Forenzika igraćih konzola

Video: Forenzika igraćih konzola

Igraće konzole, poput PlayStation-a i Xbox-a, već dugo nisu samo uređaji za zabavu. S razvojem tehnologije, moderne konzole postale su kompleksni sustavi slični osobnim računalima, nudeći funkcionalnosti poput internetskog pregledavanja, online komunikacije i multimedijskih mogućnosti. Upravo zbog tih proširenih funkcionalnosti, konzole su postale atraktivne mete za zlonamjerne aktivnosti, od cyber-kriminala do pohrane digitalnih dokaza povezanih s kaznenim djelima.

Forenzička analiza igraćih konzola relativno je novo područje unutar računalne forenzike. Istraživači i stručnjaci suočavaju se s izazovima poput enkripcije podataka, nestandardnih datotečnih sustava te povezanosti konzola s online servisima. Cilj forenzičke analize konzola je identificirati, prikupiti i analizirati digitalne dokaze na način koji je legalno prihvatljiv, istovremeno održavajući integritet podataka.

Ovaj rad istražuje ključne aspekte forenzike igraćih konzola, razmatra metode i alate koji se koriste u analizi te pruža pregled specifičnih izazova i mogućnosti za popularne konzole PlayStation 4 i Xbox One.

Ovaj rad istražuje forenzičku analizu igraćih konzola, s posebnim naglaskom na PlayStation 4 i Xbox One, pružajući detaljan pregled metoda, izazova i preporučenih postupaka. Konzole su zbog svojih proširenih funkcionalnosti postale ne samo uređaji za igru već i potencijalni izvori digitalnih dokaza povezanih s raznim kriminalnim djelima. Rad analizira ključne aspekte forenzike, uključujući pohranu podataka na internim i vanjskim diskovima, mrežnu povezanost te specifične operativne sustave konzola. Detaljno su opisani koraci analize, od prikupljanja podataka preko korištenja forenzičkih alata do očuvanja integriteta dokaza, te su objašnjeni ključni izazovi poput enkripcije i volatilnosti podataka. Također, razmatraju se specifični podaci koji se mogu prikupiti s konzola, poput povijesti pregledavanja, poruka, snimaka zaslona i aktivnosti korisnika, uz preporučene postupke za offline i online analize.

Forenzika igraćih konzola predstavlja specifično područje unutar računalne forenzike koje se bavi analizom podataka pohranjenih na sustavima koji su primarno namijenjeni igranju video igara. Ova disciplina zahtijeva detaljno razumijevanje tehničkih elemenata konzola, kao i specifičnih metoda za prikupljanje i analizu dokaza. Ne postoji jednoznačan pristup forenzici igraćih konzola, jer svaka konzola ima različit hardver i softver. Čak i konzole koje su dio iste serije (PlayStation, Xbox, Nintendo itd.), ali različite generacije, često imaju značajno različit pristup forenzici na toj platformi.

Prilikom analize igraće konzole, forenzičari obično identificiraju ključne izvore podataka, kao što su:

• Unutarnji tvrdi diskovi: Većina konzola (pogotovo modernije) koristi interne tvrde diskove za pohranu instaliranih video igara i pohranu multimedijskog sadržaja.
• Vanjski uređaji za pohranu: Vanjski uređaji za pohranu, poput USB stickova, eksternih tvrdih diskova ili memorijskih kartica, često služe za proširenje dostupne memorije konzole. Oni mogu sadržavati podatke poput spremljenih stanja igre, konfiguracijskih datoteka i medijskih datoteka (snimke zaslona, videozapisi).
• Operativni sustav konzole: Svaka konzola koristi specifičan operativni sustav, koji može biti prilagođen ili posve drugačiji od standardnih računalnih sustava. OS je obično pohranjen na odvojenom mediju od primarne memorije, kako bi u bilo kojem trenutku bilo moguće napraviti resetiranje konzole na tvorničke postavke.
• Mrežna povezanost: Današnje konzole podržavaju online značajke poput sinkronizacije s oblakom, preuzimanja sadržaja i mrežne komunikacije.

Neke generalne smjernice za proces forenzičke analize igraćih konzola su:

1. Priprema i planiranje: Prije početka analize, važno je dobro isplanirati postupak. Ovo uključuje prikupljanje informacija o specifičnoj konzoli koja će se analizirati, kao i odabir odgovarajućih alata i tehnika koje će se koristiti. U ovom koraku također treba definirati ciljeve analize i potencijalne izvore podataka koji će se ispitati.
2. Prikupljanje podataka: Akvizicija podataka uključuje fizičko ili logičko preuzimanje podataka s konzole. To može uključivati uklanjanje hard diska iz konzole i njegovu sliku uz pomoć write-blockera kako bi se spriječila bilo kakva promjena originalnih podataka. U slučaju modernih konzola, jačanje sigurnosnih mjera može otežati ovaj korak, ali je kritično za očuvanje integriteta dokaza.
3. Analiza podataka: Ovaj proces može uključivati upotrebu forenzičkih alata (npr. FTK Imager ili Autopsy) za pregled i analizu podataka. Traže se specifični podatci, kao što su korisnički računi, povijest igara i komunikacijski podaci. U ovom koraku, također je važno provesti pretragu ključnih riječi kako bi se brzo identificirali relevantni podaci.
4. Istraživanje mrežnih podataka: Mnoge igraće konzole omogućuju online povezivanje, što znači da je važno analizirati mrežnu aktivnost. Ova analiza može uključivati pregledavanje podataka o mrežnom prometu i korištenje alata za prikupljanje informacija (npr. NetworkMiner ili WireShark) o IP adresama, sesijama i komunikacijama. Ova informacija može pružiti uvid u ponašanje korisnika i interakcije s drugim igračima.
5. Nalazi i pohrana dokaza: Svi koraci analize moraju biti dokumentirani radi transparentnosti i mogućnosti ponovnog pregleda, uključujući bilježenje postupaka, korištenih alata i rezultata analize. Nakon analize, ključno je osigurati pravilno pohranjivanje i zaštitu dokaza od bilo kakvih promjena ili oštećenja, što može uključivati stvaranje dodatnih slika podataka.

Tijekom forenizčke analize igraćih konzola, preporuča se praćenje službenih smjernica organizacije Association of Chief Police Officers, pod nazivom ACPO Good Practice Guide for Digital Evidence:

https://www.digital-detective.net/digital-forensics-documents/ACPO_Good_Practice_Guide_for_Digital_Evidence_v5.pdf

Slika 1. PlayStation 4 konzola

Forenzički izazovi vezani uz Sony PlayStation 4 uključuju nekoliko specifičnih poteškoća koje otežavaju istrage. PS4 koristi nestandardni datotečni sustav, što predstavlja značajnu prepreku u analizi jer čak ni osnovni alati ne mogu prepoznati strukturu datoteka na disku, što upućuje na enkripciju ili prilagođeni format spremnika. Iako se čvrsti disk konzole može snimiti pomoću uređaja za zaštitu od pisanja, enkripcija otežava dubinsku analizu koja uključuje artefakte operativnog sustava.

Promjene firmwarea također uvode nestabilnost u sustav tijekom analize s određenim alatima, što zahtijeva prelazak na naprednije alate za održavanje forenzičkog integriteta. Na primjer, ako konzola ima firmware verzije 1.70 i novijim, sadržaj ovisan o PlayStation Networku (PSN) više nije dostupan izvan mreže, čime je ograničena mogućnost pristupa ključnim dokazima bez internetske veze. Uz to, korisnici mogu mijenjati ili brisati potencijalne dokaze putem drugih uređaja povezanih s PSN-om, poput aplikacija za pametne telefone ili drugih konzola, što dodatno komplicira proces istrage.

Zbog navedenih izazova, najkorisnija metoda forenzike je dobivanje podataka pomoću korisničkog sučelja PlayStation 4 konzole. Potencijalno korisni podatci koji mogu nastati kao rezultat forenzičke analize su navedeni u tablici 1.

Tablica 1. Korisni podatci PlayStation 4 konzole za forenzičku analizu

Kako bi se provela forenzička analiza Sony PlayStation 4 konzole i očuvao integritet dokaza, preporučuje se sljedeći postupak:

1. Uklonite tvrdi disk iz konzole i stvorite forenzičku kopiju diska. Isključite pristup internetu. Sačuvana kopija diska može poslužiti za naknadnu provjeru rezultata.

2. Ponovno povežite tvrdi disk koristeći SATA write blocker (npr. Voom Shadow 3) s funkcijom međuspremnika (kao što je prikazano na slici 2), koji će poslužiti kao posrednik između diska i konzole.

3. Aktivirajte uređaj za video snimanje i zabilježite točno vrijeme. Uključite konzolu PlayStation 4 i sinkronizirajte DualShock kontroler.

4. Zabilježite datum i vrijeme prikazano na konzoli te ih usporedite sa stvarnim vremenom. Ako postoji vremensko odstupanje, treba ga uzeti u obzir prilikom analize vremenskih oznaka podataka.

5. Pristupite sučelju i zabilježite podatke iz sljedećih funkcionalnosti sustava:

• Povijest grešaka - Analizu započnite pregledom povijesti grešaka kako biste izbjegli dodavanje novih grešaka tijekom istrage.
• Internet preglednik - Zabilježite povijest pregledavanja stranica, spremljene stranice (bookmarks) i nedavno otvorene stranice.
• Upravljanje sustavom pohrane – Pregledajte informacije o iskorištenosti prostora za pohranu.
• Galerija snimaka – Upotrijebite USB uređaj za preuzimanje svih sadržaja iz galerije (screenshotova i videozapisa).
• Osnovne informacije o korisničkom profilu.
• Poruke iz grupa.
• Poruke.
• Obavijesti.
• Povijest grešaka – Ponovno zabilježite sve greške generirane tijekom istrage.

6. Isključite konzolu PlayStation 4 i uređaj za video snimanje te zabilježite točno vrijeme isključivanja.

Slika 2. Voom Shadow 3 write blocker spojen na PlayStation 4

Ako su dostupni podaci za prijavu na PlayStation Network (PSN), dodatne informacije (poput trofeja, profila, liste prijatelja itd.) mogu se preuzeti na drugoj PlayStation 4 konzoli. Istražitelji se također moraju pripremiti na mogućnost da zlonamjerni korisnici mogu mijenjati ili uklanjati sadržaj putem drugih povezanih uređaja, pogotovo ako znaju da se forenzički analizira njihova konzola. Ako podaci za prijavu nisu dostupni, istražitelj će morati odlučiti hoće li originalnu konzolu povezati na internet. Važno je istaknuti da povezivanje na mrežu može uzrokovati ažuriranja ili prepisivanje postojećih podataka, čak i ako se koristi write blocker.

Slika 3. Xbox One

Kod forenzike Xbox One konzole, postoje brojni izazovi, sa nekim sličnostima sa forenzikom PlayStation 4 konzole. Iako Xbox One koristi standardni NTFS datotečni sustav (isti se nalazi u Windows operacijskim sustavima), podatci na hard disku konzole su radi sigurnosti šifrirani. Datotekama u izvornom formatu nije moguće pristupiti, no zbog prirode NTFS-a moguća je analiza vremenskih oznaka datoteka pomoću same slike diska.

Konzole Xbox One se spajaju na mrežni servis Xbox Live, koji je potreban za sudjelovanje u online socijalnim aktivnostima i za igranje umreženih video igara. Također, za najkvalitetniju forenzičku analizu potrebno je isključiti automatsko ažuriranje firmware verzije Xbox One konzole jer ažuriranja mogu utjecati na podatke koji se nalaze na konzoli u trenutku potrebe za forenzičkom analizom.

Također jedna bitna razlika u usporedbi s forenzikom konzole PlayStation 4 je to da u pravilu nije moguće pokrenuti konzolu koristeći standardne write blockere za hard disk poput Voom Shadow 3 i Tableau T3458is uređaja. Zbog toga se preporučuje napraviti kopiju diska, te forenzički analizirati kopiju umjesto originalnog diska.

Najoptimalniji pristup forenzičkoj analizi konzole je interakcija sa korisničkim sučeljem Xbox One konzole. Neki od korisnih podataka koji bi se mogli pronaći na konzoli su navedeni u tablici 2.

Tablica 2. Korisni podatci koji se mogu pronaći u Xbox One konzoli.

U tablici 3 naveden je broj dana koliko dugo određeni podatak ostaje u memoriji konzole bez povezivanja na internet.

Tablica 3. Volatilnost podataka igraće konzole Xbox One

Kako bi se provela forenzička analiza Xbox One konzole i očuvao integritet dokaza, preporučuje se sljedeći postupak:

1. Uklonite hard disk iz konzole i napravite forenzičku sliku diska (pomoću npr. FTK Imager alata).

2. Klonirajte disk na novi hard disk, pa zatim ubacite novi klonirani disk nazad u konzolu.

3. Za sada onemogućite spajanje konzole na internet.

Offline analiza:

4. Aktivirajte uređaj za video snimanje i zabilježite točno vrijeme. Uključite Xbox One konzolu.

5. Zabilježite datum i vrijeme prikazano na konzoli te ih usporedite sa stvarnim vremenom. Ako postoji vremensko odstupanje, treba ga uzeti u obzir prilikom analize vremenskih oznaka podataka.

6. U izborniku odaberite “My Game & App” te zatim identificirajte instalirane igre i aplikacije

7. Pod pretpostavkom da je korisnik ostao prijavljen u svoj račun, napravite sljedeće:

• Identificirajte ime, prezime i gamertag korisnika klikom na “My Profile”
• Provjerite ako je korisnik spremio snimke zaslona i video isječke
• Provjerite obavijesti korisnika

8. U postavkama sustava, onemogućite automatsko ažuriranje sustava.

Online analiza:

9. Spojite konzolu na internet pa provjerite sljedeće:

• Ponovno provjerite obavijesti, za slučaj da su se pojavile neke nove
• Popis aktivnosti korisnika i njegovih prijatelja
• Poruke korisnika
• Detaljnije informacije o korisniku (adresa e-pošte, adresa, informacije o plaćanju i ostalo)
• Povijest web preglednika
• Provjeriti ako je korisnik ostao ulogiran u neke od društvenih mreža (Facebook, Twitter, …) koje bi mogle dovesti do više informacija koje bi mogle pomoći u istraživanju incidenta
• Snimke zaslona i video isječci spremljeni na serveru
• Sykpe
• OneDrive
• Popis prijatelja

10. Isključiti konzolu i prekinuti snimanje

11. Opcionalno ponoviti cijeli proces forenzičke analize, za potvrdu da ništa nije promaknulo.

12. Pomoću forenzičke slike diska, skupiti NTFS vremenske oznake datoteka na disku. Ovaj korak može biti koristan ukoliko želimo saznati ako je hard disk bio na bilo koji način vanjski manipuliran (npr. skrivanje dokaza). Mogu se saznati stvari poput:

• Datum zadnje sesije korištenja sustava gdje se je instalirala barem jedna igra/aplikacija
• Datum instaliranja aplikacija (potrebno je unaprijed znati identifikacijski broj aplikacije)
• Broj spojenih kontrolera u određenim vremenskim trenutcima
• Datum prvog korištenja konzole

Kao i kod analize PlayStation 4 konzole, ako su dostupni podaci za prijavu na Xbox Live, neke od navedenih podataka mogu se preuzeti na drugoj Xbox One konzoli. Istražitelji se također moraju pripremiti na mogućnost da zlonamjerni korisnici mogu mijenjati ili uklanjati sadržaj putem drugih povezanih uređaja, pogotovo ako znaju da se forenzički analizira njihova konzola.

Forenzika igraćih konzola predstavlja relativno novo, ali ključno područje unutar digitalne forenzike, zbog sve kompleksnijih funkcionalnosti i povezanosti konzola s mrežnim servisima. Analiza konzola poput PlayStation 4 i Xbox One pokazuje da ove platforme nisu samo uređaji za igru, već i potencijalni izvori ključnih dokaza za razne kriminalne aktivnosti. Glavni izazovi uključuju prilagođene operativne sustave, enkripciju podataka i volatilnost informacija, što zahtijeva specifične alate i metode prilagođene svakoj konzoli. Iako postoje značajne tehničke prepreke, učinkovita forenzička analiza omogućava prikupljanje vrijednih podataka, uključujući povijest aktivnosti, mrežnu komunikaciju i korisničke interakcije. Ovaj rad doprinosi boljem razumijevanju potencijala i izazova u forenzičkoj analizi konzola, ističući važnost prilagodbe forenzičkih metoda brzom tehnološkom razvoju.

[1] Khanji, S., Jabir, R., Iqbal, F., & Marrington, A. (2016). Forensic analysis of Xbox One and PlayStation 4 gaming consoles. https://www.researchgate.net/publication/312560894_Forensic_analysis_of_xbox_one_and_playstation_4_gaming_consoles

[2] Davies, M., Read, H., Xynos, K., & Sutherland, I. (2015). Forensic analysis of a Sony PlayStation 4: A first look. https://www.researchgate.net/publication/273261827_Forensic_analysis_of_a_Sony_PlayStation_4_A_first_look

[3] Al-Haj, A. M. (2015). Forensics analysis of Xbox One game console. https://www.researchgate.net/publication/331553922_Forensics_Analysis_of_Xbox_One_Game_Console

[4] Association of Chief Police Officers (2012). ACPO Good Practice Guide for Digital Evidence https://www.digital-detective.net/digital-forensics-documents/ACPO_Good_Practice_Guide_for_Digital_Evidence_v5.pdf

[5] Voom Technologies. Voom Shadow 3. https://www.voomtech.com/shadow-3