UNIVERZITET SINERGIJA

UNIVERZITET SINERGIJA

SAVREMENE INFORMACIONE TEHNOLOGIJE

MASTER STUDIJSKI PROGRAM

II PROJEKTNI ZADATAK

ISTRAGA KOMPJUTERSKOG KRIMINALADigitalna Forenzika:

prof. dr Gojko GruborStudijsko-istraivaki rad: prof. dr Gojko GruborStudijska praksa:

prof. dr Vladislav MikovicMentor: Kandidat:prof. dr Gojko Grubor eljko Tomi Br.indeksa:

608010/13 Bijeljina, 2015.Saetak

Kompjuterski kriminal predstavlja oblik krivinog djela nastalog usled koritenja internet tehnologija, koristei se metodama pri emu dolazi do naruavanja i povrede pojedinca , web servisa ili odredjenog informacionog sistema. Ovaj vid kriminal je takodje protivpravna povreda odredjenog sistema, pri emu se vri manipulacija raunarima, uredjajima, nanosei tetu rtvi.On je opti vid kriminala, nanosei ili ne stvara problem.Smatra se da u budunosti nee praviti razlika izmedju obinog i kompjuterskog kriminala.Kljune rijei: kompjuterski kriminal, istraga, raunarske mree, digitalni dokaz

Nauna oblast: Savremene informacione tehnologije

Ua nauna oblast: Digitalna forenzikaAbstract

Computer crime is a form of criminal offense arising due to the use of internet technology, using the methods whereby a distortion and violation of an individual, a web service or a specific information system. This type of crime is also unlawful violation of a particular system, whereby manipulate computers, devices, causing damage to the victim.

It is a general type of crime, causing or creating problem.Smatra that in the future will make the difference between ordinary and computer crime.

Keywords: computer crime investigations, computer networks, digital evidence

Scientific field: Modern information technology

Specific sci-field: Digital ForensicsSADRAJ

5UVOD

61.POJAM I KARAKTERISTIKE KOMPJUTERSKOG KRIMINALA

72.OBLICI KOMPJUTERSKOG KRIMINALA

82.1 RAUNARSKE KRAE I PREVARE

82.2 TERORIZAM I SABOTAA

93. UPADI U RAUNARSKE SISTEME

93.1 RAUNARSKI KRIMINAL PUTEM MREE

103.2PRODAJA I INVESTICIJA LAI

114.ILEGALNO PRESRETANJE KOMUNIKACIONIH KANALA

125.ISTRAGA KOMPJUTERSKOG KRIMINALA

125.1 ISTRANI PROCES

135.2 DIGITALNI DOKAZ

156. ALATI ZA PRIKUPLJANJE DIGITALNIH DOKAZA

166.1 STANDARDI, PRINCIPI I PROCEDURE

187. STANDARDNE OPERATIVNE PROCEDURE (SoP)

187.1POSTUPAK KOMPJUTERSKE ISTRAGE

197.2LANAC UVANJA I NADLENOSTI

208.PRIHVATLJIVOST DOKAZA

229.MJESTO ZLOINA

2310.TIM ZA ODGOVOR NA INCIDENT

2310.1 PROTOKOL MJESTA ZLOINA

2511.PREPOZNAVANJE I IDENTIFIKOVANJE DOKAZA

2511.1DOKUMENTOVANJE MJESTA ZLOINA

27ZAKLJUAK

28LITERATURA

UVOD

U proteklih par godina sa razvojem digitalne tehnologija kao i internet (globalna svjetska mrea) mjesto krivinog djela se seli sve vie u virtuelnu realnost. Zato se seli u virtuelnu realnost? Zato to se pronevjere novca kao i razne druge nelegalne radnje mogu lake izvriti i to neposredno tj. ne iz prvog lica ve preko kompijutera, odnosno nekog vida mree (interneta). Samim tim prua teu identifikaciju poinioca. Preko internet i raznih organizacija koje funkcioniu na internet tj. u virtuelnoj stvarnosti kao to su kockarnice, E-Gold, MoneyTransfer itd. javlja se mogunost pranja novca neposredno i vrlo efikasno. Pravne organizacije na svijetu imaju sve vie sluajeva koji su izvreni djelimino ili cjelokupno preko internet ili nekih drugih elektonskih medija. Potrebne su resursi i procedure da bi se efikasno locirali, pretraivali i ouvali svi tipovi elektronskih dokazi. Ovi dokazi variraju od slika djeije pornografije, pa do kriptovanih podataka koji se koriste za razne kriminalne aktivnosti. ak neke istrage koje nisu totalno elektronske prirode u nekim djelovima istrage imaju potrebu za analizom digitalnih podataka. Digitalna forenzika istraga je nova disciplina koja se bavi upravo otkrivanjem dogaaja, konfiskovanje i akvizicijom, analizom, ouvanjem i prezentovanjem digitalnih dokaza. Kao to se realni svijet preplie sa virtuelnim svijetom, tako se i forenzika istraga fizikog lica mjesta krivinog djela preplie sa forenzikom istragom digitalnog mjesta krivinog djela. (Georgijevi U. 2010:10)

1. POJAM I KARAKTERISTIKE KOMPJUTERSKOG KRIMINALAPredstavlja oblik kriminalnog ponasanja, kod koga se koriscenje kompjterske tehnologije i informacionih sistema ispoljava kao nacin izvrsenja krivicnog dela, ili se kompjuter upotrebljava kao sredstvo ili cilj izvrsenja, cime se ostvaruje neka u krivicno-pravnom smislu relevantna posledica. Kompjuterski kriminalitet je takodje protivpravna povreda imovine kod koje se racunarski podaci s predumisljajem menjaju (manipulacija racunara), razaraju (racunarska sabotaza), ili se koriste zajedno sa hardverom (kradja vremena).Kompjuteri i kompjuterska tehnologija se mogu zloupotrebljavati na razne nacine, a sam kriminalitet koji se realizuje pomocu kompjutera moze imati obliko bilo kog od tradicionalnih vidova kriminaliteta, ako sto su kradje, utaje, pronevere, dok se podaci koji se neovlasceno pribavljaju zloupotrebom informacionih sistema mogu na razne nacine koristiti za sticanje protivpravne koristi. Neovlaseno pribavljanje informacija predstavlja svojevrsnu kradju podataka sadranih u kompjuterskim sistemima, najcesce u cilju ostvarivanja protivpravne imovinske koristi.Tehnicke i tehnoloske mogucnosti za neovlasceno pribavljanje informacija su sa pojavom Interneta postale mnogostruko vece tako da mete mogu biti i vas licni PC ali i bilo koji povezani ili izolovani kompjuterski sistem.2. OBLICI KOMPJUTERSKOG KRIMINALAPojavni oblici kompjuterskog kriminaliteta su: protivpravno koriscenje uslugai neovlasceno pribavljanje informacija, kompjuterske kradje, kompjuterske prevare, kompjuterske sabotaei kompjuterski terorizamikriminal vezan zakompjuterske mreze. Protivpravno koriscenje usluga i neovlasceno pribavljanje informacija Protivpravno korienje usluga se sastoji u neovlascenoj upotrebi kompjutera ili njegovoj ovlascenoj upotrebi ali za ostvarivanje potreba nekog neovlascenog korisnika.Primjer neovlascene upotrebe kompjutera je kada se kompjuter koristi u bilo koje druge svrhe, osim onih koje predstavljaju deo njegove namene u informatickom sistemu. Primeri ovlascene upotreba kompjutera, ali za potrebe neovlascenoh korisnika, ili radi ostvarenja drugih nedopustenih ciljeva su npr., u slucaju kad zaposleni u jednoj firmi pribavi podatke za buduceg poslodavca ili kad raspolozivo kompjutersko vreme koristi za obavljanje nekih svojih poslova. J edan od najcescih oblika neovlascene upotrebe kompjutera sa kojim se susecu poslodavci sirom sveta jeste zloupotreba Interneta od strane zaposlenih. Tehnicke i tehnoloske mogucnosti za neovlasceno pribavljanje informacija su sa pojavom Interneta postale mnogostruko vece tako da mete mogu biti i vas licni PC ali i bilo koji povezani ili izolovani kompjuterski sistem.2.1 RAUNARSKE KRAE I PREVARE

Kraa zauzima visoko mesto u oblasti kompjuterskog kriminaliteta a u razmatranom kontekstu od posebnog je znaaja kraa identiteta. Ova vrsta kraa predstavlja posebno drutveno-opasnu radnju, jer pored ostalog, znaajno podriva poverenje u integritet komercijalnih transakcija i ugroava individualnu privatnost. Procena strunjaka su da e ova vrsta kraa rasti sa poveanjem elektronske trgovine. Snabdeveni individualnim personalnim informacijama, kradljivci identiteta mogu da otvore raune u bankama, obavljaju kupovinu, a u zemljama u kojima su automatizovane servisne usluge za gradjane, mogu da dobiju sertifikate o roenju, paso, kredit i sl., a sve to u ime osobe o ijim podacima se radi. Lanim identitetom kriminalac moe da dobije pozajmicu u banci, kupi auto, stan, ode na putovanje i sl., i na taj nain rtvu moe da optereti finansijski a u nekim sluajevima da joj napravi i kriminalni dosije. rtva u veini sluajeva i ne zna da se njen identitet "koristi" sve dok ne dou rauni za naplatu. Dakle i finansijska i "humana" cena krae za individualnu rtvu mogu biti veoma visoke, mada jedina krivica za mngo rtve moe biti to to su njihovi personalni podaci bili na nekom fajlu koji je ukraden ili su naivno davali informacije pogresnim ljudima.

2.2 TERORIZAM I SABOTAA

Kompjuterske sabotae se sastoje u unitenju ili oteenju kompjutera i drugih ureaja za obradu podataka u okviru kompjuterskih sistema, ili brisanju, mijenjanju, odnosno spreavanju korienja informacija sadranih u memoriji informatikih ureaja. Najei vidovi su oni koji tetno djeluju na odreene programe koji imaju funkciju uvanja podataka.

Teroristi u novije vrijeme sve vie naputaju klasine teroristike akte i prelaze na kompjuterski terorizam, koji je veoma efikasno sredstvo u rukama terorista jer im omoguava naine djelovanja o kojima ranije nisu ni sanjali. Do sada su teroristima nedostajali odgovarajui talenti i vjetine za raunare ali se u dananje vrijeme koriste veoma razvijenom tehnikom i tehnologijom. Stalno postavljaju nove web stranice na kojima propagiraju svoje ideje. Moe se rei da je kompjuterski terorizam u stalnom razvoju i da e se on sve vie javljati u budunosti.

3. UPADI U RAUNARSKE SISTEMEMada izraz "provaljivanje" asocira na primenu izvesne mehanike sile, radi ulaska u zatvorene prostore, poput vrenja klasinih provalnih kraa, ali kada je re o kompjuterskom kriminalitetu oznaava se jedno vrlo suptilno, elektronskim putem, izvedeno, naruavanje tajnosti, pojedinog kompjuterskog sistema, odnosno neovlaeni elektronski upad u centralni kompjuterski sistem i njegovu bazu podataka. Ovakva dela preteno vre hakeri, koji se preko svojih personalnih raunara ukljuuju u druge informativne sisteme, pri emu prvenstveno koriste Internet. Ovi uinioci spretno zaobilaze zatitne mehanizme a dela ne vre iz zlonamernih pobuda, ve nastoje da javno demonstriraju informatiku vetinu kojom raspolau ili da ukau na postojee slabosti u mehanizmu zatite kompjuterskih sistema. su na meti ovakvih uinilaca esto ba one kompjuterske mree, za koje se s pravom oekuje da su maksimalno zatiene od elektronskih provala kao sto su: vojne kompjuterske komunikacije, informatiki sistemi obavetajnih slubi, dravnih institucija.

3.1 RAUNARSKI KRIMINAL PUTEM MREEKriminal vezan za kompjuterske mree je oblik kriminalnog ponaanja kod koga je cyberspace okruenje u kome se kompjuterske mree pojavljuju u trostrukoj ulozi: kao sredstvo ili alat, cilj ili okruenje izvrenja krivinog dela.

Kompjuterske mree kao cilj napada napadaju se servisi, funkcije i sadraji koji se na mrei nalaze. Kradu se usluge i podaci, oteuju se ili unitavaju delovi ili cela mrea i kompjuterski sistemi, ili se ometaju funkcije njihovog rada.

Kompjuterske mree kao sredstvo ili alat- Danas moderni kriminalci koriste sve vie kompjuterske mree kao orua za realizaciju svojih namera.

Korienje ovog novog orua naroito je popularno kod deje pornografije, zloupotrebe intelektualne svojine ili online prodaje nedozvoljene robe (droga, ljudski organi, neveste..)

Kompjuterske mree kao okruenje u kome se napadi realizuju- Najee to okruenje slui za prikrivanje kriminalnih radnji, kao to to veoma veto uspevaju da urade pedofili, a ni drugi kriminalci nisu nita manje uspeni. Naravno postoje i druge uloge, kao sto je npr., korienje mree kao simbola zastraivanja, uplitanja, koje su nekad vie izraene kod kompjuterskog nego kod cyber kriminala. Bitno je da je cyber kriminalu neosporno priznato "svojstvo" kriminala kao "obliku ponaanja koji je protiv zakonit ili ce biti kriminaliozvan za kratko vreme".

3.2 PRODAJA I INVESTICIJA LAIKako elektronska trgovina ili e-trgovine postaje sve vie i vie popularna, primena digitalne tehnologije za lane kriminalce znai laku manipulaciju, manje trokove, vee mogunosti skrivanja i jednostavno vee mogunosti prevare. Korienje lanih telefona za prevaru, lanih naloga, lane prodaje, lane investicije su samo neki od naina sticanja dobiti i prodaju lai. Cyberspace sada obiluje irokim spektrom mogunosti investiranja, od tradicionalnih hartija od vrednosti, kao to je akcija i obveznica pa do vie egzotinih mogunosti kao to su uzgoj kokosa, prodaja turistikih aramana, posredovanje u trgovini nekretninama itd . Fraudsters2 sada imaju pristup milionima ljudi irom sveta, a trenutno ima minimalne cene.4. ILEGALNO PRESRETANJE KOMUNIKACIONIH KANALARazvoj u oblasti telekomunikacija, kao i prenos podataka preko mree ima za rezultat veu brzinu i kapacitet, ali i vee ranjivosti. Sada je lake nego ikada za neovlaena lica da dobiju pristup poverljivim informacijama. Elektromagnetni signal koje emituje raunar, sada lako mogu biti presretnuti i zloupotrebljeni. Da dodamo jo i to da postojei zakoni ne spreavaju praenje signala sa dislociranog, udaljenog raunara. Pod ovim okolnostima informacija je sve vie i vie ugroene i dostupna neovlaenim korisnicima.Zavisno od vrste uinjenog dela Kompjuterski kriminal moe biti :

1. Politiki

2. ekonomski

3. Kriminal u proizvodnji

4. Kriminal u distribuciji

5. Kriminal u logistici

6. Privatni(povreda privatnosti)

Metode za izvrenje:

1. Neovlaenog pristupa

2. E-pota bombardovanja

3. Date diddling

4. Salama napad

5. Krae Internet vreme

6. Logika bomba

7. Virus / crv napada

8. Trojanac napada

9. Denial of service napada

10. Distribuirano uskraivanje usluga napada

11. E-pota VarkaE-pota bombardovanja: Ovo zapravo znai slanje velikog broja e-mailova na rtve gde dovodi do toga da e-mail nalog korisnika odnosno, u ovom sluaju rtve pada (u sluaju pojedinanih) ili server (u sluaju da korporacija). Deadlining: Ova vrsta napada ukljuuje promenu na sirovim podacima pre nego to je obraeno sistem i ponovo ga menja posle obrade. Ovakav vid zloupotrebe podrazumeva instaliranje scripti u sirovom kodu koje imaju zadatak da kopiraju, izbriu, poalju, manipuliu gotovom podacima u zavrnoj fazi ili tek onda kada se proizvod ili usluga pusti na trite. Salama napad: Ovo se generalno koristi kod poinioca finansijskog kriminala. Ovde je Kljuno da se napravi mala promena, tako da e u jednom sluaju otii, proi nezapaeno. Na primer, radnik banke naplauje pet dinara iz svakog naloga klijenata. Mali broj kupaca e verovatno primetiti ove male promene, ali veina korisnika nee primetiti tako male transakcije a kriminalac e imati znaajnu zaradu.5. ISTRAGA KOMPJUTERSKOG KRIMINALADigitalna forenzika istraga se zasniva na principima digitalne forenzike nauke i podrazumeva upotrebu uobiajenih forenzikih tehnika, raunara i raznih programa za forenziku istragu. Kada se desi digitalni zloin, procedura prikupljanja dokaza se vri na

slian nain na koji se prikupljaju i klasini dokazi na nekom mestu zloina. Takoe se radi uviaj, digitalni forenziari izlaze na mesto zloina i pre svega fotografiu zateknuto stanje i piu izvetaje sa svim relevantnim informacijama koje se tiu tog zloina. Te relevantne informacije se sastoje iz lokacije na kojoj se zloin desio - tip raunara, njegovu dodatnu opremu I konfiguraciju, i iz spiska svih beinih i ianih veza izmeu medijuma na kojima se desio zloin.Ono to je veoma bitno jeste da se medijum ostavlja u stanju u kome je zateknut, ukoliko je re u ukljuenom raunaru on se ne sme nikako gasiti jer moe doi do oteenja digitalnih dokaza tj. do njihovog trajnog gubljenja ukoliko se nalaze u radnoj memoriji. Kada se nakon snimanja zateenog stanja pree na proces odnoenja medijuma sa mesta zloina potrebno je fotografisati monitor u zateenom stanju pa ga ukloniti. U proteklih par godina sa razvojem digitalne tehnologija kao i internet (globalna svjetska mrea) mjesto krivinog djela se seli sve vie u virtuelnu realnost. Zato se seli u virtuelnu realnost? Zato to se pronevjere novca kao i razne druge nelegalne radnje mogu lake izvriti i to neposredno tj. ne iz prvog lica ve preko kompijutera, odnosno nekog vida mree (interneta). Samim tim prua teu identifikaciju poinioca. Preko internet i raznih organizacija koje funkcioniu na internet tj. u virtuelnoj stvarnosti kao to su kockarnice, E-Gold, MoneyTransfer itd. javlja se mogunost pranja novca neposredno i vrlo efikasno. Pravne organizacije na svijetu imaju sve vie sluajeva koji su izvreni djelimino ili cjelokupno preko internet ili nekih drugih elektonskih medija. Potrebne su resursi i procedure da bi se efikasno locirali, pretraivali i ouvali svi tipovi elektronskih dokazi. Ovi dokazi variraju od slika djeije pornografije, pa do kriptovanih podataka koji se koriste za razne kriminalne aktivnosti.5.1 ISTRANI PROCES

Cilj bilo koje istrage je da se otkrije i prezentuje istina o nekom dogaaju. Istrani process je dio pravnog okvira, koji poinje tubom,a napreduje kroz rukovanje dokazima do jasnih i preciznih objanjenja injenica i tehnika u svjedoenju eksperata. Istrenirani, iskusni istraitelji e zapoeti istragu postavljajui sebi niz pitanja u cilju saznanja i odluka da li se zloin ili upad zaista dogodio. Odgovor na ova pitanja odredie da li e se potpuna istraga nastaviti ili da li su resursi upotrebljiviji za neke druge stvari (npr. kada velika koliina podataka nedostaje sa kompijutera ili se sumnja na uljeza, digitalni istaitelji treba da ustanove da li je teta povezana sa moguim grekama na disku ili sa upadom).Efikasnost istranog procesa u mnogome zavisi od objektivnosti istraitelja. Neki sadraji mogu da utiu na objektivno razmiljanje istraitelja kao i slinosti izmeu datog sluaja i nekog sluaja iz prolosti. Slinosti izmeu odreenih sluajeva mogu dovesti do preranog donoenja zakljuaka na osnovu djela pregledanih dokaza, to kasnije moe rezultirati odbijanjem odreenih dokaza na sudu kao i itavog sluaja, zbog toga treba svakom sluaju pristupiti kao unikatnom, iako je moda identian nekom prethodnom.5.2 DIGITALNI DOKAZ

Definicija pojma digitalni dokaz je jako mnogo. Jedna od definicija je: Digitalni kompjuterski dokaz ini gomila posrednih stvarnih dokaza, od kojih se ni jedan ne smije iskljuiti iz bilo kog razloga. Dokazi moraju biti potpuni, da se meusobno dopunjuju (da su isprepleteni) i da nemaju tzv. pukotina za donoenje zakljuaka, odnosno za utvrivanje vrstog dokaza.

Prema The Scientific Working Group on Digital Evidence (SWGDE) termin dokaz se upotrebljava za neto materijalno to e biti priznato od strane suda. Ono mora biti prikupljeno na legalan i zakonit nain. Neki objekat (podataka ili materijalna stvar) postaje dokazom jedino, kada u njega povjeruje slubena provedba zakona.Iako istraivanje raunalnog kriminala ima mnogo slinosti s ostalim tipovima velikih istraga, postoje dvije razlike. Prva od njih jeste to to se trae drugaiji tipovi dokaza (fiziki dokazi elektronikog odnosno elektromagnetskog tipa), a druga je razlika to se radi s elektronikom opremom.

1996.godine IOCE (International Organization on Computer Evidence) , NIST (The National Institute of Standards and Technology) i USDOJ (United States Department of Justice) propisali su ope procedure i principi koje se odnose na digitalne dokaze a u cilju medjunarodne razmjene ovih dokaza. Ustvreno je da se u postupku prikupljanja, analize i upravljanja sa digitalnim dokazima, potrebno pridravati odreenih pravila i procedura i to:

U radu sa digitalnim dokazima moraju se primjenjivati striktne procedure i principi

Digitalni dokaz nesmije da bude izmjenjen, prije, u toku uzimanja ili poslije uzimanja dokaza

Digitalnom dokazivanju moe da pristupa samo dobro obuena i struna osoba (sudski vjetak ili forenziar)

Svaka aktivnost mora biti dobro i detaljno dokumentirana

Danas postoje odrena pravila raunalne forenzike, a mogu se svesti pod nekoliko najbitniji stavki:

Princip zakonitotosti onoga to se radi; podrazumjeva da forenziar ili onaj tko prikuplja dokaze mora imati pismenu dozvolu za ono to radi, ukoliko se radi u sluajevima istrage koje vodi sud, tu je nalog suda, a ukoliko se radi o analizama u privatnim tvrtkama , onda se mora imati pismeno odobrenje nalogodavca (direktora uprave).

Tijekom cijele istrage se mora voditi rauna o lancu istrage, odnosno niti jedan digitalno dokaz ne smije iskljuiti neki drugi iz bilo kog razloga. Dokazi moraju biti potpuni i moraju dopunjavati jedan drugi.

Princip ouvanja digitalnog dokaza podrazumjeva da se originalni dokaz nesmije mjenjati niti po koju cijenu, forenzika analiza se uvijek radi na bit po bit kopiji. Isto podrazumjeva i fiziko osiguranje medija od unitenja.

Princip identifikacije potencijalnog dokaznog materijala podrazumjeva identifikacij medija (npr. Diskete, USB stick, CD, DVD i sl.)

Princip integriteta dokaznog materijala.

Istraga se mora voditi poznatim i priznatim alatima od strane suda, mora postojati dokumentacija za ove alate, da se zna kako i na koji nain rade.

Izvjetavanje podrazumjeva izradu zavrnog izvjetaja koji mora biti jasan , koncizan, bez pretjerane terminologije koju sud nemoe razumjeti.

6. ALATI ZA PRIKUPLJANJE DIGITALNIH DOKAZAAlti koji se koriste z prikupljnje digitlnih dokz su lti z smu detekciju podtk, z njihovu nlizu, proveru utentinosti itd. Neki od njih se mogu bespltno preuzeti s internet, dok su ostli komercijlnog tip. Postoji vie ktegorij lt z digitlnu forenziku. Mogu se podeliti prem ninu implementcije, prem oblsti upotrebe, prem tipu kod, prem pltformi n kojoj rdi ko i prem fzi u kojoj se koristi u okviru forenzike istrge.

Najpoznatiji alati za analizu prikupljenih podataka su :

1. Forensic ToolKit (FTK)

2. EnCase (slika br.3)

Slika 1 EnCase forenziki alat3. Expert Witness

Najpoznatiji alati za kloniranje (dupliciranje) bit po bit:

1. Norton Ghost

2. ByteBack

3. EnCase and FastBlock

Najpoznatiji alati za provjeru autentinosti:

1. Hash

2. md5sum

3. Hashkeeper

Postoje i posebne, specijalizirane verzije tzv. live CD-a, koji omoguavaju podizanje (boot) raunara sa ovih CD-ova.Nakon toga se specijalnog okruenja vri pokretanje specijalistikih alata za forenziku.

Tipini primjeru ovoga software-a su Knopix - koji je posebna verzija distribucije LINUX-a, ,te BackTrack2 distribucija Linuxa namjenjena za penetracijsko testiranje , koje moemo vidjeti na slikama 3 i 4.

Jedan od kvalitetnih alata dananjice je svakako HELIX , fime E-fense.

6.1 STANDARDI, PRINCIPI I PROCEDUREGlavni razlog razvoja standarda i procedura je bio problem sa upravljanjem digitalnim dokazima. Iz pespektive sprovoenja zakona zbog mogunosti trans jurisdikctije poinilac moe biti priveden u jednom pravnom sistemu, dok digitalni dokazi za uspeno krivino gonjenje mogu biti u drugoj dravi. Da bi ti dokazi bili prihvatljivi za sud drave u kojoj se nalaze dokazi, moraju se potovati odreeni standardi i procedure. U martu 1998. godine, IOCE je odluio da formulie meunarodne principe za postupke koji se odnose na digitalne dokaze, kako bi se obezbedila usklaenost metoda i prakse meu narodima i garantovala mogunost korienja digitalnih dokaza prikupljenih od strane jedne drave u sudu druge drave. Da bi se digitalni dokazi to efikasnije razmenjivali, glavni principi moraju da:1. budu konzistentni sa pravosudnim sistemima u svakoj dravi,

2. koriste uobiajen i razumljiv jezik,

3. imaju trajnu vrednost,

4. budu meunarodno priznati i prihvatljivi,

5. ulivaju poverenje i tite integritet digitalnih dokaza,

6. budu primenjivi na sve digitalne dokaze,

7. budu primenjivi na pojedinca, zvanine agencije i najvii nacionalni nivo.

Nakon meunarodne konferencije o haj-tek kriminalu i forenzici u Londonu, u oktobru 1999. godine, IOCE je u martu 2000. godine predstavila prvi izvetaj podgrupi za visokotehnoloki kriminal pri G8 (The High Tech Crime Sub-Group of the G-8) u kome predlae niz definicija i principa. Nakon pregleda od strane strunjaka podgrupe za visokotehnoloki kriminal pri G8, usvojeno je nekoliko preporuka. Preporukama se svaka drava lanica ohrabruje da razmotri sledee principe prilikom uspostavljanja procedure za prikupljanje, uvanje i upotrebu digitalnih dokaza, u skladu sa svojim nacionalnim zakonom i telima za standardizaciju. Dravame se preporuuje i da budu svesne potencijalnih razlika meu zakonodavstvima prilikom prikupljanja dokaza na zahtev druge drave. IOCE treba da podnese ove principe na pregled drugim nacionalnim, regionalnim i meunarodnim organima i organizacijama, odgovornim za unapreenje procedura, koje su u vezi sa digitalnim dokazima. IOCE treba sarauju sa gore pomenutim telima i da na osnovu dobre prakse razvije praktini vodi za prikupljanje, uvanje i upotrebu digitalnih dokaza, koji obuhvata postojee izvore digitalnih dokaza. Podgrupa za visokotehnoloki kriminal treba redovno da nadgleda rad IOCE.

7. STANDARDNE OPERATIVNE PROCEDURE (SoP)Da bi se osigurala bezbedna kompjuterska istraga, odnosno da bi digitalni dokazi bili uspeno prikupljeni, sauvani, ispitani i preneseni na nain koji e obezbediti autentinost i integritet dokaza za potrebe suda, organizacije moraju da uspostave i odravaju efikasni sistemi kvaliteta. Ovi sistemi trebalo bi da koriste standardne opertivne procedure (SOP). Standardne opertivne procedure su jedinstveni dokumenti koji opisuju metode i postupke koje treba sprovoditi tokom obavljanja forenzike analize u cilju obezbeenja to boljeg kvaliteta. Ove procedure treba da dokumentuju sve zadatke tokom kompjuterske istrage, kao i druge iroko prihvaene procedure, opremu i materijale. Forma SOP treba da obuhvati sledee stavke: naslov, namenu, spisak opreme i materijala, standarda i kontrola, definicije i skraenice koje se obino ne koriste, opis elemenata kalibracija i pripremne korake, ogranienja vezana za opremu, softver i proceduru, spisak koraka koji se koriste u obavljanju zadataka, reference i ostale informacije. 7.1 POSTUPAK KOMPJUTERSKE ISTRAGE

Postoji veliki broj modela, metodologija i okvira kompjuterske istrage. Metodologija istraivanja ukljuuje prakse, procedure i tehnika koje se koriste za prikupljanje, pohranjivanje, analiziranje i prezentovanje informacija i dokaza do kojih se dolo u postupku kompjuterske forenzike. Ovaj postupak se razlikuje od sluaja do sluaja i zavisi od tipa softvera i opreme koja se koristi. U najveem broju istraga koriste se tri koraka: prikupljanje dokaza, provera autentinosti dokaza, i analiza dokaza. Ni u jednoj od ovih faza, ni pod bilo kojim uslovima, ne sme da doe do promene ili oteenja dokaza. Prvi korak prikupljanja podrazumeva proces prikupljanja podataka i informacija iz hard diskova, RAM memorije i sistemskih log fajlova. Pored toga, u ovom koraku je obavezno napraviti kopiju svih diskova i medija, jer se original uva za potrebu suda. Bitno je napomenuti da se dokumentuje svaki korak tokom prkupljanja dokaza.Provera autentinosti podrazumeva proces u kome se dokazuje da prezentovani materijal odgovara dokazima koji su prikupljeni tokom istrage. Da bi dokazni materijal bio koristan, mora se pokazati da je dokaz koji se prezentuje na sudu identian dokazu koji je prikupljen na kompjuteru koji je mesto zloina, odnosno da su prikupljeni podaci identini onima sa navedenog kompjutera. Prilikom prikupljanja, mora se obezbediti da dokazi ne budu uniteni ili menjani. Bilo kakvo nepravilno rukovanje sa dokaznim materijalom moe dovesti do toga da sud odbaci dokaze zbog neprihvatljivosti. Proces analize je postupak utvrivanja injenica na razliitim digitalnim medijima primenom razliitih metoda otkrivanja, ispitivanja i procenjivanja prikupljenih informacija i podataka za potrebe sudskog dokazivanja.

Svi modeli istraiteljima treba da obezbede:

2. Pouzdanost,

4. Integritet,

6. Dokumentovanost.7.2 LANAC UVANJA I NADLENOSTI

Tokom prikupljanja digitalnih dokaza dva vana pitanja su autentinost i integritet dokaza. Tanije, treba da pokaemo da se prikupljeni dokazi tokom transporta nisu izmenili. Da bi smo ovo mogli pokazati trebalo bi da znamo odgovor na sledea pitanja (5Ws and 1H):

1. ta su digitalni dokazi?

2. Ko je dolazio u dodir sa dokazima?

3. Gde su dokazi prikupljeni?

4. Zato su ba ti dokazi prikupljeni?

5. Kad se vrilo istraivanje, pristup i transport dokaza?

6. Kako su digitalni dokazi koriteni?

Termin "lanac uvanja" (chain of custody) odnosi se na kontinuitet i prihvatljivost dokaza, od momenta kada su prikupljeni, do momenta kada su prezentovani u sudskom postupku. On podrazumeva legalno pravo jedne osobe da u nekom odreenom momentu poseduje, rukuje ili transportuje dokazni materijal. Prekid lanca uvanja navodi na sumnju da je dokaz falsifikovan ili zamenjen. Kako se radi o digitalnim dokazima, stalno prisustvo jedne osobe tokom forenzike analize nije mogue, pa se u te svrhe izdaje potvrda od strane labaratorije od momenta kad su dokazi primljeni do momenta isporuke rezultata analize. 8. PRIHVATLJIVOST DOKAZAKompjuterski kriminal je uneo veliki problem u oblast sudskog vetaenja i svedoenja. Pravilo klasinog svedoenja nalae da svedok moe svedoiti samo ako je oevidac, odnosno samo o onome to je lino iskusio (uo, video, ili zna), a ne iz druge ruke, to se smatra posrednim dokazom, poznat kao rekla kazala. Problem je upravo u tome to se kod raunara sve moe posmatrati kao rekla kazala dokaz, jer se nita direktno vezano za dogaaj u raunaru ne vidi i sve se lako moe izmeniti, otetiti ili izbrisati. To praktino znai da je samo osoba koja je izvrila krivino delo oevidac, odnosno neposredni svedok, i ima direktna saznanja o dogaaju. Prihvatljivi su samo oni raunarski podaci koji su pravilno prikupljeni, imaju pravnu osnovu i koji zadovoljavaju specifine kriterijume. Najea greka koja spreava da digitalni dokazi budu prihvatljivi od strane sudova, je da su ti dokazi dobijeni bez autorizacije, odnosno naloga za pretres i zaplenu dokaza. Ukoliko istraitelji odlue da izvre pretres bez naloga, taj pretres mora pripadati nekom od izuzetaka da bi se njegovi rezultati prihvatili na sudu. Ti izuzeci su sledei: 1. dobrovoljni pristanak osumnjienog,

2. mogunost fizikog unitavanja dokaza,

3. inkriminiui sadraj je oevidan,

4. prilikom legalnog liavanja slobode.

Da bi dokaz bio prihvatljiv od strane suda, potrebno je da ispunjava odreene uslove. Tako, dokaz treba da bude:

Prihvatljiv: Dokaz mora da potuje odreena pravna pravila pre nego to se prezentuje na sudu.

Autentian: Dokazni materijal mora da se povee sa incidentom, tako to e se pokazati da su dokazi relevantni za dati incident.

Kompletan: Dokaz mora da ispria celu priu, a ne samo jednu perspektivu. Nije samo potrebno da se prikupe dokazi koji dokazuju akcije napadaa, nego i dokazi koji mogu da dokau njegovu nevinost.

Pouzdan: Ne sme postojati nita to bi izazvalo sumnju u autentinost i istinitost dokaza tokom prikupljanja i naknadnog rukovanja.

Uverljiv i razumljiv: Dokaz mora da bude lako razumljiv i uverljiv za sud.

Preduslov da dokaz bude prihvaen od strane suda je da tuilac dokae njegovu autentinost. To znai da porota moe proglasiti nevaecim dokaz ukoliko tuilac ne

dokae autentinost dokaza na samom suenju, bez obzira na to to je dokaz prikupljen i analiziran po svim propisima.U dokaznom postupku klasinog kriminala, najbolji dokaz je direktni odnosno originalan dokaz. Kako je u kompjuterskom kriminalu veoma lako napraviti identine kopije dokaznog materijala, pravilo najboljeg dokaza u ovom smislu odnosi se na to da treba posedovati orginale rukopisa, tonskog snimka ili fotografije, da bi se dokazala autentinost ovih dokumenata. To znai da ukoliko se prezentovani dokazni materijal u svom izvornom obliku moe pojaviti u smislu osporavanja autentinosti, pouzdanosti ili preciznosti dokaznog materijala, onda treba prezentovati originalni materijal. Dananje tehnologije omoguavaju kreiranje kopije digitalnih dokaza identinih originalu, pa je upotreba kopije u tom smislu prihvatljiva iako postoji original. U praksi se upravo preferira prezentovanje kopije da bi se otklonile sve sumnje da je dolo do izmene originalnog dokaza. Direktni dokazi su injenice, a posredni su svi dokazi koji se prikupe analizom samog softvera, raunara i/ili raunarske mree i potencijalno mogu ukazati na injenice. Iako digitalni dokazi ukazuju samo na odreene korisnike aktivnosti koje se obavljaju na kompjuteru korisnika ili mrei, posredni dokazi mogu biti podjednako znaajni u utvrivanju neke injenice, kao i direktni dokazi. U tom smislu, sposobnost forenzikog analitiara da prikupi to vie posrednih dokaza kako bi se izgradio vrst, neoboriv dokaz. Bilo kakvu zloupotrebu informacionog sistema ili njegove sigurnosti mogue je dokazati jedino pomou digitalnih dokaza.

Kako se tehnike i alati za izvoenje forenzke anliza generacijski menjaju, esto su podvrgnuti proceni naunika. Zbog ubeivake sposobnosti nauke, sudovi irom Sjedinjenih Drava oprezni su kada je u pitanju verifikacioni proces dokaza pre prihvatanja rezultata tog procesa. Ukoliko je proces analize doveden u pitanje, to e znaajno uticati na autentinost ili teinu dokaza, u zavisnosti od situacije. U Sjedinjenim Amerikim Dravama nauni dokaz se ocenjuje pomou etiri kriterijuma razvijenih u Daubert principima.

9. MJESTO ZLOINAKao i u klasinom kriminalu, mesto zloina je sastavni dio kompjuterskog kriminala. Mesto zloina je bilo koja fizika lokacija na kojoj se zloin dogodio ili za koju se pretpostavlja da se zloin dogodio. Poto se u kompjuterskom kriminalu kompjuter koristi kao sredstvo ili kao cilj izvrenja, moemo rei da postoji primarno i sekundarno mesto zloina. Primarno mesto zloina je orginalna lokacija na kojoj se kriminal ili incident dogodio, odnosno mesto odakle su napadi izvreni. Sekundarno mesto zloina je bilo koja druga lokacija na kojoj se kriminal ili incident dogodio, odnosno lokacija na kojoj se nalaze dodatni dokazi kriminalnih aktivnosti izvan primarnog mesta zloina.

Obino se tokom istraivanja mesta zloina uesnici pojavljuju kroz tri uloge:

1. First responder,

2. Istraitelj,

3. Tehniar mesta zloina.

First responder je prva autorizovana osoba koja je dola na mesto zloina, odnosno koja je uoila i/ili reagovala na incident. To je obino administrator sistema, mree ili slubenik Ministarstva unutranjih poslova. Njegova osnovna zaduenja su da:

Prepoznavanje i obezbeenje mesta zloina,

uvanje osetljivih dokaza.

Istraitelj je obino kriminalistika sluba ili lan tima za odgovor na incident (IRT). Njihov zadatak je da:

Uspostavi lanac komandovanja,

Vri pretragu mesta zloina,

Odrava integritet dokaza.

Tehniari mesta zloina su osobe koje su obuene da vre kompjutersku forenziku. Oni treba da:

uvaju osetljive dokaze i kreiraju duplikate diskova,

Vre iskljuenje sistema ili kompjutera i pripremu za transport,

Oznaavaju i evidentiraju dokaze, Pakupljaju i transportuju dokaze, Procesuiraju dokaze.10. TIM ZA ODGOVOR NA INCIDENTTim za odgovor na incident (IRT) ine osobe koje su trenirane i pripremljene da prepoznaju i momentalno reaguju na bilo kakav sigurnosni incident. Formira se od strane vlade, univerziteta i drugih institucija. IRT ine: lider koji je odgovoran za svakodnevne aktivnosti tima, te manipulatori incidentom (Incident handlers) koji nadgledaju ureaje, pregledaju podatke vezane za incidente, uporeuju dogaaje i obezbeuju neophodne odgovore. Potreban je i administrator baze podataka odgovoran za njihovo uvanje i obradu, kao i pravni savetnik koji je zaduen za voenje tima u skladu sa zakonom i obezbeduje savete vezane za konkretne incidente. IRT je odgovoran za saniranje tete i vraanje sistema u normalno stanje. Ovo ukljuuje oznaavanje mesta incidenta, obavetavanje odgovarajuih organa, i vraanje bazine mrene opreme u prvobitno stanje. Imajui ovo u vidu, tim bi trebalo da bude sastavljen od:

IT osoblja zaduenog za sigurnost,

Nekog ko e se baviti komunikacijom izmeu nadreenih i zaposlenih,

Nekog ko e se baviti komunikacijom sa prodavcima, poslovnim partnerima i medijima,

Internih programera,

Administratora baze podataka.

10. 1 PROTOKOL MJESTA ZLOINA

U maju 1998. godine Nacionalni institut pravde Sjedinjenih Amerikih Drava (NIJ) formirao je Tehniku radnu grupu za istraivanje elektronskog mesta zloina (TWGECSI). Njen zadatak je bio da utvrdi, definie i uspostavi osnovne kriterijume za pomo agencijama koje se bave elektronskim istraivanjima i gonjenjima. U januaru 1999. godine, u Nacionalnom Institutu za standarde i tehnologiju (NIST) u Gaithersburgu, savezna drava Merilend, odran je sastanak na kome je utvreno da je obim materije isuvie veliki za predstavljanje u jednom vodiu. Iz tog razloga oni su razvili plan za nekoliko vodia. Istraivanje mesta zloina je izabrano kao prva tema.Jedinstveni vodi, koji je sadrao sve navedene oblasti, zavren je 2000. godine. U ovom vodiu se navodi da rukovanje digitalnim dokazima na mestu zloina obuhvata sledee faze:

1. Prepoznavanje i identifikovanje digitalnih dokaza;

2. Obezbeivanje i procena mesta zloina;

Bitno je napomenuti da je prethodno neophodan legalni nalog za pretragu i zaplenu sumnjivih dokaza sa mesta zloina. Pre nego to se pone sa istragom potrebno je pripremiti neophodnu opremu koja e biti koriena tokom ovih faza. Osnovna oprema koje istrano odeljenje mora da poseduje sadri: kameru (foto-aprat i video kameru), rokovnik, blok za skiciranje, marker, formular za dokaze, i traku za mesto zloina.

Alati za dokumentaciju:

oznake za kablove vodootporni markeri u boji samolepljivi listii

.

Alati za demontiranje i uklanjanje:

razliiti tipovi odvijaa

razliiti kljuevi za odvrtanje vijaka

kleta sa iljatim vrhovima (picangle)

mala pinceta

specijalizovani odvijai (odreenog proizvoaa, na primer, Compak, Macintosh)

standardna kleta

krstasta kleta

makaze za seenje ice.

Pakovanje i transport opreme:

antistatik torbe

antistatik pucketava folija (folija sa mehuriima)

kopa za povezivanje i grupisanje elektronskih kablova

kese za prikupljanje dokaza

traka za oznaavanje dokaza

pri pakovanju materijala izbegavati materijale koji mogu da proizvedu statini elektricitet, kao to je na primer stiropor

traka za pakovanje

nepromoive kutije razliitih veliina

11. PREPOZNAVANJE I IDENTIFIKOVANJE DOKAZAPrvenstvena preokupacija first respondera bi trebalo da bude obezbeivanje svoje sigurnosti i sigurnosti svih osoba i dokaza koji se nalaze na mestu sloina. Sve radnje i aktivnosti koje su sprovedene na mestu zloina trebalo bi da budu u skladu sa politikom odeljenja, kao i sa dravnim i lokalnim zakonima. Nakon obezbeenja mesta zloina i svih osoba na mestu, first responder bi trebalo vizuelno da identifikuje sve potencijalne dokaze i da obezbedi da integritet i digitalnih i tradicionalnih dokaza bude nepovreen. Digitalni dokazi na raunaru i drugim elektronskim ureajima mogu se lako promeniti, izbrisati ili unititi. Iz tog razloga first responder treba to pre da dokumentuje, fotografie i zatiti digitalne dokaze na mestu zloina. Nakon to je zatitio i procenio mesto zloina, on treba da:

Prati politiku odeljnja za zatitu mesta zloina;

Odmah obezbedi sve elektronske ureaje, ukljuujui i line i prenosive ureaje;

Da se uveri da ni jedna neovlaena osoba nema pristup bilo kom elektronskih ureaja na mestu zloina;

Da ne prihvata ponude za tehniku pomo od strane neovlaenog lica;

Udalji sva lica od mesta zloina, ili od neposrednog podruja iz kojeg se dokazi prikupljaju;

Da se uveri da je stanje elektronskih ureaja nepromenjeno;

Ostavi raunar ili elektronski ureaj iskljuen, ukoliko je ve iskljuen.Komponente kao to su tastatura, mi, prenosivi mediji za skladitenje i slino, mogu da sadre osetljive dokaze, kao to su otisci prstiju, DNK, ili drugi materijalni dokazi koje bi trebalo sauvati.11.1 DOKUMENTOVANJE MJESTA ZLOINADokumentovanje mesta zloina obezbeuje beleke, koje e se kasnije koristiti za istraivanje. Veoma je vano da se zabelei lokacija mesta zloina, kao i samo mesto zloina; status napajanja, stanje kompjutera, medijuma za skladitenje, beinih mrenih ureaja, mobilnih i pametnih telefona, PDA, i drugih ureaja za skladitenje podataka; kao i stanje pristupa Internetu i mrei, i drugih elektronskih ureaja. First responder bi trebalo da ima na umu da svi digitalni dokazi ne moraju biti smeteni u neposrednoj blizini kompjutera ili drugih ureaja.Ovlaena lica e moda morati da pomere kompjuter ili drugi elektronski ureaj da bi pronali njegov serijski broj ili neki drugi identifikator. Premetanje kompjutera ili drugog elektronskog ureaja dok je ukljuen, moe da oteti digitalne dokaze koje on sadri. Kompjuteri i drugi elektronski ureaji ne bi smeli da se pomeraju dok se ne iskljue.

Prvobitna dokumentacija mesta zloina bi trebalo da sadri detaljan video i fotografski zapis, kao i beleke i skice koje e da poslue kao pomo za kasniju rekonstrukciju mesta zloina. Sve radnje i procesi na displeju moraju biti u potpunosti dokumentovani. Preciznije, first responder u prvobitnoj dokumentaciji mesta zloina treba da:

Dokumentuje fizike predmete na mestu zloina, kao to je pozicija mia u odnosu na lokaciju druge komponente (npr. ukoliko je mi sa leve strane kompjutera, to moe da ukae da je korisnik levoruk);

Dokumentuje stanje i poziciju kompjutera, ukljuujui status napajanja (da li je upaljen, ugaen ili stanju hibernacije);

Identifikuje i dokumentuje elektronske komponente povezane sa mestom zloina, koje nee biti prikupljene;

Opie celo mesto zloina, kao i da to potkrepi odgovarajuim fotografijama. Ukoliko je mogue, cela soba bi trebalo da bude snimljena, sa pokrivenou od 360 stepeni;

Fotografie frontalnu stranu kompjutera, kao to je ekran monitora ili neke druge komponente.Takoe treba zapisati ta se pojavilo na ekranu monitora;

Dodatna dokumentacija sitema e se izvoditi u fazi prikupljanja.

ZAKLJUAK

Velik vein zloin koji se odvijju uivo mogu se initi i putem runr ili internet. Elektronski dokz im sve vei znj i zbog tog se s njim mor postupti vrlo pljivo. esto se prikupljnje i nliz tih dokz ne moe obviti pomou jednog lt ve kombincijom vie njih. Svki od lt je nmenjen jednoj ili vie fz istrge. esto su digitlni trgovi oteeni, pod ztitom ili izgubljeni ili izbrisni, zbog tog se morju koristiti rzliiti lti. Glvni nedosttk svih lt je to to je velik vein njih licencirn i cene licenci su veom visoke, to nrvno zvisi od tog kkve su nmene tog progrm i koliko mogunosti pruju i d li je mogue dokupljivti njegove dodtke.

LITERATURA1. 13th INTERPOL Forensic Science Symposium, Lyon, France, 16-19.10.2001.2. Babi V., Kompjuterski kriminal, RABIC, Sarajevo, 2009.

3. Casey E., Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, Second Edition, Academic Press, 2004.

4. Eoghan Casey. (2004). Digital Evidence and Computer Crime Second edition. Academic Press.

5. Eoghan Casey and Benjamin Turnbull. (2011). Digital Evidence and Computer Crime Third edition. Elsevier Inc.

6. John Sammons. (2012). The Basics of Digital Forensics. 225 Wyman Street, Waltham, MA 02451, USA.7. Zona Kosti, Gojko Grubor. (2008). Alati za digitalnu forenziku istragu, Univerzitet Singidunum, Fakultet za poslovnu informatiku. Beograd.

8. Digital Evidence: Standards and Principles. (1996). http://www.justice.gov 25.04.2013

9. Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations (2002) http://cyber.law.harvard.edu 25.04.1013

IOCE Princips & Definitions, IOCE 2. Conference, 7. 10. 1999., Marriott Hotel, London

HYPERLINK "http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm" http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm

M.Baa., Uvod u ranarski kriminal, FOI Varadin, 2004

SOPs - Standard Operating Procedures

Babi V., Kompjuterski kriminal, RABIC, Sarajevo, 2009, str. 300-302

5Ws and 1H- What, Who, Where, Why, When and How

Dostupno na Internet adresi: HYPERLINK "http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-nadleznost.htm" http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-nadleznost.htm, poseeno 17.10.2010.

Dostupno na Internet adresi: HYPERLINK "http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-svet.htm" http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-svet.htm, poseeno 17.10.2010.

Schweitzer D., Incident Response: Computer Forensics Toolkit, Wiley Publishing Inc., Indianapolis, 2003, str. 140

Daubert principi su formulisani presudom u sluaju Daubert protiv Merrell Dow Pharmaceuticals, Inc., 1993. godine. Prema ovim principima, sudija prihvata digitalni dokaz na osnovu njegove relevantnosti, pouzdanosti i poverljivosti predloenih naunih metoda, teknika akvizicije i analize, i prezentacije digitalnih dokaza na sudu, i to za svaki konkretan sluaj. Sud odluuje da li je svedoenje IT vetaka bilo od pomoi za utvrivanje odluujuih injenica i istine.

Upravljanje razvojem informacionih sistema: Cyber forenzika, mr Drakuli R.

Casey E., Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, Second Edition, Academic Press, 2004, str. 671, 672

IRT - Incident Response Team

NIJ - National Institute of Justice

TWGECSI - Technical Working Group for Electronic Crime Scene Investigation

NIST National Institute of Standards and Technology

Electronic Crime Scene Investigation: An On-the-Scene Reference for First Responders, U.S. Department of Justice Office of Justice Programs, 2001, str. 9,10