Istraga Kompjuterskog Kriminala

8/20/2019 Istraga Kompjuterskog Kriminala

1/305


2/305

UNIVERZITET SINGIDUNUM

Prof. dr Milan MilosavljeviDoc. dr Gojko Grubor

ISTRAGA KOMPJUTERSKOG

KRIMINALA

MŠ - HŠ

Beograd,


3/305

ISTRAGA KOMPJUTERSKOG KRIMINALA

MŠ-HŠ

Autori:

Prof. dr Milan MilosavljeviDoc. dr Gojko Grubor

Recenzen:

Prof. dr Milovan Staniši

Prof. dr Branko Kovaevi

Izdava:

UNIVERZITET SINGIDUNUMBeograd, Danijelova 32www.singidunum.ac.rs

Za izdavaa:

Prof. dr Milovan Staniši

Tehnika obrada:

Novak Njeguš

Dizajn korica:

Milan Nikoli

Godina izdanja:

2009.

Tiraž:

300 primeraka

Štampa:

UGURA print, Beograd

www.cugura.rs

ISBN: 978-86-7912-


4/305

IIISŽJ

SADRŽAJ

I. METODOLOKE OSNOVE ISTRAGE

KOMPJUTERSKOG KRIMINALA

UVOD 3

1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGEKOMPJUTERSKOG KRIMINALA 6

1.1 KRATAK PREGLED RAZVOA DIGITALNE FORENZIKE ISTRAGEKOMPUTERSKOG KRIMINALA I ANALIZE DIGITALNIH DOKAZA 8

1.2 STANDARDIZACIA PROCEDURA DIGITALNE FORENZIKE ISTRAGEkompjuterskog kriminla 101.2.1 Denicije kljunih termina digitalne forenzike istrage 10

1.2.2 Principi upravljanja digitalnim dokazima 111.2.3 Struktura standardne operavne procedure 121.2.4 Standardi i kriterijumi digitalne forenzike istrage 13

1.2.4.1 Standardi i kriterijumi 1.1 131.2.4.2 Standardi i kriterijumi 1.2 131.2.4.3 Standardi i kriterijumi 1.3 131.2.4.4 Standardi i kriterijumi 1.4 141.2.4.5 Standardi i kriterijumi 1.5 141.2.4.6 Standardi i kriterijumi 1.6 14

1.2.4.7 Standardi i kriterijumi 1.7 151.2.4.8 Standard prihvatljivos procedure 15

1.2.5 Standardizacija procedure privremenog oduzimanja raunara kao dokaznog materijala 151.2.6 Procedura za obezbeivanje kopija dokaza 171.2.7 Standardna procedura naunog karaktera digitalnog dokaza 181.2.8 Standardna procedura tesranja forenzikih alata 191.2.9 Legalni zahtevi za digitalne dokaze 211.2.10 Dostupnost standardnih procedura i alata 21

1.2.11 Tela za akreditaciju standarda digitalnih forenzikih laboratorija 22 REZIME 23 PITANA ZA PONAVLANE 24

2. ISTRAGA KOMPJUTERSKOG KRIMINALA

2.1 ZVANINA ISTRAGA KOMPUTERSKOG KRIMINALA 252.2 KORPORACISKA DIGITALNA FORENZIKA ISTRAGA 27

2.2.1 Uspostavljanje ma za upravljanje kompjuterskim incidentom 30

2.2.2 Procedura odreivanja karaktera kompjuterskog incidenta 312.2.3 Model troškova korporacijske forenzike istrage 33


5/305

IV I J

2.3 PROCES KORPORACISKE ISTRAGE 372.4 ISTRAGA AKTIVNOG INCIDENTA STUDIA SLUAA 42

2.4.1 Scenario u kojem je napada na mreži 422.4.1.1 Sluaj direktnog napada 432.4.1.2 Sluaj napada preko telefonske centrale 44

2.4.1.3 Mrežne tehnike za postavljanja zamke i praenje traga napadaa 442.5 TIM ZA ISTRAGU KOMPUTERSKOG KRIMINALA 47

2.5.1 Interventni m za korporacijsku istragu kompjuterskog incidenta 472.6 REZULTATI KORPORACISKE ISTRAGE KOMPUTERSKOG INCIDENTNA 48REZIME 50PITANA ZA PONAVLANE 51

3. FUNKCIONALNI MODELI DIGITALNE FORENZIKE ISTRAGE 52

3.1 MODEL ISTRAGE FIZIKOG MESTA KRIVINOG DELA 523.2 MODEL ZVANINE ISTRAGE DIGITALNOG MESTA KRIVINOG DELA 533.3 KORPORACISKI MODEL ISTRAGE KOMPUTERSKOG INCIDENTA 533.4 MODEL INTEGRISANIH PROCESA DIGITALNE FORENZIKE ISTRAGE 54

3.4.1 Faza pripreme 573.4.2 Faza razvoja 57

3.4.2.1 Faza detekcije i izveštavanja 583.4.2.2 Faza potvrde i autorizacije 58

3.4.3 Faza istrage zikog mesta krivinog dela 58

3.4.3.1 Faza obezbeivanja (ksiranja) zikog mesta krivinog dela 593.4.3.2 Faza revizije zikog mesta krivinog dela 593.4.3.3 Faza dokumentovanja zikog mesta krivinog dela 603.4.3.4 Faza pretrage i sakupljanja dokaza sa zikog mesta krivinog dela 603.4.3.5 Faza rekonstrukcije zikog mesta krivinog dela 613.4.3.6 Faza ekspertskog svedoenja/veštaenja zikog mesta krivinog dela 61

3.4.4 Faza istrage digitalnog mesta krivinog dela 62

3.4.4.1 Faza ksiranja digitalnog mesta krivinog dela 633.4.4.2 Faza pretrage digitalnog mesta krivinog dela 633.4.4.3 Faza dokumentovanja digitalnog mesta krivinog dela 643.4.4.4 Faza sakupljanja digitalnih dokaza sa digitalnog

mesta krivinog dela 653.4.4.5 Faza rekonstrukcije digitalnog mesta krivinog dela 653.4.4.6 Faza prezentacije digitalnog mesta krivinog dela 663.4.4.7 Faza provere 66

3.5 MODEL DOMENA SLUAA DIGITALNE FORENZIKE ISTRAGE 67

REZIME 70PITANA ZA PONAVLANE 71


6/305

VSŽJ

4. DIGITALNI DOKAZ 72

4.1 DIGITALNI KOMPUTERSKI DOKAZ 724.2 PRAVOSUDNI ASPEKT DIGITALNIH KOMPUTERSKIH DOKAZA 734.3 UPRAVLANE DIGITALNIM DOKAZIMA 75

4.3.1 Procedura sakupljanja posrednih kompjuterskih dokaza 764.4 KORISNICI KOMPUTERSKIH DIGITALNIH DOKAZA 784.5 PRIPREMA DIGITALNIH DOKAZA ZA VEŠTAENE PRED SUDOM 794.6 PREPORUKE IOCE ZA UPRAVLANE DIGITALNIM DOKAZIMA 79REZIME 81PITANA ZA PONAVLANE 82KLUNI TERMINI 83LITERATURA 84

II. TENOLOKE OSNOVE DIGITALNEFORENZIKE ISTRAGE

UVOD 891. DIGITALNA FORENZIKA NAUKA 90


2. FORENZIKA AKVIZICIJA DIGITALNI PODATAKA 95

2.1 FUNKCIONALNI MODEL FORENZIKE AKVIZICIE DIGITALNIH PODATAKA 952.1.1 Lokardov princip razmene materije 952.1.2 Redosled sakupljanja nestabilnih podataka 97

2.2 AKTIVNA FORENZIKA AKVIZICIA 982.2.1 Razvoj akvne forenzike akvizicije 992.2.2 Metodi akvne digitalne forenzike akvizicije 1072.2.3 Izbor i priprema forenzikih alata za akvnu akviziciju 1132.2.4 Prednos i nedostaci akvne forenzike akvizicije 118

REZIME 124

PITANA ZA PONAVLANE 126

3. FORENZIKA ANALIZA DIGITALNI PODATAKA 127

3.1 DIGITALNA FORENZIKA ANALIZA 1273.1.1 Forenzika analiza sovera 1273.1.2 Forenzika analiza raunara 1283.1.3 Forenzika analiza u virtuelnom okruženju 129

3.1.3.1 Studija sluaja digitalne forenzike analize virtuelne mašine 1313.1.4 Digitalna forenzika analizaraunarske mreže 132

3.1.5 Forenzika analiza kibernekog prostora 135


7/305

VI I J

3.2 ZNAA SLOEVA APSTRAKCIE ZA DIGITALNU FORENZIKU ANALIZU 1403.2.1 Greške u slojevima apstrakcije 1413.2.2 Karakteriske slojeva apstrakcije 1423.2.3 Apstrakcioni slojevi FAT fajl sistema 1433.2.4 Zahtevi za alate za digitalnu forenziku analizu 146

3.3 UTICA SKRIVANA DIGITALNIH DOKAZA NA TEHNIKE FORENZIKE ANALIZE 1473.4 PROCES FORENZIKE ANALIZE VRSTOG DISKA 149

3.4.1 Tok procesa digitalne forenzike analize 1493.4.2 IACS procedura kompletnog ispivanja vrstog diska 155


4. FORENZIKI ALATI 160

4.1 RAZVO FORENZIKIH ALATA 160

4.2 OPŠTE KARAKTERISTIKE 1614.2.1 Tehnike i ala za akviziciju digitalnih podataka 1624.2.2 Validacija i diskriminacija podataka 1644.2.3 Ekstrakcija digitalnih podataka 1654.2.4 Rekonstrukcija osumnjienog diska 167

4.2.4.1 Forenziki ala za oporavak fragmenranog fajla 1684.2.5 Izveštavanje o digitalnim dokazima 170

4.3 HARDVERSKI FORENZIKI ALATI 1704.3.1 Blokatori upisivanja i drugi hardverski forenziki ala 172

4.4 SOFTVERSKI FORENZIKI ALATI 1804.4.1 Forenziki ala komandne linije 1804.4.2 Soverski forenziki alat zatvorenog koda EnCase v4 GUI pa 1814.4.3 Analiza Access Data FTK forenzikog alata 1994.4.4 Forenziki ala otvorenog izvornog koda 222

4.4.4.1 Znaaj poznavanja izvornog koda forenzikih alata 2224.4.4.2 Forenziki ala otvorenog koda 2244.4.4.3 SPADA forenziki alat na bazi Linux OS 2274.4.4.4 Prdnos i nedostaci Linux baziranih forenzikih alata 236

4.4.5 Komparavni pregled funkcija kljunih forenzikih alata 2384.4.6 Validacija i tesranje forenzikih alata 239

4.4.6.1 Razvoj procesa validacije forenzikih alata 2394.4.6.2 Proces tesranja soverskih forenzikih alata 2394.4.6.3 Procedura za validaciju forenzikog alata 242

4.5 STUDIA SLUAA: AKVIZICIA IZVRŠNIH FALOVA, RUTKITOVA, ZADNIH VRATA I SNIFERA 243

4.5.1 Rutkit ala 2434.5.1.1 Podela rutkit alata 244

4.5.1.2 Napad rutkit alama 2454.5.2 Detekcija rutkitova, zadnjih vrata i mrežnih snifera 248


8/305

VIISŽJ

4.5.2.1 Detekcija prisustva rutkitova 2484.5.2.2 Detekcija prisustva zadnjih vrata 2514.5.2.3 Detekcija prisustva mrežnih snifera 254


KLUNI TERMINI 258LITERATURA 262

III. SVEDOENJE I VETAENJE U INFORMACIONOKOMUNIKACIONIM TENOLOGIJAMA

1. ISKUSTVA SVEDOENJA I VETAENJA IZ DRUGINAUNOTENIKI DISCIPLINA 267

1.1 SUDSKI VEŠTACI ZA SAOBRAA 267

1.2 EKSPERTI ZA FORENZIKU ANALIZU UMETNIKIH DELA 2671.3 FORENZIAR GEOLOG I EKSPERT ZA TANE GROBNICE 2671.4 ISKUSTVA IZ SUDSKE MEDICINE 2681.5 FORENZIKI ENTOMOLOZI 268REZIME 269PITANA ZA PONAVLANE 269

2. SPECIFINOSTI SVEDOENJA I VETAENJA

U KOMPJUTERSKOM KRIMINALU 2702.1 PRIPREMA DOKAZA ZA SUDSKI PROCES 2722.2 PRELIMINARNA PRIPREMA TUIOCA 2722.3 KOMUNIKACIE U PREDISTRANOM POSTUPKU 2722.4 DEFINISANE USLOVA ZA IZNOŠENE DIGITALNIH DOKAZA 2732.5 PRIHVATLIVOST KOMPUTERSKI GENERISANIH DIGITALNIH DOKAZA NA SUDU 2732.6 SVEDOENE I VEŠTAENE IKT EKSPERTA 274

2.6.1 Edukovanje pravosudnih organa 275

2.6.2 Veštaenje i naune metode dokazivanja kompjuterskog kriminala 2752.6.2.1 Rekonstrukcija dogoaja u sudskom postupku

kompjuterskog kriminala 2752.6.2.2 Instruisanje porote 276

REZIME 277PITANA ZA PONAVLANE 278KLUNI TERMINI 279LITERATURA 281PRILOG I 282

PRILOG II 287


9/305

VIII I J

SPISAK SLIKA

Slika 1.1 Skladište uvanja digitalnih dokaza 14Slika 1.2 Daubert princip prihvatljivos digitalnih dokaza na sudu 19Slika 2.1 Hipoteka distribucija vrednos i troškovi za otvaranje,

standardizovane (levo) i zatvorene, autorske (desno) plaorme 35Slika 3.1 Fiziko mesto krivinog dela kompjuterskog kriminala 52Slika 3.2 Faze modela integrisanih procesa digitalne forenzike istrage 56Slika 3.3 Faze i interakcija istrage zikog i digitalnog mesta krivinog dela 59Slika 3.4 Faze forenzike istrage digitalnog mesta krivinog dela 62Slika 1.1 Proces digitalne forenzike 91Slika 2.1 Sadržaj šifrovanog fajla u AccessData FTK Imager alatu 101Slika 2.2 Sadržaj dešifrovanog fajla u AccessData FTK Imager alatu 102

Slika 2.3 Parcija E šifrovana sa BestCrypt alatom 102Slika 2.4 Forenzika slika šifrovanog HD u AccessData FTK Imager alatu 103Slika 2.5 Operacija išenja fajlova pomou BestCrypt alata 104Slika 2.6 Prozor uzimanja imidža u ProDiscover IR forenzikom alatu 104Slika 2.7 Dešifrovani dokument u RAM memoriji u ProDiscover IR alatu 105Slika 2.8 Pogled na sadržaj zike memorije u ProDiscover IR alatu

koji indicira da je BestCrypt proces akvan 106Slika 2.9 Dešifrovani sadržaj HD u toku akvne akvizicije sa forenzikim alatom ProDiscover IR 107

Slika 2.10 Helix forenziki alat za upravljanje incidentom,oporavak podataka i forenziko podizanje ispivanog sistema 108Slika 2.11 Akvna akvizicija pomou forenzikog alata Helix 109Slika 2.12 GUI alat Nigilant (32) 110Slika 2.13 Uspostavljanje veze pomou Remote Admnistrator 114Slika 2.14 Radmin Viewer 115Slika 2.15 Sistemsko vreme i datum u Windows XP OS 115Slika 2.16 GUI klijent za kopiranje fajla 118Slika 2.17 Prikaz svih USB ureaja povezanih na raunar u USBDeview alatu 119

Slika 2.18 Primer sistemskih informacija dobijenih akvnomakvizicijom sa LiveWire alatom 120Slika 2.19 Pogled na akvne procese u LiveWire forenzikom alatu 121Slika 2.20 Otkrivanje šifre za rad keylogger-a u memoriji sa LiveWire alatom 121Slika 2.21 Trag Hacker Defender-a u zikoj memoriji u LiveWire alatu 122Slika 2.22 Drugi pogled na Hacker Defender u RAM memoriji u LiveWire alatu 122Slika 3.1 Proces dualne analize podataka 131Slika 3.2 Ulazni i izlazni podaci apstrakcionog sloja 140Slika 3.3 Slojevi apstrakcije HTML dokumenta 143

Slika 3.4 Tok procesa digitalne forenzike analize 152Slika 4.1 Primer prozora u WinHex alatu Northon Commander-a 163


10/305

IXSŽJ

Slika 4.2 Prikaz thumbnalis slika u foremzikom alatu File Hound 169Slika 4.3 Tipovi hardverskih blokatora 174Slika 4.4 Primeri IDEi SATA diskova 174Slika 4.5 Sakupljanje podataka sa klasinih 3,5 ina IDE diskova 175Slika 4.6 Sakupljanje podataka sa klasinih 3,5 ina SATA diskova 175

Slika 4.7 Sakupljanje podataka sa notebook diskova od 2,5 ina 176Slika 4.8 Sakupljanje podataka sa malih vrsh diskova 176Slika 4.9 Sakupljanje podataka sa eš memorije (a) mikrodiskova (b)

i PCCard (PCMCIA) adapter (c) 176Slika 4.10 SATA adapter za sakupljanje podataka sa SATA diskova (a) i SATA adapter prikljuen na SATA disk 177Slika 4.11 Adapter 1,8 ina ZIF za prikljuivanje Hitachi ZIF diskova 177Slika 4.12 CD/DVD robot 179Slika 4.13 Otvaranje novog sluaja u EnCase alatu 182

Slika 4.14 Otvaranje dijaloga Opons u En Case alatu 183Slika 4.15 Dodavanje dokaznog materija novom sluaju u EnCase alatu 184Slika 4.16 Odabir fajlova za pretraživanje 184Slika 4.17 Verikacija novog sluaja 185Slika 4.18 Dodavanje sirovih imidž fajlova u EnCase alatu 185Slika 4.19 Indeksiranje fajlova u EnCase alatu 186Slika 4.20 Odrivanje bezbedonosnog idenkatora dokaza 187Slika 4.21 Akviranje skriptova u EnCase alatu 187Slika 4.22 Izbor fajlova i foldera za oporavak 188

Slika 4.23 Pretraživanje po kljunoj rei u EnCase alatu 189Slika 4.24 itanje Outlook Express .DBX fajlova u EnCase alatu 190Slika 4.25 Kreiranje butabilne diskete u EnCase alatu 190Slika 4.26 Završetak kreiranja butabilne diskete u EnCase alatu 191Slika 4.27 Zakljuavanje i otkljuavanje hard diskova 192Slika 4.28 Oporavak izbrisanih foldera u EnCase alatu 193Slika 4.29 Formarana NTFS parcija 193Slika 4.30 Dodavanje novih potpisa fajla u EnCase alatu 194Slika 4.31 Generisanje heš vrednos za izabrane fajlove 195

Slika 4.32 Snimak trenutnog stanja sistema 196Slika 4.33 Izbor i selekcija diska za brisanje sa prepisivanjem u EnCase alatu 197Slika 4.34 Simultano indeksiranje velikog broja slika relevantnih za istragu 198Slika 4.35 Eksportovanje izveštaja u EnCase alatu 198Slika 4.36 Prikaz heš vrednos u FTK alatu 199Slika 4.37 Poetni prozor FTK forenzikog alata 200Slika 4.38 Odabir pa dokaza 201Slika 4.39 Odabir pa imidža 202Slika 4.40 Kreiranje imidža 202Slika 4.41 Verikovanje rezultata imidžovanja nezaražene USB memorije 203Slika 4.42 Verikovanje rezultata imidžovanja zaražene USB memorije 203


11/305

X I J

Slika 4.43 TXT fajl generisan polse imidžovanja virusomnezaraženog (a) i zaraženog (b) USB 204

Slika 4.44 Generalije o sluaju i forenziaru 204Slika 4.45 Case Log opcije 205Slika 4.46 Processes to Perform opcija 206

Slika 4.47 Rena Case 206Slika 4.48 Rene index opcija 207Slika 4.49 Add Evidence opcija 207Slika 4.50 Dodavanje imidža dva USB memorijska ureaja kao dokaza 208Slika 4.51 Napredne opcije Rene Evidence i rene Index 208Slika 4.52 Obrada dokaza 209Slika 4.53 Karca Overview 209Slika 4.54 Obeležen prepoznat maliciozni program na zaraženom USB 210Slika 4.55 Pregled sadržaja kompresovanog fajla 210

Slika 4.56 Karca Explore 211Slika 4.57 Karca Graphics 212Slika 4.58 Karca Search 212Slika 4.59 Generalne informacije o svojstvima fajla 213Slika 4.60 Informacije o sadržaju fajla 213Slika 4.61 Pregled karakteriska malicioznog programa 214Slika 4.62 Deo FTK log izveštaja 215Slika 4.63 Podešavanje za prikaz Bookmark-ova 216Slika 4.64 Odabir svojstava Bookmark-a i prikaz u izveštaju 216

Slika 4.65 Podešavanje prikaza grakih elemenata u izveštaju 217Slika 4.66 Odabir putanje izveštaja i proizvoljnog grakog elementa 218Slika 4.67 Poetna strana izveštaja (index.htm) 218Slika 4.68 Pregled fajlova u izveštaju 219Slika 4.69 Pregled dokaza u izveštaju 219Slika 4.70 Prikaz grakih elemenata u izveštaju 220Slika 4.71 Desktop SPADA forenzikog alata 227Slika 4.72 Akviranje POST procesa za pristup BIOS setup-u 228Slika 4.73 Podešavanje BIOS-a u SPADA alatu 228Slika 4.74 SPADA meni za butovanje 229Slika 4.75 Akviranje procesa inicijalne pretrage sa SPADA alatom 229Slika 4.76 Otvaranje QTParted aplikacije u SPADA alatu 230Slika 4.77 Akviranje Mediand aplikacije u SPADA alatu 231Slika 4.78 MediaFind prozor u SPADA alatu 231Slika 4.79 Rezulta MediaFind aplikacije 232Slika 4.80 Otvaranje Terminal prozora u SPADA alatu 233Slika 4.81 Proširivanje Terminal prozora u SPADA alatu na puni ekran 234Slika 4.82 ProDoscover forenziki alat 249Slika 4.83 SuperScan forenziki alat 253


12/305

XISŽJ

SPISAK TABELA

Tabela 1.1 Pomeranje vektora napada na IKT sisteme 10Tabela 1.2 Primeri kategorija koncepta objekata

za digitalnu forenziku istragu 67Tabela 1.3 Primeri provere meusobnih odnosa koncepata 68Tabela 2.1 Karta konvencije bajta – B(Byte) 100Tabela 3.1 Analika vremenska radna karta sistemskih log podataka 138Tabela 3.2 Slojevi apstrakcije FAT fajl sistemu 145Tabela 3.3 Primeri dokumentovanja procesa digitalne forenzike analize 153Tabela 4.1 Pregled funkcija FTK forenzikog alata 221Tabela 4.2 Tabela 4.1 Korespondirajue DOS i Linux komandne linije 233Tabela 4.3 Svievi za za denisanje naina rada ls komande 235

Tabela 4.4 Uporedni pregled osnovnih funkcija relevantnih forenzikih alata 238Tabela 4.5 Glavne oznake u Unix/linux string komandama3 251Tabela P2.1 Poznaji SID idenkatori 287


13/305


14/305

IMETODOLOKE OSNOVE ISTRAGE

KOMPJUTERSKOG KRIMINALA

Cilj ove glave je da se denišu i opišu

metodološke osnove istrage kompjuterskog

kriminala koje obezbeuju opmalni funkciona-lni model za istragu kompjuterskog kriminala.

Kada proitaju ovu glavu, studen e razume

osnovne funkcionalne modele za zvaninu i ko-

rporacijsku istragu kompjuterskog kriminala,

specinos istrage digitalnih dokaza, znaaj

digitalne forenzike istrage za upravljanje

kompjuterskim incidentom i prednos procesa

integrisane istrage zikog i digitalnog mesta

krivinog dela kompjuterskog kriminala.

D

E

O


15/305


16/305

3M J

UVOD

Uporedo sa razvojem i implementacijom raunarskih mreža u sistem globalne mre-že - Intereneta, rastu i potencijalne opasnos od razliih napada sa Interneta, uklju-ujui brojne maliciozne programe i napade ljudskog faktora - hakera, krakera, vandalai kompjuterskih kriminalaca i terorista. Raunarske mreže Internet pa nude brojneprednos i omoguavaju izuzetno poveanje ekasnos rada i smanjenje troškova, alipredstavljaju i krinu taku bezbednos, sa stanovišta rizika za raspoloživost, integri-tet i poverljivost informacija, servisa i aplikacija. U literaturi su objavljene brojne takso-nomije pretnji i metode analize faktora rizika za raunarske sisteme i mreža Internetpa. Iako su ranijih godina napadi na raunarske mreže Internet pa bili pretežno ek-

sterni, novije analize pokazuju da mnogo vee nansijske gubitke i drugu štetu nanosiširok spektar internih napada. Razlozi za to leže u samoj prirodi intranet mreža u kojimainterni uesnici nisu samo zaposleni u datoj organizaciji i za koje postoji odreeni ste-pen poverenja, ve i poslovni partneri, zaposleni u rmama podružnicama, kooperan,dostavljai i drugi uesnici iz ekstranet mreža, koji iz razloga jednostavnos korišenja ipoveanja ekasnos i produkvnos rada imaju vrlo slina, ako ne i ista prava pristupaintranet mreži kao i zaposleni u datoj organizaciji. Pored nansijske dobi registrovanisu brojni movi za razne vrste hakerskih i drugih napada na mreže državnih organa,ukljuujui: izazov i potrebu za samopotvrivanjem, znaželju za proboj visokotehnolo-

ških sistema zašte u ovim mrežama, maliciozne namere - krau osetljivih informacija,špijunažu i namerna ošteenja informacija, aplikacija i sistema. U nekoliko poslednjihgodina deluju organizacije profesionalnih hakera koji organizovano rade na principu s-caja prota od preduzimanja razliih oblika kompjuterskog kriminala. Ove organizacije hakera korumpiraju (zombiraju) brojne nezašene raunare individualnih korisnikaširom sveta, sa kojima ili posredstvom kojih napadaju ciljne web sajtove distribuiranimnapadom odbijanja servisa (DDoS) i drugim povima napada. Vektor napada pomeren je sa korporacijskih servera koji se sve bolje šte na slabo zašene ili nezašene ra-unare individualnih korisnika, koje korumpiraju preuzimaju kontrolu i koriste za krimi-

nalne akvnos. Krajem 2007 godine u Rusiji je registrovana mreža (tzv. botnet ) od 1,4miliona zombiranih raunara.


17/305

4 I J

Pod kompjuterskim kriminalom u najširem smislu podrazumevaju se krivina delaprema krivinom zakonu nacionalne države, u koja su na bilo koji nain ukljueni ra-unarski sistemi i mreže. U kompjuterskom i kibernekom kriminalu (cybercrime) ra-unari se koriste kao predmet napada i krae, izmene ili uništavanja podataka, kaoalat za izvršavanje tradicionalnih oblika kriminala i za skladištenje kompromitujueg

materijala.Glavni cilj istrage kompjuterskog kriminala je, kao i sluaju klasinog kriminala, iz-

gradi za pravosudne organe neoboriv ili vrst dokaz krivice, i/ili dokaz za oslobaanjeosumnjienog, i/ili pravedno sankcionisanje uinjenog dela. Kljunu metodologiju is-trage i dokazivanja kompjuterskog kriminala obezbeuje metodologija istrage klasi-nog kriminala, sa specinosma istrage osetljivih, lako promenljivih i po svojoj prirodiposrednih digitalnih dokaza. Digitalna forenzika nauka (1999) obezbeuje primenunauno derivirani i dokazanih metoda za: uvanje, sakupljanje, validaciju, idenkaci-

ju, analizu, interpretaciju, dokumentovanje i prezentaciju digitalnih dokaza iz razliih

izvora digitalnih podataka sa ciljem rekonstrukcije dogaaja krivinog dela kompjuter-skog kriminala ili zloupotrebe raunara. U oblas digitalne forenzike prvo je denisanaKompjuterska forenzika (FBI): “Kompjuterska forenzika je aplikacija nauke i sistemskoginženjerstva na legalne probleme digitalnih dokaza”. Denicije i kategorije digitalne fo-renzike su pokretna meta, koja pra promene u raunarskim tehnologijama, elektronicii komunikacijama.

Za pravosudnu prihvatljivost digitalnih dokaza osnovne prepreke su osetljivost ipromenljivost digitalnih podataka i inherentna posrednost digitalnih dokaza. Naime,u sluaju klasinog kriminala neoboriv dokaz, na primer ubistva, je pištolj u ruci ubice.Takav neposredan dokaz u sluaju kompjuterskog kriminala gotovo je nemogue obez-bedi, ali je mogue izgradi vrst, neoboriv digitalni dokaz bez tzv. pukona, od niza

posrednih digitalnih dokaza, kakvi su po svojoj prirodi svi digitalni podaci uskladišteni iligenerisani u raunarskom sistemu.

Prema deniciji IOCE1 u oblas forenzikih nauka, digitalni dokaz je svaka infor-macija u digitalnom obliku koja ima dokazujuu ili oslobaajuu vrednost, ili vrednostosnovane sumnje i koja je, ili uskladištena, ili prenesena u takvom obliku. U procesi-ma zvanine istrage, prikupljanja, analize i prezentacije digitalnih dokaza potrebno jepridržava se odreenih principa, koji odreuju proces upravljanja digitalnim doka-zima. U svakom sluaju kompjuterskog kriminala, od trenutka otkrivanja do prezent-acije digitalnih dokaza na sudu, prema iskustvima najbolje digitalne forenzike prakse,opmalne rezultate daje mski rad od najmanje tri profesionalca: zvaninog organaistrage, tužioca i eksperta u oblas informaciono komunikacionih tehnologija (IKT).

Sudska praksa prihvata kompjuterski generisane i memorisane digitalne dokaze pododreenim uslovima. Transformacija digitalnih podataka u formi niza kodiranih bita usudski dokaz, apstraktan je proces koji može naves sudiju i porotu da dovedu u pitanjeautennost i integritet kompjuterski generisanog dokaza. U tom smislu, moraju se

na nacionalnom nivou, kroz zakon ili podzakonska akta, propisa odgovarajue pro-1 Internaonal Organizaon of Computer Evidence (hp://www.ioce.org)


18/305


19/305

6 I J

1. RAZVOJ, ORGANIZACIJA I STANDARDI ISTRAGEKOMPJUTERSKOG KRIMINALA

Uporedo sa ubrzanom informazacijom društva i ulaskom Interneta u sve oblas

društvenog i privatnog života ljudi, kompjuterski kriminal postaje dominantan oblikzloupotreba, kršenja zakona i drugih normi ponašanja. Novi oblici napada na raunarei raunarske mreže javljaju se velikom brzinom, a novi povi kompjuterskog kriminalaprakno zavise samo od mašte malicioznih napadaa. Osnovne elemente krivinogdela kompjuterskog kriminala ine:

dogaaj, odnosno, šta se dogodilo u ispivanom sluaju,•

okolnos, ili kako se dogodilo i•

mentalno stanje poinioca kriminala, što je potrebno za klasikaciju kriminala•

i prolisanje kompjuterskih kriminalaca.Glavne kategorije kompjuterskog kriminala mogu se grupisa na bazi uloge rauna-

ra u izvršavanju krivinog dela kompjuterskog kriminala, gde raunar može bi:

cilj napada (upad u raunar, kraa podataka),•

sredstvo za napad (prevare sa kredinim karcama, slanje spama i slika),•

povezan sa klasinim kriminalom (trgovina drogom i ljudima, deija porno-•graja i dr.) i

repozitorijum (skladište) digitalnih dokaza kompjuterskog kriminala.•

Takoe, u porastu je i klasian kriminal povezan sa raunarom, kao što su povredaintelektualne svojine (neovlašeno kopiranje i kraa autorskih prava) i piraterija so-vera.

Tipovi kompjuterskog kriminala su brojni, a naješi su:

kraa raunarskih servisa,•

neovlašeni pristup,•

piraterija sovera,•

otkrivanje, kraa i izmena raunarskih podataka i informacija,•

iznuivanje pomou raunara,•

neovlašeni pristup bazama podataka,•

zloupotreba ukradene lozinke,•

prenos destrukvnih virusa i•

industrijska i polika špijunaža.•

Generalno, digitalnu forenziku istragu koriste eri društvena sektora:

1. Zvanini organi istrage kompjuterskog kriminala (policija, tužilaštvo i sudstvo);

2. Organi odbrane (vojska, državna bezbednost);


20/305

7M J

3. Korporacije i vee organizacije, za upravljanje kompjuterskim incidentomsopstvenim kapacitema, i

4. Profesionalne organizacije za oporavak podataka iz sluajno/namernoošteenih raunarskih sistema.

U kojoj meri zasbrinjava kompjuterski kriminal , govori i injenica da su vlade više

zemalja u svetu prepoznale rastui rizik kompjuterskog kriminala kao kljune faktoreinformaciong ratovanja u budunos. Posledice od uništavanja raunarskih sistema imreža, ometanja i špijunaže elektronskog poslovanja, e-trgovine, e-vlade, e-bankarst-va, nuklearnih i elektrodisbuvih postrojenja, saobraajnih mreža i drugih umreženihsistema, mogu bi potencijalno katastrofalne. Hakeri iz svih delova sveta udružuju se uveoma kompaktne organizacije, sposobne da za proboje u mreže i web servere prekoInterneta angažuju raunarsku mo i resurse koji su ravni monim super raunarima(primer proboja DES kriptografskog algoritma sredinom 1990-h).

U Estoniji, gde je informazacija društva na zavidnom svetskom nivou (implemen-rane su e-Uprava, e-line karte, e-pasoši, e-saobraajna dozvola i e-socijalna/zdravst-vena karca). U prolee 2007. kompjuterski/kiberneki kriminalci (cyber criminals),navodno iz Rusije, napali su banke, vladine agencije i polike stranke u Estoniji. Celazemlja je nakratko bila u potpunos o ine i postala tako prvo poprište informacionogratovanja. Slini su napadi zabeleženi i na Gruziju 2008. godine, u vreme sukoba s Rusi- jom, kao i u Kirgistanu.

U toku 2007. nemake obaveštajne službe su objavile kiberneke napade iz Kine,na nekoliko nemakih ministarstava i vladin web portal, s ciljem otkrivanja poverljivihinformacija. Navodno su kineski hakeri postali tako uporni u svojim pokušajima indus-trijske špijunaže da je kancelarka Angela Merkel otvoreno zatražila od kineskih diplo-mata da se napadi prekinu. U periodu 2007/8. godine zabeleženi su masovni napadi naweb sajtove vlade Republike Srbije i Srpske pravoslavne crkve.

Kompleksni, kompjuterski upravljani sistemi i kompjuterske mreže su najranjivijeinfrastrukture i zato bi mogle bi glavna meta terorista. Ameriki strunjaci ve godi-nama upozoravaju na mogui “elektronski Pearl Harbor”, “digitalni 11. septembar” ili“Cybergeddon”, a u svom izveštaju Kongresu navode kako upravo Kina “agresivno razvija svoje ratne cyber vešne i tehnologije” i kako bi “uskoro mogla bi u znaajnoj pred-nos” pred drugim nacijama. Mediji su ve objavljivali ves o kiber (cyber) ratovimameu islamiskim grupama na Bliskom istoku. Svi ovi inciden otvoraju brojna pitanjao tome da li se zaista radi o ratu, ili novom vidu kriminala - kompjutrskom državnomterorizmu i da li su opravdani adekvatni odgovori države.

Na sastancima NATO-a, takoe se vode burne rasprave o tome da li kiber napadetreba trera kao oružane napade i da li treba razvija sopstvene kadrove i tehnologijuza obranu od napada u kiber prostoru? Iako ove rasprave do sada nisu dale jasne odgo-vore, neke informacije ukazuju da neke države ve posveuju adekvatnu pažnju tompitanju. Naime, Nemaka vlada je (poetkom 2009.) odobrila nacrt zakona kojim bi sepojaala bezbednost informacija i komunikacijskih kanala u državnim IKT sistemima, ao kojem uskoro treba da raspravlja i Bundestag.


21/305

8 I J

Kakve posledice ostavlja kompjuterski kriminal u svetu, najbolje ilustruju neke ak-vnos na nivou brojnih država u svetu. Poetkom 2009. u gradu Reinbachu kraj Bonna,nemaka vojska je poela pripremu jedinice, sastavljene od 76 vojnika-hakera za novip ratovanja – informaciono (digitalno) ratovanje. Vojnici su obrazovani na Bundesweh-rovim odeljenjima za IKT, a nove ratne metode uvežbavaju na svom glavnom oružju -

raunarima. Ovi hakeri-ratnici , treba da budu osposobljeni za obranu od kiber napada,ali i za - napade u kiber prostoru.

1.1 KRATAK PREGLED RAZVOJA DIGITALNE FORENZIKE ISTRAGEKOMPJUTERSKOG KRIMINALA I ANALIZE DIGITALNI DOKAZA

U toku 1984. FBI

3

je poeo razvoj laboratorije i programa za ispivanje kompjuter-skih dokaza koji je izrastao u jedinstveni CART (Computer Analysis and Response Team)m, kasnije formiran u mnogim organizacijama u SAD. Danas je trend da se forenzikaanaliza raunara vrši u dobro opremljenoj laboratoriji. Meum, u tom periodu u SAD je oko 70% osposobljenih zvaninih agencija radilo ovaj posao bez razvijenih proceduraza taj rad. Takoe, je evoluirao naziv «edinice za kompjutersku forenziku analizu» na« Jedinicu za digitalne dokaze».

Pojavom digitalnog videa i audia uvodi se pojam digitalnih dokaza. Meunarodnaorganizacija za kompjuterske dokaze - IOCE (Internaonal Organizaon on Computer

Evidence) je formirana 1997. Tehnika radna grupa za kompjuterske dokaze - TWGDE(Technical Working Group for Digital Evidence) održala je prvi radni sastanak 17. juna1998. sa ciljem razvoja organizacionih procedura i relevantnih dokumenata za forenzikuistragu digitalnih dokaza. Federalna kriminaliska laboratorija SAD je februara 1999.promenila ime TWGDE u SWGDE (Scienc Working Group for Digital Evidence). Ovase grupa sastaje najmanje jednom godišnje, a lanovi mogu bi pred sudom zakle(zvanini organi) i ne-zakle eksper i naunici. U poetku je koncept pronalaženja«latentnog-skrivenog dokaza u kompjuteru» nazvan kompjuterskom forenzikomanalizom. Kompjuterska forenzika analiza za manje od 20 godina pouzdano uva

digitalne podatke, oporavlja izbrisane podatke, rekonstruiše kompjuterske dogaaje,odvraa napadae, nudi dosta dobrih proizvoda i procedura za podršku. Kompjuterskaforenzika analiza primenjuje se u sluajevima: hakerskog upada, pronevere, pedol-skog kruga, imigracione prevare, trgovine drogom, falsikovanja kreditnih karca, pira-terije sovera, izbornog zakona, obscenih publikacija, falsikata, ubistava, seksualnoguznemiravanja, krae podataka-industrijske špijunaže, razvoda.

Uputstvo za pretragu i privremeno oduzimanje raunara objavilo je Ministarstvopravde SAD (Do), 1994:

3 FBI - Federal Bureau of Invesgaon, SAD


22/305

9M J

hardver kao zabranjeno sredstvo ili pomo za izvršavanje kriminala (klonirani•mobilni telefon, ukraden mikroš);

hardver kao instrument izvršavanja kriminala (znaajna uloga u kriminalu -•snifer paketa, ita kreditnih karca; distribucija deije pornograje)

hardver kao dokaz (svaki hardverski ureaj koji ima jedinstvenu karakterisku•da prikaže digitalni dokaz – sliku, podatak);

informacija kao zabranjeno sredstvo ili pomo za izvršavanje kriminala (u•nekim zemljama korišenje jake kriptozašte je ilegalno, piratski sover,ukradene trgovake tajne, liste lozinki, deija pornograja);

informacija kao instrument izvršavanja kriminala (automazovani hakerski•ala, keyloger -ski sover za snimanje otkucaja na tastaturi, krekeri lozinki);

informacija kao dokaz (raunar neprekidno ostavlja tragove bita, log fajlovi•pristupa, e-mail poruke, upotreba kreditnih karca, priznanice, telefonski

pozivi .FBI je 1999. sponzorisala razvoj SWGIT (Scienc Working Group in Imaging Tech-

nologies). «Glavna misija SWGIT je da olakša integraciju tehnologije i sistema digitalneobrade slika u pravosudni sistem, obezbeujui denicije i preporuke za akviziciju,

skladištenje, procesiranje, analizu, prenos i izlazni format slika».

Na bazi specinos tehnika i alata i metoda istrage u forenzikoj praksi su diferen-cirane sledee glavne oblas digitalne forenzike, [3]:

forenzika raunara (akvizicija i analiza HD i prenosivih medija);•

mrežna forenzika (upada u mrežu, zloupotreba itd.);•forenzika sovera (ispivanje malicioznih kodova,• malware itd.)

akvna (živa) forenzika sistema (kompromitovanih hostova- servera,•zloupotreba sistema itd.).

U poetnoj fazi razvoja digitalnu forenziku korisli su primarno zvanini državni or-gani istrage kompjuterskog kriminala (policija, vojska i pravosue). Savremeni trendumrežavanja lokalnih mreža primenom Internet tehnologija (intranet i ekstranetmreže), razvojem bežinih mreža, e-poslovanja i mobilnog poslovanja (m-poslovanja),

zam web servisa servisno orijensanih aplikacija, znaajno su poveani zahtevi za bez-bednost informacija i e-transakcija na svim nivoima poslovnih IKT sistema. Savremenisistemi zašte postaju sve kompleksniji, kako se pomera težište osetljivos poslovnihIKT sistema, javljaju novi povi rizika, menjaju metodi napada sa Interneta, a vektornapada pomera sa usamljenih hakera, sitnih prevaranata na web-u, poplave virusa idrugih malicioznih kodova i retkih napada na web servise, na napade organizovanihprofesionalnih hakera, industrijskih kiber (cyber ) špijuna i kompjuterskih kiber krimi-nalaca (tabela 1.1).


23/305

10 I J

Tabela 1.1 Pomeranje vektora napada na IKT sisteme

1996 2007/2008

Hakeri iz hobija Rentabilni profesionalni hakeri

Prevaran na web sajtovima Kriminalci

Virusi i drugi malicozni programi Napadi odbijanja servisa (DoS, DDoS)Retki napadi na web sajtove Kraa identeta

Stalni napadi na web sajtove

Za upravljanje kompjuterskim incidentom u ovakvom okruženju zahtevaju seforenzika znanja i forenzike tehnike i ala za otkrivanje i otklanjanje uzroka komplek-snih incidenata. Savremenih korisnici digitalne forenzike su:

policija,•

vojska,•

pravosudni sistem (tužilaštvo i pravosue),•

rme koje se profesionalno bave oporavkom podataka iz raunara,•

korporacije za upravljanje kompjuterskim incidentom.•

Glavni indikatori razvoja digitalne forenzike u proteklom periodu ukazuju da hardverpostaje sve osetljiviji na napade, zbog sve vee kompleksnos, što znai da se moguoekiva eše subverzije hardvera. Na primer, re-ešovanjem rmware vrstog diska(HD), ili drugih sekundarnih periferijskih memorija mogu se sakri podaci, ili uini

HD/memorija neitljivom. U tom smislu, forenziar ne može verova šta je na hard-veru. Generalno, sistem zašte može uca na proces forenzike akvizicije i analize. Naprimer, forenziar može naii na HD zašen lozinkom (lozinkom) sa kojeg nije mogueodredi ak ni osnovne informacije, kao što su veliina diska i slika

Kratak istorijski pregled evolucije forenzike analize digitalnih dokaza dat je u Pri-logu I, [29].

1.2 STANDARDIZACIJA PROCEDURA DIGITALNE FORENZIKE ISTRAGEKOMPJUTERSKOG KRIMINALA

1.2.1 Denicije kljunih termina digitalne forenzike istrage

Evidentno je da informaciono komunikacione tehnologije najekasnije globalizujusvet. Posledica je da se poinilac kompjuterskog kriminala javlja u jednom pravosudnomsistemu, a digitalni podaci koji dokazuju taj kriminal mogu se nalazi u nekom drugompravosudnom sistemu. Radna grupa SWGDE (SAD) je dala prvu deniciju digitalnih


24/305

11M J

dokaza - DE (Digital Evidence) i predlog standarda za razmenu DE izmeu suverenihenteta. Digitalizacijom audio i video signala i klasine fotograje došlo je do ubrzanekonvergencije pomenuh tehnologija i integracije u raunaru. Tako i termin kompjuter-ski digitalni dokaz (CDE) evoluira u digitalni dokaz (DE). Sa pravnog i tehnikog aspektarazmene DE, glavni zahtevi su postojanje jedinstvenih standarda, principa, kriterijuma

i procedura digitalne forenzike istrage kompjuterskog kriminala.Dokument standarda je struktuiran kroz: uvod , denicije i standarde (principe i kri-

terijume) i diskusiju i usklaen sa zvaninim Uputstvom - American Society of CrimeLaboratory Directors/Laboratory Accreditaon Board Manual , a sadrži denicije ter-mina, standarda i principa kojih se treba pridržava u radu sa digitalnim dokazima, [4],[22].

Digitalni dokaz: DD je svaka informacija koja ima dokazujuu vrednost koja je iliuskladištena ili prenesena u binarnoj (digitalnoj) formi. DD ukljuuje kompjuterskidokaz, digitalni audio, digitalni video, mobilni telefon, digitalnu fax mašinu itd. Digi-

talni dokaz je informacija uskladištena ili prenesena u binarnoj formi na koju se sud

može osloni .

Akvizicija digitalnih dokaza (ADE ): ADE poinje kada su informacije i/ili ziki pred-me skupljeni i uskladišteni za potrebe ispivanja. Termin DE implicira da je skupl-

janje DE obavio neko koga sud prepoznaje, da je proces skupljanja DE legalan i u

skladi sa zakonskom regulavom i da je skupljeni materijal sud prihvao kao doka-

zni materijal. Objek podataka i zikalni objek postaju dokazi samo kada ih takvim

vide regularni zvanini organi istrage i pravosua.

Objek podataka: Objek ili informacije koje su pridružene zikim predmema ikoji imaju potencijalnu dokazujuu vrednost. Objek podataka se mogu pojavi u

raznim formama, ali se ne sme menja originalna informacija.

Fiziki predmet: Predme u kojima mogu bi uskladišteni objek podataka ili infor-macije i/ili sa kojima su objek podataka preneseni .

Originalni digitalni dokaz: Fiziki predme i objek podataka pridruženi m pred-mema u vreme akvizicije ili privremenog oduzimanja predmeta.

Duplikat digitalnog dokaza: Precizna digitalna reprodukcija svih objekata podataka

koji se sadrže u originalnom zikom predmetu.Kopija digitalnog dokaza: Precizna reprodukcija informacija koje su sadržane naoriginalnom zikom predmetu, nezavisno od originalnog zikog predmeta.

1.2.2 Principi upravljanja digitalnim dokazima

U procesima zvanine istrage, prikupljanja, analize i prezentacije digitalnih dokazapotrebno je pridržava se odreenih principa, koji odreuju proces upravljanja digital-

nim dokazima. IOCE principi treba da, [14], [22]:


25/305

12 I J

budu konzistentni sa svim legalnim sistemima,•

dopuštaju korišenje sa uobiajenim jezikom,•

budu trajni i meunarodno prihvatljivi,•

ulivaju poverenje i obezbeuju integritet DE,•

budu primenjivi na sve vrste DE,•budu primenljivi na svim nivoima, od pojedinca, preko zvaninih agencije, do•najvišeg nacionalnog nivoa.

Principi nisu plan implementacije. Oni treba da budu dizajnirani tako da dopustesvakom legalnom entetu da kreira program koji odgovara situaciji. Primenom ovihPrincipa u skladu sa preporukama IOCE, upravljanje digitalnim dokazima (istraga, akvi-zicija, analiza, rukovanje i održavanje) postaje prihvatljivo i iskorisvo i izvan nacional-nih granica.

Glavni IOCE principi upravljanja digitalnim dokazima su:U toku akvizicije DE, preduzete akcije ne treba da unose nikakvu izmenu h DE.

1. Ako je potrebno da neko pristupi originalnom DE, mora bi kompetentan uoblas digitalne forenzike.

2. Sve akvnos koje se odnose na akviziciju, pristup, skladištenje ili transfer DEmoraju bi potpuno dokumentovane, sauvane i raspoložive za reviziju.

3. Lice je odgovorno za sve akvnos preduzete prema DE dok su u njegovomposedu.

4. Svaka agencija/organizacija odgovorna za akviziciju, pristup, skladištenje iliprenos DE je odgovorna za usklaenost svoje prakse sa ovim principima.

Da bi se osigurala bezbedna akvizicija (otkrivanje, ksiranje i izvlaenje), upravljanje(skupljanje, uvanje i prenos) i forenzika analiza digitalnih dokaza i da bi se sauvaointegritet i pouzdanost dokaza, zvanini istražni i korporacijski organi za forenziku is-tragu i analizu digitalnih dokaza, moraju uspostavi i održava ekasni sistem kontrolekvaliteta. Standardna radna procedura – SOP (Standard Operaon Procedure) je do-kumentovano uputstvo za kontrolu kvaliteta celokupnog postupka istrage, akvizicije,upravljanja i forenzike analize digitalnih dokaza. SOP mora obuhva propisno regi-

strovanje svih akvnos istrage kompjuterskog incidenta/kriminala, kao i korišenjedrugih, u kriminalisci široko prihvaenih procedura, opreme i materijala.

1.2.3 Struktura standardne operavne procedure

Kada se formulišu standardne radne procedure treba ukljuit sledee elemente:

Naslov• – treba da sadrži ime procedure;

Namena• – zašto, kada i ko koris proceduru;


26/305

13M J

Oprema/materijal/standardi/kontrole• - idenkuje koji se predme zahtevajuza izvršavanje procedure. Ovo može ukljui opremu za zaštu, hardver, soveri naine kongurisanja.

Opis procedure• – opis korak-po-korak kako se procedura izvodi. Ako je neophod-no procedura treba da sadrži mere opreza koje treba preduze da se minimizira

degradacija.

Kalibracija• – opisuje svaki korak koji se zahteva da se osigura tanost i pouz-danost procedure. Gde je primenljivo, treba dokumentova podešavanje instru-menata i proceduru kalibracije.

Kalkulacija• - opisuje bilo koju matemaku operaciju koja je primenjena u pro-ceduri.

Ogranienja• – opisuju sve akcije, interpretacije, ili opremu koja nije odgovarajuaza proceduru.

Sigurnost• - idenkuje i adresira potencijalne hazarde kod korišenja proce-dure.

Reference• - idenkuje interna i eksterna dokumenta koja agencija/ korporacijakoris za generisanje procedure i koja se odnose na proceduru i njene principe.

1.2.4 Standardi i kriterijumi digitalne forenzike istrage

1.2.4.1. Standardi i kriterijumi 1.1

Sve agencije koje zaplenjuju i/ili ispituju digitalnu opremu moraju vodi i održavaodgovarajui SOP dokument, potpisan od strane nadležnog menadžera, koji sadrži jas-no denisane sve elemente polike i procedura.

SOP mora bi obavezna za zvanine i korporacijske forenzike organe zbog prihva-tanja rezultata i zakljuaka na sudu.

1.2.4.2 Standardi i kriterijumi 1.2

Menadžment agencije mora revidira SOP jedanput godišnje da obezbede neprekid-nost njihove ekasnos i pogodnos za primenu, zbog brzih tehnološki promena.


Korišene procedure moraju bi generalno prihvaene u oblas forenzike istrage,akvizicije i analize digitalnih dokaza i da ih u akviziciji, analizi i uvanju podržavajunaune metode. U izboru metoda evaluacije naune vrednos forenzikih tehnika iprocedura mora se bi eksibilan. Validnost procedure treba uspostavlja demon-striranjem tanos i pouzdanos specine tehnike. U tom smislu korisna je javna

nauna rasprava.


27/305


28/305

15M J


Bilo koja akcija koja ima potencijal da izmeni, ošte ili uniš bilo koji aspekt origi-nalnog dokaza mora se izvršava od strane kvalikovanog lica na forenziki ispravannain. Svaki metod izvršavanja forenzike akcije mora bi dokumentovan, taan, pouz-dan, kontrolabilan i ponovljiv. Obueno forenziko osoblje mora koris kvalitetne

forenzike hardverske i soverske alate i odgovarajuu opremu.

1.2.4.8 Standard prihvatljivos procedure

Za veinu soverskih forenzikih alata nisu pozna programski izvorni kodovi, veinaprocedura nije objavljeno i nisu podvrgnute javnoj raspravi ni su opšte prihvaene.

Forenziki ala sa zatvorenim kodom koji su tesrani na nauno prihvatljivoj i pon-ovljivoj osnovi i iji je broj i p grešaka poznat i objavljen mogu se ravnopravno korissa alama sa otvorenim programskim kodom. Primer takvih alata je EnCase 4.0 koji je

tesran u NIST laboratoriji.Forenziki ala sa otvorenim izvornim kodom imaju objavljene procedure, pa

forenziar može odlui da li da koris alat ili ne [15].

1.2.5 Standardizacija procedure privremenog oduzimanja raunara kao dokaznogmaterijala

Generalno u digitalnoj forenzici raunarskog sistema, potencijalni izvori digitalnih

dokaza mogu se nai u brojnim hardverskim i programskim komponentama sistema, [3]:HD, magnetna traka, eksterni/pokretni mediji za skladištenje podataka,•

log fajlovi mrežne infrastrukture (• rewall , IDS/IPS, proxy server itd.),

aplikacije i log fajlovi bezbednosno relevantnih dogaaja (tragova za• audit ),

e-mail,•

sadržaj drugih servera (Windows zajedniki fajlovi, web serveri, baze poda-•taka itd.),

uhvaeni mrežni saobraaj.•Osnovni problemi DF istrage su osetljivost digitalnih podataka - lako brisanje i izme-na digitalnih podataka i kratkotrajnost u odreenom stanju raunarskog sistema. Naprimer, startovanjem ažuriranja PC sa Windows XP plaormom, menjaju se stone po-dataka o datumu i vremenu (vremenskih peata) i veliki broj fajlova. Prikljuivanje HDili USB, takoe, menja vremenske peate fajl sistema, a iskljuivanjem raunara gubese podaci iz promenljive radne memorije (RAM-a). U odreenim uslovima akvizicija(izvlaenje) digitalnih dokaza postaje veoma teška, na primer:

mrežni saobraaj postoji samo nekoliko milisekundi na žinoj/kablovskoj•

mrežnoj infrastrukturi;


29/305

16 I J

upad i napad mogu bi izvedeni izuzetno sosciranim• rutkit tehnikama zaubacivanje i skrivanje prisustva zadnjih vrata;

akvan rad napadnutog sistema (npr. servera) može onemogui akviziciju•digitalnih dokaza, ako ga nije mogue iskljui ili privremeno oduze;

anforenzike akvnos mogu sprei akviziciju digitalnih podataka.•

Standardna procedura za otkrivanje i privremeno oduzimanje raunara kao dokaznogmaterijala u sluaju kompjuterskog incidenta sadrži sledee elemente (FBI, SAD), [2]:

1. Pretraga mesta krivinog dela kompjuterskog kriminala:

Snimi na forenziki raunar i logova sve dokaze uzete na mestu krivnog•dela.

Ako se raunarski sistem ne može privremeno oduze iz nekog razloga, uze•dve zike slike (imidža) HD osumnjienog raunara na forenziki sterilanHD.

Ako se osumnjieni raunarski sistem može privremeno oduze, izvrši•demontažu sistema u skladu sa procedurom iskljuivanja (ako je raunarukljuen), oznai sve demonrane kablove i pripadajue unice parovima jedinstvenih brojeva, oznai, takoe, sve odvojene elemente sistema (CPUkuište, tastaturu, miša, diskete, opke diskove i druge medije) i spakova zabezbedan transport do forenzike laboratorije za ispivanje.

Registrova detaljno sve informacije o vlasniku kompromitovanog raunarskog•sistema.

Izradi detaljan izveštaj sa opisom svih preduzeh akcija u toku pretrage mes-•ta krivinog dela i privremenog oduzimanja raunarskog sistema.

Sve akvnos pretrage na mestu krivinog dela vrši u skladu sa standard-•nom operavnom procedurom.

2. Integritet digitalnih podataka:

edina sigurnost za integritet podataka je kredibilitet forenziara/ istraživaa,•koji ima znanje i iskustvo za propisno procesiranje elektronskih dokaza.

3. Izveštaj o procesiranju i strukturi osumnjienog D:

Spisak imena ukljuenog personala.•Snimak vremena i mesta prikljuivanja.•

4. Idenkacija ispivanog materijala:

Imena i serijski brojevi sve korišene opreme i programa u osumnjienom•raunarskom sistemu.

Izveštaj o ostalim informacijama sakupljenim u predistražnom postupku.•

5. Uspostavljanje lanca uvanja digitalnih dokaza:

Uspostavi i održava lanac uvanja integriteta digitalnih i drugih pova•dokaza do završetka sudskog procesa u skladu sa principima i SOP.


30/305

17M J

6. Uslovi uvanja digitalnih i drugih dokaza:

uva elektronske i druge dokaze u propisanim uslovima temperature,•vlažnos, prašine, magnetskih polja itd.

7. Procedura procesiranja dokaza sa D:

U zavisnos od plaorme osumnjienog raunara, primeni SOP za• iskljuivanje/podizanje (butovanje) raunara i uzimanje forenzikog imidža zaanalizu.

Za forenziku analizu obezbedi dve imidž kopije osumnjienog HD.•

8. Idenkaciono oznaavanje ostalih medija za skladištenje (osim D):

Sve medije za skladištenje podataka (trake, printerski kertridži, zip ili opi dis-•kovi, USB, CD ROM, DVD i druge prenosive dokaze), privremeno oduzete zaispivanje, treba propisno oznai i dokumentova prema sledeem:

sadržaj,- podaci serkovani/tesrani/ispitani,-

ime forenziara-analiara,-

zašta diska od upisivanja pre pregleda, kopiranja, analize kopije (ne origi--nala), anvirusno skeniranje,

oznai svaku disketu, CD, DVD, USB sa a-1, a-2 itd.,-

odštampa direktorijum sa svakog ispivanog medija,-

ako se u ovoj fazi otkriju informacije koje predstavljaju dokaz, odštampa-

sadržaj tog fajla i oznai štampani materijal sa istom alfanumerikomoznakom.

1.2.6 Procedure za obezbeivanje kopija dokaza

Procedure za obezbeivanje kopija dokaza za javnog branioca, advokata odbrane, itd:

1. Pod ism uslovima napravi radnu ziku kopiju – forenziki imidž (kopiju bit-po-bit) originalnog osumnjienog/ispivanog HD sa potencijalnim dokazima i

jedan forenziki imidž kao referentni za eventualne pravosudne potrebe.2. Štampa za izveštaj sa radne forenzike kopije, sve dok sadržaj ne postane

suviše velik za potrebe istrage u celini. Ako takav izveštaj postaje preobiman,onda saže pisani izveštaj, a u prilogu podne kopiju elektronskog dokaza.

3. Podaci sadržani u memorijskim ureajima i medijima samo za itanje,ponekad se traže kao dokazi u formi štampane kopije.

4. Referentnu kopiju uva u celom lancu istrage za sluaj da sud ili druga stranasumnjaju i/ili zahtevaju da se dokaže integritet digitalnih dokaza, tj. da se

dokaže da digitalni dokazi nisu izmenjeni pod ucajem forenzikih alata uprocesu analize i pripreme digitalnog dokaza za glavni pretres.


31/305

18 I J

Tehnika prezentacija pred sudom:-

ednostavna i skoro osloboena kompjuterske tehnologije;-

PowerPoint - prezentacija koja jednostavno objašnjava kompleksni kon-cept;

Poseban kompjuterski kriminal na Internetu;-Kako radi Internet.-

1.2.7 Standardna procedura naunog karaktera digitalnog dokaza

Kako je digitalni podatak i potencijalni digitalni dokaz po svojoj prirodi veoma os-etljiv na promene i uništavanje (brisanje) i u sušni uvek posredan dokaz za sud, možese lako doves u pitanje prihvatljivost digitalnog dokaza pred sudom, na zahtev druge

strane ili samog suda. Kako je broj sluajeva kompjuterskog kriminala naglo rastao, bilo je potrebno obezbedi neoborive argumente za dokazivanje da se digitalni podatakmože kopira, uva i procesira u raunarskom sistemu, a da pri tome ne doe doizmene digitalnih podataka koji ine vrs (neoborivi) digitalni dokaz, u odnosu na tokakvi su podaci bili u osumnjienom raunaru u trenutku akvizicije podataka i da,takoe, nisu izmenjeni u odnosu na stanje u osumnjienom raunaru pre same akvizicije i primene forenzikog alata. Ovakve argumente, u principu, mogu obezbedi samonauno dokazane i priznate tehnike, procesi i metodi akvizicije i analize digitalnih poda-taka, [39]. Ovakva procedura, koja se smatra bazinom procedurom digitalne forenzike,

poznata je kao Daubert Gudlines4

, ili Daubert standardna procedura uslova za prih-vatljivost digitalnog dokaza pred sudom, koja mora bi takva da se:

izvoenje dokaza može po zahtevu suda verikova;•

pozna stepen grešaka koje procedura unosi u digitalni dokaz može dokaza;•

objavi u vrhunskom, višestruko recenziranom naunom asopisu, dok konfer-•encijski radovi nisu prihvatljivi i

da se prihvata u relevantnim naunim krugovima.•

Istraživanje (2004) u SAD je potvrdilo da razumevanje znaaja Daubert principa zaprihvatljivost digitalnog dokaza na sudu znaajno varira, (slika 1.2).

4 Sudski sluaj Daubert vs. Merrell Dow Pharmaceucals Vrhovni sud SAD je prihvao kao referentni za

prihvatljivost ekpertskog naunog mišljenja za svedoenje/veštaenje u svim sluajevima federalnogsuda.


32/305

19M J

Slika 1.2 Daubert princip prihvatljivos digitalnih dokaza na sudu, [3]

Najvei stepen razumavanja je zahtev da je za forenziki alat poznat stepen greškekoju unosi i da se to na zahtev suda može testom dokaza. Standardna Daubert proce-

dura obuhvata uslove za forenziku prihvatljivost soverskih alata i tehnika za primenualata, procedura akvizicije, analize i uvanja digitalnih dokaza, kao i ponovljivos proce-dure za tesranje forenzikih alata na zahtev suda. Do danas je nekoliko alata za digitalnuforenziku analizu podvrgnuto ovoj standardnoj proceduri (npr. EnCase, FTK i dr.).

1.2.8 Standardna procedura tesranja forenzikih alata

Iako još uvek ne postoji opšte prihvaena i konzistentna standardna procedura za

tesranje alata za forenziku akviziciju i analizu digitalnih podataka u oblas javne digi-talne forenzike prihvata se serkacija radne grupe NIST-a specijalizovane za tesranjealata za forenziku raunara - NIST CFTT (NIST Computer Forensic Tool Tesng). U in-teresnoj zajednici digitalne forenzike preovlauje mišljenje da forenzike alate trebada tesraju i serkuju još i vendori (proizvoai i isporuioci) alata i sami korisnici –digitalni forenziari, [6], [11].

Do sada5 je NIST CFTT grupa razvila metodologiju samo za uzimanje zike (miror,slike ili imidža vrstog diska). Procedura uzimanja zike slike diska sadrži samo izvoenjetestova koji verikuju oekivane funkcije soverskog alata, a ne podrazumeva kontrolu

5 do 2006, u toku je razvoj više procedura za tesranje drugih funkcija forenzikih alata.


33/305

20 I J

izvornog koda. U tom smislu, zbog mogunos kontrole koda, osnovne funkcije alata saotvorenim izvornim kodom je lakše tesra i lakše je razvi ekasnije testove. Iako dosada nema objavljenog konzistentnog predloga metoda i procesa za proraun stepenagrešaka hardversko/soverskih alata za digitalnu forenziku analizu, dostupni su rezul-ta brojnih testova forenzikih alata sa zatvorenim izvornim kodom. Cilj ovih testova

je da se nedvosmisleno dokaže da neki forenziki alat unosi poznat p i broj grešaka,što se može dokaza ponavljanjem procedure testa. Od velike pomoi je i injenica da je zbog komercijalnih razloga u najboljem interesu vendora alata da je ova greška što je mogue manja, što opravdava i zahteve za serkaciju alata od strane vendora. Ste-pen grešaka forenzikog alata treba da ukljuuje, pored funkcionalnih grešaka i greškeu programiranju ili bagove. Aplikacije soverskih alata sa zatvorenim izvornim kodom mogu kri skrivene bagove, koji nisu dokumentovani pa ostaju nepozna i u sledeojverziji proizvoda. Nasuprot, aplikacije forenzikih alata sa otvorenim izvornim kodomomoguavaju poreenje dve verzije alata i otkrivanje eventualnih bagova koji su ostali

skriveni u prethodnoj verziji.Tesranje forenzikih alata u NIST CFTT programu je, bez sumnje, krino za digi-

talnu forenziku sa aspekta zahteva za prihvatljivost alata pred sudom. Meum,postojei zahtev za vendorsko ispivanje alata, u principu ima drugaiji cilj. NIST Is-pituje da li alat radi ono šta je pretpostavljeno da treba da radi da bi bio prihvatljiv zasud, dok vendori alata ispituju šta je pretpostavljeno da alat radi u razliim situacijamai ovo ispivanje traje znatno duže i znatno je skuplje od tesranja NIST-a. Na primer,kompanija ProDiscover ima skup od 500 sluajeva tesranja svih forenzikih plaor-mi i alata koje ova razvija. Ipak, zbog soscirane prirode sovera i brojnih varijan

i permutacija sistemskih programa, nije realno zahteva primenu nekog alata u svimforenzikim situacijama i sluajevima. Drugim reima, nije mogue potpuno simulirai tesranjem obuhva sve potencijalne kombinacije forenzikog hardvera i soverau vrlo razliim, realnim sluajevima kompjuterskog kriminala. U praksi, proizvoaiforenzikog sovera, za sada uspevaju samo da idenkuju veinu krinih bagova, alinije neobino da se ala popravljaju u novim verzijama6, na bazi povratnih informacijakorisnika iz forenzike zajednice. Tu je najvei problem što forenziari ne mogu ven-dorima dostavi fajlove sa dokazima o manifestaciji bagova zbog zahteva za zaštomprivatnos i/ili tajnos, a drugi razlog je što do sada forenziki ala generalno imaju

slab sistem upravljanja greškama. Tako se javila potreba da forenziki alat treba daima log fajl grešaka, ime bi korisnici mogli obaves vendore o problemima rada saalatom bez ugrožavanja privatnos i tajnos predmetnog lica u analiziranom sluaju iliotkrivanja osetljivih informacija. Takoe, na ovaj nain bi forenziar registrovao prob-lem, koji bi u suprotnom mogao osta nezapažen.

Meum, ostaje problem što se log fajl grešaka forenzikog alata može u unakrsnomispivanju u sudskom procesu zloupotrebi za prolongiranje istrage i samog procesa,ukazivanjem na nepouzdanost primenjenog alata, ili dovoenjem u sumnju integritetrelevantnih digitalnih dokaza.

6 krpe („peuju“) kao standardni soveri proizvedeni agilnim metodima.


34/305

21M J

Opšte je mišljenje u forenzikoj interesnoj zajednici da je potrebno razvi standardekoji denišu oekivana ponašanja forenzikih alata. Na primer, postoji potreba za stan-dardnim formatom skladišta (baza podataka), formatom uvoza/izvoza (XML, CSV), zaskupom zajednikih indeksa i heš vrednos i za denisanjem procesa i termina. Prob-lem je dilema o tome ko treba da razvija takve standarde: korisnici, vendori ili konzo-

rcijum za digitalnu forenziku. Oigledno je da bi standardizacija, na primer, formataza skladištenje digitalnih dokaza znaajno poveala interoperabilnost i kompabilnostforenzikih alata. Sa aspekta prakse digitalne forenzike akvizicije i analize, forenziarzahteva da ima razliite poglede na is sadržaj sa razliim alama. Na primer, AccessData (alat FTK) ima lozoju da „ forenziki alat treba koris toliko dugo koliko dajeoekivane informacije forenziaru“ . Takoe, postoji potreba za veom automazacijomrunskih poslova i redosleda izvršavanja zadataka forenzikih alata, kao i uvoenjemekspertnih sistema u proces digitalne forenzike akvizicije i analize.

1.2.9 Legalni zahtevi za digitalne dokaze

Oblast digitalne forenzike nauke i forenzike akvizicije i analize digitalnih dokaza jošuvek je u razvoju. Nije poznato ni pouzdano utvreno da li se kao digitalni dokaz trebasmatra nauno potvren dokaz ili izlazni rezultat automazovanog forenzikog alata iprimenjenih forenzikih tehnika.

Bez obzira na ovakvo stanje, moraju bi zadovoljeni neki zahtevi da bi se ulaznidigitalni podatak u pravosudni sluaj kompjuterskog kriminala smatrao prihvatljivim

digitalnim dokazom. Meum, nauno potvren digitalni dokaz mora bi istovremenoi relevantan i pouzdan (neoboriv) za konkretni sluaj. Pouzdanost naunog dokaza sedokazuje primenom standarda koji zahteva da se procedura dokaznog postupka možetesra, verikova i da je metod tesranja nauno priznat. Relevantnost digitalnogdokaza odreuje sud u kontekstu sluaja, a na bazi njegove vrednos za optuživanje ilioslobaanje od krivine odgovornos. Naješe same digitalne dokaze treba podržai sa drugim, zikim dokazima iz procesa istrage, ukljuujui i rezultate ispivanjasvedoka, oske prsta, razne zabeleške i druge indikatore koji upuuju na identetosumnjienog. Višestruko podržani digitalni dokazi imaju veu prihvatljivost na sudu.

1.2.10 Dostupnost standardnih procedura i alata

Pojavom vrhunskih naunih asopisa (Internaonal Journal of Digital Evidence i dr.)obajvljenji su i postali šire dostupni brojni radovi iz oblas forenzikih alata za akvizicijui analizu digitalnih dokaza sa višestrukom recenzijom. Takoe, objavljeni su brojni, do-kumentovani podaci i detalji o tome kako rade i procesiraju razlii fajl sistemi ili kako seoporavljaju izbrisani fajlovi na HD i koliki stepen grešaka unose komercijalni forenziki

ala. Pri tome neki fajl sistemi kao što je NFTS nisu ak ni javno dokumentovani – imaju


35/305

22 I J

zatvoren izvorni programski kod. Kako fajl sistemi nisu dizajnirani da imaju neizbrisivefajlove, forenziari za analizu digitalnih dokaza ne mogu zna koju proceduru koristenjihovi ala u izvršavanju ovih nedokumentovanih akcija.

Zato se za soverske forenzike alate sa zatvorenim programskim kôdom (npr.EnCase 4.0) zahteva višestruko tesranje i objavljivanje rezultata testa sa stepenom

greške koju alat unosi, što je prihvatljiva praksa za gotovo sve pravosudne sisteme uzapadnim zemljama. Sa druge strane, proizvoai alata sa otvorenim izvornim kodomuvek korektno objavljuju svoje procedure, pošto je izvorni kod na raspolaganju svakomkorisniku koji ga može proita i proveri tanost procedure.

1.2.11 Tela za akreditaciju standarda digitalnih forenzikih laboratorija

Direkcija amerikog udruženja kriminaliskih laboratorija (Bord laboratorija) za

akreditaciju (ASCLD/LAB) je telo za akreditaciju koje propisuje kriterijume i standarde,koje specine naune i tehnike discipline moraju zadovolji i radu forenzikih labora-torija za digitalne dokaze. Ovo telo izdaje Prirunik za akreditaciju koji sadrži: principe,standarde i kriterijume, kao i diskusije (pošto su standardi u razvoju). Prirunik je na-menjen za rad menadžmenta forenzikih laboratorija, radnog osoblja, kvalikovanihlica-specijalista i laboratorijske opreme.

U SAD je na federalnom nivou osnovana Asocijacija forenzikih naunika za analizudigitalnih dokaza (AAFS). lanovi AAFS su najeminentniji naunici koji se bave disci-plinama u ovim oblasma, a od njih su mnogi i akademici. Asocijacija zahteva najmanje50 lanova za formiranje sekcije u nekoj državi. Novi lanovi se prijavljuju generalnojsekciji, iz koje se po potrebi mogu formira odvojene specijaliske sekcije.

edan od brojnih problema u oblas digitalne forenzike istrage - haos u serkacijieksperata za forenziku analizu digitalnih dokaza, može se razreši samo ako se konzis-tentno primene usvojeni principi na sve oblas digitalne forenzike za sudsku praksu.Serkacija profesija u oblas digitalne forenzike treba da bude zajedniko pitanje i jedinstveno usklaena na meunarodnom nivou. Moraju postoja univerzalne mere zaocenu individualne kompetentnos i ekspertskih znanja i vešna. Tehnologija digitalne

forenzike istrage, akvizicije i analize zahteva razvoj standarda i protokola. Za praknuprimenu u forenzikoj praksi zahteva se obuka i edukacija koja se završava tesranjemsteenih znanja i vešna u procesu serkacije. Nacionalni centri za serkaciju ek-sperata digitalne forenzike moraju radi u bliskoj korelaciji sa meunarodnim telima zaserkacije u ovoj oblas, [6].


36/305

23M J

REZIME

Zašto je potreban zakonski i pravni okvir za digitalnu forenziku istragu, saku-pljanje (akviziciju), dokazivanje (analizu) i sankcionisanje (veštaenje/svedoenjei suenje) sluajeva kompjuterskog kriminala? Nacionalni zakon o borbi provkompjuterskog kriminala je neophodan i neizbežan, zbog realnog trenda global-nog rasta kompjuterskog kriminala u svetu, kao formalni okvir za razvoj nacio-nalnih kapaciteta za istragu, dokazivanje i sankcionisanje krivinih dela kompjut-erskog kriminala. Pravni okvir se zahteva za potrebe nacionalnog pravosua iusaglašavanje prakse pavosudnih sistema na meunarodnom nivou, zbog global-nog, transnacionalnog karaktera kompjuterskog kriminala. Standardi i formalneoperavne procedure istrage, akvizicije i analize digitalnih dokaza kompjuterskogkriminala neophodne su zbog kompleksnos i delikatnos zadataka i specineprirode digitalnih dokaza.

Svaki sluaj istrage kompjuterskog kriminala zahteva razvoj biznis plana za us-postavljanje forenzikih kapaciiteta (javnih/korporacijskih), detaljnog plana pro-

jekta forenzike istrage, programa, vremenskog plana, budžeta i kadrova. Krajnjicilj digitalne forenzike istrage je prikupi dovoljno podataka i informacija da sekrivino delo kompjuterskog kriminala dokaže pred sudom. Nažalost konzistent-na tehnologija neophodna za rešenje svih sluajeva kompjuterskog kriminala jošuvek ne postoji. Digitalni forenziar treba zna da svaki upad u rauanrski i IKTsistem ostavlja brojne tragove, bez obzira koliko su teški za praenje i otkrivanje.

Svaki kompjuterski kriminal je rešiv uz veliko strpljenje i dovoljno znanja i upor-nos.

Generalno, istraga kompjuterskog kriminala zahteva mnogo vremena, rada inovca, pa veš eksper mogue oduži procedure u nedogled u cilju scanja neo-pravdane koris. Zato je potrebno uspostavi i koris formalne, struktuirane,zakonski i pravno zasnovane, procedure istrage, akvizicije i analize digitalnihdokaza kompjuterskog kriminala. U najjednostavnijem sluaju zakonski okvir zaistragu kompjuterskog kriminala mora obezbedi najmanje proceduru za voenjeistrage o sluaju kompjuterskog kriminala. Što su jasnije denisani proces, metodi

i tehnologije istrage sluajeva kompjuterskog kriminala, to je vea verovatnoa zauspešan ishod istrage.

Najsigurniji istražni postupak u sluaju kompjuterskog kriminala je pa strik-tnog sprovoenja propisane procedure i izvršavanje akvnos korak po korak.Prvo se mora done zakljuak da je napad izvršen, a zam proceni karakter inci-denta i done odluku o nivou korporacijske, odnosno, zvanine istrage.

Znaajno je što se u ciklinom procesu upravljanja kompjuterskim incidentom,na osnovu rezultata digitalne forenzike istrage, mogu otkloni uzroci, a ne samoposledice svih bezbednosih ranjivos raunarskog sistema i mreža, koje se otkriju

u sistemu zašte i me poboljša otpornost IKT sistema na nove napade.


37/305

24 I J

PITANJA ZA PONAVLJANJE

1. Nabrojte osnovne elemente kompjuterskog kriminala.

2. Koje su glavne kategorije kompjuterskog kriminala sa aspekta uloge

raunara?3. Navedite neke pove kompjuterskog kriminala.

4. Ko su glavni korisnici digitalne forenzike istrage?

5. Koje su glavne oblas digitalne forenzike?

6. Denišite digitalni dokaz.

7. Koji su glavni IOEC principi upravljanja digitalnim dokazima?

8. Koje glavne elemente treba da sadrži standardna operavna procedura digi-talne forenzike istrage?

9. Navedite Daubert principe prihvatljivos digitalnih dokaza pred sudom.

10. Objasnite pod kojim uslovima sud priznaje digitalne dokaze.


38/305

25M J

2. ISTRAGA KOMPJUTERSKOG KRIMINALA

2.1 ZVANINA ISTRAGA KOMPJUTERSKOG KRIMINALA

Generalno, digitalna forenzika istraga deli u dve osnovne kategorije, [3]:

zvaninu (javnu)• i

korporacijsku (privatnu)• digitalnu forenziku istragu.

Zvanina (javna) digitalna forenzika istraga ukljuuje policijske organe istrage, spe-cijalno tužilaštvo i specijalno sudstvo za borbu prov visokotehnološkog (kompjuter-skog) kriminala. Ovi organi treba da rade u skladu sa brojnim zakonima kao što su:

Zakon o krivinom postupku, Zakon o borbi prov visokotehnološkog kriminala, Zakon

o zaš informacija i informacionih sistema, Zakon o digitalnom dokazu, Zakon o elek-tronskom potpisu, Zakonu o elektronskoj trgovini i dugi neophodni zakoni koji regulišuukupno savremeno elektronsko poslovanje. Takoe, zvanini organi istrage kompjuter-skog kriminala treba da rade prema strogo utvrenim standardnim operavnim proce-durama (SOP) za: pretragu, privremeno oduzimanje i ispivanje raunarskih sistema idrugih mrežnih ureaja, akviziciju digiotalnih podataka/dokaza sa razliih platvormii slika, u cilju otkrivanja validnih digitalnih dokaza. U sluaju zvanine istrage istražniorgani moraju dobro poznava i razume sve zakone i propise koji se odnose na kom-pjuterski kriminal, ukljuujui standardne lokalne procedure za pretragu i utvrivanje

sluaja krivinog dela kompjuterskog kriminala.U procesu utvrivanja karaktera krivinog dela kompjuterskog kriminala, istražni or-gan mora traži odgovore na brojna pitanja, kao što su:

1. Šta je bilo sredstvo izvršavanja krivinog dela?

2. Da li su raunarski sistem i mreža poslužili kao jednostavan prolaz za izvršavanjekrivinog dela?

3. Da li je u pitanju kraa, provala ili vandalizam u sistemu?

4. Da li je napada ugrozio neiju privatnost i druga prava, ili uznemiravao preko

Voice IP ili e-mail servisa?Raunarski sistem i raunarska mreža mogu bi sredstva za izvršavanje krivinog

dela i u tom smislu ne razlikuju se od pajsera provalnika za upad u tui stan, ili kalauzakradljivca kola. Raunarski sistemi su kao sredstvo za izvršavanje krivinog dela, ili pred-met krivinog dela, ukljueni u brojne i ozbiljne zloine.

U izgradnji sluaja krivinog dela kompjuterskog kriminala mogu se razlikova triglavne faze:

postojanje sluaja izvršenja krivinog dela kompjuterskog kriminala,•

istraga krivinog dela kompjuterskog kriminala i• suenje.•


39/305

26 I J

Opš proces zvanine istrage kompjuterskog incidenta, sa pristupom istrazi po mo-delu “korak po korak”, gde svaki korak u okviru jedne faze istrage vodi u drugi i obez-beuje kontrolnu listu akvnos u okviru svake od sledee 4 faze, [18], [20]:

inicijalna istraga,•

ulazak u trag napadau,•

otkrivanje identeta napadaa i•

hapšenje• .

U realnom sluaju krivimog dela kompjuterskog kriminala pian proces istragekree od prijave kompjuterskog incidenta zvaninim organima istrage (policiji). U fazipredistražnih radnji i pretrage istražni organi sakupljaju dovoljno dokaza za osnovanusumnju i pokretanje tužbe prov osumnjienog poinioca (nekada može bi i nepo-znat-NN poinila). O svojim nalazima policija upoznaje tužioca koji obezbeuje nalogza istragu od istražnog sudije i pokree zvaninu istragu. Sa sudskim nalogo u gotovo

svim pravosudnim sistemima organi istrage kompjuterskog kriminala mogu legalno pri-vremeno oduzima osumnjieni raunarski sistem ili uzima ziku sliku vrstog diska,radi forenzike akvizicije i analize digitalnih dokaza.

Iako policija svake države š javna dobra svojih graana, ne treba oekiva da sva-ki policajac bude IKT ekspert i da sve faze istrage kompjuterskog kriminala izvršavamsamostalno. U tom smislu, preporuena su tri nivoa potrebnih strunih znanja i vešnazvaninih organa istrage, [5]:

1. Nivo: Osposobljenost za akviziciju digitalnih podataka i privremeno uvanje inte-

griteta i propisno održavanje digitalnih dokaza. Ove poslove treba da obavljaju regular-ni kriminaliski tehniari (policajci) sa osnovnim informakim znanjima i osnovnimkursom digitalne forenzike;

2. Nivo: Osposobljenost za upravljanje procesom istrage visokotehnološkog krimi-nala. Organi istrage se osposobljavaju da postavljaju pitanja, ispituju informante (sve-doke) razumeju IKT terminologiju i šta može, a šta ne može bi izvueno iz digitalnihpodataka. Ove poslove treba da obavljaju kriminaliski inspektori (policajci) sa zavr-šenim specijaliskim kursom za digitalnu forenziku istragu kompjuterskog kriminalai oporavak digitalnih podataka, ukljuujui i osnove digitalne forenzike raunarskih sis-

tema.3. Nivo: Specijalno osposobljeni policajci za izvlaenje, ispivanje i analizu digitalnih

dokaza, koje normalno izvršavaju specijalis za digitalnu forenziku analizu raunarai raunarskih mreža, ili kiberneku (cyber ) istragu kompjuterskih i Internet prevara.Zvanini organi istrage osposobljeni sa ovim znanjima i vešnama mogu kompetentnoda upravljaju sluajem krivinog dela kompjuterskog kriminala, uspešno obezbeujuresurse za istragu, procenjuju obim istrage, delegiraju uloge i lica za sakupljanje i pro-cesiranje informacija koje se odnose na osumnjienog, kao i za akviziciju i analizu digi-talnih podataka iz ošteenog, posrednih i osumnjienog raunara i izgradnju vrsh do-

kaza. Posao istražitelja kompjuterskog kriminala završava se kada se pomou propisane


40/305

27M J

procedure (SOP) i prihvatljive metodologije izvuku relevantni i vrs digitalni dokazi izprocesom akvizicije obezbeenih i drugih izvora podataka.

Istražitelj kompjuterskog kriminala, pre privremenog oduzimanja raunarskog siste-ma radi akvizicije i analize digitalnih dokaza, dostavlja sve preliminarne dokaze (zi-ke, digitalne i slika) o osnovanoj sumnji tužiocu za visokotehnološki kriminal i zahteva

nalog za pretragu. Specijalni tužilac za visokotehnološki kriminal podnosi specijalnomsudiji za visokotehnološki kriminal zahtev za nalog za pretres imovine osumnjienog ukojem iznosi poznate injenice iz predistražnog postupka i prilaže raspoložive dokazeo poinjenom krivinom delu. Na osnovu ovog zahteva i dokaza o osnovanoj sumnji,specijalni sudija za visokotehnološki kriminal izdaje nalog za pretres stana i raunarskogsistema osumnjienog.

2.2 KORPORACIJSKA DIGITALNA FORENZIKA ISTRAGA

Savremeni novi mobilni telefoni, Bluetooth ureaji, kompaktne eš memorijskiureaji i razni PDA mogu izvrši gotovo sve zadatke kao laptop raunari, ukljuujuii udaljeni pristup raunarskoj mreži bez znanja organizacije. Ovo je samo deo sistemanove tehnologije koji zahteva zaštu u IKT sistemu organizacije, ali predstavlja i izazovza primenu tehnika i alata korporacijske digitalne forenzike za rekonstrukciju kompjut-erskog incidenta. U uslovima dinamiki promenljivih kombinovanih pretnji koje moguiskoris brojne slabos web servisa i raunarskih mreža organizacije, razumevanje

uzroka i spreavanje ponavljanja incidenta jednako je važno kao i sam sistem zašteorganizacije. Za otkrivanje uzroka i otklanjanje ranjivos koje su dovele do incidenta,organizacija uvek može iznajmi retke specijaliste za digitalnu forenziku, ali je za sadata usluga najskuplji servis u sektoru zašte informacija, što je naješe ograniavajuifaktor. Iako je korporacijska digitalna forenzika u ranoj fazi razvoja, izazovi i rizici kojedonose nove, mobilne tehnologije nesumnjivo e uca na sve veu primenu forenzikihtehnika i alata u upravljanju kompjuterskim incidentom u organizaciji.

U kontekstu upravljanja kompjuterskim bezbednosnim incidentom u korporacijskom IKT sistemu, metodologija i tehnologija digitalne forenzike istrage obezbeujustabilnu i kompletnu celinu u ranjivom mrežnom okruženju sa uspostavljenim polika-ma zašte, implemenranim sistemom zašte i uspostavljenim kapacitema za uprav-ljanje kompjuterskim incidentom. Dobra je praksa da korporacijski digitalni forenziar mski radi sa administratorima sistema, mreže i zašte i drugim specijalisma zašteu cilju obezbeivanja prihvatljivog nivoa zašte raunarskih sistema i bezbednograda raunarske mreže u Internet okruženju. Iako sve tri grupe specijalista u velikimsistemima naješe rade samostalno, u sluaju glavnog kompjuterskog incidenta svetri grupe uvek rade zajedno. Ovakav koraboravni 7 rad obezbeuje ekasno i efekvnotrajno saniranje kompjuterskog incidenta u organizaciji, sa sopstvenim resursima i bez

7 rad lanova ma na razliim izvorima indikatora i dokaza istog kompjuterskog incidenta.


41/305

28 I J

pozivanja spoljnih specijalista. Specijalis za sisteme zašte, analizu rizika i ranjivossistema i mreža imaju iskustvo iz administracije sistema i mreža i poznaju neku met-odologiju za analizu i ublažavanje rizika. Specijalis za upravljanje kompjuterskim in-cidentom poznaju automazovane detektore upada (IDS/IPS pa), monitorišu logovelogikih mrežnih barijera ( rewalls), otkrivaju, prate, idenkuju i spreavaju upade u

raunarske mreže i, u sluaju napada, pomažu forenziarima da rekonstruišu napad,oporave podatke i idenkuju napadaa. Digitalni forenziari ispituju napadnute, kom-promitovane ili osumnjiene raunarske sisteme, ukljuujui i posredne raunare, kojisadrže potencijalne dokaze o kompjuterskom incidentu/kriminalu i dostavljaju nalaze onainu napada lanovima druga dva ma za efekvno ksiranje i trajno otklanjanje ot-krivenih ranjivos sistema. Bliskom saradnjom ovih specijalista, efekvno se spreavaponavljanje istog ili slinog incidenta i dugorono podiže bezbednost sistema na višinivo.

Potrebu za razvojem korporacijske digitalne forenzike mogu generisa razlii iz-

vori, [3].

interni zahtevi polike zašte korporacije/organizacije za upravljanje kompjut-•erskim incidentom;

spoljni faktori kao što su meunarodni zahtevi za standardizaciju i usklaivanje•upravljanja zaštom informacija, zadržavanja informacija itd.;

razvoj sosciranih hakerskih alata i vešna napada na raunarske sisteme i•mreže;

nacionalni zakoni i regulave koji• postoje u veini zemalja, mogu zahteva

uspostavljanje nekih oblika forenzikih kapaciteta za borbu prov kompjut-erskog kriminala, kao što su zakoni o zadržavanju informacija (npr. Švajcarskizakon ISP log retenon), regulave i standardi u industriji, zdravstvu, nansi- jskom sektoru itd.;

standardi industrijske najbolje prakse u oblas zašte informacija, kao što su•ISO/IEC 27001 (17799:2005) i drugi serije ISO/IEC 27k meunarodni standardiza zaštu informacija, koji preporuuje procedure za skupljanje informacijai dokaza, analizu i procenu incidenata, zadržavanje e-mail poruka i slika, iliIAAC (Informaon Assurance Advisory Council ) smernice, koje daju uputstvaza obezbeivanje korporacijskih forenzikih kapaciteta;

objavljivanje forenzikih procedura i alata u višestruko recenziranim naunim•asopisima kao što su Digital Invesgaon Journal , The Internaonal Journalof Digital Forensics & Incident Response i drugim.

Ako neka korporacija/organizacija odlui da uspostavi sopstvene kapacitete za digi-talnu forenziku istragu na bazi internih potreba i zahteva polike zašte za upravljanje kompjuterskim incidentom, oekuje se da zvanini državni organi za borbu provkompjuterskog kriminala u svakoj nacionalnoj državi obezbede:

pomo legalnim movima korporacija/organizacija za upravljanje kompjut-•


42/305

29M J

erskim incidentom kod otkrivanja uzroka incidenta i napadaa, posebno izdrugog domena zašte (drugog ISP), ili drugog pravosudnog sistema u kojimakorporacijski organi istrage nemaju nikakvu nadležnost;

usaglašavanje korporacijske polike/standarda zašte sa lokalnim zakonima i•regulavama, što može bi od velike koris za razvoj forenzikih kapaciteta;

preporuke i procedure za kontrolu (• auding) sistema zašte i

informacije za obrazovanje u oblas digitalne forenzike (npr.• Internaonal Journal of Digital Evidence i slika).

Uspostavljanje korporacijskih kapaciteta za digitalnu forenziku može se pozivno odra-zi i u oblas upravljanja ljudskim resursima. Proces korporacijske digitalne forenzikeistrage, forenzike tehnike i ala mogu obezbedi kljune informacije za razliite aspek-te upravljanja ljudskim resursima, kao što su: otpuštanje zaposlenih i ukidanje radnihmesta, upravljanje zaposlenim, disciplinske akcije, procena ekstremnih sluajeva (smr,

samoubistava, kidnapovanja) i slika Od korporacijskih forenzikih kapaciteta velike ko-ris mogu ima i razliita stalna/privremena tela i movi koji se formiraju u korporaciji,kao što su movi za: istragu klasinih prevara i kriminala, upravljanje kompjuterskimincidentom i vanrednim dogaajem, upravljanje rizikom, procenu rizika, kontrolu rizikaod kompjuterskog kriminala, upravljanje konnuitetom poslovanja itd. Sve ove ulogeimaju potrebu da koriste usluge kompetentnog centralnog ma za zaštu informacija sadigitalnim forenziarom koji dobro poznaje forenzike tehnike i alate.

Korporacijski kapacite za digitalnu forenziku mogu, takoe, odigra znaajnu uloguza zaštu intelektualne svojine, ugleda i brendova korporacije, ispivanjem lažnih web

sajtova, phishing napada itd.U IKT sistemu korporacije, forenziki kapacite su od kljunog znaaja za analizu tra-

gova upada u sistem, ispivanje povreda polika zašte, utvrivanje zloupotreba IKTinfrastrukture, analizu prisustva logikih bombi, rutkit tehnika, zadnjih vrata, trojanacai drugih malicioznih kodova. Forenzike alate i tehnike, korporacija može koris i za:

verikaciju procedura za saniranje korporacijskih diskova za skladištenje bri-•sanjem sa prepisivanjem (wiping),

verikaciju implementacije šifarskih sistema na disku/u mreži,•

oporavak podataka sa pokvarenih HD i starih/zastarelih medija,•oporavak lozinke na legimne zahteve,•

utvrivanje skrivenih grešaka i•

dizajn i arhitekturu IKT sistema koji obezbeuju uspostavljanje forenzikih ka-•paciteta korporacije.

Glavni problemi u procesu uspostavljanja forenzikih funkcionalnos u korporacijisu odreivanje osnovnih potreba/zahteva za digitalnog forenziara/m forenziara inekih kljunih faktora za implementaciju uloge digitalnog forenziara u organizaciji.

Prirodno je da se uloga digitalnog forenziara uspostavlja u korporacijskom mu zaupravljanje kompjuterskim incidentom.


43/305

30 I J

2.2.1 Uspostavljanje ma za upravljanje kompjuterskim incidentom

Sa aspekta efekvnos sistema zašte, korporacijski m za upravljanje kompjut-erskim incidentom u svim aspekma zašte informacija, ukljuujui korporacijskuforenziku istragu, treba da bude centralizovan za sve delove korporacije. Tim možebi uspostavljen od kompetentnih zaposlenih koji obavljaju redovne poslovne zadatke,a u mu rade po potrebi i u sluaju glavnog kompjuterskog incidenta. Neki ili svi lanovima mogu bi iznajmljeni, što može predstavlja dodatnu ranjivost korporacije. Velikekorporacije mogu ima poseban m samo za digitalnu forenziku istragu, akviziciju ianalizu. Tipini m za upravljanje bezbednosnim kompjuterskim incidentom treba daukljui sledee uloge/prole zaposlenih ili iznajmljenih specijalista:

1. Menadžer zašte informacija - CIO (Chief Informaon O cer );

2. Administrator raunarskog sistema/mreže;

3. Specijalista za upravljanje i kontrolu bezbednosnog rizika;4. Kontrolor sistema kvaliteta;

5. Predstavnici drugih mova (za vanredne dogaaje, usaglašenost standarda islika)

6. Digitalni forenziar;

7. Pravnik organizacije;

8. Menadžer za upravljanje ljudskim resursima.

Kljuni nedostatak centralizovanog upravljanja kompjuterskim incidentom i siste-

mom zašte u celini, može bi injenica da se postepeno klasina paradigma savre-menih organizovanih malicioznih, hakerskih napada sve više pomera na centralizovaneentete za upravljanje zaštom informacija u korporaciji/ organizaciji.

Veoma je korisno da korporacija generiše i implemenra Poliku digitalne forenzikeistrage sa saopštenjima koja omoguavaju ovlašenim zvaninim organima istrage dapristupe sistemu i izvrše akviziciju digitalnih podataka u fazi ukljuivanja zvaninih or-gana istrage u korporacijsku forenziku istragu. Saopštenja ove polike treba da sadrženajmanje sledee zahteve za:

zaštu osetljivih podataka,•

smanjenje rizika kod pristupa (kontrolisa i logova sve pristupe),•

denisano vreme zadržavanja informacija (e-mail poruka i dr.),•

usklaivanje sa legalnim i regulatornim zahtevima,•

odgovore na bezbednosne incidente,•

forenziki oporavak i istragu incidenta,•

uspostavljanje forenzikih resursa (kapaciteta) korporacije,•

obuku i osposobljavanje forenziara/ma potrebnim znanjima i vešnama,•

opremu forenzike laboratorije i terenskih forenzikih alata i•

iznajmljivanje spoljnih partnera i eksperata u sluaju potrebe.•


44/305

31M J

Uspeh uspostavljanja korporacijskog ma za upravljanje kompjuterskim incidentomsa sopstvenim kapacitema za korporacijsku digitalnu forenziku istragu, u najveojmeri zavisi od podrške menadžmenta korporacije. U prvom redu, potrebno je ubedi- menadžment da je takav m potreban korporaciji i da može done vidljive koris.Pažnju treba usmeri na razvoj opšte spremnos korporacije da upravlja kompleksnim

kompjuterskim incidentom, analogno pripremi za prov požarnu zaštu. Sve razlogetreba ilustrova sa najnovijim primerima štetnih posledica za brojne organizacije usvetu od raznih pova zloupotreba raunara i kompjuterskog kriminala. Praksa zaštenesumnjivo potvruje da je spremnost korporacija/organizacija da razviju i implemen-raju adekvatne sisteme zašte informacija, proporcionalna koliini akumuliranog strahamenadžmenta od posledica koje su imale druge sline korporacije/organizacije8. Dobro je ilustrova troškove jednog sluaja suenja kompjuterskog kriminala i me oprav-da troškove uspostavljanja forenzikih kapaciteta korporacije. U ovom markenškomprocesu neophodno je razvija svest o potrebi zašte i kod drugih grupa zaposlenih,

ukljuujui krajnje korisnike, i obezbedi opšte razumevanje i podršku cele organizacije. U prezentaciju treba ukljui tok procesa uspostavljanja kapaciteta korporacijskedigitalne forenzike istrage, potrebnu logisku i strunu podršku i naves postojeekompetentne, nacionalne digitalne forenzike centre.

Od posebnog znaaja je uspostavljanje pouzdane, potpune i ekasne komunikacijeizmeu zaposlenih i interventnog ma i obrnuto. Korisno je odredi odgovorna lica inaves kontaktne informacije lanova ma iz razliih delova IKT sistema i organizacijeza potrebe sakupljanja digitalnih dokaza, kao i kontaktne informacije sa spoljnim sara-dnicima i konsultanma. Interventni m treba da deniše i objavi sve komunikacione

kanale, ukljuujui e-mail adresu, telefone, web lokaciju i dr.

Polika korporacijske digitalne forenzike istrage treba da zahteva obaveznu obukuza scanje razliih znanja i vešna iz oblas zašte IKT sistema, upravljanja rizikom,upravljanja bezbednosnim incidentom i digita

Documents

Istraga Kompjuterskog Kriminala