 
 +[6] [[https://www.techtarget.com/searchenterpriseai/feature/Privacy-and-security-risks-surrounding-Microsoft-Recall|Privacy and security risks surrounding Microsoft Recall]] 
 + 
 +[7] [[https://www.assured.se/posts/windows-recall-security|Windows Recall Security]] 
 + 
 +[8] [[https://www.qts-ltd.com/new-windows-screenshot-feature-sparks-privacy-concerns/|New Windows Screenshot Feature Sparks Privacy Concerns]] 
 + 
 +[9] [[https://securelist.com/forensic-artifacts-in-windows-11/117680/|The king is deadlong live the king! Windows 10 EOL and Windows 11 forensic artifacts]] 
 + 
 +[10] [[https://www.s-rminform.com/latest-thinking/total-recall-how-microsoft-recall-could-change-cyber-incidents-and-their-investigations|Total recall? How Microsoft Recall could change cyber incidents and their investigations]] 
 + 
 +[11] [[https://docs.security.tamu.edu/docs/endpoint-security/policies/MSRecall/|MICROSOFT RECALL]] 
 + 
 +[12] [[https://pureinfotech.com/access-recall-ai-data-locally-stored-windows-11/|How to access Windows Recall AI data locally stored on Windows 11]] 
 + 
 +[13] [[https://www.malwarebytes.com/blog/news/2024/06/microsoft-recall-snapshots-can-be-easily-grabbed-with-totalrecall-tool|Microsoft Recall snapshots can be easily grabbed with TotalRecall tool]] 
 + 
 +[14] [[https://redspin.com/blog/the-microsoft-windows-recall-feature-a-double-edged-sword-for-security-and-privacy/|The Microsoft Windows Recall Feature: A Double-Edged Sword for Security and Privacy]] 
 + 
 +[15] [[https://4geeks.com/lesson/live-vs-dead-acquisition-in-digital-forensics|Live vs Dead Acquisition in Digital Forensics]] 
 + 
 +[16] [[https://support.microsoft.com/en-us/windows/manage-your-recall-snapshots-and-disk-space-2c35b596-5a96-4090-b791-c27fae75f660|Manage your Recall snapshots and disk space]] 
 + 
 +[17] [[https://www.kaspersky.com/blog/recall-2025-risks-benefits/53407/|Should you disable Microsoft Recall in 2025?]]
  
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]+[18] [[https://www.microsoft.com/en-us/privacy/privacystatement|Microsoft Privacy Statement]]
  
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]+[19] [[https://actnowtraining.blog/2024/05/22/microsoft-recall-has-a-privacy-problem/|Microsoft Recall Has a Privacy Problem]]
  
 +[20] [[https://www.techradar.com/pro/microsoft-recall-a-game-changer-with-high-risks|Microsoft Recall: A game changer with high risks]]
  
 +[21] [[https://support.microsoft.com/en-us/windows/privacy-and-control-over-your-recall-experience-d404f672-7647-41e5-886c-a3c59680af15|Privacy and control over your Recall experience]]
racfor_wiki/seminari2025/nb53922.1769037222.txt.gz · Zadnja izmjena: 2026/01/21 23:13 od Nikša Brala
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0