SlideShare a Scribd company logo
1 of 305
Download to read offline
UNIVERZITET SINGIDUNUM
Prof. dr Milan Milosavljeviđ
Doc. dr Gojko Grubor
ISTRAGA KOMPJUTERSKOG
KRIMINALA
M›ãʗʽʊ»Ê - ã›HÄʽʊ»› ÊÝÄÊò›
Beograd,
ISTRAGA KOMPJUTERSKOG KRIMINALA
M›ãʗʽʊ»Ê-ã›HÄʽʊ»› ÊÝÄÊò›
Autori:
Prof. dr Milan Milosavljeviđ
Doc. dr Gojko Grubor
RecenzenƟ:
Prof. dr Milovan Stanišiđ
Prof. dr Branko Kovaēeviđ
Izdavaē:
UNIVERZITET SINGIDUNUM
Beograd, Danijelova 32
www.singidunum.ac.rs
Za izdavaēa:
Prof. dr Milovan Stanišiđ
Tehniēka obrada:
Novak Njeguš
Dizajn korica:
Milan Nikoliđ
Godina izdanja:
2009.
Tiraž:
300 primeraka
Štampa:
UGURA print, Beograd
www.cugura.rs
ISBN: 978-86-7912-
IIISƒ—ÙŽƒJ
SADRŽAJ
I. METODOLOaKE OSNOVE ISTRAGE
KOMPJUTERSKOG KRIMINALA
UVOD 3
1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGE
KOMPJUTERSKOG KRIMINALA 6
1.1 KRATAK PREGLED RAZVO:A DIGITALNE FORENZIKE ISTRAGE
KOMP:UTERSKOG KRIMINALA I ANALIZE DIGITALNIH DOKAZA 8
1.2 STANDARDIZACI:A PROCEDURA DIGITALNE FORENZIKE ISTRAGE
kompjuterskog kriminla 10
1.2.1 DeĮnicije kljuēnih termina digitalne forenziēke istrage 10
1.2.2 Principi upravljanja digitalnim dokazima 11
1.2.3 Struktura standardne operaƟvne procedure 12
1.2.4 Standardi i kriterijumi digitalne forenziēke istrage 13
1.2.4.1 Standardi i kriterijumi 1.1 13
1.2.4.2 Standardi i kriterijumi 1.2 13
1.2.4.3 Standardi i kriterijumi 1.3 13
1.2.4.4 Standardi i kriterijumi 1.4 14
1.2.4.5 Standardi i kriterijumi 1.5 14
1.2.4.6 Standardi i kriterijumi 1.6 14
1.2.4.7 Standardi i kriterijumi 1.7 15
1.2.4.8 Standard prihvatljivosƟ procedure 15
1.2.5 Standardizacija procedure privremenog oduzimanja
raēunara kao dokaznog materijala 15
1.2.6 Procedura za obezbeĜivanje kopija dokaza 17
1.2.7 Standardna procedura nauēnog karaktera digitalnog dokaza 18
1.2.8 Standardna procedura tesƟranja forenziēkih alata 19
1.2.9 Legalni zahtevi za digitalne dokaze 21
1.2.10 Dostupnost standardnih procedura i alata 21
1.2.11 Tela za akreditaciju standarda digitalnih forenziēkih laboratorija 22
REZIME 23
PITAN:A ZA PONAVL:AN:E 24
2. ISTRAGA KOMPJUTERSKOG KRIMINALA
2.1 ZVANINA ISTRAGA KOMP:UTERSKOG KRIMINALA 25
2.2 KORPORACI:SKA DIGITALNA FORENZIKA ISTRAGA 27
2.2.1 Uspostavljanje Ɵma za upravljanje kompjuterskim incidentom 30
2.2.2 Procedura odreĜivanja karaktera kompjuterskog incidenta 31
2.2.3 Model troškova korporacijske forenziēke istrage 33
IV IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
2.3 PROCES KORPORACI:SKE ISTRAGE 37
2.4 ISTRAGA AKTIVNOG INCIDENTA ͵ STUDI:A SLUA:A 42
2.4.1 Scenario u kojem je napadaē na mreži 42
2.4.1.1 Sluēaj direktnog napada 43
2.4.1.2 Sluēaj napada preko telefonske centrale 44
2.4.1.3 Mrežne tehnike za postavljanja zamke i prađenje traga napadaēa 44
2.5 TIM ZA ISTRAGU KOMP:UTERSKOG KRIMINALA 47
2.5.1 Interventni Ɵm za korporacijsku istragu kompjuterskog incidenta 47
2.6 REZULTATI KORPORACI:SKE ISTRAGE KOMP:UTERSKOG INCIDENTNA 48
REZIME 50
PITAN:A ZA PONAVL:AN:E 51
3. FUNKCIONALNI MODELI DIGITALNE FORENZIKE ISTRAGE 52
3.1 MODEL ISTRAGE FIZIKOG MESTA KRIVINOG DELA 52
3.2 MODEL ZVANINE ISTRAGE DIGITALNOG MESTA KRIVINOG DELA 53
3.3 KORPORACI:SKI MODEL ISTRAGE KOMP:UTERSKOG INCIDENTA 53
3.4 MODEL INTEGRISANIH PROCESA DIGITALNE FORENZIKE ISTRAGE 54
3.4.1 Faza pripreme 57
3.4.2 Faza razvoja 57
3.4.2.1 Faza detekcije i izveštavanja 58
3.4.2.2 Faza potvrde i autorizacije 58
3.4.3 Faza istrage Įziēkog mesta kriviēnog dela 58
3.4.3.1 Faza obezbeĜivanja (Įksiranja) Įziēkog mesta kriviēnog dela 59
3.4.3.2 Faza revizije Įziēkog mesta kriviēnog dela 59
3.4.3.3 Faza dokumentovanja Įziēkog mesta kriviēnog dela 60
3.4.3.4 Faza pretrage i sakupljanja dokaza sa Įziēkog
mesta kriviēnog dela 60
3.4.3.5 Faza rekonstrukcije Įziēkog mesta kriviēnog dela 61
3.4.3.6 Faza ekspertskog svedoēenja/veštaēenja Įziēkog
mesta kriviēnog dela 61
3.4.4 Faza istrage digitalnog mesta kriviēnog dela 62
3.4.4.1 Faza Įksiranja digitalnog mesta kriviēnog dela 63
3.4.4.2 Faza pretrage digitalnog mesta kriviēnog dela 63
3.4.4.3 Faza dokumentovanja digitalnog mesta kriviēnog dela 64
3.4.4.4 Faza sakupljanja digitalnih dokaza sa digitalnog
mesta kriviēnog dela 65
3.4.4.5 Faza rekonstrukcije digitalnog mesta kriviēnog dela 65
3.4.4.6 Faza prezentacije digitalnog mesta kriviēnog dela 66
3.4.4.7 Faza provere 66
3.5 MODEL DOMENA SLUA:A DIGITALNE FORENZIKE ISTRAGE 67
REZIME 70
PITAN:A ZA PONAVL:AN:E 71
VSƒ—ÙŽƒJ
4. DIGITALNI DOKAZ 72
4.1 DIGITALNI KOMP:UTERSKI DOKAZ 72
4.2 PRAVOSUDNI ASPEKT DIGITALNIH KOMP:UTERSKIH DOKAZA 73
4.3 UPRAVL:AN:E DIGITALNIM DOKAZIMA 75
4.3.1 Procedura sakupljanja posrednih kompjuterskih dokaza 76
4.4 KORISNICI KOMP:UTERSKIH DIGITALNIH DOKAZA 78
4.5 PRIPREMA DIGITALNIH DOKAZA ZA VEŠTAEN:E PRED SUDOM 79
4.6 PREPORUKE IOCE ZA UPRAVL:AN:E DIGITALNIM DOKAZIMA 79
REZIME 81
PITAN:A ZA PONAVL:AN:E 82
KL:UNI TERMINI 83
LITERATURA 84
II. TE,NOLOaKE OSNOVE DIGITALNE
FORENZIKE ISTRAGE
UVOD 89
1. DIGITALNA FORENZIKA NAUKA 90
REZIME 93
PITAN:A ZA PONAVL:AN:E 94
2. FORENZIKA AKVIZICIJA DIGITALNI, PODATAKA 95
2.1 FUNKCIONALNI MODEL FORENZIKE AKVIZICI:E DIGITALNIH PODATAKA 95
2.1.1 Lokardov princip razmene materije 95
2.1.2 Redosled sakupljanja nestabilnih podataka 97
2.2 AKTIVNA FORENZIKA AKVIZICI:A 98
2.2.1 Razvoj akƟvne forenziēke akvizicije 99
2.2.2 Metodi akƟvne digitalne forenziēke akvizicije 107
2.2.3 Izbor i priprema forenziēkih alata za akƟvnu akviziciju 113
2.2.4 PrednosƟ i nedostaci akƟvne forenziēke akvizicije 118
REZIME 124
PITAN:A ZA PONAVL:AN:E 126
3. FORENZIKA ANALIZA DIGITALNI, PODATAKA 127
3.1 DIGITALNA FORENZIKA ANALIZA 127
3.1.1 Forenziēka analiza soŌvera 127
3.1.2 Forenziēka analiza raēunara 128
3.1.3 Forenziēka analiza u virtuelnom okruženju 129
3.1.3.1 Studija sluēaja digitalne forenziēke analize virtuelne mašine 131
3.1.4 Digitalna forenziēka analizaraēunarske mreže 132
3.1.5 Forenziēka analiza kiberneƟēkog prostora 135
VI IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
3.2 ZNAA: SLO:EVA APSTRAKCI:E ZA DIGITALNU FORENZIKU ANALIZU 140
3.2.1 Greške u slojevima apstrakcije 141
3.2.2 KarakterisƟke slojeva apstrakcije 142
3.2.3 Apstrakcioni slojevi FAT fajl sistema 143
3.2.4 Zahtevi za alate za digitalnu forenziēku analizu 146
3.3 UTICA: SKRIVAN:A DIGITALNIH DOKAZA NA TEHNIKE FORENZIKE ANALIZE 147
3.4 PROCES FORENZIKE ANALIZE VRSTOG DISKA 149
3.4.1 Tok procesa digitalne forenziēke analize 149
3.4.2 IACS procedura kompletnog ispiƟvanja ēvrstog diska 155
REZIME 157
PITAN:A ZA PONAVL:AN:E 159
4. FORENZIKI ALATI 160
4.1 RAZVO: FORENZIKIH ALATA 160
4.2 OPŠTE KARAKTERISTIKE 161
4.2.1 Tehnike i alaƟ za akviziciju digitalnih podataka 162
4.2.2 Validacija i diskriminacija podataka 164
4.2.3 Ekstrakcija digitalnih podataka 165
4.2.4 Rekonstrukcija osumnjiēenog diska 167
4.2.4.1 Forenziēki alaƟ za oporavak fragmenƟranog fajla 168
4.2.5 Izveštavanje o digitalnim dokazima 170
4.3 HARDVERSKI FORENZIKI ALATI 170
4.3.1 Blokatori upisivanja i drugi hardverski forenziēki alaƟ 172
4.4 SOFTVERSKI FORENZIKI ALATI 180
4.4.1 Forenziēki alaƟ komandne linije 180
4.4.2 SoŌverski forenziēki alat zatvorenog koda EnCase v4 GUI Ɵpa 181
4.4.3 Analiza Access Data FTK forenziēkog alata 199
4.4.4 Forenziēki alaƟ otvorenog izvornog koda 222
4.4.4.1 Znaēaj poznavanja izvornog koda forenziēkih alata 222
4.4.4.2 Forenziēki alaƟ otvorenog koda 224
4.4.4.3 SPADA forenziēki alat na bazi Linux OS 227
4.4.4.4 PrdnosƟ i nedostaci Linux baziranih forenziēkih alata 236
4.4.5 KomparaƟvni pregled funkcija kljuēnih forenziēkih alata 238
4.4.6 Validacija i tesƟranje forenziēkih alata 239
4.4.6.1 Razvoj procesa validacije forenziēkih alata 239
4.4.6.2 Proces tesƟranja soŌverskih forenziēkih alata 239
4.4.6.3 Procedura za validaciju forenziēkog alata 242
4.5 STUDI:A SLUA:A: AKVIZICI:A IZVRŠNIH FA:LOVA, RUTKITOVA,
ZADN:IH VRATA I SNIFERA 243
4.5.1 Rutkit alaƟ 243
4.5.1.1 Podela rutkit alata 244
4.5.1.2 Napad rutkit alaƟma 245
4.5.2 Detekcija rutkitova, zadnjih vrata i mrežnih snifera 248
VIISƒ—ÙŽƒJ
4.5.2.1 Detekcija prisustva rutkitova 248
4.5.2.2 Detekcija prisustva zadnjih vrata 251
4.5.2.3 Detekcija prisustva mrežnih snifera 254
REZIME 255
PITAN:A ZA PONAVL:AN:E 257
KL:UNI TERMINI 258
LITERATURA 262
III. SVEDOENJE I VEaTAENJE U INFORMACIONO
KOMUNIKACIONIM TE,NOLOGIJAMA
1. ISKUSTVA SVEDOENJA I VEaTAENJA IZ DRUGI,
NAUNOͳTE,NIKI, DISCIPLINA 267
1.1 SUDSKI VEŠTACI ZA SAOBRAA: 267
1.2 EKSPERTI ZA FORENZIKU ANALIZU UMETNIKIH DELA 267
1.3 FORENZIAR GEOLOG I EKSPERT ZA TA:NE GROBNICE 267
1.4 ISKUSTVA IZ SUDSKE MEDICINE 268
1.5 FORENZIKI ENTOMOLOZI 268
REZIME 269
PITAN:A ZA PONAVL:AN:E 269
2. SPECIFINOSTI SVEDOENJA I VEaTAENJA
U KOMPJUTERSKOM KRIMINALU 270
2.1 PRIPREMA DOKAZA ZA SUDSKI PROCES 272
2.2 PRELIMINARNA PRIPREMA TUIOCA 272
2.3 KOMUNIKACI:E U PREDISTRANOM POSTUPKU 272
2.4 DEFINISAN:E USLOVA ZA IZNOŠEN:E DIGITALNIH DOKAZA 273
2.5 PRIHVATL:IVOST KOMP:UTERSKI GENERISANIH DIGITALNIH
DOKAZA NA SUDU 273
2.6 SVEDOEN:E I VEŠTAEN:E IKT EKSPERTA 274
2.6.1 Edukovanje pravosudnih organa 275
2.6.2 Veštaēenje i nauēne metode dokazivanja kompjuterskog kriminala 275
2.6.2.1 Rekonstrukcija dogoĜaja u sudskom postupku
kompjuterskog kriminala 275
2.6.2.2 Instruisanje porote 276
REZIME 277
PITAN:A ZA PONAVL:AN:E 278
KL:UNI TERMINI 279
LITERATURA 281
PRILOG I 282
PRILOG II 287
VIII IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
SPISAK SLIKA
Slika 1.1 Skladište ēuvanja digitalnih dokaza 14
Slika 1.2 Daubert princip prihvatljivosƟ digitalnih dokaza na sudu 19
Slika 2.1 HipoteƟēka distribucija vrednosƟ i troškovi za otvaranje,
standardizovane (levo) i zatvorene, autorske (desno) plaƞorme 35
Slika 3.1 Fiziēko mesto kriviēnog dela kompjuterskog kriminala 52
Slika 3.2 Faze modela integrisanih procesa digitalne forenziēke istrage 56
Slika 3.3 Faze i interakcija istrage Įziēkog i digitalnog mesta kriviēnog dela 59
Slika 3.4 Faze forenziēke istrage digitalnog mesta kriviēnog dela 62
Slika 1.1 Proces digitalne forenzike 91
Slika 2.1 Sadržaj šifrovanog fajla u AccessData FTK Imager alatu 101
Slika 2.2 Sadržaj dešifrovanog fajla u AccessData FTK Imager alatu 102
Slika 2.3 ParƟcija E šifrovana sa BestCrypt alatom 102
Slika 2.4 Forenziēka slika šifrovanog HD u AccessData FTK Imager alatu 103
Slika 2.5 Operacija ēišđenja fajlova pomođu BestCrypt alata 104
Slika 2.6 Prozor uzimanja imidža u ProDiscover IR forenziēkom alatu 104
Slika 2.7 Dešifrovani dokument u RAM memoriji u ProDiscover IR alatu 105
Slika 2.8 Pogled na sadržaj Įziēke memorije u ProDiscover IR alatu
koji indicira da je BestCrypt proces akƟvan 106
Slika 2.9 Dešifrovani sadržaj HD u toku akƟvne akvizicije sa forenziēkim
alatom ProDiscover IR 107
Slika 2.10 Helix forenziēki alat za upravljanje incidentom,
oporavak podataka i forenziēko podizanje ispiƟvanog sistema 108
Slika 2.11 AkƟvna akvizicija pomođu forenziēkog alata Helix 109
Slika 2.12 GUI alat Nigilant (32) 110
Slika 2.13 Uspostavljanje veze pomođu Remote Admnistrator 114
Slika 2.14 Radmin Viewer 115
Slika 2.15 Sistemsko vreme i datum u Windows XP OS 115
Slika 2.16 GUI klijent za kopiranje fajla 118
Slika 2.17 Prikaz svih USB ureĜaja povezanih na raēunar u USBDeview alatu 119
Slika 2.18 Primer sistemskih informacija dobijenih akƟvnom
akvizicijom sa LiveWire alatom 120
Slika 2.19 Pogled na akƟvne procese u LiveWire forenziēkom alatu 121
Slika 2.20 Otkrivanje šifre za rad keylogger-a u memoriji sa LiveWire alatom 121
Slika 2.21 Trag Hacker Defender-a u Įziēkoj memoriji u LiveWire alatu 122
Slika 2.22 Drugi pogled na Hacker Defender u RAM memoriji u LiveWire alatu 122
Slika 3.1 Proces dualne analize podataka 131
Slika 3.2 Ulazni i izlazni podaci apstrakcionog sloja 140
Slika 3.3 Slojevi apstrakcije HTML dokumenta 143
Slika 3.4 Tok procesa digitalne forenziēke analize 152
Slika 4.1 Primer prozora u WinHex alatu Northon Commander-a 163
IXSƒ—ÙŽƒJ
Slika 4.2 Prikaz thumbnalis slika u foremziēkom alatu File Hound 169
Slika 4.3 Tipovi hardverskih blokatora 174
Slika 4.4 Primeri IDEi SATA diskova 174
Slika 4.5 Sakupljanje podataka sa klasiēnih 3,5 inēa IDE diskova 175
Slika 4.6 Sakupljanje podataka sa klasiēnih 3,5 inēa SATA diskova 175
Slika 4.7 Sakupljanje podataka sa notebook diskova od 2,5 inēa 176
Slika 4.8 Sakupljanje podataka sa malih ēvrsƟh diskova 176
Slika 4.9 Sakupljanje podataka sa Ňeš memorije (a) mikrodiskova (b)
i PCCard (PCMCIA) adapter (c) 176
Slika 4.10 SATA adapter za sakupljanje podataka sa SATA diskova (a) i SATA
adapter prikljuēen na SATA disk 177
Slika 4.11 Adapter 1,8 inēa ZIF za prikljuēivanje Hitachi ZIF diskova 177
Slika 4.12 CD/DVD robot 179
Slika 4.13 Otvaranje novog sluēaja u EnCase alatu 182
Slika 4.14 Otvaranje dijaloga OpƟons u En Case alatu 183
Slika 4.15 Dodavanje dokaznog materija novom sluēaju u EnCase alatu 184
Slika 4.16 Odabir fajlova za pretraživanje 184
Slika 4.17 VeriĮkacija novog sluēaja 185
Slika 4.18 Dodavanje sirovih imidž fajlova u EnCase alatu 185
Slika 4.19 Indeksiranje fajlova u EnCase alatu 186
Slika 4.20 OdrĜivanje bezbedonosnog idenƟĮkatora dokaza 187
Slika 4.21 AkƟviranje skriptova u EnCase alatu 187
Slika 4.22 Izbor fajlova i foldera za oporavak 188
Slika 4.23 Pretraživanje po kljuēnoj reēi u EnCase alatu 189
Slika 4.24 itanje Outlook Express .DBX fajlova u EnCase alatu 190
Slika 4.25 Kreiranje butabilne diskete u EnCase alatu 190
Slika 4.26 Završetak kreiranja butabilne diskete u EnCase alatu 191
Slika 4.27 Zakljuēavanje i otkljuēavanje hard diskova 192
Slika 4.28 Oporavak izbrisanih foldera u EnCase alatu 193
Slika 4.29 FormaƟrana NTFS parƟcija 193
Slika 4.30 Dodavanje novih potpisa fajla u EnCase alatu 194
Slika 4.31 Generisanje heš vrednosƟ za izabrane fajlove 195
Slika 4.32 Snimak trenutnog stanja sistema 196
Slika 4.33 Izbor i selekcija diska za brisanje sa prepisivanjem u EnCase alatu 197
Slika 4.34 Simultano indeksiranje velikog broja slika relevantnih za istragu 198
Slika 4.35 Eksportovanje izveštaja u EnCase alatu 198
Slika 4.36 Prikaz heš vrednosƟ u FTK alatu 199
Slika 4.37 Poēetni prozor FTK forenziēkog alata 200
Slika 4.38 Odabir Ɵpa dokaza 201
Slika 4.39 Odabir Ɵpa imidža 202
Slika 4.40 Kreiranje imidža 202
Slika 4.41 VeriĮkovanje rezultata imidžovanja nezaražene USB memorije 203
Slika 4.42 VeriĮkovanje rezultata imidžovanja zaražene USB memorije 203
X IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Slika 4.43 TXT fajl generisan polse imidžovanja virusom
nezaraženog (a) i zaraženog (b) USB 204
Slika 4.44 Generalije o sluēaju i forenziēaru 204
Slika 4.45 Case Log opcije 205
Slika 4.46 Processes to Perform opcija 206
Slika 4.47 ReĮna Case 206
Slika 4.48 ReĮne index opcija 207
Slika 4.49 Add Evidence opcija 207
Slika 4.50 Dodavanje imidža dva USB memorijska ureĜaja kao dokaza 208
Slika 4.51 Napredne opcije ReĮne Evidence i reĮne Index 208
Slika 4.52 Obrada dokaza 209
Slika 4.53 KarƟca Overview 209
Slika 4.54 Obeležen prepoznat maliciozni program na zaraženom USB 210
Slika 4.55 Pregled sadržaja kompresovanog fajla 210
Slika 4.56 KarƟca Explore 211
Slika 4.57 KarƟca Graphics 212
Slika 4.58 KarƟca Search 212
Slika 4.59 Generalne informacije o svojstvima fajla 213
Slika 4.60 Informacije o sadržaju fajla 213
Slika 4.61 Pregled karakterisƟka malicioznog programa 214
Slika 4.62 Deo FTK log izveštaja 215
Slika 4.63 Podešavanje za prikaz Bookmark-ova 216
Slika 4.64 Odabir svojstava Bookmark-a i prikaz u izveštaju 216
Slika 4.65 Podešavanje prikaza graĮēkih elemenata u izveštaju 217
Slika 4.66 Odabir putanje izveštaja i proizvoljnog graĮēkog elementa 218
Slika 4.67 Poēetna strana izveštaja (index.htm) 218
Slika 4.68 Pregled fajlova u izveštaju 219
Slika 4.69 Pregled dokaza u izveštaju 219
Slika 4.70 Prikaz graĮēkih elemenata u izveštaju 220
Slika 4.71 Desktop SPADA forenziēkog alata 227
Slika 4.72 AkƟviranje POST procesa za pristup BIOS setup-u 228
Slika 4.73 Podešavanje BIOS-a u SPADA alatu 228
Slika 4.74 SPADA meni za butovanje 229
Slika 4.75 AkƟviranje procesa inicijalne pretrage sa SPADA alatom 229
Slika 4.76 Otvaranje QTParted aplikacije u SPADA alatu 230
Slika 4.77 AkƟviranje MediaĮnd aplikacije u SPADA alatu 231
Slika 4.78 MediaFind prozor u SPADA alatu 231
Slika 4.79 RezultaƟ MediaFind aplikacije 232
Slika 4.80 Otvaranje Terminal prozora u SPADA alatu 233
Slika 4.81 Proširivanje Terminal prozora u SPADA alatu na puni ekran 234
Slika 4.82 ProDoscover forenziēki alat 249
Slika 4.83 SuperScan forenziēki alat 253
XISƒ—ÙŽƒJ
SPISAK TABELA
Tabela 1.1 Pomeranje vektora napada na IKT sisteme 10
Tabela 1.2 Primeri kategorija koncepta objekata
za digitalnu forenziēku istragu 67
Tabela 1.3 Primeri provere meĜusobnih odnosa koncepata 68
Tabela 2.1 Karta konvencije bajta – B(Byte) 100
Tabela 3.1 AnaliƟēka vremenska radna karta sistemskih log podataka 138
Tabela 3.2 Slojevi apstrakcije FAT fajl sistemu 145
Tabela 3.3 Primeri dokumentovanja procesa digitalne forenziēke analize 153
Tabela 4.1 Pregled funkcija FTK forenziēkog alata 221
Tabela 4.2 Tabela 4.1 Korespondirajuđe DOS i Linux komandne linije 233
Tabela 4.3 Sviēevi za za deĮnisanje naēina rada ls komande 235
Tabela 4.4 Uporedni pregled osnovnih funkcija relevantnih forenziēkih alata 238
Tabela 4.5 Glavne oznake u Unix/linux string komandama3 251
Tabela P2.1 PoznaƟji SID idenƟĮkatori 287
I
METODOLOaKE OSNOVE ISTRAGE
KOMPJUTERSKOG KRIMINALA
Cilj ove glave je da se deĮnišu i opišu
metodološke osnove istrage kompjuterskog
kriminalakojeobezbeĜujuopƟmalnifunkciona-
lni model za istragu kompjuterskog kriminala.
Kada proēitaju ovu glavu, studenƟ đe razumeƟ
osnovne funkcionalne modele za zvaniēnu i ko-
rporacijsku istragu kompjuterskog kriminala,
speciĮēnosƟ istrage digitalnih dokaza, znaēaj
digitalne forenziēke istrage za upravljanje
kompjuterskim incidentom i prednosƟ procesa
integrisane istrage Įziēkog i digitalnog mesta
kriviēnog dela kompjuterskog kriminala.
DEO
3M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
UVOD
Uporedo sa razvojem i implementacijom raēunarskih mreža u sistem globalne mre-
že - Intereneta, rastu i potencijalne opasnosƟ od razliēiƟh napada sa Interneta, uklju-
ēujuđi brojne maliciozne programe i napade ljudskog faktora - hakera, krakera, vandala
i kompjuterskih kriminalaca i terorista. Raēunarske mreže Internet Ɵpa nude brojne
prednosƟ i omoguđavaju izuzetno poveđanje eĮkasnosƟ rada i smanjenje troškova, ali
predstavljaju i kriƟēnu taēku bezbednosƟ, sa stanovišta rizika za raspoloživost, integri-
tet i poverljivost informacija, servisa i aplikacija. U literaturi su objavljene brojne takso-
nomije pretnji i metode analize faktora rizika za raēunarske sisteme i mreža Internet
Ɵpa. Iako su ranijih godina napadi na raēunarske mreže Internet Ɵpa bili pretežno ek-
sterni, novije analize pokazuju da mnogo veđe Įnansijske gubitke i drugu štetu nanosi
širok spektar internih napada. Razlozi za to leže u samoj prirodi intranet mreža u kojima
interni uēesnici nisu samo zaposleni u datoj organizaciji i za koje postoji odreĜeni ste-
pen poverenja, veđ i poslovni partneri, zaposleni u Įrmama podružnicama, kooperanƟ,
dostavljaēi i drugi uēesnici iz ekstranet mreža, koji iz razloga jednostavnosƟ korišđenja i
poveđanja eĮkasnosƟ i produkƟvnosƟ rada imaju vrlo sliēna, ako ne i ista prava pristupa
intranet mreži kao i zaposleni u datoj organizaciji. Pored Įnansijske dobiƟ registrovani
su brojni moƟvi za razne vrste hakerskih i drugih napada na mreže državnih organa,
ukljuēujuđi: izazov i potrebu za samopotvrĜivanjem, znaƟželju za proboj visokotehnolo-
ških sistema zašƟte u ovim mrežama, maliciozne namere - kraĜu osetljivih informacija,
špijunažu i namerna ošteđenja informacija, aplikacija i sistema. U nekoliko poslednjih
godina deluju organizacije profesionalnih hakera koji organizovano rade na principu sƟ-
caja proĮta od preduzimanja razliēiƟh oblika kompjuterskog kriminala. Ove organizaci-
je hakera korumpiraju (zombiraju) brojne nezašƟđene raēunare individualnih korisnika
širom sveta, sa kojima ili posredstvom kojih napadaju ciljne web sajtove distribuiranim
napadom odbijanja servisa (DDoS) i drugim Ɵpovima napada. Vektor napada pomeren
je sa korporacijskih servera koji se sve bolje šƟte na slabo zašƟđene ili nezašƟđene ra-
ēunare individualnih korisnika, koje korumpiraju preuzimaju kontrolu i koriste za krimi-
nalne akƟvnosƟ. Krajem 2007 godine u Rusiji je registrovana mreža (tzv. botnet) od 1,4
miliona zombiranih raēunara.
4 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Pod kompjuterskim kriminalom u najširem smislu podrazumevaju se kriviēna dela
prema kriviēnom zakonu nacionalne države, u koja su na bilo koji naēin ukljuēeni ra-
ēunarski sistemi i mreže. U kompjuterskom i kiberneƟēkom kriminalu (cybercrime) ra-
ēunari se koriste kao predmet napada i kraĜe, izmene ili uništavanja podataka, kao
alat za izvršavanje tradicionalnih oblika kriminala i za skladištenje kompromitujuđeg
materijala.
Glavni cilj istrage kompjuterskog kriminala je, kao i sluēaju klasiēnog kriminala, iz-
gradiƟ za pravosudne organe neoboriv ili ēvrst dokaz krivice, i/ili dokaz za oslobaĜanje
osumnjiēenog, i/ili pravedno sankcionisanje uēinjenog dela. Kljuēnu metodologiju is-
trage i dokazivanja kompjuterskog kriminala obezbeĜuje metodologija istrage klasiē-
nog kriminala, sa speciĮēnosƟma istrage osetljivih, lako promenljivih i po svojoj prirodi
posrednih digitalnih dokaza. Digitalna forenziēka nauka (1999) obezbeĜuje primenu
nauēno derivirani i dokazanih metoda za: ēuvanje, sakupljanje, validaciju, idenƟĮkaci-
ju, analizu, interpretaciju, dokumentovanje i prezentaciju digitalnih dokaza iz razliēiƟh
izvora digitalnih podataka sa ciljem rekonstrukcije dogaĜaja kriviēnog dela kompjuter-
skog kriminala ili zloupotrebe raēunara. U oblasƟ digitalne forenzike prvo je deĮnisana
Kompjuterska forenzika (FBI): “Kompjuterska forenzika je aplikacija nauke i sistemskog
inženjerstva na legalne probleme digitalnih dokaza”. DeĮnicije i kategorije digitalne fo-
renzike su pokretna meta, koja praƟ promene u raēunarskim tehnologijama, elektronici
i komunikacijama.
Za pravosudnu prihvatljivost digitalnih dokaza osnovne prepreke su osetljivost i
promenljivost digitalnih podataka i inherentna posrednost digitalnih dokaza. Naime,
u sluēaju klasiēnog kriminala neoboriv dokaz, na primer ubistva, je pištolj u ruci ubice.
Takav neposredan dokaz u sluēaju kompjuterskog kriminala gotovo je nemoguđe obez-
bediƟ, ali je moguđe izgradiƟ ēvrst, neoboriv digitalni dokaz bez tzv. pukoƟna, od niza
posrednih digitalnih dokaza, kakvi su po svojoj prirodi svi digitalni podaci uskladišteni ili
generisani u raēunarskom sistemu.
Prema deĮniciji IOCE1
u oblasƟ forenziēkih nauka, digitalni dokaz je svaka infor-
macija u digitalnom obliku koja ima dokazujuđu ili oslobaĜajuđu vrednost, ili vrednost
osnovane sumnje i koja je, ili uskladištena, ili prenesena u takvom obliku. U procesi-
ma zvaniēne istrage, prikupljanja, analize i prezentacije digitalnih dokaza potrebno je
pridržavaƟ se odreĜenih principa, koji odreĜuju proces upravljanja digitalnim doka-
zima. U svakom sluēaju kompjuterskog kriminala, od trenutka otkrivanja do prezent-
acije digitalnih dokaza na sudu, prema iskustvima najbolje digitalne forenziēke prakse,
opƟmalne rezultate daje Ɵmski rad od najmanje tri profesionalca: zvaniēnog organa
istrage, tužioca i eksperta u oblasƟ informaciono komunikacionih tehnologija (IKT).
Sudska praksa prihvata kompjuterski generisane i memorisane digitalne dokaze pod
odreĜenim uslovima. Transformacija digitalnih podataka u formi niza kodiranih bita u
sudski dokaz, apstraktan je proces koji može navesƟ sudiju i porotu da dovedu u pitanje
autenƟēnost i integritet kompjuterski generisanog dokaza. U tom smislu, moraju se
na nacionalnom nivou, kroz zakon ili podzakonska akta, propisaƟ odgovarajuđe pro-
1 InternaƟonal OrganizaƟon of Computer Evidence (hƩp://www.ioce.org)
5M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
cedure, koje obuhvataju: proceduru rukovanja i ēuvanja digitalnih dokaza i proceduru
za forenziēku akviziciju/sakupljanje, analizu/dokazivanje i veštaēenje/svedoēenje digi-
talnih dokaza. Pojam akvizicije i analize je u ovom radu korišđen u smislu otkrivanja,
sakupljanja, izvlaēenja i dokazivanja digitalnih podataka u dokaznom postupku istrage
kompjuterskog kriminala.
Kada sud ne poznaje pitanja o kojima se raspravlja, poziva ili svedoke eksperte, ili
sudske veštake. Oblast kompjuterskog i kiberneƟēkog kriminala u koju su ukljuēeni kom-
pleksni IKT sistemi najbolji je primer sudske prakse gde se Ɵpiēno zahteva ekspertsko
svedoēenje, ili veštaēenje. Odluku o tome da li je neki IKT ekspert dovoljno kvaliĮko-
van, pravosudni organi razrešavaju prihvatanjem serƟĮkata profesionalnog strukovnog
udruženja, ili profesionalne interesne zajednice o osposobljenosƟ.
U svakoj nacionalnoj državi uspostavljaju se tela i insƟtucije za akreditaciju i serƟ-
Įkaciju iz predmetne nauēne oblasƟ2
. Sud treba da prihvaƟ da je odreĜeni IKT expert
kvaliĮkovan, ako ima relevantni serƟĮkat ovih tela i insƟtucija. Iako se reputacija tela i
insƟtucija koje daju serƟĮkate procenjuje u svakom konkretnom sluēaju, sud obiēno ne
sumnja u takve preporuke. Priroda nauēne eksperƟze je takva da je grupa, organizo-
vana u strukovano udruženje, zainteresovana da zašƟƟ standarde u odreĜenoj nauēnoj
oblasƟ. Nažalost, u IKT oblasƟ Ɵpovi ekspertskh grupa i udruženja se razlikuju po formi i
funkcijama od drugih nauēnih i profesionalnih zajednica. Tako nekompetentan ekspert
lako može ugroziƟ otkrivanje ēinjenica, ako ih sam pravi, ili izmišlja nepostojeđe stan-
darde u toku svedoēenja.
Ozbiljan problem nastaje i kada, zbog moralnog stava, jedan IKT ekspert ne može
suprotstaviƟ stav drugom, ili zauzeƟ suprotan stav u toku svedoēenja/veštaēenja, iako
je suoēen sa legalnim zahtevom da svedoēi krajnje objekƟvno. Ta praksa je ēesta zbog
profesionalne solidarnosƟ IKT eksperata, koji pri tome mogu pripadaƟ istoj interesnoj
zajednici IKT eksperata.
2 U Srbiji nadležno telo za akreditacije zove se ATS-Akreditaciono telo Srbije (ranije YUAT).
6 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGE
KOMPJUTERSKOG KRIMINALA
Uporedo sa ubrzanom informaƟzacijom društva i ulaskom Interneta u sve oblasƟ
društvenog i privatnog života ljudi, kompjuterski kriminal postaje dominantan oblik
zloupotreba, kršenja zakona i drugih normi ponašanja. Novi oblici napada na raēunare
i raēunarske mreže javljaju se velikom brzinom, a novi Ɵpovi kompjuterskog kriminala
prakƟēno zavise samo od mašte malicioznih napadaēa. Osnovne elemente kriviēnog
dela kompjuterskog kriminala ēine:
dogaĜaj, odnosno, šta se dogodilo u ispiƟvanom sluēaju,•
okolnosƟ, ili kako se dogodilo i•
mentalno stanje poēinioca kriminala, što je potrebno za klasiĮkaciju kriminala•
i proĮlisanje kompjuterskih kriminalaca.
Glavne kategorije kompjuterskog kriminala mogu se grupisaƟ na bazi uloge raēuna-
ra u izvršavanju kriviēnog dela kompjuterskog kriminala, gde raēunar može biƟ:
cilj napada (upad u raēunar, kraĜa podataka),•
sredstvo za napad (prevare sa krediƟnim karƟcama, slanje spama i slika),•
povezan sa klasiēnim kriminalom (trgovina drogom i ljudima, deēija porno-•
graĮja i dr.) i
repozitorijum (skladište) digitalnih dokaza kompjuterskog kriminala.•
TakoĜe, u porastu je i klasiēan kriminal povezan sa raēunarom, kao što su povreda
intelektualne svojine (neovlašđeno kopiranje i kraĜa autorskih prava) i piraterija soŌ-
vera.
Tipovi kompjuterskog kriminala su brojni, a najēešđi su:
kraĜa raēunarskih servisa,•
neovlašđeni pristup,•
piraterija soŌvera,•
otkrivanje, kraĜa i izmena raēunarskih podataka i informacija,•
iznuĜivanje pomođu raēunara,•
neovlašđeni pristup bazama podataka,•
zloupotreba ukradene lozinke,•
prenos destrukƟvnih virusa i•
industrijska i poliƟēka špijunaža.•
Generalno, digitalnu forenziēku istragu koriste ēeƟri društvena sektora:
1. Zvaniēni organi istrage kompjuterskog kriminala (policija, tužilaštvo i sudstvo);
2. Organi odbrane (vojska, državna bezbednost);
7M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
3. Korporacije i veđe organizacije, za upravljanje kompjuterskim incidentom
sopstvenim kapaciteƟma, i
4. Profesionalne organizacije za oporavak podataka iz sluēajno/namerno
ošteđenih raēunarskih sistema.
U kojoj meri zasbrinjava kompjuterski kriminal , govori i ēinjenica da su vlade više
zemalja u svetu prepoznale rastuđi rizik kompjuterskog kriminala kao kljuēne faktore
informaciong ratovanja u buduđnosƟ. Posledice od uništavanja raēunarskih sistema i
mreža, ometanja i špijunaže elektronskog poslovanja, e-trgovine, e-vlade, e-bankarst-
va, nuklearnih i elektrodisƟbuƟvih postrojenja, saobrađajnih mreža i drugih umreženih
sistema, mogu biƟ potencijalno katastrofalne. Hakeri iz svih delova sveta udružuju se u
veoma kompaktne organizacije, sposobne da za proboje u mreže i web servere preko
Interneta angažuju raēunarsku mođ i resurse koji su ravni mođnim super raēunarima
(primer proboja DES kriptografskog algoritma sredinom 1990-Ɵh).
U Estoniji, gde je informaƟzacija društva na zavidnom svetskom nivou (implemen-
Ɵrane su e-Uprava, e-liēne karte, e-pasoši, e-saobrađajna dozvola i e-socijalna/zdravst-
vena karƟca). U proleđe 2007. kompjuterski/kiberneƟēki kriminalci (cyber criminals),
navodno iz Rusije, napali su banke, vladine agencije i poliƟēke stranke u Estoniji. Cela
zemlja je nakratko bila u potpunosƟ oŋine i postala tako prvo poprište informacionog
ratovanja. Sliēni su napadi zabeleženi i na Gruziju 2008. godine, u vreme sukoba s Rusi-
jom, kao i u Kirgistanu.
U toku 2007. nemaēke obaveštajne službe su objavile kiberneƟēke napade iz Kine,
na nekoliko nemaēkih ministarstava i vladin web portal, s ciljem otkrivanja poverljivih
informacija. Navodno su kineski hakeri postali tako uporni u svojim pokušajima indus-
trijske špijunaže da je kancelarka Angela Merkel otvoreno zatražila od kineskih diplo-
mata da se napadi prekinu. U periodu 2007/8. godine zabeleženi su masovni napadi na
web sajtove vlade Republike Srbije i Srpske pravoslavne crkve.
Kompleksni, kompjuterski upravljani sistemi i kompjuterske mreže su najranjivije
infrastrukture i zato bi mogle biƟ glavna meta terorista. Ameriēki struēnjaci veđ godi-
nama upozoravaju na moguđi “elektronski Pearl Harbor”, “digitalni 11. septembar” ili
“Cybergeddon”, a u svom izveštaju Kongresu navode kako upravo Kina “agresivno razvi-
ja svoje ratne cyber vešƟne i tehnologije” i kako bi “uskoro mogla biƟ u znaēajnoj pred-
nosƟ” pred drugim nacijama. Mediji su veđ objavljivali vesƟ o kiber (cyber) ratovima
meĜu islamisƟēkim grupama na Bliskom istoku. Svi ovi incidenƟ otvoraju brojna pitanja
o tome da li se zaista radi o ratu, ili novom vidu kriminala - kompjutrskom državnom
terorizmu i da li su opravdani adekvatni odgovori države.
Na sastancima NATO-a, takoĜe se vode burne rasprave o tome da li kiber napade
treba treƟraƟ kao oružane napade i da li treba razvijaƟ sopstvene kadrove i tehnologiju
za obranu od napada u kiber prostoru? Iako ove rasprave do sada nisu dale jasne odgo-
vore, neke informacije ukazuju da neke države veđ posveđuju adekvatnu pažnju tom
pitanju. Naime, Nemaēka vlada je (poēetkom 2009.) odobrila nacrt zakona kojim bi se
pojaēala bezbednost informacija i komunikacijskih kanala u državnim IKT sistemima, a
o kojem uskoro treba da raspravlja i Bundestag.
8 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Kakve posledice ostavlja kompjuterski kriminal u svetu, najbolje ilustruju neke ak-
ƟvnosƟ na nivou brojnih država u svetu. Poēetkom 2009. u gradu Reinbachu kraj Bonna,
nemaēka vojska je poēela pripremu jedinice, sastavljene od 76 vojnika-hakera za novi
Ɵp ratovanja – informaciono (digitalno) ratovanje. Vojnici su obrazovani na Bundesweh-
rovim odeljenjima za IKT, a nove ratne metode uvežbavaju na svom glavnom oružju -
raēunarima. Ovi hakeri-ratnici, treba da budu osposobljeni za obranu od kiber napada,
ali i za - napade u kiber prostoru.
1.1 KRATAK PREGLED RAZVOJA DIGITALNE FORENZIKE ISTRAGE
KOMPJUTERSKOG KRIMINALA I ANALIZE DIGITALNI, DOKAZA
U toku 1984. FBI3
je poēeo razvoj laboratorije i programa za ispiƟvanje kompjuter-
skih dokaza koji je izrastao u jedinstveni CART (Computer Analysis and Response Team)
Ɵm, kasnije formiran u mnogim organizacijama u SAD. Danas je trend da se forenziēka
analiza raēunara vrši u dobro opremljenoj laboratoriji. MeĜuƟm, u tom periodu u SAD
je oko 70% osposobljenih zvaniēnih agencija radilo ovaj posao bez razvijenih procedura
za taj rad. TakoĜe, je evoluirao naziv «:edinice za kompjutersku forenziēku analizu» na
«Jedinicu za digitalne dokaze».
Pojavom digitalnog videa i audia uvodi se pojam digitalnih dokaza. MeĜunarodna
organizacija za kompjuterske dokaze - IOCE (InternaƟonal OrganizaƟon on Computer
Evidence) je formirana 1997. Tehniēka radna grupa za kompjuterske dokaze - TWGDE
(Technical Working Group for Digital Evidence) održala je prvi radni sastanak 17. juna
1998.saciljemrazvojaorganizacionihprocedurairelevantnihdokumenatazaforenziēku
istragu digitalnih dokaza. Federalna kriminalisƟēka laboratorija SAD je februara 1999.
promenila ime TWGDE u SWGDE (ScienƟĮc Working Group for Digital Evidence). Ova
se grupa sastaje najmanje jednom godišnje, a ēlanovi mogu biƟ pred sudom zakleƟ
(zvaniēni organi) i ne-zakleƟ eksperƟ i nauēnici. U poēetku je koncept pronalaženja
«latentnog-skrivenog dokaza u kompjuteru» nazvan kompjuterskom forenziēkom
analizom. Kompjuterska forenziēka analiza za manje od 20 godina pouzdano ēuva
digitalne podatke, oporavlja izbrisane podatke, rekonstruiše kompjuterske dogaĜaje,
odvrađa napadaēe, nudi dosta dobrih proizvoda i procedura za podršku. Kompjuterska
forenziēka analiza primenjuje se u sluēajevima: hakerskog upada, pronevere, pedoĮl-
skog kruga, imigracione prevare, trgovine drogom, falsiĮkovanja kreditnih karƟca, pira-
terije soŌvera, izbornog zakona, obscenih publikacija, falsiĮkata, ubistava, seksualnog
uznemiravanja, kraĜe podataka-industrijske špijunaže, razvoda.
Uputstvo za pretragu i privremeno oduzimanje raēunara objavilo je Ministarstvo
pravde SAD (Do:), 1994:
3 FBI - Federal Bureau of InvesƟgaƟon, SAD
9M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
hardver kao zabranjeno sredstvo ili pomođ za izvršavanje kriminala (klonirani•
mobilni telefon, ukraden mikroĮš);
hardver kao instrument izvršavanja kriminala (znaēajna uloga u kriminalu -•
snifer paketa, ēitaē kreditnih karƟca; distribucija deēije pornograĮje)
hardver kao dokaz (svaki hardverski ureĜaj koji ima jedinstvenu karakterisƟku•
da prikaže digitalni dokaz – sliku, podatak);
informacija kao zabranjeno sredstvo ili pomođ za izvršavanje kriminala (u•
nekim zemljama korišđenje jake kriptozašƟte je ilegalno, piratski soŌver,
ukradene trgovaēke tajne, liste lozinki, deēija pornograĮja);
informacija kao instrument izvršavanja kriminala (automaƟzovani hakerski•
alaƟ, keyloger-ski soŌver za snimanje otkucaja na tastaturi, krekeri lozinki);
informacija kao dokaz (raēunar neprekidno ostavlja tragove bita, log fajlovi•
pristupa, e-mail poruke, upotreba kreditnih karƟca, priznanice, telefonski
pozivi .
FBI je 1999. sponzorisala razvoj SWGIT (ScienƟĮc Working Group in Imaging Tech-
nologies). «Glavna misija SWGIT je da olakša integraciju tehnologije i sistema digitalne
obrade slika u pravosudni sistem, obezbeĜujuđi deĮnicije i preporuke za akviziciju,
skladištenje, procesiranje, analizu, prenos i izlazni format slika».
Na bazi speciĮēnosƟ tehnika i alata i metoda istrage u forenziēkoj praksi su diferen-
cirane sledeđe glavne oblasƟ digitalne forenzike, [3]:
forenzika raēunara (akvizicija i analiza HD i prenosivih medija);•
mrežna forenzika (upada u mrežu, zloupotreba itd.);•
forenzika soŌvera (ispiƟvanje malicioznih kodova,• malware itd.)
akƟvna (živa) forenzika sistema (kompromitovanih hostova- servera,•
zloupotreba sistema itd.).
U poēetnoj fazi razvoja digitalnu forenziku korisƟli su primarno zvaniēni državni or-
gani istrage kompjuterskog kriminala (policija, vojska i pravosuĜe). Savremeni trend
umrežavanja lokalnih mreža primenom Internet tehnologija (intranet i ekstranet
mreže), razvojem bežiēnih mreža, e-poslovanja i mobilnog poslovanja (m-poslovanja),
zaƟm web servisa servisno orijenƟsanih aplikacija, znaēajno su poveđani zahtevi za bez-
bednost informacija i e-transakcija na svim nivoima poslovnih IKT sistema. Savremeni
sistemi zašƟte postaju sve kompleksniji, kako se pomera težište osetljivosƟ poslovnih
IKT sistema, javljaju novi Ɵpovi rizika, menjaju metodi napada sa Interneta, a vektor
napada pomera sa usamljenih hakera, sitnih prevaranata na web-u, poplave virusa i
drugih malicioznih kodova i retkih napada na web servise, na napade organizovanih
profesionalnih hakera, industrijskih kiber (cyber) špijuna i kompjuterskih kiber krimi-
nalaca (tabela 1.1).
10 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Tabela 1.1 Pomeranje vektora napada na IKT sisteme
1996 2007/2008
Hakeri iz hobija Rentabilni profesionalni hakeri
PrevaranƟ na web sajtovima Kriminalci
Virusi i drugi malicozni programi Napadi odbijanja servisa (DoS, DDoS)
Retki napadi na web sajtove KraĜa idenƟteta
Stalni napadi na web sajtove
Za upravljanje kompjuterskim incidentom u ovakvom okruženju zahtevaju se
forenziēka znanja i forenziēke tehnike i alaƟ za otkrivanje i otklanjanje uzroka komplek-
snih incidenata. Savremenih korisnici digitalne forenzike su:
policija,•
vojska,•
pravosudni sistem (tužilaštvo i pravosuĜe),•
Įrme koje se profesionalno bave oporavkom podataka iz raēunara,•
korporacije za upravljanje kompjuterskim incidentom.•
Glavni indikatori razvoja digitalne forenzike u proteklom periodu ukazuju da hardver
postaje sve osetljiviji na napade, zbog sve veđe kompleksnosƟ, što znaēi da se mogu
oēekivaƟ ēešđe subverzije hardvera. Na primer, re-Ňešovanjem Įrmware ēvrstog diska
(HD), ili drugih sekundarnih periferijskih memorija mogu se sakriƟ podaci, ili uēiniƟ
HD/memorija neēitljivom. U tom smislu, forenziēar ne može verovaƟ šta je na hard-
veru. Generalno, sistem zašƟte može uƟcaƟ na proces forenziēke akvizicije i analize. Na
primer, forenziēar može naiđi na HD zašƟđen lozinkom (lozinkom) sa kojeg nije moguđe
odrediƟ ēak ni osnovne informacije, kao što su veliēina diska i slika
Kratak istorijski pregled evolucije forenziēke analize digitalnih dokaza dat je u Pri-
logu I, [29].
1.2 STANDARDIZACIJA PROCEDURA DIGITALNE FORENZIKE ISTRAGE
KOMPJUTERSKOG KRIMINALA
1.2.1 DeĮnicije kljuēnih termina digitalne forenziēke istrage
Evidentno je da informaciono komunikacione tehnologije najeĮkasnije globalizuju
svet. Posledica je da se poēinilac kompjuterskog kriminala javlja u jednom pravosudnom
sistemu, a digitalni podaci koji dokazuju taj kriminal mogu se nalaziƟ u nekom drugom
pravosudnom sistemu. Radna grupa SWGDE (SAD) je dala prvu deĮniciju digitalnih
11M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
dokaza - DE (Digital Evidence) i predlog standarda za razmenu DE izmeĜu suverenih
enƟteta. Digitalizacijom audio i video signala i klasiēne fotograĮje došlo je do ubrzane
konvergencije pomenuƟh tehnologija i integracije u raēunaru. Tako i termin kompjuter-
ski digitalni dokaz (CDE) evoluira u digitalni dokaz (DE). Sa pravnog i tehniēkog aspekta
razmene DE, glavni zahtevi su postojanje jedinstvenih standarda, principa, kriterijuma
i procedura digitalne forenziēke istrage kompjuterskog kriminala.
Dokument standarda je struktuiran kroz: uvod, deĮnicije i standarde (principe i kri-
terijume) i diskusiju i usklaĜen sa zvaniēnim Uputstvom - American Society of Crime
Laboratory Directors/Laboratory AccreditaƟon Board Manual, a sadrži deĮnicije ter-
mina, standarda i principa kojih se treba pridržavaƟ u radu sa digitalnim dokazima, [4],
[22].
Digitalni dokaz: DD je svaka informacija koja ima dokazujuđu vrednost koja je ili
uskladištena ili prenesena u binarnoj (digitalnoj) formi. DD ukljuēuje kompjuterski
dokaz, digitalni audio, digitalni video, mobilni telefon, digitalnu fax mašinu itd. Digi-
talni dokaz je informacija uskladištena ili prenesena u binarnoj formi na koju se sud
može osloniƟ.
Akvizicija digitalnih dokaza (ADE): ADE poēinje kada su informacije i/ili Įziēki pred-
meƟ skupljeni i uskladišteni za potrebe ispiƟvanja. Termin DE implicira da je skupl-
janje DE obavio neko koga sud prepoznaje, da je proces skupljanja DE legalan i u
skladi sa zakonskom regulaƟvom i da je skupljeni materijal sud prihvaƟo kao doka-
zni materijal. ObjekƟ podataka i Įzikalni objekƟ postaju dokazi samo kada ih takvim
vide regularni zvaniēni organi istrage i pravosuĜa.
ObjekƟ podataka: ObjekƟ ili informacije koje su pridružene Įziēkim predmeƟma i
koji imaju potencijalnu dokazujuđu vrednost. ObjekƟ podataka se mogu pojaviƟ u
raznim formaƟma, ali se ne sme menjaƟ originalna informacija.
Fiziēki predmet: PredmeƟ u kojima mogu biƟ uskladišteni objekƟ podataka ili infor-
macije i/ili sa kojima su objekƟ podataka preneseni.
Originalni digitalni dokaz: Fiziēki predmeƟ i objekƟ podataka pridruženi Ɵm pred-
meƟma u vreme akvizicije ili privremenog oduzimanja predmeta.
Duplikat digitalnog dokaza: Precizna digitalna reprodukcija svih objekata podataka
koji se sadrže u originalnom Įziēkom predmetu.
Kopija digitalnog dokaza: Precizna reprodukcija informacija koje su sadržane na
originalnom Įziēkom predmetu, nezavisno od originalnog Įziēkog predmeta.
1.2.2 Principi upravljanja digitalnim dokazima
U procesima zvaniēne istrage, prikupljanja, analize i prezentacije digitalnih dokaza
potrebno je pridržavaƟ se odreĜenih principa, koji odreĜuju proces upravljanja digital-
nim dokazima. IOCE principi treba da, [14], [22]:
12 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
budu konzistentni sa svim legalnim sistemima,•
dopuštaju korišđenje sa uobiēajenim jezikom,•
budu trajni i meĜunarodno prihvatljivi,•
ulivaju poverenje i obezbeĜuju integritet DE,•
budu primenjivi na sve vrste DE,•
budu primenljivi na svim nivoima, od pojedinca, preko zvaniēnih agencije, do•
najvišeg nacionalnog nivoa.
Principi nisu plan implementacije. Oni treba da budu dizajnirani tako da dopuste
svakom legalnom enƟtetu da kreira program koji odgovara situaciji. Primenom ovih
Principa u skladu sa preporukama IOCE, upravljanje digitalnim dokazima (istraga, akvi-
zicija, analiza, rukovanje i održavanje) postaje prihvatljivo i iskorisƟvo i izvan nacional-
nih granica.
Glavni IOCE principi upravljanja digitalnim dokazima su:
U toku akvizicije DE, preduzete akcije ne treba da unose nikakvu izmenu Ɵh DE.
1. Ako je potrebno da neko pristupi originalnom DE, mora biƟ kompetentan u
oblasƟ digitalne forenzike.
2. Sve akƟvnosƟ koje se odnose na akviziciju, pristup, skladištenje ili transfer DE
moraju biƟ potpuno dokumentovane, saēuvane i raspoložive za reviziju.
3. Lice je odgovorno za sve akƟvnosƟ preduzete prema DE dok su u njegovom
posedu.
4. Svaka agencija/organizacija odgovorna za akviziciju, pristup, skladištenje ili
prenos DE je odgovorna za usklaĜenost svoje prakse sa ovim principima.
Da bi se osigurala bezbedna akvizicija (otkrivanje, Įksiranje i izvlaēenje), upravljanje
(skupljanje, ēuvanje i prenos) i forenziēka analiza digitalnih dokaza i da bi se saēuvao
integritet i pouzdanost dokaza, zvaniēni istražni i korporacijski organi za forenziēku is-
tragu i analizu digitalnih dokaza, moraju uspostaviƟ i održavaƟ eĮkasni sistem kontrole
kvaliteta. Standardna radna procedura – SOP (Standard OperaƟon Procedure) je do-
kumentovano uputstvo za kontrolu kvaliteta celokupnog postupka istrage, akvizicije,
upravljanja i forenziēke analize digitalnih dokaza. SOP mora obuhvaƟƟ propisno regi-
strovanje svih akƟvnosƟ istrage kompjuterskog incidenta/kriminala, kao i korišđenje
drugih, u kriminalisƟci široko prihvađenih procedura, opreme i materijala.
1.2.3 Struktura standardne operaƟvne procedure
Kada se formulišu standardne radne procedure treba ukljuēit sledeđe elemente:
Naslov• – treba da sadrži ime procedure;
Namena• – zašto, kada i ko korisƟ proceduru;
13M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Oprema/materijal/standardi/kontrole• - idenƟĮkuje koji se predmeƟ zahtevaju
za izvršavanje procedure. Ovo može ukljuēiƟ opremu za zašƟtu, hardver, soŌver
i naēine konĮgurisanja.
Opis procedure• – opis korak-po-korak kako se procedura izvodi. Ako je neophod-
no procedura treba da sadrži mere opreza koje treba preduzeƟ da se minimizira
degradacija.
Kalibracija• – opisuje svaki korak koji se zahteva da se osigura taēnost i pouz-
danost procedure. Gde je primenljivo, treba dokumentovaƟ podešavanje instru-
menata i proceduru kalibracije.
Kalkulacija• - opisuje bilo koju matemaƟēku operaciju koja je primenjena u pro-
ceduri.
Ograniēenja• – opisuju sve akcije, interpretacije, ili opremu koja nije odgovarajuđa
za proceduru.
Sigurnost• - idenƟĮkuje i adresira potencijalne hazarde kod korišđenja proce-
dure.
Reference• - idenƟĮkuje interna i eksterna dokumenta koja agencija/ korporacija
korisƟ za generisanje procedure i koja se odnose na proceduru i njene principe.
1.2.4 Standardi i kriterijumi digitalne forenziēke istrage
1.2.4.1. Standardi i kriterijumi 1.1
Sve agencije koje zaplenjuju i/ili ispituju digitalnu opremu moraju vodiƟ i održavaƟ
odgovarajuđi SOP dokument, potpisan od strane nadležnog menadžera, koji sadrži jas-
no deĮnisane sve elemente poliƟke i procedura.
SOP mora biƟ obavezna za zvaniēne i korporacijske forenziēke organe zbog prihva-
tanja rezultata i zakljuēaka na sudu.
1.2.4.2 Standardi i kriterijumi 1.2
Menadžment agencije mora revidiraƟ SOP jedanput godišnje da obezbede neprekid-
nost njihove eĮkasnosƟ i pogodnosƟ za primenu, zbog brzih tehnološki promena.
1.2.4.3 Standardi i kriterijumi 1.3
Korišđene procedure moraju biƟ generalno prihvađene u oblasƟ forenziēke istrage,
akvizicije i analize digitalnih dokaza i da ih u akviziciji, analizi i ēuvanju podržavaju
nauēne metode. U izboru metoda evaluacije nauēne vrednosƟ forenziēkih tehnika i
procedura mora se biƟ Ňeksibilan. Validnost procedure treba uspostavljaƟ demon-
striranjem taēnosƟ i pouzdanosƟ speciĮēne tehnike. U tom smislu korisna je javna
nauēna rasprava.
14 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
1.2.4.4 Standardi i kriterijumi 1.4
Agencija mora posedovaƟ pisanu kopiju odgovarajuđih tehniēkih procedura koje ko-
risƟ u radu. Potrebni hardverski i soŌverski elemenƟ forenziēkih alata moraju biƟ nave-
deni u spisku uz opis propisanih koraka za upotrebu i jasno navedena sva ograniēenja
upotrebe tehnika i alata. Lica koja primenjuju procedure moraju biƟ dobro upoznata sa
njima i dobro obuēena za rad sa korišđenim alaƟma.
1.2.4.5 Standardi i kriterijumi 1.5
Agencija mora korisƟƟ adekvatne hardverske i soŌverske forenziēke alate koji su
eĮkasni za realizaciju procedura akvizicije i/ili analize digitalnih dokaza. Treba biƟ do-
voljno Ňeksibilan u pogledu raznovrsnosƟ izbora metoda koje su najbolje za konkretni
problem. Hardverski i soŌverski alaƟ za akviziciju i/ili analizu digitalnih dokaza moraju
biƟ tesƟrani i da poseduju važeđi serƟĮkat o veriĮkaciji funkcionalnog kvaliteta nadležne
nacionalne insƟtucije za akreditaciju i moraju biƟ u dobrom radnom stanju.
1.2.4.6 Standardi i kriterijumi 1.6
Sve akƟvnosƟ koje se odnose na akviziciju (privremeno oduzimanje), skladištenje,
ispiƟvanje/analizu, prenos digitalnih dokaza moraju biƟ registrovane u pisanoj formi
i na raspolaganju za pregled i svedoēenje/veštaēenje. Generalno dokumentacija koja
podržava zakljuēke forenziēke analize mora biƟ tako pripremljena da ih drugo kompe-
tentno lice može izneƟ i u odsustvu originalnog autora. Mora se uspostaviƟ i održavaƟ
lanac ēuvanja dokaza za sve digitalne dokaze, (slika 1.1).
Slika 1.1 Skladište ēuvanja digitalnih dokaza
Stalno se moraju vodiƟ pisane zabeleške i zapažanja o sluēaju (masƟlom ili dijagrami
u kolor hemijskoj olovci) sa inicijalima autora kod svake korekcije (precrtane jednom
crtom). Svaka zabeleška mora biƟ liēno potpisana, sa inicijalima, digitalno potpisana ili
sa drugom idenƟĮkacionom oznakom autora.
15M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
1.2.4.7 Standardi i kriterijumi 1.7
Bilo koja akcija koja ima potencijal da izmeni, ošteƟ ili unišƟ bilo koji aspekt origi-
nalnog dokaza mora se izvršavaƟ od strane kvaliĮkovanog lica na forenziēki ispravan
naēin. Svaki metod izvršavanja forenziēke akcije mora biƟ dokumentovan, taēan, pouz-
dan, kontrolabilan i ponovljiv. Obuēeno forenziēko osoblje mora korisƟƟ kvalitetne
forenziēke hardverske i soŌverske alate i odgovarajuđu opremu.
1.2.4.8 Standard prihvatljivosƟ procedure
Za veđinu soŌverskih forenziēkih alata nisu poznaƟ programski izvorni kodovi, veđina
procedura nije objavljeno i nisu podvrgnute javnoj raspravi niƟ su opšte prihvađene.
Forenziēki alaƟ sa zatvorenim kodom koji su tesƟrani na nauēno prihvatljivoj i pon-
ovljivoj osnovi i ēiji je broj i Ɵp grešaka poznat i objavljen mogu se ravnopravno korisƟƟ
sa alaƟma sa otvorenim programskim kodom. Primer takvih alata je EnCase 4.0 koji je
tesƟran u NIST laboratoriji.
Forenziēki alaƟ sa otvorenim izvornim kodom imaju objavljene procedure, pa
forenziēar može odluēiƟ da li da korisƟ alat ili ne [15].
1.2.5 Standardizacija procedure privremenog oduzimanja raēunara kao dokaznog
materijala
Generalno u digitalnoj forenzici raēunarskog sistema, potencijalni izvori digitalnih
dokaza mogu se nađi u brojnim hardverskim i programskim komponentama sistema, [3]:
HD, magnetna traka, eksterni/pokretni mediji za skladištenje podataka,•
log fajlovi mrežne infrastrukture (• Įrewall, IDS/IPS, proxy server itd.),
aplikacije i log fajlovi bezbednosno relevantnih dogaĜaja (tragova za• audit),
e-mail,•
sadržaj drugih servera (Windows zajedniēki fajlovi, web serveri, baze poda-•
taka itd.),
uhvađeni mrežni saobrađaj.•
Osnovni problemi DF istrage su osetljivost digitalnih podataka - lako brisanje i izme-
na digitalnih podataka i kratkotrajnost u odreĜenom stanju raēunarskog sistema. Na
primer, startovanjem ažuriranja PC sa Windows XP plaƞormom, menjaju se stoƟne po-
dataka o datumu i vremenu (vremenskih peēata) i veliki broj fajlova. Prikljuēivanje HD
ili USB, takoĜe, menja vremenske peēate fajl sistema, a iskljuēivanjem raēunara gube
se podaci iz promenljive radne memorije (RAM-a). U odreĜenim uslovima akvizicija
(izvlaēenje) digitalnih dokaza postaje veoma teška, na primer:
mrežni saobrađaj postoji samo nekoliko milisekundi na žiēnoj/kablovskoj•
mrežnoj infrastrukturi;
16 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
upad i napad mogu biƟ izvedeni izuzetno soĮsƟciranim• rutkit tehnikama za
ubacivanje i skrivanje prisustva zadnjih vrata;
akƟvan rad napadnutog sistema (npr. servera) može onemoguđiƟ akviziciju•
digitalnih dokaza, ako ga nije moguđe iskljuēiƟ ili privremeno oduzeƟ;
anƟforenziēke akƟvnosƟ mogu spreēiƟ akviziciju digitalnih podataka.•
Standardna procedura za otkrivanje i privremeno oduzimanje raēunara kao dokaznog
materijala u sluēaju kompjuterskog incidenta sadrži sledeđe elemente (FBI, SAD), [2]:
1. Pretraga mesta kriviēnog dela kompjuterskog kriminala:
SnimiƟ na forenziēki raēunar i logovaƟ sve dokaze uzete na mestu krivēnog•
dela.
Ako se raēunarski sistem ne može privremeno oduzeƟ iz nekog razloga, uzeƟ•
dve Įziēke slike (imidža) HD osumnjiēenog raēunara na forenziēki sterilan
HD.
Ako se osumnjiēeni raēunarski sistem može privremeno oduzeƟ, izvršiƟ•
demontažu sistema u skladu sa procedurom iskljuēivanja (ako je raēunar
ukljuēen), oznaēiƟ sve demonƟrane kablove i pripadajuđe uƟēnice parovima
jedinstvenih brojeva, oznaēiƟ, takoĜe, sve odvojene elemente sistema (CPU
kuđište, tastaturu, miša, diskete, opƟēke diskove i druge medije) i spakovaƟ za
bezbedan transport do forenziēke laboratorije za ispiƟvanje.
RegistrovaƟdetaljnosveinformacijeovlasnikukompromitovanograēunarskog•
sistema.
IzradiƟ detaljan izveštaj sa opisom svih preduzeƟh akcija u toku pretrage mes-•
ta kriviēnog dela i privremenog oduzimanja raēunarskog sistema.
Sve akƟvnosƟ pretrage na mestu kriviēnog dela vršiƟ u skladu sa standard-•
nom operaƟvnom procedurom.
2. Integritet digitalnih podataka:
:edina sigurnost za integritet podataka je kredibilitet forenziēara/ istraživaēa,•
koji ima znanje i iskustvo za propisno procesiranje elektronskih dokaza.
3. Izveštaj o procesiranju i strukturi osumnjiēenog ,D:
Spisak imena ukljuēenog personala.•
Snimak vremena i mesta prikljuēivanja.•
4. IdenƟĮkacija ispiƟvanog materijala:
Imena i serijski brojevi sve korišđene opreme i programa u osumnjiēenom•
raēunarskom sistemu.
Izveštaj o ostalim informacijama sakupljenim u predistražnom postupku.•
5. Uspostavljanje lanca ēuvanja digitalnih dokaza:
UspostaviƟ i održavaƟ lanac ēuvanja integriteta digitalnih i drugih Ɵpova•
dokaza do završetka sudskog procesa u skladu sa principima i SOP.
17M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
6. Uslovi ēuvanja digitalnih i drugih dokaza:
uvaƟ elektronske i druge dokaze u propisanim uslovima temperature,•
vlažnosƟ, prašine, magnetskih polja itd.
7. Procedura procesiranja dokaza sa ,D:
U zavisnosƟ od plaƞorme osumnjiēenog raēunara, primeniƟ SOP za•
iskljuēivanje/podizanje (butovanje) raēunara i uzimanje forenziēkog imidža za
analizu.
Za forenziēku analizu obezbediƟ dve imidž kopije osumnjiēenog HD.•
8. IdenƟĮkaciono oznaēavanje ostalih medija za skladištenje (osim ,D):
Sve medije za skladištenje podataka (trake, printerski kertridži, zip ili Ňopi dis-•
kovi, USB, CD ROM, DVD i druge prenosive dokaze), privremeno oduzete za
ispiƟvanje, treba propisno oznaēiƟ i dokumentovaƟ prema sledeđem:
sadržaj,-
podaci serƟĮkovani/tesƟrani/ispitani,-
ime forenziēara-analiƟēara,-
zašƟta diska od upisivanja pre pregleda, kopiranja, analize kopije (ne origi--
nala), anƟvirusno skeniranje,
oznaēiƟ svaku disketu, CD, DVD, USB sa a-1, a-2 itd.,-
odštampaƟ direktorijum sa svakog ispiƟvanog medija,-
ako se u ovoj fazi otkriju informacije koje predstavljaju dokaz, odštampaƟ-
sadržaj tog fajla i oznaēiƟ štampani materijal sa istom alfanumeriēkom
oznakom.
1.2.6 Procedure za obezbeĜivanje kopija dokaza
Procedure za obezbeĜivanje kopija dokaza za javnog branioca, advokata odbrane, itd:
1. Pod isƟm uslovima napraviƟ radnu Įziēku kopiju – forenziēki imidž (kopiju bit-
po-bit) originalnog osumnjiēenog/ispiƟvanog HD sa potencijalnim dokazima i
jedan forenziēki imidž kao referentni za eventualne pravosudne potrebe.
2. ŠtampaƟ za izveštaj sa radne forenziēke kopije, sve dok sadržaj ne postane
suviše velik za potrebe istrage u celini. Ako takav izveštaj postaje preobiman,
onda sažeƟ pisani izveštaj, a u prilogu podneƟ kopiju elektronskog dokaza.
3. Podaci sadržani u memorijskim ureĜajima i medijima samo za ēitanje,
ponekad se traže kao dokazi u formi štampane kopije.
4. Referentnu kopiju ēuvaƟ u celom lancu istrage za sluēaj da sud ili druga strana
sumnjaju i/ili zahtevaju da se dokaže integritet digitalnih dokaza, tj. da se
dokaže da digitalni dokazi nisu izmenjeni pod uƟcajem forenziēkih alata u
procesu analize i pripreme digitalnog dokaza za glavni pretres.
18 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Tehniēka prezentacija pred sudom:-
:ednostavna i skoro osloboĜena kompjuterske tehnologije;-
PowerPoint- prezentacija koja jednostavno objašnjava kompleksni kon-
cept;
Poseban kompjuterski kriminal na Internetu;-
Kako radi Internet.-
1.2.7 Standardna procedura nauēnog karaktera digitalnog dokaza
Kako je digitalni podatak i potencijalni digitalni dokaz po svojoj prirodi veoma os-
etljiv na promene i uništavanje (brisanje) i u sušƟni uvek posredan dokaz za sud, može
se lako dovesƟ u pitanje prihvatljivost digitalnog dokaza pred sudom, na zahtev druge
strane ili samog suda. Kako je broj sluēajeva kompjuterskog kriminala naglo rastao, bilo
je potrebno obezbediƟ neoborive argumente za dokazivanje da se digitalni podatak
može kopiraƟ, ēuvaƟ i procesiraƟ u raēunarskom sistemu, a da pri tome ne doĜe do
izmene digitalnih podataka koji ēine ēvrsƟ (neoborivi) digitalni dokaz, u odnosu na to
kakvi su Ɵ podaci bili u osumnjiēenom raēunaru u trenutku akvizicije podataka i da,
takoĜe, nisu izmenjeni u odnosu na stanje u osumnjiēenom raēunaru pre same akvizici-
je i primene forenziēkog alata. Ovakve argumente, u principu, mogu obezbediƟ samo
nauēno dokazane i priznate tehnike, procesi i metodi akvizicije i analize digitalnih poda-
taka, [39]. Ovakva procedura, koja se smatra baziēnom procedurom digitalne forenzike,
poznata je kao Daubert Gudlines4
, ili Daubert standardna procedura uslova za prih-
vatljivost digitalnog dokaza pred sudom, koja mora biƟ takva da se:
izvoĜenje dokaza može po zahtevu suda veriĮkovaƟ;•
poznaƟ stepen grešaka koje procedura unosi u digitalni dokaz može dokazaƟ;•
objavi u vrhunskom, višestruko recenziranom nauēnom ēasopisu, dok konfer-•
encijski radovi nisu prihvatljivi i
da se prihvata u relevantnim nauēnim krugovima.•
Istraživanje (2004) u SAD je potvrdilo da razumevanje znaēaja Daubert principa za
prihvatljivost digitalnog dokaza na sudu znaēajno varira, (slika 1.2).
4 Sudski sluēaj Daubert vs. Merrell Dow PharmaceuƟcals Vrhovni sud SAD je prihvaƟo kao referentni za
prihvatljivost ekpertskog nauēnog mišljenja za svedoēenje/veštaēenje u svim sluēajevima federalnog
suda.
19M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Slika 1.2 Daubert princip prihvatljivosƟ digitalnih dokaza na sudu, [3]
Najveđi stepen razumavanja je zahtev da je za forenziēki alat poznat stepen greške
koju unosi i da se to na zahtev suda može testom dokazaƟ. Standardna Daubert proce-
dura obuhvata uslove za forenziēku prihvatljivost soŌverskih alata i tehnika za primenu
alata, procedura akvizicije, analize i ēuvanja digitalnih dokaza, kao i ponovljivosƟ proce-
dure za tesƟranje forenziēkih alata na zahtev suda. Do danas je nekoliko alata za digitalnu
forenziēku analizu podvrgnuto ovoj standardnoj proceduri (npr. EnCase, FTK i dr.).
1.2.8 Standardna procedura tesƟranja forenziēkih alata
Iako još uvek ne postoji opšte prihvađena i konzistentna standardna procedura za
tesƟranje alata za forenziēku akviziciju i analizu digitalnih podataka u oblasƟ javne digi-
talne forenzike prihvata se serƟĮkacija radne grupe NIST-a specijalizovane za tesƟranje
alata za forenziku raēunara - NIST CFTT (NIST Computer Forensic Tool TesƟng). U in-
teresnoj zajednici digitalne forenzike preovlaĜuje mišljenje da forenziēke alate treba
da tesƟraju i serƟĮkuju još i vendori (proizvoĜaēi i isporuēioci) alata i sami korisnici –
digitalni forenziēari, [6], [11].
Do sada5
je NIST CFTT grupa razvila metodologiju samo za uzimanje Įziēke (miror,
slikeiliimidžaēvrstogdiska).ProcedurauzimanjaĮziēkeslikediskasadržisamoizvoĜenje
testova koji veriĮkuju oēekivane funkcije soŌverskog alata, a ne podrazumeva kontrolu
5 do 2006, u toku je razvoj više procedura za tesƟranje drugih funkcija forenziēkih alata.
20 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
izvornog koda. U tom smislu, zbog moguđnosƟ kontrole koda, osnovne funkcije alata sa
otvorenim izvornim kodom je lakše tesƟraƟ i lakše je razviƟ eĮkasnije testove. Iako do
sada nema objavljenog konzistentnog predloga metoda i procesa za proraēun stepena
grešaka hardversko/soŌverskih alata za digitalnu forenziēku analizu, dostupni su rezul-
taƟ brojnih testova forenziēkih alata sa zatvorenim izvornim kodom. Cilj ovih testova
je da se nedvosmisleno dokaže da neki forenziēki alat unosi poznat Ɵp i broj grešaka,
što se može dokazaƟ ponavljanjem procedure testa. Od velike pomođi je i ēinjenica da
je zbog komercijalnih razloga u najboljem interesu vendora alata da je ova greška što
je moguđe manja, što opravdava i zahteve za serƟĮkaciju alata od strane vendora. Ste-
pen grešaka forenziēkog alata treba da ukljuēuje, pored funkcionalnih grešaka i greške
u programiranju ili bagove. Aplikacije soŌverskih alata sa zatvorenim izvornim kodom
mogu kriƟ skrivene bagove, koji nisu dokumentovani pa ostaju nepoznaƟ i u sledeđoj
verziji proizvoda. Nasuprot, aplikacije forenziēkih alata sa otvorenim izvornim kodom
omoguđavaju poreĜenje dve verzije alata i otkrivanje eventualnih bagova koji su ostali
skriveni u prethodnoj verziji.
TesƟranje forenziēkih alata u NIST CFTT programu je, bez sumnje, kriƟēno za digi-
talnu forenziku sa aspekta zahteva za prihvatljivost alata pred sudom. MeĜuƟm,
postojeđi zahtev za vendorsko ispiƟvanje alata, u principu ima drugaēiji cilj. NIST Is-
pituje da li alat radi ono šta je pretpostavljeno da treba da radi da bi bio prihvatljiv za
sud, dok vendori alata ispituju šta je pretpostavljeno da alat radi u razliēiƟm situacijama
i ovo ispiƟvanje traje znatno duže i znatno je skuplje od tesƟranja NIST-a. Na primer,
kompanija ProDiscover ima skup od 500 sluēajeva tesƟranja svih forenziēkih plaƞor-
mi i alata koje ova razvija. Ipak, zbog soĮsƟcirane prirode soŌvera i brojnih varijanƟ
i permutacija sistemskih programa, nije realno zahtevaƟ primenu nekog alata u svim
forenziēkim situacijama i sluēajevima. Drugim reēima, nije moguđe potpuno simuliraƟ
i tesƟranjem obuhvaƟƟ sve potencijalne kombinacije forenziēkog hardvera i soŌvera
u vrlo razliēiƟm, realnim sluēajevima kompjuterskog kriminala. U praksi, proizvoĜaēi
forenziēkog soŌvera, za sada uspevaju samo da idenƟĮkuju veđinu kriƟēnih bagova, ali
nije neobiēno da se alaƟ popravljaju u novim verzijama6
, na bazi povratnih informacija
korisnika iz forenziēke zajednice. Tu je najveđi problem što forenziēari ne mogu ven-
dorima dostaviƟ fajlove sa dokazima o manifestaciji bagova zbog zahteva za zašƟtom
privatnosƟ i/ili tajnosƟ, a drugi razlog je što do sada forenziēki alaƟ generalno imaju
slab sistem upravljanja greškama. Tako se javila potreba da forenziēki alat treba da
ima log fajl grešaka, ēime bi korisnici mogli obavesƟƟ vendore o problemima rada sa
alatom bez ugrožavanja privatnosƟ i tajnosƟ predmetnog lica u analiziranom sluēaju ili
otkrivanja osetljivih informacija. TakoĜe, na ovaj naēin bi forenziēar registrovao prob-
lem, koji bi u suprotnom mogao ostaƟ nezapažen.
MeĜuƟm, ostaje problem što se log fajl grešaka forenziēkog alata može u unakrsnom
ispiƟvanju u sudskom procesu zloupotrebiƟ za prolongiranje istrage i samog procesa,
ukazivanjem na nepouzdanost primenjenog alata, ili dovoĜenjem u sumnju integritet
relevantnih digitalnih dokaza.
6 krpe („peēuju“) kao standardni soŌveri proizvedeni agilnim metodima.
21M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Opšte je mišljenje u forenziēkoj interesnoj zajednici da je potrebno razviƟ standarde
koji deĮnišu oēekivana ponašanja forenziēkih alata. Na primer, postoji potreba za stan-
dardnim formatom skladišta (baza podataka), formatom uvoza/izvoza (XML, CSV), za
skupom zajedniēkih indeksa i heš vrednosƟ i za deĮnisanjem procesa i termina. Prob-
lem je dilema o tome ko treba da razvija takve standarde: korisnici, vendori ili konzo-
rcijum za digitalnu forenziku. Oēigledno je da bi standardizacija, na primer, formata
za skladištenje digitalnih dokaza znaēajno poveđala interoperabilnost i kompaƟbilnost
forenziēkih alata. Sa aspekta prakse digitalne forenziēke akvizicije i analize, forenziēar
zahteva da ima razliēite poglede na isƟ sadržaj sa razliēiƟm alaƟma. Na primer, Access
Data (alat FTK) ima ĮlozoĮju da „forenziēki alat treba korisƟƟ toliko dugo koliko daje
oēekivane informacije forenziēaru“. TakoĜe, postoji potreba za veđom automaƟzacijom
ruƟnskih poslova i redosleda izvršavanja zadataka forenziēkih alata, kao i uvoĜenjem
ekspertnih sistema u proces digitalne forenziēke akvizicije i analize.
1.2.9 Legalni zahtevi za digitalne dokaze
Oblast digitalne forenziēke nauke i forenziēke akvizicije i analize digitalnih dokaza još
uvek je u razvoju. Nije poznato niƟ pouzdano utvrĜeno da li se kao digitalni dokaz treba
smatraƟ nauēno potvrĜen dokaz ili izlazni rezultat automaƟzovanog forenziēkog alata i
primenjenih forenziēkih tehnika.
Bez obzira na ovakvo stanje, moraju biƟ zadovoljeni neki zahtevi da bi se ulazni
digitalni podatak u pravosudni sluēaj kompjuterskog kriminala smatrao prihvatljivim
digitalnim dokazom. MeĜuƟm, nauēno potvrĜen digitalni dokaz mora biƟ istovremeno
i relevantan i pouzdan (neoboriv) za konkretni sluēaj. Pouzdanost nauēnog dokaza se
dokazuje primenom standarda koji zahteva da se procedura dokaznog postupka može
tesƟraƟ, veriĮkovaƟ i da je metod tesƟranja nauēno priznat. Relevantnost digitalnog
dokaza odreĜuje sud u kontekstu sluēaja, a na bazi njegove vrednosƟ za optuživanje ili
oslobaĜanje od kriviēne odgovornosƟ. Najēešđe same digitalne dokaze treba podržaƟ
i sa drugim, Įziēkim dokazima iz procesa istrage, ukljuēujuđi i rezultate ispiƟvanja
svedoka, oƟske prsta, razne zabeleške i druge indikatore koji upuđuju na idenƟtet
osumnjiēenog. Višestruko podržani digitalni dokazi imaju veđu prihvatljivost na sudu.
1.2.10 Dostupnost standardnih procedura i alata
Pojavom vrhunskih nauēnih ēasopisa (InternaƟonal Journal of Digital Evidence i dr.)
obajvljenji su i postali šire dostupni brojni radovi iz oblasƟ forenziēkih alata za akviziciju
i analizu digitalnih dokaza sa višestrukom recenzijom. TakoĜe, objavljeni su brojni, do-
kumentovani podaci i detalji o tome kako rade i procesiraju razliēiƟ fajl sistemi ili kako se
oporavljaju izbrisani fajlovi na HD i koliki stepen grešaka unose komercijalni forenziēki
alaƟ. Pri tome neki fajl sistemi kao što je NFTS nisu ēak ni javno dokumentovani – imaju
22 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
zatvoren izvorni programski kod. Kako fajl sistemi nisu dizajnirani da imaju neizbrisive
fajlove, forenziēari za analizu digitalnih dokaza ne mogu znaƟ koju proceduru koriste
njihovi alaƟ u izvršavanju ovih nedokumentovanih akcija.
Zato se za soŌverske forenziēke alate sa zatvorenim programskim kôdom (npr.
EnCase 4.0) zahteva višestruko tesƟranje i objavljivanje rezultata testa sa stepenom
greške koju alat unosi, što je prihvatljiva praksa za gotovo sve pravosudne sisteme u
zapadnim zemljama. Sa druge strane, proizvoĜaēi alata sa otvorenim izvornim kodom
uvek korektno objavljuju svoje procedure, pošto je izvorni kod na raspolaganju svakom
korisniku koji ga može proēitaƟ i proveri taēnost procedure.
1.2.11 Tela za akreditaciju standarda digitalnih forenziēkih laboratorija
Direkcija ameriēkog udruženja kriminalisƟēkih laboratorija (Bord laboratorija) za
akreditaciju (ASCLD/LAB) je telo za akreditaciju koje propisuje kriterijume i standarde,
koje speciĮēne nauēne i tehniēke discipline moraju zadovoljiƟ i radu forenziēkih labora-
torija za digitalne dokaze. Ovo telo izdaje Priruēnik za akreditaciju koji sadrži: principe,
standarde i kriterijume, kao i diskusije (pošto su standardi u razvoju). Priruēnik je na-
menjen za rad menadžmenta forenziēkih laboratorija, radnog osoblja, kvaliĮkovanih
lica-specijalista i laboratorijske opreme.
U SAD je na federalnom nivou osnovana Asocijacija forenziēkih nauēnika za analizu
digitalnih dokaza (AAFS). lanovi AAFS su najeminentniji nauēnici koji se bave disci-
plinama u ovim oblasƟma, a od njih su mnogi i akademici. Asocijacija zahteva najmanje
50 ēlanova za formiranje sekcije u nekoj državi. Novi ēlanovi se prijavljuju generalnoj
sekciji, iz koje se po potrebi mogu formiraƟ odvojene specijalisƟēke sekcije.
:edan od brojnih problema u oblasƟ digitalne forenziēke istrage - haos u serƟĮkaciji
eksperata za forenziēku analizu digitalnih dokaza, može se razrešiƟ samo ako se konzis-
tentno primene usvojeni principi na sve oblasƟ digitalne forenzike za sudsku praksu.
SerƟĮkacija profesija u oblasƟ digitalne forenzike treba da bude zajedniēko pitanje i
jedinstveno usklaĜena na meĜunarodnom nivou. Moraju postojaƟ univerzalne mere za
ocenu individualne kompetentnosƟ i ekspertskih znanja i vešƟna. Tehnologija digitalne
forenziēke istrage, akvizicije i analize zahteva razvoj standarda i protokola. Za prakƟēnu
primenu u forenziēkoj praksi zahteva se obuka i edukacija koja se završava tesƟranjem
steēenih znanja i vešƟna u procesu serƟĮkacije. Nacionalni centri za serƟĮkaciju ek-
sperata digitalne forenzike moraju radiƟ u bliskoj korelaciji sa meĜunarodnim telima za
serƟĮkacije u ovoj oblasƟ, [6].
23M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
REZIME
Zašto je potreban zakonski i pravni okvir za digitalnu forenziēku istragu, saku-
pljanje (akviziciju), dokazivanje (analizu) i sankcionisanje (veštaēenje/svedoēenje
i suĜenje) sluēajeva kompjuterskog kriminala? Nacionalni zakon o borbi proƟv
kompjuterskog kriminala je neophodan i neizbežan, zbog realnog trenda global-
nog rasta kompjuterskog kriminala u svetu, kao formalni okvir za razvoj nacio-
nalnih kapaciteta za istragu, dokazivanje i sankcionisanje kriviēnih dela kompjut-
erskog kriminala. Pravni okvir se zahteva za potrebe nacionalnog pravosuĜa i
usaglašavanje prakse pavosudnih sistema na meĜunarodnom nivou, zbog global-
nog, transnacionalnog karaktera kompjuterskog kriminala. Standardi i formalne
operaƟvne procedure istrage, akvizicije i analize digitalnih dokaza kompjuterskog
kriminala neophodne su zbog kompleksnosƟ i delikatnosƟ zadataka i speciĮēne
prirode digitalnih dokaza.
Svaki sluēaj istrage kompjuterskog kriminala zahteva razvoj biznis plana za us-
postavljanje forenziēkih kapaciiteta (javnih/korporacijskih), detaljnog plana pro-
jekta forenziēke istrage, programa, vremenskog plana, budžeta i kadrova. Krajnji
cilj digitalne forenziēke istrage je prikupiƟ dovoljno podataka i informacija da se
kriviēno delo kompjuterskog kriminala dokaže pred sudom. Nažalost konzistent-
na tehnologija neophodna za rešenje svih sluēajeva kompjuterskog kriminala još
uvek ne postoji. Digitalni forenziēar treba znaƟ da svaki upad u raēuanrski i IKT
sistem ostavlja brojne tragove, bez obzira koliko su teški za prađenje i otkrivanje.
Svaki kompjuterski kriminal je rešiv uz veliko strpljenje i dovoljno znanja i upor-
nosƟ.
Generalno, istraga kompjuterskog kriminala zahteva mnogo vremena, rada i
novca, pa vešƟ eksperƟ mogue odužiƟ procedure u nedogled u cilju sƟcanja neo-
pravdane korisƟ. Zato je potrebno uspostaviƟ i korisƟƟ formalne, struktuirane,
zakonski i pravno zasnovane, procedure istrage, akvizicije i analize digitalnih
dokaza kompjuterskog kriminala. U najjednostavnijem sluēaju zakonski okvir za
istragu kompjuterskog kriminala mora obezbediƟ najmanje proceduru za voĜenje
istrage o sluēaju kompjuterskog kriminala. Što su jasnije deĮnisani proces, metodi
i tehnologije istrage sluēajeva kompjuterskog kriminala, to je veđa verovatnođa za
uspešan ishod istrage.
Najsigurniji istražni postupak u sluēaju kompjuterskog kriminala je Ɵpa strik-
tnog sprovoĜenja propisane procedure i izvršavanje akƟvnosƟ korak po korak.
Prvo se mora doneƟ zakljuēak da je napad izvršen, a zaƟm proceniƟ karakter inci-
denta i doneƟ odluku o nivou korporacijske, odnosno, zvaniēne istrage.
Znaēajno je što se u cikliēnom procesu upravljanja kompjuterskim incidentom,
na osnovu rezultata digitalne forenziēke istrage, mogu otkloniƟ uzroci, a ne samo
posledice svih bezbednosih ranjivosƟ raēunarskog sistema i mreža, koje se otkriju
u sistemu zašƟte i Ɵme poboljšaƟ otpornost IKT sistema na nove napade.
24 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
PITANJA ZA PONAVLJANJE
1. Nabrojte osnovne elemente kompjuterskog kriminala.
2. Koje su glavne kategorije kompjuterskog kriminala sa aspekta uloge
raēunara?
3. Navedite neke Ɵpove kompjuterskog kriminala.
4. Ko su glavni korisnici digitalne forenziēke istrage?
5. Koje su glavne oblasƟ digitalne forenzike?
6. DeĮnišite digitalni dokaz.
7. Koji su glavni IOEC principi upravljanja digitalnim dokazima?
8. Koje glavne elemente treba da sadrži standardna operaƟvna procedura digi-
talne forenziēke istrage?
9. Navedite Daubert principe prihvatljivosƟ digitalnih dokaza pred sudom.
10.Objasnite pod kojim uslovima sud priznaje digitalne dokaze.
25M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
2. ISTRAGA KOMPJUTERSKOG KRIMINALA
2.1 ZVANINA ISTRAGA KOMPJUTERSKOG KRIMINALA
Generalno, digitalna forenziēka istraga deli u dve osnovne kategorije, [3]:
zvaniēnu (javnu)• i
korporacijsku (privatnu)• digitalnu forenziēku istragu.
Zvaniēna (javna) digitalna forenziēka istraga ukljuēuje policijske organe istrage, spe-
cijalno tužilaštvo i specijalno sudstvo za borbu proƟv visokotehnološkog (kompjuter-
skog) kriminala. Ovi organi treba da rade u skladu sa brojnim zakonima kao što su:
Zakon o kriviēnom postupku, Zakon o borbi proƟv visokotehnološkog kriminala, Zakon
o zašƟƟ informacija i informacionih sistema, Zakon o digitalnom dokazu, Zakon o elek-
tronskom potpisu, Zakonu o elektronskoj trgovini i dugi neophodni zakoni koji regulišu
ukupno savremeno elektronsko poslovanje. TakoĜe, zvaniēni organi istrage kompjuter-
skog kriminala treba da rade prema strogo utvrĜenim standardnim operaƟvnim proce-
durama (SOP) za: pretragu, privremeno oduzimanje i ispiƟvanje raēunarskih sistema i
drugih mrežnih ureĜaja, akviziciju digiotalnih podataka/dokaza sa razliēiƟh platvormi
i slika, u cilju otkrivanja validnih digitalnih dokaza. U sluēaju zvaniēne istrage istražni
organi moraju dobro poznavaƟ i razumeƟ sve zakone i propise koji se odnose na kom-
pjuterski kriminal, ukljuēujuđi standardne lokalne procedure za pretragu i utvrĜivanje
sluēaja kriviēnog dela kompjuterskog kriminala.
U procesu utvrĜivanja karaktera kriviēnog dela kompjuterskog kriminala, istražni or-
gan mora tražiƟ odgovore na brojna pitanja, kao što su:
1. Šta je bilo sredstvo izvršavanja kriviēnog dela?
2. Dalisuraēunarskisistemimrežaposlužilikaojednostavanprolazzaizvršavanje
kriviēnog dela?
3. Da li je u pitanju kraĜa, provala ili vandalizam u sistemu?
4. Da li je napadaē ugrozio neēiju privatnost i druga prava, ili uznemiravao preko
Voice IP ili e-mail servisa?
Raēunarski sistem i raēunarska mreža mogu biƟ sredstva za izvršavanje kriviēnog
dela i u tom smislu ne razlikuju se od pajsera provalnika za upad u tuĜi stan, ili kalauza
kradljivca kola. Raēunarski sistemi su kao sredstvo za izvršavanje kriviēnog dela, ili pred-
met kriviēnog dela, ukljuēeni u brojne i ozbiljne zloēine.
U izgradnji sluēaja kriviēnog dela kompjuterskog kriminala mogu se razlikovaƟ tri
glavne faze:
postojanje sluēaja izvršenja kriviēnog dela kompjuterskog kriminala,•
istraga kriviēnog dela kompjuterskog kriminala i•
suĜenje.•
26 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
OpšƟ proces zvaniēne istrage kompjuterskog incidenta, sa pristupom istrazi po mo-
delu “korak po korak”, gde svaki korak u okviru jedne faze istrage vodi u drugi i obez-
beĜuje kontrolnu listu akƟvnosƟ u okviru svake od sledeđe 4 faze, [18], [20]:
inicijalna istraga,•
ulazak u trag napadaēu,•
otkrivanje idenƟteta napadaēa i•
hapšenje• .
U realnom sluēaju kriviēmog dela kompjuterskog kriminala Ɵpiēan proces istrage
kređe od prijave kompjuterskog incidenta zvaniēnim organima istrage (policiji). U fazi
predistražnih radnji i pretrage istražni organi sakupljaju dovoljno dokaza za osnovanu
sumnju i pokretanje tužbe proƟv osumnjiēenog poēinioca (nekada može biƟ i nepo-
znat-NN poēinila). O svojim nalazima policija upoznaje tužioca koji obezbeĜuje nalog
za istragu od istražnog sudije i pokređe zvaniēnu istragu. Sa sudskim nalogo u gotovo
svim pravosudnim sistemima organi istrage kompjuterskog kriminala mogu legalno pri-
vremeno oduzimaƟ osumnjiēeni raēunarski sistem ili uzimaƟ Įziēku sliku ēvrstog diska,
radi forenziēke akvizicije i analize digitalnih dokaza.
Iako policija svake države šƟƟ javna dobra svojih graĜana, ne treba oēekivaƟ da sva-
ki policajac bude IKT ekspert i da sve faze istrage kompjuterskog kriminala izvršavam
samostalno. U tom smislu, preporuēena su tri nivoa potrebnih struēnih znanja i vešƟna
zvaniēnih organa istrage, [5]:
1. Nivo: Osposobljenost za akviziciju digitalnih podataka i privremeno ēuvanje inte-
griteta i propisno održavanje digitalnih dokaza. Ove poslove treba da obavljaju regular-
ni kriminalisƟēki tehniēari (policajci) sa osnovnim informaƟēkim znanjima i osnovnim
kursom digitalne forenzike;
2. Nivo: Osposobljenost za upravljanje procesom istrage visokotehnološkog krimi-
nala. Organi istrage se osposobljavaju da postavljaju pitanja, ispituju informante (sve-
doke) razumeju IKT terminologiju i šta može, a šta ne može biƟ izvuēeno iz digitalnih
podataka. Ove poslove treba da obavljaju kriminalisƟēki inspektori (policajci) sa zavr-
šenim specijalisƟēkim kursom za digitalnu forenziēku istragu kompjuterskog kriminala
i oporavak digitalnih podataka, ukljuēujuđi i osnove digitalne forenzike raēunarskih sis-
tema.
3. Nivo: Specijalno osposobljeni policajci za izvlaēenje, ispiƟvanje i analizu digitalnih
dokaza, koje normalno izvršavaju specijalisƟ za digitalnu forenziēku analizu raēunara
i raēunarskih mreža, ili kiberneƟēku (cyber) istragu kompjuterskih i Internet prevara.
Zvaniēni organi istrage osposobljeni sa ovim znanjima i vešƟnama mogu kompetentno
da upravljaju sluēajem kriviēnog dela kompjuterskog kriminala, uspešno obezbeĜuju
resurse za istragu, procenjuju obim istrage, delegiraju uloge i lica za sakupljanje i pro-
cesiranje informacija koje se odnose na osumnjiēenog, kao i za akviziciju i analizu digi-
talnih podataka iz ošteđenog, posrednih i osumnjiēenog raēunara i izgradnju ēvrsƟh do-
kaza. Posao istražitelja kompjuterskog kriminala završava se kada se pomođu propisane
27M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
procedure (SOP) i prihvatljive metodologije izvuku relevantni i ēvrsƟ digitalni dokazi iz
procesom akvizicije obezbeĜenih i drugih izvora podataka.
Istražitelj kompjuterskog kriminala, pre privremenog oduzimanja raēunarskog siste-
ma radi akvizicije i analize digitalnih dokaza, dostavlja sve preliminarne dokaze (Įziē-
ke, digitalne i slika) o osnovanoj sumnji tužiocu za visokotehnološki kriminal i zahteva
nalog za pretragu. Specijalni tužilac za visokotehnološki kriminal podnosi specijalnom
sudiji za visokotehnološki kriminal zahtev za nalog za pretres imovine osumnjiēenog u
kojem iznosi poznate ēinjenice iz predistražnog postupka i prilaže raspoložive dokaze
o poēinjenom kriviēnom delu. Na osnovu ovog zahteva i dokaza o osnovanoj sumnji,
specijalni sudija za visokotehnološki kriminal izdaje nalog za pretres stana i raēunarskog
sistema osumnjiēenog.
2.2 KORPORACIJSKA DIGITALNA FORENZIKA ISTRAGA
Savremeni novi mobilni telefoni, Bluetooth ureĜaji, kompaktne Ňeš memorijski
ureĜaji i razni PDA mogu izvršiƟ gotovo sve zadatke kao laptop raēunari, ukljuēujuđi
i udaljeni pristup raēunarskoj mreži bez znanja organizacije. Ovo je samo deo sistema
nove tehnologije koji zahteva zašƟtu u IKT sistemu organizacije, ali predstavlja i izazov
za primenu tehnika i alata korporacijske digitalne forenzike za rekonstrukciju kompjut-
erskog incidenta. U uslovima dinamiēki promenljivih kombinovanih pretnji koje mogu
iskorisƟƟ brojne slabosƟ web servisa i raēunarskih mreža organizacije, razumevanje
uzroka i spreēavanje ponavljanja incidenta jednako je važno kao i sam sistem zašƟte
organizacije. Za otkrivanje uzroka i otklanjanje ranjivosƟ koje su dovele do incidenta,
organizacija uvek može iznajmiƟ retke specijaliste za digitalnu forenziku, ali je za sada
ta usluga najskuplji servis u sektoru zašƟte informacija, što je najēešđe ograniēavajuđi
faktor. Iako je korporacijska digitalna forenzika u ranoj fazi razvoja, izazovi i rizici koje
donosenove,mobilnetehnologijenesumnjivođeuƟcaƟnasveveđuprimenuforenziēkih
tehnika i alata u upravljanju kompjuterskim incidentom u organizaciji.
U kontekstu upravljanja kompjuterskim bezbednosnim incidentom u korporaci-
jskom IKT sistemu, metodologija i tehnologija digitalne forenziēke istrage obezbeĜuju
stabilnu i kompletnu celinu u ranjivom mrežnom okruženju sa uspostavljenim poliƟka-
ma zašƟte, implemenƟranim sistemom zašƟte i uspostavljenim kapaciteƟma za uprav-
ljanje kompjuterskim incidentom. Dobra je praksa da korporacijski digitalni forenziēar
Ɵmski radi sa administratorima sistema, mreže i zašƟte i drugim specijalisƟma zašƟte
u cilju obezbeĜivanja prihvatljivog nivoa zašƟte raēunarskih sistema i bezbednog
rada raēunarske mreže u Internet okruženju. Iako sve tri grupe specijalista u velikim
sistemima najēešđe rade samostalno, u sluēaju glavnog kompjuterskog incidenta sve
tri grupe uvek rade zajedno. Ovakav koraboraƟvni7
rad obezbeĜuje eĮkasno i efekƟvno
trajno saniranje kompjuterskog incidenta u organizaciji, sa sopstvenim resursima i bez
7 rad ēlanova Ɵma na razliēiƟm izvorima indikatora i dokaza istog kompjuterskog incidenta.
28 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
pozivanja spoljnih specijalista. SpecijalisƟ za sisteme zašƟte, analizu rizika i ranjivosƟ
sistema i mreža imaju iskustvo iz administracije sistema i mreža i poznaju neku met-
odologiju za analizu i ublažavanje rizika. SpecijalisƟ za upravljanje kompjuterskim in-
cidentom poznaju automaƟzovane detektore upada (IDS/IPS Ɵpa), monitorišu logove
logiēkih mrežnih barijera (Įrewalls), otkrivaju, prate, idenƟĮkuju i spreēavaju upade u
raēunarske mreže i, u sluēaju napada, pomažu forenziēarima da rekonstruišu napad,
oporave podatke i idenƟĮkuju napadaēa. Digitalni forenziēari ispituju napadnute, kom-
promitovane ili osumnjiēene raēunarske sisteme, ukljuēujuđi i posredne raēunare, koji
sadrže potencijalne dokaze o kompjuterskom incidentu/kriminalu i dostavljaju nalaze o
naēinu napada ēlanovima druga dva Ɵma za efekƟvno Įksiranje i trajno otklanjanje ot-
krivenih ranjivosƟ sistema. Bliskom saradnjom ovih specijalista, efekƟvno se spreēava
ponavljanje istog ili sliēnog incidenta i dugoroēno podiže bezbednost sistema na viši
nivo.
Potrebu za razvojem korporacijske digitalne forenzike mogu generisaƟ razliēiƟ iz-
vori, [3].
interni zahtevi poliƟke zašƟte korporacije/organizacije za upravljanje kompjut-•
erskim incidentom;
spoljnifaktorikaoštosumeĜunarodnizahtevizastandardizacijuiusklaĜivanje•
upravljanja zašƟtom informacija, zadržavanja informacija itd.;
razvoj soĮsƟciranih hakerskih alata i vešƟna napada na raēunarske sisteme i•
mreže;
nacionalni zakoni i regulaƟve koji• postoje u veđini zemalja, mogu zahtevaƟ
uspostavljanje nekih oblika forenziēkih kapaciteta za borbu proƟv kompjut-
erskog kriminala, kao što su zakoni o zadržavanju informacija (npr. Švajcarski
zakon ISP log retenƟon), regulaƟve i standardi u industriji, zdravstvu, Įnansi-
jskom sektoru itd.;
standardi industrijske najbolje prakse u oblasƟ zašƟte informacija, kao što su•
ISO/IEC 27001 (17799:2005) i drugi serije ISO/IEC 27k meĜunarodni standardi
za zašƟtu informacija, koji preporuēuje procedure za skupljanje informacija
i dokaza, analizu i procenu incidenata, zadržavanje e-mail poruka i slika, ili
IAAC (InformaƟon Assurance Advisory Council) smernice, koje daju uputstva
za obezbeĜivanje korporacijskih forenziēkih kapaciteta;
objavljivanje forenziēkih procedura i alata u višestruko recenziranim nauēnim•
ēasopisima kao što su Digital InvesƟgaƟon Journal, The InternaƟonal Journal
of Digital Forensics  Incident Response i drugim.
Ako neka korporacija/organizacija odluēi da uspostavi sopstvene kapacitete za digi-
talnu forenziēku istragu na bazi internih potreba i zahteva poliƟke zašƟte za upravl-
janje kompjuterskim incidentom, oēekuje se da zvaniēni državni organi za borbu proƟv
kompjuterskog kriminala u svakoj nacionalnoj državi obezbede:
pomođ legalnim Ɵmovima korporacija/organizacija za upravljanje kompjut-•
29M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
erskim incidentom kod otkrivanja uzroka incidenta i napadaēa, posebno iz
drugog domena zašƟte (drugog ISP), ili drugog pravosudnog sistema u kojima
korporacijski organi istrage nemaju nikakvu nadležnost;
usaglašavanje korporacijske poliƟke/standarda zašƟte sa lokalnim zakonima i•
regulaƟvama, što može biƟ od velike korisƟ za razvoj forenziēkih kapaciteta;
preporuke i procedure za kontrolu (• audiƟng) sistema zašƟte i
informacije za obrazovanje u oblasƟ digitalne forenzike (npr.• InternaƟonal
Journal of Digital Evidence i slika).
UspostavljanjekorporacijskihkapacitetazadigitalnuforenzikumožesepoziƟvnoodra-
ziƟ i u oblasƟ upravljanja ljudskim resursima. Proces korporacijske digitalne forenziēke
istrage, forenziēke tehnike i alaƟ mogu obezbediƟ kljuēne informacije za razliēite aspek-
te upravljanja ljudskim resursima, kao što su: otpuštanje zaposlenih i ukidanje radnih
mesta, upravljanje zaposlenim, disciplinske akcije, procena ekstremnih sluēajeva (smrƟ,
samoubistava, kidnapovanja) i slika Od korporacijskih forenziēkih kapaciteta velike ko-
risƟ mogu imaƟ i razliēita stalna/privremena tela i Ɵmovi koji se formiraju u korporaciji,
kao što su Ɵmovi za: istragu klasiēnih prevara i kriminala, upravljanje kompjuterskim
incidentom i vanrednim dogaĜajem, upravljanje rizikom, procenu rizika, kontrolu rizika
od kompjuterskog kriminala, upravljanje konƟnuitetom poslovanja itd. Sve ove uloge
imaju potrebu da koriste usluge kompetentnog centralnog Ɵma za zašƟtu informacija sa
digitalnim forenziēarom koji dobro poznaje forenziēke tehnike i alate.
Korporacijski kapaciteƟ za digitalnu forenziku mogu, takoĜe, odigraƟ znaēajnu ulogu
za zašƟtu intelektualne svojine, ugleda i brendova korporacije, ispiƟvanjem lažnih web
sajtova, phishing napada itd.
U IKT sistemu korporacije, forenziēki kapaciteƟ su od kljuēnog znaēaja za analizu tra-
gova upada u sistem, ispiƟvanje povreda poliƟka zašƟte, utvrĜivanje zloupotreba IKT
infrastrukture, analizu prisustva logiēkih bombi, rutkit tehnika, zadnjih vrata, trojanaca
i drugih malicioznih kodova. Forenziēke alate i tehnike, korporacija može korisƟƟ i za:
veriĮkaciju procedura za saniranje korporacijskih diskova za skladištenje bri-•
sanjem sa prepisivanjem (wiping),
veriĮkaciju implementacije šifarskih sistema na disku/u mreži,•
oporavak podataka sa pokvarenih HD i starih/zastarelih medija,•
oporavak lozinke na legiƟmne zahteve,•
utvrĜivanje skrivenih grešaka i•
dizajn i arhitekturu IKT sistema koji obezbeĜuju uspostavljanje forenziēkih ka-•
paciteta korporacije.
Glavni problemi u procesu uspostavljanja forenziēkih funkcionalnosƟ u korporaciji
su odreĜivanje osnovnih potreba/zahteva za digitalnog forenziēara/Ɵm forenziēara i
nekih kljuēnih faktora za implementaciju uloge digitalnog forenziēara u organizaciji.
Prirodno je da se uloga digitalnog forenziēara uspostavlja u korporacijskom Ɵmu za
upravljanje kompjuterskim incidentom.
30 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
2.2.1 Uspostavljanje Ɵma za upravljanje kompjuterskim incidentom
Sa aspekta efekƟvnosƟ sistema zašƟte, korporacijski Ɵm za upravljanje kompjut-
erskim incidentom u svim aspekƟma zašƟte informacija, ukljuēujuđi korporacijsku
forenziēku istragu, treba da bude centralizovan za sve delove korporacije. Tim može
biƟ uspostavljen od kompetentnih zaposlenih koji obavljaju redovne poslovne zadatke,
a u Ɵmu rade po potrebi i u sluēaju glavnog kompjuterskog incidenta. Neki ili svi ēlanovi
Ɵma mogu biƟ iznajmljeni, što može predstavljaƟ dodatnu ranjivost korporacije. Velike
korporacije mogu imaƟ poseban Ɵm samo za digitalnu forenziēku istragu, akviziciju i
analizu. Tipiēni Ɵm za upravljanje bezbednosnim kompjuterskim incidentom treba da
ukljuēi sledeđe uloge/proĮle zaposlenih ili iznajmljenih specijalista:
1. Menadžer zašƟte informacija - CIO (Chief InformaƟon Oĸcer);
2. Administrator raēunarskog sistema/mreže;
3. Specijalista za upravljanje i kontrolu bezbednosnog rizika;
4. Kontrolor sistema kvaliteta;
5. Predstavnici drugih Ɵmova (za vanredne dogaĜaje, usaglašenost standarda i
slika)
6. Digitalni forenziēar;
7. Pravnik organizacije;
8. Menadžer za upravljanje ljudskim resursima.
Kljuēni nedostatak centralizovanog upravljanja kompjuterskim incidentom i siste-
mom zašƟte u celini, može biƟ ēinjenica da se postepeno klasiēna paradigma savre-
menih organizovanih malicioznih, hakerskih napada sve više pomera na centralizovane
enƟtete za upravljanje zašƟtom informacija u korporaciji/ organizaciji.
Veoma je korisno da korporacija generiše i implemenƟra PoliƟku digitalne forenziēke
istrage sa saopštenjima koja omoguđavaju ovlašđenim zvaniēnim organima istrage da
pristupe sistemu i izvrše akviziciju digitalnih podataka u fazi ukljuēivanja zvaniēnih or-
gana istrage u korporacijsku forenziēku istragu. Saopštenja ove poliƟke treba da sadrže
najmanje sledeđe zahteve za:
zašƟtu osetljivih podataka,•
smanjenje rizika kod pristupa (kontrolisaƟ i logovaƟ sve pristupe),•
deĮnisano vreme zadržavanja informacija (e-mail poruka i dr.),•
usklaĜivanje sa legalnim i regulatornim zahtevima,•
odgovore na bezbednosne incidente,•
forenziēki oporavak i istragu incidenta,•
uspostavljanje forenziēkih resursa (kapaciteta) korporacije,•
obuku i osposobljavanje forenziēara/Ɵma potrebnim znanjima i vešƟnama,•
opremu forenziēke laboratorije i terenskih forenziēkih alata i•
iznajmljivanje spoljnih partnera i eksperata u sluēaju potrebe.•
31M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
Uspeh uspostavljanja korporacijskog Ɵma za upravljanje kompjuterskim incidentom
sa sopstvenim kapaciteƟma za korporacijsku digitalnu forenziēku istragu, u najveđoj
meri zavisi od podrške menadžmenta korporacije. U prvom redu, potrebno je ubedi-
Ɵ menadžment da je takav Ɵm potreban korporaciji i da može doneƟ vidljive korisƟ.
Pažnju treba usmeriƟ na razvoj opšte spremnosƟ korporacije da upravlja kompleksnim
kompjuterskim incidentom, analogno pripremi za proƟv požarnu zašƟtu. Sve razloge
treba ilustrovaƟ sa najnovijim primerima štetnih posledica za brojne organizacije u
svetu od raznih Ɵpova zloupotreba raēunara i kompjuterskog kriminala. Praksa zašƟte
nesumnjivo potvrĜuje da je spremnost korporacija/organizacija da razviju i implemenƟ-
raju adekvatne sisteme zašƟte informacija, proporcionalna koliēini akumuliranog straha
menadžmenta od posledica koje su imale druge sliēne korporacije/organizacije8
. Dobro
je ilustrovaƟ troškove jednog sluēaja suĜenja kompjuterskog kriminala i Ɵme oprav-
daƟ troškove uspostavljanja forenziēkih kapaciteta korporacije. U ovom markenƟškom
procesu neophodno je razvijaƟ svest o potrebi zašƟte i kod drugih grupa zaposlenih,
ukljuēujuđi krajnje korisnike, i obezbediƟ opšte razumevanje i podršku cele organizaci-
je. U prezentaciju treba ukljuēiƟ tok procesa uspostavljanja kapaciteta korporacijske
digitalne forenziēke istrage, potrebnu logisƟēku i struēnu podršku i navesƟ postojeđe
kompetentne, nacionalne digitalne forenziēke centre.
Od posebnog znaēaja je uspostavljanje pouzdane, potpune i eĮkasne komunikacije
izmeĜu zaposlenih i interventnog Ɵma i obrnuto. Korisno je odrediƟ odgovorna lica i
navesƟ kontaktne informacije ēlanova Ɵma iz razliēiƟh delova IKT sistema i organizacije
za potrebe sakupljanja digitalnih dokaza, kao i kontaktne informacije sa spoljnim sara-
dnicima i konsultanƟma. Interventni Ɵm treba da deĮniše i objavi sve komunikacione
kanale, ukljuēujuđi e-mail adresu, telefone, web lokaciju i dr.
PoliƟka korporacijske digitalne forenziēke istrage treba da zahteva obaveznu obuku
za sƟcanje razliēiƟh znanja i vešƟna iz oblasƟ zašƟte IKT sistema, upravljanja rizikom,
upravljanja bezbednosnim incidentom i digitalne forenziēke istrage, akvizicije, oporav-
ka podataka, analize i prezentacije digitalnih dokaza. Težište na obuci treba da bude na
poznavanju metoda i procedura, razumevanju novih forenziēkih tehnika i alata. Cilj je
da u korporacijskom Ɵmu za upravljanje kompjuterskim incidentom budu serƟĮkovani
ēlanovi iz relevantnih oblasƟ, kao što su CISSP (CerƟĮed InformaƟon System Security
Professionals) za zašƟtu IKT sistema ili na primer, EnCE (EnCase Examiner) – ovlašđeni
forenziēar za ispiƟvanja sa EnCAse forenziēkim alatom i slika
2.2.2 Procedura odreĜivanja karaktera kompjuterskog incidenta
StaƟsƟēki gledano proseēan kompjuterski incident najēešđe nije kriminalni akt.
MeĜuƟm, u toku predistražnih i istražnih radnji treba verovaƟ indikacijama istrage, a
ne staƟsƟēkim pokazateljima. Na bazi rezultata procesa odreĜivanja karaktera kompjut-
erskog incidenta, ēak i površnog i preliminarnog uvida u posledice incidenta, vlasnik
8 Istraživanje kompanije ORACLE u toku 2008. godine.
32 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ
sistema donosi odluku da li đe nastaviƟ istragu unutar organizacije sopstvenim kapac-
iteƟma, iznajmiƟ spoljne saradnike – eksperte, sluēaj predaƟ zvaniēnim organima is-
trage, podiđi optužbu i slika
U svakom sluēaju korporacijske, kombinovane ili zvaniēne istrage karaktera kompjut-
erskog incidenta, treba:
NapraviƟ detaljan izveštaj o svim nalazima, dokumentovaƟ izveštaj i nalaze i•
daƟ predlog/preporuku za dalji postupak;
Dokazne materijale pažljivo markiraƟ obojenom samolepljivom nalepnicom /•
trakom, sorƟraƟ u odvojene koverte sa detaljnim oznakama o sadržaju svake.
Oznaka treba da ima mesta za potpis lica koje preuzima dokazni materijal u
daljem postupku. Oznaku staviƟ preko strane koverte koja se lepi, tako da se
pokaže da koverta nije otvarana;
Kada se neki fajl memoriše kao digitalni dokaz, mora se zašƟƟƟ od izmene. Za•
zašƟtu integriteta treba korisƟƟ standardni hash program (SHA-256, SHA-512
i dr.) koji daje jedinstven sažetak fajla. Svaka i najmanja promena u fajlu menja
hash vrednost fajla. ZaƟm se sažetak fajla zajedno sa fajlom digitalnog dokaza
šifruje javnim kljuēem asimetriēnog algoritma (raspoloživog na Internetu) i
memoriše. Tako zašƟđen dokaz se kada zatreba dešifruje privatnim kljuēem
(matemaƟēkim parom javnog kljuēa) i veriĮkuje se hash vrednost sa isƟmhash
algoritmom. Ako je ova vrednost jednaka originalnoj vrednosƟ hash-a upravo
dešifrovanog fajla sa digitalnim dokazom, onda nije bilo izmene i dokaz je pri-
hvatljiv na sudu. Na sliēan naēin, integritet fajla sa digitalnim dokazom može
se bezbedno skladišƟƟ i prenosiƟ primenom digitalnog serƟĮkata i digitalnog
potpisa u uspostavljenom PKI sistemu;
Dobro je u izveštaju pomenuƟ svaki pojedinaēni dokaz pod jedinstvenim•
brojem evidencije na koverƟ, što olakšava kasnije snalaženje;
Izveštaj treba poēeƟ sa kratkim sadržajem incidenta (• ExecuƟve Summary) u
kojem se opisuje incident, metod istraživanja i generalne zakljuēke po redos-
ledu izvedenih dokaza. U posebnom poglavlju detaljno opisaƟ svaki navedeni
zakljuēak posebno ukazujuđi na ēvrste (neoborive) dokaze koji podržavaju ili
osporavaju postavljenu hipotezu i zakljuēke;
Vremenska evidencija je najbolji dokaz za zakljuēivanje o incidentu. Ako•
se obezbedi dokaz o vremenskoj liniji upada u sistem, u svim log fajlovima
mrežnih ureĜaja i napadnutog raēunara, onda je to ēvrst dokaz za sluēaj. Tre-
ba imaƟ na umu da se vreme i datum lako menjaju, pa je potrebno ovaj dokaz
podupreƟ sa drugim dokazima iz napadnutog raēunara;
Najniži rezultat istrage mora biƟ dovoljan za odluku na nivou organizacije•
- šta dalje uradiƟ sa istragom: obustaviƟ, nastaviƟ u organizaciji ili predaƟ
zvaniēnim organima. Ta odluka najviše zavisi od prezentacije zakljuēaka i ma-
terijalnih dokaza za svaki zakljuēak;
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala
Us   istraga kompjuterskog kriminala

More Related Content

More from Marija Starcevic

More from Marija Starcevic (20)

Us modul 4 - tabelarne kalkulacije
Us   modul 4 - tabelarne kalkulacijeUs   modul 4 - tabelarne kalkulacije
Us modul 4 - tabelarne kalkulacije
 
Us modul 3 - obrada teksta
Us   modul 3 - obrada tekstaUs   modul 3 - obrada teksta
Us modul 3 - obrada teksta
 
Us modul 2 - korišćenje računara
Us   modul 2 - korišćenje računaraUs   modul 2 - korišćenje računara
Us modul 2 - korišćenje računara
 
Us menadžment
Us   menadžmentUs   menadžment
Us menadžment
 
Us menadžment informacionih tehnologija
Us   menadžment informacionih tehnologijaUs   menadžment informacionih tehnologija
Us menadžment informacionih tehnologija
 
Us matematika
Us   matematikaUs   matematika
Us matematika
 
Us kvantitativne metode
Us   kvantitativne metodeUs   kvantitativne metode
Us kvantitativne metode
 
Us kvantitativne metode - zbirka zadataka
Us   kvantitativne metode - zbirka zadatakaUs   kvantitativne metode - zbirka zadataka
Us kvantitativne metode - zbirka zadataka
 
Us kriptologija i
Us   kriptologija iUs   kriptologija i
Us kriptologija i
 
Us kriptologija 2
Us   kriptologija 2Us   kriptologija 2
Us kriptologija 2
 
Us kontroling - skripta
Us   kontroling - skriptaUs   kontroling - skripta
Us kontroling - skripta
 
Us java programiranje
Us   java programiranjeUs   java programiranje
Us java programiranje
 
Us internet tehnologije
Us   internet tehnologijeUs   internet tehnologije
Us internet tehnologije
 
Us internet programiranje pomoću programskog jezika java
Us   internet programiranje pomoću programskog jezika javaUs   internet programiranje pomoću programskog jezika java
Us internet programiranje pomoću programskog jezika java
 
Us informatika
Us   informatikaUs   informatika
Us informatika
 
Us finansijsko izveštavanje
Us   finansijsko izveštavanjeUs   finansijsko izveštavanje
Us finansijsko izveštavanje
 
Us etika i poslovne komunikacije
Us   etika i poslovne komunikacijeUs   etika i poslovne komunikacije
Us etika i poslovne komunikacije
 
Us engleski jezik iv
Us   engleski jezik ivUs   engleski jezik iv
Us engleski jezik iv
 
Us engleski jezik iii
Us   engleski jezik iiiUs   engleski jezik iii
Us engleski jezik iii
 
Us engleski jezik ii
Us   engleski jezik iiUs   engleski jezik ii
Us engleski jezik ii
 

Recently uploaded

Istorija okruzno takmicenje za 7. razred 2022.pdf
Istorija okruzno takmicenje za 7. razred 2022.pdfIstorija okruzno takmicenje za 7. razred 2022.pdf
Istorija okruzno takmicenje za 7. razred 2022.pdfpauknatasa
 
Istorija opstinsko takmicenje za 6. razred - test_2024.pdf
Istorija opstinsko takmicenje za 6. razred - test_2024.pdfIstorija opstinsko takmicenje za 6. razred - test_2024.pdf
Istorija opstinsko takmicenje za 6. razred - test_2024.pdfpauknatasa
 
Птице које можемо да пронађемо у Београду
Птице које можемо да пронађемо у БеоградуПтице које можемо да пронађемо у Београду
Птице које можемо да пронађемо у БеоградуИвана Ћуковић
 
Istorija okruzno takmicenje za 6. razred 2022. godine.pdf
Istorija okruzno takmicenje za 6. razred 2022. godine.pdfIstorija okruzno takmicenje za 6. razred 2022. godine.pdf
Istorija okruzno takmicenje za 6. razred 2022. godine.pdfpauknatasa
 
Istorija kljuc za okruzno takmicenje za 6. razred 2022
Istorija kljuc za okruzno takmicenje za 6. razred 2022Istorija kljuc za okruzno takmicenje za 6. razred 2022
Istorija kljuc za okruzno takmicenje za 6. razred 2022pauknatasa
 
Istorija ključ za okruzno takmicenje za 6. razred_2024
Istorija ključ za okruzno takmicenje za 6. razred_2024Istorija ključ za okruzno takmicenje za 6. razred_2024
Istorija ključ za okruzno takmicenje za 6. razred_2024pauknatasa
 
Razvoj samopouzdanja kod skolskog deteta
Razvoj samopouzdanja kod skolskog detetaRazvoj samopouzdanja kod skolskog deteta
Razvoj samopouzdanja kod skolskog detetaNerkoJVG
 
Istorija 6. razred opstinsko takmicenje 2022.pdf
Istorija 6. razred opstinsko takmicenje 2022.pdfIstorija 6. razred opstinsko takmicenje 2022.pdf
Istorija 6. razred opstinsko takmicenje 2022.pdfpauknatasa
 
Istorija kljuc za okruzno takmicenje za 7. razred 2022. godine.doc
Istorija kljuc za okruzno takmicenje za 7. razred 2022. godine.docIstorija kljuc za okruzno takmicenje za 7. razred 2022. godine.doc
Istorija kljuc za okruzno takmicenje za 7. razred 2022. godine.docpauknatasa
 
Profesionalna_orijentacija / Srednja Škola Hipokrat
Profesionalna_orijentacija / Srednja Škola HipokratProfesionalna_orijentacija / Srednja Škola Hipokrat
Profesionalna_orijentacija / Srednja Škola HipokratNerkoJVG
 
Istorija okruzno takmicenje za 6. razred_20242024.pdf
Istorija okruzno takmicenje za 6. razred_20242024.pdfIstorija okruzno takmicenje za 6. razred_20242024.pdf
Istorija okruzno takmicenje za 6. razred_20242024.pdfpauknatasa
 
Istorija 6. razred okruzno takmicenje 2023 test.pdf
Istorija 6. razred okruzno takmicenje 2023 test.pdfIstorija 6. razred okruzno takmicenje 2023 test.pdf
Istorija 6. razred okruzno takmicenje 2023 test.pdfpauknatasa
 

Recently uploaded (15)

Istorija okruzno takmicenje za 7. razred 2022.pdf
Istorija okruzno takmicenje za 7. razred 2022.pdfIstorija okruzno takmicenje za 7. razred 2022.pdf
Istorija okruzno takmicenje za 7. razred 2022.pdf
 
Istorija opstinsko takmicenje za 6. razred - test_2024.pdf
Istorija opstinsko takmicenje za 6. razred - test_2024.pdfIstorija opstinsko takmicenje za 6. razred - test_2024.pdf
Istorija opstinsko takmicenje za 6. razred - test_2024.pdf
 
Птице које можемо да пронађемо у Београду
Птице које можемо да пронађемо у БеоградуПтице које можемо да пронађемо у Београду
Птице које можемо да пронађемо у Београду
 
OIR12-L1.pptx
OIR12-L1.pptxOIR12-L1.pptx
OIR12-L1.pptx
 
OIR-V10.pptx
OIR-V10.pptxOIR-V10.pptx
OIR-V10.pptx
 
Istorija okruzno takmicenje za 6. razred 2022. godine.pdf
Istorija okruzno takmicenje za 6. razred 2022. godine.pdfIstorija okruzno takmicenje za 6. razred 2022. godine.pdf
Istorija okruzno takmicenje za 6. razred 2022. godine.pdf
 
Istorija kljuc za okruzno takmicenje za 6. razred 2022
Istorija kljuc za okruzno takmicenje za 6. razred 2022Istorija kljuc za okruzno takmicenje za 6. razred 2022
Istorija kljuc za okruzno takmicenje za 6. razred 2022
 
Istorija ključ za okruzno takmicenje za 6. razred_2024
Istorija ključ za okruzno takmicenje za 6. razred_2024Istorija ključ za okruzno takmicenje za 6. razred_2024
Istorija ključ za okruzno takmicenje za 6. razred_2024
 
Razvoj samopouzdanja kod skolskog deteta
Razvoj samopouzdanja kod skolskog detetaRazvoj samopouzdanja kod skolskog deteta
Razvoj samopouzdanja kod skolskog deteta
 
Istorija 6. razred opstinsko takmicenje 2022.pdf
Istorija 6. razred opstinsko takmicenje 2022.pdfIstorija 6. razred opstinsko takmicenje 2022.pdf
Istorija 6. razred opstinsko takmicenje 2022.pdf
 
OIR12-L2.pptx
OIR12-L2.pptxOIR12-L2.pptx
OIR12-L2.pptx
 
Istorija kljuc za okruzno takmicenje za 7. razred 2022. godine.doc
Istorija kljuc za okruzno takmicenje za 7. razred 2022. godine.docIstorija kljuc za okruzno takmicenje za 7. razred 2022. godine.doc
Istorija kljuc za okruzno takmicenje za 7. razred 2022. godine.doc
 
Profesionalna_orijentacija / Srednja Škola Hipokrat
Profesionalna_orijentacija / Srednja Škola HipokratProfesionalna_orijentacija / Srednja Škola Hipokrat
Profesionalna_orijentacija / Srednja Škola Hipokrat
 
Istorija okruzno takmicenje za 6. razred_20242024.pdf
Istorija okruzno takmicenje za 6. razred_20242024.pdfIstorija okruzno takmicenje za 6. razred_20242024.pdf
Istorija okruzno takmicenje za 6. razred_20242024.pdf
 
Istorija 6. razred okruzno takmicenje 2023 test.pdf
Istorija 6. razred okruzno takmicenje 2023 test.pdfIstorija 6. razred okruzno takmicenje 2023 test.pdf
Istorija 6. razred okruzno takmicenje 2023 test.pdf
 

Us istraga kompjuterskog kriminala

  • 1.
  • 2. UNIVERZITET SINGIDUNUM Prof. dr Milan Milosavljeviđ Doc. dr Gojko Grubor ISTRAGA KOMPJUTERSKOG KRIMINALA M›ãʗʽʊ»Ê - ã›HÄʽʊ»› ÊÝÄÊò› Beograd,
  • 3. ISTRAGA KOMPJUTERSKOG KRIMINALA M›ãʗʽʊ»Ê-ã›HÄʽʊ»› ÊÝÄÊò› Autori: Prof. dr Milan Milosavljeviđ Doc. dr Gojko Grubor RecenzenƟ: Prof. dr Milovan Stanišiđ Prof. dr Branko Kovaēeviđ Izdavaē: UNIVERZITET SINGIDUNUM Beograd, Danijelova 32 www.singidunum.ac.rs Za izdavaēa: Prof. dr Milovan Stanišiđ Tehniēka obrada: Novak Njeguš Dizajn korica: Milan Nikoliđ Godina izdanja: 2009. Tiraž: 300 primeraka Štampa: UGURA print, Beograd www.cugura.rs ISBN: 978-86-7912-
  • 4. IIISƒ—ÙŽƒJ SADRŽAJ I. METODOLOaKE OSNOVE ISTRAGE KOMPJUTERSKOG KRIMINALA UVOD 3 1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGE KOMPJUTERSKOG KRIMINALA 6 1.1 KRATAK PREGLED RAZVO:A DIGITALNE FORENZIKE ISTRAGE KOMP:UTERSKOG KRIMINALA I ANALIZE DIGITALNIH DOKAZA 8 1.2 STANDARDIZACI:A PROCEDURA DIGITALNE FORENZIKE ISTRAGE kompjuterskog kriminla 10 1.2.1 DeĮnicije kljuēnih termina digitalne forenziēke istrage 10 1.2.2 Principi upravljanja digitalnim dokazima 11 1.2.3 Struktura standardne operaƟvne procedure 12 1.2.4 Standardi i kriterijumi digitalne forenziēke istrage 13 1.2.4.1 Standardi i kriterijumi 1.1 13 1.2.4.2 Standardi i kriterijumi 1.2 13 1.2.4.3 Standardi i kriterijumi 1.3 13 1.2.4.4 Standardi i kriterijumi 1.4 14 1.2.4.5 Standardi i kriterijumi 1.5 14 1.2.4.6 Standardi i kriterijumi 1.6 14 1.2.4.7 Standardi i kriterijumi 1.7 15 1.2.4.8 Standard prihvatljivosƟ procedure 15 1.2.5 Standardizacija procedure privremenog oduzimanja raēunara kao dokaznog materijala 15 1.2.6 Procedura za obezbeĜivanje kopija dokaza 17 1.2.7 Standardna procedura nauēnog karaktera digitalnog dokaza 18 1.2.8 Standardna procedura tesƟranja forenziēkih alata 19 1.2.9 Legalni zahtevi za digitalne dokaze 21 1.2.10 Dostupnost standardnih procedura i alata 21 1.2.11 Tela za akreditaciju standarda digitalnih forenziēkih laboratorija 22 REZIME 23 PITAN:A ZA PONAVL:AN:E 24 2. ISTRAGA KOMPJUTERSKOG KRIMINALA 2.1 ZVANINA ISTRAGA KOMP:UTERSKOG KRIMINALA 25 2.2 KORPORACI:SKA DIGITALNA FORENZIKA ISTRAGA 27 2.2.1 Uspostavljanje Ɵma za upravljanje kompjuterskim incidentom 30 2.2.2 Procedura odreĜivanja karaktera kompjuterskog incidenta 31 2.2.3 Model troškova korporacijske forenziēke istrage 33
  • 5. IV IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 2.3 PROCES KORPORACI:SKE ISTRAGE 37 2.4 ISTRAGA AKTIVNOG INCIDENTA ͵ STUDI:A SLUA:A 42 2.4.1 Scenario u kojem je napadaē na mreži 42 2.4.1.1 Sluēaj direktnog napada 43 2.4.1.2 Sluēaj napada preko telefonske centrale 44 2.4.1.3 Mrežne tehnike za postavljanja zamke i prađenje traga napadaēa 44 2.5 TIM ZA ISTRAGU KOMP:UTERSKOG KRIMINALA 47 2.5.1 Interventni Ɵm za korporacijsku istragu kompjuterskog incidenta 47 2.6 REZULTATI KORPORACI:SKE ISTRAGE KOMP:UTERSKOG INCIDENTNA 48 REZIME 50 PITAN:A ZA PONAVL:AN:E 51 3. FUNKCIONALNI MODELI DIGITALNE FORENZIKE ISTRAGE 52 3.1 MODEL ISTRAGE FIZIKOG MESTA KRIVINOG DELA 52 3.2 MODEL ZVANINE ISTRAGE DIGITALNOG MESTA KRIVINOG DELA 53 3.3 KORPORACI:SKI MODEL ISTRAGE KOMP:UTERSKOG INCIDENTA 53 3.4 MODEL INTEGRISANIH PROCESA DIGITALNE FORENZIKE ISTRAGE 54 3.4.1 Faza pripreme 57 3.4.2 Faza razvoja 57 3.4.2.1 Faza detekcije i izveštavanja 58 3.4.2.2 Faza potvrde i autorizacije 58 3.4.3 Faza istrage Įziēkog mesta kriviēnog dela 58 3.4.3.1 Faza obezbeĜivanja (Įksiranja) Įziēkog mesta kriviēnog dela 59 3.4.3.2 Faza revizije Įziēkog mesta kriviēnog dela 59 3.4.3.3 Faza dokumentovanja Įziēkog mesta kriviēnog dela 60 3.4.3.4 Faza pretrage i sakupljanja dokaza sa Įziēkog mesta kriviēnog dela 60 3.4.3.5 Faza rekonstrukcije Įziēkog mesta kriviēnog dela 61 3.4.3.6 Faza ekspertskog svedoēenja/veštaēenja Įziēkog mesta kriviēnog dela 61 3.4.4 Faza istrage digitalnog mesta kriviēnog dela 62 3.4.4.1 Faza Įksiranja digitalnog mesta kriviēnog dela 63 3.4.4.2 Faza pretrage digitalnog mesta kriviēnog dela 63 3.4.4.3 Faza dokumentovanja digitalnog mesta kriviēnog dela 64 3.4.4.4 Faza sakupljanja digitalnih dokaza sa digitalnog mesta kriviēnog dela 65 3.4.4.5 Faza rekonstrukcije digitalnog mesta kriviēnog dela 65 3.4.4.6 Faza prezentacije digitalnog mesta kriviēnog dela 66 3.4.4.7 Faza provere 66 3.5 MODEL DOMENA SLUA:A DIGITALNE FORENZIKE ISTRAGE 67 REZIME 70 PITAN:A ZA PONAVL:AN:E 71
  • 6. VSƒ—ÙŽƒJ 4. DIGITALNI DOKAZ 72 4.1 DIGITALNI KOMP:UTERSKI DOKAZ 72 4.2 PRAVOSUDNI ASPEKT DIGITALNIH KOMP:UTERSKIH DOKAZA 73 4.3 UPRAVL:AN:E DIGITALNIM DOKAZIMA 75 4.3.1 Procedura sakupljanja posrednih kompjuterskih dokaza 76 4.4 KORISNICI KOMP:UTERSKIH DIGITALNIH DOKAZA 78 4.5 PRIPREMA DIGITALNIH DOKAZA ZA VEŠTAEN:E PRED SUDOM 79 4.6 PREPORUKE IOCE ZA UPRAVL:AN:E DIGITALNIM DOKAZIMA 79 REZIME 81 PITAN:A ZA PONAVL:AN:E 82 KL:UNI TERMINI 83 LITERATURA 84 II. TE,NOLOaKE OSNOVE DIGITALNE FORENZIKE ISTRAGE UVOD 89 1. DIGITALNA FORENZIKA NAUKA 90 REZIME 93 PITAN:A ZA PONAVL:AN:E 94 2. FORENZIKA AKVIZICIJA DIGITALNI, PODATAKA 95 2.1 FUNKCIONALNI MODEL FORENZIKE AKVIZICI:E DIGITALNIH PODATAKA 95 2.1.1 Lokardov princip razmene materije 95 2.1.2 Redosled sakupljanja nestabilnih podataka 97 2.2 AKTIVNA FORENZIKA AKVIZICI:A 98 2.2.1 Razvoj akƟvne forenziēke akvizicije 99 2.2.2 Metodi akƟvne digitalne forenziēke akvizicije 107 2.2.3 Izbor i priprema forenziēkih alata za akƟvnu akviziciju 113 2.2.4 PrednosƟ i nedostaci akƟvne forenziēke akvizicije 118 REZIME 124 PITAN:A ZA PONAVL:AN:E 126 3. FORENZIKA ANALIZA DIGITALNI, PODATAKA 127 3.1 DIGITALNA FORENZIKA ANALIZA 127 3.1.1 Forenziēka analiza soŌvera 127 3.1.2 Forenziēka analiza raēunara 128 3.1.3 Forenziēka analiza u virtuelnom okruženju 129 3.1.3.1 Studija sluēaja digitalne forenziēke analize virtuelne mašine 131 3.1.4 Digitalna forenziēka analizaraēunarske mreže 132 3.1.5 Forenziēka analiza kiberneƟēkog prostora 135
  • 7. VI IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 3.2 ZNAA: SLO:EVA APSTRAKCI:E ZA DIGITALNU FORENZIKU ANALIZU 140 3.2.1 Greške u slojevima apstrakcije 141 3.2.2 KarakterisƟke slojeva apstrakcije 142 3.2.3 Apstrakcioni slojevi FAT fajl sistema 143 3.2.4 Zahtevi za alate za digitalnu forenziēku analizu 146 3.3 UTICA: SKRIVAN:A DIGITALNIH DOKAZA NA TEHNIKE FORENZIKE ANALIZE 147 3.4 PROCES FORENZIKE ANALIZE VRSTOG DISKA 149 3.4.1 Tok procesa digitalne forenziēke analize 149 3.4.2 IACS procedura kompletnog ispiƟvanja ēvrstog diska 155 REZIME 157 PITAN:A ZA PONAVL:AN:E 159 4. FORENZIKI ALATI 160 4.1 RAZVO: FORENZIKIH ALATA 160 4.2 OPŠTE KARAKTERISTIKE 161 4.2.1 Tehnike i alaƟ za akviziciju digitalnih podataka 162 4.2.2 Validacija i diskriminacija podataka 164 4.2.3 Ekstrakcija digitalnih podataka 165 4.2.4 Rekonstrukcija osumnjiēenog diska 167 4.2.4.1 Forenziēki alaƟ za oporavak fragmenƟranog fajla 168 4.2.5 Izveštavanje o digitalnim dokazima 170 4.3 HARDVERSKI FORENZIKI ALATI 170 4.3.1 Blokatori upisivanja i drugi hardverski forenziēki alaƟ 172 4.4 SOFTVERSKI FORENZIKI ALATI 180 4.4.1 Forenziēki alaƟ komandne linije 180 4.4.2 SoŌverski forenziēki alat zatvorenog koda EnCase v4 GUI Ɵpa 181 4.4.3 Analiza Access Data FTK forenziēkog alata 199 4.4.4 Forenziēki alaƟ otvorenog izvornog koda 222 4.4.4.1 Znaēaj poznavanja izvornog koda forenziēkih alata 222 4.4.4.2 Forenziēki alaƟ otvorenog koda 224 4.4.4.3 SPADA forenziēki alat na bazi Linux OS 227 4.4.4.4 PrdnosƟ i nedostaci Linux baziranih forenziēkih alata 236 4.4.5 KomparaƟvni pregled funkcija kljuēnih forenziēkih alata 238 4.4.6 Validacija i tesƟranje forenziēkih alata 239 4.4.6.1 Razvoj procesa validacije forenziēkih alata 239 4.4.6.2 Proces tesƟranja soŌverskih forenziēkih alata 239 4.4.6.3 Procedura za validaciju forenziēkog alata 242 4.5 STUDI:A SLUA:A: AKVIZICI:A IZVRŠNIH FA:LOVA, RUTKITOVA, ZADN:IH VRATA I SNIFERA 243 4.5.1 Rutkit alaƟ 243 4.5.1.1 Podela rutkit alata 244 4.5.1.2 Napad rutkit alaƟma 245 4.5.2 Detekcija rutkitova, zadnjih vrata i mrežnih snifera 248
  • 8. VIISƒ—ÙŽƒJ 4.5.2.1 Detekcija prisustva rutkitova 248 4.5.2.2 Detekcija prisustva zadnjih vrata 251 4.5.2.3 Detekcija prisustva mrežnih snifera 254 REZIME 255 PITAN:A ZA PONAVL:AN:E 257 KL:UNI TERMINI 258 LITERATURA 262 III. SVEDOENJE I VEaTAENJE U INFORMACIONO KOMUNIKACIONIM TE,NOLOGIJAMA 1. ISKUSTVA SVEDOENJA I VEaTAENJA IZ DRUGI, NAUNOͳTE,NIKI, DISCIPLINA 267 1.1 SUDSKI VEŠTACI ZA SAOBRAA: 267 1.2 EKSPERTI ZA FORENZIKU ANALIZU UMETNIKIH DELA 267 1.3 FORENZIAR GEOLOG I EKSPERT ZA TA:NE GROBNICE 267 1.4 ISKUSTVA IZ SUDSKE MEDICINE 268 1.5 FORENZIKI ENTOMOLOZI 268 REZIME 269 PITAN:A ZA PONAVL:AN:E 269 2. SPECIFINOSTI SVEDOENJA I VEaTAENJA U KOMPJUTERSKOM KRIMINALU 270 2.1 PRIPREMA DOKAZA ZA SUDSKI PROCES 272 2.2 PRELIMINARNA PRIPREMA TUIOCA 272 2.3 KOMUNIKACI:E U PREDISTRANOM POSTUPKU 272 2.4 DEFINISAN:E USLOVA ZA IZNOŠEN:E DIGITALNIH DOKAZA 273 2.5 PRIHVATL:IVOST KOMP:UTERSKI GENERISANIH DIGITALNIH DOKAZA NA SUDU 273 2.6 SVEDOEN:E I VEŠTAEN:E IKT EKSPERTA 274 2.6.1 Edukovanje pravosudnih organa 275 2.6.2 Veštaēenje i nauēne metode dokazivanja kompjuterskog kriminala 275 2.6.2.1 Rekonstrukcija dogoĜaja u sudskom postupku kompjuterskog kriminala 275 2.6.2.2 Instruisanje porote 276 REZIME 277 PITAN:A ZA PONAVL:AN:E 278 KL:UNI TERMINI 279 LITERATURA 281 PRILOG I 282 PRILOG II 287
  • 9. VIII IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ SPISAK SLIKA Slika 1.1 Skladište ēuvanja digitalnih dokaza 14 Slika 1.2 Daubert princip prihvatljivosƟ digitalnih dokaza na sudu 19 Slika 2.1 HipoteƟēka distribucija vrednosƟ i troškovi za otvaranje, standardizovane (levo) i zatvorene, autorske (desno) plaƞorme 35 Slika 3.1 Fiziēko mesto kriviēnog dela kompjuterskog kriminala 52 Slika 3.2 Faze modela integrisanih procesa digitalne forenziēke istrage 56 Slika 3.3 Faze i interakcija istrage Įziēkog i digitalnog mesta kriviēnog dela 59 Slika 3.4 Faze forenziēke istrage digitalnog mesta kriviēnog dela 62 Slika 1.1 Proces digitalne forenzike 91 Slika 2.1 Sadržaj šifrovanog fajla u AccessData FTK Imager alatu 101 Slika 2.2 Sadržaj dešifrovanog fajla u AccessData FTK Imager alatu 102 Slika 2.3 ParƟcija E šifrovana sa BestCrypt alatom 102 Slika 2.4 Forenziēka slika šifrovanog HD u AccessData FTK Imager alatu 103 Slika 2.5 Operacija ēišđenja fajlova pomođu BestCrypt alata 104 Slika 2.6 Prozor uzimanja imidža u ProDiscover IR forenziēkom alatu 104 Slika 2.7 Dešifrovani dokument u RAM memoriji u ProDiscover IR alatu 105 Slika 2.8 Pogled na sadržaj Įziēke memorije u ProDiscover IR alatu koji indicira da je BestCrypt proces akƟvan 106 Slika 2.9 Dešifrovani sadržaj HD u toku akƟvne akvizicije sa forenziēkim alatom ProDiscover IR 107 Slika 2.10 Helix forenziēki alat za upravljanje incidentom, oporavak podataka i forenziēko podizanje ispiƟvanog sistema 108 Slika 2.11 AkƟvna akvizicija pomođu forenziēkog alata Helix 109 Slika 2.12 GUI alat Nigilant (32) 110 Slika 2.13 Uspostavljanje veze pomođu Remote Admnistrator 114 Slika 2.14 Radmin Viewer 115 Slika 2.15 Sistemsko vreme i datum u Windows XP OS 115 Slika 2.16 GUI klijent za kopiranje fajla 118 Slika 2.17 Prikaz svih USB ureĜaja povezanih na raēunar u USBDeview alatu 119 Slika 2.18 Primer sistemskih informacija dobijenih akƟvnom akvizicijom sa LiveWire alatom 120 Slika 2.19 Pogled na akƟvne procese u LiveWire forenziēkom alatu 121 Slika 2.20 Otkrivanje šifre za rad keylogger-a u memoriji sa LiveWire alatom 121 Slika 2.21 Trag Hacker Defender-a u Įziēkoj memoriji u LiveWire alatu 122 Slika 2.22 Drugi pogled na Hacker Defender u RAM memoriji u LiveWire alatu 122 Slika 3.1 Proces dualne analize podataka 131 Slika 3.2 Ulazni i izlazni podaci apstrakcionog sloja 140 Slika 3.3 Slojevi apstrakcije HTML dokumenta 143 Slika 3.4 Tok procesa digitalne forenziēke analize 152 Slika 4.1 Primer prozora u WinHex alatu Northon Commander-a 163
  • 10. IXSƒ—ÙŽƒJ Slika 4.2 Prikaz thumbnalis slika u foremziēkom alatu File Hound 169 Slika 4.3 Tipovi hardverskih blokatora 174 Slika 4.4 Primeri IDEi SATA diskova 174 Slika 4.5 Sakupljanje podataka sa klasiēnih 3,5 inēa IDE diskova 175 Slika 4.6 Sakupljanje podataka sa klasiēnih 3,5 inēa SATA diskova 175 Slika 4.7 Sakupljanje podataka sa notebook diskova od 2,5 inēa 176 Slika 4.8 Sakupljanje podataka sa malih ēvrsƟh diskova 176 Slika 4.9 Sakupljanje podataka sa Ňeš memorije (a) mikrodiskova (b) i PCCard (PCMCIA) adapter (c) 176 Slika 4.10 SATA adapter za sakupljanje podataka sa SATA diskova (a) i SATA adapter prikljuēen na SATA disk 177 Slika 4.11 Adapter 1,8 inēa ZIF za prikljuēivanje Hitachi ZIF diskova 177 Slika 4.12 CD/DVD robot 179 Slika 4.13 Otvaranje novog sluēaja u EnCase alatu 182 Slika 4.14 Otvaranje dijaloga OpƟons u En Case alatu 183 Slika 4.15 Dodavanje dokaznog materija novom sluēaju u EnCase alatu 184 Slika 4.16 Odabir fajlova za pretraživanje 184 Slika 4.17 VeriĮkacija novog sluēaja 185 Slika 4.18 Dodavanje sirovih imidž fajlova u EnCase alatu 185 Slika 4.19 Indeksiranje fajlova u EnCase alatu 186 Slika 4.20 OdrĜivanje bezbedonosnog idenƟĮkatora dokaza 187 Slika 4.21 AkƟviranje skriptova u EnCase alatu 187 Slika 4.22 Izbor fajlova i foldera za oporavak 188 Slika 4.23 Pretraživanje po kljuēnoj reēi u EnCase alatu 189 Slika 4.24 itanje Outlook Express .DBX fajlova u EnCase alatu 190 Slika 4.25 Kreiranje butabilne diskete u EnCase alatu 190 Slika 4.26 Završetak kreiranja butabilne diskete u EnCase alatu 191 Slika 4.27 Zakljuēavanje i otkljuēavanje hard diskova 192 Slika 4.28 Oporavak izbrisanih foldera u EnCase alatu 193 Slika 4.29 FormaƟrana NTFS parƟcija 193 Slika 4.30 Dodavanje novih potpisa fajla u EnCase alatu 194 Slika 4.31 Generisanje heš vrednosƟ za izabrane fajlove 195 Slika 4.32 Snimak trenutnog stanja sistema 196 Slika 4.33 Izbor i selekcija diska za brisanje sa prepisivanjem u EnCase alatu 197 Slika 4.34 Simultano indeksiranje velikog broja slika relevantnih za istragu 198 Slika 4.35 Eksportovanje izveštaja u EnCase alatu 198 Slika 4.36 Prikaz heš vrednosƟ u FTK alatu 199 Slika 4.37 Poēetni prozor FTK forenziēkog alata 200 Slika 4.38 Odabir Ɵpa dokaza 201 Slika 4.39 Odabir Ɵpa imidža 202 Slika 4.40 Kreiranje imidža 202 Slika 4.41 VeriĮkovanje rezultata imidžovanja nezaražene USB memorije 203 Slika 4.42 VeriĮkovanje rezultata imidžovanja zaražene USB memorije 203
  • 11. X IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Slika 4.43 TXT fajl generisan polse imidžovanja virusom nezaraženog (a) i zaraženog (b) USB 204 Slika 4.44 Generalije o sluēaju i forenziēaru 204 Slika 4.45 Case Log opcije 205 Slika 4.46 Processes to Perform opcija 206 Slika 4.47 ReĮna Case 206 Slika 4.48 ReĮne index opcija 207 Slika 4.49 Add Evidence opcija 207 Slika 4.50 Dodavanje imidža dva USB memorijska ureĜaja kao dokaza 208 Slika 4.51 Napredne opcije ReĮne Evidence i reĮne Index 208 Slika 4.52 Obrada dokaza 209 Slika 4.53 KarƟca Overview 209 Slika 4.54 Obeležen prepoznat maliciozni program na zaraženom USB 210 Slika 4.55 Pregled sadržaja kompresovanog fajla 210 Slika 4.56 KarƟca Explore 211 Slika 4.57 KarƟca Graphics 212 Slika 4.58 KarƟca Search 212 Slika 4.59 Generalne informacije o svojstvima fajla 213 Slika 4.60 Informacije o sadržaju fajla 213 Slika 4.61 Pregled karakterisƟka malicioznog programa 214 Slika 4.62 Deo FTK log izveštaja 215 Slika 4.63 Podešavanje za prikaz Bookmark-ova 216 Slika 4.64 Odabir svojstava Bookmark-a i prikaz u izveštaju 216 Slika 4.65 Podešavanje prikaza graĮēkih elemenata u izveštaju 217 Slika 4.66 Odabir putanje izveštaja i proizvoljnog graĮēkog elementa 218 Slika 4.67 Poēetna strana izveštaja (index.htm) 218 Slika 4.68 Pregled fajlova u izveštaju 219 Slika 4.69 Pregled dokaza u izveštaju 219 Slika 4.70 Prikaz graĮēkih elemenata u izveštaju 220 Slika 4.71 Desktop SPADA forenziēkog alata 227 Slika 4.72 AkƟviranje POST procesa za pristup BIOS setup-u 228 Slika 4.73 Podešavanje BIOS-a u SPADA alatu 228 Slika 4.74 SPADA meni za butovanje 229 Slika 4.75 AkƟviranje procesa inicijalne pretrage sa SPADA alatom 229 Slika 4.76 Otvaranje QTParted aplikacije u SPADA alatu 230 Slika 4.77 AkƟviranje MediaĮnd aplikacije u SPADA alatu 231 Slika 4.78 MediaFind prozor u SPADA alatu 231 Slika 4.79 RezultaƟ MediaFind aplikacije 232 Slika 4.80 Otvaranje Terminal prozora u SPADA alatu 233 Slika 4.81 Proširivanje Terminal prozora u SPADA alatu na puni ekran 234 Slika 4.82 ProDoscover forenziēki alat 249 Slika 4.83 SuperScan forenziēki alat 253
  • 12. XISƒ—ÙŽƒJ SPISAK TABELA Tabela 1.1 Pomeranje vektora napada na IKT sisteme 10 Tabela 1.2 Primeri kategorija koncepta objekata za digitalnu forenziēku istragu 67 Tabela 1.3 Primeri provere meĜusobnih odnosa koncepata 68 Tabela 2.1 Karta konvencije bajta – B(Byte) 100 Tabela 3.1 AnaliƟēka vremenska radna karta sistemskih log podataka 138 Tabela 3.2 Slojevi apstrakcije FAT fajl sistemu 145 Tabela 3.3 Primeri dokumentovanja procesa digitalne forenziēke analize 153 Tabela 4.1 Pregled funkcija FTK forenziēkog alata 221 Tabela 4.2 Tabela 4.1 Korespondirajuđe DOS i Linux komandne linije 233 Tabela 4.3 Sviēevi za za deĮnisanje naēina rada ls komande 235 Tabela 4.4 Uporedni pregled osnovnih funkcija relevantnih forenziēkih alata 238 Tabela 4.5 Glavne oznake u Unix/linux string komandama3 251 Tabela P2.1 PoznaƟji SID idenƟĮkatori 287
  • 13.
  • 14. I METODOLOaKE OSNOVE ISTRAGE KOMPJUTERSKOG KRIMINALA Cilj ove glave je da se deĮnišu i opišu metodološke osnove istrage kompjuterskog kriminalakojeobezbeĜujuopƟmalnifunkciona- lni model za istragu kompjuterskog kriminala. Kada proēitaju ovu glavu, studenƟ đe razumeƟ osnovne funkcionalne modele za zvaniēnu i ko- rporacijsku istragu kompjuterskog kriminala, speciĮēnosƟ istrage digitalnih dokaza, znaēaj digitalne forenziēke istrage za upravljanje kompjuterskim incidentom i prednosƟ procesa integrisane istrage Įziēkog i digitalnog mesta kriviēnog dela kompjuterskog kriminala. DEO
  • 15.
  • 16. 3M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ UVOD Uporedo sa razvojem i implementacijom raēunarskih mreža u sistem globalne mre- že - Intereneta, rastu i potencijalne opasnosƟ od razliēiƟh napada sa Interneta, uklju- ēujuđi brojne maliciozne programe i napade ljudskog faktora - hakera, krakera, vandala i kompjuterskih kriminalaca i terorista. Raēunarske mreže Internet Ɵpa nude brojne prednosƟ i omoguđavaju izuzetno poveđanje eĮkasnosƟ rada i smanjenje troškova, ali predstavljaju i kriƟēnu taēku bezbednosƟ, sa stanovišta rizika za raspoloživost, integri- tet i poverljivost informacija, servisa i aplikacija. U literaturi su objavljene brojne takso- nomije pretnji i metode analize faktora rizika za raēunarske sisteme i mreža Internet Ɵpa. Iako su ranijih godina napadi na raēunarske mreže Internet Ɵpa bili pretežno ek- sterni, novije analize pokazuju da mnogo veđe Įnansijske gubitke i drugu štetu nanosi širok spektar internih napada. Razlozi za to leže u samoj prirodi intranet mreža u kojima interni uēesnici nisu samo zaposleni u datoj organizaciji i za koje postoji odreĜeni ste- pen poverenja, veđ i poslovni partneri, zaposleni u Įrmama podružnicama, kooperanƟ, dostavljaēi i drugi uēesnici iz ekstranet mreža, koji iz razloga jednostavnosƟ korišđenja i poveđanja eĮkasnosƟ i produkƟvnosƟ rada imaju vrlo sliēna, ako ne i ista prava pristupa intranet mreži kao i zaposleni u datoj organizaciji. Pored Įnansijske dobiƟ registrovani su brojni moƟvi za razne vrste hakerskih i drugih napada na mreže državnih organa, ukljuēujuđi: izazov i potrebu za samopotvrĜivanjem, znaƟželju za proboj visokotehnolo- ških sistema zašƟte u ovim mrežama, maliciozne namere - kraĜu osetljivih informacija, špijunažu i namerna ošteđenja informacija, aplikacija i sistema. U nekoliko poslednjih godina deluju organizacije profesionalnih hakera koji organizovano rade na principu sƟ- caja proĮta od preduzimanja razliēiƟh oblika kompjuterskog kriminala. Ove organizaci- je hakera korumpiraju (zombiraju) brojne nezašƟđene raēunare individualnih korisnika širom sveta, sa kojima ili posredstvom kojih napadaju ciljne web sajtove distribuiranim napadom odbijanja servisa (DDoS) i drugim Ɵpovima napada. Vektor napada pomeren je sa korporacijskih servera koji se sve bolje šƟte na slabo zašƟđene ili nezašƟđene ra- ēunare individualnih korisnika, koje korumpiraju preuzimaju kontrolu i koriste za krimi- nalne akƟvnosƟ. Krajem 2007 godine u Rusiji je registrovana mreža (tzv. botnet) od 1,4 miliona zombiranih raēunara.
  • 17. 4 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Pod kompjuterskim kriminalom u najširem smislu podrazumevaju se kriviēna dela prema kriviēnom zakonu nacionalne države, u koja su na bilo koji naēin ukljuēeni ra- ēunarski sistemi i mreže. U kompjuterskom i kiberneƟēkom kriminalu (cybercrime) ra- ēunari se koriste kao predmet napada i kraĜe, izmene ili uništavanja podataka, kao alat za izvršavanje tradicionalnih oblika kriminala i za skladištenje kompromitujuđeg materijala. Glavni cilj istrage kompjuterskog kriminala je, kao i sluēaju klasiēnog kriminala, iz- gradiƟ za pravosudne organe neoboriv ili ēvrst dokaz krivice, i/ili dokaz za oslobaĜanje osumnjiēenog, i/ili pravedno sankcionisanje uēinjenog dela. Kljuēnu metodologiju is- trage i dokazivanja kompjuterskog kriminala obezbeĜuje metodologija istrage klasiē- nog kriminala, sa speciĮēnosƟma istrage osetljivih, lako promenljivih i po svojoj prirodi posrednih digitalnih dokaza. Digitalna forenziēka nauka (1999) obezbeĜuje primenu nauēno derivirani i dokazanih metoda za: ēuvanje, sakupljanje, validaciju, idenƟĮkaci- ju, analizu, interpretaciju, dokumentovanje i prezentaciju digitalnih dokaza iz razliēiƟh izvora digitalnih podataka sa ciljem rekonstrukcije dogaĜaja kriviēnog dela kompjuter- skog kriminala ili zloupotrebe raēunara. U oblasƟ digitalne forenzike prvo je deĮnisana Kompjuterska forenzika (FBI): “Kompjuterska forenzika je aplikacija nauke i sistemskog inženjerstva na legalne probleme digitalnih dokaza”. DeĮnicije i kategorije digitalne fo- renzike su pokretna meta, koja praƟ promene u raēunarskim tehnologijama, elektronici i komunikacijama. Za pravosudnu prihvatljivost digitalnih dokaza osnovne prepreke su osetljivost i promenljivost digitalnih podataka i inherentna posrednost digitalnih dokaza. Naime, u sluēaju klasiēnog kriminala neoboriv dokaz, na primer ubistva, je pištolj u ruci ubice. Takav neposredan dokaz u sluēaju kompjuterskog kriminala gotovo je nemoguđe obez- bediƟ, ali je moguđe izgradiƟ ēvrst, neoboriv digitalni dokaz bez tzv. pukoƟna, od niza posrednih digitalnih dokaza, kakvi su po svojoj prirodi svi digitalni podaci uskladišteni ili generisani u raēunarskom sistemu. Prema deĮniciji IOCE1 u oblasƟ forenziēkih nauka, digitalni dokaz je svaka infor- macija u digitalnom obliku koja ima dokazujuđu ili oslobaĜajuđu vrednost, ili vrednost osnovane sumnje i koja je, ili uskladištena, ili prenesena u takvom obliku. U procesi- ma zvaniēne istrage, prikupljanja, analize i prezentacije digitalnih dokaza potrebno je pridržavaƟ se odreĜenih principa, koji odreĜuju proces upravljanja digitalnim doka- zima. U svakom sluēaju kompjuterskog kriminala, od trenutka otkrivanja do prezent- acije digitalnih dokaza na sudu, prema iskustvima najbolje digitalne forenziēke prakse, opƟmalne rezultate daje Ɵmski rad od najmanje tri profesionalca: zvaniēnog organa istrage, tužioca i eksperta u oblasƟ informaciono komunikacionih tehnologija (IKT). Sudska praksa prihvata kompjuterski generisane i memorisane digitalne dokaze pod odreĜenim uslovima. Transformacija digitalnih podataka u formi niza kodiranih bita u sudski dokaz, apstraktan je proces koji može navesƟ sudiju i porotu da dovedu u pitanje autenƟēnost i integritet kompjuterski generisanog dokaza. U tom smislu, moraju se na nacionalnom nivou, kroz zakon ili podzakonska akta, propisaƟ odgovarajuđe pro- 1 InternaƟonal OrganizaƟon of Computer Evidence (hƩp://www.ioce.org)
  • 18. 5M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ cedure, koje obuhvataju: proceduru rukovanja i ēuvanja digitalnih dokaza i proceduru za forenziēku akviziciju/sakupljanje, analizu/dokazivanje i veštaēenje/svedoēenje digi- talnih dokaza. Pojam akvizicije i analize je u ovom radu korišđen u smislu otkrivanja, sakupljanja, izvlaēenja i dokazivanja digitalnih podataka u dokaznom postupku istrage kompjuterskog kriminala. Kada sud ne poznaje pitanja o kojima se raspravlja, poziva ili svedoke eksperte, ili sudske veštake. Oblast kompjuterskog i kiberneƟēkog kriminala u koju su ukljuēeni kom- pleksni IKT sistemi najbolji je primer sudske prakse gde se Ɵpiēno zahteva ekspertsko svedoēenje, ili veštaēenje. Odluku o tome da li je neki IKT ekspert dovoljno kvaliĮko- van, pravosudni organi razrešavaju prihvatanjem serƟĮkata profesionalnog strukovnog udruženja, ili profesionalne interesne zajednice o osposobljenosƟ. U svakoj nacionalnoj državi uspostavljaju se tela i insƟtucije za akreditaciju i serƟ- Įkaciju iz predmetne nauēne oblasƟ2 . Sud treba da prihvaƟ da je odreĜeni IKT expert kvaliĮkovan, ako ima relevantni serƟĮkat ovih tela i insƟtucija. Iako se reputacija tela i insƟtucija koje daju serƟĮkate procenjuje u svakom konkretnom sluēaju, sud obiēno ne sumnja u takve preporuke. Priroda nauēne eksperƟze je takva da je grupa, organizo- vana u strukovano udruženje, zainteresovana da zašƟƟ standarde u odreĜenoj nauēnoj oblasƟ. Nažalost, u IKT oblasƟ Ɵpovi ekspertskh grupa i udruženja se razlikuju po formi i funkcijama od drugih nauēnih i profesionalnih zajednica. Tako nekompetentan ekspert lako može ugroziƟ otkrivanje ēinjenica, ako ih sam pravi, ili izmišlja nepostojeđe stan- darde u toku svedoēenja. Ozbiljan problem nastaje i kada, zbog moralnog stava, jedan IKT ekspert ne može suprotstaviƟ stav drugom, ili zauzeƟ suprotan stav u toku svedoēenja/veštaēenja, iako je suoēen sa legalnim zahtevom da svedoēi krajnje objekƟvno. Ta praksa je ēesta zbog profesionalne solidarnosƟ IKT eksperata, koji pri tome mogu pripadaƟ istoj interesnoj zajednici IKT eksperata. 2 U Srbiji nadležno telo za akreditacije zove se ATS-Akreditaciono telo Srbije (ranije YUAT).
  • 19. 6 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGE KOMPJUTERSKOG KRIMINALA Uporedo sa ubrzanom informaƟzacijom društva i ulaskom Interneta u sve oblasƟ društvenog i privatnog života ljudi, kompjuterski kriminal postaje dominantan oblik zloupotreba, kršenja zakona i drugih normi ponašanja. Novi oblici napada na raēunare i raēunarske mreže javljaju se velikom brzinom, a novi Ɵpovi kompjuterskog kriminala prakƟēno zavise samo od mašte malicioznih napadaēa. Osnovne elemente kriviēnog dela kompjuterskog kriminala ēine: dogaĜaj, odnosno, šta se dogodilo u ispiƟvanom sluēaju,• okolnosƟ, ili kako se dogodilo i• mentalno stanje poēinioca kriminala, što je potrebno za klasiĮkaciju kriminala• i proĮlisanje kompjuterskih kriminalaca. Glavne kategorije kompjuterskog kriminala mogu se grupisaƟ na bazi uloge raēuna- ra u izvršavanju kriviēnog dela kompjuterskog kriminala, gde raēunar može biƟ: cilj napada (upad u raēunar, kraĜa podataka),• sredstvo za napad (prevare sa krediƟnim karƟcama, slanje spama i slika),• povezan sa klasiēnim kriminalom (trgovina drogom i ljudima, deēija porno-• graĮja i dr.) i repozitorijum (skladište) digitalnih dokaza kompjuterskog kriminala.• TakoĜe, u porastu je i klasiēan kriminal povezan sa raēunarom, kao što su povreda intelektualne svojine (neovlašđeno kopiranje i kraĜa autorskih prava) i piraterija soŌ- vera. Tipovi kompjuterskog kriminala su brojni, a najēešđi su: kraĜa raēunarskih servisa,• neovlašđeni pristup,• piraterija soŌvera,• otkrivanje, kraĜa i izmena raēunarskih podataka i informacija,• iznuĜivanje pomođu raēunara,• neovlašđeni pristup bazama podataka,• zloupotreba ukradene lozinke,• prenos destrukƟvnih virusa i• industrijska i poliƟēka špijunaža.• Generalno, digitalnu forenziēku istragu koriste ēeƟri društvena sektora: 1. Zvaniēni organi istrage kompjuterskog kriminala (policija, tužilaštvo i sudstvo); 2. Organi odbrane (vojska, državna bezbednost);
  • 20. 7M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 3. Korporacije i veđe organizacije, za upravljanje kompjuterskim incidentom sopstvenim kapaciteƟma, i 4. Profesionalne organizacije za oporavak podataka iz sluēajno/namerno ošteđenih raēunarskih sistema. U kojoj meri zasbrinjava kompjuterski kriminal , govori i ēinjenica da su vlade više zemalja u svetu prepoznale rastuđi rizik kompjuterskog kriminala kao kljuēne faktore informaciong ratovanja u buduđnosƟ. Posledice od uništavanja raēunarskih sistema i mreža, ometanja i špijunaže elektronskog poslovanja, e-trgovine, e-vlade, e-bankarst- va, nuklearnih i elektrodisƟbuƟvih postrojenja, saobrađajnih mreža i drugih umreženih sistema, mogu biƟ potencijalno katastrofalne. Hakeri iz svih delova sveta udružuju se u veoma kompaktne organizacije, sposobne da za proboje u mreže i web servere preko Interneta angažuju raēunarsku mođ i resurse koji su ravni mođnim super raēunarima (primer proboja DES kriptografskog algoritma sredinom 1990-Ɵh). U Estoniji, gde je informaƟzacija društva na zavidnom svetskom nivou (implemen- Ɵrane su e-Uprava, e-liēne karte, e-pasoši, e-saobrađajna dozvola i e-socijalna/zdravst- vena karƟca). U proleđe 2007. kompjuterski/kiberneƟēki kriminalci (cyber criminals), navodno iz Rusije, napali su banke, vladine agencije i poliƟēke stranke u Estoniji. Cela zemlja je nakratko bila u potpunosƟ oŋine i postala tako prvo poprište informacionog ratovanja. Sliēni su napadi zabeleženi i na Gruziju 2008. godine, u vreme sukoba s Rusi- jom, kao i u Kirgistanu. U toku 2007. nemaēke obaveštajne službe su objavile kiberneƟēke napade iz Kine, na nekoliko nemaēkih ministarstava i vladin web portal, s ciljem otkrivanja poverljivih informacija. Navodno su kineski hakeri postali tako uporni u svojim pokušajima indus- trijske špijunaže da je kancelarka Angela Merkel otvoreno zatražila od kineskih diplo- mata da se napadi prekinu. U periodu 2007/8. godine zabeleženi su masovni napadi na web sajtove vlade Republike Srbije i Srpske pravoslavne crkve. Kompleksni, kompjuterski upravljani sistemi i kompjuterske mreže su najranjivije infrastrukture i zato bi mogle biƟ glavna meta terorista. Ameriēki struēnjaci veđ godi- nama upozoravaju na moguđi “elektronski Pearl Harbor”, “digitalni 11. septembar” ili “Cybergeddon”, a u svom izveštaju Kongresu navode kako upravo Kina “agresivno razvi- ja svoje ratne cyber vešƟne i tehnologije” i kako bi “uskoro mogla biƟ u znaēajnoj pred- nosƟ” pred drugim nacijama. Mediji su veđ objavljivali vesƟ o kiber (cyber) ratovima meĜu islamisƟēkim grupama na Bliskom istoku. Svi ovi incidenƟ otvoraju brojna pitanja o tome da li se zaista radi o ratu, ili novom vidu kriminala - kompjutrskom državnom terorizmu i da li su opravdani adekvatni odgovori države. Na sastancima NATO-a, takoĜe se vode burne rasprave o tome da li kiber napade treba treƟraƟ kao oružane napade i da li treba razvijaƟ sopstvene kadrove i tehnologiju za obranu od napada u kiber prostoru? Iako ove rasprave do sada nisu dale jasne odgo- vore, neke informacije ukazuju da neke države veđ posveđuju adekvatnu pažnju tom pitanju. Naime, Nemaēka vlada je (poēetkom 2009.) odobrila nacrt zakona kojim bi se pojaēala bezbednost informacija i komunikacijskih kanala u državnim IKT sistemima, a o kojem uskoro treba da raspravlja i Bundestag.
  • 21. 8 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Kakve posledice ostavlja kompjuterski kriminal u svetu, najbolje ilustruju neke ak- ƟvnosƟ na nivou brojnih država u svetu. Poēetkom 2009. u gradu Reinbachu kraj Bonna, nemaēka vojska je poēela pripremu jedinice, sastavljene od 76 vojnika-hakera za novi Ɵp ratovanja – informaciono (digitalno) ratovanje. Vojnici su obrazovani na Bundesweh- rovim odeljenjima za IKT, a nove ratne metode uvežbavaju na svom glavnom oružju - raēunarima. Ovi hakeri-ratnici, treba da budu osposobljeni za obranu od kiber napada, ali i za - napade u kiber prostoru. 1.1 KRATAK PREGLED RAZVOJA DIGITALNE FORENZIKE ISTRAGE KOMPJUTERSKOG KRIMINALA I ANALIZE DIGITALNI, DOKAZA U toku 1984. FBI3 je poēeo razvoj laboratorije i programa za ispiƟvanje kompjuter- skih dokaza koji je izrastao u jedinstveni CART (Computer Analysis and Response Team) Ɵm, kasnije formiran u mnogim organizacijama u SAD. Danas je trend da se forenziēka analiza raēunara vrši u dobro opremljenoj laboratoriji. MeĜuƟm, u tom periodu u SAD je oko 70% osposobljenih zvaniēnih agencija radilo ovaj posao bez razvijenih procedura za taj rad. TakoĜe, je evoluirao naziv «:edinice za kompjutersku forenziēku analizu» na «Jedinicu za digitalne dokaze». Pojavom digitalnog videa i audia uvodi se pojam digitalnih dokaza. MeĜunarodna organizacija za kompjuterske dokaze - IOCE (InternaƟonal OrganizaƟon on Computer Evidence) je formirana 1997. Tehniēka radna grupa za kompjuterske dokaze - TWGDE (Technical Working Group for Digital Evidence) održala je prvi radni sastanak 17. juna 1998.saciljemrazvojaorganizacionihprocedurairelevantnihdokumenatazaforenziēku istragu digitalnih dokaza. Federalna kriminalisƟēka laboratorija SAD je februara 1999. promenila ime TWGDE u SWGDE (ScienƟĮc Working Group for Digital Evidence). Ova se grupa sastaje najmanje jednom godišnje, a ēlanovi mogu biƟ pred sudom zakleƟ (zvaniēni organi) i ne-zakleƟ eksperƟ i nauēnici. U poēetku je koncept pronalaženja «latentnog-skrivenog dokaza u kompjuteru» nazvan kompjuterskom forenziēkom analizom. Kompjuterska forenziēka analiza za manje od 20 godina pouzdano ēuva digitalne podatke, oporavlja izbrisane podatke, rekonstruiše kompjuterske dogaĜaje, odvrađa napadaēe, nudi dosta dobrih proizvoda i procedura za podršku. Kompjuterska forenziēka analiza primenjuje se u sluēajevima: hakerskog upada, pronevere, pedoĮl- skog kruga, imigracione prevare, trgovine drogom, falsiĮkovanja kreditnih karƟca, pira- terije soŌvera, izbornog zakona, obscenih publikacija, falsiĮkata, ubistava, seksualnog uznemiravanja, kraĜe podataka-industrijske špijunaže, razvoda. Uputstvo za pretragu i privremeno oduzimanje raēunara objavilo je Ministarstvo pravde SAD (Do:), 1994: 3 FBI - Federal Bureau of InvesƟgaƟon, SAD
  • 22. 9M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ hardver kao zabranjeno sredstvo ili pomođ za izvršavanje kriminala (klonirani• mobilni telefon, ukraden mikroĮš); hardver kao instrument izvršavanja kriminala (znaēajna uloga u kriminalu -• snifer paketa, ēitaē kreditnih karƟca; distribucija deēije pornograĮje) hardver kao dokaz (svaki hardverski ureĜaj koji ima jedinstvenu karakterisƟku• da prikaže digitalni dokaz – sliku, podatak); informacija kao zabranjeno sredstvo ili pomođ za izvršavanje kriminala (u• nekim zemljama korišđenje jake kriptozašƟte je ilegalno, piratski soŌver, ukradene trgovaēke tajne, liste lozinki, deēija pornograĮja); informacija kao instrument izvršavanja kriminala (automaƟzovani hakerski• alaƟ, keyloger-ski soŌver za snimanje otkucaja na tastaturi, krekeri lozinki); informacija kao dokaz (raēunar neprekidno ostavlja tragove bita, log fajlovi• pristupa, e-mail poruke, upotreba kreditnih karƟca, priznanice, telefonski pozivi . FBI je 1999. sponzorisala razvoj SWGIT (ScienƟĮc Working Group in Imaging Tech- nologies). «Glavna misija SWGIT je da olakša integraciju tehnologije i sistema digitalne obrade slika u pravosudni sistem, obezbeĜujuđi deĮnicije i preporuke za akviziciju, skladištenje, procesiranje, analizu, prenos i izlazni format slika». Na bazi speciĮēnosƟ tehnika i alata i metoda istrage u forenziēkoj praksi su diferen- cirane sledeđe glavne oblasƟ digitalne forenzike, [3]: forenzika raēunara (akvizicija i analiza HD i prenosivih medija);• mrežna forenzika (upada u mrežu, zloupotreba itd.);• forenzika soŌvera (ispiƟvanje malicioznih kodova,• malware itd.) akƟvna (živa) forenzika sistema (kompromitovanih hostova- servera,• zloupotreba sistema itd.). U poēetnoj fazi razvoja digitalnu forenziku korisƟli su primarno zvaniēni državni or- gani istrage kompjuterskog kriminala (policija, vojska i pravosuĜe). Savremeni trend umrežavanja lokalnih mreža primenom Internet tehnologija (intranet i ekstranet mreže), razvojem bežiēnih mreža, e-poslovanja i mobilnog poslovanja (m-poslovanja), zaƟm web servisa servisno orijenƟsanih aplikacija, znaēajno su poveđani zahtevi za bez- bednost informacija i e-transakcija na svim nivoima poslovnih IKT sistema. Savremeni sistemi zašƟte postaju sve kompleksniji, kako se pomera težište osetljivosƟ poslovnih IKT sistema, javljaju novi Ɵpovi rizika, menjaju metodi napada sa Interneta, a vektor napada pomera sa usamljenih hakera, sitnih prevaranata na web-u, poplave virusa i drugih malicioznih kodova i retkih napada na web servise, na napade organizovanih profesionalnih hakera, industrijskih kiber (cyber) špijuna i kompjuterskih kiber krimi- nalaca (tabela 1.1).
  • 23. 10 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Tabela 1.1 Pomeranje vektora napada na IKT sisteme 1996 2007/2008 Hakeri iz hobija Rentabilni profesionalni hakeri PrevaranƟ na web sajtovima Kriminalci Virusi i drugi malicozni programi Napadi odbijanja servisa (DoS, DDoS) Retki napadi na web sajtove KraĜa idenƟteta Stalni napadi na web sajtove Za upravljanje kompjuterskim incidentom u ovakvom okruženju zahtevaju se forenziēka znanja i forenziēke tehnike i alaƟ za otkrivanje i otklanjanje uzroka komplek- snih incidenata. Savremenih korisnici digitalne forenzike su: policija,• vojska,• pravosudni sistem (tužilaštvo i pravosuĜe),• Įrme koje se profesionalno bave oporavkom podataka iz raēunara,• korporacije za upravljanje kompjuterskim incidentom.• Glavni indikatori razvoja digitalne forenzike u proteklom periodu ukazuju da hardver postaje sve osetljiviji na napade, zbog sve veđe kompleksnosƟ, što znaēi da se mogu oēekivaƟ ēešđe subverzije hardvera. Na primer, re-Ňešovanjem Įrmware ēvrstog diska (HD), ili drugih sekundarnih periferijskih memorija mogu se sakriƟ podaci, ili uēiniƟ HD/memorija neēitljivom. U tom smislu, forenziēar ne može verovaƟ šta je na hard- veru. Generalno, sistem zašƟte može uƟcaƟ na proces forenziēke akvizicije i analize. Na primer, forenziēar može naiđi na HD zašƟđen lozinkom (lozinkom) sa kojeg nije moguđe odrediƟ ēak ni osnovne informacije, kao što su veliēina diska i slika Kratak istorijski pregled evolucije forenziēke analize digitalnih dokaza dat je u Pri- logu I, [29]. 1.2 STANDARDIZACIJA PROCEDURA DIGITALNE FORENZIKE ISTRAGE KOMPJUTERSKOG KRIMINALA 1.2.1 DeĮnicije kljuēnih termina digitalne forenziēke istrage Evidentno je da informaciono komunikacione tehnologije najeĮkasnije globalizuju svet. Posledica je da se poēinilac kompjuterskog kriminala javlja u jednom pravosudnom sistemu, a digitalni podaci koji dokazuju taj kriminal mogu se nalaziƟ u nekom drugom pravosudnom sistemu. Radna grupa SWGDE (SAD) je dala prvu deĮniciju digitalnih
  • 24. 11M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ dokaza - DE (Digital Evidence) i predlog standarda za razmenu DE izmeĜu suverenih enƟteta. Digitalizacijom audio i video signala i klasiēne fotograĮje došlo je do ubrzane konvergencije pomenuƟh tehnologija i integracije u raēunaru. Tako i termin kompjuter- ski digitalni dokaz (CDE) evoluira u digitalni dokaz (DE). Sa pravnog i tehniēkog aspekta razmene DE, glavni zahtevi su postojanje jedinstvenih standarda, principa, kriterijuma i procedura digitalne forenziēke istrage kompjuterskog kriminala. Dokument standarda je struktuiran kroz: uvod, deĮnicije i standarde (principe i kri- terijume) i diskusiju i usklaĜen sa zvaniēnim Uputstvom - American Society of Crime Laboratory Directors/Laboratory AccreditaƟon Board Manual, a sadrži deĮnicije ter- mina, standarda i principa kojih se treba pridržavaƟ u radu sa digitalnim dokazima, [4], [22]. Digitalni dokaz: DD je svaka informacija koja ima dokazujuđu vrednost koja je ili uskladištena ili prenesena u binarnoj (digitalnoj) formi. DD ukljuēuje kompjuterski dokaz, digitalni audio, digitalni video, mobilni telefon, digitalnu fax mašinu itd. Digi- talni dokaz je informacija uskladištena ili prenesena u binarnoj formi na koju se sud može osloniƟ. Akvizicija digitalnih dokaza (ADE): ADE poēinje kada su informacije i/ili Įziēki pred- meƟ skupljeni i uskladišteni za potrebe ispiƟvanja. Termin DE implicira da je skupl- janje DE obavio neko koga sud prepoznaje, da je proces skupljanja DE legalan i u skladi sa zakonskom regulaƟvom i da je skupljeni materijal sud prihvaƟo kao doka- zni materijal. ObjekƟ podataka i Įzikalni objekƟ postaju dokazi samo kada ih takvim vide regularni zvaniēni organi istrage i pravosuĜa. ObjekƟ podataka: ObjekƟ ili informacije koje su pridružene Įziēkim predmeƟma i koji imaju potencijalnu dokazujuđu vrednost. ObjekƟ podataka se mogu pojaviƟ u raznim formaƟma, ali se ne sme menjaƟ originalna informacija. Fiziēki predmet: PredmeƟ u kojima mogu biƟ uskladišteni objekƟ podataka ili infor- macije i/ili sa kojima su objekƟ podataka preneseni. Originalni digitalni dokaz: Fiziēki predmeƟ i objekƟ podataka pridruženi Ɵm pred- meƟma u vreme akvizicije ili privremenog oduzimanja predmeta. Duplikat digitalnog dokaza: Precizna digitalna reprodukcija svih objekata podataka koji se sadrže u originalnom Įziēkom predmetu. Kopija digitalnog dokaza: Precizna reprodukcija informacija koje su sadržane na originalnom Įziēkom predmetu, nezavisno od originalnog Įziēkog predmeta. 1.2.2 Principi upravljanja digitalnim dokazima U procesima zvaniēne istrage, prikupljanja, analize i prezentacije digitalnih dokaza potrebno je pridržavaƟ se odreĜenih principa, koji odreĜuju proces upravljanja digital- nim dokazima. IOCE principi treba da, [14], [22]:
  • 25. 12 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ budu konzistentni sa svim legalnim sistemima,• dopuštaju korišđenje sa uobiēajenim jezikom,• budu trajni i meĜunarodno prihvatljivi,• ulivaju poverenje i obezbeĜuju integritet DE,• budu primenjivi na sve vrste DE,• budu primenljivi na svim nivoima, od pojedinca, preko zvaniēnih agencije, do• najvišeg nacionalnog nivoa. Principi nisu plan implementacije. Oni treba da budu dizajnirani tako da dopuste svakom legalnom enƟtetu da kreira program koji odgovara situaciji. Primenom ovih Principa u skladu sa preporukama IOCE, upravljanje digitalnim dokazima (istraga, akvi- zicija, analiza, rukovanje i održavanje) postaje prihvatljivo i iskorisƟvo i izvan nacional- nih granica. Glavni IOCE principi upravljanja digitalnim dokazima su: U toku akvizicije DE, preduzete akcije ne treba da unose nikakvu izmenu Ɵh DE. 1. Ako je potrebno da neko pristupi originalnom DE, mora biƟ kompetentan u oblasƟ digitalne forenzike. 2. Sve akƟvnosƟ koje se odnose na akviziciju, pristup, skladištenje ili transfer DE moraju biƟ potpuno dokumentovane, saēuvane i raspoložive za reviziju. 3. Lice je odgovorno za sve akƟvnosƟ preduzete prema DE dok su u njegovom posedu. 4. Svaka agencija/organizacija odgovorna za akviziciju, pristup, skladištenje ili prenos DE je odgovorna za usklaĜenost svoje prakse sa ovim principima. Da bi se osigurala bezbedna akvizicija (otkrivanje, Įksiranje i izvlaēenje), upravljanje (skupljanje, ēuvanje i prenos) i forenziēka analiza digitalnih dokaza i da bi se saēuvao integritet i pouzdanost dokaza, zvaniēni istražni i korporacijski organi za forenziēku is- tragu i analizu digitalnih dokaza, moraju uspostaviƟ i održavaƟ eĮkasni sistem kontrole kvaliteta. Standardna radna procedura – SOP (Standard OperaƟon Procedure) je do- kumentovano uputstvo za kontrolu kvaliteta celokupnog postupka istrage, akvizicije, upravljanja i forenziēke analize digitalnih dokaza. SOP mora obuhvaƟƟ propisno regi- strovanje svih akƟvnosƟ istrage kompjuterskog incidenta/kriminala, kao i korišđenje drugih, u kriminalisƟci široko prihvađenih procedura, opreme i materijala. 1.2.3 Struktura standardne operaƟvne procedure Kada se formulišu standardne radne procedure treba ukljuēit sledeđe elemente: Naslov• – treba da sadrži ime procedure; Namena• – zašto, kada i ko korisƟ proceduru;
  • 26. 13M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Oprema/materijal/standardi/kontrole• - idenƟĮkuje koji se predmeƟ zahtevaju za izvršavanje procedure. Ovo može ukljuēiƟ opremu za zašƟtu, hardver, soŌver i naēine konĮgurisanja. Opis procedure• – opis korak-po-korak kako se procedura izvodi. Ako je neophod- no procedura treba da sadrži mere opreza koje treba preduzeƟ da se minimizira degradacija. Kalibracija• – opisuje svaki korak koji se zahteva da se osigura taēnost i pouz- danost procedure. Gde je primenljivo, treba dokumentovaƟ podešavanje instru- menata i proceduru kalibracije. Kalkulacija• - opisuje bilo koju matemaƟēku operaciju koja je primenjena u pro- ceduri. Ograniēenja• – opisuju sve akcije, interpretacije, ili opremu koja nije odgovarajuđa za proceduru. Sigurnost• - idenƟĮkuje i adresira potencijalne hazarde kod korišđenja proce- dure. Reference• - idenƟĮkuje interna i eksterna dokumenta koja agencija/ korporacija korisƟ za generisanje procedure i koja se odnose na proceduru i njene principe. 1.2.4 Standardi i kriterijumi digitalne forenziēke istrage 1.2.4.1. Standardi i kriterijumi 1.1 Sve agencije koje zaplenjuju i/ili ispituju digitalnu opremu moraju vodiƟ i održavaƟ odgovarajuđi SOP dokument, potpisan od strane nadležnog menadžera, koji sadrži jas- no deĮnisane sve elemente poliƟke i procedura. SOP mora biƟ obavezna za zvaniēne i korporacijske forenziēke organe zbog prihva- tanja rezultata i zakljuēaka na sudu. 1.2.4.2 Standardi i kriterijumi 1.2 Menadžment agencije mora revidiraƟ SOP jedanput godišnje da obezbede neprekid- nost njihove eĮkasnosƟ i pogodnosƟ za primenu, zbog brzih tehnološki promena. 1.2.4.3 Standardi i kriterijumi 1.3 Korišđene procedure moraju biƟ generalno prihvađene u oblasƟ forenziēke istrage, akvizicije i analize digitalnih dokaza i da ih u akviziciji, analizi i ēuvanju podržavaju nauēne metode. U izboru metoda evaluacije nauēne vrednosƟ forenziēkih tehnika i procedura mora se biƟ Ňeksibilan. Validnost procedure treba uspostavljaƟ demon- striranjem taēnosƟ i pouzdanosƟ speciĮēne tehnike. U tom smislu korisna je javna nauēna rasprava.
  • 27. 14 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 1.2.4.4 Standardi i kriterijumi 1.4 Agencija mora posedovaƟ pisanu kopiju odgovarajuđih tehniēkih procedura koje ko- risƟ u radu. Potrebni hardverski i soŌverski elemenƟ forenziēkih alata moraju biƟ nave- deni u spisku uz opis propisanih koraka za upotrebu i jasno navedena sva ograniēenja upotrebe tehnika i alata. Lica koja primenjuju procedure moraju biƟ dobro upoznata sa njima i dobro obuēena za rad sa korišđenim alaƟma. 1.2.4.5 Standardi i kriterijumi 1.5 Agencija mora korisƟƟ adekvatne hardverske i soŌverske forenziēke alate koji su eĮkasni za realizaciju procedura akvizicije i/ili analize digitalnih dokaza. Treba biƟ do- voljno Ňeksibilan u pogledu raznovrsnosƟ izbora metoda koje su najbolje za konkretni problem. Hardverski i soŌverski alaƟ za akviziciju i/ili analizu digitalnih dokaza moraju biƟ tesƟrani i da poseduju važeđi serƟĮkat o veriĮkaciji funkcionalnog kvaliteta nadležne nacionalne insƟtucije za akreditaciju i moraju biƟ u dobrom radnom stanju. 1.2.4.6 Standardi i kriterijumi 1.6 Sve akƟvnosƟ koje se odnose na akviziciju (privremeno oduzimanje), skladištenje, ispiƟvanje/analizu, prenos digitalnih dokaza moraju biƟ registrovane u pisanoj formi i na raspolaganju za pregled i svedoēenje/veštaēenje. Generalno dokumentacija koja podržava zakljuēke forenziēke analize mora biƟ tako pripremljena da ih drugo kompe- tentno lice može izneƟ i u odsustvu originalnog autora. Mora se uspostaviƟ i održavaƟ lanac ēuvanja dokaza za sve digitalne dokaze, (slika 1.1). Slika 1.1 Skladište ēuvanja digitalnih dokaza Stalno se moraju vodiƟ pisane zabeleške i zapažanja o sluēaju (masƟlom ili dijagrami u kolor hemijskoj olovci) sa inicijalima autora kod svake korekcije (precrtane jednom crtom). Svaka zabeleška mora biƟ liēno potpisana, sa inicijalima, digitalno potpisana ili sa drugom idenƟĮkacionom oznakom autora.
  • 28. 15M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 1.2.4.7 Standardi i kriterijumi 1.7 Bilo koja akcija koja ima potencijal da izmeni, ošteƟ ili unišƟ bilo koji aspekt origi- nalnog dokaza mora se izvršavaƟ od strane kvaliĮkovanog lica na forenziēki ispravan naēin. Svaki metod izvršavanja forenziēke akcije mora biƟ dokumentovan, taēan, pouz- dan, kontrolabilan i ponovljiv. Obuēeno forenziēko osoblje mora korisƟƟ kvalitetne forenziēke hardverske i soŌverske alate i odgovarajuđu opremu. 1.2.4.8 Standard prihvatljivosƟ procedure Za veđinu soŌverskih forenziēkih alata nisu poznaƟ programski izvorni kodovi, veđina procedura nije objavljeno i nisu podvrgnute javnoj raspravi niƟ su opšte prihvađene. Forenziēki alaƟ sa zatvorenim kodom koji su tesƟrani na nauēno prihvatljivoj i pon- ovljivoj osnovi i ēiji je broj i Ɵp grešaka poznat i objavljen mogu se ravnopravno korisƟƟ sa alaƟma sa otvorenim programskim kodom. Primer takvih alata je EnCase 4.0 koji je tesƟran u NIST laboratoriji. Forenziēki alaƟ sa otvorenim izvornim kodom imaju objavljene procedure, pa forenziēar može odluēiƟ da li da korisƟ alat ili ne [15]. 1.2.5 Standardizacija procedure privremenog oduzimanja raēunara kao dokaznog materijala Generalno u digitalnoj forenzici raēunarskog sistema, potencijalni izvori digitalnih dokaza mogu se nađi u brojnim hardverskim i programskim komponentama sistema, [3]: HD, magnetna traka, eksterni/pokretni mediji za skladištenje podataka,• log fajlovi mrežne infrastrukture (• Įrewall, IDS/IPS, proxy server itd.), aplikacije i log fajlovi bezbednosno relevantnih dogaĜaja (tragova za• audit), e-mail,• sadržaj drugih servera (Windows zajedniēki fajlovi, web serveri, baze poda-• taka itd.), uhvađeni mrežni saobrađaj.• Osnovni problemi DF istrage su osetljivost digitalnih podataka - lako brisanje i izme- na digitalnih podataka i kratkotrajnost u odreĜenom stanju raēunarskog sistema. Na primer, startovanjem ažuriranja PC sa Windows XP plaƞormom, menjaju se stoƟne po- dataka o datumu i vremenu (vremenskih peēata) i veliki broj fajlova. Prikljuēivanje HD ili USB, takoĜe, menja vremenske peēate fajl sistema, a iskljuēivanjem raēunara gube se podaci iz promenljive radne memorije (RAM-a). U odreĜenim uslovima akvizicija (izvlaēenje) digitalnih dokaza postaje veoma teška, na primer: mrežni saobrađaj postoji samo nekoliko milisekundi na žiēnoj/kablovskoj• mrežnoj infrastrukturi;
  • 29. 16 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ upad i napad mogu biƟ izvedeni izuzetno soĮsƟciranim• rutkit tehnikama za ubacivanje i skrivanje prisustva zadnjih vrata; akƟvan rad napadnutog sistema (npr. servera) može onemoguđiƟ akviziciju• digitalnih dokaza, ako ga nije moguđe iskljuēiƟ ili privremeno oduzeƟ; anƟforenziēke akƟvnosƟ mogu spreēiƟ akviziciju digitalnih podataka.• Standardna procedura za otkrivanje i privremeno oduzimanje raēunara kao dokaznog materijala u sluēaju kompjuterskog incidenta sadrži sledeđe elemente (FBI, SAD), [2]: 1. Pretraga mesta kriviēnog dela kompjuterskog kriminala: SnimiƟ na forenziēki raēunar i logovaƟ sve dokaze uzete na mestu krivēnog• dela. Ako se raēunarski sistem ne može privremeno oduzeƟ iz nekog razloga, uzeƟ• dve Įziēke slike (imidža) HD osumnjiēenog raēunara na forenziēki sterilan HD. Ako se osumnjiēeni raēunarski sistem može privremeno oduzeƟ, izvršiƟ• demontažu sistema u skladu sa procedurom iskljuēivanja (ako je raēunar ukljuēen), oznaēiƟ sve demonƟrane kablove i pripadajuđe uƟēnice parovima jedinstvenih brojeva, oznaēiƟ, takoĜe, sve odvojene elemente sistema (CPU kuđište, tastaturu, miša, diskete, opƟēke diskove i druge medije) i spakovaƟ za bezbedan transport do forenziēke laboratorije za ispiƟvanje. RegistrovaƟdetaljnosveinformacijeovlasnikukompromitovanograēunarskog• sistema. IzradiƟ detaljan izveštaj sa opisom svih preduzeƟh akcija u toku pretrage mes-• ta kriviēnog dela i privremenog oduzimanja raēunarskog sistema. Sve akƟvnosƟ pretrage na mestu kriviēnog dela vršiƟ u skladu sa standard-• nom operaƟvnom procedurom. 2. Integritet digitalnih podataka: :edina sigurnost za integritet podataka je kredibilitet forenziēara/ istraživaēa,• koji ima znanje i iskustvo za propisno procesiranje elektronskih dokaza. 3. Izveštaj o procesiranju i strukturi osumnjiēenog ,D: Spisak imena ukljuēenog personala.• Snimak vremena i mesta prikljuēivanja.• 4. IdenƟĮkacija ispiƟvanog materijala: Imena i serijski brojevi sve korišđene opreme i programa u osumnjiēenom• raēunarskom sistemu. Izveštaj o ostalim informacijama sakupljenim u predistražnom postupku.• 5. Uspostavljanje lanca ēuvanja digitalnih dokaza: UspostaviƟ i održavaƟ lanac ēuvanja integriteta digitalnih i drugih Ɵpova• dokaza do završetka sudskog procesa u skladu sa principima i SOP.
  • 30. 17M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 6. Uslovi ēuvanja digitalnih i drugih dokaza: uvaƟ elektronske i druge dokaze u propisanim uslovima temperature,• vlažnosƟ, prašine, magnetskih polja itd. 7. Procedura procesiranja dokaza sa ,D: U zavisnosƟ od plaƞorme osumnjiēenog raēunara, primeniƟ SOP za• iskljuēivanje/podizanje (butovanje) raēunara i uzimanje forenziēkog imidža za analizu. Za forenziēku analizu obezbediƟ dve imidž kopije osumnjiēenog HD.• 8. IdenƟĮkaciono oznaēavanje ostalih medija za skladištenje (osim ,D): Sve medije za skladištenje podataka (trake, printerski kertridži, zip ili Ňopi dis-• kovi, USB, CD ROM, DVD i druge prenosive dokaze), privremeno oduzete za ispiƟvanje, treba propisno oznaēiƟ i dokumentovaƟ prema sledeđem: sadržaj,- podaci serƟĮkovani/tesƟrani/ispitani,- ime forenziēara-analiƟēara,- zašƟta diska od upisivanja pre pregleda, kopiranja, analize kopije (ne origi-- nala), anƟvirusno skeniranje, oznaēiƟ svaku disketu, CD, DVD, USB sa a-1, a-2 itd.,- odštampaƟ direktorijum sa svakog ispiƟvanog medija,- ako se u ovoj fazi otkriju informacije koje predstavljaju dokaz, odštampaƟ- sadržaj tog fajla i oznaēiƟ štampani materijal sa istom alfanumeriēkom oznakom. 1.2.6 Procedure za obezbeĜivanje kopija dokaza Procedure za obezbeĜivanje kopija dokaza za javnog branioca, advokata odbrane, itd: 1. Pod isƟm uslovima napraviƟ radnu Įziēku kopiju – forenziēki imidž (kopiju bit- po-bit) originalnog osumnjiēenog/ispiƟvanog HD sa potencijalnim dokazima i jedan forenziēki imidž kao referentni za eventualne pravosudne potrebe. 2. ŠtampaƟ za izveštaj sa radne forenziēke kopije, sve dok sadržaj ne postane suviše velik za potrebe istrage u celini. Ako takav izveštaj postaje preobiman, onda sažeƟ pisani izveštaj, a u prilogu podneƟ kopiju elektronskog dokaza. 3. Podaci sadržani u memorijskim ureĜajima i medijima samo za ēitanje, ponekad se traže kao dokazi u formi štampane kopije. 4. Referentnu kopiju ēuvaƟ u celom lancu istrage za sluēaj da sud ili druga strana sumnjaju i/ili zahtevaju da se dokaže integritet digitalnih dokaza, tj. da se dokaže da digitalni dokazi nisu izmenjeni pod uƟcajem forenziēkih alata u procesu analize i pripreme digitalnog dokaza za glavni pretres.
  • 31. 18 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Tehniēka prezentacija pred sudom:- :ednostavna i skoro osloboĜena kompjuterske tehnologije;- PowerPoint- prezentacija koja jednostavno objašnjava kompleksni kon- cept; Poseban kompjuterski kriminal na Internetu;- Kako radi Internet.- 1.2.7 Standardna procedura nauēnog karaktera digitalnog dokaza Kako je digitalni podatak i potencijalni digitalni dokaz po svojoj prirodi veoma os- etljiv na promene i uništavanje (brisanje) i u sušƟni uvek posredan dokaz za sud, može se lako dovesƟ u pitanje prihvatljivost digitalnog dokaza pred sudom, na zahtev druge strane ili samog suda. Kako je broj sluēajeva kompjuterskog kriminala naglo rastao, bilo je potrebno obezbediƟ neoborive argumente za dokazivanje da se digitalni podatak može kopiraƟ, ēuvaƟ i procesiraƟ u raēunarskom sistemu, a da pri tome ne doĜe do izmene digitalnih podataka koji ēine ēvrsƟ (neoborivi) digitalni dokaz, u odnosu na to kakvi su Ɵ podaci bili u osumnjiēenom raēunaru u trenutku akvizicije podataka i da, takoĜe, nisu izmenjeni u odnosu na stanje u osumnjiēenom raēunaru pre same akvizici- je i primene forenziēkog alata. Ovakve argumente, u principu, mogu obezbediƟ samo nauēno dokazane i priznate tehnike, procesi i metodi akvizicije i analize digitalnih poda- taka, [39]. Ovakva procedura, koja se smatra baziēnom procedurom digitalne forenzike, poznata je kao Daubert Gudlines4 , ili Daubert standardna procedura uslova za prih- vatljivost digitalnog dokaza pred sudom, koja mora biƟ takva da se: izvoĜenje dokaza može po zahtevu suda veriĮkovaƟ;• poznaƟ stepen grešaka koje procedura unosi u digitalni dokaz može dokazaƟ;• objavi u vrhunskom, višestruko recenziranom nauēnom ēasopisu, dok konfer-• encijski radovi nisu prihvatljivi i da se prihvata u relevantnim nauēnim krugovima.• Istraživanje (2004) u SAD je potvrdilo da razumevanje znaēaja Daubert principa za prihvatljivost digitalnog dokaza na sudu znaēajno varira, (slika 1.2). 4 Sudski sluēaj Daubert vs. Merrell Dow PharmaceuƟcals Vrhovni sud SAD je prihvaƟo kao referentni za prihvatljivost ekpertskog nauēnog mišljenja za svedoēenje/veštaēenje u svim sluēajevima federalnog suda.
  • 32. 19M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Slika 1.2 Daubert princip prihvatljivosƟ digitalnih dokaza na sudu, [3] Najveđi stepen razumavanja je zahtev da je za forenziēki alat poznat stepen greške koju unosi i da se to na zahtev suda može testom dokazaƟ. Standardna Daubert proce- dura obuhvata uslove za forenziēku prihvatljivost soŌverskih alata i tehnika za primenu alata, procedura akvizicije, analize i ēuvanja digitalnih dokaza, kao i ponovljivosƟ proce- dure za tesƟranje forenziēkih alata na zahtev suda. Do danas je nekoliko alata za digitalnu forenziēku analizu podvrgnuto ovoj standardnoj proceduri (npr. EnCase, FTK i dr.). 1.2.8 Standardna procedura tesƟranja forenziēkih alata Iako još uvek ne postoji opšte prihvađena i konzistentna standardna procedura za tesƟranje alata za forenziēku akviziciju i analizu digitalnih podataka u oblasƟ javne digi- talne forenzike prihvata se serƟĮkacija radne grupe NIST-a specijalizovane za tesƟranje alata za forenziku raēunara - NIST CFTT (NIST Computer Forensic Tool TesƟng). U in- teresnoj zajednici digitalne forenzike preovlaĜuje mišljenje da forenziēke alate treba da tesƟraju i serƟĮkuju još i vendori (proizvoĜaēi i isporuēioci) alata i sami korisnici – digitalni forenziēari, [6], [11]. Do sada5 je NIST CFTT grupa razvila metodologiju samo za uzimanje Įziēke (miror, slikeiliimidžaēvrstogdiska).ProcedurauzimanjaĮziēkeslikediskasadržisamoizvoĜenje testova koji veriĮkuju oēekivane funkcije soŌverskog alata, a ne podrazumeva kontrolu 5 do 2006, u toku je razvoj više procedura za tesƟranje drugih funkcija forenziēkih alata.
  • 33. 20 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ izvornog koda. U tom smislu, zbog moguđnosƟ kontrole koda, osnovne funkcije alata sa otvorenim izvornim kodom je lakše tesƟraƟ i lakše je razviƟ eĮkasnije testove. Iako do sada nema objavljenog konzistentnog predloga metoda i procesa za proraēun stepena grešaka hardversko/soŌverskih alata za digitalnu forenziēku analizu, dostupni su rezul- taƟ brojnih testova forenziēkih alata sa zatvorenim izvornim kodom. Cilj ovih testova je da se nedvosmisleno dokaže da neki forenziēki alat unosi poznat Ɵp i broj grešaka, što se može dokazaƟ ponavljanjem procedure testa. Od velike pomođi je i ēinjenica da je zbog komercijalnih razloga u najboljem interesu vendora alata da je ova greška što je moguđe manja, što opravdava i zahteve za serƟĮkaciju alata od strane vendora. Ste- pen grešaka forenziēkog alata treba da ukljuēuje, pored funkcionalnih grešaka i greške u programiranju ili bagove. Aplikacije soŌverskih alata sa zatvorenim izvornim kodom mogu kriƟ skrivene bagove, koji nisu dokumentovani pa ostaju nepoznaƟ i u sledeđoj verziji proizvoda. Nasuprot, aplikacije forenziēkih alata sa otvorenim izvornim kodom omoguđavaju poreĜenje dve verzije alata i otkrivanje eventualnih bagova koji su ostali skriveni u prethodnoj verziji. TesƟranje forenziēkih alata u NIST CFTT programu je, bez sumnje, kriƟēno za digi- talnu forenziku sa aspekta zahteva za prihvatljivost alata pred sudom. MeĜuƟm, postojeđi zahtev za vendorsko ispiƟvanje alata, u principu ima drugaēiji cilj. NIST Is- pituje da li alat radi ono šta je pretpostavljeno da treba da radi da bi bio prihvatljiv za sud, dok vendori alata ispituju šta je pretpostavljeno da alat radi u razliēiƟm situacijama i ovo ispiƟvanje traje znatno duže i znatno je skuplje od tesƟranja NIST-a. Na primer, kompanija ProDiscover ima skup od 500 sluēajeva tesƟranja svih forenziēkih plaƞor- mi i alata koje ova razvija. Ipak, zbog soĮsƟcirane prirode soŌvera i brojnih varijanƟ i permutacija sistemskih programa, nije realno zahtevaƟ primenu nekog alata u svim forenziēkim situacijama i sluēajevima. Drugim reēima, nije moguđe potpuno simuliraƟ i tesƟranjem obuhvaƟƟ sve potencijalne kombinacije forenziēkog hardvera i soŌvera u vrlo razliēiƟm, realnim sluēajevima kompjuterskog kriminala. U praksi, proizvoĜaēi forenziēkog soŌvera, za sada uspevaju samo da idenƟĮkuju veđinu kriƟēnih bagova, ali nije neobiēno da se alaƟ popravljaju u novim verzijama6 , na bazi povratnih informacija korisnika iz forenziēke zajednice. Tu je najveđi problem što forenziēari ne mogu ven- dorima dostaviƟ fajlove sa dokazima o manifestaciji bagova zbog zahteva za zašƟtom privatnosƟ i/ili tajnosƟ, a drugi razlog je što do sada forenziēki alaƟ generalno imaju slab sistem upravljanja greškama. Tako se javila potreba da forenziēki alat treba da ima log fajl grešaka, ēime bi korisnici mogli obavesƟƟ vendore o problemima rada sa alatom bez ugrožavanja privatnosƟ i tajnosƟ predmetnog lica u analiziranom sluēaju ili otkrivanja osetljivih informacija. TakoĜe, na ovaj naēin bi forenziēar registrovao prob- lem, koji bi u suprotnom mogao ostaƟ nezapažen. MeĜuƟm, ostaje problem što se log fajl grešaka forenziēkog alata može u unakrsnom ispiƟvanju u sudskom procesu zloupotrebiƟ za prolongiranje istrage i samog procesa, ukazivanjem na nepouzdanost primenjenog alata, ili dovoĜenjem u sumnju integritet relevantnih digitalnih dokaza. 6 krpe („peēuju“) kao standardni soŌveri proizvedeni agilnim metodima.
  • 34. 21M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Opšte je mišljenje u forenziēkoj interesnoj zajednici da je potrebno razviƟ standarde koji deĮnišu oēekivana ponašanja forenziēkih alata. Na primer, postoji potreba za stan- dardnim formatom skladišta (baza podataka), formatom uvoza/izvoza (XML, CSV), za skupom zajedniēkih indeksa i heš vrednosƟ i za deĮnisanjem procesa i termina. Prob- lem je dilema o tome ko treba da razvija takve standarde: korisnici, vendori ili konzo- rcijum za digitalnu forenziku. Oēigledno je da bi standardizacija, na primer, formata za skladištenje digitalnih dokaza znaēajno poveđala interoperabilnost i kompaƟbilnost forenziēkih alata. Sa aspekta prakse digitalne forenziēke akvizicije i analize, forenziēar zahteva da ima razliēite poglede na isƟ sadržaj sa razliēiƟm alaƟma. Na primer, Access Data (alat FTK) ima ĮlozoĮju da „forenziēki alat treba korisƟƟ toliko dugo koliko daje oēekivane informacije forenziēaru“. TakoĜe, postoji potreba za veđom automaƟzacijom ruƟnskih poslova i redosleda izvršavanja zadataka forenziēkih alata, kao i uvoĜenjem ekspertnih sistema u proces digitalne forenziēke akvizicije i analize. 1.2.9 Legalni zahtevi za digitalne dokaze Oblast digitalne forenziēke nauke i forenziēke akvizicije i analize digitalnih dokaza još uvek je u razvoju. Nije poznato niƟ pouzdano utvrĜeno da li se kao digitalni dokaz treba smatraƟ nauēno potvrĜen dokaz ili izlazni rezultat automaƟzovanog forenziēkog alata i primenjenih forenziēkih tehnika. Bez obzira na ovakvo stanje, moraju biƟ zadovoljeni neki zahtevi da bi se ulazni digitalni podatak u pravosudni sluēaj kompjuterskog kriminala smatrao prihvatljivim digitalnim dokazom. MeĜuƟm, nauēno potvrĜen digitalni dokaz mora biƟ istovremeno i relevantan i pouzdan (neoboriv) za konkretni sluēaj. Pouzdanost nauēnog dokaza se dokazuje primenom standarda koji zahteva da se procedura dokaznog postupka može tesƟraƟ, veriĮkovaƟ i da je metod tesƟranja nauēno priznat. Relevantnost digitalnog dokaza odreĜuje sud u kontekstu sluēaja, a na bazi njegove vrednosƟ za optuživanje ili oslobaĜanje od kriviēne odgovornosƟ. Najēešđe same digitalne dokaze treba podržaƟ i sa drugim, Įziēkim dokazima iz procesa istrage, ukljuēujuđi i rezultate ispiƟvanja svedoka, oƟske prsta, razne zabeleške i druge indikatore koji upuđuju na idenƟtet osumnjiēenog. Višestruko podržani digitalni dokazi imaju veđu prihvatljivost na sudu. 1.2.10 Dostupnost standardnih procedura i alata Pojavom vrhunskih nauēnih ēasopisa (InternaƟonal Journal of Digital Evidence i dr.) obajvljenji su i postali šire dostupni brojni radovi iz oblasƟ forenziēkih alata za akviziciju i analizu digitalnih dokaza sa višestrukom recenzijom. TakoĜe, objavljeni su brojni, do- kumentovani podaci i detalji o tome kako rade i procesiraju razliēiƟ fajl sistemi ili kako se oporavljaju izbrisani fajlovi na HD i koliki stepen grešaka unose komercijalni forenziēki alaƟ. Pri tome neki fajl sistemi kao što je NFTS nisu ēak ni javno dokumentovani – imaju
  • 35. 22 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ zatvoren izvorni programski kod. Kako fajl sistemi nisu dizajnirani da imaju neizbrisive fajlove, forenziēari za analizu digitalnih dokaza ne mogu znaƟ koju proceduru koriste njihovi alaƟ u izvršavanju ovih nedokumentovanih akcija. Zato se za soŌverske forenziēke alate sa zatvorenim programskim kôdom (npr. EnCase 4.0) zahteva višestruko tesƟranje i objavljivanje rezultata testa sa stepenom greške koju alat unosi, što je prihvatljiva praksa za gotovo sve pravosudne sisteme u zapadnim zemljama. Sa druge strane, proizvoĜaēi alata sa otvorenim izvornim kodom uvek korektno objavljuju svoje procedure, pošto je izvorni kod na raspolaganju svakom korisniku koji ga može proēitaƟ i proveri taēnost procedure. 1.2.11 Tela za akreditaciju standarda digitalnih forenziēkih laboratorija Direkcija ameriēkog udruženja kriminalisƟēkih laboratorija (Bord laboratorija) za akreditaciju (ASCLD/LAB) je telo za akreditaciju koje propisuje kriterijume i standarde, koje speciĮēne nauēne i tehniēke discipline moraju zadovoljiƟ i radu forenziēkih labora- torija za digitalne dokaze. Ovo telo izdaje Priruēnik za akreditaciju koji sadrži: principe, standarde i kriterijume, kao i diskusije (pošto su standardi u razvoju). Priruēnik je na- menjen za rad menadžmenta forenziēkih laboratorija, radnog osoblja, kvaliĮkovanih lica-specijalista i laboratorijske opreme. U SAD je na federalnom nivou osnovana Asocijacija forenziēkih nauēnika za analizu digitalnih dokaza (AAFS). lanovi AAFS su najeminentniji nauēnici koji se bave disci- plinama u ovim oblasƟma, a od njih su mnogi i akademici. Asocijacija zahteva najmanje 50 ēlanova za formiranje sekcije u nekoj državi. Novi ēlanovi se prijavljuju generalnoj sekciji, iz koje se po potrebi mogu formiraƟ odvojene specijalisƟēke sekcije. :edan od brojnih problema u oblasƟ digitalne forenziēke istrage - haos u serƟĮkaciji eksperata za forenziēku analizu digitalnih dokaza, može se razrešiƟ samo ako se konzis- tentno primene usvojeni principi na sve oblasƟ digitalne forenzike za sudsku praksu. SerƟĮkacija profesija u oblasƟ digitalne forenzike treba da bude zajedniēko pitanje i jedinstveno usklaĜena na meĜunarodnom nivou. Moraju postojaƟ univerzalne mere za ocenu individualne kompetentnosƟ i ekspertskih znanja i vešƟna. Tehnologija digitalne forenziēke istrage, akvizicije i analize zahteva razvoj standarda i protokola. Za prakƟēnu primenu u forenziēkoj praksi zahteva se obuka i edukacija koja se završava tesƟranjem steēenih znanja i vešƟna u procesu serƟĮkacije. Nacionalni centri za serƟĮkaciju ek- sperata digitalne forenzike moraju radiƟ u bliskoj korelaciji sa meĜunarodnim telima za serƟĮkacije u ovoj oblasƟ, [6].
  • 36. 23M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ REZIME Zašto je potreban zakonski i pravni okvir za digitalnu forenziēku istragu, saku- pljanje (akviziciju), dokazivanje (analizu) i sankcionisanje (veštaēenje/svedoēenje i suĜenje) sluēajeva kompjuterskog kriminala? Nacionalni zakon o borbi proƟv kompjuterskog kriminala je neophodan i neizbežan, zbog realnog trenda global- nog rasta kompjuterskog kriminala u svetu, kao formalni okvir za razvoj nacio- nalnih kapaciteta za istragu, dokazivanje i sankcionisanje kriviēnih dela kompjut- erskog kriminala. Pravni okvir se zahteva za potrebe nacionalnog pravosuĜa i usaglašavanje prakse pavosudnih sistema na meĜunarodnom nivou, zbog global- nog, transnacionalnog karaktera kompjuterskog kriminala. Standardi i formalne operaƟvne procedure istrage, akvizicije i analize digitalnih dokaza kompjuterskog kriminala neophodne su zbog kompleksnosƟ i delikatnosƟ zadataka i speciĮēne prirode digitalnih dokaza. Svaki sluēaj istrage kompjuterskog kriminala zahteva razvoj biznis plana za us- postavljanje forenziēkih kapaciiteta (javnih/korporacijskih), detaljnog plana pro- jekta forenziēke istrage, programa, vremenskog plana, budžeta i kadrova. Krajnji cilj digitalne forenziēke istrage je prikupiƟ dovoljno podataka i informacija da se kriviēno delo kompjuterskog kriminala dokaže pred sudom. Nažalost konzistent- na tehnologija neophodna za rešenje svih sluēajeva kompjuterskog kriminala još uvek ne postoji. Digitalni forenziēar treba znaƟ da svaki upad u raēuanrski i IKT sistem ostavlja brojne tragove, bez obzira koliko su teški za prađenje i otkrivanje. Svaki kompjuterski kriminal je rešiv uz veliko strpljenje i dovoljno znanja i upor- nosƟ. Generalno, istraga kompjuterskog kriminala zahteva mnogo vremena, rada i novca, pa vešƟ eksperƟ mogue odužiƟ procedure u nedogled u cilju sƟcanja neo- pravdane korisƟ. Zato je potrebno uspostaviƟ i korisƟƟ formalne, struktuirane, zakonski i pravno zasnovane, procedure istrage, akvizicije i analize digitalnih dokaza kompjuterskog kriminala. U najjednostavnijem sluēaju zakonski okvir za istragu kompjuterskog kriminala mora obezbediƟ najmanje proceduru za voĜenje istrage o sluēaju kompjuterskog kriminala. Što su jasnije deĮnisani proces, metodi i tehnologije istrage sluēajeva kompjuterskog kriminala, to je veđa verovatnođa za uspešan ishod istrage. Najsigurniji istražni postupak u sluēaju kompjuterskog kriminala je Ɵpa strik- tnog sprovoĜenja propisane procedure i izvršavanje akƟvnosƟ korak po korak. Prvo se mora doneƟ zakljuēak da je napad izvršen, a zaƟm proceniƟ karakter inci- denta i doneƟ odluku o nivou korporacijske, odnosno, zvaniēne istrage. Znaēajno je što se u cikliēnom procesu upravljanja kompjuterskim incidentom, na osnovu rezultata digitalne forenziēke istrage, mogu otkloniƟ uzroci, a ne samo posledice svih bezbednosih ranjivosƟ raēunarskog sistema i mreža, koje se otkriju u sistemu zašƟte i Ɵme poboljšaƟ otpornost IKT sistema na nove napade.
  • 37. 24 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ PITANJA ZA PONAVLJANJE 1. Nabrojte osnovne elemente kompjuterskog kriminala. 2. Koje su glavne kategorije kompjuterskog kriminala sa aspekta uloge raēunara? 3. Navedite neke Ɵpove kompjuterskog kriminala. 4. Ko su glavni korisnici digitalne forenziēke istrage? 5. Koje su glavne oblasƟ digitalne forenzike? 6. DeĮnišite digitalni dokaz. 7. Koji su glavni IOEC principi upravljanja digitalnim dokazima? 8. Koje glavne elemente treba da sadrži standardna operaƟvna procedura digi- talne forenziēke istrage? 9. Navedite Daubert principe prihvatljivosƟ digitalnih dokaza pred sudom. 10.Objasnite pod kojim uslovima sud priznaje digitalne dokaze.
  • 38. 25M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 2. ISTRAGA KOMPJUTERSKOG KRIMINALA 2.1 ZVANINA ISTRAGA KOMPJUTERSKOG KRIMINALA Generalno, digitalna forenziēka istraga deli u dve osnovne kategorije, [3]: zvaniēnu (javnu)• i korporacijsku (privatnu)• digitalnu forenziēku istragu. Zvaniēna (javna) digitalna forenziēka istraga ukljuēuje policijske organe istrage, spe- cijalno tužilaštvo i specijalno sudstvo za borbu proƟv visokotehnološkog (kompjuter- skog) kriminala. Ovi organi treba da rade u skladu sa brojnim zakonima kao što su: Zakon o kriviēnom postupku, Zakon o borbi proƟv visokotehnološkog kriminala, Zakon o zašƟƟ informacija i informacionih sistema, Zakon o digitalnom dokazu, Zakon o elek- tronskom potpisu, Zakonu o elektronskoj trgovini i dugi neophodni zakoni koji regulišu ukupno savremeno elektronsko poslovanje. TakoĜe, zvaniēni organi istrage kompjuter- skog kriminala treba da rade prema strogo utvrĜenim standardnim operaƟvnim proce- durama (SOP) za: pretragu, privremeno oduzimanje i ispiƟvanje raēunarskih sistema i drugih mrežnih ureĜaja, akviziciju digiotalnih podataka/dokaza sa razliēiƟh platvormi i slika, u cilju otkrivanja validnih digitalnih dokaza. U sluēaju zvaniēne istrage istražni organi moraju dobro poznavaƟ i razumeƟ sve zakone i propise koji se odnose na kom- pjuterski kriminal, ukljuēujuđi standardne lokalne procedure za pretragu i utvrĜivanje sluēaja kriviēnog dela kompjuterskog kriminala. U procesu utvrĜivanja karaktera kriviēnog dela kompjuterskog kriminala, istražni or- gan mora tražiƟ odgovore na brojna pitanja, kao što su: 1. Šta je bilo sredstvo izvršavanja kriviēnog dela? 2. Dalisuraēunarskisistemimrežaposlužilikaojednostavanprolazzaizvršavanje kriviēnog dela? 3. Da li je u pitanju kraĜa, provala ili vandalizam u sistemu? 4. Da li je napadaē ugrozio neēiju privatnost i druga prava, ili uznemiravao preko Voice IP ili e-mail servisa? Raēunarski sistem i raēunarska mreža mogu biƟ sredstva za izvršavanje kriviēnog dela i u tom smislu ne razlikuju se od pajsera provalnika za upad u tuĜi stan, ili kalauza kradljivca kola. Raēunarski sistemi su kao sredstvo za izvršavanje kriviēnog dela, ili pred- met kriviēnog dela, ukljuēeni u brojne i ozbiljne zloēine. U izgradnji sluēaja kriviēnog dela kompjuterskog kriminala mogu se razlikovaƟ tri glavne faze: postojanje sluēaja izvršenja kriviēnog dela kompjuterskog kriminala,• istraga kriviēnog dela kompjuterskog kriminala i• suĜenje.•
  • 39. 26 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ OpšƟ proces zvaniēne istrage kompjuterskog incidenta, sa pristupom istrazi po mo- delu “korak po korak”, gde svaki korak u okviru jedne faze istrage vodi u drugi i obez- beĜuje kontrolnu listu akƟvnosƟ u okviru svake od sledeđe 4 faze, [18], [20]: inicijalna istraga,• ulazak u trag napadaēu,• otkrivanje idenƟteta napadaēa i• hapšenje• . U realnom sluēaju kriviēmog dela kompjuterskog kriminala Ɵpiēan proces istrage kređe od prijave kompjuterskog incidenta zvaniēnim organima istrage (policiji). U fazi predistražnih radnji i pretrage istražni organi sakupljaju dovoljno dokaza za osnovanu sumnju i pokretanje tužbe proƟv osumnjiēenog poēinioca (nekada može biƟ i nepo- znat-NN poēinila). O svojim nalazima policija upoznaje tužioca koji obezbeĜuje nalog za istragu od istražnog sudije i pokređe zvaniēnu istragu. Sa sudskim nalogo u gotovo svim pravosudnim sistemima organi istrage kompjuterskog kriminala mogu legalno pri- vremeno oduzimaƟ osumnjiēeni raēunarski sistem ili uzimaƟ Įziēku sliku ēvrstog diska, radi forenziēke akvizicije i analize digitalnih dokaza. Iako policija svake države šƟƟ javna dobra svojih graĜana, ne treba oēekivaƟ da sva- ki policajac bude IKT ekspert i da sve faze istrage kompjuterskog kriminala izvršavam samostalno. U tom smislu, preporuēena su tri nivoa potrebnih struēnih znanja i vešƟna zvaniēnih organa istrage, [5]: 1. Nivo: Osposobljenost za akviziciju digitalnih podataka i privremeno ēuvanje inte- griteta i propisno održavanje digitalnih dokaza. Ove poslove treba da obavljaju regular- ni kriminalisƟēki tehniēari (policajci) sa osnovnim informaƟēkim znanjima i osnovnim kursom digitalne forenzike; 2. Nivo: Osposobljenost za upravljanje procesom istrage visokotehnološkog krimi- nala. Organi istrage se osposobljavaju da postavljaju pitanja, ispituju informante (sve- doke) razumeju IKT terminologiju i šta može, a šta ne može biƟ izvuēeno iz digitalnih podataka. Ove poslove treba da obavljaju kriminalisƟēki inspektori (policajci) sa zavr- šenim specijalisƟēkim kursom za digitalnu forenziēku istragu kompjuterskog kriminala i oporavak digitalnih podataka, ukljuēujuđi i osnove digitalne forenzike raēunarskih sis- tema. 3. Nivo: Specijalno osposobljeni policajci za izvlaēenje, ispiƟvanje i analizu digitalnih dokaza, koje normalno izvršavaju specijalisƟ za digitalnu forenziēku analizu raēunara i raēunarskih mreža, ili kiberneƟēku (cyber) istragu kompjuterskih i Internet prevara. Zvaniēni organi istrage osposobljeni sa ovim znanjima i vešƟnama mogu kompetentno da upravljaju sluēajem kriviēnog dela kompjuterskog kriminala, uspešno obezbeĜuju resurse za istragu, procenjuju obim istrage, delegiraju uloge i lica za sakupljanje i pro- cesiranje informacija koje se odnose na osumnjiēenog, kao i za akviziciju i analizu digi- talnih podataka iz ošteđenog, posrednih i osumnjiēenog raēunara i izgradnju ēvrsƟh do- kaza. Posao istražitelja kompjuterskog kriminala završava se kada se pomođu propisane
  • 40. 27M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ procedure (SOP) i prihvatljive metodologije izvuku relevantni i ēvrsƟ digitalni dokazi iz procesom akvizicije obezbeĜenih i drugih izvora podataka. Istražitelj kompjuterskog kriminala, pre privremenog oduzimanja raēunarskog siste- ma radi akvizicije i analize digitalnih dokaza, dostavlja sve preliminarne dokaze (Įziē- ke, digitalne i slika) o osnovanoj sumnji tužiocu za visokotehnološki kriminal i zahteva nalog za pretragu. Specijalni tužilac za visokotehnološki kriminal podnosi specijalnom sudiji za visokotehnološki kriminal zahtev za nalog za pretres imovine osumnjiēenog u kojem iznosi poznate ēinjenice iz predistražnog postupka i prilaže raspoložive dokaze o poēinjenom kriviēnom delu. Na osnovu ovog zahteva i dokaza o osnovanoj sumnji, specijalni sudija za visokotehnološki kriminal izdaje nalog za pretres stana i raēunarskog sistema osumnjiēenog. 2.2 KORPORACIJSKA DIGITALNA FORENZIKA ISTRAGA Savremeni novi mobilni telefoni, Bluetooth ureĜaji, kompaktne Ňeš memorijski ureĜaji i razni PDA mogu izvršiƟ gotovo sve zadatke kao laptop raēunari, ukljuēujuđi i udaljeni pristup raēunarskoj mreži bez znanja organizacije. Ovo je samo deo sistema nove tehnologije koji zahteva zašƟtu u IKT sistemu organizacije, ali predstavlja i izazov za primenu tehnika i alata korporacijske digitalne forenzike za rekonstrukciju kompjut- erskog incidenta. U uslovima dinamiēki promenljivih kombinovanih pretnji koje mogu iskorisƟƟ brojne slabosƟ web servisa i raēunarskih mreža organizacije, razumevanje uzroka i spreēavanje ponavljanja incidenta jednako je važno kao i sam sistem zašƟte organizacije. Za otkrivanje uzroka i otklanjanje ranjivosƟ koje su dovele do incidenta, organizacija uvek može iznajmiƟ retke specijaliste za digitalnu forenziku, ali je za sada ta usluga najskuplji servis u sektoru zašƟte informacija, što je najēešđe ograniēavajuđi faktor. Iako je korporacijska digitalna forenzika u ranoj fazi razvoja, izazovi i rizici koje donosenove,mobilnetehnologijenesumnjivođeuƟcaƟnasveveđuprimenuforenziēkih tehnika i alata u upravljanju kompjuterskim incidentom u organizaciji. U kontekstu upravljanja kompjuterskim bezbednosnim incidentom u korporaci- jskom IKT sistemu, metodologija i tehnologija digitalne forenziēke istrage obezbeĜuju stabilnu i kompletnu celinu u ranjivom mrežnom okruženju sa uspostavljenim poliƟka- ma zašƟte, implemenƟranim sistemom zašƟte i uspostavljenim kapaciteƟma za uprav- ljanje kompjuterskim incidentom. Dobra je praksa da korporacijski digitalni forenziēar Ɵmski radi sa administratorima sistema, mreže i zašƟte i drugim specijalisƟma zašƟte u cilju obezbeĜivanja prihvatljivog nivoa zašƟte raēunarskih sistema i bezbednog rada raēunarske mreže u Internet okruženju. Iako sve tri grupe specijalista u velikim sistemima najēešđe rade samostalno, u sluēaju glavnog kompjuterskog incidenta sve tri grupe uvek rade zajedno. Ovakav koraboraƟvni7 rad obezbeĜuje eĮkasno i efekƟvno trajno saniranje kompjuterskog incidenta u organizaciji, sa sopstvenim resursima i bez 7 rad ēlanova Ɵma na razliēiƟm izvorima indikatora i dokaza istog kompjuterskog incidenta.
  • 41. 28 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ pozivanja spoljnih specijalista. SpecijalisƟ za sisteme zašƟte, analizu rizika i ranjivosƟ sistema i mreža imaju iskustvo iz administracije sistema i mreža i poznaju neku met- odologiju za analizu i ublažavanje rizika. SpecijalisƟ za upravljanje kompjuterskim in- cidentom poznaju automaƟzovane detektore upada (IDS/IPS Ɵpa), monitorišu logove logiēkih mrežnih barijera (Įrewalls), otkrivaju, prate, idenƟĮkuju i spreēavaju upade u raēunarske mreže i, u sluēaju napada, pomažu forenziēarima da rekonstruišu napad, oporave podatke i idenƟĮkuju napadaēa. Digitalni forenziēari ispituju napadnute, kom- promitovane ili osumnjiēene raēunarske sisteme, ukljuēujuđi i posredne raēunare, koji sadrže potencijalne dokaze o kompjuterskom incidentu/kriminalu i dostavljaju nalaze o naēinu napada ēlanovima druga dva Ɵma za efekƟvno Įksiranje i trajno otklanjanje ot- krivenih ranjivosƟ sistema. Bliskom saradnjom ovih specijalista, efekƟvno se spreēava ponavljanje istog ili sliēnog incidenta i dugoroēno podiže bezbednost sistema na viši nivo. Potrebu za razvojem korporacijske digitalne forenzike mogu generisaƟ razliēiƟ iz- vori, [3]. interni zahtevi poliƟke zašƟte korporacije/organizacije za upravljanje kompjut-• erskim incidentom; spoljnifaktorikaoštosumeĜunarodnizahtevizastandardizacijuiusklaĜivanje• upravljanja zašƟtom informacija, zadržavanja informacija itd.; razvoj soĮsƟciranih hakerskih alata i vešƟna napada na raēunarske sisteme i• mreže; nacionalni zakoni i regulaƟve koji• postoje u veđini zemalja, mogu zahtevaƟ uspostavljanje nekih oblika forenziēkih kapaciteta za borbu proƟv kompjut- erskog kriminala, kao što su zakoni o zadržavanju informacija (npr. Švajcarski zakon ISP log retenƟon), regulaƟve i standardi u industriji, zdravstvu, Įnansi- jskom sektoru itd.; standardi industrijske najbolje prakse u oblasƟ zašƟte informacija, kao što su• ISO/IEC 27001 (17799:2005) i drugi serije ISO/IEC 27k meĜunarodni standardi za zašƟtu informacija, koji preporuēuje procedure za skupljanje informacija i dokaza, analizu i procenu incidenata, zadržavanje e-mail poruka i slika, ili IAAC (InformaƟon Assurance Advisory Council) smernice, koje daju uputstva za obezbeĜivanje korporacijskih forenziēkih kapaciteta; objavljivanje forenziēkih procedura i alata u višestruko recenziranim nauēnim• ēasopisima kao što su Digital InvesƟgaƟon Journal, The InternaƟonal Journal of Digital Forensics Incident Response i drugim. Ako neka korporacija/organizacija odluēi da uspostavi sopstvene kapacitete za digi- talnu forenziēku istragu na bazi internih potreba i zahteva poliƟke zašƟte za upravl- janje kompjuterskim incidentom, oēekuje se da zvaniēni državni organi za borbu proƟv kompjuterskog kriminala u svakoj nacionalnoj državi obezbede: pomođ legalnim Ɵmovima korporacija/organizacija za upravljanje kompjut-•
  • 42. 29M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ erskim incidentom kod otkrivanja uzroka incidenta i napadaēa, posebno iz drugog domena zašƟte (drugog ISP), ili drugog pravosudnog sistema u kojima korporacijski organi istrage nemaju nikakvu nadležnost; usaglašavanje korporacijske poliƟke/standarda zašƟte sa lokalnim zakonima i• regulaƟvama, što može biƟ od velike korisƟ za razvoj forenziēkih kapaciteta; preporuke i procedure za kontrolu (• audiƟng) sistema zašƟte i informacije za obrazovanje u oblasƟ digitalne forenzike (npr.• InternaƟonal Journal of Digital Evidence i slika). UspostavljanjekorporacijskihkapacitetazadigitalnuforenzikumožesepoziƟvnoodra- ziƟ i u oblasƟ upravljanja ljudskim resursima. Proces korporacijske digitalne forenziēke istrage, forenziēke tehnike i alaƟ mogu obezbediƟ kljuēne informacije za razliēite aspek- te upravljanja ljudskim resursima, kao što su: otpuštanje zaposlenih i ukidanje radnih mesta, upravljanje zaposlenim, disciplinske akcije, procena ekstremnih sluēajeva (smrƟ, samoubistava, kidnapovanja) i slika Od korporacijskih forenziēkih kapaciteta velike ko- risƟ mogu imaƟ i razliēita stalna/privremena tela i Ɵmovi koji se formiraju u korporaciji, kao što su Ɵmovi za: istragu klasiēnih prevara i kriminala, upravljanje kompjuterskim incidentom i vanrednim dogaĜajem, upravljanje rizikom, procenu rizika, kontrolu rizika od kompjuterskog kriminala, upravljanje konƟnuitetom poslovanja itd. Sve ove uloge imaju potrebu da koriste usluge kompetentnog centralnog Ɵma za zašƟtu informacija sa digitalnim forenziēarom koji dobro poznaje forenziēke tehnike i alate. Korporacijski kapaciteƟ za digitalnu forenziku mogu, takoĜe, odigraƟ znaēajnu ulogu za zašƟtu intelektualne svojine, ugleda i brendova korporacije, ispiƟvanjem lažnih web sajtova, phishing napada itd. U IKT sistemu korporacije, forenziēki kapaciteƟ su od kljuēnog znaēaja za analizu tra- gova upada u sistem, ispiƟvanje povreda poliƟka zašƟte, utvrĜivanje zloupotreba IKT infrastrukture, analizu prisustva logiēkih bombi, rutkit tehnika, zadnjih vrata, trojanaca i drugih malicioznih kodova. Forenziēke alate i tehnike, korporacija može korisƟƟ i za: veriĮkaciju procedura za saniranje korporacijskih diskova za skladištenje bri-• sanjem sa prepisivanjem (wiping), veriĮkaciju implementacije šifarskih sistema na disku/u mreži,• oporavak podataka sa pokvarenih HD i starih/zastarelih medija,• oporavak lozinke na legiƟmne zahteve,• utvrĜivanje skrivenih grešaka i• dizajn i arhitekturu IKT sistema koji obezbeĜuju uspostavljanje forenziēkih ka-• paciteta korporacije. Glavni problemi u procesu uspostavljanja forenziēkih funkcionalnosƟ u korporaciji su odreĜivanje osnovnih potreba/zahteva za digitalnog forenziēara/Ɵm forenziēara i nekih kljuēnih faktora za implementaciju uloge digitalnog forenziēara u organizaciji. Prirodno je da se uloga digitalnog forenziēara uspostavlja u korporacijskom Ɵmu za upravljanje kompjuterskim incidentom.
  • 43. 30 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ 2.2.1 Uspostavljanje Ɵma za upravljanje kompjuterskim incidentom Sa aspekta efekƟvnosƟ sistema zašƟte, korporacijski Ɵm za upravljanje kompjut- erskim incidentom u svim aspekƟma zašƟte informacija, ukljuēujuđi korporacijsku forenziēku istragu, treba da bude centralizovan za sve delove korporacije. Tim može biƟ uspostavljen od kompetentnih zaposlenih koji obavljaju redovne poslovne zadatke, a u Ɵmu rade po potrebi i u sluēaju glavnog kompjuterskog incidenta. Neki ili svi ēlanovi Ɵma mogu biƟ iznajmljeni, što može predstavljaƟ dodatnu ranjivost korporacije. Velike korporacije mogu imaƟ poseban Ɵm samo za digitalnu forenziēku istragu, akviziciju i analizu. Tipiēni Ɵm za upravljanje bezbednosnim kompjuterskim incidentom treba da ukljuēi sledeđe uloge/proĮle zaposlenih ili iznajmljenih specijalista: 1. Menadžer zašƟte informacija - CIO (Chief InformaƟon Oĸcer); 2. Administrator raēunarskog sistema/mreže; 3. Specijalista za upravljanje i kontrolu bezbednosnog rizika; 4. Kontrolor sistema kvaliteta; 5. Predstavnici drugih Ɵmova (za vanredne dogaĜaje, usaglašenost standarda i slika) 6. Digitalni forenziēar; 7. Pravnik organizacije; 8. Menadžer za upravljanje ljudskim resursima. Kljuēni nedostatak centralizovanog upravljanja kompjuterskim incidentom i siste- mom zašƟte u celini, može biƟ ēinjenica da se postepeno klasiēna paradigma savre- menih organizovanih malicioznih, hakerskih napada sve više pomera na centralizovane enƟtete za upravljanje zašƟtom informacija u korporaciji/ organizaciji. Veoma je korisno da korporacija generiše i implemenƟra PoliƟku digitalne forenziēke istrage sa saopštenjima koja omoguđavaju ovlašđenim zvaniēnim organima istrage da pristupe sistemu i izvrše akviziciju digitalnih podataka u fazi ukljuēivanja zvaniēnih or- gana istrage u korporacijsku forenziēku istragu. Saopštenja ove poliƟke treba da sadrže najmanje sledeđe zahteve za: zašƟtu osetljivih podataka,• smanjenje rizika kod pristupa (kontrolisaƟ i logovaƟ sve pristupe),• deĮnisano vreme zadržavanja informacija (e-mail poruka i dr.),• usklaĜivanje sa legalnim i regulatornim zahtevima,• odgovore na bezbednosne incidente,• forenziēki oporavak i istragu incidenta,• uspostavljanje forenziēkih resursa (kapaciteta) korporacije,• obuku i osposobljavanje forenziēara/Ɵma potrebnim znanjima i vešƟnama,• opremu forenziēke laboratorije i terenskih forenziēkih alata i• iznajmljivanje spoljnih partnera i eksperata u sluēaju potrebe.•
  • 44. 31M›ãʗʽÊà»› ÊÝÄÊò› ®ÝãÙƒ¦› »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ Uspeh uspostavljanja korporacijskog Ɵma za upravljanje kompjuterskim incidentom sa sopstvenim kapaciteƟma za korporacijsku digitalnu forenziēku istragu, u najveđoj meri zavisi od podrške menadžmenta korporacije. U prvom redu, potrebno je ubedi- Ɵ menadžment da je takav Ɵm potreban korporaciji i da može doneƟ vidljive korisƟ. Pažnju treba usmeriƟ na razvoj opšte spremnosƟ korporacije da upravlja kompleksnim kompjuterskim incidentom, analogno pripremi za proƟv požarnu zašƟtu. Sve razloge treba ilustrovaƟ sa najnovijim primerima štetnih posledica za brojne organizacije u svetu od raznih Ɵpova zloupotreba raēunara i kompjuterskog kriminala. Praksa zašƟte nesumnjivo potvrĜuje da je spremnost korporacija/organizacija da razviju i implemenƟ- raju adekvatne sisteme zašƟte informacija, proporcionalna koliēini akumuliranog straha menadžmenta od posledica koje su imale druge sliēne korporacije/organizacije8 . Dobro je ilustrovaƟ troškove jednog sluēaja suĜenja kompjuterskog kriminala i Ɵme oprav- daƟ troškove uspostavljanja forenziēkih kapaciteta korporacije. U ovom markenƟškom procesu neophodno je razvijaƟ svest o potrebi zašƟte i kod drugih grupa zaposlenih, ukljuēujuđi krajnje korisnike, i obezbediƟ opšte razumevanje i podršku cele organizaci- je. U prezentaciju treba ukljuēiƟ tok procesa uspostavljanja kapaciteta korporacijske digitalne forenziēke istrage, potrebnu logisƟēku i struēnu podršku i navesƟ postojeđe kompetentne, nacionalne digitalne forenziēke centre. Od posebnog znaēaja je uspostavljanje pouzdane, potpune i eĮkasne komunikacije izmeĜu zaposlenih i interventnog Ɵma i obrnuto. Korisno je odrediƟ odgovorna lica i navesƟ kontaktne informacije ēlanova Ɵma iz razliēiƟh delova IKT sistema i organizacije za potrebe sakupljanja digitalnih dokaza, kao i kontaktne informacije sa spoljnim sara- dnicima i konsultanƟma. Interventni Ɵm treba da deĮniše i objavi sve komunikacione kanale, ukljuēujuđi e-mail adresu, telefone, web lokaciju i dr. PoliƟka korporacijske digitalne forenziēke istrage treba da zahteva obaveznu obuku za sƟcanje razliēiƟh znanja i vešƟna iz oblasƟ zašƟte IKT sistema, upravljanja rizikom, upravljanja bezbednosnim incidentom i digitalne forenziēke istrage, akvizicije, oporav- ka podataka, analize i prezentacije digitalnih dokaza. Težište na obuci treba da bude na poznavanju metoda i procedura, razumevanju novih forenziēkih tehnika i alata. Cilj je da u korporacijskom Ɵmu za upravljanje kompjuterskim incidentom budu serƟĮkovani ēlanovi iz relevantnih oblasƟ, kao što su CISSP (CerƟĮed InformaƟon System Security Professionals) za zašƟtu IKT sistema ili na primer, EnCE (EnCase Examiner) – ovlašđeni forenziēar za ispiƟvanja sa EnCAse forenziēkim alatom i slika 2.2.2 Procedura odreĜivanja karaktera kompjuterskog incidenta StaƟsƟēki gledano proseēan kompjuterski incident najēešđe nije kriminalni akt. MeĜuƟm, u toku predistražnih i istražnih radnji treba verovaƟ indikacijama istrage, a ne staƟsƟēkim pokazateljima. Na bazi rezultata procesa odreĜivanja karaktera kompjut- erskog incidenta, ēak i površnog i preliminarnog uvida u posledice incidenta, vlasnik 8 Istraživanje kompanije ORACLE u toku 2008. godine.
  • 45. 32 IÝãÙƒ¦ƒ »ÊÃÖJçã›Ùݻʦ »Ù®Ã®Äƒ½ƒ sistema donosi odluku da li đe nastaviƟ istragu unutar organizacije sopstvenim kapac- iteƟma, iznajmiƟ spoljne saradnike – eksperte, sluēaj predaƟ zvaniēnim organima is- trage, podiđi optužbu i slika U svakom sluēaju korporacijske, kombinovane ili zvaniēne istrage karaktera kompjut- erskog incidenta, treba: NapraviƟ detaljan izveštaj o svim nalazima, dokumentovaƟ izveštaj i nalaze i• daƟ predlog/preporuku za dalji postupak; Dokazne materijale pažljivo markiraƟ obojenom samolepljivom nalepnicom /• trakom, sorƟraƟ u odvojene koverte sa detaljnim oznakama o sadržaju svake. Oznaka treba da ima mesta za potpis lica koje preuzima dokazni materijal u daljem postupku. Oznaku staviƟ preko strane koverte koja se lepi, tako da se pokaže da koverta nije otvarana; Kada se neki fajl memoriše kao digitalni dokaz, mora se zašƟƟƟ od izmene. Za• zašƟtu integriteta treba korisƟƟ standardni hash program (SHA-256, SHA-512 i dr.) koji daje jedinstven sažetak fajla. Svaka i najmanja promena u fajlu menja hash vrednost fajla. ZaƟm se sažetak fajla zajedno sa fajlom digitalnog dokaza šifruje javnim kljuēem asimetriēnog algoritma (raspoloživog na Internetu) i memoriše. Tako zašƟđen dokaz se kada zatreba dešifruje privatnim kljuēem (matemaƟēkim parom javnog kljuēa) i veriĮkuje se hash vrednost sa isƟmhash algoritmom. Ako je ova vrednost jednaka originalnoj vrednosƟ hash-a upravo dešifrovanog fajla sa digitalnim dokazom, onda nije bilo izmene i dokaz je pri- hvatljiv na sudu. Na sliēan naēin, integritet fajla sa digitalnim dokazom može se bezbedno skladišƟƟ i prenosiƟ primenom digitalnog serƟĮkata i digitalnog potpisa u uspostavljenom PKI sistemu; Dobro je u izveštaju pomenuƟ svaki pojedinaēni dokaz pod jedinstvenim• brojem evidencije na koverƟ, što olakšava kasnije snalaženje; Izveštaj treba poēeƟ sa kratkim sadržajem incidenta (• ExecuƟve Summary) u kojem se opisuje incident, metod istraživanja i generalne zakljuēke po redos- ledu izvedenih dokaza. U posebnom poglavlju detaljno opisaƟ svaki navedeni zakljuēak posebno ukazujuđi na ēvrste (neoborive) dokaze koji podržavaju ili osporavaju postavljenu hipotezu i zakljuēke; Vremenska evidencija je najbolji dokaz za zakljuēivanje o incidentu. Ako• se obezbedi dokaz o vremenskoj liniji upada u sistem, u svim log fajlovima mrežnih ureĜaja i napadnutog raēunara, onda je to ēvrst dokaz za sluēaj. Tre- ba imaƟ na umu da se vreme i datum lako menjaju, pa je potrebno ovaj dokaz podupreƟ sa drugim dokazima iz napadnutog raēunara; Najniži rezultat istrage mora biƟ dovoljan za odluku na nivou organizacije• - šta dalje uradiƟ sa istragom: obustaviƟ, nastaviƟ u organizaciji ili predaƟ zvaniēnim organima. Ta odluka najviše zavisi od prezentacije zakljuēaka i ma- terijalnih dokaza za svaki zakljuēak;