“ najbolji hakeri na svijetu ostaju nepoznati ” - j.b. -

“NAJBOLJI HAKERI NA SVIJETU OSTAJU NEPOZNATI”

- J.B.-

Jakša Backović, Ministarstvo unutrašnjih poslova Crne Gore

ELEKTRONSKI DOKAZI

I STUDIJE SLUČAJA

2

Podgorica, 2013.godine

Plan3

Prvi dio – Što je elektronski dokaz Definicija Izvori i vrste elektronskog dokaza

Drugi dio – Postupak i poželjna praksa Utvrđivanje, uzimanje i rukovanje s elektronskim

dokazom Vrste izuzimanja Istraživanje i analiza elektronskog dokaza Prezentacija elektronskog dokaza

Prvi dioŠto je elektronski dokaz?

4

Elektronski dokaz

Ne postoji međunarodno prihvaćena definicija elektronskog dokaza, Već često korišćena “definicija”

elektronskog dokaza je:

“Svaka informacija ili podatak koji se nalazi na uređaju ili je prenošen

posredstvom elektronskih uređaja”

Elektronski dokaz

• Borba protiv savremenih oblika kriminala zahtijeva saradnju stručnjaka i posebno edukovanih službenika u dva slučaja i to:

• Za analizu dokaza i njegovu ispravnu interpretaciju

• Tokom istrage i glavne rasprave

Izvori i vrste elektronskog dokaza Izvori

Svaka elektronska naprava Vrste

Statični podaci Dinamički podaci (memorija & serveri) Podaci na internetu

Svojstva elektronskog dokaza Promjenjivost

Može se lako obrisati, izmijeniti, oštetiti ili manipulisati sa njim

Ne mora biti dostupan duže vrijeme

Priroda Nevidljiv okom Teško je potvrditi autentičnost Može zahtijevati posebne vještine kako bi se

pronašao Može zahtijevati stručnjaka koji bi ga interpretirao Može zahtijevati sredstva prisile kako bi se

prikupio i pristup ili upotreba mu mogu biti ograničeni

Svojstva elektronskog dokaza Lokacija

Može biti nerazdvojivo povezan s materijalom

Može se nalaziti na području druge nadležnosti

Količina Utvrđivanje dokaznog materijala

Utvrđivanje neupotrebljivog materijala Problematika

Posredni dokaz

Poslovni podaci

Automatizovani procesi

Pomiješani dokazi

Stručni dokazi

Drugi dioPostupak i poželjna praksa

10

Opšta načela

Pri rukovanju elektonskim dokazima ključno je sljedeće: •Prisustvo na mjestu izuzimanja dokaza,•Integritet podataka,•Zapisnik,•Pomoć stručnjaka,•Edukacija službenika•Zakonitost i postupanje u skladu s načelima

Osnovno načelo 1 – Prisustvo na mjestu uzimanja dokaza

Nadležni policijski službenik ne bi trebao biti sam na mjestu događaja.

Najmanje dva policijska službenika trebala bi sprovoditi tu vrstu posla. Time se osigurava samozaštita i uočavanje više detalja na mjestu događaja. Službenici trebaju isplanirati i koordinirati svoju aktivnost.

Osnovno načelo 2 – Integritet podataka Niti jedna radnja policijskih službenika

ne smije dovesti do promjene elektronskog uređaja ili medija koji bi mogli poslužiti u sudskom postupku.

Kada se rukuje s elektronskim uređajima i podacima, isti se ne smiju mijenjati, bilo da je riječ o hardware-u ili software-u. Nadležni službenik je odgovoran za integritet materijala pronađenog na mjestu događaja i utvrđivanje službenih osoba koje su imale pristup dokazu.

Osnovno načelo 3 –Zapisnik

Mora se sačiniti zapisnik ili drugo bilježenje svih poduzetih radnji.

Treća, nezavisna osoba, mora biti u mogućosti ispitati te radnje i na taj

način doći do istog rezultata.

Tačno bilježenje svih radnji nužno je kako bi se mogle rekonstruisati sve radnje službenih osoba na mjestu događaja radi osiguranja dokazne vrijednosti pred sudom. Svi elektronski dokazi moraju biti detaljno dokumentovani, očuvani i spremni za ponovni pregled.

Osnovno načelo 4 – Pomoć stručnjaka

Ako se može pretpostaviti da će se pronaći elektronski dokaz tokom policijske radnje,

nadležni službenik trebao bi na vrijeme obavijestiti stručnjake/ vanjske saradnike.

Za istrage koje uključuju pretragu i oduzimanje elektronskih dokaza može biti nužno konsultovati i vanjske stručnjake. Svi vanjski stručnjaci trebaju biti upoznati s načelima priručnika i ostalim relevantnim dokumentima. Pretpostavlja se da stručnjak posjeduje:Nužno znanje i iskustvo u području elektronskih dokazaNužno znanje o samom postupku i zakonuNužno znanje o kontekstu i pravnim implikacijama, tePrimjerene komunikacijske vještine (usmeno i pismeno obrazlaganje)

Osnovno načelo 5 – Edukacija službenika

Oni koji prvi sprovode radnje moraju biti adekvatno edukovani kako bi

mogli pronaći i oduzeti elektronski dokaz ukoliko ne postoje dostupni

stručnjaci.

U određenim okolnostima kada je nužno da službenici koji se prvi zateknu na mjestu događaja prikupe elektronski dokaz ili pristupe podacima iz elektronskog uređaja ili nosača memorije, moraju biti edukovani da to ispravno urade i objasne važnost i implikacije svojih postupaka.

Osnovno načelo 6 - Zakonitost

Službenik i nadležno tijelo koje postupa u slučaju, odgovorni su da se

osigura primjena Zakona, opšta forenzička i postupna načela, te

naprijed navedena načela. Navedeno se odnosi na posjedovanje i pristup

elektronskom dokazu.

Vrste uzimanjaPostoji nekoliko vrsto uzimanja elektronskih dokaza:•Uzimanje statičnih podataka

– Uzimanje pribavljanjem elektronske opreme i medija za smještanje podataka;

– Uzimanje kopiranjem cijelog sadržaja memorije

– Uzimanje zapljenom medija za back-up

•Uzimanje dinamičkih podataka– Uzimanje selektivnim kopiranjem podataka

•Uzimanje podataka s interneta

Postupak uzimanja

Postupak se sastoji od slijedećih faza koje su opisane u slijedećim odjeljcima: Priprema za oduzimanje;Osiguranje mjesta događaja;Dokumentovanje mjesta događaja;Prikupljanje dokaza;Pakovanje, transport i spremanje.

Priprema za oduzimanje Vjerovatnoća dostupnosti vrste dokaza s kojima se

može susresti Obavještavanje službenika za obnovu podataka i

vanjskih stručnjaka Utvrđivanje koje će se vrste izuzimanja obaviti Pribavljanje informacija o računarskom sistemu koji

treba zaplijeniti Hardware, operativni sistem, aplikacije i uređaji za

smještanje podataka Podaci o mreži Utvrditi osobe odgovorne za infrastrukturu

informacionog sistema Koliko će opreme biti zaplijenjeno Koliko podataka treba kopirati Da li je backup dostupan (vanjski ili na mjestu

događaja)

Priprema za oduzimanje

Nadležne osobe na mjestu događaja? Izbor prikladnih članova tima Dodjeljivanje zadatka pojedincima Brifiranje tima Osiguranje potrebne opreme

Osiguranje mjesta događajaPrva radnja Osigurati sigurnost svih osoba na mjestu

događaja i integritet tradicionalnih i elektronskih dokaza

Osiguranje mjesta događaja

Zaštititi nestabilne podatke fizički i elektronski

Utvrditi i dokumentovati elektronske komponente koje neće biti izuzete

Utvrditi telefonske i mrežne ulaze prikopčene u uređaje, dokumentovati ih i označiti

Odlučiti da li će se izuzeti neki drugi dokaz (npr. DNA, otisci prstiju)

Pretražiti mjesto događaja za neelektronskim uređajima , ali povezanim dokazima

Obavljanje preliminarnih razgovora

Dokumentovanje mjesta događaja

Dokumentovanje je postupak koji se odrađuje kroz cijeli postupak uzimanja podataka. Ključno je tačno dokumentovati lokaciju i stanje računara, medija za smještanje, drugih elektronskih uređaja i konvencionalnih dokaza.

Dokumentovanje mjesta događaja Prostorije Računarskih sistemi i elektronske

komponente/uređaji/oprema Detalji o svoj relevantnoj pronađenoj opremi,

npr. proizvođač, model, serijski broj Uslovi i lokacija svakog računarskog sistema

koji sadrži e-dokaz, uključujući strujni status računara (upaljeno, ugašeno, u mirovanju)

Označavanje svih ulaza i kablova (uključujući konekcije i periferne jedinice) kako bi se omogućilo kasnije tačno sastavljanje

Označavanje ulaza koji nisu u upotrebi. Utvrđivanje docking stanica laptopa kako bi se

utvrdili drugi nosači podataka

Dokumentovanje mjesta događaja Fotografisanje prednje strane računara,

monitora i ostalih komponenti; Pravljenje bilješki o onom što se pojavljuje na

monitoru; Snimanje ili pravljenje detaljnije dokumentacije

o onom što se događa na monitoru; Obavijesti od osoba pronađenih na mjestu

događaja; Detalji o svim prisutnim osobama pri pretrazi; Detalji o svim osobama koje upotrijebljavaju

računarski sistem/ opremu; Primjedbe, komentari i informacije koje su

pružili računarski korisnici/ vlasnici/ svjedoci. Radnje preduzete na mjestu događaja

Prikupljanje dokaza

Računarski sistem i komponente ne treba oduzeti kao dokaz samo zato što se nalazio na mjestu događaja. Takva mjera mora biti opravdana i razmjerna počinjenom kaznenom djelu i onaj ko je naredio pretragu

mora biti u mogućnosti donijeti odluku da li će nadležna tijela

oduzeti predmet.

Prikupljanje dokaza

Sa elektronskim dokazom, kao i sa svakim drugim, treba rukovati pažljivo na način da se očuva njegova dokazna vrijednost.

Ovo se ne odnosi samo na fizičku postojanost uređaja, već i elektronskih podataka koje sadrži. Određene vrste e-dokaza zahtijevaju posebno prikupljanje, pakovanje i prevoz.

Pakovanje, prevoz i skladištenje

Računari, povezani uređaji i oprema su lomljivi i osjetljivi na temperaturu, vlažnost, fizičke promjene, statički elektricitet, izvore magnetskog zračenja, kao i na neke radnje (uključivanje/ isključivanje). Stoga se moraju preduzeti posebne mjere opreza kada se pakuju, prevoze i skladište. Kako bi se očuvao redosled dokaza, pakovanje, transport i skladištenje sve treba prikladno bilježiti.

Računarska/ digitalna forenzika

Postupak istraživanja i analiziranja elektronskog(digitalnog) dokaza često je povezan s digitalnom forenzikom. U stvari, cijeli postupak od uzimanja do prezentovanja tokom glavne rasprave može se smatrati dijelom takvog postupka.

Ovaj odjeljak odnosi se na postupak nakon što su uređaji i materijali već zaplijenjeni

Definicija

Računarska forenzika je grana forenzičke nauke koja se odnosi na zakonit dokaz pronađen u računarima i medijima za

smještanje podataka. Svrha računarske forenzike je ispitivanje digitalnih medija s

ciljem utvrđivanja, očuvanja, obnove, analize i predočavanja činjenica i mišljenja

u vezi s tim podacima

Izvor: Michael G. Noblett; Mark M. Pollitt, Lawrence A. Presley 2000. "Recovering and examining computer forensic evidence

Periodi

Najlakša podjela je na period na mjestu događaja i period u računarsku laboratoriju.

Iako se neke radnje kao forenzika dinamičkih podataka obavljaju na mjestu događaja, većina aktivnosti odnosi se na rad u laboratoriju.

Period

Utvrđivanje Očuvanje Oduzimanje/ Obnova Istraga/ Analiza Izvođenje/ Predstavljanje

Istraga/ Analiza Ovo pokriva sve aspekte povezane s analizom digitalnog

dokaza kao i oduzimanjem hardware-a. To je najsloženiji period u cijelom postupku istraživanja. Velika količina podataka koju treba analizirati već sama

za sebe dovodi do velikih izazova istraživačima. Utvrđivanje relevantnog podatka za istragu i povezivanje

tako postaje jedan od osnovnih zadataka stručnjaka za forenziku.

Njihov posao proteže se od traganja za ilegalnim sadržajem u računarskom sistemu do analize log-datoteka.

Nije neophodno da svi postupci koje je preuzeo kriminalac u vršenju krivičnog djela ostavljaju trag.

Analizom svih dostupnih dokaza, forenzički stručnjaci mogu rekonstruisati način na koji je počinjeno krivično djelo.

Vrste analize

Analiza hardware-a Analiza aplikativnog

software-a Analiza instaliranog

software-a Utvrđivanje mjesta

relevantnih podataka

Upotreba udaljenog sredstva za smještanje podataka

Skrivene datoteke Obrisane datoteke Dekripcija datoteka

• Analiza sadržaja datoteka

• Analiza autora• Analiza integriteta

dokaza• Analiza surfovanja na

internetu• Analiza finansijskih

transakcija• Prikupljanje podataka o

saobraćaju u realnom vremenu

• Aktivnosti nadziranja• Udaljena forenzika

Metode analizePostoje dva načina na koje se mogu izvesti forenzičke istrage: •Ručne operacije. Uprkos dostupnosti tehnologija za automatsku istragu, računarska forenzika u velikoj mjeri ostaje manualni posao. Posebno u onim istragama koje uključuju veliku količinu podataka, takve ručne operacije mogu biti relevantne kada sredstva za analizu nisu odgovarajuća.•Sredstva analize. Neki procesi – posebno traženje lozinki, rekonstrukcija obrisanih datoteka ili dekripcija – mogu biti automatski primjenom sofisticiranih sredstava za forenzičku analizu.

Većina istraga je kombinacija je ručnih operacija uz upotrebu programa za forenzičku analizu koji automatizuju proces

Studija slučaja

www.mnairlines.com

www.vijesti.com

Prijavljen napad na www.mnairlines.com Obavješten tužilac Zatražena Naredba za pretres Telekoma CG IP adresa pripada opsegu ETF-a (nezaštićen Wi-Fi) Dan posle prijavljen napad www.vijesti.com (ista

procedura) Sa servera ETF-a skinuli smo LOG MAC adrese Uporedili vrijeme LOG IP adresa i LOG Mac adresa Sa stručnjacima ETF izradili SKRIPTU Treći dan od početka istrage, prvi nakon SKRIPTI ALARM!!! Oduzimanje Lap topa, pretres, krivična prijava

PRIMJER LOG fajlova

www.mnairlines.com

www.vijesti.com

Prijavljen napad na www.mnairlines.com Obavješten tužilac Zatražena Naredba za pretres Telekoma CG IP adresa pripada opsegu ETF-a (nezaštićen Wi-Fi) Dan posle prijavljen napad www.vijesti.com (ista

procedura) Sa servera ETF-a skinuli smo LOG MAC adrese Uporedili vrijeme LOG IP adresa i LOG Mac adresa Sa stručnjacima ETF izradili SKRIPTU Treći dan od početka istrage, prvi nakon SKRIPTI ALARM!!! Oduzimanje Lap topa, pretres, krivična prijava

PRIMJER LOG fajlova

Studija slučaja

9. Sa naredbom idemo kod ISP, koji nam daje podatke o vlasniku IP adrese u vremenu napada

10. U periodu prijavljivanja napada na www.vijesti.me , prijavljen je napad na www.mnairlines.me (isti način izvršenja).

11. IP adresa napada na www.vijesti.me je pripadala opsegu adresa sa ETF-a, dok je IP adresa napada www.mnairlines.me pripadala fizičkom licu.

12. ETF nije imao video nadzor u svojim hodnicima, stoga smo morali improvizovati

Studija slučaja

Slučaj: internet piraterija

1. www.zone.cg.yu (2008)

2. E-mail: [email protected]

3. 2007.godine zatvorio CD shop

4. Istražne radnje

Studija slučaja

Studija slučaja

Slučaj: zloupotreba kartica

1. NLB banka on-line shop

2. Skimovanim brojevima dopunjavali račune

3. Istražne radnje

Slučaj: Obaranja web servera T-Com-a Oboreno preko 170 web sajtova Radilo se o malizioznom programu Banka slučajno preuzela virus-program Nije bilo materijalne štete Preko 70GB LOG fajlova obrađeno

Studija slučaja

HVALA NA PAŽNJI!!!

“ najbolji hakeri na svijetu ostaju nepoznati ” - j.b. -

Documents