Digitalni dokazi

Prikupljanje digitalnih dokaza počinje kada se informacija i/ili fizički objekt prikupe ili pohrane u očekivanju ispitivanja.

Termin dokaz implicira da je onaj koji je dokaz prikupio prepoznat od strane suda i da je proces prikupljanja takođe prepoznat kao legalan proces, u skladu sa lokalitetom sa koga je prikupljen. Iako su pravila dokaznog materijala u slučaju digitalnih dokaza još uvek nepotpuna, uvek je najsigurnije premašiti minimum zahteva za prihvatljivost dokaza.

Kada forenzičari preduzmu sve neophodne mere da bi osigurali integritet dokaznog materijala, čak i preko one mere koju sud traži kao prag prihvatljivosti, takvom dokaznom materijalu, ne samo što je osigurana prihvatljivost, već će izazvati i jači utisak na sudu. Većina stručnjaka i organizacija koje se bave forenzikom slažu se o nekim osnovnim standardima vezanim za rukovanje digitalnim dokazima.

Ti standardi se mogu sažeti u sledeće:

  • 1

    Originalni dokaz treba biti sačuvan u originalnom ili stanju što pribliažnijem onom u momentu pronalaženja.

  • 2

    Ako je uopšte moguće, potrebno je napraviti preciznu kopiju (sliku) originala da bi se na kopiji vršilo ispitivanje i, na taj način, sačuvao i zaštitio integritet originala.

  • 3

    Kopije podataka napravljenih u svrhu ispitivanja treba da budu kreirane na forenzički sterilnom mediju. Sterilan je onaj medij ili disk na kome prethodno nije bilo podataka. Treba da bude potpuno čist, bez virusa i defekata.

  • 4

    Svi dokazi moraju biti propisno označeni i dokumentovani, takođe, i lanac nadležnosti mora biti očuvan.

  • 5

    Svaki korak forenzičkog ispitivanja mora biti detaljno dokumentovan.

Saznajte više:

 

Obeležavanje dokaza

Dokaz se obeležava od strane osobe koja prva dolazi u kontakt sa njim. Ta osoba unosi sopstvene inicijale ili celo ime i prezime na predmet, zajedno sa datumom, vremenom i identifikacijskim brojem datog slučaja.

Postoje dva moguća načina obeležavanja dokaza – fizičko markiranje na samom objektu ili markiranje papira koji se vezuje za objekat. Prvi način je, svakako, najbolji i primenjuje se uvek kada je to moguće. Objekti koji se ne mogu fizički obeležavati, stavljaju se u kesice koje se zapečaćuju i potom se obeležavaju same kesice. Oznake se najčešće ispisuju markerima.

Nazad…

Dokumentovanje dokaza

Dnevnik dokaznog materijala je najznačajniji dokument prilikom prikupljanja dokaza. On sadrži spisak svog dokaznog materijala koji je otkriven i prikupljen na licu mesta. Zajedno sa datumom i vremenom prikupljanja kreira se detaljni opis svakog dokaza.

Opis mora biti dovoljno detaljan da bi se slični objekti međusobno razlikovali, on sadrži serijske brojeve, kao i druge moguće identifikatore. Dnevnik, ujedno, prikazuje i sve promene poseda dokaznog materijala od jedne osobe do druge.

Proces kreiranja i praćenja promena nadležnosti je ključni momenat u očuvanja lanca nadležnosti dokaznog materijala.

Nazad…

Proces istraživanja

Proces istraživanja svakako predstavlja esenciju kompjuterske forenzike. Struktura ovog procesa, kao i metodologija koja ga definiše, moraju obezbediti rigoroznu i detaljnu istragu, pre svega. Zatim, neophodno je osigurati odgovarajuće rukovanje dokazima i smanjiti izglede za pravljenjem propusta i grešaka. Ovaj proces je zajednički, kako kriminalnim istragama, tako i vojnim i korporacijskim istraživanjima, u slučajevima ugrožavanja bezbednosti kompjuterskih sistema (hakerski upadi, virusi, propusti, zloupotreba…).

Tehničari, kao i istražitelji, na kraju svakog postupka rezultujuće podatke prepuštaju tužilaštvu i nadležnim organima koji potom odlučuju o značaju tih dokaza. U slučaju kada predmet stigne do suda, istražitelji prezentuju njihove nalaze i svedoče o verodostojnosti prikazanih podataka. Svaki istražni postupak kojim se forenzičari bave teži da omogući:

  • prihvatljivost – postupci i metode su prihvaćeni od strane profesionalaca;
  • pouzdanost – korišćenim metodama se može dokazati nalaz;
  • ponovljivost – proces može ponoviti svako, nezavisno od vremena i mesta;
  • integritet – stanje dokaznog materijala je očuvano;
  • logička povezanost između osumnjičenog, događaja i nalaza, uzroka i posledice;
  • dokumentaciju – beleženje ključnih stvari za svedočenje veštaka/forenzičara.

Sve one imaju zajedničku svrhu – da omoguće najubedljivije argumente, bazirane na činjenicama, i da to učine u okviru zakonskih kriterijuma o prihvatljivosti dokaza.

Nazad…

Dokumentovanje analize

Istražitelj i forenzičar su odgovorni za kompletno i precizno dokumentovanje, kako samog procesa analize, tako i zaključaka koji se u formi izveštaja prezentuju po okončanju istrage.

Dokumentovanje analize je proces koji se odvija paralelno sa samom analizom i neophodno je precizno i detaljno dokumentovanje svakog koraka.

  • Da bi se ispoštovala procedura korektnog dokumentovanja analize, istražitelj bi trebalo da:
    • pravi beleške prilikom konsultacija sa tužiocem i/ili detektivom;
    • ima kopiju naloga za istragu;
    • poseduje kopiju lanca nadležnosti;
    • pravi dovoljno detaljne beleške da bi se njegove akcije mogle ponoviti;
    • uz rezultat svake preduzete akcije treba priključiti datum, vreme i opis svake akcije;
    • dokumentuje bilo kakvu nepravilnost na koju je naišao;
    • priključi svom izveštaju dodatne, originalne informacije u vezi sa sistemom koji je pod istragom (spisak korisnika, topologija mreže, vrste hardvera…);
    • dokumentuje sve promene koje su napravljene na samom uređaju ili sistemu;
    • dokumentuje vrstu operativnog sistema, kao i verzije instaliranih aplikacija;
    • dokumentuje sve dodatne informacije prikupljene na licu mesta, kao i na udaljenim backup lokacijama.

Kada je analiza završena, neophodno je kreirati izveštaj koji će u korektnoj formi biti dostavljen odgovarajućim organima. Veoma je bitno koristiti formu dokumenta koja je univerzalna i, na taj način, olakšati čitanje izveštaja.

  • Izveštaj bi trebalo da sadrži:
    • identitet institucije koja je radila analizu,
    • broj slučaja ili podneska,
    • identitet osobe koja je zadužena za istragu,
    • identitet osobe koja je donela dokazni materijal,
    • datum prijema,
    • datum kada je izveštaj sačinjen,
    • spisak predmeta koji su dostavljeni na ispitivanje zajedno sa serijskim brojevima, imenom proizvođača i modelom uređaja,
    • identitet i potpis istražitelja,
    • kratak opis preduzetih akcija u toku istrage,
    • rezultat odnosno zaključak istrage.
  • Takođe se pokazalo korisnim da se ovakvoj formi izveštaja doda detaljniji izveštaj o samim nalazima koji sadrži:
    • imena specifičnih datoteka u vezi sa istragom,
    • imena obrisanih pa tokom istrage spašenih datoteka,
    • ključne reči koje su korišćene za pretragu,
    • dokazni materijal u vezi sa internet saobraćajem (logovi, e-mail poruke…),
    • analiza slika,
    • opis korišćenih tehnika u cilju sakrivanja potencijalnih dokaza (skrivene particije, steganografija, enkripcije, pa čak i anomalije u imenima datoteka).

Uz ovaj izveštaj uvek se prezentuje i dostavlja digitalna kopija dokaznog materijala, lanac nadležnosti dokaznog materijala, kao i printovi pronađenih konkretnih dokaza.

Nazad…

Dokumentovanje nadležnosti

Termin lanac nadležnosti odnosi se na kontinuitet dokaznog materijala. Ponekad se koristi i termin kontinuitet posedovanja. Pod terminom nadležnost tretira se legalno pravo jedne osobe da u datom momentu poseduje, rukuje ili transportuje dokazni materijal. Neophodno je, u jednom pravnom procesu, imati mogućnost praćenja promena nastalih od momenta prikupljanja dokaznog materijala na licu mesta pa sve do njegovog prezentovanja na sudu.

Svaka rupa u dnevniku dokaznog materijala otvara mogućnost da su digitalni dokazi zloupotrebljeni, namešteni ili izmenjeni. Dokaz da je materijal identičan onom prikupljenom na licu mesta predstavlja iskaz osobe koja je prikupila originalni dokaz kojim ta osoba potvrđuje da je identičan objekat u datom trenutku prisutan u sudnici, da tim objektom nije manipulisano i da je u skladu sa zakonom prenesen do sledeće osobe iz lanca nadležnosti.

Očigledno je da je za očuvanje integriteta dokaznog materijala značajan i broj ljudi koji su u mogućnosti da njim manipulišu. U praksi se kao najbolje rešenje pokazalo određivanje jedne osobe koja svugde prati dokazni materijal. Međutim, u slučajevima kada su elektronski dokazi u pitanju, odnosno u momentu kada je neophodno procesiranje i analiziranje digitalnih dokaza, nemoguće je ostvariti konstatno prisustvo te osobe u toku forenzičke analize. U tom slučaju, kreira se potvrda iz laboratorije koja radi ispitivanje u momentu prijema dokaznog materijala, kao i u momentu isporuke rezultata. Na taj način se osigurava integritet dokaza.

Ovakvo procesiranje digitalnih dokaza prouzrokuje neophodnost svedočenja datog forenzičara ili laboranta na sudu, koji moraju da svedoče o tome na koji način i kako je dokazni materijal skladišten i zaštićen u okviru laboratorije koja je radila ispitivanje.

Nazad…

Komentari

Pročitaj sve komentare

Ostavi komentar

Оставите одговор

  • Poslednje iz bloga

    spasavanje-podataka-elektronika

    Izazovi industrije spašavanja podataka

    19.09.2018.

    „Većina ljudskih bića poseduje gotovo beskrajnu sposobnost uzimanja stvari zdravo za gotovo“– Aldous Huxley, Brave New World Tehnologija skladištenja podataka napreduje neverovatnom brzinom. Tehnologije kao što su: mašinsko učenje, multi-cloud storage, zero downtime i smart storage su trenutno jedne od najpopularnijih tema. Mnogi zaboravljaju da će podaci, bez obzira na to koju najnoviju tehnologiju skladištenja […]

    više >>
  • 20 % popusta na online prijem

  • Novosti: