====== 	Forenzika web preglednika ======

===== Sažetak =====
Ovaj seminarski rad istražuje područje digitalne forenzike web preglednika s pregledom arhitekture pokretača kao što su Chromium, Gecko i WebKit te njihovih metoda. U radu se analizira uloga SQLite baza podataka i JSON datoteka kao formata za bilježenje korisničkih aktivnosti, uključujući povijest pregledavanja, kolačiće, podatke o preuzimanju i spremljene lozinke. Također naglasak je stavljen na forenzički značaj predmemorije u rekonstrukciji vizualnog sadržaja te na mogućnosti povrata obrisanih podataka unutar SQLite struktura. Osim analize artefakata, seminarski rad obrađuje i suvremene izazove poput enkripcije podataka, privatnog načina rada i sinkronizacije u oblaku. Ti noviteti nameću forenzičaru potrebu za korištenjem specijaliziranih alata i naprednih metodologija. Zaključno, rad ukazuje na ključnu ulogu web preglednika kao značajnog i pouzdanog izvora digitalnih dokaza u suvremenim istragama.

Ključne riječi : web preglednik, Chromium, SQLite, kolačići, povijest pregledavanja, predmemorija, enkripcija, privatnost

===== Uvod =====
Razvojem internetskih tehnologija i povećanjem ovisnosti o web aplikacijama, značaj forenzike web preglednika kontinuirano raste. Analiza tih podataka omogućuje istražiteljima uvid u ponašanje korisnika u virtualnom prostoru te pomaže u povezivanju digitalnih aktivnosti s konkretnim osobama ili događajima.

Forenzika web preglednika proces je ekstrakcije, analize i interpretacije povijesnih podataka koje web preglednici pohranjuju na lokalnom disku uređaja. Kada korisnici koriste preglednik, on postaje "crna kutija" koja bilježi njihove navike, interese, komunikaciju i namjere.

Cilj forenzičke analize nije samo vidjeti koje je stranice korisnik posjetio, već i rekonstruirati cijeli niz događaja u određenom vremenskom razdoblju. Forenzičari se pritom suočavaju s izazovima poput privatnog pregledavanja, sinkronizacije podataka u oblaku i automatskog brisanja povijesti. Neki od forenzičkih scenarija obuhvaćaju : rekonstrukciju vremenske linije, otkrivanje namjere putem istraživanja, analizu sesije, analizu preuzetih podataka te upravljanje lozinkama.
===== Arhitektura web preglednika i pohrana podataka =====
Svaki preglednik temelji se na svom pokretaču (rendering engine-u), koji je ključna komponenta za digitalnu forenziku. On ne određuje samo vizualnu interpretaciju HTML i JavaScript-a, već diktira i način na koji će aplikacija zapisivati tragove korisnikovih aktivnosti na tvrdi disk. Chromium pokretač, koji dominira tržištem web preglednika, koriste Google Chrome, Microsoft Edge, Opera, Brave i Vivaldi. Ovi preglednici dijele sličnu arhitekturu pohrane podataka, što omogućuje primjenu istih ili vrlo sličnih metoda analize na različite aplikacije. Mozilla Firefox koristi pokretač Gecko, koji ima specifičnu strukturu korisničkih profila te drugačije formate za pohranu povijesti pregledavanja i kolačića u odnosu na Chromiumu. WebKit je pokretač koji koristi Apple Safari. Budući da je Safari usko integriran u operacijske sustave macOS i iOS, njegova forenzička analiza uključuje i analizu .plist datoteka.

{{ :racfor_wiki:seminari2025:arhitektura_web_preglednika.png?400 |Arhitektura web preglednika}}

Moderni preglednici su u potpunosti napustili stare formate tekstualnih datoteka. Danas se većina informacija, poput povijesti pregledavanje, kolačića i podataka o preuzimanju, pohranjuje u SQLite bazama podataka. SQLite je pouzdan i brz alat, ali je značajan za forenzičku analizu jer dopušta povrat obrisanih podataka. Često se događa da zapis koji je korisnik obrisao iz povijesti pregleda i dalje postoji u bazi sve dok ne bude prepisan novim podacima što omogućuje forenzičaru rekonstrukciju aktivnosti korisnika i nakon pokušaja prikrivanja tragova. Preglednici također koriste i JSON format za pohranu statičnih podataka. JSON se koristi kod upravljanja oznakama (bookmarks) i postavkama ekstenzija. Iako su te datoteke u osnovi tekstualne i naizgled jednostavne, one skrivaju metapodatke o tome kada je neka oznaka dodana ili kada je preglednik zadnji put sinkroniziran s oblakom.
===== Ključni artefakti za analizu =====
U forenzici web preglednika, artefakti se dijele prema vrsti informacija koje pružaju o aktivnostima korisnika. Svaki od navedenih elemenata pohranjen je u specifičnim tablicama unutar SQLite baza podataka.

==Povijest pregledavanja==
Ovo je najvažniji artefakt koji zapisuje kretanje korisnika po internetu. Ovdje se mogu pronaći popisi URL adresa, naslova stranica, vrijeme posjeta i broj posjeta. Forenzičar može utvrditi je li korisnik svjesno upisao adresu, kliknuo na poveznicu unutar druge stranice ili je na određenu adresu automatski preusmjeren. Povijest pretraživanja otkriva proces razmišljanja i samu namjeru korisnika.

{{ :racfor_wiki:seminari2025:browser_history.png?400 |}}

==Povijest preuzimanja==
Ovi podaci bilježe datoteke koje je korisnik preuzeo s interneta. Ovdje pronalazimo izvorni URL s kojeg je pojedina datoteka preuzeta, putanju na lokalnom disku gdje je spremljena, veličinu datoteke te vrijeme preuzimanja. To je ključno u slučajevima distribucije ilegalnog sadržaja ili unošenja zlonamjernog softvera u sustav, jer izravno povezuje udaljeni poslužitelj s fizičkim dokazom na računalu.

{{ :racfor_wiki:seminari2025:povijest_pretrazivanja.png?400 |}}

==Kolačići==
Kolačići su male tekstualne datoteke koje web mjesta postavljaju na računalo korisnika koji pružaju dokaz o identitetu korisnika. Oni omogućuju forenzičaru da identificira korisničke račune i sesije, čak i ako su sami zapisi o posjetu obrisani, što pomaže u rekonstrukciji vremenskog okvira aktivnosti. Nadopuna ovome su podaci za samoispunjavanje i pohranjene lozinke.

{{ :racfor_wiki:seminari2025:cookies.png?200 |}}

==Podaci za samoispunjavanje i lozinke==
Web preglednici često pohranjuju podatke koje korisnici unose u različite obrasce radi funkcionalnosti samoispunjavanja. Iako su lozinke u modernim preglednicima u pravilu zaštićene enkripcijom, ostali podaci poput adresa e-pošte, telefonskih brojeva i kućnih adresa često ostaju pohranjeni u čitljivom obliku. Takvi podaci predstavljaju vrijedan izvor informacija jer omogućuju izravno povezivanje digitalnih aktivnosti s konkretnom osobom.

{{ :racfor_wiki:seminari2025:we_data.png?400 |}}

==Predmemorija==
Za razliku od povijesti pregledavanja, koja predstavlja tekstualni zapis, predmemorija (cache) sadrži stvarne fragmente sadržaja poput slika, skripti i stilova. Forenzičkom rekonstrukcijom cachea moguće je vizualno reproducirati ono što je korisnik vidio na svom ekranu u određenom trenutku. To je osobito važno u slučajevima kada je izvorni sadržaj s interneta uklonjen ili izmijenjen, jer lokalna kopija pohranjena u cacheu može ostati kao trajni dokaz vizualne interakcije.

{{ :racfor_wiki:seminari2025:cache.png?400 |}}

==Podaci o pretraživanju==
Iako su oni dio povijesti, upiti u tražilicama su posebni artefakt. Takvi podaci često otkrivaju korištenje specifičnih alata za anonimnost ili enkripciju, što forenzičaru daje širi kontekst o tehničkoj potkovanosti korisnika i metodama koje je koristio za prikrivanje tragova.

{{ :racfor_wiki:seminari2025:pretrazivanje.png?400 |}}

Svi ovi artefakti, kada se promatraju kao cjelina, omogućuju forenzičaru da rekonstruira ne samo kronologiju događaja, već i digitalni profil osobnosti korisnika.

===== Izazovi i prepreke u forenzici =====
Unatoč velikom broju artefakata koje preglednici stvaraju, digitalna forenzika se suočava sa sve kompleksnijim preprekama koje proizlaze iz stalnog unaprjeđenja privatnosti korisnika i sigurnosnih protokola. Jedan od izazova je anti-forenzička priroda privatnog načina rada (Incognito mode). On primarno sprječava trajno zapisivanje podataka na tvrdi disk, ali ne onemogućava istragu. Ključni dokazi kao što su povijest i kolačići neće nikada dospjeti u SQLite baze, već samo ostati u radnoj memoriju. Ako se računalo isključi prije nego što se izvrši prikupljanje memorije, ti se podaci nepovratno gube, što forenzičare prisiljava na primjenu live forensics metoda umjesto tradicionalne post-mortem analize diska.

{{ :racfor_wiki:seminari2025:incognito.png?400 |}}

Dodatnu razinu složenosti donosi enkripcija podataka. Nekada su osobni podaci bili lako dostupni i čitljivi, dok moderni preglednici poput onih temeljenih na Chromiumu koriste napredne mehanizme zaštite lozinki i osjetljivih informacija koji su usko vezani uz korisnički profil operacijskog sustava. Bez pristupa login podacima korisnika ili bez posjedovanja ključeva za dešifriranje, forenzičar ne može odgonetnuti šifrirane podatke. Ovaj problem se pogoršava upotrebom vanjskih alata za enkripciju cijelog diska ili specifičnih mapa profila.

Sinkronizacija podataka u oblaku i korištenje prijenosnih verzija preglednika značajno mijenjaju opseg istrage. Korisnički podaci često nisu ograničeni na jedno računalo te se u stvarnom vremenu prenose na poslužitelje ili na druge uređaje korisnika. To bi značilo da lokalni disk ne prikazuje potpunu sliku aktivnosti korisnika. Također tehnike čišćenja podataka i automatsko brisanje predmemorije pri zatvaranju preglednika postaju sve napredniji. Uz pomoć tih alata se brišu zapisi te prepisuju sektori na disku nasumičnim podacima, čime se eliminira mogućnost povrata obrisanih SQLite zapisa. Ovi noviji problemi zahtijevaju od forenzičara neprestano prilagođavanje i razvoj novih vještina koje nisu samo čitanje podataka iz baza podataka.
===== Alati za forenzičku analizu =====
Učinkovitost forenzičke analize web preglednika ovisi o odabiru alata koji forenzičaru omogućuju istraživanje i analizu sirovih podataka pohranjenih u kompleksnim strukturama datoteka. Pošto se većina relevantnih informacija nalazi u SQLite formatu, jedan od temeljnih alata su preglednici baza podataka, poput DB Browser for SQLite. Preglednici baza podataka omogućuju izravan pristup tablicama, izvršavanje SQL upita i pregledavanje slobodnih stranica unutar baze gdje se mogu kriti obrisani podaci koji još nisu prepisani. Ovakvi alati pružaju uvid u integritet samih podataka.

{{ :racfor_wiki:seminari2025:db_browser.png?500 |}}

Namjenski uslužni programi pružaju brzu i automatiziranu analizu specifičnih artefakata, među kojima se ističu alati poput ChromeCacheView i BrowsingHistoryView. Oni su iznimno učinkoviti za brzu ekstrakciju specifičnih tipova podataka. Njihova funkcija je pretvaranje binarnih i kriptiranih zapisa u čitljive formate prilagođene izvještavanju. Oni omogućuju forenzičaru da brzo objedini povijest iz različitih preglednika u jedan kronološki slijed.

{{ :racfor_wiki:seminari2025:chrome_cache.png?500 |}}

Kod složenih istraga koje zahtijevaju poštivanje strogih pravila, standarda i očuvanje lanca dokaza, koriste se sveobuhvatne forenzičke platforme. U ovom slučaju koriste se alati kao što su Magnet AXIOM, Autopsy ili FTK. Ovi sustavi automatski pronalaze i dekodiraju te međusobno povezuju mrežne artefakte. Na primjer platforma može automatski povezati preuzetu datoteku s URL-om s kojeg je došla i ključnom riječi koju je korisnik prethodno upisao u tražilicu. Također ovi alati posjeduju module za dešifriranje lozinki i analizu predmemorije što forenzičaru omogućuje bolju reprezentaciju i vizualizaciju podataka kroz grafove i mape, što može biti ključno na sudu. Korištenjem ovih alata smanjuje se mogućnost da neki dobro skriveni podataci ostanu neprimjećeni.

{{ :racfor_wiki:seminari2025:autopsy_web_art.png?500 |}}
===== Zaključak =====
Analiza web preglednika danas predstavlja jedan od važnijih sastavnica digitalne forenzike s obzirom na to da su preglednici postali dio svakodnevnog korištenja interneta. Kroz razumijevanje arhitekture pokretača poput Chromiuma, Gecka ili WebKita, forenzičari dobivaju uvid u vizualnu prezentaciju stranica te dobivaju preciznu sliku načina na koji se podaci trajno pohranjuju u memoriju. Uvođenje SQLite i JSON formata omogućilo je standardizaciju pohrane povijesti pregledavanja, kolačića i metapodataka te olakšalo rekonstrukciju korisničkih aktivnosti, čak i u slučajevima kada ih je korisnik pokušao prikriti.
Iako se postiže značajan napredak u razvoju kvalitetnijih alata i metoda digitalne forenzike web preglednika, to područje i dalje predstavlja stalnu borbu između zaštite privatnosti i potreba forenzičkih istraga. Napredni forenzički alati omogućuju automatizaciju i korelaciju dokaza, no i dalje postoje izazovi poput enkripcije podataka, korištenja incognito načina te sinkronizacije podataka u oblaku, što otežava provedbu forenzičkih istraga. Zbog toga se forenzičar ne smije oslanjati isključivo na automatizirane rezultate, već mora imati znanje o tome kako web artefakti nastaju i na koji se način povezuju u cjelinu.
Digitalni tragovi ostavljeni u pregledniku govore puno više od same kronologije posjeta, oni prikazuju namjere, navike i identitet korisnika. Sposobnost precizne ekstrakcije i interpretacije web podataka ostaje ključna za rješavanje suvremenih kibernetičkih i klasičnih kaznenih djela.
===== Literatura =====

[1] Garsiel, T. & Irish, P. Dokumentacija. How Browsers Work: Behind the scenes of modern web browsers: [[https://www.html5rocks.com/en/tutorials/internals/howbrowserswork/]]

[2] CIS.hr. WikiIS. Web forenzika: [[https://www.cis.hr/WikiIS/doku.php?id=web_forenzika]]

[3] Arhitektura Chromium preglednika :[[https://chromium.googlesource.com/chromium/src/+/HEAD/docs/user_data_dir.md]]

[4] Struktura Firefox profila (Gecko): [[https://support.mozilla.org/en-US/kb/profiles-where-firefox-stores-user-data]]

[5] Alat za analizu SQLite podataka (DB Browser): [[https://sqlitebrowser.org/]]

[6] Autopsy : [[https://www.autopsy.com/]]

[7] IBM digital forensics : [[https://www.ibm.com/think/topics/digital-forensics]]