POENOTENJE POSTOPKOV RAČUNALNIŠKE FORENZIKE V … · za shranjevanje. V osnovi je računalniška forenzika metoda analitičnih in preiskovalnih tehnik za identificiranje, zbiranje,

Diplomsko delo visokošolskega strokovnega študija program Organizacija in management

informacijskih sistemov

POENOTENJE POSTOPKOV RAČUNALNIŠKE FORENZIKE V SLOVENSKI POLICIJI

Mentor: doc. dr. Alenka Brezavšček Kandidat: Aljoša Špeh

Kranj, december 2011

ZAHVALA Zahvaljujem se mentorici dr. Alenki Brezavšček za nudeno pomoč pri diplomski nalogi. Hvala g. Toniju Kastelicu, g. Neviju Božiču in g. Matjažu Škrabi iz Policije za pomoč in nasvete pri izdelavi diplomskega dela. Zahvaljujem se tudi lektorici ga. Rožani Špeh, ki je lektorirala diplomsko nalogo. Posebna zahvala gre življenjski sopotnici Petri Pasar, ki me je ves čas študija potrpežljivo podpirala.

POVZETEK Osnovno vodilo za strokovno in zakonito delo v Policiji predstavljajo enotni postopki in strokovni standardi. Ugotovili smo, da so strokovni postopki računalniške forenzike v različnih oddelkih za računalniško preiskovanje Policije neenotni in se med seboj razlikujejo. Da bi odstopanja med postopki računalniške forenzike odpravili, smo izdelali model enotnih postopkov, ki smo ga zasnovali modularno. Model sestoji iz treh medsebojno odvisnih modulov in zajema vse nivoje forenzičnih postopkov, od osnovnih načel in nacionalnih zakonskih okvirov, pa vse do specifičnih opravil, ki jih kriminalisti pri svojem delu izvajajo vsakodnevno. Model enotnih postopkov računalniške forenzike smo nadgradili v spletno aplikacijo baza znanja, ki smo jo razvili v okolju MediaWiki. KLJUČNE BESEDE:

• Policija • računalniško preiskovanje, • forenzični postopki, • poenotenje, • baza znanja.

ABSTRACT (UNIFICATION OF COMPUTER FORENSIC PROCEDURES IN SLOVENIAN POLICE) The basic guideline for the professional and legal work in Police is represented by unified procedures and professional standards. We found out that the computer forensics professional procedures in different departments of the Police investigation are not uniform and differ from each other. In order to do away with the differences in the processes of computer forensics, we have produced a model of uniform procedures, which was designed modularly. The model consists of three interrelated modules covering all levels of forensic procedures, from basic principles and national legal frameworks through to the specific tasks that investigators do in their work every day. We upgraded the model of unified procedures for computer forensics in a web application - knowledge base that we developed in an environment of MediaWiki. KEYWORDS:

• Police, • computer investigation, • forensic procedures, • unification, • knowledge base.

KAZALO 1 UVOD................................................................................................................................ 1

1.1 Predstavitev problema ............................................................................................ 1

1.2 Predstavitev okolja .................................................................................................. 2

1.3 Metode dela............................................................................................................... 3

2 TEORETIČNE OSNOVE S PODROČJA RAČUNALNIŠKE FORENZIKE ............................ 4

2.1 Pojem računalniška forenzika ................................................................................ 4

2.2 Slovar osnovnih forenzičnih pojmov ..................................................................... 5

2.3 Načela računalniške forenzike ............................................................................... 6

2.4 Zakonodaja na področju računalniške forenzike v Sloveniji .......................... 10

2.4.1 Zakon o kazenskem postopku (ZKP) ........................................................... 10

2.4.2 Konvencija o kibernetski kriminaliteti....................................................... 14

3 ORGANIZIRANOST RAČUNALNIŠKE FORENZIKE V SLOVENSKI POLICIJI................. 16

4 PREDLOG UREDITVE POSTOPKOV RAČUNALNIŠKE FORENZIKE V SLOVENSKI POLICIJI ......................................................................................................................... 18

4.1 Pomembnost poenotenja postopkov računalniške forenzike.......................... 18

4.2 Model enotnih postopkov računalniške forenzike............................................. 19

4.3 I. modul – Temeljna strateška določila ............................................................... 22

4.3.1 Nacionalni pravni akti ................................................................................... 22

4.3.2 Določitev strokovnih načel računalniške forenzike ................................. 22

4.3.3 Metodologija postopkov računalniške forenzike ...................................... 25

4.3.4 Politika varnosti forenzičnega informacijskega sistema......................... 28

4.4 II. modul – Standardni operativni postopki ........................................................ 29

4.4.1 Postopek zasega elektronske naprave ....................................................... 30

4.4.2 Postopek zavarovanja podatkov iz elektronske naprave ........................ 33

4.4.3 Postopek preiskave podatkov iz elektronske naprave............................. 36

4.5 III. modul – Specifični delovni postopki .............................................................. 39

5 UMESTITEV BAZE ZNANJA V MODEL ENOTNIH FORENZIČNIH POSTOPKOV.......... 41

5.1 Analiza tehnološke opremljenosti za potrebe spletne aplikacije.................. 41

5.2 Koncept uvedbe baze znanja kot spletne aplikacije ....................................... 44

5.3 Izbira ustrezne programske opreme za izvedbo spletne aplikacije .............. 45

5.4 Razvoj in izdelava baze znanja kot spletne aplikacije.................................... 46

6 ZAKLJUČEK ................................................................................................................... 53

Literatura in viri .............................................................................................................. 55

Priloge ............................................................................................................................... 56

Kazalo slik......................................................................................................................... 56

Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija

Aljoša Špeh: Poenotenje postopkov računalniške forenzike v slovenski Policiji stran 1

1 UVOD 1.1 PREDSTAVITEV PROBLEMA Problem, ki je zastavljen v diplomski nalogi, je poenotenje delovnih procesov na področju računalniškega preiskovanja v slovenski policiji. V letu 2009 se je zakondaja na področju računalniškega preiskovanja korenito spremenila in tako točno določila okvire za izvajanje t.i. računalniške forenzike (postopki iskanja dokazov iz nosilcev elektronskih podatkov). Zaradi povečane kompleksnosti izvajanja teh postopkov so bili v letu 2010 ustanovljeni Oddelki za računalniško preiskovanje. Njihova poglavitna naloga je izvajanje računalniške forenzike in preiskovanja kaznivih dejanj iz področja računalniške kriminalitete. Od ustanovitve naprej so oddelki pričeli s postopki kot so: zaseg elektronskih naprav, zavarovanje podatkov iz elektronskih naprav in preiskava podatkov iz elektronskih naprav. Ker je na območju Republike Slovenije več oddelkov in so pri svojem delu neodvisni, so se pričeli posamezni postopki med seboj razlikovati tako, da so si kriminalisti v posameznih oddelkih različno razlagali zakonodajo na tem področju ter si postavljali različna strokovna vodila, temu posledično pa tudi različno oblikovno sestavljali pisne izdelke ob izvedbi teh postopkov. Zaradi raznolikosti in velike razsežnosti področja računalništva se kriminalisti vsakodnevno srečujejo z različnimi težavami (npr. težave pri interpretaciji zapisov določene programske opreme, pri iskanju podatkov, ki jih zapisuje operacijski sistem, itd.). S trenutno organizacijo dela rešujejo kriminalisti težave individulano. Pri reševanju pa si pomagajo z različno literaturo, z raznimi strokovnimi spletnimi forumi, itd. Tako mnogokrat posamezne rešitve problemov ostanejo samo pri kriminalistu, ki je ta problem uspešno rešil. Ostali kriminalisti pa s to izkušnjo niso seznanjeni. Ker zgoraj opisana neenotnost postopkov in opravljanje delovnih postopkov računalniške forenzike škoduje strokovnosti in verodostojnosti organizacije, temu posledično pa tudi izvajanju dokaznih postopkov na sodišču, smo se odločili, da z diplomsko nalogo predlagamo model enotnih postopkov računalniške forenzike. V sklopu modela, ki je predlagan kot rešitev, bo prav tako implementirana baza znanja, v katero bodo lahko svoje izkušnje in rešitve podajali vsi kriminalisti pod določenimi pogoji. Po skrbni preučitvi delovnih procesov organizacije na tem področju ter splošni preučitvi področja računalniške forenzike, smo se odločili, da bo naš predlog modularne strukture organizacije delovnih procesov razdeljen v tri glavne sklope (module), ki so si med seboj hierarhično soodvisni. Prvi modul vsebuje temeljna določila računalniške forenzike v Policiji, drugi modul pa osnovne smernice najbolj pogostih postopkov. Tretji modul našega modela pa bo vseboval specifične rešitve posameznih opravil. To je tisti del baze znanja, v katero bo lahko svoje znanje in izkušnje prispeval posamezni kriminalist.



Da bi bil model učinkovit in vsakemu kriminalistu, ob vsakem času na razpolago, je bilo potrebno izdelati aplikativno rešitev, oz. prenos našega modela v praktično (elektronsko) obliko. Zaradi navedenega smo model enotnih postopkov prenesli v obliko spletne aplikacije, ki je predstavljena v drugem delu naloge. 1.2 PREDSTAVITEV OKOLJA Policija je organ v sestavi Ministrstva za notranje zadeve. Policija opravlja svoje naloge na treh ravneh: državni, regionalni in lokalni ravni. Sedež policije je v Ljubljani. Organizacijsko jo sestavljajo Generalna policijska uprava (državna raven), Policijske uprave (regionalna raven) in Policijske postaje (lokalna raven). Notranje organizacijske enote Generalne policijske uprave strateško usmerjajo, načrtujejo, organizirajo in nadzorujejo področje dela za celotno policijo, v skladu s 3. členom Zakona o policiji opravljajo naloge policije. Spremljajo, proučujejo in pripravljajo analize, poročila in druge skladne predloge za odločanje ter pripravljajo zakonske in podzakonske predpise s področja policijskega dela. Kot ena najpomembnejših notranjih organizacijskih enot je Uprava kriminalistične policije. Kriminalistična policija je specializirana služba za boj proti kriminalu. Na vrhu je uprava kriminalistične policije, ki s pomočjo svojih sektorjev vodi, koordinira, spremlja, analizira in ocenjuje stanje na področju kaznivih dejanj. S sodnimi in drugimi državnimi organi ter pristojnimi organi v tujini skrbi za učinkovito in zakonito opravljanje nalog na različnih področjih kriminalitete. Uprava kriminalistične policije poleg tistih nalog, ki jih opravljajo notranje organizacijske enote, opravlja še sledeče skupne naloge:

• koordinira preventivno dejavnost, • načrtuje in predlaga organizacijske spremembe, razvoj in uresničevanje

razvojnih projektov, • koordinira potrebe in programe za kriminalistično usposabljanje in kadre, • načrtuje in predlaga kriminalistično materialno-tehnično opremo in

finance, • sodeluje pri usposabljanjih za izvajanje policijskih pooblastil pri

preiskovanju kriminalitete, • druge naloge, ki ne pomenijo neposrednega preiskovanja kriminalitete.

V sklopu Uprave kriminalistične policije deluje Center za računalniško preiskovanje, ki izvaja zgoraj opisane naloge na področju računalniškega preiskovanja. Na regionalni ravni je Slovenija razdeljena na 8 policijskih uprav, ki na regijski ravni skrbijo za varnost ljudi in njihovega premoženja. Vodijo jih direktorji, ki jih imenuje in razrešuje minister na predlog generalnega direktorja policije. Za preiskovanje težjih oblik posameznih kaznivih dejanj skrbijo Sektorji kriminalistične policije, kjer posamezni specializirani oddelki skrbijo za specifična področja kriminalitete. Na štirih policijskih upravah so bili tako v letu 2010 ustanovljeni Oddelki za računalniško preiskovanje. Njihova naloga je preiskovanje



težjih oblik kaznivih dejanj računalniške kriminalitete, izvajanje opravil računalniške forenzike ter nudenje strokovne pomoči na regionalni in lokalni ravni. Takšni oddelki za računalniško preiskovanje delujejo na območju policijskih uprav Koper, Ljubljana, Celje in Maribor. 1.3 METODE DELA V diplomskem delu je uporabljena deskriptivna ali opisna metoda dela. Podatke za prvi del diplomske naloge (model enotnih postopkov), so vzeti iz strokovne literature, internih aktov organizacije, strokovnih člankov in internetnih virov. V drugem delu bo med celovitimi odprtokodnimi spletnimi rešitvami, ki so na voljo, izbrana najbolj primerna rešitev in bo z njeno pomočjo izdelana spletna aplikacija.



2 TEORETIČNE OSNOVE S PODROČJA RAČUNALNIŠKE FORENZIKE

2.1 POJEM RAČUNALNIŠKA FORENZIKA

Računalniška forenzika je veja forenzične znanosti, ki se nanaša na pridobivanje pravnih dokazov iz podatkovshranjenih v računalnikih in ostalih digitalnih medijih za shranjevanje. V osnovi je računalniška forenzika metoda analitičnih in preiskovalnih tehnik za identificiranje, zbiranje, pregledovanje in ohranjanje dokazov oziroma informacij, ki so shranjene v elektronski napravi. Po mnenju uglednih forenzičnih strokovnjakov je računalniška forenzika preprosto pripomoček za preiskavo računalniških sistemov in analize z namenom pridobitve dopustnih pravnih dokazov. Računalniška forenzika se uporablja oziroma je v veliko pomoč pri pridobivanju digitalnih dokazov v različnih kazenskih in civilnih postopkih kot:

� pri dokazovanju različnih kaznivih dejanj; kot so vdori v informacijske sisteme, otroška pornografija, goljufije, umori, ponarejanje listin ali denarja;

� v civilnih tožbah, ko se lahko na računalnikih najdejo osebni ali službeni podatki, ki so povezani s prevarami, ločitvami, diskriminacijo in nadlegovanjem;

� za znižanje stroškov zavarovalnic pri dokazovanju fiktivnih nesreč, požigov in poškodb pri delu;

� v disciplinskih postopkih za preverjanje okoliščin pri domnevnem spolnem nadlegovanju, poneverbah, tatvinah ali nedovoljenem pridobivanju poslovnih skrivnosti in drugih zaupnih informacij, ki so povezane z delom posameznika, ko je naročnik delodajalec;

� s svetovanjem preiskovalcem v pripravah na preiskavo prostorov osumljenih oseb in pri pravilnem ravnanju z zaseženo računalniško opremo po preiskavi;

� pri odškodninskih zahtevkih posameznikov zaradi nezakonite odpovedi delovnega razmerja, spolnega nadlegovanja pa tudi rasne, spolne ali celo starostne diskriminacije.

V temi pričujoče naloge se bomo osredotočili predvsem na uporabo računalniške forenzike pri preiskovanju kaznivih dejanj. Pri svojem področju dela se srečujemo z računalniško forenziko takrat, ko:

� podatke iz računalnika želi nekdo pridobiti (ukrasti) z namenom, da bi z njimi pridobil protipravno korist. Med takšnimi podatki so npr. certifikat za spletno bančništvo, poslovne pogodbe, uporabniška imena in gesla, elektronska pošta. Do podatkov lahko storilec takšnega kaznivega dejanja pride s fizičnim dostopom do računalnika (npr. tako, da se usede za računalnik in vpogleda v želeni podatek) ali z oddaljenim dostopom (npr. z vdorom v informacijski sistem in pridobitvijo podatkov).



� se v računalniku hranijo podatki, ki so posledica neželenega dogodka

(kaznivega dejanja) oziroma so nastali ob njem, ali pa so bili na nosilec podatkov prekopirani (npr. dnevniške datoteke, zasebne datoteke, pedofilske vsebine, številke plačilnih kartic, evidenca kupcev prepovedanih drog,...). V večini takšnih primerov s takšnimi podatki dokazujemo kazniva dejanja iz drugih delovnih področij, ki morebiti nimajo nobene povezave z računalniško kriminaliteto;

� podatki v računalniku pa so lahko tudi sredstvo za povzročitev neželenega dogodka (npr. programi za "hekerske" napade na druge računalnike – zlonamerne kode, programi za ponarejanje listin, programi za pridobivanje gesel iz računalniških sistemov,....). V tem primeru je računalnik uporabljen kot sredstvo za izvršitev kaznivega dejanja.

Katera definicija se najbolj približa pojmu »računalniška forenzika«. Med najboljšimi je zagotovo ta: »Računalniška forenzika je proces identificiranja, zavarovanja, analiziranja in predstavljanja dokazov v elektronski obliki na način, ki je zakonsko sprejemljiv« (McKemmish, 1999). Ta definicija je najboljša, saj v grobem vsebuje pomembnejše korake v postopku izvajanja forenzike (proces zavarovanja, analiziranja,..), kot tudi zahtevo, da je postopek opravljen na »zakonsko« sprejemljiv način. Navedeno dejstvo namreč ločuje računalniško forenziko od navadnega pregleda elektronske naprave, saj je cilj računalniške forenzike pridobiti sodišču dopusten in sprejemljiv dokaz. 2.2 SLOVAR OSNOVNIH FORENZIČNIH POJMOV Ker diplomska naloga obravnava specifično področje računalniške forenzike, smo z namenom boljšega razumevanja področja obravnave podali razlage najosnovnejših strokovnih pojmov kot so:

• elektronska naprava kakršnakoli naprava, ki hrani podatke v elektronski obliki - kot telefon, telefaks, računalnik, disketa, optični medij in spominska kartica;

• zaseg elektronske naprave postopek, ko se osebi odvzamejo predmeti (elektronske naprave), ki se morajo po kazenskem zakonu vzeti ali utegnejo biti dokazilo v kazenskem postopku;

• izdelava istovetne kopije proces kopiranja originalnih podatkov iz (zasežene) elektronske naprave na drug ustrezen medij. Kopiranje se izvedepo načelu »bit za bitom«, tako, da se na drugem mediju ustvari identično stanje kot na originalnem mediju;

• zavarovanje podatkov iz elektronske naprave proces izdelave istovetne kopije celotnega medija ali le dela podatkov, ki so na tem mediju (originalu) shranjeni;

• kontrolna ali zgoščena (hash) vrednost zaporedje bitov, ki je predpisane dolžine, in je izračunano z zgoščevalno funkcijo - digitalni prstni odtis podatkov. Z izračunom zgoščenih vrednosti zavarovanih podatkov zagotavljamo integriteto le teh skozi celoten postopek upravljanja s podatki. Če se kateri koli bit v tem nizu podatkov spremeni, se posledično spremeni tudi zgoščena vrednost podatkov;



• preiskava podatkov kakršenkoli vpogled v elektronski podatek;

• forenzični računalnik računalnik, ki je izključno namenjen izvedbi preiskav podatkov.

2.3 NAČELA RAČUNALNIŠKE FORENZIKE Računalniška forenzika se je v zadnjih letih razvijala vedno hitreje in odkrivala vedno nove podrobnosti o delovanju informacijskih sistemov. Poznavanje vseh skrivnosti računalniške forenzike pa nikakor ni dovolj, da bi bil lahko postopek sam po sebi forenzično pravilen, pridobljeni dokazi pa pravno dopustni. V ta namen so različni priznani računalniški forenziki in institucije zapisali načela računalniške forenzike, ki dajejo izvajalcem računalniške forenzike (preiskovalcem) jasen okvir in temelj za njihovo delo. Tako se mora preiskovalec pri svojem delu držati prepisanih načel. V nasprotnem primeru so lahko vsi tako pridobljeni dokazi (v neskladju z načeli računalniške forenzike) neuporabni in nedopustni v dokaznem postopku na sodišču ali pred kakšnim drugim organom. Z leti in tehnološkim razvojem se je tako razvilo mnogo različic načel računalniške forenzike. Pri nalogi bo naštetih nekaj takšnih različic, ki so v svetu računalniške forenzike najbolj priznane, in sicer:

� Načela po organizaciji IOCE – International Organization on Computer Evidence (IOCE, 2000):

1. Pri delu z dokazi v elektronski obliki je potrebno upoštevati splošna forenzična pravila in zakonske določbe za zavarovanje dokazov.

2. Postopki, ki se izvajajo med zasegom dokazov v elektronski obliki, ne smejo spremeniti teh dokazov.

3. Preiskovalec, ki mora zaradi nekega nujnega razloga dostopati do originalnih dokazov v elektronski obliki, mora biti za to primerno usposobljen.

4. Vse aktivnosti v zvezi z zasegom, dostopom, hranjenem ali prenosom dokazov v elektronski obliki morajo biti natančno dokumentirane, hranjene in dostopne za pregled.

5. Posameznik je v času, ko ima pri sebi dokaze v elektronski obliki, odgovoren za vse aktivnosti v zvezi z njimi.

6. Vsaka organizacija, ki je odgovorna za zaseg, dostop, hrambo ali prenos dokazov v elektronski obliki, mora ravnati v skladu s temi principi.

7. Beleži se evidenca aktivnosti v zvezi zasega, pregleda, predstavitve zaseženih dokazov v elektronski obliki kot tudi podatki o dostopih, hrambi ali prenosih dokazov v elektronski obliki, ki naj se hrani in bo dostopna za pregled.

8. Odgovornost za ohranitev dokazne vrednosti in vira podatkov je osebna (individualna) in ne skupna. Posameznik mora prevzem predmetov potrditi s podpisom v evidenci in je od takrat dalje odgovoren za vse aktivnosti v zvezi z njimi, dokler predmetov ne vrne v skladišče ali jih formalno ne izroči drugemu posamezniku.



� Načela po organizaciji SWGDE – Scientific Working Group on Digital

Evidence (SWGDE, 1999):

1. Varnostni organi in forenzične organizacije morajo vzpostaviti in vzdrževati učinkovit in kvaliteten sistem z namenom, da so dokazi v elektronski obliki zaseženi, shranjeni, pregledani ali preneseni tako, da ni okrnjena njihova celovitost in zaupnosti. Standardni operativni postopki so pisne smernice za doseganje kvalitete. V dokumentaciji posameznega primera morajo biti pravilno zabeleženi in morajo temeljiti na splošno priznanih postopkih, opremi in materialih.

2. Vsaka organizacija, ki se ukvarja z zasegom in/ali pregledom dokazov v elektronski obliki, mora imeti dokument, v katerem so opisani standardni operativni postopki. V navedenem dokumentu, ki ga mora odobriti vodstvo organizacije, morajo biti razumljivo pojasnjeni vsi elementi postopkov in politike organizacije glede dokazov v elektronski obliki.

3. Vodstvo organizacije mora vsaj enkrat letno posodabljati standardne operativne postopke, da se zagotovi njihova primernost in učinkovitost.

4. Uporabljeni postopki morajo biti na področju računalniške forenzike splošno priznani, sicer morajo biti dokazi v elektronski obliki zbrani in shranjeni na znanstven način.

5. Organizacija mora primerne tehnične postopke hraniti v papirnati obliki. 6. Organizacija mora uporabljati strojno in programsko opremo, ki je

primerna in učinkovita za postopek zasega ali pregleda podatkov v elektronski obliki.

7. Vsi postopki v zvezi zasega, hrambe, pregleda ali prenosa dokazov v elektronski obliki morajo biti zabeleženi v pisni obliki, ki mora biti dosegljiva za morebiten nadzor ali ob pričanju na sodišču.

8. Vsak postopek, ki bi lahko spremenil, poškodoval ali uničil katerikoli del originalnega izvoda dokaza v elektronski obliki, mora opraviti strokovnjak na področju računalniške forenzike.

� Načela po organizaciji IETF - The Internet Engineering Task Force (IETF, 2002):

1. Potrebno je zajeti čimbolj natančno sliko sistema. 2. O vseh postopkih je potrebno voditi natančne zapise, ki morajo vsebovati

datum in uro. V okviru možnosti je potrebno narediti tudi izpis uporabljenih ukazov med izvajanjem forenzičnih postopkov. Oba zapisa naj preiskovalec podpiše.

3. Zabeležiti je potrebno razliko med sistemsko uro in univerzalnim koordiniranim časom (UTC), enako je potrebno upoštevati tudi pri uporabi časovnih žigov.

4. V primeru, da bo moral preiskovalec pričati na sodišču, so zelo pomembni natančni zapisi o opravljenih postopkih (kaj, kdaj in podobno).

5. Na podatkih, ki se jih zasega, je potrebno narediti kar najmanj sprememb, vključno s spreminjanjem časov dostopa do datotek ali direktorijev.

6. V primeru, ko ima preiskovalec na izbiro zaseg podatkov ali analizo podatkov, mora najprej opraviti zaseg podatkov in šele nato analizo.

7. Postopki za zavarovanje podatkov morajo delovati preverjeno, da se zlasti



v kritičnih trenutkih zagotovi njihova izvršljivost. V okviru možnosti morajo biti uporabljeni postopki zaradi večje natančnosti in hitrosti avtomatizirani.

8. Za vsako napravo, na kateri se opravlja zavarovanje podatkov, mora biti pristop kar se da metodičen. Glede na to, da je hitrost pogosto ključnega pomena, mora v primeru, da se podatke zasega z več naprav, postopke opravljati več forenzikov hkrati. Kljub temu je potrebno podatke na posamezni napravi zasegati korak za korakom.

9. Zaseg podatkov je potrebno opravljati v vrstnem redu od neobstojnih proti obstojnim. Vrstni red za zaseg neobstojnih podatkov bi lahko bil:

a. Registri, predpomnilnik. b. Usmerjevalne tabele, predpomnilniki ARP, tabele procesov,

statistike jeder, spomin. c. Začasne sistemske datoteke. d. Trdi disk. e. Podatki o oddaljenih prijavah in nadzorovanju, ki so pomembni za

preiskovani sistem. f. Strojna konfiguracija, mrežna topologija in g. Arhivski mediji.

10. Kopijo nosilcev podatkov v sistemu je potrebno narediti na nivoju bitov. V primeru, da namerava preiskovalec na zaseženih podatkih izvajati forenzične preiskave, si mora narediti še delovni izvod kopije na nivoju bitov, saj se med forenzično preiskavo navadno spremenijo časi dostopov do datotek in direktorijev. Forenzična preiskava dokazov v elektronski obliki se nikoli ne dela na edini kopiji.

11. Izogibati se je potrebno naslednjemu: a. Naprave se nikoli ne ugasne, dokler niso zbrani vsi dokazi v

elektronski obliki, saj se lahko izgubi veliko podatkov. Prav tako lahko lastnik spremeni skripte ali storitve, ki se zaženejo ob zagonu ali ustavitvi sistema.

b. Programom, ki so nameščeni na sistemu, se ne sme zaupati, temveč je potrebno uporabljati lastne programe iz medija, ki je zaščiten proti pisanju.

c. Nikoli se ne sme uporabljati programov, ki spremenijo čas dostopa do vseh datotek.

12. Varstvo osebnih podatkov in zasebnosti: a. Potrebno je spoštovati predpise o varstvu osebnih podatkov. Še

zlasti je potrebno zagotoviti, da podatki, ki so bili zbrani med forenzičnim postopkom, niso dostopni tistim, ki tudi sicer nimajo dostopa do podatkov.

b. Brez upravičenega razloga in pravne podlage ni dovoljeno dostopati do osebnih podatkov, kot so zasebne datoteke ali elektronska pošta.

13. Dokazi v elektronski obliki morajo biti (s pravnega vidika): a. Dopustni (preden se jih predloži sodišču morajo biti v skladu z

zakonodajo). b. Avtentični (med dokazi v elektronski obliki in incidentom mora

obstajati povezava). c. Celoviti (iz dokazov v elektronski obliki mora biti mogoče razbrati

potek celotnega incidenta in ne le določen vidik). d. Zanesljivi (zaradi načina zasega in rokovanja z dokazi v elektronski

obliki ne sme nikoli obstajati dvom o njihovi avtentičnosti in



verodostojnosti). e. Verjetni (dokazi v elektronski obliki morajo biti za sodišče verjetni

in razumljivi). 14. Postopki zasega dokazov v elektronski obliki morajo biti čimbolj natančni in

jasni. Prav tako morajo zmanjševati število situacij, kjer se mora preiskovalec med postopki odločati. Metode za zaseg dokazov v elektronski obliki morajo biti pregledne in ponovljive zaradi morebitnega ponavljanja postopka pred sodiščem.

15. Vsi dokazi v elektronski obliki morajo biti strogo varovani, zato mora biti v ta namen vzpostavljena skrbniška veriga, ki mora biti jasno dokumentirana. S pomočjo skrbniške verige mora preiskovalec beležiti:

a. Kje, kdaj in kdo je našel in zasegel dokaze. b. Kje, kdaj in kdo je prevzel ali pregledal dokaze. c. Kdo in v katerem obdobju je bil skrbnik dokazov in kako so bili

takrat hranjeni. d. Kdaj in kako je bil opravljen prenos skrbništva na drugo osebo.

16. Za arhiviranje dokazov v elektronski obliki je potrebno uporabiti običajne medije. Dostop do arhivov mora biti zelo omejen in jasno dokumentiran. Prav tako mora biti mogoče zaznati neavtoriziran dostop do dokazov v elektronski obliki.

� Načela po strokovnjaku Douglasu Schweitzerju (Schweitzer, 2003):

1. Upoštevati je potrebna vsa standardna forenzična in postopkovna načela. 2. Pri zavarovanju dokazov v elektronski obliki iz pomnilnika izvedeni ukrepi

ne smejo spremeniti tega dokaza. 3. Ljudje, ki dostopajo do originalnih dokazov v elektronski obliki, morajo biti

ustrezno usposobljeni za ta namen. 4. Vse dejavnosti, ki se navezujejo na zaseg, dostop, hrambo ali prenos

dokazov v elektronski obliki, morajo biti v celoti dokumentirane, ustrezno shranjene in dosegljive za pregled.

5. Posamezniki so odgovorni za vse ukrepe v zvezi z dokazi v elektronski obliki, ko so le-ti v njihovi posesti.

6. Pri postopkih za pregledovanja računalnikov se dokazi v elektronski obliki ne smejo poškodovati, uničiti ali kako drugače kompromitirati.

7. Z zavarovanimi in morebitno pomembnimi dokazi je potrebno pravilno ravnati in jih zaščititi pred fizičnimi ter magnetnimi poškodbami.

8. Potrebno je vzpostaviti in vzdrževati skrbniško verigo za dokaze. 9. Poslovanje podjetij, kjer se izvajajo forenzični postopki, naj bo čim manj

ovirano ali pa sploh ne. Vsak podatek iz odnosa stranka-odvetnik, ki se pridobi po naključju med forenzičnim pregledom, mora biti etično in zakonito spoštovan.

10. Vsak posameznik ali skupina, ki je odgovorna za zaseg, dostop, hrambo ali prenos dokazov v elektronski obliki, se je dolžan ravnati v skladu s temi načeli.



� Načela po strokovnjaku Eoghanu Caseyu (Casey, 2004):

1. Noben postopek varnostnih agencij ali njihovih agentov ne sme spremeniti

podatkov, ki so shranjeni na računalniku ali drugem mediju, ki bi bil lahko kasneje uporabljen na sodišču.

2. V izjemnih primerih, ko je to nujno potrebno, lahko preiskovalec dostopa do originalnih podatkov na pregledovanem računalniku ali drugem nosilcu podatkov. Za to mora biti primerno usposobljen in mora znati pojasniti nujnost in posledice tega načina dela.

3. Izdelati je potrebno nadzorno sled ali podoben zapis o vseh postopkih, ki so bili izvedeni na dokazih v elektronski obliki. Neodvisna tretja stranka mora biti sposobna preveriti te postopke in doseči enak rezultat.

4. Oseba, ki vodi preiskavo, je odgovorna za zagotavljanje zakonitosti in upoštevanje teh principov.

� Načela po organizaciji RAND Europe (RAND Europe, 2003):

1. Minimalno rokuj z originalom Izvajanje postopkov računalniške forenzike med pregledom originalnih podatkov mora biti zmanjšano na absolutni minimum.

2. Utemelji vsako spremembo Kadar med forenzičnim postopkom pride do sprememb, je potrebno primerno obrazložiti vrsto spremembe, njen obseg in vzrok zanjo.

3. Ravnaj se po dokaznih pravilih Pri uporabi ali razvijanju forenzičnih orodij in tehnik je potrebno upoštevati relevantna dokazna pravila.

4. Ne presegaj svojega znanja Strokovnjak za računalniško forenziko ne sme izvajati preiskave, ki presega njegov trenutni nivo znanja in izkušenj.

To je samo peščica načel, ki jih lahko najdemo v strokovni literaturi in na dostopnih internetnih straneh. Stališča posameznih subjektov so si med seboj zelo podobna. Nekaj trditev pa je skupnih vsem subjektom. 2.4 ZAKONODAJA NA PODROČJU RAČUNALNIŠKE FORENZIKE V

SLOVENIJI 2.4.1 ZAKON O KAZENSKEM POSTOPKU (ZKP) S področja dela preiskovanja računalniške kriminalitete je temeljni steber zakonodaje Zakon o kazenskem postopku (ZKP, 2007), ki Policiji daje pooblastilo izvajanja računalniške forenzike ter predpisuje pravno podlago za izvedbo zakonitega postopka računalniške forenzike, vse od zasega elektronske naprave, zavarovanja podatkov iz elektronske naprave in preiskave podatkov. V Republiki Sloveniji je bila povod za razvoj računalniške forenzike odločba Ustavnega sodišča Republike Slovenije (US, 2009). Sodišče je oktobra 2008 v tej razsodbi presodilo, da poseg v svobodo komuniciranja ni dovoljen brez



predhodnega dovoljenja sodišča ter da so prometni podatki sestavni del vsebine komunikacije, torej tudi del komunikacijske zasebnosti. Ustavno sodišče je namreč odločalo o pritožbi posameznika, ki je bil pred Okrožnim sodiščem v Novi Gorici obsojen za kaznivo dejanje neupravičenega prometa z mamili. V kazenskem postopku je zatrjeval, da so bili podatki, ki so se nahajali na zaseženi SIM kartici, pridobljeni brez odredbe preiskovalnega sodnika, zato naj bi šlo za nedovoljene in nedopustne dokaze. Policija je namreč pritožniku med zakonito izvedeno preiskavo zasegla mobilni telefon ter ga nato, vključno s SIM kartico, pregledala. Po pritožnikovem mnenju naj bi bilo to preiskovanje nezakonito, saj policija ni pridobila še (dodatne) odredbe za nadzor telekomunikacij. Ustavno sodišče je v odločitvi ugodilo pritožniku ter s tem postavilo jasne meje posegov v tajnost občil. Posebej je tudi poudarilo stališče, da je potrebno predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije. Sodišče je tudi presodilo, da varstvo komunikacijske zasebnosti obsega tudi izpise iz telefona in SIM kartice oziroma podatke, shranjene v naročnikovi terminalni napravi ter s tem tudi posredno opozorilo, da je pravna ureditev tovrstnih posegov v zasebnost v času novih tehnologij zastarela in potrebna dopolnitve. S to odločitvijo je Ustavno sodišče dalo zakonodajalcu jasne smernice. Posledica je bila sprememba Zakona o kazenskem postopku (ZKP, 2009), ki je bil objavljen dne 2.9.2009, v veljavo pa je stopil petnajsti dan po objavi. Z navedenimi spremembami je Zakon o kazenskem postopku pridobil dva člena, ki sta temelj graditve računalniške forenzike v Sloveniji. 219a. člen ZKP predpisuje postopek preiskave podatkov iz elektronskih naprav. V prvem odstavku predpisuje pogoje, ki morajo biti izpolnjeni, da se lahko opravi preiskava elektronske naprave. V drugem odstavku prav tako predpiše pogoj, da se preiskava lahko opravi na podlagi pisne privolitve imetnika in uporabnika elektronske naprave ali na podlagi odredbe sodišča. V nadaljevanju 3. odstavek predpisuje, katere podatke mora vsebovati predlog sodišču za izdajo odredbe; kot so podatki, ki omogočajo identifikacijo elektronske naprave, ki se bo preiskala, utemeljitev razlogov za preiskavo, opredelitev vsebine podatkov, ki se iščejo, in druge pomembne okoliščine, ki narekujejo uporabo tega preiskovalnega dejanja in določajo način njegove izvršitve. V 4. odstavku zakonodajalec predpisuje, da v kolikor je odredba za preiskavo elektronskih naprav vsebovana znotraj odredbe za hišno preiskavo, se za del odredbe, ki govori o preiskavi podatkov, uporablja 219a. člen ZKP. 6. odstavek določa, da mora imetnik oz. uporabnik elektronske naprave pri preiskavi omogočiti dostop do elektronske naprave, predložiti morebitne šifrirne ključe ali gesla za dostop do podatkov. V nasprotnem primeru se lahko osebo, ki ravna v nasprotju s tem členom, kaznuje (denarno kazen izreče sodišče). Način opravila preiskave elektronskih podatkov prepisuje 7. odstavek. Preiskava mora biti opravljena tako, da se ohrani integriteta izvirnih podatkov in možnost njihove uporabe v nadaljnjem postopku. Preiskava mora biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali



obdolženci, in varuje tajnost oziroma zaupnost podatkov ter se ne povzroča nesorazmerna škoda. 8. odstavek določa, da lahko preiskavo opravi strokovno usposobljena oseba. Pri tem ne predpisuje kriterijev, ki jih mora izpolnjevati oseba (preiskovalec), da se lahko šteje kot usposobljena. V nadaljevanju je tudi določeno, da se o preiskavi sestavi zapisnik. Našteta je obvezna vsebina, ki jo mora vsebovati zapisnik, in sicer: identifikacijo elektronske naprave, ki je bila pregledana, datum ter uro začetka in konca preiskave oziroma ločeno za več preiskav, če preiskava ni bila opravljena v enem delu. Prav tako mora zapisnik vsebovati morebitne sodelujoče in navzoče osebe pri preiskavi, številko odredbe in sodišče, ki jo je izdalo, način izvedbe preiskave, ugotovitve preiskave in druge pomembne okoliščine. Da lahko pri preiskavi izločimo tudi druge dokaze, ki jih pri preiskavi najdemo, in bi ti dokazi uspeli služiti kot dokaz v drugem kazenskem postopku, nam dovoljuje 9. odstavek 219a. člena ZKP. Pri tem je obveza, da se po najdbi takšnih dokazov takoj obvesti Okrožno državno tožilstvo, ki v nadaljevanju odloča o kazenskem pregonu. Če se tožilstvo ne odloči za pregon, je potrebno takšne podatke oz. dokaze uničiti. Glede samega zavarovanja podatkov iz elektronskih naprav je zakonodajalec to vsebinsko opredelil v 223.a členu ZKP. Tako 1. odstavek tega člena določa, da v kolikor se zaseže elektronska naprava (prvi odstavek 219.a člena) z namenom izvedbe preiskave, se podatki v elektronski obliki zavarujejo. Podatki se zavarujejo tako, da se shranijo na drug ustrezen nosilec podatkov na način, da se ohrani njihova istovetnost in integriteta ter možnost njihove uporabe v nadaljnjem postopku. Pri tem predpisuje tudi možnost, da se izdela istovetna kopija celotnega nosilca podatkov, pri čemer se zagotovi integriteta kopije teh podatkov. Če to ni mogoče, se elektronska naprava zapečati. Če je možno, pa se izloči in zapečati samo tisti del elektronske naprave, ki naj bi vseboval iskane podatke. V 2. odstavku je tudi podana možnost, da se podatki iz elektronske naprave zavarujejo brez predhodne odredbe, vendar je potrebno pridobiti pisno odredbo najkasneje v 12 urah po zavarovanju. V nasprotnem primeru je potrebno tako pridobljene podatke uničiti. Zakon v 3. odstavku nalaga imetniku, uporabniku ali upravljavcu elektronske naprave sodelovanje pri postopku zasega elektronske naprave. Pri tem jim nalaga, da ukrenejo vse, kar je potrebno in je v njihovi moči, da se onemogoči uničenje, spreminjanje ali prikrivanje podatkov. Če le-ta noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca, obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen) – privilegij do samoobtožbe. Za policijsko delo je pomemben 4. in 5. odstavek 223.a člena ZKP. 4. odstavek govori, da se imetnika ali uporabnika naprave povabi, naj bo sam, njegov zastopnik, odvetnik ali strokovnjak navzoč pri zavarovanju podatkov po 1. odstavku tega člena. Če se ne odzove vabilu, če je odsoten ali če ni znan, se zavarovanje podatkov in izdelava istovetne kopije opravi brez njegove navzočnosti. V navedenem odstavku je tudi predpisana obveza, da postopek



zavarovanja podatkov opravi strokovno usposobljena oseba. Od tukaj pravica imetnika ali uporabnika do prisotnosti pri samem postopku zavarovanja podatkov iz naprave. Obveza vpisa kontrolne vrednosti v zapisnik o zavarovanju podatkov izhaja iz 5. odstavka 223.a člena ZKP. V praksi se za izračun kontrolne vrednosti uporablja matematični algoritem, ki iz vhodnega sporočila, ki je poljubno dolgo, vrne fiksno dolgo binarno vrednost (ang. hash value) – digitalni prstni odtis. Pomembno je, da je ta algoritem enosmeren. To pomeni, da je skoraj nemogoče najti vhodno sporočilo, če poznamo le njegov prstni odtis. Prav tako je skoraj nemogoče najti dve vhodni sporočili, ki bi ob izhodu tvorili enaka prstna odtisa. Zaseg in zavarovanje podatkov morata biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje zaupnost podatkov. 7. odstavek 223.a člena ZKP predpisuje, da se kopije zaseženih podatkov hranijo, dokler je to potrebno za postopek. Elektronska naprava se hrani, dokler podatki niso shranjeni na način, ki zagotovi istovetnost in integriteto zaseženih podatkov, vendar ne več kakor tri mesece od dneva pridobitve. Če izdelava takšne kopije podatkov ni mogoča, se elektronska naprava ali del elektronske naprave, ki vsebuje iskane podatke, hrani, dokler je to potrebno za postopek, vendar ne več kakor šest mesecev od dneva pridobitve, razen če je bila zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja oziroma je sama elektronska naprava dokaz v kazenskem postopku. Do novele Zakona o kazenskem postopku (ZKP, 2009) ni bilo določb, ki bi določale roke za vračilo zaseženih predmetov. Sedaj 223.a člen določa trimesečni rok za vračilo elektronske naprave, če izdelava kopije podatkov ni mogoča pa največ šest mesecev od dneva pridobitve elektronske naprave. V tem času mora Policija iz nosilca podatkov forenzično zavarovati digitalne podatke. Če je bila elektronska naprava uporabljena za izvršitev kaznivega dejanja oziroma je sama elektronska naprava dokaz v kazenskem postopku, čas vračila ni določen. Načelo, ki se uveljavlja, je, da se elektronsko napravo čim prej vrne imetniku oziroma uporabniku. Težava lahko nastane pri razlagi, kdaj je bila elektronska naprava uporabljena za izvršitev kaznivega dejanja oziroma je sama elektronska naprava dokaz v kazenskem postopku. Elektronska naprava je danes lahko tako ali drugače uporabljena skoraj pri vseh kaznivih dejanjih, zato bi bilo nemogoče jasno opredeliti, pri katerih kaznivih dejanjih ti roki veljajo in pri katerih ne. Poleg tega se lahko kvalifikacija kaznivega dejanja v teku postopka spremeni. Pri kaznivih dejanjih, povezanih z otroško pornografijo, za obstoj kaznivega dejanja zadošča že sama posest takšnega gradiva in ni nujno, da z napravo storilec karkoli počne, razen tega, da naloži tovrstno gradivo v pomnilniški medij naprave.



2.4.2 KONVENCIJA O KIBERNETSKI KRIMINALITETI Pod okriljem Sveta Evrope oziroma njegovega Komiteja za probleme kriminalitete je bila v letu 1997 oblikovana skupina strokovnjakov (označena s kratico PC-CY) iz držav članic Evropske unije z nalogo, da pristopi k pripravi tako imenovane “cyber crime” konvencije, ki naj bi določila mednarodne pravne standarde na področju boja proti z računalništvom povezani kriminaliteti. V rednem delu skupine je sodelovalo relativno omejeno število strokovnjakov članic Sveta Evrope, predvsem iz držav z bogatimi izkušnjami na področju “cyber” kriminala. Zelo aktivno pa so pri pripravi konvencije sodelovali predstavniki držav opazovalk – ZDA, Kanade, Južnoafriške republike in Japonske. Konvencija o kibernetski kriminaliteti je mednarodna pogodba o boju zoper kriminal v kibernetskem prostoru. Sprejeta je bila pod okriljem Sveta Evrope 23.11.2001 v Budimpešti, kjer jo je podpisalo 30 držav. Slovenija je konvencijo podpisala 24.7.2002, Državni zbor RS jo je sprejel 20.5.2004, v veljavo je stopila 1.1.2005. Glavni cilj konvencije je ustvariti skupno politiko, ki bo družbo ščitila pred kriminalom na svetovnem spletu. Konvencija določa predvsem kazniva dejanja, povezana s kršitvami avtorskih pravic, prevare, povezane s kriminalom, otroško pornografijo in kaznivimi dejanji, povezanimi z varnostjo omrežij. Prav tako določa postopkovne pristojnosti, kot sta iskanje in prestrezanje vsebine na računalniških omrežjih (Rupnik, 2003). Po konvenciji se pristojnost posamezne države lahko nanaša samo na njen teritorij, ladje in letala ter njene državljane. Poleg tega pa konvencija ureja tudi mednarodno sodelovanje med državami. Podlaga za to je globalizacija svetovne mreže (internet). Konvencija o kibernetski kriminaliteti je sestavljena iz :

� preambule,

� I. poglavje Pomen izrazov, kot so računalniški sistem (vsaka naprava ali skupina med seboj povezanih ali soodvisnih naprav, od katerih ena ali več naprav samodejno obdeluje podatke s pomočjo programa), računalniški podatki (vsaka predstavitev dejstev, informacij ali zamisli v obliki, primerni za obdelavo v računalniškem sistemu, vključno s programom, primernim, da na računalniškem sistemu izvede posamezno opravilo), ponudnik storitev (vsaka javna ali zasebna pravna ali fizična oseba, ki zagotavlja uporabnikom svojih storitev možnost komunikacije s pomočjo računalniškega sistema, ter vsaka druga pravna ali fizična oseba, ki obdeluje ali shranjuje računalniške podatke za take komunikacijske storitve ali uporabnike teh storitev) in podatki o prometu (vsi računalniški podatki o komuniciranju s pomočjo računalniškega sistema, ustvarjeni z računalniškim sistemom, ki je bil del komunikacijske verige, in nakazujejo izvor, cilj, pot, čas, datum, obseg, trajanje ali vrsto take storitve).

� II. poglavje

Ukrepi, ki jih je treba sprejeti na državni ravni in se delijo na dva dela. V prvi del spadajo kazniva dejanja zoper zaupnost, celovitost in dostopnost



računalniških podatkov in sistemov (protipravni dostop, protipravno prestrezanje, motenje podatkov, motenje sistemov in zloraba naprav), kazniva dejanja povezana z računalnikom (računalniško ponarejanje in računalniška goljufija), kazniva dejanja, povezana z vsebino (kazniva dejanja, povezana z otroško pornografijo), kazniva dejanja, povezana s kršitvijo avtorske pravice in sorodnih pravic ter odgovornost udeležencev pri kaznivih dejanjih in sankcije (poskus in pomoč ali napeljevanje, odgovornost pravnih oseb ter sankcije in ukrepi). V drugi del pa spadajo splošne določbe, takojšnje zavarovanje shranjenih računalniških podatkov (takojšnje zavarovanje in delno razkritje podatkov o prometu), odredba za pripravo, preiskovanje in zaseg shranjenih računalniških podatkov v dejanskem času.

� III. poglavje

Mednarodno sodelovanje, ki vsebuje splošna načela (splošna načela povezana z mednarodnim sodelovanjem, načela za izročitev, splošna načela povezana z medsebojno pomočjo, postopki v zvezi z zaprosili za medsebojno pomoč, kadar ni veljavnih mednarodnih pogodb) in posebne določbe (medsebojna pomoč pri začasnih ukrepih, kot sta takojšnje zavarovanje shranjenih računalniških podatkov in takojšnje razkritje zavarovanih podatkov o prometu, medsebojna pomoč pri preiskovalnih pooblastilih, kot so medsebojna pomoč pri dostopu do shranjenih računalniških podatkov, čezmejni dostop do shranjenih podatkov s soglasjem ali kadar so podatki javno dostopni, omrežje).

� IV. poglavje

Končne določbe (podpis in začetek veljavnosti, pristop h konvenciji, ozemeljska uporaba, učinki konvencije, izjave, zvezna klavzula, pridržki, stanje in umik pridržkov, spremembe, reševanje sporov, posvetovanja pogodbenic, odpoved, uradno obveščanje ).



3 ORGANIZIRANOST RAČUNALNIŠKE FORENZIKE V SLOVENSKI POLICIJI

Do leta 2009 je bilo področje računalniškega preiskovanja v Policiji urejeno tako, da so bili posamezni računalniški preiskovalci sistemizirani znotraj Oddelkov za gospodarsko kriminaliteto Sektorjev kriminalistične policije posamezne policijske uprave. Po letu 2009 (kar sovpada s spremembo Zakona o kazenskem postopku), se je organiziranost slovenske Policije na področju boja zoper računalniško kriminaliteto spremenila tako, da se je na nivoju Urada kriminalistične policije Generalne policijske uprave ustanovil Center za računalniško preiskovanje. Na območju Republike Slovenije pa so nastali še štirje Oddelki za računalniško preiskovanje, ki delujejo pod okriljem Sektorjev kriminalističnih policij policijskih uprav Koper, Ljubljana, Celje in Maribor. S to novo organiziranostjo je slovenska Policija pridobila organizirane oddelke in preiskovalce, ki se ukvarjajo izključno s preiskovanjem računalniške kriminalitete in z izvajanjem t.i. računalniških preiskav elektronskih naprav, ki so zasežene v okviru preiskav drugih oddelkov ali enot Policije (Policija, 2010c). Tako so se v letu 2010 relativno mladi oddelki organizacijsko dopolnjevali, in sicer sprva z zaposlovanjem nove delovne sile (interni in zunanji razpisni natečaji za delovna mesta) in s tem deloma dopolnili prosta delovna mesta v oddelkih. Za tem pa so se urejale še prostorske težave tako, da so oddelki pričeli delovati v svojih prostorih. Pred zaključkom leta 2010 so se oddelki za računalniško preiskovanje obogatili z novimi forenzičnimi računalniškimi kompleti in posebnimi napravami za zavarovanje podatkov iz mobilnih telefonov. Z ustanovitvijo oddelkov za računalniško preiskovanje se je pričel izvajati tudi redni izobraževalni program, tako za začetnike na tem področju dela, kot nadaljevalne tečaje za preiskovalce. Interne tečaje (znotraj Policije) organizira Center za računalniško preiskovanje GPU v sodelovanju s Policijsko akademijo. V sklopu izobraževanja pa se preiskovalci iz oddelkov udeležujejo tudi tečajev in seminarjev v tujini, ki jih pogosto organizirajo mednarodne strokovne organizacije kot so OLAF, EUROPOL, CEPOL, itd. V slovenski Policiji podajo veliko pozornost na znanje in prenos znanja med preiskovalci. Glede na relativno mladost oddelkov za računalniško preiskovanje in veliko število zadanih nalog ob pričetku delovanja (tako organizacijskih kot operativnih), pa niso še vzpostavili primernega informacijskega sistema, do katerega bi lahko dostopali vsi zaposleni, črpali znanje in izkušnje drugih ter se seznanjali s pravili izvajanja policijskih postopkov na področju preiskovanja računalniške kriminalitete. Zaradi navedenega si v posameznih oddelkih za računalniško preiskovanje preiskovalci ustvarjajo svoje različice forenzičnih postopkov in jih tako velikokrat prilagajajo svoji razlagi nacionalne zakonodaje in (ne)poznavanju strokovnih načel. Po krajši analizi teh postopkov je bilo ugotovljeno, da se v nekaterih segmentih postopki med oddelki razlikujejo (kot npr. izdelava istovetne kopije za potrebe tožilstva, itd.).



Prav ta razlika vsakodnevnih opravil med posameznimi oddelki, ki se sčasoma povečuje, ter nevarnost, da se postopki posameznikov toliko spremenijo, da postanejo pravno in strokovno nedopustni, je razlog za preučitev in predlog ustrezne rešitve delovnih procesov, s katerimi bi poenotili postopke vseh oddelkov za računalniško preiskovanje.



4 PREDLOG UREDITVE POSTOPKOV RAČUNALNIŠKE FORENZIKE V SLOVENSKI POLICIJI

4.1 POMEMBNOST POENOTENJA POSTOPKOV RAČUNALNIŠKE

FORENZIKE Kot je opisano v prejšnjem poglavju, deluje dejavnost računalniške forenzike v Policiji v štirih Oddelkih za računalniško preiskovanje in Centru za računalniško preiskovanje, ki je tudi pristojen za usmerjanje drugih oddelkov pri svojem delu. Zaradi takšne razpršenosti preiskovalcev po celotnem območju R. Slovenije in relativne samostojnosti slednjih pri izvajanju nalog, obstajajo možnosti, da bi prihajalo do razlik pri izvedbi posameznih postopkov računalniške forenzike in temu posledično do vsebinskih razlik pri sestavi dokumentov, ki spremljajo posamezno opravilo (zapisniki na podlagi Zakona o kazenskem postopku). Ker se strokovnost določene organizacije ocenjuje tudi po vsebinskem razhajanju posameznih istovrstnih opravil, je pomembno, da se z namenom izboljšanja strokovnosti in učinkovitosti organizacije poenoti predvsem naslednja področja dela:

- določitev skupnih načel računalniške forenzike in s tem povezane metodologije,

- poenotenje temeljnih postopkov računalniške forenzike v Policiji, kot postopek zasega elektronske naprave, zavarovanja podatkov iz elektronske naprave, in postopek preiskave podatkov. Potrebno je tudi predpisati enotno obliko pisnih aktov, ki nastanejo pri posameznem postopku, in podrobnosti vsebin, ki jih mora kakšen dokument obvezno vsebovati,

- določitev in nadgradnja preverjenih računalniško forenzičnih opravil v slovenski policiji in tako uvedba preverjene baze znanja,

- določitev skupnega izrazoslovja in uporabe ustreznih strokovnih izrazov. Poenotenje postopkov zahteva celovit pristop, ki vsebuje sprejetje principov, načel in standardov računalniške forenzike ter sprejetje metodologije računalniške forenzike. To sta temeljna dokumenta, ki bi predstavljala »doktrino« računalniško-forenzičnih postopkov policije v Sloveniji. Tovrstne dokumente imajo sprejete tudi tuje policije, agencije in organizacije, ki se ukvarjajo z računalniško forenziko. Slednja dokumenta sta tudi osnova za izdelavo standardnih operativnih postopkov računalniške-forenzike in konkretnih rešitev za določena specifična računalniško-forenzična opravila. Z izvedbo zgoraj omenjenih sprememb v organizaciji in poenotenjem že preverjenih postopkov in opravil, je možna vzpostavitev uspešnega sistema informiranja, ki se neprestano spreminja in dopolnjuje, ter kot tak daje preiskovalcem jasne smernice za uspešnost njihovega dela in jim pri tem ponuja ustrezno mesto za izmenjavo izkušenj.



4.2 MODEL ENOTNIH POSTOPKOV RAČUNALNIŠKE FORENZIKE Ker so postopki in opravila računalniške forenzike dinamični in se s časom spreminjajo in dopolnjujejo, upoštevajoč vse temeljne akte in načela, predlagamo modularno organizacijo procesov računalniške forenzike v Policiji. Postopki računalniške forenzike (osnovni postopki zasega, zavarovanja in preiskave elektronskih naprav) morajo biti opravljeni v skladu s temelji, kot so načela računalniške forenzike, določeno metodologijo in v skladu z veljavnimi pravnimi akti (zakonodajo). V nadaljevanju prav tako specifični operativni postopki,ki zajemajo posamezno podrobno opravilo, morajo biti izvedenI v skladu s temeljnimi pravili in s pravili za izvedbo osnovnih postopkov - standardni operativni postopki. Tako so procesi v organizaciji sestavljeni iz posameznih modulov, ki so med seboj hierarhično odvisni in skupaj sestavljajo celovitost izvedbe postopkov računalniške forenzike v Policiji. Tako so posamezni glavni moduli delovnih procesov, ki se skupaj povezujejo v organizacijsko celoto, naslednji:

� I. modul - Temeljna strateška določila Modul vsebuje osnove delovnih procesov, na podlagi katerih morajo biti izvedena vsa naslednja opravila v organizaciji. Tako so v navedenem modulu temelji delovnih procesov, kot so “načela računalniške forenzike”, “določila nacionalnih pravnih aktov”, “metodologija računalniške forenzike” in “Politika varnosti forenzičnega informacijskega sistema”. Vsi naslednji delovni moduli morajo biti izvedeni v skladu z določili opisanega modula.

� II. modul - Standardni operativni postopki

V tem modulu je skupina osnovnih delovnih procesov, ki morajo biti standardizirani (poenoteni) v opravilih računalniške forenzike organizacije Policije, kot so “postopek zasega elektronske naprave”, “postopek zavarovanja elektronskih naprav”, “postopek preiskovanja podatkov iz elektronske naprave” in “izobraževanje in usposabljanje”.

� III. modul - Specifični delovni postopki

Vsebujejo specifičnosti posameznih opravil, tako v postopkih zavarovanj podatkov iz elektronskih naprav (kot npr. zavarovanje podatkov z uporabo preprečevalcev pisanja, z uporabo operacijskega sistema Linux, zavarovanje neobstojnih podatkov, itd.), kot v zahtevnejših opravilih, postopkih preiskave podatkov (npr. preiskava operacijskega sistema Windows, preiskava registra, preiskava programa za izmenjavo datotek, preiskava določenega datotečnega sistema, itd.).

Slika 1, prikazuje strukturno odvisnost posameznih modulov, kjer je kot najbolj pomemben I. modul – Temeljna strateška določila. Tako moramo pri ustvarjanju II. modula – Standardi operativni postopki, slednjega sestaviti tako, da bo temeljil na določilih iz I. modula.



Slika 1: Modularna struktura postopkov računalniške forenzike

V našem predlogu delovnih procesov smo za t. i. “logistične potrebe” (spremljevalne informacije, ki so kot pripomoček pri delu) predvideli še dodatni modul, ki pa je neodvisen od skupine glavnih treh modulov (ki kot taki tvorijo celovitost delovnega procesa) in sicer:

� Zbirke in ostali priročni seznami Modul vsebuje zbir vseh priročnih informacij, kot so zbirka strojne opreme za računalniško forenziko, zbirka programske opreme za računalniško forenziko, dostopna spletna orodja za računalniško forenziko, slovar pogosto uporabljenih izrazov, seznam zaposlenih in kontakti, itd.

Slika 2 prikazuje posamezne module z okvirno vsebino in njihovo hierarhično odvisnost.



Slika 2: Vsebina glavnih modulov in njihova odvisnost

S takšnim načinom ureditve posameznih modulov je možno zagotoviti popolnost delovnih procesov. Velikokrat so posamezni postopki v računalniški forenziki zelo različni. S to ureditvijo bomo dosegli, da se bodo vsi postopki enotno opravljali na podlagi skupno sprejetih pravil.



4.3 I. MODUL – TEMELJNA STRATEŠKA DOLOČILA Kot že opisano v prejšnjih poglavjih, vsebujejo temeljna strateška določila smernice, na podlagi katerih morajo biti kasneje opravljeni vsi postopki računalniške forenzike, tako splošni operativni postopki kot tudi specifični postopki. V tem modulu so podani jasni okvirji, do kje lahko štejemo postopek za postopek računalniške forenzike, pri katerem so pridobljeni dokazi dopustni v postopku na sodišču. 4.3.1 NACIONALNI PRAVNI AKTI Kateri dokaz je na sodišču dopusten? Najbolj enostaven odgovor je, da je to vsak dokaz, ki je pridobljen v skladu z zakonom. V kazenskih zadevah je to Zakon o kazenskem postopku, ki predpisuje celoten kazenski postopek, vse od predkazenskega postopka do zaključka kazenskih postopkov na sodiščih. Pri postopkih računalniške forenzike, ki so opravljeni v enotah Policije, je najbolj pomembno to, da so postopki opravljeni v skladu z Zakonom o kazenskem postopku, predvsem z 219.a in 223.a členom tega zakona. Le tako bodo pridobljeni dokazi lahko uporabni na sodišču. Vsi nadaljnji postopki in moduli bodo morali biti v osnovi skladni z nacionalnimi pravnimi akti, in sicer z določbami, ki narekujejo postopek izvedbe zavarovanja in preiskave podatkov. Vsak preiskovalec bo pri svojem delu moral dobro poznati vsebino obeh členov, ki sta osnovno vodilo pri izvedbi računalniško forenzičnih opravilih v slovenski policiji. Slovensko zakonodajo na področju računalniške forenzike smo obširno opisali v poglavju 2.3. Vsebina 219.a in 223.a člena Zakona o kazenskem postopku je bila zaradi svoje pomembnosti izločena in je priložena diplomski nalogi (glej PRILOGO 1). 4.3.2 DOLOČITEV STROKOVNIH NAČEL RAČUNALNIŠKE FORENZIKE

Drugi najpomembnejši akt modula temeljnih strateških določil je zbir splošnih navodil za kriminaliste, ki se v Policiji ukvarjajo z računalniško forenziko. Ta načela smo poimenovali strokovna načela. Strokovna načela morajo biti v prvi vrsti usklajena z nacionalno zakonodajo. Nikakor si ne smejo biti nasprotna ter morajo dati preiskovalcu jasna splošna navodila, kako morajo biti operativni postopki računalniške forenzike izvedeni, da bodo pravno in strokovno dopustni.

Po opravljeni analizi veljavnih strokovnih načel drugih pomembnih strokovnih organizacij, ki se ukvarjajo z računalniško forenziko, se za opravljanje postopkov v Policiji predlaga naslednja zakonodajno usklajena strokovna načela (Policija, 2010a):



1. Revizijska sled

Vse aktivnosti v zvezi s forenzičnimi postopki glede digitalnih dokazov morajo biti natančno dokumentirane, hranjene in dostopne za pregled tako, da jih lahko kadarkoli ponovi tretja neodvisna stranka in pri tem doseže enak rezultat.

Strokovno načelo nalaga preiskovalcu splošna navodila o ravnanju z digitalnimi dokazi, vse od postopka zasega elektronskih naprav, pa do postopka zavarovanja podatkov iz elektronske naprave in kasneje še postopka preiskave podatkov. Digitalni dokaz je treba pravilno hraniti, onemogočiti neupravičen dostop do podatkov ali naprave ter prav tako sproti jasno dokumentirati vsako ravnanje z elektronsko napravo in kasneje še z zavarovanimi podatki. Slednje zagotavlja gotovost, da ni bilo neupravičeno dostopano do elektronskih naprav, prav tako pa daje tretjemu neodvisnemu strokovnjaku (npr. izvedenec določen s strani sodišča) jasno sliko ravnanja z napravo in dokazi ter mu tako daje pogoje za ponovljivost naših postopkov (predvsem preiskave) (Završnik, 2010).

Pomembno je dejstvo, da lahko vsakdo ponovi postopke Policije in preveri ugotovitve preiskovalcev. Na takšen način se izognemo dvomu o nepravilnosti postopka ali še hujše neupravičenim očitkom spreminjanja podatkov.

2. Integriteta podatkov

Noben postopek ne sme spremeniti podatkov, ki so bili shranjeni v elektronski napravi. Zaradi navedenega se praviloma preiskava opravi na istovetni kopiji.

V izjemnih primerih, ko je to nujno potrebno, lahko preiskovalec dostopa do originalnih podatkov, shranjenih v elektronski napravi, vendar mora biti za to primerno usposobljen in mora znati pojasniti nujnost in nastale posledice ob takšnem načinu preiskave.

Eno najpomembnejših načel v računalniški forenziki je ohranitev integritete podatkov, ki se preiskujejo. To pomeni, da morajo biti postopki Policije takšni, da se po zasegu elektronske naprave izvedejo naslednji postopki; zavarovanje in preiskava podatkov tako, da ne spremenimo izvornega podatka, ki je shranjen v elektronski napravi. Zaradi tega so postopki zavarovanja podatkov iz elektronske naprave praviloma takšni, da se pri postopku izdela istovetna kopija originalnega nosilca podatkov na način, da se med postopkom zavarovanja ne posega na originalni podatkovni nosilec (se z originalnega nosilca samo bere podatke).

Po pravilni izdelavi istovetne kopije se praviloma izračunajo kontrolne vrednosti zavarovanih podatkov. Nato se primerjajo izračunane kontrolne



vrednosti prenesenih podatkov (istovetne kopije) s kontrolnimi vrednostmi podatkov na originalnem podatkovnem nosilcu. Če se te vrednosti ujemajo, to pomeni, da je dejansko niz zavarovanih podatkov enak nizu podatkov na originalnem nosilcu podatkov.

Ker poznamo tudi izjeme, kjer zavarovanje celotne vsebine originalnega nosilca podatkov ni možno, je v takšnih primerih dopustno izvajati preiskavo na originalnem nosilcu. Pri tem je treba upoštevati dejstvo, da je tudi v takem primeru potrebno v čim manjši meri posegati na originalni nosilec. Takšni primeri so npr. preiskave velikih količin podatkov, pri katerih iščemo točen določen podatek (npr. iskanje spornih fotografij otroške pornografije).

Kljub vsemu pa obstajajo tudi primeri pri katerih moramo za potrebe izvedbe forenzičnega opravila posegati na originalni nosilec podatkov. Taka opravila so npr. zavarovanje podatkov iz neobstojnih podatkovnih nosilcev (RAM pomnilniki), ali ugotovitev aktivnih mrežnih povezav osumljenega v času izvedbe hišne preiskave, itd.

V vseh primerih mora biti preiskovalec ustrezno strokovno usposobljen za izvedbo posameznega opravila. Preiskovalec mora znati pojasniti vsak njegov poseg v elektronsko napravo in pri tem tudi znati predvideti, kakšne spremembe v originalnem podatkovnem nosilcu povzroči poseg preiskovalca. Sama usposobljenost preiskovalca pa se lahko izvaja v zunanjih institucijah ali znotraj izobraževalnega procesa Policije.

3. Skrbniška veriga

Digitalni dokazi morajo biti ves čas ustrezno varovani (tj. vse od postopka zasega elektronske naprave naprej), zato je posameznik v času, ko jih ima pri sebi, odgovoren za vse aktivnosti v zvezi z njimi.

Skrbniška veriga je kronološka dokumentacija, ki spremlja predmet postopka računalniške forenzike (npr. elektronsko napravo, izločene podatke ali dokaze, itd.). Določa skrbništvo, nadzor, prenos, analizo, in razpolaganja z dokazi bodisi v fizični ali v elektronski obliki. Ker se pridobljene dokaze uporablja pred sodiščem in se na njihovi podlagi določa odgovornost obtoženega, je treba z dokazi ravnati skrbno in previdno, da bi se kasneje na sodišču izognili kakršnemu dvomu o nepravilnem ravnanju ali poseganju v dokaz (t.i. kontaminaciji dokaza).

Tako skrbniško verigo lahko poimenujemo spremljevalni list, ki pečati naš dokaz in s tem onemogoča neupravičen poseg do njega. Skrbniška veriga daje tudi časovni pregled, kdo je z dokazom ravnal in upravljal vse od zasega naprave, pa do predložitve dokaza sodišču oziroma okrožnemu državnemu tožilstvu.



Preiskovalec, ki mu je dokaz zaupan, mora vedno imeti fizično skrbništvo nad dokazom. V praksi naj bi pomenilo to, da policist (ali uradna oseba) ob zasegu elektronske naprave na kraju, slednjo praviloma zapečati in jo opremi s skrbniško verigo. Ko policist izroči elektronsko napravo v nadaljnji postopek oddelku za računalniško preiskovanje, bi moral to transakcijo zabeležiti v skrbniško verigo. Tako bi morale biti vse transakcije s takšnimi predmeti zabeležene v skrbniško verigo, ki bi ob zaključku (policijskega) postopka nudila kronološki pregled o tem, kdo vse je upravljal z dokazom.

Nacionalna zakonodaja (Zakon o kazenskem postopku) eksplicitno ne predpisuje uporabe skrbniške verige v postopkih. Pričakovati pa je, da se bo vse več obtoženih sklicevalo na nepravilnosti pri ravnanju z napravami ali elektronskimi dokazi tako, da bi dejansko diskriminirali delo preiskovalcev in s tem povzročili dvom pred sodiščem. Zaradi navedenega se predlaga uvedba tega strokovnega načela, saj bi z uvedbo in uporabo skrbniške verige bistveno zmanjšali stopnjo tveganja o nepravilnem ravnanju z dokazom ali o zlorabi integritete slednjega.

4. Zakonodaja

Pri delu z digitalnimi dokazi je treba upoštevati splošna forenzična pravila in zakonske določbe za zavarovanje in preiskavo podatkov (Zakon o kazenskem postopku). Tako je oseba, ki vodi postopek zavarovanja podatkov ali postopek preiskave le-teh, odgovorna za zagotavljanje teh strokovnih načel, kot tudi zakonitosti.

To strokovno načelo obvezuje vsako policijsko enoto ali policista, ki se srečuje s postopki, kot so zaseg, zavarovanje ali preiskava podatkov iz elektronske naprave, da ravnajo v skladu z nacionalno zakonodajo in predlaganimi splošnimi strokovnimi načeli. To načelo nalaga odgovornost preiskovalcu za spoštovanje standardov tako, da bodo lahko opravljeni postopki v okviru pravne dopustnosti in kot takšni koristni.

Predlagana strokovna načela so bila povzeta iz strokovnih prispevkov drugih priznanih organizacij in uglednih strokovnjakov (načela opisana v poglavju 2.3). Pomembno vodilo pri tem pa je bil Zakon o kazenskem postopku kot osnovni akt za zakonitost forenzičnih policijskih opravil.

4.3.3 METODOLOGIJA POSTOPKOV RAČUNALNIŠKE FORENZIKE

Potrebno je določiti skupek del in nalog, ki jih je treba izvesti v okviru računalniške forenzike. Tako je potrebno določiti vse od postopka prejetja obvestila o sumu kaznivega dejanja, načrtovanja odhoda na kraj, zavarovanja



kraja dogodka, zasega elektronske naprave in celoten postopek vse do zaključka zadeve in morebitnega pričanja na sodišču. Tu preiskovalec ustno predstavi digitalne dokaze sodišču.

Zaradi navedenega se predlaga sosledje nalog, ki jih mora preiskovalec upoštevati pri delu preiskovanja računalniške kriminalitete (Policija, 2010b):

1. Zaznavanje in obveščanje

Informacija, da bo treba izvesti postopek računalniške forenzike.

2. Potrditev in avtorizacija

Potrditev, da so izpolnjeni razlogi za sum o storitvi kaznivega dejanja in dovoljenje pristojnih za izvedbo postopka.

3. Priprava in načrtovanje

Strategija pristopa in načrtovanje preiskave na podlagi zakonskih in organizacijskih omejitev.

4. Zavarovanje fizičnega kraja dogodka

Zavarovanje kraja dogodka z namenom, da se pred uničenjem ali spreminjanjem zavarujejo dokazi v materialni obliki.

5. Iskanje in identificiranje fizičnih dokazov

Iskanje in identificiranje elektronskih in z njo povezanih naprav, nosilcev podatkov ter drugih predmetov za kasnejši zaseg.

6. Zavarovanje digitalnega kraja dogodka

Zavarovanje elektronskih in z njo povezanih naprav pred izgubo podatkov in zunanjim dostopom preko omrežja - t.i. zamrznitev stanja.

7. Iskanje in identificiranje digitalnih dokazov

Iskanje in identificiranje podatkov v elektronski obliki, njihovih struktur ter pojavnih oblik za kasnejše zavarovanje.

8. Zaseg predmetov in zavarovanje podatkov

Zaseg predmetov in zavarovanje podatkov na način, ki omogoča njihovo hrambo in kasnejšo uporabo v postopku. Pri zavarovanju je treba skrbno postopek dokumentirati.



9. Zapečatenje predmetov in zagotavljanje integritete

Zagotavljanje nedotakljivosti zaseženih predmetov in istovetnosti ter integritete zavarovanih podatkov.

10. Dokumentiranje postopka pridobitve dokazov

Dokumentiranje in fotografiranje pomembnejših dejstev, podrobnosti in okoliščin glede zasega predmetov in zavarovanja podatkov v elektronski obliki.

11. Prenos in hranjenje dokazov

Prenos dokazov na primerno lokacijo za kasnejšo preiskavo in hramba dokazov za čas do preiskave, ki navadno ni mogoča takoj.

12. Rekonstrukcija in preiskovanje dokazov

Rekonstrukcija zaseženih dokazov oziroma restavriranje zavarovanih podatkov ter postopek njihovega preiskovanja.

13. Redukcija in analiziranje dokazov

Podatke, ki bi na podlagi preiskave lahko bili dejanski dokazi v postopku, je potrebno najprej ločiti od tistih, ki to zagotovo niso, nato pa jih je treba analizirati in ugotoviti njihovo dejansko relevantnost.

14. Dokumentiranje postopka preiskave

Dokumentiranje pomembnejših dejstev glede rekonstrukcije in preiskovanja dokazov, postopka redukcije in analiziranja ter morebitnih drugih pomembnejših ugotovitev.

15. Predstavitev dokazov in pričanje

V primeru poziva sodišča, mora preiskovalec o svojem delu in izvesti predstavitev dokazov v elektronski obliki ter ugotovitev v zvezi z njimi.



4.3.4 POLITIKA VARNOSTI FORENZIČNEGA INFORMACIJSKEGA SISTEMA

Kot temelj izvajanja nalog računalniške forenzike mora biti zagotovljena ustrezna varnost forenzičnega informacijskega sistema. V tem delu je treba podati okvirne smernice, kako mora biti ta informacijski sistem urejen, da ne bi prihajalo do morebitnih izgub podatkov ali celo zlonamernih zlorab z vdori in protipravno prilastitvijo podatkov, ki se znotraj tega sistema hranijo.

Zaradi navedenega predlagamo naslednje okvirne smernice za izboljšanje same varnosti znotraj forenzičnega omrežja Policije:

1. Opredelitev forenzičnega omrežja Lokalno forenzično omrežje je namenjeno povezovanju informacijske opreme in virov za preiskovanje računalniške kriminalitete in izvajanju računalniško-forenzičnih dejavnosti v najširšem smislu. 2. Programska oprema na delovnih postajah Delovna postaja, ki je vključena v lokalno omrežje, mora imeti nameščeno proti-virusno orodje z realno-časovnim pregledovanjem in požarni zid z interaktivnim nadzorom vzpostavitve vhodne in izhodne komunikacije. Operacijski sistem na delovnih postajah mora imeti aktivirano funkcijo avtomatične posodobitve z varnostnimi popravki, ki morajo biti tudi nameščeni na delovni postaji. Nekateri primeri programske opreme, ki nudijo zgoraj navedeno funkcionalnost:

• Microsoft Security Essentials (proti-virusno orodje), • Avira AntiVir Personal (proti-virusno orodje), • Comodo Firewall for Windows (požarni zid), • Comodo Internet Security for Windows (proti-virusno orodje in požarni

zid), itd.

3. Podatki na strežniku in delovnih postajah Dokumentarnega gradiva in drugih sorodnih podatkov (zapisniki, uradni zaznamki, poročila ipd), ki se sicer obdelujejo in hranijo v okviru informacijskih virov Policije (t.i. modro omrežje), ni dovoljeno hraniti na deljenih virih strežnika ter na delovnih postajah, ki so vključene v omrežje internet. Prav tako je potrebno zagotoviti varno hranjenje podatkov v digitalni obliki (zaseženi podatki, izločeni dokazi) na delovnih postajah.

4. Dostop do omrežja internet Delovne postaje, ki so vključene v forenzično omrežje, ne smejo imeti neposrednega dostopa do omrežja internet. Dostop do virov mora biti omogočen preko posredovalnika podatkovnega prometa - storitev proxy. V primeru analize škodljive kode in drugih dejavnosti, ki zahtevajo neposreden dostop do interneta, je omogočena uporaba DMZ priključkov omrežja (omogoča poln dostop do interneta, vendar preprečuje dostop v lokalni del omrežja). Dostop do omrežnih virov naj bo v času izvajanja računalniško-



forenzičnih opravil onemogočen, razen če je tak dostop zaradi posebnih okoliščin upravičen. 5. Zaščita omrežja in virov Naslovni prostor lokalnega omrežja naj bo logično ločen od naslovnega prostora omrežja internet, kar se zagotavlja z uporabo NAT pretvorbe IP naslovov. Med lokalnim omrežjem in omrežjem internet naj bo nameščen požarni zid, ki onemogoča dohodni in odhodni podatkovni promet (razen določenih vitalnih protokolov, ki omogočajo delovanje omrežja). Na usmerjevalniku podatkovnega prometa (strežnik) naj bo nameščena namenska programska oprema za zaznavanje varnostnih groženj (intrusion detection) in namenska programska oprema za preprečevanje varnostnih incidentov (intrusion prevention). Usmerjevalnik (strežnik) naj omogoča dostop delovnim postajam do internetnih virov z uporabo namenske programske rešitve za posredovanje podatkovnega prometa - storitev proxy.

4.4 II. MODUL – STANDARDNI OPERATIVNI POSTOPKI

Po tem, ko smo v I. modulu določili osnove vseh postopkov računalniške forenzike v Policiji in si tako zgradili temelje, bomo na podlagi le-teh v drugem modulu pričeli graditi osnovne delovne postopke, s katerimi se preiskovalci srečujemo vsakodnevno.Pri tem bomo izdelali navodila za izvedbo posameznih postopkov, podali jasne smernice o osnovnih pogojih za izvedbo posameznih postopkov ter določili obrazce, ki bodo služili samemu poenotenju dokumentacije znotraj nacionalnega območja pristojnosti Policije.

Med standardne operativne postopke smo uvrstili naslednje postopke:

• postopek zasega elektronske naprave, • postopek zavarovanja podatkov iz elektronske naprave, • postopek preiskave podatkov in • postopek izobraževanja in usposabljanja.

Prvi trije postopki so strogo operativni in dejansko neposredno povezani z izvajanjem nalog računalniške forenzike. Zadnji postopek pa je namenjen določitvi jasnih programov izobraževanja in usposabljanja (tako začetniški kot nadaljevalni tečaji), ki so tudi eden izmed pogojev za izvajanje računalniške forenzike (pogoj iz Zakona o kazenskem postopku predvideva, da mora biti oseba, ki zavaruje podatke, kot tudi oseba, ki preiskuje podatke ustrezno usposobljena). Postopek izobraževanja in usposabljanja v nalogi ne bo opisan, sad je le-ta preobsežen. Za natančno definiranje tega postopka bi bilo potrebno proučiti celotno področje izobraževanja v Policiji ter postopek uskladiti z že sprejetimi izobraževalnimi standardi znotraj organizacije.



Standardni operativni postopki bodo posplošeni. Pri tem ne bodo opisane specifične rešitve izvedbe posameznega postopka, kot npr. na kakšen način zavarovati podatkovni medij, ali s katerim programskim orodjem preiskati register v okolju Windows, ker bodo le-te opisane in podane v III. modulu, ki vključuje specifične delovne postopke. O posameznem standardno operativnem postopku bomo izdelali točna navodila, ki bodo priložena diplomski nalogi, ter spremljevalne obrazce pisnih aktov, z uporabo katerih bomo poenotili dokumentacijo pri izvajanju računalniške forenzike. 4.4.1 POSTOPEK ZASEGA ELEKTRONSKE NAPRAVE

Postopek zasega elektronske naprave je najbolj pogosto in najosnovejše forenzično opravilo, kjer se preiskovalci prvič srečajo z elektronsko napravo. Če govorimo o pojmu zasega, je to pooblastilo, ki imajo pooblaščene uradne osebe (kriminalisti, preiskovalci), da v skladu z določili Zakona o kazenskem postopku lahko odvzamejo elektronske naprave imetniku, če so za to izpolnjeni zakonski pogoji. Zaseg elektronske naprave lahko pooblaščene uradne osebe izvajajo med postopki, kot so:

• izvedba hišne ali osebne preiskave (po odredbi sodišča, v izjemnih primerih pa tudi brez odredbe) na podlagi določil 215. člena Zakona o kazenskem postopku,

• samostojno pooblastilo za zaseg predmeta po 220. Členu Zakona o kazenskem postopku (npr. predmeti, ki nam oseba samovoljno izroči) in

• v okviru izvajanja ogleda kraja kaznivega dejanja na podlagi 164. člena Zakona o kazenskem postopku, kjer lahko predmete (elektronske naprave) najdene na kraju kaznivega dejanja, zasežemo.

Namen postopka zasega elektronske naprave je fizični odvzem naprave osebi. Le-ta se izvede zaradi suma, da naprava vsebuje elektronski podatek, ki utegne služiti kot dokaz v kazenskem postopku. Pri izvedbi navedenega postopka je potrebno biti posebej pazljiv na kraju, neposredno pred samim zasegom elektronske naprave, kjer je potrebno skrbno dokumentirati stanje elektronske naprave. Zaradi ohranjanja integritete podatkov na elektronski napravi je potrebno elektronsko napravo na kraju shraniti v varno embalažo in jo pečatiti v prisotnosti imetnika (v kolikor je ta dosegljiv). Embalažo je potrebno ob zasegu opremiti z obrazcem skrbniške verige, ki nam bo podajal informacijo, kdo je imel skrbništvo nad napravo po postopku zasega. Postopek na kraju je zelo pomemben, saj so od pravilnega postopka zasega elektronske naprave odvisni ostali postopki (zavarovanja in preiskave podatkov), ki so v bistvu posledica postopka zasega elektronske naprave (Policija, 2010a).



V organizaciji Policije se v sedanji ureditvi postopkov zasega elektronske naprave srečujemo z vrsto težav kot so:

• policisti na kraju pomankljivo opišejo stanje elektronske naprave, • pomankljivo identificirajo elektronsko napravo (ne opišejo identifikacijskih

oznak, po katerih lahko razlikujemo eno napravo od druge), • zasežene elektronske naprave ne shranijo v varno embalažo in tako

napravo po nepotrebnem izpostavljajo mehanskim vplivom oziroma poškodbam,

• elektronske naprave ne pečatijo in tako že v postopku zasega elektronske naprave omogočijo morebiten nepooblaščeni dostop do naprave in s tem dvom v samo integriteto podatkov,

• neposredno po zasegu, policisti ne opremijo z obrazcem skrbniške verige, tako da velikokrat ni možno določiti, kdo je imel skrbništvo nad elektronsko napravo po zasegu, itd.

Ob upoštevanju temeljnih strateških določil (I. modul) smo sestavili okvirna navodila (standardni operativni postopek) za izvedbo zasega elektronske naprave. Navodila so priložena diplomski nalogi (glej PRILOGO 2). Ob navodilu, smo z namenom ohranitve enotne oblike pisnih aktov, sestavili še obrazec skrbniške verige, ki je priložen navodilom. Najbolj pomembni dejavniki za izvedbo postopka zasega elektronske naprave so:

• ugotovitev pravnega stanja elektronske naprave in kvalifikacija pravne podlage za zaseg (hišna ali osebna preiskava, zaseg po 220. členu ZKP ali ogled kraja kaznivega dejanja po 164. členu ZKP),

• fotografiranje stanja elektronske naprave, • identifikacija elektronske naprave (znamka, model, serijske številke,…), • shranitev elektronske naprave v varno embalažo (zaščita pred mehansko

poškodbo), • pečatenje embalaže s podpisom imetnika naprave, • oprema embalaže s obrazcem skrbniške verige.

Slika 3 prikazuje diagram poteka postopka zasega elektronske naprave.



Slika 3: Diagram poteka postopka zasega elektronske naprave



4.4.2 POSTOPEK ZAVAROVANJA PODATKOV IZ ELEKTRONSKE NAPRAVE

Postopek zavarovanja podatkov iz elektronske naprave je najpomembnejši izmed opisanih standardnih operativnih postopkov. Pri navedenem postopku dejansko posegamo na originalno elektronsko napravo z namenom, da prenesemo podatke iz elektronske naprave na drug nosilec podatkov. Pri tem postopku je potrebno biti posebej pazljivi, saj lahko z nestrokovnim ravnanjem pri zavarovanju spremenimo podatek na originalnem nosilcu podatkov in s tem ogrozimo integriteto podatkov in povzročimo dvom o verodostojni in istovetnosti zavarovanih podatkov. Zakon o kazenskem postopku v 223.a členu dovoljuje, da se lahko zavaruje samo določeni podatek (kot npr. datoteka ali imenik), ali da se v postopku zavarovanja izdela istovetna kopija originalnega nosilca. V skladu s predlaganimi načeli računalniške forenzike se predlaga zavarovanje podatkov z izdelavo istovetne kopije nosilca podatkov. Pri preiskavi istovetne kopije ima preiskovalec omogočen vpogled v izbrisane podatke (podatki, ki niso bili prepisani), kar pri preiskavi posameznih datotek ali samo datotečnih sistemov nima. Prav tako z istovetno kopijo omogočimo neodvisnemu strokovnjaku (npr. izvedenec, ki ga določi sodišče), da lahko ponovi postopek preiskave in ima vpogled v celotno vsebino nosilca podatkov. Namen postopka zavarovanja podatkov je, da na dopusten način izločimo podatke iz zasežene elektronske naprave. S sedanjo ureditvijo postopkov zavarovanja podatkov v organizaciji policije se srečujemo predvsem z naslednjimi pomanjkljivostmi:

• kriminalisti ne preverjajo listin, iz katerih izhaja upravičenost zavarovanja podatkov (pravna podlaga, utemeljeni razlogi za sum, da je bilo storjeno kaznivo dejanje, odredba sodišča o preiskavi ali privolitev imetnika, pravica do prisotnosti pri postopku zavarovanja, itd.),

• ne fotografirajo stanja naprav in pomembnih ugotovljenih dejstev med postopkom,

• zavarujejo podatke s programskimi orodji, ki po zavarovanju ne preverjajo skladnosti kontrolnih vrednosti originalnih podatkov z zavarovanimi,

• kontrolne vrednosti zavarovanih podatkov ne vpisujejo v zapisnik o zavarovanju,

• ne pošljejo istovetne kopije kot prilogo na sodišče ampak pošljejo originalno elektronsko napravo, kar je v nasprotju z določili 223. a člena ZKP,

• po končanem postopku originalnega nosilca ne pečatijo in opremijo z obrazcem skrbniške verige.



Pri postopku zavarovanja podatkov moramo upoštevati predvsem, da se: • pred posegom na elektronski napravi preveri, ali obstajajo razlogi za

izvedbo tega posega, • postopek zavarovanja podatkov iz elektronske naprave fotografira ali

posname z video kamero, • detaljno opiše celotni postopek zavarovanja podatkov iz elektronske

naprave, • logično pojmuje datoteke, ki nastanejo pri postopku zavarovanja in

predstavljajo istovetno kopijo originalnega nosilca, • za izvedbo postopka uporabi preverjene metode kot so zavarovanje s

preprečevalcem pisanja (Tableau Forensic Write Blocker) in s preverjenimi programi ( priporočljivi FTK Imager, Encase, itd.),

• istovetno kopijo presname na dodatni podatkovni nosilec, ki se ga priloži sodišču,

• po končanem postopku zavarovanja podatkov, elektronsko napravo ponovno shrani v embalažo, v kateri je bila predhodno shranjena, embalažo se ponovno pečati ter se tako onemogoči nepooblaščeni dostop do naprave, itd.

Potrebno je še poudariti, da ima imetnik ali uporabnik elektronske naprave, oz. njegov pooblaščenec pravico biti navzoč pri postopku zavarovanja. Zaradi navedenega je potrebno pred pričetkom postopka preveriti, ali je bil imetnik seznanjen s pravico do navzočnosti. V kolikor imetnik izrazi željo po navzočnosti, je potrebno poskrbeti za vročitev vabila na postopek zavarovanja podatkov (Policija, 2010a). Kot v prešnjem podpoglavju smo tudi za postopek zavarovanja podatkov sestavili okvirna navodila (standardni operativni postopek), ki so priložena diplomski nalogi (glej PRILOGO 3). Ob navodilu smo z namenom ohranitve enotne oblike pisnih aktov, sestavili še obrazec zapisnika o zavarovanju podatkov, izročitve predmetov (zapis o vrnitvi elektronskih naprav enoti, ki je prosila za pomoč) in obrazec skrbniške verige. Navedeni obrazci so priloženi navodilu za izvedbo postopka. Primerka obrazcev so podani v PRILOGI 3. Slika 4 prikazuje diagram poteka postopka zavarovanja podatkov iz elektronske naprave.



Slika 4: Potek postopka zavarovanja podatkov iz elektronske naprave



4.4.3 POSTOPEK PREISKAVE PODATKOV IZ ELEKTRONSKE NAPRAVE Namen preiskave podatkov je, da s pregledom podatkov, ki so shranjeni na elektronski napravi ali njihovi istovetni kopiji, poiščemo tiste podatke, ki utegnejo služiti kot dokaz v predkazenskem postopku. Pomembno je, da s preiskavo podatkov ne spremenimo originalnega (izvornega) nosilca podatkov in tako ogrozimo integriteto podatkov. Zaradi navedenega dejstva je priporočljivo, da se preiskave vedno opravljajo na istovetni kopiji podatkov. Preiskavo se praviloma opravi tako, da se v okviru enega izmed forenzičnih programov (kot je npr. Encase Law Enforcement) priklopi (vključi) istovetna kopija elektronske naprave, tako da program prikazuje, kot da je priključena elektronska naprava. S specializiranim forenzičnim programom je spreminjanje podatkov na istovetni kopiji praktično nemogoče. Po uspešni priključitvi istovetne kopije moramo s programom preveriti integriteto podatkov v kopiji (ponovno izračunati kontrolne vrednosti in jih primerjati s kontrolnimi vrednostmi, ki so bile izračunane pri postopku zavarovanja). Če se kontrolne vrednosti ujemajo, lahko nadaljujemo in dejansko začnemo preiskavo podatkov. Preiskavo podatkov opravimo tako, da najprej izvedemo t.i. splošni del preiskave, kjer zberemo podatke o datotečnem sistemu, operacijskem sistemu, uporabnikih, itd. Nato preiskavo nadaljujemo tako, da preiščemo istovetno kopijo z namenom iskanja podatkov, ki nam lahko služijo kot dokaz v posameznem kazenskem postopku. Ta del preiskave je najzahtevnejši in od preiskovalca zahteva posebna znanja in veščine. Največkrat preiskovalec naleti na težave, ko poskuša najti rešitev specifičnega problema, ki velikokrat ni vsakdanji. Z namenom pomoči preiskovalcem pri tem delu preiskave, smo pripravili III. modul predloga modela poenotenja postopkov, ki vsebuje specifične delovne načrte – rešitve specifičnih problemov ali postopkov. Primeri teh specifičnih postopkov so:

• analiza komunikacij internetnih klepetalnic kot so MSN, Yahoo Chat, Facebook Chat,itd.

• iskanje dokumentov po iskalnem nizu besed ali znakov, • iskanje in identifikacija fotografij, • iskanje podatkov, ki so shranjeni v šifriranih oblikah, • analiza povezav v internet omrežju ter programov namenjenih za

medmrežno izmenjavo datotek, • analiza elektronske pošte, • analiza nameščene zlonamerne kode.

To je samo peščica opravil. Če pomislimo, kako obširno je področje računalništva, pa hitro ugotovimo, da je podatkov in informacij mnogo, zaradi česar je potreba te podatke oziroma posamezne izkušnje hraniti in si jih med sabo izmenjevati. Celoten postopek preiskave podatkov kakor tudi vse ugotovitve je potrebno vpisati v zapisnik o preiskavi podatkov. Tukaj je pomembno, da je iz zapisnika razvidna celotna pot do naše ugotovitve, tako da lahko ta postopek ponovi neodvisni strokovnjak, pri čemer mora priti do enake ugotovitve.



Podatke, ki jih izločimo, (to so tisti podatki, ki lahko služijo kot dokaz v postopku) mora preiskovalec prenesti iz istovetne kopije na prenosni medij zato, da se lahko s podatki seznani bodisi kriminalist, ki zadevo obravnava, bodisi tožilec ali sodišče. Ob prenosu mora preiskovalec ustrezno poskbeti vse potrebno za ohranitev integritete teh podatkov. Po končanem postopku preiskave ponovno sprožimo postopek preverjanja kontrolne vrednosti istovetne kopije, tako da dokažemo, da se pri preiskavi podatkov le-ti dejansko niso spremenili. Težave oz. pomanjkljivosti, ki se beležijo pri preiskavi podatkov, so naslednje:

• preiskovalci ne opravijo postopka preverjanja kontrolne vrednosti, • pomanjkljivo ali nepopolno opravijo specifični del preiskave, • ne napišejo ugotovitev preiskave in dokazov, ki bi utegnili služiti v

kazenskem postopku, • postopka preiskave podrobno ne opišejo, kot tudi ne opišejo poti, kako so

prišli do pomembnih ugotovitev, • podatkov ki so izločeni, ne opišejo in ne zavarujejo pravilno (tako da se

ohrani njihova integriteta), • ne preverijo kontrolnih vrednosti na koncu postopka.

Kot v prešnjih podpoglavjih smo tudi za postopek preiskave podatkov sestavili okvirna navodila (standardni operativni postopek), ki so priložena diplomski nalogi (glej PRILOGO 4). Ob navodilu smo z namenom ohranitve enotne oblike pisnih aktov, sestavili še obrazec zapisnika o preiskavi podatkov, izročitve predmetov (zapis o vrnitvi predmetov enoti, ki je prosila za pomoč) in obrazec skrbniške verige. Navedeni obrazci so priloženi navodilu za izvedbo postopka. Primerki obrazcev so podani v PRILOGI 4. Slika 5 v nadaljevanju prikazuje diagram poteka postopka preiskave podatkov iz elektronske naprave.



Odredba ali

privolitev

Odredba

vrocena

OdredbaPridobiti odredbo

sodišca ali

privoltev imetnika

Ni

Privolitev

Poskrbeti za vrocitev

odredbe

imetniku

Ne

Ali obstajajo

utemeljeni razlogi za

sum KD

Da

Od enote prosilke

zahtevaj dejstva iz

katerih so razvidni

utemeljeni razlogi za

sum KD

Ne

Predpriprava na

preiskavo podatkov

Priklop istovetne

kopije in verifikacija

slednje

Da

Verifikacija

opravljena

Poskrbeti drugo

istovetno kopijo ali

jo ponovno kopirati

Ne

Izvedba preiskave

podatkov - specificni

delovni nacrt

Identifikacija

sistema priklopljene

istovetne kopije

POSTOPEK

PREISKAVE

PODATKOV

Preiskava podatkov

Priprava nosilca z

izlocenimi podatki

ZAKLJUCEK

PREISKAVE

PODATKOV

Slika 5: Postopek preiskave podatkov iz elektronske naprave



4.5 III. MODUL – SPECIFIČNI DELOVNI POSTOPKI Specifični delovni postopki so navodila, ki preiskovalcu povedo, kako rešiti zahtevnejšo računalniško forenzično opravilo. Pri postopku zavarovanja podatkov so to opravila kot :

• zavarovanje podatkov s preprečevalcem pisanja, • zavarovanje podatkov s pomočjo namenskega programa, kot je FTK Imager,

Linen, Guymager, itd. • zavarovanje podatkov s pomočjo zagona operacijskega sistema Linux, • zavarovanje neobstojnih podatkov kot npr. vsebino RAM pomnilnika, • zavarovanje telekomunikacijskih podatkov, itd.

Pri postopku preiskave pa so to lahko:

• analiza raznih datotečnih sistemov, • analiza t.i. »log« datotek, ki beležijo dogodke ob zagonu programa,

operacijskega sistema, komunikacije, itd. • analiza komunikacij internetnih klepetalnic kot so MSN, Yahoo Chat,

Facebook Chat,itd. • analiza trenutnega spomina RAM, datoteke pagefile.sys, • iskanje dokumentov po iskalnem nizu besed ali znakov, • iskanje in identifikacija fotografij, • iskanje podatkov, ki so shranjeni v šifrirani obliki, • analiza povezav v internetnem omrežju ter programov, namenjenih za

medmrežno izmenjavo datotek, • analiza elektronske pošte, • analiza nameščene zlonamerne kode, itd.

Ob poznavanju področja računalništva vemo, da je teh postopkov veliko več, kot jih je zgoraj naštetih. Vsakodnevno prihajajo novi operacijski sistemi, programi, strojna oprema, tako da se s hitrim razvojem računalniške tehnologije povečuje nabor teh specifičnih delovnih postopkov. Kot vidimo, so specifični delovni postopki širši pojem, zato smo si III. modul zamislili kotdinamično bazo podatkov, ki se vsakodnevno nadgrajuje. Pri tem je zelo pomembno, da pri nadgradnji tega modula sodelujejo vsi udeleženci (preiskovalci). V prejšnjih modulih so bili postavljeni okvirji in standardi, v tem modulu pa se na podlagi predhodno opisanih načel in navodil (v I. in II. modulu), opišejo specifične naloge. Ker vemo, da vsak prispevek v bazo specifičnih delovnih opravil ne bo nujno pravilen, ali izveden v skladu s predhodno sprejetimi načeli, je treba v strukturo III. modula vgraditi nekakšno vrsto varovalnega mehanizma. Ko npr. preiskovalec sestavi specifični delovni načrt, ga odda v pregled pooblaščenemu (oz. najbolj strokovno podkovanemu sodelavcu – to bi lahko bil strokovnjak zaposlen v CRP UKP GPU), ki prispevek pregleda in ga preizkusi. Če strokovnjak ugotovi, da je prispevek koristen in standardno dopusten, le-tega objavi in tako omogoči ostalim udeležencem dostop do tega prispevka



(specifičnega delovnega postopka). Sika 6 prikazuje proces objave specifičnega delovnega načrta, vse od sestave slednjega s strani preiskovalca, pa do pregleda in objave v bazi znanja.

Slika 6: Proces objave specifičnega delovnega načrta

Uslužbenec sestavi svoj

specificni delovni postopek

....in ga pošlje nadzornemu

v pregled.........

....nadzorni izdelek pregleda

preizkusi in odloci o

primernosti......

..v primeru, da izdelek ni

primeren za objavi, ga vrne

uslužbencu, z zahtevo, da ga

ustrezno popravi, dopolni ali

drugace uredi.

...v primeru, da je specificni

delovni nacrt v redu, slednjega

objavi in ...........omogoci ostalim uslužbencem

dostop do delovnega nacrta in s

tem poveca obstojeco bazo

znanja.



5 UMESTITEV BAZE ZNANJA V MODEL ENOTNIH FORENZIČNIH POSTOPKOV

Sedaj, ko smo razvili enoten model postopkov računalniške forenzike, moramo še najti primerno pot, kako bomo to bazo znanja ponudili vsem preiskovalcem, ki se ukvarjajo z računalniškim preiskovanjem v Sloveniji. Ker je teh oddelkov več in ker se delo različnih preiskovalcev zelo razlikuje v Sloveniji, se pojavi vprašanje, kako zagotoviti takšen enoten dostop, s katerim bi imela organizacija čim manj stroškov. Po analizi informacijskega sistema Policije smo prišli do zaključka, da je najoptimalnejša rešitev namestitev spletne aplikacije znotraj varovanega omrežja Policije. 5.1 ANALIZA TEHNOLOŠKE OPREMLJENOSTI ZA POTREBE SPLETNE

APLIKACIJE Slovenska policija ima od leta 2007 dalje, zaradi zahteve schengenskega informacijskega sistema, da posamičen izpad informacijskega sistema ne sme biti daljši od šestih ur, poleg primarnega računalniškega centra v Ljubljani, še rezervnega v Novem mestu. Namen sekundarnega centra je, da v primeru takega izpada prevzame njegovo vlogo. Tako se preko optičnih povezav v Novo mesto ves čas prenašajo in kopirajo vsi podatki, ki nastajajo v Ljubljani. V primeru izpada primarnega centra bi bili ti podatki v relativno kratkem času spet na voljo uporabnikom preko identičnega informacijskega sistema, ki bi se izvajal iz računalniškega centra v Novem mestu. V Ljubljani se od januarja leta 2007 nahaja centralni računalnik proizvajalca IBM iz serije z9 Business Class z oznako IBM 2096-S07 Model R04. V njegovem jedru so štirje klasični procesorji in en namenski Java procesor. Slednji je namenjen neposrednemu izvajanju v Javi razvitih aplikacij. Celotna zmogljivost procesorjev je 718 MIPS-ov, kar pomeni približno sedem tisoč krat več, kot pri njegovem predniku iz leta 1972. Še večji razpon je pri notranjem pomnilniku, saj ima današnji model kar 24 GB, kar je 524288-krat več kot pri sistemu iz leta 1972, oziroma kar 282-krat toliko, kot je bila kapaciteta diskovnega podsistema, priključenega na prvi policijski računalnik. Poleg centralnega računalnika se v Ljubljani nahajata še diskovni podsistem IBM ESS 2105-800 (z vzdevkom >Shark< ) in avtomatska kasetna tračna knjižnica IBM 3494. V diskovnem podsistemu, ki ima 24 GB predpomnilnika, se nahaja oseminštirideset 73 GB diskov, od katerih se jih dve tretjini vrti s hitrostjo 10000 obr/min, ostali pa s hitrostjo 15000 obr/min, ter šestnajst 146 GB diskov, ki se vrtijo s hitrostjo 10000 obr/min. Skupna kapaciteta tako znaša 5,8 TB. Z uporabo sistema RAID 5, ki zagotavlja večjo zanesljivost delovanja diskovnega podsistema, pa se razpoložljiva kapaciteta zmanjša na 3,9 TB, kar je kar 47005-krat več kot pred 35 leti. V tračni knjižnici imamo trenutno 290 kaset kapacitete 10 GB, 120 kaset kapacitete 20 GB in 250 kaset kapacitete 300 GB, kar skupaj znese okrog 80 TB, z uporabo stiskanja podatkov pa približno 100 TB. V sekundarnem računalniškem centru v Novem mestu je konfiguracija strojne opreme podobna konfiguraciji v Ljubljani. Centralni računalnik je IBM serije z890 z



oznako IBM 2086-A04. Model 220 ima vgrajena dva procesorja skupne zmogljivosti 86 MIPS-ov. V primeru nadomeščanja primarnega centralnega računalnika pa se zmogljivost sekundarnega lahko dinamično poveča na 707 MIPS-ov. Diskovni podsistem in avtomatska kasetna tračna knjižnica sta enaka modela kot v Ljubljani, vendar z drugačnimi kapacitetami. V diskovnem podsistemu, nameščenem v Novem mestu, je zaradi potreb sistema za kopiranje podatkov, poleg 24 GB predpomnilnika, dvakrat toliko diskov kot v Ljubljani. Razmerje med diski različnih kapacitet je enako kot na primarnem diskovnem podsistemu. Pomembna razlika pa je v razmerju hitrosti diskov, saj je tu 73GB diskov s hitrostjo 10000 obr/min petkrat več, kot tistih s 15000 obr/min. Zaradi podvojenega števila diskov je tako tudi skupna kapaciteta diskovnega podsistema dvakrat tolikšna kot v Ljubljani. V avtomatsko kasetno tračno knjižnico je vstavljenih 150 kaset kapacitete 300 GB, kar komprimirano pomeni 60 TB prostora, namenjenega rezervnemu shranjevanju arhivskih podatkov. Slika 7 prikazuje računalniško sobo v Ljubljani, v kateri deluje Centralni računalniški sistem.

Slika 7: Centralni računalniški sistem v Ljubljani (vir Policija)

Podobno kot se je povečevala kapaciteta strojne opreme, se je razširila tudi paleta sistemske programske opreme. Poleg operacijskega sistema se je zbirniku, ki se uporablja le še izjemoma, pridružila še številna druga programska oprema. Temelj vsej ostali programski opremi na centralnem računalniku je operacijski sistem z/OS, ki je v Ljubljani in je trenutno verzije 1.7 in v Novem mestu pa verzije 1.6e. Za shranjevanje podatkov uporabljamo relacijsko podatkovno bazo DB2 verzije 8.1. Za potrebe Ministrstva za notranje zadeve pa še hierarhično podatkovno bazo IMS, prav tako verzije 8.1. Za potrebe podatkovnega skladišča in statističnih obdelav služi SAS verzije 9.1. Delovanje terminalskih aplikacij podpira transakcijski strežnik CICS TS verzije 3.1. Spletne aplikacije pa tečejo na aplikativnem strežniku WebSphere verzije 6.1, ki ima za svojo osnovo najbolj znani odprto-kodni spletni strežnik Apache. Za varno shranjevanje podatkov z ostalih strežnikov v Policiji uporabljamo Tivoli Storage



Manager verzije 5.3, za kopiranje in restavriranje podatkov centralnega racunalniškega sistema v Novem mestu pa uporabljamo IBM sistem GDPS/XRC verzije 3.4. Za avtomatizacijo dela na centralnem računalniku skrbi IBM System Automation verzije 3.1. Nadzoru delovanja pa služijo Tivoli Omegamon monitorji verzije 4.1. Nameščanje nove opreme je še poseben pospešek dobilo s prvimi evropskimi denarnimi sredstvi za opremljanje državne meje. Delovno okolje na osebnih računalnikih smo nadgradili tako, da je temeljilo na Windows 2000 z dodano ustrezno verzijo pisarniškega paketa in ostalo programsko podporo. S takšno konfiguracijo smo se najprej lotili "južne meje", kjer smo steze na mejnih prehodih še dodatno opremili z OCR-B čitalci in ustrezno programsko opremo. Konec je bilo pretipkavanja podatkov iz dokumentov v računalniški sistem. Takšno delovno okolje je še danes v uporabi na približno polovici vseh osebnih računalnikov. Na preostali polovici pa je že nameščen operacijski sistem Windows XP in ustrezna programska oprema. Z uvedbo novega operacijskega sistema na osebnih računalnikih smo v uporabo vpeljali tudi novo programsko opremo na strežnikih, Windows Server 2003. Hkrati pa so se aplikacije selile v spletno okolje. Tudi strojna oprema je silovito napredovala. Zmogljivi Pentium procesorji, LCD zasloni, CD, DVD, USB ključki. O tem smo lahko pred leti le sanjali, danes pa je vse to v redni uporabi. Tudi na področju povezovanja računalnikov je bil razvoj zelo hiter. Danes praktično ni več večje enote v Policiji, kjer računalniki ne bi bili povezani v lokalno računalniško omrežje, LAN. V letu 2009 smo z novo tehnologijo opremili vse enote Policije na zunanjih meji EU. Modernizirali in na novo smo postavili 50 lokalnih omrežij (Policija, 2009). Kot vidimo je razpoložljiva tehnologija več kot zadovoljiva za realizacijo spletne aplikacije. Spletna aplikacija bo delovala na za to namenjenem spletnem strežniku, ki bo povezan in dostopen samo znotraj lokalnega omrežja Policije. Zaradi varnosti povezljivost od zunaj ne bo omogočena, saj bi s tem lahko odprli varnostno luknjo znotraj informacijskega sistema Policije. Prav tako ne vidimo potrebe, da bi bila baza znanja dostopna preko interneta, saj je namenjena samoizobraževanju delavcev na delovnem mestu (po principu, da ko preiskovalec naleti na problem med preiskovanjem, poišče ustrezno ali podobno rešitev; v primeru, da te rešitve ni na razpolago, pa lahko preiskovalec študijsko poskuša najti rešitev (z uporabo strokovne literature, tujih baz znanja, itd.), ter jo doda v bazo znanja kot specifični delovni postopek).



5.2 KONCEPT UVEDBE BAZE ZNANJA KOT SPLETNE APLIKACIJE Kot glavno vodilo k izbiri primerne rešitve (postavitve baze znanja), je ravno krajevna dislociranost Oddelkov za računalniško preiskovanje po Sloveniji. Do danes so kriminalisti izmenjevali svoja znanja in izkušnje preko skupnih sestankov ali srečanj in letnih izobraževanj, kjer pa pridobljenega znanja niso nikoli ohranili tako, da bi lahko po določenem času ponovno vpogledali v posamezno vsebino izobraževanja. Zaradi tega je bistvenega pomena, da spletna aplikacija zadosti naslednjim lastnostim:

- dosegljivost 24 ur, 7 dni v tednu: Zaradi nepredvidljivosti policijskega dela v segmentu preiskovanja kriminalitete, se lahko ta forenzična opravila opravljajo ponoči ali ob dela prostih dnevih. Zaradi tega dejstva mora biti baza znanja na razpolago kriminalistom v vsakem času.

- dinamičnost, možnost sprotne nadgradnje:

Ker vemo, da je temelj predlaganega koncepta sodelovanje vseh preiskovalcev in skupna graditev in dopolnjevanje baze znanja ter tako izmenjevanje znanja in izkušenj, pod strokovnim nadzorstvom nadrejenega organa (Centra za računalniško preiskovanje), mora biti predlagana baza nastavljena tako, da omogoča sprotno obnavljanje že objavljenih tem in dodajanje novih, brez pretiranega posega v infrastrukturo ali hrbtišče same aplikacije.

- sledljivost spremembam: Ker bodo v bazo svoje prispevke pisali tudi manj izkušeni preiskovalci, mora biti razvidno, kdo je avtor posameznega prispevka (predvsem v modulu specifičnih delovnih postopkov). Navedeno daje nadzorstvenemu organu pregled, koliko in kateri preiskovalci sodelujejo pri graditvi baze znanja, ter možnost preveritve verodostojnosti prispevkov posameznega preiskovalca. Če bo kakšen preiskovalec dodajal v bazo znanja nepreverjene in netočne informacije, bo nadzorstveni organ imel možnost omejitev pravic njegovega dostopa.

- dostopnost le upravičenim uporabnikom in preglednost njihovega dela:

Ker bo baza znanja vsem dosegljiva, se predlaga umestitev te aplikacije znotraj zaščitenega lokalnega omrežja Policije (Intranet), do katerega pa imajo dostop vsi uslužbenci Policije (približno 9000 uslužbencev). Zaradi navedenega mora biti dostop do baze znanja omogočen le preiskovalcem iz Oddelkov za računalniško preiskovanje in nadzorstvenega organa – Centra za računalniško preiskovanje. Zaradi teh zahtev mora imeti predlagani koncept omogočen dostop s prijavo v uporabniški račun, ki ga bo prejel vsak preiskovalec iz zgoraj navedenih oddelkov.

- možnost vključevanja multimedijskih vsebin: Ker bo baza znanja v veliki meri vsebovala izkušnje preiskovalcev, kako določeno opravilo opraviti (specifični delovni načrti), mora imeti aplikacija možnost dodajanja in pregleda multimedijskih vsebin (predvsem fotografij



ter avdio in video posnetkov). Zavedamo se, da lahko fotografija ali posnetek pove veliko več kot pisanje dolgih strani navodil.

- enostaven način vnosa podatkov v aplikacijo: Ker bo prispevke v bazo znanja lahko vpisoval vsak sodelujoči kriminalist, mora biti vnos prispevkov v bazo čim bolj enostaven, tako da zahtevni način vnašanja prispevkov ne bo odvračal preiskovalcev od sodelovanja.

Baza znanja ni sama sebi namenjena, ampak je v prvi vrsti namenjena preiskovalcem, ki se bodo z njeno pomočjo strokovno dopolnjevali in si izmenjevali znanja in izkušnje. Sledljivost spremembam je pomembna, da je razviden potek nastanka neke informacije, verifikacija in potrditev slednje s strani pooblaščenega, itd. 5.3 IZBIRA USTREZNE PROGRAMSKE OPREME ZA IZVEDBO SPLETNE

APLIKACIJE Po določitvi osnovnih kriterijev za uspešno vzpostavitev baze znanja, smo s poizvedovanjem po internetu poiskali ustrezno spletno rešitev, ki bi v čimvečji meri izpolnjevala zahtevane pogoje iz prejšnjega poglavja. Ob tem pa je bilo pomembno vodilo tudi to, da mora biti aplikativna rešitev brezplačna. Med več odprtokodnimi rešitvami smo za izvedbo baze znanja izbrali spletno aplikacijo MediaWiki. MediaWiki je priljubljena brezplačna spletna aplikacija. Razvili so jo v podjetju Wikimedia Foundation. Najbolj znane njihove rešitve so vsem poznane Wikipedija, Wikislovar in Wikinovice. Spletna aplikacija MediaWiki je napisana v programskem jeziku PHP in svoje podatke lahko shranjuje v podatkovno bazo MySQL ali PostgreSQL. Prva različica te spletne programske opreme je bila ustvarjena z namenom, da služi potrebam kot prosta enciklopedija Wikipedia v letu 2002. Sčasoma se je ta spletna aplikacija zelo razvila in postala priljubljena v podjetjih in institucijah kot aplikacija za upravljanje z znanjem in izobraževanjem zaposlenih ali študentov. Eno večjih podjetij, ki uporablja MediaWiki, je podjetje Novell, kjer deluje ta spletna aplikacija na njihovih zelo obiskanih in prometno visoko obremenjenih spletnih straneh. Dobra praksa uporabe spletne aplikacije MediaWiki je tudi uporaba v izobraževalnih ustanovah, kjer dijaki ali študenti preko spletne aplikacije Media Wiki združujejo svoje projekte. Spletna aplikacija MediaWiki je optimizirana za pravilno in učinkovito upravljanje projektov vseh velikosti, vključno z največjimi »wikiji«, ki imajo lahko nekaj terabajtov vsebine in več sto tisoč zadetkov na sekundo. Slika 8 prikazuje logotip spletne aplikacije MediaWiki, ki ga pogosto zasledimo, pri brskanju po internetu.



Slika 8: Logotip spletne aplikacije MediaWiki (vir Wikimedia Foundation)

Spletna aplikacija MediaWiki je prosto dostopna odprtokodna programska oprema in se razširja pod pogoji GNU (General Public License), medtem ko je dokumentacija izdana pod Creative Commons BY-SA licenco 3.0 in delno v javni domeni. Priročniki in druge vsebine na spletnih straneh MediaWiki.org so pod licenco Creative Commons, medtem ko se niz, namenjen pomoči uporabnikom, lahko kopira, saj je skupaj z novo instalacijo spletne aplikacije Media Wiki v t. i. javni domeni (GNU) (Wikimedia Foundation, 2011). Vnos prispevkov v spletno aplikacijo je omogočen preko relativno enostavnega jezika poimenovanega “wiki text”, ki je zelo enostaven. Prav tako ima spletna aplikacija že pri vnosu teksta v prispevke več avtomatiziranih pripomočkov, ki spremenijo vhodni tekst v t. i. wiki tekst (v bistvu je to osiromašena različica hypertext markup language). Zaradi navedenih lastnosti, prepoznavnosti te spletne aplikacije in bogate podpore uporabnikom, smo se odločili, da bomo model baze znanja uresničili v spletnem okolju MediaWiki. 5.4 RAZVOJ IN IZDELAVA BAZE ZNANJA KOT SPLETNE APLIKACIJE Iz javno dostopnih spletni strani smo prenesli naslednje aplikacije, ki bodo služile nemotenemu delovanju spletne aplikacije MediaWiki:

• internetni strežnik kot npr. Apache, ki ga priporoča tudi proizvajalec spletne aplikacije MediaWiki,

• vmesnik skriptnega programskega jezika PHP od verzije 5.2.3 naprej, • podatkovno bazo MySQL od verzije 4.0 naprej in • spletno aplikacijo MediaWiki.

Za nemoteno in čimbolj enostavno namestitev podpore spletne aplikacije MediaWiki smo se odločili za inštalacijo paketa XXAMP, ki je optimiziran strežniški paket. Ta programski paket vsebuje vse potrebno za zagon in delovanje spletne aplikacije MediaWiki.



Po uvodni instalaciji vseh zahtevanih vtičnikov smo spletno aplikacijo MediaWiki inštalirali tako, da smo slednjo odprli iz arhiva in jo prenesli v t. i. web direktorij (direktorij, ki je v internetnem serverju Apache nastavljen kot direktorij za shranjevanje in prikaz spletnih strani). Po uvodnih namestitvah in zagonu spletne aplikacije MediaWiki se ob prvem vstopu v spletno aplikacijo samodejno zažene konfiguracijska skripta, ki nas vodi skozi začetne nastavitve spletne aplikacije (nastavitve jezika, računa administratorja, podatkovne baze MySQL, itd.) Ob zaključku nastavitev se ustvari nastavitvena datoteka LocalSettings.php, ki beleži vse začetne nastavitve. Zaslonska slika prikazana na sliki 9 se pojavi v primeru uspešne namestitve in začetne konfiguracije spletne aplikacije.

Slika 9: Zaslonska slika po izvedenih začetnih nastavitvah spletne aplikacije MediaWiki

Ob vstopu v administratorsko konzolo spletne aplikacije MediaWiki ustvarimo nekaj uporabnikov (za potrebe naloge smo ustvarili uporabnika Speh) in pričnemo z urejanjem spletne baze znanja. Kot je predvideno, določimo v nastavitvah, da je vstop v spletno aplikacijo možen le z vnosom uporabniškega imena in gesla. Do strani spletne aplikacije smo dostopali s pomočjo internetnega brskalnika Internet Explorer. Navedeni spletni brskalnik je nameščen na vseh računalnikih Policije, ki



so povezani v domeno Policije. Po splošni namestitvi različice spletne aplikacije MediaWiki, pričnemo z urejanjem spletne aplikacije v bazo znanja po modelu, opisanem v 4. poglavju. Kot nastavljeno v nastavitveni datoteki spletne aplikacije, se nam ob vstopu prikaže okno za prijavo, kar prikazuje slika 10.

Slika 10: Prijavno okno za vstop v spletno aplikacijo bazo znanja

Takoj po uspešni prijavi vstopimo na glavno stran spletne aplikacije, ki jo uredimo v skladu s konceptom poenotenih postopkov računalniške forenzike, predstavljenih v 4. poglavju. Prav tako na prvi strani podamo nekaj osnovnih napotkov in povezav do preostalih pomembnih podatkovnih baz, ki služijo preiskovalcem Oddelkov za računalniško preiskovanje. S tem naredimo osnovo baze znanja. Slika 11 prikazuje glavno stran baze znanja in njeno organiziranost v skladu z modelom enotnih postopkov računalniške forenzike v Policiji.



Slika 11: Organizacija glavne strani baze znanja kot spletne aplikacije

Kot je razvidno iz slike 11, smo glavno pozdravno stran baze znanja kot spletne aplikacije uredili v skladu z modelom enotnih postopkov tako, da imamo glavno vsebino razdeljeno po modulih, v katerih so povezave do posameznih strani, kot so določila splošnih pravnih aktov, načela računalniške forenzike, metodologija računalniške forenzike itd. Slika 12 prikazuje način vnosa in urejanja prispevka v bazo znanja, kjer v vnosno okno vnašamo prispevek v sintaktični obliki »wiki teksta«. Nad vnosnim oknom se prikaže predogled, v kakšni obliki bo prispevek prikazan na spletni strani.



Slika 12: Primer urejanja spletne strani in načel računalniške forenzike v spletni aplikaciji

baza znanja

Ob temu smo za potrebe objave posameznih prispevkov pripravili predlogo ali obrazec, ki je enoten za vse prispevke splošnih operativnih postopkov in specifičnih delovnih postopkov. Slednje smo povzeli po zgledu tujih strokovnih institucij, ki so tovrstne dokumente oblikovale podobno. Slika 13 prikazuje primer vnosa prispevka Splošnega operativnega postopka – zavarovanja podatkov. Pri vnosu se uporablja enotna predloga.



Slika 13: Primer urejanja strani v spletni aplikaciji baza znanja

Kot pomemben del vsakega prispevka v bazi znanja je spremljevalna tabela, ki je prikazana na začetku vsakega prispevka. Iz te spremljevalne tabele so razvidne podrobnosti o prispevku (naslov, datum izdaje, avtorja, kdo je prispevek pregledal in verificiral, itd.). Slika 14 prikazuje položaj in vsebino te spremljevalne tabele.

Pripomočki za urejanje wiki texta – avtomatizacija vnosa

Polje, v katerega pri urejanju vnašamo naš tekst v obliki »Wiki« teksta



Slika 14: Spremljevalna tabela, ki spremlja vsak vpisan prispevek v spletni aplikaciji baza znanja

Na opisani način smo v spletno aplikacijo baza znaja vnesli vse predlagane prispevke iz I. modula (Temeljna določila) in II. modula (Standardni operativni postopki), medtem ko smo za III. modul (Specifični delovni postopki) izdelali le ogrodje in izhodišče za vnos prispevkov s strani uporabnikov (preiskovalcev). Le-ti bodo sčasoma gradili oz. nadgrajevali bazo znanja. S postavitvijo spletne aplikacije baza znanja bodo preiskovalci dobili zelo koristen pripomoček po principu “vse na enem mestu”, kjer se bodo lahko seznanili z osnovami, novostmi, rešitvami posameznih problemov ter pridobili obrazce in navodila za njihovo uspešno delo.



6 ZAKLJUČEK Z razvojem in dostopnostjo računalniške tehnologije se kriminalisti, ki preiskujejo kazniva dejanja, srečujejo z elektronskimi podatki vsakodnevno. Računalnik, telefon ali drugo elektronsko napravo zasledimo skorajda v vsakem primeru preiskovanja kot sredstvo za storitev kaznivega dejanja ali kot nosilec elektronskih podatkov, ki lahko služijo kot dokaz v postopku na sodišču. Ob neizogibnem spoznanju, da se vedno več dokazov skriva v elektronskih napravah in da so takšni dokazi ob pravilni predložitvi sodišču verodostojni, se področju računalniškega preiskovanja v slovenski policiji pripisuje vedno večji pomen. Zaradi tega spoznanja so bili leta 2010 v Policiji ustanovljeni specializirani oddelki za računalniško preiskovanje. Trenutno se ti oddelki sicer še postavljajo znotraj organizacijske strukture (popolnitev specializiranih kadrov, ureditev ustreznih prostorov za delovanje in nabava opreme za izvajanje računalniško forenzičnih opravil), vendar je pričakovati, da bodo v prihodnosti zaživeli v polni meri. Razvoj področja računalniškega preiskovanja je namreč ena izmed prioritetnih nalog tako Ministrstva za notranje zadeve kot vodstva Policije. Oboji namreč v svojih načrtih dela uvrščajo nalogo razvoja področja računalniškega preiskovanja med prednostne. Oddelki za računalniško preiskovanje po vsej Sloveniji imajo enotno nalogo preprečevanje in preiskovanje kaznivih dejanj računalniške kriminalitete in izvajanje računalniško forenzičnih opravil. Ko se je spremenila zakonodaja na področju računalniškega preiskovanja, so se tej spremembi morali prilagoditi tudi oddelki za računalniško preiskovanje. S tem so ti oddelki pričeli opravljati novo predpisane postopke, kot so zavarovanje podatkov iz elektronskih naprav in preiskava podatkov. Postopki računalniške forenzike so se v posameznih oddelkih za računalniško preiskovanje skozi čas različno spreminjali. Posamezni oddelek je postopke računalniške forenzike prilagajal svoji subjektivni razlagi zakonodaje in pridobljenim strokovnim izkušnjam. Tako so postopki, ki temeljijo na enaki pravni podlagi in bi morali biti postopkovno enaki, postali med oddelki neenotni, v nekaj primerih pa tudi strokovno in zakonsko vprašljivi. Zaradi bojazni in nevarnosti, da bi lahko razlike v postopkih računalniške forenzike med različnimi oddelki za računalniško preiskovanje povzročile dvom na sodišču o sami verodostojni in strokovnosti dela slovenske policije, smo so odločili, da v diplomski nalogi te postopke poenotimo in izdelamo model enotnih postopkov računalniške forenzike, ki bo uporaben za vse oddelke za računalniško preiskovanje v Policiji. Po pregledu obstoječega stanja in proučitvi samih postopkov računalniške forenzike, smo ugotovili, da model enotnih postopkov potrebno zasnovati modularno. Model obsega tri glavne module, ki so med seboj hierarhično odvisni. V najpomembnejšem, prvem modulu »Temeljna strateška določila« smo določili osnovna strokovna pravila in načela, ki predstavljajo temelj računalniško



forenzičnega dela v Policiji. Na podlagi teh smernic smo nato v drugem modulu »Standardni operativni postopki« sestavili navodila za osnovna forenzična opravila, kot so zaseg elektronske naprave ter zavarovanje in preiskava podatkov. Ta modul podaja jasna navodila za posamezno opravilo ter zagotavlja enotno obliko dokumentacije, ki jo je med postopki potrebno izdelati. Tretji modul »Specifični operativni postopki« je namenjen izmenjavi izkušenj oziroma reševanju specifičnih delovnih opravil, ki jih kriminalisti preiskovalci srečajo pri svojem delu. Medsebojno sodelovanje in izmenjava izkušenj je namreč ena od temeljnih oblik uspešnega dela preiskovalcev in osnova za vzpostavitev ustrezne baze znanja na področju postopkov računalniške forenzike. Model enotnih postopkov računalniške forenzike smo nadgradili s spletno aplikacijo baze znanja, ki je bila izdelana v okolju MediaWiki. Spletna aplikacija je bila postavljena na strežnik znotraj varovanega omrežja Policije in tako postala dosegljiva vsem uporabnikom (preiskovalcem) iz službenih računalnikov Policije. Z diplomsko nalogo smo vzbudili zanimanje tudi s strani pristojnih v Policiji. Avgusta 2011 je bila namreč ustanovljena delovna skupina na državnem nivoju, tj. na nivoju Generalne policijske uprave. Naloga te skupine je preučitev postopkov računalniške forenzike, njihovo dokončno poenotenje in umestitev predlagane spletne aplikacije baze znanja, ki je bila poskusno postavljena v okviru te diplomske naloge.



LITERATURA IN VIRI Casey, E. (2004), Digital evidence and computer crime, založba Academic Press; IETF, (2002), RFC 3227, Guidelines for Evidence Collection and Archiving, vsebina

dosegljiva na spletni strani http://www.ietf.org/rfc/rfc3227.txt, (20.5.2011);

IOCE, (2000), G8 Proposed Principles For The Procedures Relating To Digital

Evidence, dosegljivo na spletni strani http://www.ioce.org/core.php?ID=5 (20.5.2011);

McKemmish, R. (1999). What is Forensic Computing. Trends and Issues in Crime

and Criminal Justice; Policija (2009), Centralni računalniški sistem policije ob njegovem nastanku in

danes, vsebina dosegljiva na spletni strani http://www.policija.si/index.php/component/content/article/246/5872-centralni-raunalniki-sistem-policije-ob-njegovem-nastanku-in-danes (16.9.2011);

Policija (2010a). Interno gradivo organizacije Policija – trenutne usmeritve glede

zasega in zavarovanja elektronskih naprav; Policija (2010b). Interno gradivo organizacije Policije – zapiski iz usposabljanj na

temo Računalniško preiskovanje (osnovni in nadaljevalni tečaj); Policija (2010c), Kriminalisticna preiskava računalniške kriminalitete slovenske

policije v sodelovanju z ameriškim FBI – informacija z novinarske konference, vsebina dosegljiva na spletni strani http://www.policija.si/index.php/component/content/article/35-sporocila-za-javnost/8923-kriminalistina-preiskava-raunalnike-kriminalitete-slovenske-policije-v-sodelovanju-z-amerikim-fbi-informacija-z-novinarske-konference (22.5.2011);

RAND Europe (2003), Handbook of Legislative Procedures of Computer and

Network Misuse in EU Countries, vsebina dosegljiva na spletni strani http://ec.europa.eu/information_society/eeurope/2005/doc/all_about/csirt_handbook_v1.pdf (21.05.2011);

Rupnik, A. (2003), Konvencija o kibernetski kriminaliteti, vsebina dosegljiva na

spletni strani https://lms.uni-mb.si/vitel/14delavnica/clanki/andrej_rupnik.pdf (23.5.2011);

Schweitzer, D. (2003), Incident Response: Computer Forensics Toolkit, založba

Wiley; SWGDE, (1999), Proposed Standards for the Exchange of Digital Evidence, vsebina

dosegljiva na spletni strani http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm (20.5.2011);



US (2009), Odločba ustavnega sodišca št.Up-106/05, vsebina dosegljiva na na spletni strani http://odlocitve.us-rs.si/usrs/us-odl.nsf/o/DA175692EA4709BAC12574E3003EB895 (22.5.2011);

Wikimedia Foundation (2011), How does MediaWiki work?, vsebina dosegljiva na

strani http://www.mediawiki.org/wiki/How_does_MediaWiki_work%3F (11.10.2011);

Završnik, A. (2010). Kriminaliteta in tehnologija: Kako računalniki spreminjajo

nadzor in zasebnost ter kriminaliteto in kazenski pregon?, založnik Inštitut za kriminologijo;

ZKP (2007), Zakon o kazenskem postopku (uradno precišceno besedilo) (ZKP-

UPB4), Uradni list RS, št. 32/2007; ZKP (2009), Zakon o spremembah in dopolnitvah Zakona o kazenskem postopku

(ZKP-J), Uradni list RS, št. 77/2009.

PRILOGE: PRILOGA 1: Izpis 219.a in 223.a člena Zakona o kazenskem postopku PRILOGA 2: Standardni operativni postopek zasega elektronske naprave PRILOGA 3: Standardni operativni postopek zavarovanja podatkov PRILOGA 4: Standardni operativni postopek preiskave podatkov

KAZALO SLIK: Slika 1: Modularna struktura postopkov računalniške forenzike........................... 20

Slika 2: Vsebina glavnih modulov in njihova odvisnost ......................................... 21

Slika 3: Diagram poteka postopka zasega elektronske naprave............................ 32

Slika 4: Potek postopka zavarovanja podatkov iz elektronske naprave................ 35

Slika 5: Postopek preiskave podatkov iz elektronske naprave.............................. 38

Slika 6: Proces objave specifičnega delovnega načrta ......................................... 40

Slika 7: Centralni računalniški sistem v Ljubljani (vir Policija) ............................ 42

Slika 8: Logotip spletne aplikacije MediaWiki (vir Wikimedia Foundation) .......... 46

Slika 9: Zaslonska slika po izvedenih začetnih nastavitvah spletne aplikacije MediaWiki ................................................................................................ 47

Slika 10: Prijavno okno za vstop v spletno aplikacijo bazo znanja......................... 48

Slika 11: Organizacija glavne strani baze znanja kot spletne aplikacije ................ 49

Slika 12: Primer urejanja spletne strani in načel računalniške forenzike v spletni aplikaciji baza znanja.............................................................................. 50

Slika 13: Primer urejanja strani v spletni aplikaciji baza znanja ........................... 51

Slika 14: Spremljevalna tabela, ki spremlja vsak vpisan prispevek v spletni aplikaciji baza znanja.............................................................................. 52

Documents

POENOTENJE POSTOPKOV RAČUNALNIŠKE FORENZIKE V … · za shranjevanje. V osnovi je računalniška forenzika metoda analitičnih in preiskovalnih tehnik za identificiranje, zbiranje,