Univerzitet u Beogradu Fakultet organizacionih nauka

ANALIZA DIGITALNIH DOKAZA U SLUAJEVIMA CYBER KRIMINALA U E-POSLOVANJUSeminarski rad iz Elektronskog poslovanja

Profesor: prof. dr Boidar Radenkovi Mentor: Svetlana Jovanovi Studenti: Ljubomir olovi 185/04 Ana Lazin 441/03

Beograd, 2007

SADRAJ 1. UVOD.....................................................................................................................3 2. ELEKTRONSKO POSLOVANJE...........................................................................4 3. ELEKTRONSKA TRGOVINA..4 3..1 ISTORIJA.............................................................................................................5 3.2. POSLOVNI MODELI............................................................................................5 4. ELEKTRONSKA TRGOVINA U SRBIJI I CRNOJ GORI........................................6 5. CYBER KRIMINAL.................................................................................................7 5.1. POJAM I OBLICI..................................................................................................8 5.2. TIPOVI CYBER KRIMINALA..............................................................................10 6. DIGITALNI DOKAZ...............................................................................................13 6..1 Digitalni kompjuterski dokaz...............................................................................13 6.2. Upravljanje digitalnim dokazima.14 6.3. Procedura sakupljanja posrednih kompjuterskih dokaza...................................15 7. RAZVOJ, ORGANIZACIJA I STANDARDI............................................................17 7.1. Kratak pregled razvoja forenzike analize digitalnih dokaza..............................17 7.2. Standardizacija procedura forenzike istrage i analize digitalnih dokaza..........18 7.2.1. Preopruke IOCE za upravljanje digitalnim dokazima..................................... 18 7.2.2.1 Principi upravljanja digitalnim dokazima.........................................................19 7.2.3.1 Standardi i kriterijumi.......................................................................................20 7.2.4.1 Standardna procedura naunog dokaza.........................................................21 7.2.5. Standardna procedura testiranja alata za forenziku analizu digitalnih dokaza...........................................................................................21 7.2.6. Legalni zahtevi za digitalne dokaze................................................................22 7.2.7. Problemi u oblasti digitalne forenzike analize...............................................22 8. FORENZIKA ANALIZA RAUNARA.................................................................22 8.1. Definicije forenzike analize digitalnih dokaza...................................................22 8.2. Procedura forenzike analize digitalnih dokaza.................................................23 8.3. Procedura akvizicije digitalnih dokaza...............................................................23 8.4. Akvizicaija digitalnih dokaza...24 8.5. Forenzika analiza digitalnih dokaza.................................................................24 8.6. Forenzika analiza softvera...............................................................................25 8.7. Forenzika analiza raunara..26 8.7.1. Procedure ispitivanja HDD..26 8.7.2. Procedura ispitivanja pokretnih medija..27 8.8. Tehnologije za forenziku analizu.....................................................................28 8.8.1. Forenzike tehnike i alati za akviziciju digitalnih dokaza.................................28 8.8.1.1.1 Forenzike tehnike i alati za izvlaenje podataka iz oteenih diskova ......29 8.8.2. Forenzike tehnike i alati za analizu podataka................................................29 8.8.3. Evaluacija alata za forenziku analizu digitalnih dokaza.................................31 9. REGULACIJA CYBER KRIMINALA......................................................................32 10. NEPRAVNE MERE..........................................................................................34 ZAKLJUAK..36 12. KORIENA I REFERENTNA LITERATURA38 2

1. UVODTema seminarskog rada je Analiza digitalnih dokaza u sluajevima cyber kriminala u e-poslovanju. Tema prvog poglavlja je definisanje samog pojma elektronsko poslovanje. Tema drugog poglavlja je definisanje pojma elektronske trgovine, istorijski razvoj i poslovni modeli koji postoje. Tema treeg poglavlja je osvrt na razvoj elektronske trgovine kod nas i koje faze postoje. Tema etvrtog poglavlja se zasniva na bliem doaravanju termina cyber kriminal, koji su njegovi tipovi i oblici. Tema petog poglavlja su digitalni dokazi, njihov pojam, upravljenje i prikupljanje. Tema estog poglavlja je osvrt na razvoj forenzike analize digitalnih podataka. Tema sedmog poglavlja je osvrt na definisanje forenzike analize digitalnih podataka i njegove alate. Tema osmog poglavlja se zasniva na problemu regulisanja cyber kriminala. Tema devetog poglavlja se bavi problematikom nepravnih mera zatite. Deseto poglavlje je zakljuak. Jedanaesto poglavlje su reference i literatura.

3

2. ELEKTRONSKO POSLOVANJEIzraz elektronsko poslovanje je prvi put upotrebljen od strane amerike kompanije IBM da bi se oznailo poslovanje uz znaajnu primenu savremene, elektronske tehnologije. Do tada se ovaj izraz odnosio na poslovanje u sektoru elektronike. Pod elektronskim poslovanjem (Electronic Business) podrazumevamo obavljanje poslovnih procesa uz primenu elektronske tehnologije. Elektronska tehnologija podrazumeva kombinovanu upotrebu informacionih tehnologija i telekomunikacija. Ova vrsta tehnologije omoguava slanje velikog broja informacija, na velike daljine u kratkom vremenskom periodu. To omoguava preduzeu, koje u svom poslovanju koristi elektronsku tehnologiju, da ostvari znaajne utede u trokovima poslovanja, efikasnije obavlja svoje zadatke i, samim tim, bude konkurentnije na tritu. Danas e-poslovanje ostvaruje ekspanzitivan rast i generie milijarde amerikih dolara. U dosadanjem periodu e-poslovanje je doivelo posebnu ekspanziju u maloprodaji, izdavatvu i u financijskim uslugama. Generalno posmatrano, prednost elektronskog u odnosu na tradicionalno poslovanje su vezane za poveanje kvaliteta, agilnosti, za dodatne usluge sa jedne strane, i za snienje prodajnih cena, smanjenje vremena izlaska na trite, odnosno realizivanje transakcija sa druge strane. Takoe se intezivira zajedniki nastup na elektronskom tritu vezan za razvoj elektronskih partnerstva. Elektronsko poslovanje (en: E-business) jeste voenje poslova na Internetu, to ne podrazumeva samo kupovinu i prodaju, ve organizaciju poslovanja firme u onlajn okruenju, organizovanje poslovne komunikacije prema klijentima i brigu o klijentima. Elektronsko poslovanje predstavlja poslovnu transformaciju zasnovanu na: udruivanju preduzea (integracija) procesu saradnje (kolaboracija) globalnom mrenom povezivanju korienjem Interneta kao medija Meu najvanijim procesima e-poslovanja se istiu: prikupljanje podataka i informacija marketing (4P marketing miks): promocija, podrka kupcima, uvoenje novog proizvoda,... onlajn prodaja (proizvoda i usluga) komunikacija 4

3.

ELEKTRONSKA TRGOVINA

Elektronska trgovina (ili e-trgovina) primarno se sastoji od distribuiranja, kupovine, prodaje, marketinga, i servisiranja proizvoda i usluga putem elektronskih sistema kao to je Internet i druge kompjuterske mree. Takoe ukljuuje i elektronski transfer novca, upravljanje lancem snabdevanja, e-marketing, elektronsku razmenu podataka, i automatske sisteme za sakupljanje podataka. U ispunjavanju svojih zadataka koristi elektronske komunikacione tehnologije kao Internet, ekstranet, elektronska pota, e-knjige, baze podataka, i mobilne telefone. E-trgovina se moe posmatrati sa ireg i ueg stanovita, pa tako ira definicija obuhvata razmenu poslovnih informacija, odravanje poslovnih odnosa i voenje poslovnih transakcija sredstvima telekomunikacionih mrea[1]. A ua definicija obuhvata kupovinu i prodaju robe, usluga i informacija putem mree. To znai da je e-trgovina pojavljujui koncept koji opisuje procese kupovine i prodaje, odnosno razmenu proizvoda, usluga i informacija putem kompjuterskih mrea ukljuujui i Internet [2].

3.1. ISTORIJAZnaenje izraza e-trgovina se menjalo tokom vremena. Prvobitno, oznaavao je olakavanje poslovnih transakcija elektronski, korienjem tehnologije kao to je Elektronska Razmena Podataka (EDI, koji se pojavio krajem 70-tih godina), u cilju slanja poslovnih dokumenata kao narudbenica i faktura elektronski. Kasnije, ukljuene su i aktivnosti zajedniki nazvane Mrena trgovina, kupovina i prodaja robe i usluga putem Mree (World Wide Web) preko sigurnih servera (kao HTTPS, specijalni serverski protokol koji kriptuje poverljive podatke radi zatite potroaa) putem elektronskih servisa plaanja, kao to su kreditne kartice. Kada je Mrea postala mnogo poznatija meu irom publikom 1994, mnogi eksperti su predviali da e e-trgovina ubrzo postati vodei ekonomski sektor. Meutim, trebalo je nekoliko godina da sigurnosni protokoli (kao HTTPS) postanu dovoljno razvijeni iroko rasprostranjeni. Kao posledica, izmeu 1998. i 2000. godine, veliki broj kompanija u SAD-u i Evropi razvio samo osnovne sajtove. Nakon 2005. godine, e-trgovina se veoma afirmisala u svim veim gradovima irom Severne Amerike, Zapadne Evrope, i odreenih istono azijskih drava. Takoe, etrgovina se i dalje sporo razvija u nekim industrijalizovanim dravama, a praktino ne postoji u zemljama treeg sveta. Pa ipak e-trgovina ima neogranieni potencijal kako za razvijene tako i nerazvijene zemlje, nudei velike koristi u veoma neregulisanom okruenju.

3.2. POSLOVNI MODELI B2B

Business to business elektronsko poslovanje (skraeno B2B) odnosi se na korienje Interneta i web tehnologija za kupovinu, prodaju, jeftiniju, bru i bolju saradnju poslovnih subjekata. 5

B2C

B2C (business to consumer) predstavlja trgovaku delatnost koja prodaje proizvode i usluge do krajnjih potroaa posredstvom internet tehnologija. C2B

C2B (eng. Consumer to Business) predstavlja model u kom potroa zahteva proizvod ili uslugu od prodavca, tako to postavlja svoj zahtev sa odgovarajuim budetom, preko interneta, a prodavci pregledaju zahteve i daju ponude. Potroa zatim pregleda ponude i odabira onu koja mu najvie odgovara. C2C

C2C (eng. Consumer to consumer) je model u kome potroai vre prodaju jedni drugima, uz pomo internet kreatora trita, koji obino naplauje proviziju, pa bi se ovaj model u sutini mogao nazvati i "C2B2C". Obino su u formi aukcije, a najbolji primer jeste eBay. B2A

B2A (eng. Business to administration) pokriva sve internet transakcije izmeu kompanija i dravnih organa. Ovaj model ukljuuje veliki broj usluga, najvie u sledeim oblastima: socijalna zatita, fiskalna, zapoljavanje, registar i javni belenik. Iako je B2A jo u ranoj fazi svog razvoja, postoji tendencija rasta, naroito zbog promocije elektronske trgovine od strane dravnih organa kako u EU, tako i SAD-u. C2A

C2A (eng. Consumer to administration) model pokriva sve elektronske transakcije izmeu pojedinaca i dravnih organa. Oblasti na koje se odnosi model ukljuuju: socijalno osiguranje (davanje informacija i novane isplate), zdravstvo (zakazivanje pregleda, davanje informacija o bolestima, i plaanje zdravstvenih usluga), obrazovanje (davanje informacija i obuavanje na daljinu), porezi (predavanje prijava poreza i plaanje). Ipak, bitno je napomenuti da se ovde radi o modelu koji ukljuuje nekomercijalne transakcije, to ini deo elektronskog poslovanja ali ne i e-trgovine. B2E

B2E (eng. Business to employee) je model koji sve vie raste u upotrebi. U praksi ovaj model je vie poznat kao Intranet, vebsajt stvoren da zaposlenim i kompaniji prui informacije. Intranetu se pristupa preko interne mree organizacije, mada se esto moe proiriti i na korisnika koji koristi internet ali onda je pristup ogranien preko lozinke koja je potrebna da bi se ulogovao. P2P

P2P je skraenica od eng. peer to peer to bi se moglo prevesti kao vrnjak vrnjaku.

4. ELEKTRONSKA TRGOVINA U SRBIJI I CRNOJ GORIKao zaetak elektronskog poslovanja u Srbiji uzima se 29. juni 1993. godine kada je osnovana Jugoslovenska asocijacija za elektronsku razmenu podataka (Yugoslav Association for Electronic Data Interchange - YUEDI) sa zadatkom da popularizuje primenu EDI sistema u tadanjoj Jugoslaviji. Podseanja radi u pitanju je 1993. godina i Internet je rezervisan gotovo iskljuivo za akademske korisnike. Danas se 6

EDI mree smatraju preteom e-poslovanja. U bivoj Jugoslaviji nisu postojale privatne kompjuterske mree koje su koriene za trgovinu, nalik na MINITEL u Francuskoj, pa do razvoja e-trgovine dolazi tek sa masovnijom upotrebom Interneta u poslovne svrhe. Do pojave prvih komercijalnih dobavljaa Internet usluga, odnosno Internet provajdera dolazi 1995. godine. Razvoj elektronske trgovine na prostoru Srbije i Crne gore moemo grubo podeliti u tri faze:

1 Prva faza (1995 - 1999.) 2 Druga faza (1999 - 2001.) 3 Trea faza (2001 - danas)

Prva faza (1995 - 1999.) U prvoj fazi e-trgovine u Srbiji implemetiran je samo proces naruivanja robe preko Interneta, dok se plaanje za robu obavlja pouzeem uz fiziku isporuku robe. 1995. godine otvaraju se prve elektronske prodavnice sa podruja Balkana - Balkanmedia, sa seditem u Nemakoj, kao i DS Sound music from Yugoslavia u Kanadi. Do masovnije pojave prodavnica u SRJ dolazi u julu mesecu 1998. kada Eunet u saradnji sa firmom YUGate otvara prvi elektronski (virtuelni) trini centar. Sa aspekta promocije elektronskog poslovanja i elektronske trgovine nastaju specijalizovani Internet asopisi i sajtovi kao to su Pretraga i prezentovanje i Etrgovina.co.yu. Druga faza (1999 - 2001.) Do pojave veeg broja funkcionalnih e-prodavnica dolazi sa pojavom prvih elektronskih kartica koje omoguavaju onlajn plaanje, to predstavlja drugu fazu u razvoju e-trgovine u Srbiji. 1999. osniva se E-Bank.co.yu, prvi i do danas jedini Internet payment provajder, namenjen procesiranju platnih kartica Trea faza (2001 - danas) Kao trea faza razvoja srpske e-trgovine uzima se period od 2002. godine do danas. Poetkom 2002. godine u sklopu najvee tehnike elektronske zajednice na Balkanu - Elitesecurity.org, koja danas broji preko 70.000 lanova, otvara se do danas najvei i najposjeeniji diskusioni forum posveen promociji elektronskog poslovanja na ovim prostorima. 2001. godine na srpsko e-trite vraa se VISA, najvea svetska kompanija iz domena izdavanja platnih kartica.

5.

CYBER KRIMINAL

7

Globalne raunarske mree stvorile su mogunosti za nove oblike kriminala. Pojavljuje se poseban, sufisticiran, prodoran, tehniki potkovan, beskrupulozan, opsednut, ponekad osvetoljubiv pojedinac [3] kome je teko suprotstaviti se a jo tee zaustaviti ga. On sve ee ne eli da bude sam ve mu je potrebno drutvo, kao to mu je neophodna i publika. Lakoa vrljanja cyber prostorom daje mu oseaj moi i neuhvatljivosti. Ovi oseaji nisu bez razloga, jer stvarno ga je izuzetno teko otkriti u momentu injenja dela, to, uglavnom, predstavlja i pravi trenutak za njegovo identifikovanje i hvatanje. S druge strane, Internet koji je toliko ranjiv i nesiguran zbog ogromnog broja korisnika (rauna se da je u toku 2004. godine broj korisnika Interneta narastao na (na dan 25. mart 2005. godine broj korisnika Interneta bio je 888,681,131, odnosno 13.9% ukupne svetske populacije), otvorenosti i neregulisanosti je i idealno skrovite kriminalaca razliitog tipa. U takvom okruenju i sa takvim pojedincima sve se ee pokuavaju izboriti ne samo mnoga nacionalna prava, meunarodne organizacije i asocijacije, ve se ukljuuje i privatni sektor i korisnici ne bi li se ublaile negativne posledice i smanjili gubici koji nastaju zbog neometanih kriminalnih aktivnosti. Tako na primer, finansijski cyber kriminal je Australiju u 2003. godini kotao preko 3,5 miliona dolara, a virusi, crvi i trojanci preko 2 miliona. Sledee godine finansijski cyber kriminal pada na 2 miliona dolara, ali su zato gubici od virusa narasli na preko 7 miliona. Ni Britanci nisu proli bolje, njima je u 2003. godini finansijski cyber kriminal odneo preko 120 miliona funti, a virusi 27,8 miliona [4]. Privatnici i korisnici postaju naroito znaajna grupa u stvaranju uslova za zatitu privatnih kompjuterskih mrea i njihove povezanosti sa javnim, globalnim. Razvoj sigurne Internet infrastrukture ne moe se zamisliti bez zajednikih aktivnosti svakog od ovih aktera [5], tim vie to cyber kriminal postaje globalni problem. A ta je on, u stvari? POJAM I OBLICI

5.1.

Trebalo je da proe niz godina od pojave prvih oblika kompjuterskog kriminala do njegovog definisanja i taman su nastale neke svodne definicije kada se pojavljuje novi fenomen cyber kriminal. Tako pokuavajui da se protumae razmere ovog kriminala i njegove opasnosti u dokumentu Kriminal vezan za kompjuterske mree ( Crime related to computer networks ) sa Desetog kongresa Ujedinjenih Nacija posveenog Prevenciji od kriminala i tretmanu poinioca od aprila 2000. godine [6] Radna grupa eksperata pod ovim kriminalom podrazumeva kriminal koji se odnosi na bilo koji oblik kriminala koji se moe izvravati sa kompjuterskim sistemima i mreama, u kompjuterskim sistemima i mreama ili protiv kompjuterskih sistema i mrea. To je, u sutini, kriminal koji se odvija u elektronskom okruenju. Ako se pod kompjuterskim sistemom podrazumeva svaki ureaj ili grupa meusobno povezanih ureaja kojima se vri automatska obrada podataka (ili bilo kojih drugih funkcija) kako je to definisano u Konvenciji o cyber kriminalu ( Convention on Cybecrime ) [7] Saveta Evrope onda je jasno da bez njih i kompjuterskih mrea nema ovog kriminala. On je kompleksan i ak ga smatraju kiobran-terminom koji pokriva raznovrsne kriminalne aktivnosti ukljuujui napade na kompjuterske podatke i sisteme, napade vezane za raunare, sadraje ili intelektualnu svojinu. Pri tome se kompjuterske mree odnosno informaciono komunikaciona tehnologija pojavljuje u viestrukoj ulozi[4], odnosno kao: Cilj napada napadaju se servisi, funkcije i sadraji koji se na mrei nalaze. Kradu se usluge, podaci ili identitet, oteuju se ili unitavaju delovi ili cela mrea i kompjuterski sistemi, ili se ometaju funkcije njihovog rada. U svakom sluaju cilj 8

poinilaca je mrea u koju se ubacuju virusi ili crvi, obaraju sajtovi, upadaju hakeri, vrljaju unjala, vri se odbijanje usluga. Alat kriminalci od pamtiveka koriste kamen, no, otrov, pitolj i slina oruja i orua a danas moderni kriminalci ne prljaju ruke koristei mreu u injenju dela i realizovanju namera. Nekada ova upotreba mree predstavlja potpuno novi alat, dok se u drugim prilikama ve postojei toliko usavrava da ga je teko i prepoznati (ak se spominju i dve varijante: nova dela sa novim alatima i stara dela sa novim alatima). Korienje ovog novog oruja naroito je popularno kod deije pornografije, zloupotreba intelektualne svojine ili online prodaje nedozvoljene robe (droge, ljudskih organa, dece, nevesta, oruja i sl.). Okruenje u kome se napadi realizuju. Najee to okruenje slui za prikrivanje kriminalnih radnji, kao to to veoma veto uspevaju da urade pedofili, a ni drugi kriminalci nisu nita manje uspeni. Dokaz kao to se u klasinom kriminalu pojavljuje no, otrov, pitolj ili neko drugo sredstvo izvrenja dela, tako se i mrea i ICT mogu javiti u dokaznom postupku za cyber kriminal. Istovremeno, kompjuterska mrea slui kao mrea za povezivanje raznih subjekata, ona je podrka i simbol. Naravno ova poslednja uloga je vezana za zastraivanje, obmanjivanje, uplitanje. Bitno je da je cyber kriminalu nesporno priznato svojstvo kriminala (pri tome ne treba zanemariti injenicu da su se pored ovog pojavili i drugi termini: Internet kriminal, eKriminal, kriminal visokih tehnologija, mreni kriminal, i sl.) kao obliku ponaanja koji je protivzakonit ili e biti kriminalizovan za kratko vreme [6]. S obzirom da postoje znaajne razlike meu zemljama ali i dokumentima meunarodnih organizacija i asocijacije to mala ograda na ponaanje koje e biti kriminalizovano u kratkom vremenu predstavlja presedan kojim se ele umanjiti posledice nesinhronizovanosti i neusklaenosti regulative. Imajui sve to u vidu moe se konstatovati da je cyber kriminal takav oblik kriminalnog ponaanja kod koga je cyber prostor okruenje u kome su kompjuterske mree pojavljuju kao sredstvo, cilj, dokaz i/ili simbol ili okruenje izvrenja krivinog dela. Pri tome se pod cyber prostorom, podrazumeva ili vrsta zajednice sainjene od mree kompjutera u kojoj se elementi tradicionalnog drutva nalaze u obliku bajtova i bitova ili prostor koji kreiraju kompjuterske mree. Termin cyber prostor prvi je upotrebio Vilijam Dibson u naunofantastinoj noveli Neuromancer 1984. godine ( Cyberspace. A consensual hallucination experienced daily by billions of legitimate operators, in every nation, by children being taught mathematical concepts... A graphical representation of data abstracted from the banks of every computer in the human system. Unthinkable complexity. Lines of light ranged in the non-space of the mind, clusters and constellations of data. Like city lights, receding ) . Ono je vetaka tvorevina koja zahteva visoku tehniku opremljenost, dobru informacionu infrastrukturu i koji je niija i svaija svojina, u kome paralelno koegzistiraju virtuelno i realno i kod koga je komunikacija kolektivna. U takvom okruenju izuzetno je teko govoriti o nacionalnim razmerama kriminala i drutvenoj opasnosti, bar ne u konvencionalnom smislu rei. Zato se ovaj kriminal svrstava u 9

najizrazitiji oblik transnacionalnog kriminala protiv koga ni borba ne moe biti konvencionalna. Pogotovo to drutveni, socijalni i ekonomski kontekst ovog kriminala nije istovetan sa klasinim transnacionalnim kriminalom jer za cyberspace vae druga pravila to pokazuje Globalna studija o organizovanom kriminalu ( Global studies on organized crime ) Centra za prevenciju od meunarodnog kriminala i Instituta Ujedinjenih Nacija za istraivanje interergionalnog kriminala [8]. Iako postoje brojne tekoe u definisanju ovog kriminala, kao to postoji i izraena tendencija da mu se ne priznaju specifinosti koje prate kriminal uopte, ipak je jasno da takvi stavovi ne mogu biti prihvatljivi jer se ne mogu zanemariti ni zastraujui naini realizacije ovog kriminala, kao to se ni posledice vie ne mere nekolicinama rtava, niti desetinama i hiljadama dolara, dinara, evra, ve estocifrenim brojevima. Problemi nastaju i zbog novih elemenata za diferenciranje ovog od drugih oblika kriminala. Otuda je posebno pitanje koje su to vrste ovog kriminala.

5.2.

TIPOVI CYBER KRIMINALA

Razliiti dokumenti na razliite naine klasifikuju oblike cyber kriminala. Tako u materijalu za radionicu o kriminalu na mrei desetog kongresa UN konstatuje se da postoje dve podkategorije ovog kriminala [6]:

cyber kriminal u uem smislu - kao svako nezakonito ponaanje usmereno na elektronske operacije sigurnosti kompjuterskih sistema i podataka koji se u njima obrauju; cyber kriminal u irem smislu - kao svako nezakonito ponaanje vezano za ili u odnosu na kompjuterski sistem i mreu, ukljuujui i takav kriminal kakvo je nezakonito posedovanje, nuenje i distribuiranje informacija preko kompjuterskih sistema i mrea.

U istom dokumentu navode se i konkretni oblici ovog kriminaliteta u skladu sa Preporukom Saveta Evrope i listom OECD-a iz 1989. odnosno 1985. godine. To su: 1) neautorizovani pristup kompjuterskom sistemu ili mrei krenjem mera sigurnosti (haking); 2) oteenje kompjuterskih podataka ili programa; 3) kompjuterske sabotae; 4) neovlaeno presretanje komunikacija od i u kompjuterskim sistemima i mreama; i 5) kompjuterska pijunaa. Svaki od ovih oblika moe se ukrtati sa svakim jer gotovo da ne postoji isti oblik. Tako haking, pored neovlaenog ulaska u kompjuterske sisteme i mree, esto obuhvata i unitenje podataka ili kompjutersku pijunau (kao to je to sluaj sa upadima na veb sajtove i unitenje ili prepravljanje podataka na njima ili haking i trgovina pasvordima). Izmena kompjuterskih podataka i programa ukljuuje i lansiranje kompjuterskih crva i virusa to je najee praeno zaustavljanjem rada kompjuterskog sistema, unitenjem podataka. U mreama crvi i virusi se u veini sluajeva razmenjuju elektronskom potom, a ne retko to ine i hakeri prlikom neovlaenog pristupa. Od dela cyber kriminala u irem smislu najee se pojavljuju: 1) kompjuterski falsifikati; 2) kompjuterske krae; 10

3) tehnike manipulacije ureajima ili elektronskim komponentama ureaja; 4) zloupotrebe sistema plaanja kao to su manipulacije i krae elektronskih kreditnih kartica ili korienje lanih ifri u nezakonitim finansijskim aktivnostima. Njima se u novije vreme dodaju i dela podrana raunarima. Ova dela obuhvataju rasturanje materijala ili samo njihovo posedovanje pri emu se mrea koristi za postizanje boljih rezultata kriminala ili pokuaja izbegavanje pravde. U ova dela se ubrajaju razni nezakoniti i tetni sadraji, krenje autorskih i srodnih prava, prodaja zabranjene robe (oruja, kradene robe, lekova) ili pruanje nedozvoljenih usluga (kockanje, prostitucija). Najvie panje u ovoj grupi dela privlai deija pornografija i distribucija raznih materijala Internetom[6]. Evropska konvencija o cyber kriminalu predvia 4 grupe dela [7]:

dela protiv poverljivosti, integriteta i dostupnosti kompjuterskih podataka i sistema njih ine nezakoniti pristup, presretanje, uplitanje u podatke ili sisteme, korienje ureaja (proizvodnja, prodaja, uvoz, distribucija), programa, pasvorda; dela vezana za kompjutere kod kojih su falsifikovanje i krae najtipiniji oblici napada; dela vezana za sadraje deija pornografija je najei sadraj koji se pojavljuje u ovoj grupi obuhvatajui posedovanje, distribuciju, transmisiju, uvanje ili injenje dostupnim i raspoloivim ovih materijala, njihova proizvodnja radi distribucije i obrada u kompjuterskom sistemu ili na nosiocu podataka; dela vezana za krenje autorskih i srodnih prava obuhvataju reprodukovanje i distribuciju neautorizovanih primeraka dela kompjuterskim sistemima.

Naravno, Konvencija pod kompjuterskim sistemom podrazumeva i kompjuterske mree. U Enciklopediji cyber kriminala navodi se da FBI i Nacionalni centar za kriminal belih kragni SAD ( National White Collar Crime Center ) otkrivaju i prate sledee oblike:

upade u kompjuterske mree; industrijsku pijunau; softversku pirateriju; deiju pornografiju; bombardovanje elektronskom potom; njukanje pasvorda; preruavanje jednog raunara da elektronski lii na drugi kako bi se moglo pristupiti sistemu koji je pod restrikcijama; i krau kreditnih kartica.

Zavisno od tipa poinjenih dela cyber kriminal moe biti: a) Politiki, koga ine:

cyber pijunaa; haking; cyber sabotaa; 11

cyber terorizam; cyber ratovanje.

b) Ekonomski:

cyber prevare; haking; kraa Internet usluga i vremena; piratstvo softvera, mikroipova i baza podataka; cyber industrijska pijunaa; prevarne Internet aukcije ( neisporuivanje proizvoda, lana prezentacija proizvoda, lana procena, nadgraivanje cene proizvoda, udruivanje radi postizanja vee cene, trgovina robom sa crnog trita, viestruke linosti).

c) Proizvodnja i distribucija nedozvoljenih i tetnih sadraja:

deija pornografija; pedofilija; verske sekte; irenje rasistikih, nacistikih i slinih ideja i stavova; zloupotreba ena i dece. Manipulacija zabranjenim proizvodima, supstancama i robama: drogom; ljudskim organima; orujem.

e) Povrede cyber privatnosti:

nadgledanje e-pote; spam phiching prislukivanje, snimanje priaonica praenje e-konferencija prikainjanje i analiza cookies.

Jasno je da veliki broj razliitih klasifikacija sam po sebi pokazuje raznovrsnost ovih dela i kompleksnost njihovih pojavnih oblika, ali i razliitost kriterijuma koji se koriste. U svakom sluaju to bi pored upada u kompjuterske sisteme i mree, pijunae, sabotae, piraterije, bombardovanja elektronske pote primanjem neeljenih poruka, njukanja pasvorda, preruavanja jednog raunara drugim, bili i virusi, odnosno njihova proizvodnja i distribuiranje, kao i ceo skup nedozvoljenih i tetnih sadraja od deije pornografije do rasturanja verskih, rasistikih i slinih sadraja. Posebno su brojna dela diseminacije nedozvoljene robe ili pruanje nedozvoljenih usluga. Tome treba dodati i cyber sabotae i terorizam, kao i krau Internet vremena, usluga, indentiteta, razne zloupotrebe kreditnih kartica. Ono to je nesporno je da je kompjuterski kriminal vie vezan za aktivnosti pojedinaca, a kriminal vezan za kompjuterske mree vie je delo grupa i to organizovanih, profesionalizovanih pa sve ee i strogo specijalizovanih (npr. grupa pod nazivom Phonemasters postala je poznata zbog uestalih napada na ameriki Nacionalni informacioni centar o kriminalu i zato to je pored Amerikanaca ukljuivala i Kanaane i vajcarce). Ove grupe su, s jedne strane, tradicionalne grupe 12

organizovanog kriminala koje su se usavrile i osavremenile primenom informaciono komunikacione tehnologije i pripremile za izlazak na cyber scenu. S druge strane, javljaju se i posebne organizovane cyber grupe - cyber mafija. Ova mafija ima svoja pravila, drugaiji nain ponaanja od konvencionalne mafije, kao to ima i specifino okruje. Njene aktivnosti su umnogome olakane specifinostima okruenja u kom deluju i oruja koja koriste. Okruenje je virtuelno, oruje je informaciono, a znanje je specijalizovano. Internacionalizam, transnacionalnost, multidimanzionalnost samo su neka od svojstava ovih grupa. Njihova organizaciona formula nije toliko jednostavna, ustaljena i jednoobrazna kao to je to sluaj sa drugim oblicima organizovanog kriminala to jo vie utvruje sliku njihove posebnosti. 6.

DIGITALNI DOKAZ

6.1. Digitalni kompjuterski dokaz Digitalni kompjuterski dokaz (DD) ini gomila posrednih stvarnih dokaza, od kojih se ni jedan ne sme iskljuiti iz bilo kog razloga. Dokazi moraju biti potpuni, da se meusobno dopunjuju (da su isprepleteni) i da nemaju tzv. pukotina za donoenje zakljuaka, odnosno za utvrivanje vrstog dokaza. Generalni IOCE principi rada DD harmonizaciju metoda i prakse meu nacijama koji garantuju prihvatljivost digitalnih dokaza u jednoj zemlji skupljenih u drugoj zemlji: Sudska praksa prihvata kompjuterski generisane i kompjuterski memorisane digitalne dokaze pod adekvatnim uslovima. Transformacija podataka iz serije kodiranih bita u sudski dokaz je apstraktan proces koji moe navesti sudiju i porotu da dovedu u pitanje autentinost i integritet kompjuterski generisanog dokaza. Treba da postoje procedure rukovanja i uvanja, kao i propis za skupljanje, akviziciju, i analizu digitalnih dokaza sa HD medija (ne smiju se podaci izmeniti, manipulisati ili otetiti) ni u jednom koraku istrage [8]. Najtee je dobiti dokaze bez tzv. pukotina koji potpuno pokrivaju zakljuke i objanjenja. U izgradnji vrstih (neoborivih) dokaza utvruje se: ta se stvarno desilo, ta je izgubljeno, koliki je iznos tete i da li se stvarno dogodio kriminalni akt. Pri tome se mora zadrati potpuna objektivnost. Kada se rekonstruie hipoteza o dogoaju, tada poinje prikupljanje dokaza. Dokaze treba prikupljati na mestu kompjuterskog kriminalnog dogoaja (sceni zloina), jer to moe biti jedini kontakt sa stvarnim dokazima. Treba raditi metodino, polako i sakupljati kljune stvari. Koristei zakljuke o dogoaju treba se vratiti na postavljenu hipotezu sa kritikim pogledom, odnosno postaviti sebi pitanje kako bi lino prihvatio te dokaze ako bi se nalazio na suprotnoj strani. Treba misliti o svakom razlogu: zato dokaz nije dobar, gde se izgubila neka vana injenica, kako nai dokaz koji popunjava prazninu, ta uraditi ako se pronae, itd. U ovoj fazi istrage jednako je vano dokazati kao i opovrgnuti dokaz. Zajednika odbrana u svim kompjuterskim ekscesnim situacijama je najee teza da se dogaaj nikada nije dogodio, da je to samo normalna kompjuterska anomalija i.t.d. Dakle, treba sakupljati sve posredne dokaze sa lica mesta, ne samo to digitalni forenziar misli da treba, nego i sve ono to moe potencijalno indicirati ta se stvarno desilo. U procesu akvizicije digitalnih dokaza, treba generalno snimiti listu datoteka i logova kao dokaze, ak i bez ikakve ideje ta se stvarno dogodilo. Treba imati u dokaznom materijalu svaku datoteku koja potencijalno moe sadravati 13

dokaz, pre nego to ista nestane ili bude promenjen. Nakon inicijalne istrage (bez zaplene raunara), treba se okrenuti prvobitnoj hipotezi i dograditi je detaljnije sa prikupljenim dokazima. Velika je verovatnoa da je proputen neki vaan dokaz, to je dobar argument da se kompjuter zapleni dok traje istraga (to nije uvek lako). Svaki posredni dokaz, koji zajedno ine dokazni materijal, treba tretirati kao da direktno vodi ka nepobitnom dokazivanju izvrene kriminalne radnje i kao da su svi jednako vani i kritini za konkretni sluaj. Tek tada poinje proces izgradnje dokaza bez tzv. pukotina, odnosno, izgradnja neoborivog dokaza. Potrebno je, dakle, mnogo posrednog dokaznog materijala za jedan mali vrsti dokaz. Tri su osnovne kategorije digitalnih podataka koji mogu initi DD u komjuterskom incidentu: Prelazni podaci ili informacije koje se gube nakon iskljuivanja raunara, kao to su veze sa otvorenom radnom memorijom, rezidentni memorijski programi i.t.d. Ovi podaci se mogu izgubiti u toku procesa iskljuivanja raunara. Otuda je veoma vano do kraja precizno sprovoditi proceduru akvizicije. Pre iskljuivanja raunara treba odmah ispitati, locirati i izvui osetljive i ifrovane podatke, jer se moe desiti da se posle iskljuivanja ne moe doi do njih (npr. vlasnik kljua ili smart kartice za pristup je nekooperativan ili mrtav, itd.). Osetljivi podaci ili podaci uskladiteni na hard disku (HD) koji se lako mogu izmeniti, kao to je, npr. poslednje vreme pristupa login datoteci i.t.d. Privremeno pristupani podaci ili podaci uskladiteni na HD kojima se moe pristupiti samo u odreeno vreme (npr. ifrovani podaci).

6.2. Upravljanje digitalnim dokazima Upravljanje digitalnim dokazima koje obuhvata sakupljanje, prenos, analizu i uvanje, zahteva posebnu diskusiju. Dokazi se uvaju tokom itavog lanca istrage, voenja procesa, dokaznog postupka, suenja i presude (chain of custody), to znai da je dokaz u posedu suda od trenutka akvizicije do zavretka suenja. Prikupljeni dokaz se mora uvati od tetnih uticaja koji mogu dovesti do oteenja: toplote, hladnoe, vode, elektromagnetnog dejstva i.t.d.). Svaku datoteku treba bekapovati' i uskladititi sa digitalnim potpisom (DS), n.p.r. CRCMD51, koji kreira siguran he (hash). Sud moe prihvatiti digitalno potpisan (heiran) dokaz kao orginalan, jer svaka izmena datoteke unitava he koji je digitalni peat potpisa, to se lako utvruje poreenjem. Dobro je memorisati digitalni potpis u tekst podataka DD, sve ifrovati i tako uskladititi i uvati [8].

1

CRCMD5 NTI standardni digitalni potpis

14

U oblasti korporacijske i zvanine istrage kompjuterskog incidenta, ne samo da svedoci i eksperti moraju biti pouzdani, nego i softverski i hardverski alati za forenziku akviziciju i analizu DD. Naelno, softverski i hardverski forenziki alati, programi za praenje saobraaja i detekciju upada u radnu memoriju treba da budu namenski, komercijalno dostupni proizvodi sa sertifikatom o pouzdanosti za ovu vrstu poslova. Tako n.p.r. DD sakupljeni na ilegalan nain (n.p.r. bez upotrebe pouzdanih i sertifikovanih forenzikih alata) mogu biti problematini ili odbaeni od strane suda. Zato treba dokazati da stavljanje snifera2 na mreu nije namenjeno za prislukivanje privatnih lica i ugroavanje njihovih ljudskih prava, nego za dokazivanje upada neovlaenog lica u IKT sistem. Digitalni dokaz podrazumeva da postoji pravo vlasnitva nad IKT sistemom, datotekama i programima koji su oteeni. Drugim reima, ako se ne moe dokazati da je neto lino (privatno), onda se ne moe ni optuiti neko da je to ukrao, otetio i/ili izmenio. Prava vlasnitva u IKT sistemima uspostavljaju se primenom, tajnih lozinki, mehanizama kriptozatite i drugih mehanizama za kontrolu pristupa, skrivenih datoteka, raznih upozorenja, koja sugeriu da je to vlasnitvo i da bez eksplicitne dozvole vlasnika nema pristupa. U dokazivanju kompjuterskog incidenta najbolje je doi do osumnjienog raunara, a kako to esto nije mogue onda barem do fizike (miror) slike njegovog hard diska (HD). Na osnovu te slike treba formirati ispitni HD na forenzikom (ispitnom) raunaru, koji mora biti pouzdan fiziki duplikat HD raunara osumnjienog. Ako inicijalna istraga unutar funkcionalnog sistema (zatvorene raunarske mree) utvrdi da je napad doao izvan tog sistema i ako menader ili vlasnik sistema donesu takvu odluku, onda se u toj taki moraju angaovati zvanini organi istrage, da bi se dobio nalog suda za pretres i zaplenu osumnjienog raunara, radi akvizicije digitalnih dokaza. Ako je napad doao iz druge organizacije (u istoj dravi), treba doi do lokalnog administratora IKT sistema te organizacije i sa njim nastaviti istrani postupak. Osumnjieni raunar obavezno treba zatititi od kompromitacije (izmene), kad god se doe do njega. 6.3. Procedura sakupljanja posrednih kompjuterskih dokaza U procesu akvizicije koja obuhvata otkrivanje, identifikaciju, izvlaenje i sakupljanje digitalnih kompjuterskih dokaza, samo supljanje DD zaokruuje se kroz vie aktivnosti. Ozbiljnija procedura skupljanja DD treba da obuhvati najmanje sledee aktivnosti: 1. Sakupljati sve podatke koji podravaju osnovnu hipotezu o tome kako je dolo do kompjuterskog incidenta, odakle je napad potekao i ta je uraeno na napadnutom raunaru. 2. Sakupiti sve podatke koji su kontradiktorni postavljenoj hipotezi, da bi se podralo dato objanjenje ili lake suprotstavilo argumentima druge strane u sporu. U veini sluajeva, posebno u kriminalistikoj proceduri, treba imati na umu da obe strane ele da otkriju i podnesu neoborive dokaze. 3. Sakupiti sve pokretne medije (diskete, CD ROM, ...) otkrivene na lokaciji osumnjienog raunara i analizirati ih. Ta analiza moe se vriti pomou programa za analizu pokretnih medija (npr. Sydex Anadisk za2

snifer ureaj za praenje rada osumnjienog u informacionom sistemu

15

4. 5. 6.

7.

8.

9.

10.

11.

diskete). Takoe se moraju sakupiti svi tampani materijali, rukopisi, zabeleke i dr., koji mogu ukazati na rasvetljavanje spornog dogaaja. Napraviti skice ili fotografisati osumnjieni raunar i sve periferne ureaje; sauvati i oznaiti sve periferne ureaje i kablove radi ponovne montae u forenzikoj laboratoriji. Ako postoje matrini ili impakt printeri, ukloniti ribon i staviti novi; orginalni ribon ispitati kao dokazni materijal; ako postoji displej na kompjuterskom ekranu, fotografisati ga. Iskljuivanje osumnienog raunara je posebno osetljiva operacija. Zavisno od operativnog sistema (OS), postoje dve mogunosti: ispitivani raunar se moe iskljuiti na klasian nain bez straha da e se izbrisati dokazi o upadu, ili se ne sme iskljuivati, jer bi se iskljuivanjem mogli unititi dokazi o upadu (ako se Unix maine ne iskljue propisno moe doi do oteenja datoteka). Meutim, u ovim sistemima se pak lako kreiraju boby zamke za unitavanje datoteka sa dokazima, ako se raunar iskljuuje po propisu. Zato uvek postoji dilema da li raunar iskljuiti propisno i spreiti unitavanje nekih datoteka, ili ga iskljuiti nepropisno ime se omoguava aktiviranje boby zamke koja moe da uniti dokaze. Kako e postupiti u konkretnom sluaju, to sam istrani organ mora proceniti. U ovom sluaju najbolje je koristiti pomo sudskog vetaka, eksperta za IKT, odnosno specijaliste za dati OS i platformu, kome se mora dobro objasniti legalni aspekt zahteva za zatitu integriteta DD. Ako je sigurno da postoji ugraena zamka, najbolje je raunar jednostavno iskljuiti iz mree, uz rizik da e biti unitene neke datoteke. Naravno, neki raunari tako ne mogu da se iskljue (mainframe i mikrokompjuteri). Zato je potrebno angaovanje eksperta za IKT, koji treba da onesposobi svaku logiku bombu sakrivenu u napadnutom raunaru. Za rebutiranje ispitivanog raunara nikada ne treba koristiti njegov OS i interpretator komandi (tastaturu). Raunar treba butirati sa butabilnog diska, koji je fiziki zatien od upisivanja, ime se spreava unoenje virusa ili sa CD ROMa koji je fizika slika OS. Kada se zavri rebutiranje sistema, prvo se uzima fizika slika OS i HDa (alatom tipa Drivespay ili Image), zatim se sakupljaju drugi dokazi i preliminarno analiziraju. Najbolji nain za skladitenje miror slike HD je optiki disk (CD), jer je otporan na oteenja usled elektromagnetnih zraenja iz okruenja, tj. ne moe se brisati (osim ako je rewritable tipa), a moe se lako kopirati. Zaplenjeni osumnjieni raunar sa svim pokretnim medijima, uskladititi na bezbedno mesto, zatieno od uticaja okoline, posebno elektromagnetnih polja i obezbediti od neovlaenog pristupa, jer se vetak mora zakleti na sudu da dokazni materijal nije bio dostupan neovlaenim licima. Za razliku od pisanog dokaza, DD esto moe egzistirati u razliitim formatima ranijih verzija, koje su jo dostupne na HD. Poznavanjem lokacija njihovog postojanja i korienjem adekvatnih alata za forenziku akviziciju, ak i izmenjeni formati istih podataka mogu se lako otkriti. Proces akvizicije najbolje poznaje iskusni ekspert za IKT, koji bre otkriva mogue dokaze. Osim toga, u sluaju preliminarnog ispitivanja i identifikacije DD na licu mesta, kada se raunar iz nekog razloga ne zaplenjuje u cilju istrage, niti se pravi forenzina kopija HD, ekspert za IKT 16

12.

bre identifikuje skrivena, nelocirana i izbrisana mesta koja treba gledati, znake koje treba traiti i dodatne izvore informacija za relevantne dokaze. Dodatni izvori informacija mogu biti raniji formati datoteka podataka (npr.u Memos, Spreadsheets, ..) koje postoje na HD, ili u bekap mediju, ili razliito formatirane verzije podataka (npr. .templets, .doc, .pdf i sl.), bilo da su tako namerno formirane ili su tretirane drugim aplikativnim programima (npr. Word processing, spreadsheet, e-mail, timeline, sheduling, graphic). Zatita integriteta dokaza je kritina faza. Iskusan ekspert za IKT mora obezbediti: da ni jedan mogui dokaz ne bude oteen, uniten ili kompromitovan na neki nain sa procedurom forenzike akvizicije i analize raunara, da se ni jedan mogui kompjuterski virus ne sme ubaciti u ispitivani raunar u toku procesa akvizicije i analize, da se sa izuzetim i potencijalno relevantnim dokazima propisno manipulie i da se isti tite od eventualnih mehanikih ili EM oteenja, da se uspostavi neprekidni lanac uvanja i odravanja integriteta dokaza, da funkcionalni aspekt bude ugroen to je mogue krae vreme, ili nikako, da se dobije bilo koja potrebna informacija u toku forenzike akvizicije i analize, od kljijenta ili advokata koji su prema etikom kodeksu duni pruiti sve neophodne informacije forenzikom ekspertu za IKT.

7. RAZVOJ, ORGANIZACIJA I STANDARDI7.1. Kratak pregled razvoja forenzike analize digitalnih dokaza FBI3 je 1984 poela razvoj laboratorije i programa za ispitivanje kompjuterskih dokaza koji je izrastao u jedinstveni CART (Computer Analysis and Response Team) tim, kasnije formiran u mnogim organizacijama u SAD. Danas je trend da se forenzika analiza raunara vri u dobro opremljenoj laboratoriji. Ipak, u SAD oko 70% osposobljenih zvaninih agencija rade ovaj posao bez prirunika i procedura za taj rad. Takoe se sve ee zahteva promena naziva Jedinice za kompjutersku forenziku analizu na Jedinicu za digitalne dokaze. Pojavom digitalnog videa i audia uveden je pojam digitalnih dokaza. IOCE (Internatuional Organization on Computer Evidence) je formirana 1997. TWGDE (Technical Working Group for Digital Evidence )odrava prvi sastanak 17.juna 1998. sa ciljem razvoja organizacionih procedura i relevantnih dokumenata. Federalna kriminalistika laboratorija SAD je formirala februara 1999. SWGDE (Scientific Working Group for Digital Evidence), odnosno, TWGDE je promenila ime u SWGDE (Scientific Working Group for Digital Evidence), koja se sastaje najmanje 1 godinje. lanovi SWGDE mogu biti zakleti (zvanini organi) i nezakleti eksperti (naunici). FBI je sponzorisala SWGIT (Scientific Working Group in Imagging Technologies). Glavna misija SWGIT je da olaka integraciju tehnologije i sistema za digitalnu obradu slike u pravosudni sistem, obezbeujui definicije i preporuke za akviziciju, skladitenje, procesiranje, analizu, prenos i izlazni format slika.3

FBI-Federal Bureau of Investigation, USA

17

U poetku je koncept pronalaenja latentnog-skrivenog dokaza u kompjuteru nazvan kompjuterskom forenzikom analizom. Metodologija i tehnologija kompjuterske forenzike analize obezbeuju pouzdano uvanje digitalnih podataka, oporavak izbrisanih podataka, rekonstrukciju kompjuterskih dogoaja, odvraanje napadaa, generisanje dobrih forenzikih alata i procedura za podrku. Kompjuterska forenzika analiza primenjuje se u sluajevima: hakerskog upada, kompjuterskih pronevera, pedofilskog kruga, imigracione prevare, trgovine drogom, falsifikovanja kreditnih kartica, piraterije softvera, izbora preko Interneta, distribucije obscenih publikacija, falsifikata, ubistava, seksualnog uznemiravanja, krae podataka-industrijske pijunae, razvoda i sl. 7.2. Standardizacija procedura forenzike istrage i analize digitalnih dokaza SWGDE (SAD) dala je predlog standarda za razmenu digitalnih dokaza (DE-Digital Evidence) izmeu suverenih entiteta. Digitalizacijom audia, videa i fotografije dolazi do ubrzane konvergencije pomenutih tehnologija i integracije u raunaru. Tako termin kompjuterski digitalni dokaz evoluira u digitalni dokaz (DD). Posledica globalizacije koju vre IKT je da se poinioc kompjuterskog incidenta javlja u jednom pravosudnom sistemu, a DD se dobija iz drugog pravosudnog sistema. Zato su standardi, principi, kriterijumi i procedure glavni markeri pravnog i tehnokog aspekta razmene DD. Nacrt dokumenta Predloga Standarda DD ima tri dela: uvod, definicije i standarde (principe i kriterijume) i diskusiju (ovaj format je usklaen sa zvaninim Uputstvom u SAD - American Society of Crime Laboratory Directors/Laboratory Accreditation Board Manual), a sadri definicije termina, standarda i principa kojih se treba pridravati u radu sa digitalnim dokazima [22].

7.2.1. Preopruke IOCE za upravljanje digitalnim dokazimaDanas u svetu postoji itav niz preporuka, izmeu ostalih i preporuke IOCE, kojima se definiu postupci sa prikupljenim i obraenim dokaznim materijalom. Preporuke IOCE sastoje se u sledeem [22]: a. Za uvanje originalnih (miror) snimaka digitalnih dokaza nisu prihvatljivi sledei medijumi: instant film paket, indekt printeri, ink printeri, termalni votano papirni printeri, dye sublimacioni printeri, suvo srebreni printeri, laserski printeri i elektrostatiki printeri. b. Za uvanje originalnih snimaka digitalnih dokaza prihvatljivi su, zbog kvaliteta, trajnosti i pouzdanosti sledei medijumi: klasini filmovi na bazi srebro oksida, CD ROM za jedno upisivanje (non RW) i DVD. c. Za uvanje originalnih snimaka DD mogu se koristiti, uz kontrolu eventualnih gubitaka podataka, sledei medijumi: odvojeno razvijen instant film, fotografski print, diskete, magnetske trake, fiksni HD, prenosni magnetni mediji, kompakt fle medij, PC kartice, smart kartice, prenosni magnetnooptiki drajvovi i magnetno optiki drajvovi za jedno upisivanje. d. Za uvanja originala i procesiranje nakon akvizicije mogu se koristiti: film na kome se moe procesirati original (ako proces nije destruktivan), analogni video se preporuuje za minimalno procesiranje originala, (da bi se izbegla degradacija 18

signala. Ako za procesiranje treba koristiti original, mora se napraviti kopija pre procesiranja i analize), digitalni format za koji je potrebno za procesiranje napraviti miror duplikat (fiziku sliku) i koristi ga kao radnu verziju. e. Dokumentacija za procesiranja slike mora biti precizna, detaljna, neporeciva i napravljena na poverljivom sistemu. f. Verifikacija originala i procesiranih slika mora biti obavezna i da nepobitno potvruje da nije bilo povrede integriteta originalnih digitalnih dokaza. g. uvanje originala u lancu istrage je stroga obaveza u celom lancu od pokretanja istrage i otkrivanja dokaza do svedoenja na sudu. Ova procedura mora se administartivno propisati u svakom pravosudnom sistemu. Takoe mora postojati zakonska obaveza svakog pojedinca koji doe u kontakt sa originalnim DD u istranom, dokaznom i pretresnom postupku, da uva dokaz od izmene, oteenja ili brisanja (nestanka).

7.2.2.1 Principi upravljanja digitalnim dokazima IOCE preporuuje (1998) sledee opte principe rada sa DD: Proces akvizicije DD ne sme da unosi nikakvu izmenu tih DD; Pristupanje originalnom DD, ako je potrebno, moe se dopustiti samo kompetentnom licu u oblasti digitalne forenzike; Sve aktivnosti koje se odnose na akviziciju, pristup, skladitenje ili transfer DD moraju biti potpuno dokumentovane, sauvane i raspoloive za pregled; Svako lice je odgovorno za sve aktivnosti preduzete prema DD, dok su u njegovom posedu; Svaka agencija koja vri akviziciju, pristup, skladitenje ili prenos DD odgovorna je za usklaenost svoje prakse sa ovim principima. Da bi se osigurala bezbedna akvizicija (otkrivanje, fiksiranje i izvlaenje), upravljanje (skupljanje, uvanje i prenos) i forenzika analiza DD i da bi se sauvale nepromenljivost i pouzdanost dokaza, zvanini istrani organi i privatne institucije za forenziku analizu digitalnih dokaza, moraju uspostaviti i odravati efikasni sistem kontrole kvaliteta. Standardna radna procedura (SOPStandard Operation Procedure) je dokumentovano uputstvo za kontrolu kvaliteta celokupnog postupka istrage, akvizicije, upravljanja i forenzike analize digitalnih dokaza. SOP mora obuhvatiti propisno registrovanje svih aktivnosti istrage kompjuterskog incidenta, kao i korienje drugih, u kriminalistici iroko prihvaenih procedura, tehnika, opreme i materijala. Kada se formuliu SOP-e treba obuhvatiati sledee elemente: Naslov opisno ime za proceduru; Namena zato, kada i ko koristi proceduru; Oprema/materijal/Standardi/kontrole- identifikuje ta se sve zahteva za izvravanje procedure, ukljuujui opremu za zatitu, hardver, softver i konfigurisanje; Tok procedure opis korak-po-korak kaoko se procedura izvodi. Ako je neophodno treba ukljuiti mere opreza koje treba preduzeti da se minimizira degradacija DE;

19

Kalibracija opisuje svaki korak koji se zahteva za osiguranje tanosti i pouzdanosti procedure. Gde je primenjivo, treba dokumentovati podeavanje instrumenata i kalibracionu proceduru; Kalkulacija- opisuje bilo koju matematiku operaciju koja je primenjena u proceduri; Ogranienja opisuje sve akcije, interpretacije, ili opremu koja nije odgovarajua za proceduru; Bezbednost- identifikuje i adresira potencijalne opasnosti kod korienja procedure; Reference- identifikuje dokumenta, interna i eksterna za agenciju koja se koristi, koja se odnose na procedure i principe iza njih. Standardi i kriterijumi

7.2.3.2

Standardi i kriterijumi 1.1: Sve agencije koje zaplenjuju i/ili ispituju digitalnu opremu moraju voditi i odravati odgovarajui SOP dokument, potpisan od strane ovlaenog lica i koji sadri jasno definisane sve elemente politike i procedura. SOP mora biti obavezna za zvanine i druge forenzike organe zbog prihvatanja rezultata i zakljuaka na sudu. Standardi i kriterijumi 1.2: Zbog brzih tehnoloki promena, uprava agencije mora revidirati SOP barem jedanput godinje da bi obezbedila neprekidnost efikasnosti i pogodnosti za primenu. Standardi i kriterijumi 1.3: Koriene procedure u oblasti forenzike analize DD moraju biti generalno prihvaene i da akviziciju, analizu i uvanje DD podravaju naune metode. U izboru metoda evaluacije i naune vrednosti tehnika i procedura mora se biti fleksibilan. Validnost procedure treba uspostavljati demonstriranjem tanosti i pouzdanosti specifine tehnike (korisna je javna nauna i struna rasprava). Standardi i kriterijumi 1.4: Agencija mora posedovati pisanu kopiju odgovarajuih tehnikih procedura koje koristi u radu. Potrebni hardverski i softverski elementi alata moraju biti navedeni u spisku uz opis propisanih koraka za upotrebu i jasno navedena sva ogranienja upotrebe forenzikih tehnika i alata. Lica koja primenjuju procedure moraju biti dobro upoznata sa njima i dobro obuena za rad sa korienim alatima. Standardi i kriterijumi 1.5: Agencija mora koristiti adekvatne hardverske i softverske alate koji su efikasni za realizaciju procedura akvizicije i/ili analize digitalnih dokaza. Treba biti dovoljno fleksibilan u pogledu raznovrsnosti izbora metoda koje su najbolje za konkretni problem. Hardverski i softverski alati za akviziciju i/ili analizu digitalnih dokaza moraju biti testirani i sa vaeim sertifikatom o verifikaciji funkcionalnog kvaliteta nadlene nacionalne institucije i moraju biti u dobrom radnom stanju. Standardi i kriterijumi 1.6: Sve aktivnosti koje se odnose na akviziciju (ukljuujui zaplenu), skladitenje, ispitivanje i prenos digitalnih dokaza moraju biti registrovane u pisanoj formi i na raspolaganju za pregled i svedoenje. Generalno dokumentacija 20

koja podrava zakljuke forenzike analize moraju biti tako pripremljeni da ih drugo kompetentno lice moe izneti i u odsustvu orginalnog autora. Mora se uspostaviti i odravati lanac uvanja dokaza za sve DE. Stalno se moraju voditi pisane zabeleke i zapaanja o sluaju (mastilom ili dijagrami u kolor hemijskoj olovci) sa inicijalima autora kod svake korekcije (precrtane jednom crtom). Svaka zabeleka mora biti lino potpisana, sa inicijalima ili DS (digitalnim potpisom) ili drugom identifikacionom oznakom autora. Standardi i kriterijumi 1.7: Bilo koja akcija koja ima potencijal da izmeni, oteti ili uniti bilo koji aspekt originalnog dokaza mora se izvravati od strane kvalifikovanog lica na forenziki ispravan nain. Svaki nain mora biti potvreno taan, pouzdan i kontrolabilan. Obueno forenziko osoblje mora koristiti kvalitetne forenzike programe i odgovarajuu opremu.

Standard prihvatljivosti procedure: Poto veina procedura nije objavljena, nisu podvrgnute javnoj raspravi niti su generalno prihvaene. Forenziki softverski alati sa otvorenim izvornim kodom imaju objavljene procedure, pa se preporuuju kao alati po izabru forenziara.

7.2.4.2 Standardna procedura naunog dokaza Standardna procedura nauno priznatog dokaza, prihvaena u pravosudnom sistemu SAD (Daubert Gudlines) sadri sledee kriterijume: Da procedura izvoenja dokaza moe biti testirana (verifikovana); Da je poznat stepen greaka procedure; Da je procedura objavljena (u peer-rewieved vrhunskim viestruko recenziranim naunim asopisima, jer konferencijski radovi nisu dovoljni); Da je procedura prihvaena u relevantnim naunim krugovima. Do danas je vie forenzikih alata za digitalnu forenziku analizu usklaeno sa ovim standardom.

7.2.5. Standardna procedura testiranja alata za forenziku analizu digitalnihdokaza Do sada ne postoji opte prihvaena, jedinstvena standardna procedura za testiranje alata za forenziku analizu digitalnih podataka. NIST CFTT (NIST Computer Forensic Tool Testing) grupa je razvila metodologiju samo za uzimanje miror slike diska. Procedura uzimanja miror slike diska sadri samo testiranje koje verifikuje funkcije softverskog alata, a ne podrazumeva kontrolu izvornog koda. Zbog mogunosti kontrole koda, alati sa otvorenim izvornim kodom omoguavaju bolje testiranje osnovnih funkcija i razvoj efikasnijih testova. Do sada nema objavljenog predloga za proraun stepena greaka hw/softverskih alata za digitalnu forenziku analizu. Zbog komercijalnih razloga u najboljem interesu proizvoaa alata je da je ova greka to je mogue manja. Stepen greaka treba da ukljuuje greke u programiranju ili bagove. Aplikacije alata sa zatvorenim izvornim 21

kodom mogu kriti neobjavljene bagove, koji nisu dokumentovani uz sledeu verziju proizvoda (pa ostaju nepoznati). Aplikacije alata sa otvorenim izvornim kodom moguavaju poreenje dve verzije i otkrivanje eventualnih bagova u prethodnoj. 7.2.6. Legalni zahtevi za digitalne dokaze

Oblast forenzike analize digitalnih dokaza je jo u razvoju. Nije poznato niti pouzdano utvreno da li se kao digitalni dokaz treba smatrati nauni dokaz ili izlazni rezultat automatizovanog forenzikog alata. Bez obzira na ovakvo stanje, moraju biti zadovoljeni neki zahtevi da bi se ulazni podatak smatrao prihvatljivim digitalnim dokazom. Nauni digitalni dokaz mora biti i relevantan i pouzdan. Pouzdanost naunog dokaza se pokazuje primenom standarda koji zahteva da se dokazni postupak (procedura) moe testirati, verifikovati i da je nauno priznat.

7.2.7.1

Problemi u oblasti digitalne forenzike analize

Haos u sertifikaciji eksperata za forenziku analizu DD moe se razreiti samo ako se primene konzistentni principi na sve oblasti DD za sudsku praksu. Profesionalna sertifikacija treba da bude internacionalno pitanje. Moraju postojati univerzalne mere za ocenu individualne kompetentnosti i ekspertize. Tehnologija zahteva generisanje standarda i protokola, koji pak zahtevaju obuku i edukaciju koje se pretau u proces sertifikacije. Nacionalni centri za sertifikacije moraju biti blisko korelisani sa internacionalnim telima za sertifikacije u ovoj oblasti.

8. FORENZIKA ANALIZA RAUNARAPojam kompromitovanog raunara najee se odnosi na napadnuti raunar (rtvu), ali, za potrebe forenzike analize zavisno od konteksta, moe obuhvatati izvorni, napadnuti ili posredni raunar, jer je u praksi akvizicije digitalnih dokaza esto neophodno izvriti forenziku analizu raunara sa kojeg je izvren napad, napadnutog raunara i nekog od posrednih raunara (na primer preko ijeg naloga je napada uao u sistem).

8.1. Definicije forenzike analize digitalnih dokazaDigitalna forenzika nauka je korienje nauno deriviranih i dokazanih metoda za identifikaciju, skupljanje, vrednovanje, analizu, interpretaciju, dokumentaciju, vetaenje, uvanje i rukovanje DD sa ciljem olakavanja ili unapreivanja rekonstrukcije dogoaja prepoznatog kao kriminalni akt, ili pomoi za prepoznavanje neovlaenih akcija koje ometaju planirane operacije. Nakon skupljanja, izvlaenja i validacije podataka sa osumnjienog raunara, koriste se forenziki alati za identifikaciju i analizu digitalnih podataka. U fazi akvizicije i analize podaci se ispituju radi identifikacije upotrebne vrednosti za izgradnju neoborivog, vrstog DD.

22

Forenzika analize DD je analiza ostataka kompjuterskog incidenta oteenog ili korumpiranog raunara, podataka i mrea, pomou skupa tehnika koje su analogne patolokom ispitivanju lea ubijenog, a vri se za pravosudne potrebe. U optem sluaju forenzika analize DD je analiza digitalnih podataka radi otkrivanja dokaza u sluajevima [10]: kriminalnog akta kompjuterskog incidenta, povrede korporacijske politike zatite informacija i prikupljanja obavetajnih podataka o neprijatelju putem IKT sistema. Forenzika analiza DD, ili digitalna forenzika generalno ima za cilj da identifikuje DD u istranom postupku kompjuterskog incidenta i olaka ili unapredi rekonstrukciju dogoaja u istranom postupku. Istraga kompjuterskog incidenta koristi fizike i DD, dobijene primenom strogih nauno deriviranih metoda za donoenje zakljuaka. 8.2. Procedura forenzike analize digitalnih dokaza Procedura forenzike analize DD sadri sledee osnovne aktivnosti: Fiksiranje scene kompjuterskog incidenta (formalna procedura istrage klasinog kriminala, skiciranje scene, foto i video snimanje); Odravanje integriteta (neizmenjivosti) DD u svim fazama istrage: kontrolisano kopiranje, kontrolisano tampanje, voenje zabeleki o izjavama svedoka; Autentinost, tanost, kompletnost i prihvatljivost analize koja obezbeuje: ponovljivost, nezavisnu proveru/kontrolu, dobro definisanu proceduru, listu kontrolnih taaka, priznat nauni metod od strane pravosua, otpornost na kritiku i unakrsno ispitivanje. U optem sluaju forenzika analiza DD ima tri glavne faze: akviziciju digitalnih dokaza, analizu digitalnih dokaza pripremu i prezentaciju rezultata pravosudnim/drugim organima. 8.3. Procedura akvizicije digitalnih dokaza Forenziki analitiar kompjuterskih dokaza (digitalni forenziar) preduzima nekoliko koraka u procesu akvizivcijeotkrivanja, identifikacije i izvlaenja moguih DD iz raunara: zatiuje predmetni raunarski sistem od bilo koje izmene, oteenja, korupcije podataka ili unoenja virusa u toku forenzike analize, otkriva sve datoteke na predmetnom sistemu, ukljuujui postojee, izbrisane koje jo postoje, skrivene, zatiene pasvordom i ifrovane, oporavlja sve (ili to je mogue vie) otkrivenih izbrisanih datoteka, otkriva skriveni sadraj (koliko je god mogue vie) privremenih ili swap datoteka, koje koriste aplikativni programi i OS, pristupa (ako je mogue i zakonski dozvoljeno) sadraju zatienih i ifrovanih datoteka, sakuplja sve mogue relevantne podatke pronaene u tipino nepristupanim zonama HD (nelocirani prostori na disku, koji nisu u tekuoj upotrebi, ali su mogua skladite ranijih pdataka koji mogu biti relevantni dokazi i slack prostor u datoteci, preostala zona na kraju datoteke u poslednjem oznaenom klasteru 23

diska kojeg tekua datoteka ne koristi, ali opet moe biti moguer mesto odlaganja prethodno kreiranih i relevantnih dokaza). tampa sve skupljene podatke predmetnog raunara (ako nisu obimni), kao i listing svih moguih relevantnih dostupnih i otkrivenih datoteka, daje miljenje o konfiguraciji sistema, strukturi otkrivenih datoteka, svakom otkrivenom podatku i linim zapaanjma o svakom pokuaju skrivanja, brisanja, zatite i ifrovanja informacija i svemu drugom to je otkriveno u procesu akvizicije, a ini se da je relevantno za kompletnu forenziku analizu raunarskog sistema i obezebuje ekspertske konsultantske usluge, svedoenje i/ili vetaenje, ako se to zahteva. 8.4. Akvizicaija digitalnih dokaza Akvizicija digitalnih podataka je prva glavna faza digitalne forenzike analize. Ona je analogna uzimanju otiska prsta. Akvizicija digitalnih dokaza je proces otkrivanja, identifikacije i izvlaenja digitalnih podataka za potrebe forenzike analize DD. Generalno, potrebno je uzeti tanu kopiju svakog medija (HD, CD, FD, memorija) i memorisati je na poverljiv (forenziki sterilan) disk. Ako je mogue treba snimiti sve locirane i nelocirane podatke sa kompromitovanog raunara. Kao u svakom istranom postupku, da bi se otkrila istina moraju se identifikovati podaci koji: verifikuju postojee podatke i teorije (optuujui dokazi) i kontradiktorni podaci postojeim optuujuim podacima i teoriji (oslobaajui dokazi).

8.5 . Forenzika analiza digitalnih dokazaGlavne kategorije procesa digitalne forenzke analize mogu se definisati i korienjem koncepta apstrakcionih slojeva, za razliku od ranijih definicija koje su zavisile od strunosti i znanja forenzikog analitiara [25]. Analiza fizikih medija, sloja koji prevodi digitalne podatke za uobiajeno skladitenje u raunaru, preko korisnikog interfejsa. Primer: IDE, SCSI HD u kojima su bajtovi granini sloj. Primer: HD, kompakt fle memorija, memorijski ip. Analiza ovog sloja ukljuuje procesiranje uobiajenog lejauta raunara i ak oporavak izbrisanih podataka kada su prepisani. Analiza menadmenta medija, odnosi se na sloj apstrakcije koji organizuje medije za skladitenje. Granini sloj je druga kolekcija bajtova sa medija. Primeri ovog sloja ukljuuju delenje HD u particije, organizovanje multiplikativnog diska u volumene i integrisanje multiplikativnih memorijskih ipova u memorijski prostor. Ovaj sloj moda ne postoji u svim tipovima medija, na primer, baza podataka moe pristupiti celom HD bez kreiranja particija. Analiza sistema datoteka, sloja apstrakcije koji prevodi bajtove i sektore iz particija HD u direktorije i datoteke. Granini sloj je sadraj datoteka. Analiza u ovom sloju 24

ukljuuje posmatranje direktorija i sadraja datoteka i oporavljenih izbrisanih datoteka. Analiza aplikativnog sloja apstrakcije, koji prevodi podatke, tipino uzete iz sistema datoteka u korisniki iskoristive dokazne podatke (na primer, tampani materijal teksta, dijagrama i sl.). Forenzika analiza komjuterskih digitalnih dokaza generalno se deli u tri glavne oblasti: forenziku analizu softvera, forenziku analizu raunara i forenziku analizu kibernetikog prostora (raunarskih mrea).

8.6. Forenzika analiza softveraNajosetljiviji deo forenzike analize raunara, uglavnom visoko teoretski, je analiza softvera. Izrada softverski forenzikih alata za forenziku analizu softvera je teak i sloen posao, [6]. Klju za identifikaciju autora osumnjienog koda (SW) je selekcija odgovarajueg korpusa koda i identifikacija odgovarajuih karaktersitika za uporeivanje [23]: Oigledan problem je to autori preduzimaju velike mere da sakriju svoj stil; Drugi manje vidljiv problem forenzike analize softvera je to izvorni kd analiziranog softvera nije raspoloiv (poznat). Ako se primeni inverzni inenjering sa izvornim kdom kompajlera, moe se rekonstruisati izvorni kd programa. Meutim, na njega utie kompajlerski kd, koji u inverznoj rekonstrukciji vraa samo jedan programski kd, koji ne mora obavezno biti pravi. Naime, isti kd otkriven za vreme dekompajliranja moe imati bilo koji od nekoliko razliitih orginalnih izvornih instrukcija; Ipak postoje karakteristike u izvrnom kdu koje mogu biti korisne za analitiara. Na primer: struktura podataka i algoritmi mogu biti jedinstveni za nekog programera i mogu sugerisati identitet, ako se posmatraju zajedno sa drugim faktorima istrage; Informacije o korienom kompajleru i izvornom sistemu mogu biti umetnute u kompajlerski kd. Programerske greke takoe mogu biti konzistentne i individualne su, pa ukazuju na identitet programera; Raspoloivost orginalnog izvornog kda programa je od presudnog znaaja i korisniji od kompajlerskog izvornog kda. Neke od identifikacionih karakteristika su [23]: selektirani jezik, metod formatiranja, comment stil, imena varijabli, spelovanje i gramatika, korienje karakteristika jezika, izvrni putevi, bagovi i dr.; Obino kiber-pankeri dodaju pseudonime i druge komentare u svoj kd, to profesionalci ne ine. Pisci virusa obino spadaju u kiber-pankere, dok pisci logikih bombi i sopstvenih alata za upad nisu u toj kategoriji; Druga oblast problema je kada deo kda orginalnog programera napada izmeni, to analitiara dovodi do programera, a ne do napadaa; Kod analize malicioznog kda korisno je suziti listu poznatih mogunosti na prihvatljiv nivo. Nastojati prikupiti to vie uzoraka kda napisanog od strane osumnjienog, eliminiui eventualne tragove do programera. 8.7. Forenzika analiza raunara 25

8.7.1. Procedure ispitivanja HDDForenzika analiza raunara je aplikacija ispitivanja raunara i tehnika analize u cilju odreivanja potencijalno legalnih dokaza. Kompjuterski specijalisti mogu primeniti brojne metode za otkrivanje podataka koji se nalaze u raunarskom sistemu, ili za oporavak izbrisanih, ifrovanih ili oteenih datoteka podataka, koje mogu pomoi kod izgradnje neoborivog DD za pravosudni postupak. IACIS (International Association of Computer Investigative Specialists) preporuuje sledeu proceduru za kompletno ispitivanje kompjuterskih vrstih diskova (HD) i drugih fizikih medija: 1. Uspostaviti forenziki sterilne uslove. Svi mediji koji se korite za ispitivanje moraju biti svee pripremljeni, potpuno izbrisani od nebitnih podataka, skenirani na viruse i verifikovani pre upotrebe; 2. Svi korieni forenziki softverski alati moraju biti licencirani, a istrani organ (pojedinac, agencija) ovlaen za njegovu upotrebu; 3. Orginalni (ispitivani) kompjuter se fiziki analizira. Pravi se specifini opis hardvera i zapisuje sa komentarima, koji indiciraju sve neuobiajene nalaze u toku fizike analize raunara; 4. Preduzimaju se sve mere predostronosti u toku kopiranja ili pristupa orginalnim medijima, da bi se spreio unos virusa, destruktivnih programa ili drugih nenamernih upisa na/sa orginalnih medija. Poznato je da zbog hardverskog i ogranienja OS ovo nije uvek mogue; 5. Proverava se i notira sadraj CMOS i korektnost datuma i vremena internog kloka. Vreme i datum internog asovnika je vrlo vano za uspostavljanje sistema kreiranja datoteka i logovanja kompjuterskih dogaaja. 6. Orginalni mediji se normalno ne koriste za analizu. Treba napraviti kopiju zapisa bitova ili neku drugu sliku originalnih medija. Ove kopije se normalno koriste za stvarno ispitivanje (analizu). Notira se detaljan opis kopije podataka ili procesa uzimanja miror slike i identifikuju hardver, softver i mediji. 7. Kopija ili fizika slika orginalnog HD logiki se ispituje i registruje se opis rezultata. 8. Ispituju se podaci datoteke za butiranje, korisniki definisanog sistema konfiguracije i datoteke operativnih komandi, kao to su CONFIG.SYS i AUTOEXEC.BAT, a rezultati se registruju. 9. Sve izbrisane datoteke koje se mogu oporaviti restauriraju se. Kada je to praktino i mogue, prvi karakter naziva restauriranih datoteka se menja u cilju kasnije identifikacije. 10. Normalno se pravi listing svih datoteka sa ispitivanih medija, bez obzira da li sadre potencijalne dokaze ili ne. 11. Ako je prikladno, nelocirani prostor se ispituje na izgubljene/skrivene podatke. 12. Ako je prikladno, slack prostor se ispituje na izgubljene/skrivene podatke. 13. Ispituje se sadraj svake datoteke korisnikih podataka u rut direktorijumu i svakom poddirektorijumu (ako postoji). 14. Zatiene datoteke za uvanje pasvorda otvaraju se i ispituju. 15. tampani materijal, ili kopije prave se za sve oigledno dokazne podatke. Datoteka ili lokacija gde se dobije bilo koji dokazni podatak notira se na 26

svakom tampanom materijalu. Svi tampani materijali oznaavaju se, sekvencijalno numeriu i propisno uvaju i prenose. 16. Treba ispitati izvrne programe od specifinog interesa. Datoteke korisnikih podataka do kojih se ne moe pristupiti drugim sredstvima, ispituju se ovaj put korienjem postojeih (native) aplikacija u OS. 17. Propisno se dokumentuju svi komentari i nalazi forenziara.

8.7.2. Procedura ispitivanja pokretnih medija1. Uspostaviti forenziki sterilne uslove. Sve medije koji se koriste u procesu ispitivanja svee pripremiti, potpuno izbrisati od podataka, skenirati na viruse i verifikovati pre upotrebe; 2. Svi korieni forenziki softverski alati moraju biti licencirani, a istrani organ (pojedinac, kompanija) ovlaen za njegovu upotrebu; 3. Mediji se fiziki ispituju, specifini opisi zapisuju i e markiraju radi identifikacije; 4. Preduzimaju se sve mere predostronosti u toku kopiranja ili pristupa orginalnim medijima da bi se spreio unos virusa, destruktivnih programa ili drugih nenamernih upisa na/sa orginalnih pokretnih medija; 5. Testira se na forenzikom raunaru mogunost zatite pokretnog medija od upisivanja; 6. Pravi se fiziki duplikat pokretnog medija, zatienog od snimanja na drugi pokretni (forenziki) medij, koji se koristi za aktuelno ispitivanje. Zapisuje se detaljan opis procesa; 7. Kopija ispitivanog medija logiki se ispituje i zapisuje se opis naenih rezultata, ukljuujui i sve to je neobino; 8. Podaci datoteke za butiranje, korisniki definisanog sistema konfiguracije i datoteke operativnih komandi (ako postoje), ispituju se, a rezultati se zapisuju. 9. Sve izbrisane datoteke koje se mogu oporaviti restauriraju se. Kada je to praktino ili mogue, prvi karakter restauriranih datoteka se menja u cilju kasnije identifikacije. 10. Nelocirani prostor ispituje se na izgubljene/skrivene podatke. 11. Slack prostor svake datoteke ispituje se na izgubljene/skrivene podatke. 12. Sadraj svake datoteke korisnikih podataka u rut direktorijumu i svakom podirektorijumu (ako postoji) mora biti ispitan. 13. Zatiene datoteke za uvanje pasvorda otvaraju se i ispituju. 14. Ako pokretni medij sadri oigledno dokazne podatke koji se mogu iskoristiti, pravi se listing za sve datoteke mediju, bez obzira da li sadre oigledne dokazne podatke ili ne. Listing e indicirati koje datoteke su bile tampane, kopirane ili oporavljane. 15. tampani materijal ili kopije prave se za sve oigledno dokazne podatke. Datoteka ili lokacija gde se dobije bilo koji oigledno dokazni podatak notira se na svakom tampanom materijalu. Svi tampani materijali se oznaavaju, sekvencijalno numeriu i propisno uvaju i prenose. 16. Treba ispitati izvrne programe od specifinog interesa. Datoteke korisnikih podataka do kojih se ne moe pristupiti drugim sredstvima, ispituju se ovaj put korienjem postojeih (native) aplikacija. 17. Propisno treba dokumentovati sve komentare i nalaze digitalnog forenziara.

27

8.8. Tehnologije za forenziku analizu Tehnologije (tehnike i alati) za digitalnu forenziku analizu raunara uspostavljaju se kao standardi (IACIS-International Association of Computer Investigative Specialists ) koji obezbeuju da kompetentni eksperti vode forenziki istragu. Iz prakse je poznato da su skoro sve forenzike analize kompjuterskih medija razliite i da se ni jedna ne moe voditi na potpuno jednak nain zbog raliitih razloga. Meutim, postoje tri bitna zahteva za kompetentnu forenziku analizu digitalnih dokaza [7]: moraju se koristiti forenziki sterilni mediji za ispitivanje, ispitivanje mora sauvati integritet podataka orginalnih medija i svi tampani materijali, kopije digitalnih podataka i rezultati istrage i anlize moraju biti propisno oznaeni, kontrolisani i dokumentovano predavani za dalji tok postupka. 8.8.1. Forenzike tehnike i alati za akviziciju digitalnih dokaza Forenzike tehnike i alati uglavnom obavljaju akviziciju i analizu digitalnih podataka. Generalno, dele se na: alate i tehnike za akviziciju i uvanje digitalnih podataka i alate i tehnike za analizu digitalnih podataka Osnovna tehnika primene forenzikih alata za akviziciju obuhvata sledee aktivnosti: Akvizicija podataka uglavnom se vri sa HD; Akvizicija se mora obaviti u poverljivom okruenju (pouzdanom); Podaci se kopiraju na novi disk ili kroz mreu na poverljivi (zatieni) server; Linux butabilni CD se uobiajeno smatra poverljivim okruenjem: lako se kreira, podrava veinu hardverskih platformi, korisnik ima kompletnu kontrolu nad okruenjem, drajver se ne podie po difoltu (to moe izbrisati-prepisati dokaze); Komanda dd moe se koristiti za dobijanje (akviziciju) podataka; Linux dd komanda ima: mogunost verifikacije kda, koriste je godinama sistem administartori, obezbeuje kompletnu kontrolu procesa akvizicije, moe se koristiti za lokalnu i mrenu akviziciju, izlaz je otvoreni format kojeg moe koristiti bilo koji alat; Koristiti verziju dd koja pravi proveru integriteta sa MD5 eksumom. Za upotrebu forenzikih alata neophodno je primenjivati osnovna pravila i procedure za rukovanje sa DD: tretirati svi DD kao da e biti korieni pred sudom ili za parnicu, nikada ne raditi na originalnim medijima (dokazima), nego ih skupiti i raditi na kopijama, kada se kopija dokaza napravi, propisno i bezbedno uskladititi original i uvati u celom lancu pravosudnog potupka i oznaiti propisno sve DD. Alati za akviziciju DD tipinog CIRT tima moraju obezebediti sledeu funkcionalnost: 1. Sauvaju forenziki integritet sistema, nita ne upisuju u njega i fiziki kopiraju (miroriu) podatke na forenziki sistem, dok izvrni programi nisu aktivni na sistemu;

28

2. Upravljaju sa DD bez intervencije korisnika, jer nije uvek mogue obuiti sve lanove tima za propisno rukovanje sa DD i ne veruje kompromitovanom raunaru (ne koristi nikakve programe sa njega); 3. Skupe sve trajne unformacije koje bi bile izgubljene, bilo u transportu ili ispitivanju DD, dok se podaci bit po bit i analiziraju u laboratoriji i 4. Obezbede dovoljno informacija da lider CIRT tima moe odredi da li se dogodio bezbednosni incident. Generalno, alat ne sme doputati intervencije korisnika, da bi se sauvao integritet podataka koji se skupljaju. Samo neizmenjeni podaci ili izmenjeni na poznat nain mogu biti prihvatljivi kao DD na sudu.

8.8.1.1.1

Forenzike tehnike i alati za diskova

izvlaenje podataka iz oteenih

Forenzike tehnike i alate za izvlaenje podataka iz teko oteenih diskova treba da poseduju sve legalne institucije za borbu protiv kompjuterskog kriminala. Opte prihvaen naziv za tehnike izvlaenja i oporavka podataka iz oteenih ili loe fragmenisanih diskova je ulanavanje podataka (chaining). Najpoznatija su tri tipa alata: stara kopija Norton Utility (ili slina), NTI alat za traenje teksta i SafeBack tipa softverski alat. Za izvlaenje pasvorda postoje tri osnovne tehnike: fiziki (iz CMOS), krekovanjem (Windows pasvorda) i probojem kriptozatienog pasvorda, pogaanjem.

8.8.2. Forenzike tehnike i alati za analizu podatakaDigitalna forenzika analiza podataka u optem sluaju obuhvata: ispitivanje sadraja datoteka i direktorijuma, oporavak datoteka podataka, verifikaciju integriteta sistema (nepromenjivosti), pregled mrenih log datoteka, ispitivanje mrenih paketa, dekompajliranje nepoznatih izvrnih datoteka. Softverski alati za forenziku analizu uzimaju podatke akvizicije kao ulazne i ekstrahuje potencijalne digitalne dokaze. Na primer uzime se jedna datoteka sa akvizicijskog diska i pokae istranom organu, zatim se izvue izbrisani sadraj sa miror slike HD, kreira vremenska linija datoteke iz log podataka mree i aktivnosti sistema i ispitiaju sistemske datoteke na prisustvo trojannaca (zamki). Tehnika primene alata treba sledi set pravila koja su neophodna za primenu orginalne aplikacije ili OS. Primenjuju se dve opte kategorije forenzikih alata za digitalnu forenziku analizu: sa otvorenim izvornim kdom: The Linux kernel; GNU utilities-strings, grep, find, debugfs, readelf, objdump; The Coroner s Toolkit (TCT) and its varijante TCTUIILs, The@stake Sleuth Kit (TASK)i dr. sa zatvorenim izvornim kdom: Encase, iLook, Access Data FTK, ASR Data SMART (radi samo na Linux i BeOS), Paraben PDA Seizure, Technology pathways ProDiscover, IDA i.t.d. 29

Linux OS sa otvorenim izvornim kdom najea je radna platforma za digitalnu forenziku analizu, ak i u praksi zvaninih organa istrage. Osnovne funkcionalne karakteristike Linux OS su: doputa kompletnu kontrolu ponaanja sistema, to je vrlo vano jer se akvizicijski podaci ne smeju menjati, moe se verifikovati da OS ne zapisuje nikakve podatke na disk ili datoteku u procesu analize, podrava oko 30 tipova sistema datoteka (NTFS drajver), brz je i lako se instalira na CD za akviziciju podataka sa diska ili mree.

Alati sa otvorenim izvornim kdom omoguavaju ispitivau da verifikuje kd, testiraju ga pred sudom i dokau da radi onako kako je propisano. Omoguavaju analitiaru da otkrije sve detalje o tome kako su procesirane sistemske datoteke ili mreni paketi. Alati sa zatvorenim izvornim kdom za digitalnu analizu softvera moraju nauiti detalje operacija, kako ih izvravaju aplikacije i mogu se primeniti samo za ogranien broj testiranja. Ako je izvorni kd na raspolaganju, moe se dokumentovati procedura primene alata se javni uvid. Takoe, alati sa otvorenim izvornim kdom mogu se prilagoditi za specifine zahteve istrage. Opti zahtev je da forenziki alati za analizu moraju biti sa otvorenim izvornim kdom i moraju procesirati podatke na isti nain kao i originalni softver. To znai da analitiar mora znati ta originalni softver radi sa podacima. Alati sa otvorenim izvornim kdom obezbeuju mnogo preciznije korienje alata, to omoguava analitiaru lake otkrivanje skrivenih podataka..

Veina komercijalnih forenzikih alata za mrenu akviziciju podataka uzimaju tcpdump podatke i memoriu ih za potrebe analize. Primeri alata si: Snort, tcpdump, ngrep. Opta procedura tehnike korienja alata za forenziku analizu obuhvata sledee aktivnosti (NTI preporuka): Sa SafeBacke alatom napraviti fiziku miror sliku HD i rekonstruisati je na forenzikoj, ispitnoj maini; Napraviti katalog sadraja HD pomou NTI FILELIST korisnikog alata, koji daje listing datoteka direktorijuma celog HD; Sainiti listu kljunih rei koje su odgovarajue za istragu. Koristiti sopstvene ideje i podatke dobijene u istranom potupku (sasluanju svedoka). Moe se koristiti alat sa fazi logikom za razvoj kljunih rei (FILTER _I); Sa TEXTSEARCH alatom traiti izabrane kljune rei u svim skrivenim zonama diska (slack, nelociranim, swap i.t.d.); Manuelno evaluirati rezultate pretraivanja; Ponovo pokrenuti alat FILTER_I koristei binarni filter; Dokumentovati dobijene rezultate: da su upravo tako dobijeni, da nisu izmenjeni, sa digitalnim fotokamerom sa upisivanjem digitalnog vodenog peata (DVP) ili standardne MD5 he sume u svaki snimak; Primer procesa dokumentovanja (katalogizacije diska): 1. Aktivirati FILELIST pomoni program za dobijanje logikog kataloga datoteka diska, koje DOS moe prepoznati (ne sadri nita iz skrivenih zona). Ovaj program daje tekst datoteku koja je oznaena datumom. 30

2. Sada se aktivira CRCMD5 (NTI) alat na dobijenu datoteku, koji kreira jedinstvenotisak datoteke, a svaka promena pa i trivijalna izmenie otisak, to indicira da je datoteka menjana. Izlaz ovog utilitija se usmerava na tekst datoteku. 3. Obe datoteke ifruju sa sa PKI programom, korienjem privatnog kljua. Kod ispitivanja integriteta datoteka, deifrovati datoteke, aktivirati CRCMD5 i uporediti rezultate. Najvei problem tehnika forenzike analize raunara je velika koliina podataka za analizu. Savremeni HD su kapaciteta vie desetina Gb, o znai da ima mnogo prostora u 32 K po klasteru i da treba imati brze forenzike alate (NTI).

8.8.3. Evaluacija alata za forenziku analizu digitalnih dokaza Alati za digitalnu forenzku analizu koriste se za analizu podataka i ekstrakciju dokaza. Za razliku od standardnih OS koji prikazuju samo locirane datoteke, ovi alati mogu gledati i nelocirane, skrivene i izbrisane datoteke. Pitanje je kako izvriti poreenje i kategorizaciju alata za digitalnu forenzku analizu. Postojei alati za digitalnu forenzku analizu daju dobre rezultate u istrazi digitalnih dokaza za sudske potrebe, ali su slabo dizajnirani za potrebe naune forenzike analize. Oni omoguavaju istranog organu pristup do dokaza, ali ne obezbeuju metode za verifikaciju pouzdanosti dokaza, to je neophodno za nauni pristup digitalnoj forenzikoj analizi i mogao bi u budue biti i legalni zahtev. Koncept apstrakcionih nivoa raunarskog sistema, moe se iskorititi za kategorizaciju alata za digitalnu forenziku analizu [5]. Apstrakcioni nivoi postoje za sve formate digitalnih podataka, pa se zbog toga mogu dizajnirati i alati za njihovu akviziciju/analizu na svakom apstrakcionom sloju. Dakle, svojstva apstrakcionih slojeva koriste se za definisanje zahteva za alate za digitalnu forenzku analizu. Kompleksnost problema digitalne forenzike ja to su primenom standardnih alata, akvizicijom dobijeni podaci tipino na najniem apstraktnom nivou, veinom u sirovom formatu, esto teko razumljivom za humanu interpretaciju. Da bi se problem sloenosti reio, razliiti forenziki alati koriste se za prevoenje podataka kroz jedan ili vie apstrakcionih slojeva sve dok ne postanu razumljivi za korisnike. Primer: za gledanje sadraja direktorijuma iz miror slike sistema datoteka (FAT, NTFS), alat procesira strukturu sistema datoteka tako da se odgovarajue vrednosti prikau na displeju. Podaci koji predstavljaju datoteke u direktorijumu postoje u formatima koji su na suvie niskom apstraktnom nivou za identifikaciju bez pomoi forenzikog alata. Direktorijum je, dakle, granini sloj apstrakcije u sistemu datoteka. Primeri drugih slojeva apstrakcije, osim sistema datoteka su: ASCII kod, HTML datoteke, Windows registar, Network Packets (mreni paketi) i Izvorni kod.

31

Takoe, velik je problem koliine podataka koje treba analizirati, pa je analiza svakog pojedinanog podataka vrlo neefikasna. Zato se koriste tehnike redukcije podataka, gde se podaci grupiu u vee dogoaje, ili se uklanjaju poznati podaci. Tehnike redukcije podataka za analizu primeri su primene apstrakcionih slojeva: identifikovanje poznatih mrenih paketa korienjem IDS, identifikovanje nepoznatih ulaza za vreme procesa logovanja, identifikovanje poznatih datoteka korienjem hash baze podataka, sortiranje datoteka prema njihovom tipu. Dakle, alati za digitalnu forenzku analizu prevode podatka sa jednog sloja apstrakcije na drugi. Namena alata za digitalnu forenzku analizu je da precizno predstave sve podatke na jednom sloju apstrakcije u formatu koji istraiva moe efikasno koristiti za identifikaciju dokaza. Koji je se sloj apstrakcije zahteva, zavisi od strunih sposobnosti istraivaa i zahteva istrage. Primer: U nekim sluajevima posmatranje sirovog sadraja jednog bloka diska je sasvim odgovarajue, dok drugi sluajevi zahtevaju procesiranje bloka diska kao strukture sistema datoteka. Moraju postojati alati koji obezbeuju obe ove opcije.

9.

REGULACIJA CYBER KRIMINALA

Kao i kompjuterski kriminal i cyber kriminal iziskuje odgovarajuu pravnu regulativu. Od prvih pojavnih oblika, poetkom 90-ih, do danas mnoga su meunarodna tela posvetila panju ovom kriminalu. Pored meunarodne sve je uestalija i nacionalna regulacija cyber kriminala, odnosno nekih od njegovih oblika. Paralelno sa tim i samoregulacija pokuava da se izbori sa ovom pojavom. Dakle, regulacija se odvija na vie koloseka. Zanimljivo je da se mnogo vie aktivnosti deava na meunarodnom u odnosu na nacionalni i samoregulacioni plan. To je i donekle prirodno s obzirom na karakteristike dela i svojstva kriminalaca koji se njima bave. Najznaajniji i najbrojniji meunarodni akti doneti su u okviru Evropske Unije [8]: 1998. godine pod vostvom Urliha Sieber-a sa Univerziteta u Virzburgu izraena je posebna Studija o pravnim aspektima kompjuterskog kriminala u Informacionom drutvu (Legal Aspects of Computer-related Crime in the Information Society COMCRIME study) koja je obuhvatala i osnove cyber kriminala, kao vieg oblika. Ovaj akt u kombinaciji sa dokumentima sa Lisabonskog sastanka Evropskog saveta 2000. godine na kome se istako znaaj tranzicije u konkurentnu, dinaminu i na znanju zasnovanu ekonomiju predstavlja smernice za aktivnosti vezane za razumevanje fenomena cyber kriminala. Akcioni plan ( eEurope Action Plan ) iz iste godine vezan je za aktivnost obezbeenja sigurnosti mree i uspostavljanja saradnje zemalja lanica i njihovog zajednikog pristupa cyber kriminalu do 2002. godine. Iste godine donosi se i predlog Pravnog okvira odluivanja vezanog za napade na informacione sisteme (Proposal for a Council Framework Decision on attacks against information systems). Godinu dana kasnije dokument je dopunjen sa nedozvoljenim pristupom informacionim sistemima i nedozvoljenim ometnjama sistema i podataka. Doneta je 2000. godine i Direktiva o eletronskom poslovanju ( Directive on electronic commerce ) u kojoj se posebna panja posveuje problemu zloupotreba [11]. Ta je godina i dalje plodna jer se donosi itav set razliitih akata od Odluke Saveta o spreavanju deije pornografije na Internetu, Konvencije o meusobnoj pomoi u krivinoj materiji do Preporuke o strategiji za novi Milenijum u zatiti i kontroli 32

kompjuterskog kriminala [10]. Potom sledi akt kojim treba da se obezbedi sigurnije Informaciono drutvo kroz sigurnost informacione infrastrukture i borbe protiv kriminala vezanog za kompjutere ( Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime ). Naravno sa tom godinom niti poinje niti se zavrava borba protiv kompjuterskog, cyber, odnosno kriminala visokih tehnologija. Tako je 1996. godine zapoela Zajednika akcija protiv rasizma i ksenofobije, 1997. doneta je Preporuka o anonimnosti subjekata na Internetu i Deklaracija o globalnim raunarskim mreama, 1998, sainjen je Predlog o okvirima spreavanja seksualne eksploatacije i trgovine ljudskim biima. Par godina kasnije donosi se i poseban akt vezan za cyber kiminal (Communication on Cybercrime). Neto manje bile su aktivnosti OECD-a, UN i Saveta Evrope. Jo 1983. godine u okviru OECD usvojena je Studija o meunarodnoj primeni i harmonizaciji krivinog prava vezanog za probleme kompjuterskog kriminala i zloupotreba, tri godine kasnije izala je minimalna lista u okviru dokumenta Kriminal vezan za kompjutere: analiza i pravna politika, a od 1999. godinu je obeleio ceo set prirunika za sigurnost informacionih sistema kojima se uspostavljaju pravila i osnov njenog postizanja. Savet Evrope je krajem 1998. godine objavio poetak pripreme na donoenju Konvencije o cyber kriminalu, iji predlog je aprila 2000. godine puten u proceduru javne rasprave. Ona je danas jedan od najznaajnijih dokumenata koji su pored evropskih zemalja prihvatili i Japan, SAD; Kanada, Juna Afrika. Konvenciju, koja je stupila na snagu u julu 2004, godine prate brojni dokumenti doneti u okviru Saveta:

Trust and Security in Cyberspace: The Legal and Policy Framework for Addressing Cybercrime (2002); Cyber-Rights & Cyber-Liberties, Advocacy Handbook for NGOs (2003); Racism Protocol to the Convention on Cybercrime (2003); The Protocol to the Cybercrime Treaty (2002); Additional Protocol to the Cybercrime Convention Regarding "Criminalization of Acts of a Racist or Xenophobic Nature Committed through Computer Networks ; Report Revised draft of the Protocol on Racist Speech (2002); Background Materials on the Racist Speech Protocol ; Draft Protocol on Racist and Zenophobic Speech: Prelimiary draft (2001); Second Protocol on Terrorism (2002).

Naalost meu potpisnicima ovih akata nema nae zemlje. U okviru grupe G8 od 1997. godine (kada je predloen Akcioni plan borbe protiv ovog kriminala, a usvojenog 1998) na predlog ekspertske grupe za kooperaciju na polju pravde i unutranjih poslova ministri pravde i unutranjih poslova u vie navrata su raspravljali o principima te borbe. Poslednji sastanak bio je u maju prole godine na kom se, izmeu osatlog, raspravljalo i o nunosti meunarodne saradnje u sprovoenju istraga i hvatanju poinilaca, kao i prihvatanju standarda definisanih u kovenciji Saveta Evrope. Pored toga ova organizacija donela je i:

Recommendations for Enhancing the Legal Framework