• Verica Đukić - Predsednica IV suda u Beogradu
    "Maksimalno brza i poverljiva uslugu kada je to najpotrebnije..."
    Verica Đukić - Predsednica IV suda u Beogradu
  • Uništavanje Podataka
    Uklonite sve informacije pouzdano!
    Uništavanje Podataka
  • Željko Bura, Komandir PS Zemun
    "Profesionalnost, ljubaznost i odgovornost..."
    Željko Bura, Komandir PS Zemun

Kompjuterska forenzika | Pitanja i odgovori



  1. Šta je to kompjuterski kriminal?
  2. Koje vrste kompjuterskog kriminala postoje?
  3. Kako da se zaštitimo od kompjuterskog kriminala?
  4. Kada je digitalni dokaz prihvatljiv na sudu?
  5. Kako izgleda uobičajena procedura zaplene kompjutera?
  6. Kako se kreira precizna kopija diska?
  7. Šta je to što čini posebnim prikupljanje digitalnih dokaza?
  8. Kako se postaje kompjuterski forenzičar u Srbiji?
  9. Koliko se dugo Data Solutions bavi forenzikom?
  10. Klijenti za spašavanje podataka su jasno navedeni, a za forenziku ih nema?
  11. Gde se može saznati više o kompjuterskoj forenzici na internetu?
  12. Koju literaturu preporučujete?



Možda najbolja i najpreciznija definicija kompjuterskog kirminala podeljenog u dve kategorije dolazi od strane UN-a * :

Cyberkriminal u užem smislu (kompjuterski kriminal) predstavlja svako ilegalno ponašanje obavljeno elektronskim putem koje za cilj ima sigurnost kompjuterskih sistema, kao i podataka koje oni obrađuju. Cyberkriminal u širem smislu (kriminal vezan za kompjutersku tehnologiju) je svako ilegalno ponašanje obavljeno pomoću ili u vezi sa kompjuterskim sistemom ili kompjuterskom mrežom, uključujući i takve aktivnosti kao što su ilegalno posedovanje i/ili nuđenje i distribucija informacija pomoću kompjuterskog sistema ili kompjuterske mreže.

Naravno, najveći problem prilikom definisanja ovog termina predstavlja razlika u zakonskoj regulativi u većini zemalja. Iz tog razloga, navedena definicija čini se najprikladnija. * - Tenth UN Congress On The Prevention Of Crime And The Treatment Of Offenders, Beč, Austrija, 2000.

 


    U novije vreme među vladinim agencijama, kao i službama bezbednosti, u SAD se najčešće vrši sledeća kategorizacija * :
  • nasilni ili potencijalno nasilni kompjuterski kriminal
  • cyberterorizam (teroristički akt počinjen, planiran ili koordiniran u cyber prostoru)
  • cyberpretnja (pretnja osobi elektronskom poštom)
  • cyberšpijuniranje (forma cyberpretnje koja za cilj može da ima otmicu ili napad u realnom životu)
  • dečija pornografija (uglavnom se posmatra kao nasilni kriminal zato što su u pitanju deca nad kojom se vrši seksualno napastvovanje i zbog činjenice da su i oni koji kupuju ovu vrstu pornografije često skloni da ispune fantazije u stvarnosti)
  • nenasilni kompjuterski kriminal
  • neovlašćeni pristup sistemu ili mreži (u slučaju kada podaci nisu zloupotrebljeni ili uništeni)
  • cyberkrađa
  • pronevera (zloupotreba položaja)
  • nezakonito pribavljanje (razlikuje se od pronevere jedino u tome što datom pojedincu nikada nije ni data privilegija pristupa određenim informacijama)
  • industrijska špijunaža
  • plagijatorstvo (kada je namera da se tuđe delo prezentuje kao sopstveno)
  • piraterija (kopiranje zaštićenog materijala)
  • krađa identiteta (pribavljanje identifikacionih podataka sa namerom da se počini krivično delo ili da se opljačka bankovni račun)
  • DNS zloupotreba ** (manipulacija sadržajem servera i redirekcija na sopstvene servere)
  • cyberprevara (lažno predstavljanje u cilju pribavljanja materijalnih dobara, ili poverljivih podataka)
  • destruktivna dela:
    • hakovanje u sisteme i uništavanje podataka
    • hakovanje na web servere i vandalizovanje web strana
    • pokretanje virusa, crva, trojanaca i drugog malicioznog koda na kompjuterskim sistemima i mrežama
    • DOS *** napad (onemogućavanje rada serverima i kompjuterskim sistemima)
    • druge vrste cyberkriminala (klađenje preko interneta, iako nije svugde ilegalno, prostitucija preko interneta, prodaja droge i lekova, pranje novca elektronskim transferima, posedovanje ilegalnih tehnologija...)

* - Debra Littlejohn Shinder, Scene of the CyberCrime – Computer Forensics Handbook, Syngress Publishing, 2002
** - Eng. DNS cache poisoning
*** - Eng. Denial of Service
 


Iako je nemoguće u potpunosti iskoreniti bilo koju vrstu kriminalne aktivnosti, postavlja se pitanje aktivnosti usmerenih ka otežavanju ili onemogućavanju pristupa računaru, računarskoj mreži ili pojedinim uređajima u okviru nekog sistema. Najčešće se, kada se govori o borbi protiv kompjuterskog kriminala, ne razmatra pitanje rada državnih službi niti vladinih agencija, već se u kontekst potencijalne istrage stavlja privatna kompanija ili korporacija. Ovakva uslovna diskriminacija proističe iz dva razloga.

Prvi razlog je što se državne institucije po pravilu smatraju naprednijim u odnosu na kompanije, u tehnološkom, a i u svakom drugom smislu.
Drugi razlog predstavlja samu suštinu kriminalne delatnosti – novac. Naime, sve tajne, kontakti, kao i sama suština poslovanja jedne kompanije, nalazi se, već godinama unazad, na njenim računarima.

Prošlo je vreme bavljenja hakerima na nivou usamljenih zaluđenika za računarske tehnologije koji su u konstantoj potrazi za novim znanjem. Današnji napadači u mnogome podsećaju na dobro obučene teroriste, koji tačno znaju šta traže, koliko to vredi i na koji način će do toga doći. Za ovakav razvoj stvari zaslužan je konstatan napredak u pristupu informacijama preko globalne mreže. Napadači su uvežbani i poseduju sva znanja u vezi sa sistemom koji napadaju. Napadi su planirani, koordinirani i imaju samo jedan cilj – novac. Iako upleten u skoro sve vrste kriminalnih delatnosti, računar kao takav u njima figurira, pre svega kao alat, a nakon toga i kao sredstvo komuniciranja.

Pitanje kompjuterskog kriminala se značajno razlikuje od ostalih aspekata u kojima su računari puki učesnici. U današnje vreme, novac se nalazi u informacijama, podacima koji se mogu za veliki novac veoma lako prodati. Da li je zaista došlo do krađe? Kako utvrditi da li je uopšte došlo do zločina, kada i gde se on dogodio?

U ovim elementarnim pitanjima uočava se sva razlika između obične kriminalne istrage i one koja se bavi kompjuterskim kriminalom.
U slučaju upada, krađe ili bilo kakvog neovlašćenog pristupa računarima, logičan prvi korak bi bio obraćanje vlastima, odnosno nadležnim službama. Zbog količine zločina koji se u cyber svetu obavljaju dnevno, u SAD su shvatili da je neophodno formirati listu prioriteta u odnosu na koju će vlasti reagovati.

    U cilju određivanja prioriteta u odnosu na mere koje će se preduzeti, definiše se i sledeća podela prema *:
  • količini moguće štete
  • učestalosti ponavljanja
  • nadležnosti
  • težini istrage
  • političkim faktorima

U ovakvoj formi određivanja prioriteta figuriraju još dva ključna aspekta. Prvi je količina raspoloživih istražitelja, a drugi predstavlja uvežbanost istražitelja. Ove stavke su namerno izdvojene zato što predstavljaju samu suštinu borbe protiv kompjuterskog kriminala. Kao što je već objašnjeno, detektovanje samog zločina nije samo po sebi jednostavno, naprotiv. Ali konstantan napredak informacionih tehnologija dovodi do stalne potrebe za daljim obučavanjem kadrova. Na ovaj način svaka agencija, u godinama koje prolaze, zapravo konstantno gubi na obučenosti kadra. Iz ovog razloga se kompanijama kojima je stalo do sigurnosti njihovih podataka predlaže formiranje internih timova koji bi se bavili reagovanjem u slučaju upada.

Iako je relativno lako modernom menadžeru objasniti značaj formiranja ovakvih timova, veliki je problem uspostavljanje budžeta koji bi osigurao da šanse za upad budu minimalne. Naime, velika ulaganja u opremu i kadar u očima generacija koje su odrasle uz crno-belu televiziju predstavlja suvišni izdatak. Takav pristup je doveo do toga da su sistemi većine kompanija na svetu vrlo lako dostupni za moguće zloupotrebe.
* - Debra Littlejohn Shinder, op. cit.
 


Da bi dokaz bio prihvatljiv sudu, neophodno je da ispunjava veliki broj zahteva. Dokaz mora biti kompetentan (odnosno pouzdan tj. kredibilan), mora biti relevantan (sa težnjom da dokazuje činjenice u vezi sa slučajem). Ovaj standard predstavlja jedan od poslednjih usvojenih, a nastao je kao posledica presedana iz 1993. godine. Naziva se Daubertov standard. Po istraživanju koje je 2002. godine radila neprofitna organizacija RAND , posle Daubert-a broj isključenih svedočenja svedoka eksperata značajno porastao.

    Pet ključnih stvari koje su neophodne da bi po Daubertu nova tehnika bila prihvaćena od strane suda :
  • Da li je tehnika testirana van laboratorije?
  • Da li je tehnika bila objavljivana i dostupna javnosti?
  • Koji je potencijalni prag greške?
  • Da li postoji standard za kontrolu upotrebe tehnike?
  • Da li je tehnika prihvaćena od strane relevantnih naučnih krugova?

Iako postoje i protivnici ovog standarda koji tvrde da je njime poremećen balans između suprostavljenih strana u procesu, ovim standardom bi trebalo da se isključe svi kvazi naučnici, kao i sumnjive naučne metode.
 


    Procedura zaplene kompjutera na licu mesta (kompjuter je uključen):
  • Fotografisanje monitora
  • Očuvanje osetljivih dokaza
  • Pravljenje kopije diska pre zaplene kompjutera
  • Proveravanje integriteta kopije
  • Gašenje kompjutera shodno operativnom sistemu
  • Fotografisanje povezivanja kompjutera
  • Odvajanje kablova od kućišta sa preciznim beleženjem svih elemenata
  • Korišćenje antistatičke narukvice na zglobu ruke (ili druge metode uzemljenja) da bi se izbegla potencijalna šteta
  • Smeštanje svih elektronskih uređaja u antistatičke kesice
 

Kreiranje precizne kopije diska kod nas se generalno naziva gostovanje po popularnom Norton Ghost programu. U pitanju je zabluda vezana za preciznost kojom Nortonova aplikacija kopira podatke, naime, u forenzičke svrhe, neophodna je identična kopija diska. Identična kopija podrazumeva identičan raspored i sadržaj svih klastera* na disku, čak i oni koji nemaju nikakav sadržaj moraju biti verodostojno preneti na novi disk.

U čemu je ovde problem?

Prva stvar je u tome što je neophodno imati čist disk kao destinaciju za duplikat. Čist disk podrazumeva onaj disk čiji je celokupan sadržaj ispisan nulama.
Česta je zabluda da je to fabrički nov disk. Nov disk nije i čisti disk. Naime, u procesu testiranja fabrike upisuju nasumične bitove u pojedine sektore ne bi li na taj način testirali sam kvalitet medija, kao i ispravnost translacionog algoritma**. Tako da čak i novi diskovi moraju biti podvrgnuti uništavanju podataka pre nego što će se početi sa pravljenjem precizne kopije.

Drugi problem se pojavljuje u načinu kopiranja podataka. Da bi postigli određene performanse, svi moderni diskovi će podatke koji im se serviraju upisivati kontinualno, odnosno redom.

Međutim, za forenzičare je najbitnije očuvanje redosleda i rasporeda svih podataka zato je neophodno korišćenje bitstream aplikacija.

Ovakva kopija je identična originalu, i fizički i logički.
Drugi problem se pojavljuje u načinu kopiranja podataka. Da bi postigli određene performanse svi moderni diskovi će podatke koji im se serviraju upisivati kontinualno, odnosno redom.

Međutim, za forenzičare je najbitnije očuvanje redosleda i rasporeda svih podataka zato je neophodno korišćenje bitstream aplikacija.
Ovakva kopija je identična originalu, i fizički i logički.

* - Eng. cluster
** - Odnosi se na prevođenje logičkih (LBA) u fizičke (CHS) adrese prilikom smeštanja i čitanja podataka
 


Pošto su neke vrste digitalnih dokaza neverovatno osetljive, a bukvalno svaki digitalni dokaz može biti oštećen, uništen ili ugrožen nestručnim rukovanjem, skladištenjem ili kopiranjem, neophodna je maksimalna pažnja, kako prilikom prikupljanja, tako i prilikom rukovanja takvim dokazima.

    Pre svega neophodno je očuvati:
  • kvalitet originalnog medija ili uređaja
  • adekvatan vremenski žig
  • adekvatan datumski žig

Očuvanje kvaliteta i autentičnosti dokaza, iako u idealnim uslovima izgleda jednostavno, pri samom terenskom radu, u zavisnosti od vremenskih prilika, kao i udaljenosti, može predstavljati pravi izazov, čak i za profesionalce sa obimnim iskustvom.
 

Digitalni dokazi su nesumnjivo realan izvor podataka, potencijalno ključnih, u većini savremenih krivičnih procesa. Osetljiva priroda, komplikovano rukovanje, zahtevna procedura samo neke su od osobina koje izazivaju veliku odbojnost staromodnih kadrova u strukturama sudstva i istražnih organa. Nezavisno od toga, neophodno je kreiranje informacione strukture koja bi bila u mogućnosti da se uhvati u koštac sa ovom forenzičkom disciplinom.

Kako je zakonska regulativa definisana, ostaje pitanje: Da li u ovoj zemlji postoji kadar sposoban da preuzme, sačuva i procesuira digitalne dokaze, pa da o tome i svedoči na sudu?

U našoj državi, nažalost, ne postoji institucija u okviru koje je moguće obavljati delatnosti kompjuterske forenzike, a i proces verifikacije eksperata diskutabilno bi mogao biti rešen u okviru postojećih institucija.

Verovatno bi najbolje rešenje bilo delimično preuzimanje procedura, definicija i nomenklatura vezanih za oblast digitalnih dokaza od međunarodnih organizacija koje su ovu oblast već uredile.

Takođe, najjednostavnije bi bilo prihvatanje stranih sertifikata kao validnih i na ovim područijima, na taj način bi verovatnija bila upotreba stranog, već postojećeg i nekompromitovanog kadra, koji bi na verodostojan i profesionalan način mogao da pokaže put domaćem pravosuđu i organima gonjenja u procesuiranju slučajeva uz pomoć kompjuterske forenzike. Naravno, ova pretpostavka ne isključuje domaće organe. Kao što je u radu navedeno, neophodno je adekvatno obezbediti mesto zločina, prikupiti sve podatke sa lica mesta, kao i na odgovarajući način skladištiti i transportovati digitalne dokaze. Za ove poslove mogu se kreirati precizne i koncizne procedure, čije će poštovanje garantovati validnost dokaznog materijala. Sam materijal bi kasnije, u laboratoriji, mogli ispitivati stručnjaci različitog porekla, kao i zaposleni u različitim ustanovama.

I u ovom slučaju, pretpostavka je snažna institucionalna podrška, kao i precizno definisane nadležnosti, odgovornosti, kao i sankcije za kršenje istih.

U našoj zemlji, nažalost, mala je verovatnoća da će se u skorije vreme ovako sofisticirane tehnologije primenjivati na način na koji je to jedino moguće – profesionalni.
 

Naša Laboratorija istražuje polje kompjuterske forenzike od 2001. godine. Kao pioniri u oblasti privatnog istraživanja u Srbiji, prvi put smo sarađivali sa nadležnim službama 2005. godine, a istrage za privatni sektor obavljamo od 2004.
 

Razlozi za to su višestruki, a pre svega se ogledaju u osetljivosti samog postupka istraživanja, kao i u našoj želji da sve procese koje klijenti vode ili su vodili očuvamo striktno poverljivim.

Ovde je potrebno napomenuti da naša zakonska regulativa nije dovoljno definisala područje kompjuterskog kriminala, kao ni učešće svedoka i privatnih kompanija u tim slučajevima. Novoformirano posebno odeljenje za visokotehnološki kriminal će, nadamo se, u predstojećim godinama značajno poboljšati postojeće stanje.
 

• Council of Europe, http://www.coe.int/.
• Michael Sussmann, The Critical Challenges From International High-Tech and Computer-Related Crime at the Millennium, http://www.g7.utoronto.ca/.
• Interpol, http://www.interpol.int/Public/TechnologyCrime/.
• Cornell Law School, Legal Information Institute, http://www.law.cornell.edu/.
• United Nations General Assembly, www.un.org/documents/.
 

1. Fred Chris Smith i Rebecca Gurley Bace, A Guide to Forensic Testimony: The Art and Practice of Presenting Testimony as an Expert Technical Witness, Addison Wesley, 2002.
2. John R. Vacca, Computer Forensics: Computer Crime Scene Investigation, Charles River Media, 2002.
3. Eoghan Casey, Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, Academic Press, 2004.
4. Brian Carrier, File System Forensic Analysis, Addison Wesley Professional, 2005.
5. Robert Jones, Internet Forensics, O'Reilly, 2005.
6. Greg Kipper, Investigator's Guide to Steganography, Auerbach Publications, 2004.
7. Harlan Carvey, Windows Forensics and Incident Recovery, Addison Wesley, 2004.
8. Debra Littlejohn Shinder, Scene of the CyberCrime – Computer Forensics Handbook, Syngress Publishing, 2002.
9. Michael A. Caloyannides, Privacy Protection and Computer Forensics, Artech House, 2004.
10. Peter Stephenson, Investigating Computer-Related Crime A Handbook For Corporate Investigators, CRC Press, 2000.
11. Douglas Schweitzer, Incident Response: Computer Forensics Toolkit, Wiley Publishing, 2003.
12. National Institute of Justice, Forensic Examination of Digital Evidence: A Guide for Law Enforcement, SAD, 2004.
13. Albert J. Marcella i Robert S. Greenfield, Cyber Forensics - A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes, CRC Press, 2002.
14. Bruce Middleton, Cyber crime investigator’s field guide, CRC Press, 2002.
15. Richard Platt, Crime Scene – The Ultimate Guide To Forensic Science, Dorling Kindersley, 2003.
16. Nation Institute of Standards and Technology, Computer Security Resource Center, http://csrc.nist.gov/
17. D. Brezinski, T. Killalea, Best Current Practice - Guidelines for Evidence Collection and Archiving, IEEE RFC 3227, 2002.
18. George Mohay, Alison Anderson, Byron Collie, Olivier de Vel, Rodney McKemmish, Computer and Intrusion Forensics, Artech House, 2003.
19. Barry J. Grundy, Computer Crimes Division The Law Enforcement and Forensic Examiner Introduction to Linux - A Beginner's Guide, NASA Office of Inspector General, 2004.
20. Eric Cole, Hiding in Plain Sight: Steganography and the Art of Covert Communication, Wiley, 2003.
21. Monique Mattei Ferraro, Eoghan Casey, Investigating Child Exploitation and Pornography: The Internet, The Law and Forensic Science, Elsevier Academic Press, 2005.
22. Michael G. Solomon, Diane Barret, Neil Broom, Computer Forensics JumpStart, Sybex, 2005.
23. Computer Crime & Intellectual Property Section, United States Department of Justice, www.usdoj.gov/criminal/cybercrime/.
24. Brian Carrier, Getting Physical with the Digital Investigation Process, Fall 2003, Vol 2, International Journal of Digital Evidence, 2003.
 
 
ZA SVE DODATNE INFORMACIJE I PITANJA SLOBODNO POZOVITE
Radno Vreme Laboratorije: 9 -17h, Telefoni: 064/64-35-884 i 011/329 0 661
Prijemni Formular - Preuzmite PDF
Obrazac za identifikaciju - Preuzmite PDF

Oficijelni partneri!

Preuzmite besplatno PANDA CLOUD ANTIVIRUS
FacebookMySpaceTwitterGoogle BookmarksLinkedInRSS Feed

Data Solutions d.o.o. | office@datasolutions.rs | +381 (64) 643-5884 | +381 (11) 329-0661 | Klare Cetkin 11, 11070 | Beograd, Srbija (2003-2011) sva prava zadržana.