1 fon, 2011.. 18:00 – 18:45 cyber forenzika 18:45 – 19:30 forenzičke metode 19:30 – 19:50...
TRANSCRIPT
1
FON, 2011.
18:00 – 18:45 Cyber forenzika
18:45 – 19:30 Forenzičke metode
19:30 – 19:50 Pauza
19:50 – 20:35 Digitalni dokazi
20:35 – 21:20 Antiforenzika
2
Cyber aktivnosti su svakodnevne aktivnosti većine stanovnika
razvijenih zemalja:
ICT je preduslov za upravljanje i kontrolu informacionih procesa u firmama, upravi …
eTrgovina postaje vodeći oblik poslovanja u svetu Sve više “stvari” je direktno kontrolisano od strane
kompjutera
Ljudi su sve zavisniji od ICT-akoji postaje cilj kriminalnih aktivnosti,
kao što su:prevare, vandalizam, špijunaža i sl.
Da se podsetimo
3
● 85% privrede i vladinih agencija u SAD je identifikovalo proboje sigurnosnih sistema
● U 2000. godini gubici su samo po ovom osnovu u SAD su bili oko $10 miljardi (izvor FBI)
● 4.2% je godišnji rast UK cyber kriminala u 2008.
● Početkom 90ih pretnje informacionim sistemima su u 80% slučajeva bile interne, odnosno 20% eksterne
● Integracijom telekomunakcija i PC putem Interneta eksterne i interne pretnje su se izjednačile
4
Da se podsetimo
Mere protiv Kompjuterskog & Cyber kriminala:
– Zaštita kompjutera i mreža – Efikasno tužilaštvo i prevencija
5
- tehničke i - organizacione
- pravne
Da se podsetimo
- tehnika - tehnika identifikacije počinilaca koja se bazira na identifikacije počinilaca koja se bazira na analizi prirode dela i načina na koji je analizi prirode dela i načina na koji je učinjeno.učinjeno. Analiziraju se antropološke, biološke, Analiziraju se antropološke, biološke, psihološke, demografske, lične karakteristike psihološke, demografske, lične karakteristike potencijalnih počinilaca i upoređuju sa potencijalnih počinilaca i upoređuju sa prethodnim, sadašnjim i naknadnim prethodnim, sadašnjim i naknadnim osobenostima načina izvršenja dela. Ove osobenostima načina izvršenja dela. Ove informacije se kombinuju sa drugim informacije se kombinuju sa drugim relevantnim podacima i fizičkim dokazima i relevantnim podacima i fizičkim dokazima i upoređuju sa karakteristikama poznatih tipova upoređuju sa karakteristikama poznatih tipova ličnosti i mentalnih abnormalnosti. Na osnovu ličnosti i mentalnih abnormalnosti. Na osnovu svega toga pravisvega toga pravi se opis potencijalnog se opis potencijalnog počiniocapočinioca..
Da li ste čuli za:
6
● Profil počiniocaProfil počinioca● Profil žrtveProfil žrtve● Opis scene - mesta zločinaOpis scene - mesta zločina
Prioritetizacije sumnjiPrioritetizacije sumnji NovNovihih linij linijaa gonjenja gonjenja Definisanja strategije vođenja istrageDefinisanja strategije vođenja istrage DefinisanjDefinisanjaa opasnosti opasnosti ““OsvetljavanjOsvetljavanjaa” počinilaca” počinilaca
7
To je bitno zbog?
• OsumnjičeniOsumnjičeni
• SaizvršilacSaizvršilac
• AlibiAlibi8
:: osoba koja bi bila sposobna da osoba koja bi bila sposobna da izvrši izvrši zločinzločin
:: druga osoba, ortak, u izvršenju druga osoba, ortak, u izvršenju kriminalnog delakriminalnog dela
:: izjava o tome gde je osumljičeni izjava o tome gde je osumljičeni bio u bio u vreme izvršenja krivičnog delavreme izvršenja krivičnog dela
bilo koja fizička lokacija na kojoj se odigraobilo koja fizička lokacija na kojoj se odigrao ili ili se predpostavlja da se odigrao zločin se predpostavlja da se odigrao zločin
Primarno mesto zločinaPrimarno mesto zločina - - originalna originalna lokacija na kojoj se lokacija na kojoj se
kriminal ili incident kriminal ili incident odigraoodigrao
SeSekundarno mesto zločinakundarno mesto zločina -- neka neka alterativna lokacija alterativna lokacija na kojoj se kriminal na kojoj se kriminal ili incident odigrao, ili incident odigrao, odnosno gde bi se odnosno gde bi se mogao naći dodatni mogao naći dodatni dokazdokaz
““MestoMesto zločina” zločina”
9
IntervIntervjuju – – prvi korakprvi korak protkola tj. obrade protkola tj. obrade mestamesta zločina: razgovor sa službenim licem koje je zločina: razgovor sa službenim licem koje je prvo stiglo na mesto zločina i/ili sa žrtvom da bi prvo stiglo na mesto zločina i/ili sa žrtvom da bi se utvdilo šta se i kako dogodilo. Ove informacije se utvdilo šta se i kako dogodilo. Ove informacije ne moraju biti činjenice ali će poslužiti za ne moraju biti činjenice ali će poslužiti za početak istrage. početak istrage.
IspitivanjIspitivanjee – – drugi korakdrugi korak: ono će pomoći u : ono će pomoći u identifikovanju mogućih dokaznih predmeta, tačke identifikovanju mogućih dokaznih predmeta, tačke ulaza i tačke izlaza, kao i opšte predstave o ulaza i tačke izlaza, kao i opšte predstave o mestumestu zločina. zločina.
FotografisanjeFotografisanje – – treći koraktreći korak: obezbeđuje video : obezbeđuje video zapise zapise mestamesta zločina i mogućih dokaznih zločina i mogućih dokaznih predmetapredmeta. . Fotografije Fotografije mestamesta zločina se svrstavaju zločina se svrstavaju u dve kategorije - opšte poglede na u dve kategorije - opšte poglede na mestomesto zločina zločina i dokazne predmete. i dokazne predmete.
Protokol “Protokol “MestaMesta zločina” zločina”
10
SkSkiciranjeiciranje – – četvrti korakčetvrti korak: crtanje grube skice : crtanje grube skice koja prikazuje izgled scene zločina i identifikuje koja prikazuje izgled scene zločina i identifikuje stvarni položaj žrtve ili dokaza na mestu zločina.stvarni položaj žrtve ili dokaza na mestu zločina. Skica Skica mestamesta zločina određenog slučaja ne mora zločina određenog slučaja ne mora biti kompletna zato što se neki oblici na crtežu biti kompletna zato što se neki oblici na crtežu ponavljaju u većini slučajeva. ponavljaju u većini slučajeva.
ObradaObrada –– poslednji, poslednji, peti korakpeti korak: tehničari : tehničari mestamesta zločina obrađuju zločina obrađuju mestomesto zločina u cilju zločina u cilju uobličavanja dokaza, i fizičkih i priznanja. uobličavanja dokaza, i fizičkih i priznanja. Tehničari su odgovorni za identifikaciju, Tehničari su odgovorni za identifikaciju, prikupljanje i klasifikovanje fizičkih dokaza za prikupljanje i klasifikovanje fizičkih dokaza za laboratorijske analize.laboratorijske analize.
Protokol “Protokol “MestaMesta zločina” zločina”
11
Pronađite razlike na ovim Pronađite razlike na ovim crtežimacrtežima
12
“Pimena fizičkih zakonitosti u pravu u cilju traganja za krajnjom istinom u građanskom, kriminalnom i društvenom ponašanju tako da nepravda ne bude naneta ni jednom članu društva.“
Handbook of Forensic Pathology, College of American
Pathologists
ForenzikaForenzika
13
Uloga forenzičaraUloga forenzičara::
– Prepoznavanje, prikupljanje i čuvanje fizičkih Prepoznavanje, prikupljanje i čuvanje fizičkih dokazadokaza
– AnalAnaliza fizičkih dokazaiza fizičkih dokaza– DavanjeDavanje ekspertskog mišljenja ekspertskog mišljenja
Saferstein Saferstein RR.., , CriminalisticsCriminalistics -- AnAn introduction introduction to to ForensicForensic Science, Prentice HallScience, Prentice Hall
CiljCilj: : određivanje dokazne vrednosti određivanje dokazne vrednosti mestamesta zločina i odgovarajućih dokazazločina i odgovarajućih dokaza
14
ForenzikaForenzika
ForenForenzički principizički principi
1.1. MinimizMinimiziranje gubitaka podatakairanje gubitaka podataka
2.2. Dokumentovanje svega:Dokumentovanje svega: - video,- video,- audio i- audio i - zapisi rukom- zapisi rukom
3.3. Analiziranje svih prikupljenih dokazaAnaliziranje svih prikupljenih dokaza
4.4. Izveštavanje o svemu što je pronađenoIzveštavanje o svemu što je pronađeno
15
lobodlobod
micer encsemicer encse
redrumredrum
titinpoorftnpoorft
kidskids
tentenritentenri
mutercopmutercop
BLOODBLOOD
CRIME SCENECRIME SCENE
MURDERMURDER
FOOTPRINTFOOTPRINT
DISKDISK
INTERNETINTERNET
COMPUTERCOMPUTER
Skremblovane skupove slova Skremblovane skupove slova prevedite u forenzičke termine:prevedite u forenzičke termine:
16
““Kompjuterska forenzika je Kompjuterska forenzika je primena kompjuterske istrage primena kompjuterske istrage i tehnika analize u cilju i tehnika analize u cilju pronalapronalažženja pogodnih enja pogodnih dokaza za suddokaza za sud.“.“
Kompjuterska forenzikaKompjuterska forenzika
““Kolekcija tehnika i alata za Kolekcija tehnika i alata za pronalapronalažženje dokaza na enje dokaza na
komjuterima.” komjuterima.” Caloyannides MCaloyannides M..A.A.,, Computer Forensics and Privacy Computer Forensics and Privacy
17
““Primena računarske nauke i matematike Primena računarske nauke i matematike za pouzdano i nepristrasno prikupljanje, za pouzdano i nepristrasno prikupljanje,
analizu, interpretaciju i prezentaciju analizu, interpretaciju i prezentaciju digitalnih dokazadigitalnih dokaza.”.”
StephensonStephenson P., P., PhD Thesis PhD Thesis
DigitalDigitalnana f forenorenzziikaka
““Korišćenje naučno razvijenih i proverenih Korišćenje naučno razvijenih i proverenih metoda za čuvanje, sakupljanje, validaciju, metoda za čuvanje, sakupljanje, validaciju, identifikaciju, identifikaciju, analizu, interpretaciju, analizu, interpretaciju, dokumentovanje i prezentovanje digitalnih dokumentovanje i prezentovanje digitalnih dokaza dobijenih iz digitalnih izvora za dokaza dobijenih iz digitalnih izvora za potrebe rekonstrukcije događaja koji je potrebe rekonstrukcije događaja koji je okarakterisan kao kriminal ili kao pomoć okarakterisan kao kriminal ili kao pomoć da se predvide neautorizovane akcije koje da se predvide neautorizovane akcije koje prete da prekinu planirane operacije.”prete da prekinu planirane operacije.”
Digital Forensics Research Workshop. Digital Forensics Research Workshop. “A Road Map for Digital Forensics Research“A Road Map for Digital Forensics Research””
18
FForenorenzika mrežezika mreže
““Proučavanje mrežnog saobraćaja Proučavanje mrežnog saobraćaja traganjem za istinom u državnim, traganjem za istinom u državnim, kriminalnim i administrativnim kriminalnim i administrativnim stvarima u cilju zaštite korisnika i stvarima u cilju zaštite korisnika i resursa od eksploatacije, napada na resursa od eksploatacije, napada na privatnost i bilo kog drugog zločina privatnost i bilo kog drugog zločina koji se hrani stalnom ekspanzijom koji se hrani stalnom ekspanzijom na mrežni priključak.”na mrežni priključak.”
Mandia Mandia K., K., ProsiseProsise C. C., Incident response,, Incident response,
Osborne/McGraw-Hill,Osborne/McGraw-Hill,
19
CyberCyber fforenorenzikazika
““Obezbeđenje, identifikacija, ekstrakcija, Obezbeđenje, identifikacija, ekstrakcija, dokumentovanje i interpretacija dokumentovanje i interpretacija
komjuterskih komjuterskih medija medija radiradi evidentiranja i/ili evidentiranja i/ili analize korišćenjem dobro definisanih analize korišćenjem dobro definisanih
metoda i procedurametoda i procedura..””
Warren, Kruse G. Warren, Kruse G. II, II, Heiser JHeiser J..G., G., Computer Forensics – Incident Response Essentials,Computer Forensics – Incident Response Essentials,
Addison WesleyAddison Wesley
MetMetodologija se mora zasnivati naodologija se mora zasnivati na::
– Obezbeđivanju dokaza bez promene ili oštećenja Obezbeđivanju dokaza bez promene ili oštećenja originalaoriginala
– Potvrdi da je oporavljeni dokaz isti kao Potvrdi da je oporavljeni dokaz isti kao i originali original– Analizi podataka bez njAnalizi podataka bez njiihove modifikacijehove modifikacije
2020
Preko Preko 9 90% 0% svih informacija svih informacija je u je u digitaldigitalnom nom formatformatuu
iz siz studtudijeije UUniverziteta niverziteta BerkliBerkli
Zašto Zašto CyberCyber forenzika forenzika??
Korišćenje ICT za izvršenje krivičnih Korišćenje ICT za izvršenje krivičnih dela zahteva posebne metode i tehnike dela zahteva posebne metode i tehnike vođenja istragevođenja istrage
Kompjuterski dokazi su osetljivi i lako Kompjuterski dokazi su osetljivi i lako se kompromituju (brišu, menjaju)se kompromituju (brišu, menjaju)
21
• Memoriski kapaciteti PC stalno rastu Memoriski kapaciteti PC stalno rastu (KB MB (KB MB GBGB TB ...) TB ...)
• jun 2010. - u sveta je bilo jun 2010. - u sveta je bilo 1.97 miliardi Internet korisnika
• decembar 2010. – u decembar 2010. – u Cyber prostoru je Cyber prostoru je više od 255 miliona više od 255 miliona
Web sajtovaWeb sajtova
• 2010. - poslato je oko 107 biliona 2010. - poslato je oko 107 biliona ePoruka tj. 294 miliardi dnevno ePoruka tj. 294 miliardi dnevno
• 22nn TB (n TB (n)) podataka se čuva na podataka se čuva na magnetnim medijima, CD, DVD, ...magnetnim medijima, CD, DVD, ...
CCyber yber fforenorenzički izazovizički izazovi
22
• Kako prikupiti specifične, punovažne i za Kako prikupiti specifične, punovažne i za slučaj relevantne dokaze iz ogromnog slučaj relevantne dokaze iz ogromnog broja fajlovabroja fajlova??– analizom linkovaanalizom linkova– vviizzuueelizalizacciijjoomm
• Raspoložive tehnike za otkrivanjeRaspoložive tehnike za otkrivanje::– ttext ext miningmining– ddata ata miningmining– iintelligent ntelligent information information retrieval retrieval
• CyberCyber forenzika se mora brzo prilagođavati forenzika se mora brzo prilagođavati svakom novom proizvodu i inovacijama svakom novom proizvodu i inovacijama postojećih validnim i pouzdanim tehnikama postojećih validnim i pouzdanim tehnikama istrage i analizeistrage i analize
23
CCyber yber fforenorenzički izazovizički izazovi
– NekeNeke uobičajene uobičajene kompjutersko/mrežne aktivnosti kompjutersko/mrežne aktivnosti izgledaju kao napadizgledaju kao napad
– ““Praznine” u lancu dokaza Praznine” u lancu dokaza – Dvosmisleni i nepotpuni logoviDvosmisleni i nepotpuni logovi– Međunarodna uključenostMeđunarodna uključenost
24
Potencijalni Potencijalni problemiproblemi
– Pronalaženje skrivenih, obrisanih ili na drugi Pronalaženje skrivenih, obrisanih ili na drugi način nepristupačnih podataka koji mogu način nepristupačnih podataka koji mogu predstavljatii potencijalne dokaze i njihovo predstavljatii potencijalne dokaze i njihovo dokumentovanjedokumentovanje
– Potkrepljivanje i objašnjavanje tako otkrivenih Potkrepljivanje i objašnjavanje tako otkrivenih dokaza dokazima pribavljenim na drugi način dokaza dokazima pribavljenim na drugi način ili iz drugih izvoraili iz drugih izvora
– Pomoć pri razmatranju uzrPomoć pri razmatranju uzrooka događajaka događaja
– Povezivanje napada sa računarom žrtvePovezivanje napada sa računarom žrtve
– Otkrivanje Otkrivanje end-to-endend-to-end puta koji vodi ka puta koji vodi ka rešenju, bilo ono rešenju, bilo ono pozitivnopozitivno ili ne ili ne
Uloga Uloga CyberCyber f forenorenzikezike
25
ne može da:ne može da:– otkrije oružje iz čijih “cevi se puši” (izuzetno retko)otkrije oružje iz čijih “cevi se puši” (izuzetno retko)– ““uhvati” osumnjičenog za kompjuteromuhvati” osumnjičenog za kompjuterom (“ (“na legluna leglu”)”)– odmah direktno poveže osumljičenog sa napadomodmah direktno poveže osumljičenog sa napadom– pronađe dokaze o događajima/akcijama koje se nisu pronađe dokaze o događajima/akcijama koje se nisu
odigrale (to ne znači da se događaj nikad neće dogoditi!)odigrale (to ne znači da se događaj nikad neće dogoditi!)
može da:može da:– ukaže na putanju kroz mrežu koju je koristio napadačukaže na putanju kroz mrežu koju je koristio napadač– otkrije posrednika upadaotkrije posrednika upada– obezbedi i potvrditi dokazeobezbedi i potvrditi dokaze– da savete za praćenje i verifikaciju drugih izvorada savete za praćenje i verifikaciju drugih izvora– pomogne u formulisanju i dokazivanju hipoteze o napadupomogne u formulisanju i dokazivanju hipoteze o napadu– eliminiše pogrešne predeliminiše pogrešne predppostavkeostavke
26
CyberCyber f forenorenzičkzičkaa analizanalizaa
Princip Princip “ledenog“ledenog brega” brega”
Šta je moguće otkriti Šta je moguće otkriti “klasičnim alatima”?“klasičnim alatima”?
Forenzički alatiForenzički alati
((npr. Windows npr. Windows Explorer)Explorer)
SPECIJALNI SPECIJALNI FORENZIČKI FORENZIČKI ALATIALATI mogućuju mogućuju povraćaj i analizu obrisanih, povraćaj i analizu obrisanih, skrivenih i privremenih fajlova kojima se ne skrivenih i privremenih fajlova kojima se ne može pristupiti na uobičajeni načinmože pristupiti na uobičajeni način
27
Razvoj forenzičkih alataRazvoj forenzičkih alata
Prva Prva generacijageneracija
Razni Razni alati alati zaza: : Image, Document, Search, Image, Document, Search,
Recover Recover ii Report Report
Druga Druga generacijageneracija
Posebno Posebno dizajniranidizajnirani i i razvijeni razvijeni forenzički forenzički
alatialati: : EnCaseEnCase® ® i i drugidrugi
TrećaTreća generacija generacija
Network Forensics: Network Forensics: trenutna, sigurna, trenutna, sigurna,
efikasna efikasna forenzika putem forenzika putem LAN-aLAN-a
28
Forenzički postupakForenzički postupak
Odrediti Odrediti uređajeuređaje koj kojii će biti će biti predmetpredmet istrageistrage
Ako je PC uključen, preuzeti sadržaj RAM-aAko je PC uključen, preuzeti sadržaj RAM-a
SačuvatiSačuvati originalne originalne medijemedije i i spriječiti spriječiti bilo bilo kakve kakve izmene njihovog izmene njihovog sadržajasadržaja
Napraviti Napraviti kopijukopiju svih svih bitnih bitnih medijamedija
Isključiti Isključiti uređaj uređaj standardnim standardnim postupkom postupkom iliili isključivanjem isključivanjem napajanjanapajanja (iz zida) (iz zida)
Obaviti Obaviti forenzičku forenzičku analizu analizu na na kopijamakopijama,, a a ne ne na na originaluoriginalu
29
ForenForenzički zički mmodelodel
• IdentifiIdentifikacijakacija
• PrPripremaiprema
• Pristupna strategijaPristupna strategija
• Čuvanje/zaštitaČuvanje/zaštita
• PrikupljanjePrikupljanje
• IstragaIstraga
• AnalAnalizaiza
• PrePrezezentantacijacija
• Prijava Prijava dokazadokaza
Reith, Carr, Gunsch. “An Examination of Digital Forensic Models”. International Journal of Digital Evidence, Fall 2002, Volume 1,
Issue 330
– PeriPeriferijaferija mrežemreže• Sve što je van firewall-a i u kontaktu sa spoljnom Sve što je van firewall-a i u kontaktu sa spoljnom
javnom mrežom npr. Internetomjavnom mrežom npr. Internetom– End-to-EndEnd-to-End
• Sve između komjutera sa koga je izvršen napad i Sve između komjutera sa koga je izvršen napad i kompjutera žrtve uključujući i njihkompjutera žrtve uključujući i njih
– Korelacija lKorelacija logogovaova• Uklapanje različitih elementa sadržanih u logovima i Uklapanje različitih elementa sadržanih u logovima i
protokolima: vreme, datum, izvor, destinacija, ...protokolima: vreme, datum, izvor, destinacija, ...– Forenzički interesantni podaciForenzički interesantni podaci
• Podaci koji su obrisani ali koji su i dalje prisutni i Podaci koji su obrisani ali koji su i dalje prisutni i moraju biti forenzički “izvučeni” i podaci koji postoje moraju biti forenzički “izvučeni” i podaci koji postoje u swap u swap fajlovima i fajlovima i slack spaceslack space-u-u
– Scenario napadaScenario napada• Opis i rOpis i redosled događaja koji omogućuje da se na edosled događaja koji omogućuje da se na
osnovu logike njihovog pojavljivanja izvrši napadosnovu logike njihovog pojavljivanja izvrši napad31
Navedimo neke pojmoveNavedimo neke pojmove
Šta su dokaziŠta su dokazi??
Podaci činjenične prirode koji Podaci činjenične prirode koji proizlaze iz krivičnoprocesnih radnji proizlaze iz krivičnoprocesnih radnji koje su preduzeli subjekti krivičnog koje su preduzeli subjekti krivičnog
postupka na osnovu kojih se postupka na osnovu kojih se utvrđuje činjenično stanje, a na utvrđuje činjenično stanje, a na
temelju kojih se izvode temelju kojih se izvode krivičnopravno relevantni zaključci u krivičnopravno relevantni zaključci u pogledu bitnih elemenata krivičnog pogledu bitnih elemenata krivičnog
dela i krivične odgovornosti. dela i krivične odgovornosti.
Škulić, JekićŠkulić, Jekić
32
ElementiElementi::
• činjenične prirodečinjenične prirode
• do njih se dolazi na zakonom do njih se dolazi na zakonom predviđeni način predviđeni način
pravno relevantnepravno relevantne
krivičnopravni značajkrivičnopravni značaj
činjenicečinjenice
33
Šta su dokaziŠta su dokazi??
1.. PPodaci ili informacijeodaci ili informacije
Činjenica Činjenica == pojave u strvarnosti pojave u strvarnosti
Činjenice koje su Činjenice koje su isključeneisključene kao predmet dokaza:kao predmet dokaza:
a)a) one one koje se odnose na nešto što je koje se odnose na nešto što je apsolutno nemogućeapsolutno nemoguće (zavisno od stepena razvoja nauke i vremena - primer (zavisno od stepena razvoja nauke i vremena - primer DNK)DNK)
b)b) notorne ili opšte poznatenotorne ili opšte poznate činjenice činjenice
c)c) zakonom isključenezakonom isključene (iz domena državne, vojne, službene (iz domena državne, vojne, službene tajne, krivično delo iznošenja ili pronošenja ličnih i tajne, krivično delo iznošenja ili pronošenja ličnih i porodičnih prilika)porodičnih prilika)
d)d) one one koje se na osnovu toka, prirode stvari ili koje se na osnovu toka, prirode stvari ili odgovarajućeg životnog iskustva odgovarajućeg životnog iskustva pretpostavljajupretpostavljaju kao kao istinite (uračunljivost, svi ljudi su istinite (uračunljivost, svi ljudi su duševno duševno zdravi i normalno duševno razvijeni zdravi i normalno duševno razvijeni za za shvatanje značaja svog dela)shvatanje značaja svog dela)
34
Šta su dokaziŠta su dokazi??
Dokazni postupak = pravila dokazivanja
Obuhvata sve činjenice za koje Obuhvata sve činjenice za koje sud smatrasud smatra da su potrebne za pravilno presuđivanjeda su potrebne za pravilno presuđivanje::
1.1. predmet su predmet su relevantnerelevantne činjenice činjenice
2.2. relevantnost se određuje u relevantnost se određuje u funkcionalnomfunkcionalnom smislusmislu
3.3. sud sud slobodno procenjujeslobodno procenjuje koje su činjenice od značajakoje su činjenice od značaja
4.4. relevantnost i zbog krivičnoprocesnerelevantnost i zbog krivičnoprocesne važnostivažnosti
35
Šta su dokaziŠta su dokazi??
2.2. Subjekti krivičnog postupkaSubjekti krivičnog postupka
Sud Sud jedini izvodi dokaze u krivičnom postupkujedini izvodi dokaze u krivičnom postupku
Sud Sud formuliše svoj dokazni zaključakformuliše svoj dokazni zaključak
Sud Sud je slobodan u oceni dokaza, a je slobodan u oceni dokaza, a ne može ne može da koristi svaki izvorda koristi svaki izvor
Sud Sud preduzima procesno regulisane preduzima procesno regulisane radnje da bi dobio dokaze iliradnje da bi dobio dokaze iliindicijeindicije
36
Šta su dokaziŠta su dokazi??
3.3. Dokazna načela:Dokazna načela:a.a. neposrednost u izvođenju dokazaneposrednost u izvođenju dokaza - - sud sud
nema posrednika i obavezno je prisustvo nema posrednika i obavezno je prisustvo okrivljenog sem kad je u bekstvu ili nedostižan okrivljenog sem kad je u bekstvu ili nedostižan držvnim organima i/ili na predlog tužioca da se sudi držvnim organima i/ili na predlog tužioca da se sudi u odsustvu i/ili ako postoje naročito važni razloziu odsustvu i/ili ako postoje naročito važni razlozi. . Glavni pretres teče u kontinuitetu, sGlavni pretres teče u kontinuitetu, sudsko udsko veće radi veće radi
u istom sastavu,u istom sastavu, odlaganje odlaganje maksimalno 4 maksimalno 4 meseca, u suprotnom mora početi iznova imeseca, u suprotnom mora početi iznova i svi svi
se dokazi moraju ponovo izvesti. se dokazi moraju ponovo izvesti. PrekidPrekid između 2 radna dana, izuzetnoizmeđu 2 radna dana, izuzetno 10 + 10 dana. 10 + 10 dana.
PauzaPauza (2 sata u istom(2 sata u istom danu) danu) zbog isteka radnog vremena ne dužezbog isteka radnog vremena ne duže od od 24 sata. 24 sata. 37
Šta su dokaziŠta su dokazi??
b.b. slobodnslobodnaa ocen ocenaa dokaza dokaza - “čvrsti dokazi”- “čvrsti dokazi”,, priznanjpriznanjee okrivljenog okrivljenog -- KRALJICA DOKAZAKRALJICA DOKAZA. . Obaveza suda je da obrazloži odluku. Ocenjivanje se Obaveza suda je da obrazloži odluku. Ocenjivanje se
obavlja na 2 načina: obavlja na 2 načina: sudija sam stvara sudija sam stvara kriterijum kriterijum iliili ddobijaobija merila merila ((nekad popularna nekad popularna zakonska zakonska mera mera da se izbegnu beznačajnida se izbegnu beznačajni i površno i površno ocenjeni ocenjeni dokazidokazi).).
OpasnostOpasnostii: : “uticaj” politike,“uticaj” politike, procena procena mišljenjamišljenja veštaka, veštaka, “veštak presuđuje” “veštak presuđuje”
tortura,tortura, mučenje, iznuđivanje mučenje, iznuđivanje –– torturutorturu mogu izdržavatimogu izdržavati tvrdokorni, tvrdokorni, znači krivi! znači krivi!
Najvažniji cilj postupka je donošenje Najvažniji cilj postupka je donošenje (pravične) odluke(pravične) odluke
38
Šta su dokaziŠta su dokazi??
c.c. in dubio pro reoin dubio pro reo - - pretpostavka pretpostavka nevinosti, načelo legaliteta. Eliminisanje nevinosti, načelo legaliteta. Eliminisanje svake sumnje u krivicu optuženog, odn. svake sumnje u krivicu optuženog, odn. ako sud ostane u sumnji rešava u korist ako sud ostane u sumnji rešava u korist okrivljenog. Ukoliko nema dokaza, čvrstih okrivljenog. Ukoliko nema dokaza, čvrstih dokaza obustavlja se postupak. dokaza obustavlja se postupak.
U sumnji za U sumnji za opopttuženog!uženog!
39
Šta su dokaziŠta su dokazi??
Materijalna istina vs. formalna istinaMaterijalna istina vs. formalna istina
40
Šta su dokaziŠta su dokazi??
d.d. istineistine - - odnosi se na subjekte i odnosi se na subjekte i predmet istinitog utvrđivanja činjenica predmet istinitog utvrđivanja činjenica (relevantnih). Bitan je i način na koji (relevantnih). Bitan je i način na koji se do nje dolazi. Do istine treba doći se do nje dolazi. Do istine treba doći uz poštovanje dokaznih pravila i uz poštovanje dokaznih pravila i dokaznih zabrana. dokaznih zabrana. Dužnost je suda da Dužnost je suda da u krivičnom postupku istražuje i u krivičnom postupku istražuje i utvrđuje istinu kroz izvođenje dokaza utvrđuje istinu kroz izvođenje dokaza po službenoj dužnosti na osnovu po službenoj dužnosti na osnovu svih činjenica i dokaznih sredstava svih činjenica i dokaznih sredstava koji su mu na raspolaganju i koji su koji su mu na raspolaganju i koji su od značaja za donošenje odlukeod značaja za donošenje odluke..
pravna nevaljanost dokaza do kojih se došlo pravna nevaljanost dokaza do kojih se došlo nakon ispitivanja osumničenog koje nije nakon ispitivanja osumničenog koje nije obavljeno u skladu sa zakonom i ustavom, npr. obavljeno u skladu sa zakonom i ustavom, npr. na osnovu priznanja pod prinudom dana osnovu priznanja pod prinudom da je izvršio krivično delo na osnovu je izvršio krivično delo na osnovu koga policija pronalazi leškoga policija pronalazi leš
Preterano čistunstvoPreterano čistunstvo po ranijim po ranijim propisima, sada nelegalan dokaz propisima, sada nelegalan dokaz koji predstavlja zabranjen osnov za koji predstavlja zabranjen osnov za donošenje sudske odlukedonošenje sudske odluke
direktno direktno pravno pravno nevaljani nevaljani
indirektno indirektno pravo pravo nevaljaninevaljani
41
Doktrina “plod otrovnog drvetaDoktrina “plod otrovnog drveta””
• Nastala u SAD, sudski slučaj Lemon v. Kurtzman povodom “učenje o kontroverznoj evoluciji” pri sprovođenju testa porekla ljudskih bića odn. dokazivanja postojanja “inteligentnog dizajna”
• “Miranda” slučaj - ispitivanje osumnjičenog koje je izvršeno kršenjem propisa
42
Doktrina “plod otrovnog drvetaDoktrina “plod otrovnog drveta” - ” - Fruit of the poisonous tree doctrineFruit of the poisonous tree doctrine
Krivičnoprocesne radnje dokazivanja - određene su krivičnoprocesnim aktivnostima
Dokazne radnje
prikupljanje dokaza
obezbedjenje dokaza
izvodjenjedokaza
proveradokaza
Načelo kredibilitetaNačelo kredibiliteta == rezultat istražnih radnji služi kao dokaz u krivičnom rezultat istražnih radnji služi kao dokaz u krivičnom postupkupostupku
43
Šta su dokaziŠta su dokazi??
RAZMIŠLJATI KAO RAZMIŠLJATI KAO HAKERHAKER
44
KAKO UHVATITIKAKO UHVATITI HAKERA? HAKERA?
P a u z a
DIGITALNIDIGITALNI
DOKADOKAZZII
45
Gde se nalazeGde se nalaze potencijalni potencijalni digitalni dokazidigitalni dokazi??
Address Address bbooksooksEmail filesEmail filesAudio/Video filesAudio/Video filesImage/graphics filesImage/graphics filesCalendarsCalendarsDatabase filesDatabase filesSpreadsheet filesSpreadsheet filesCompressed filesCompressed filesMisnamed filesMisnamed filesEncrypted filesEncrypted filesHidden filesHidden filesPassword protected Password protected filesfiles
File system artifactsFile system artifactsBackup filesBackup filesLog filesLog filesConfiguration filesConfiguration filesPrinter spool filesPrinter spool filesCookiesCookiesSwap filesSwap filesSystem filesSystem filesHistory filesHistory filesTemporary filesTemporary filesDocuments and text filesDocuments and text filesInternet Internet bookmarks/favoritesbookmarks/favorites
46
podaci ili informacije bitne podaci ili informacije bitne zza istragu, a istragu, elektronski elektronski sasaččuvane uvane ili ili prenesen prenesenee. .
Valjani su samo oni koji su Valjani su samo oni koji su prikupljeni ili sačuvani za istražne prikupljeni ili sačuvani za istražne
svrhesvrhe. .
često su “skriveni” na isti način kao i često su “skriveni” na isti način kao i otisak prsta ili DNK dokazi otisak prsta ili DNK dokazi
prelaze granice brzo i lakoprelaze granice brzo i lako mogu se lako iscepkati, zameniti, uništiti i mogu se lako iscepkati, zameniti, uništiti i
oštetitioštetiti ponekad su vremenski senzitivniponekad su vremenski senzitivni
Šta su Šta su digitalni digitalni dokazidokazi??
47
48
• prepoznavanja i identifikacije dokazaprepoznavanja i identifikacije dokaza
• dokumentovanja dokumentovanja mestamesta zločina zločina
• prikupljanje i čuvanjeprikupljanje i čuvanje
• ““pakovanje” i prenospakovanje” i prenos
Koraci pri rKoraci pri rukovanje ukovanje digitalnim dokazimadigitalnim dokazima
Izvori
Ličniiskazi
okrivljenog, svedoka, veštaka
Materijalnipredmetiisprave
fotografije
49
Šta su Šta su digitalni digitalni dokazidokazi??
lični
materijalni
1.1. okrivljeni - okrivljeni - kod saslušanjakod saslušanja
2.2. svedok/ci - svedok/ci - kod saslušanja svedokakod saslušanja svedoka
3.3. veštak/ci - veštak/ci - kod veštačenjakod veštačenja
4.4. materijalni predmeti - materijalni predmeti - sasa uviđaja i uviđaja i
rekonstrukcije, rekonstrukcije, predmeti krivičnog predmeti krivičnog
dela,dela, snimci, snimci, d digitalne fotografijeigitalne fotografije 50
Izvori digitalnih Izvori digitalnih dokazdokazaa
51
Dva ključna problemaDva ključna problema
Pouzdanost digitalnih zapisaPouzdanost digitalnih zapisa Pouzdanost forenzički lociranih iPouzdanost forenzički lociranih i
“oporavljenih” podataka“oporavljenih” podataka
52
Šta su Šta su digitalni digitalni dokazidokazi??
PPotencijalno najmanji digitalni dokaziotencijalno najmanji digitalni dokazi:: 4 byt4 byt-a-a IP adresIP adresaa (numerička)(numerička)
Dokumentacija Dokumentacija ((uuobičajenaobičajena))
kompjuterski izveštaji, npr. iz bazkompjuterski izveštaji, npr. iz bazaa podatakapodataka
zapisi transakcijazapisi transakcija reprodukcije sačuvanih slika reprodukcije sačuvanih slika
(skenirani dokumenti (skenirani dokumenti ii sl.) sl.)
53
54
U jednoj bogatoj firmi u okolini Beograda nekoliko U jednoj bogatoj firmi u okolini Beograda nekoliko godina za redom neposredno pre i u toku godina za redom neposredno pre i u toku godišnjih odmora dolazilo je do disproporcije godišnjih odmora dolazilo je do disproporcije između obračuna plata i naloga banci za uplate između obračuna plata i naloga banci za uplate na tekuće račune zaposlenih. Banci se dostavlja na tekuće račune zaposlenih. Banci se dostavlja magnetna traka sa nalozima za uplatu. Ukupna magnetna traka sa nalozima za uplatu. Ukupna obračunata i ukupna uplaćena suma su bile obračunata i ukupna uplaćena suma su bile jednake. jednake.
Razlika je uočavana tek nakon godišnjih odmora Razlika je uočavana tek nakon godišnjih odmora (oktobar) i pripisivana aplikaciji za obračun plata. (oktobar) i pripisivana aplikaciji za obračun plata. Pošto je grešku napravio računar tj. nema krivice Pošto je grešku napravio računar tj. nema krivice zaposlenog povraćaj je vršen u nekoliko narednihzaposlenog povraćaj je vršen u nekoliko narednih meseci odbijanjem određene sume od plate. meseci odbijanjem određene sume od plate.
55
Kada se situacija ponovila i četvrte godine banka Kada se situacija ponovila i četvrte godine banka sugeriše firmi da proveri o čemu se radi. Naime, sugeriše firmi da proveri o čemu se radi. Naime, pogrešne uplate su vršene samo na račun jednog pogrešne uplate su vršene samo na račun jednog zaposlenog koji je u to doba na godišnjem zaposlenog koji je u to doba na godišnjem odmoru i novac podiže u pošti na moru. odmoru i novac podiže u pošti na moru.
Šta je utvrđeno?Šta je utvrđeno?
- da je spisak zaposlenih i broj radnih sati po da je spisak zaposlenih i broj radnih sati po zaposlenom dolazio iz kadrovske službezaposlenom dolazio iz kadrovske službe
- da je poštovana standardna procedura obračunada je poštovana standardna procedura obračuna- da je obračun vršen i za neke zaposlene koji da je obračun vršen i za neke zaposlene koji
su na bolovanju ili nedavno otišli u penzijusu na bolovanju ili nedavno otišli u penziju- da postoji razlika između “originala” i onoga što se da postoji razlika između “originala” i onoga što se
šalje bancišalje banci
56
Šta je još utvrđeno?Šta je još utvrđeno?
- da je zaposleni radio u računskom centruda je zaposleni radio u računskom centru
- da je dva puta usmeno prijavio greške banci krajem da je dva puta usmeno prijavio greške banci krajem septembra septembra
- da svaki zaposleni u RC zna šifre pristupa da svaki zaposleni u RC zna šifre pristupa ostalihostalih
- da se zaposleni u RC međusobno “pokrivaju”da se zaposleni u RC međusobno “pokrivaju”
- da je zaposleni odgovoran za obračun plata da je zaposleni odgovoran za obračun plata (podprojektant, programer, (podprojektant, programer, jobjob-ista) i da kada nije -ista) i da kada nije na poslu njegove aplikacije pušta bilo kona poslu njegove aplikacije pušta bilo ko
57
Kako se branio?Kako se branio?
-- ddaa je je sam sam ukazao ukazao na na nepravilnost nepravilnost obračunaobračuna
-- “mislio” “mislio” je da je je da je to to redovna redovna plata plata i i novac novac trošiotrošio
-- da njemu neko smešta da njemu neko smešta jer jer se se to to dešavadešava kadkad nije nije na posluna poslu
Karakteristike Karakteristike digitalnih dokazadigitalnih dokaza
58
Digitalni dokazi Digitalni dokazi ......
... ... su kao i bilo koji su kao i bilo koji drugi drugi dokazi, te moraju dokazi, te moraju za za sudsud biti biti::
prihvatljiviprihvatljivi
autautentičnientični
precizniprecizni
kompletnikompletni
ubedljiviubedljivi
59
...... prihvatljivost prihvatljivost
• zajednička – krivičnopravnazajednička – krivičnopravna i i građanskopravna tradicija građanskopravna tradicija
• nepovoljni/inkvizitorski sudski nepovoljni/inkvizitorski sudski postupcipostupci
• ““obezbeđenjeobezbeđenje” do” dokumenata, kopijakumenata, kopija
60
Digitalni dokazi Digitalni dokazi ......
... ... autentiautentičnostčnost
• može li se ekspicitno odnositi na može li se ekspicitno odnositi na fajlove i podatke koji su vezani za fajlove i podatke koji su vezani za odreodređene pojedince i događajeđene pojedince i događaje?? kontrola pristupakontrola pristupa
uključivanje, revizija logovauključivanje, revizija logova
kolateralni dokazikolateralni dokazi
autentičnost bazirana na kriptografijiautentičnost bazirana na kriptografiji
61
Digitalni dokazi Digitalni dokazi ......
... ... preciznost preciznost
• uobičajeni kompjuterski procesi bez uobičajeni kompjuterski procesi bez povezanosti sa sadržajem podatakapovezanosti sa sadržajem podataka
• objasniti kako objasniti kako ““eksponatieksponati”” postaju postaju stvarnistvarni – šta radi kompjuterski sistemšta radi kompjuterski sistem??
– koji su ulazikoji su ulazi??
– koji su interni procesikoji su interni procesi??
– šta je sa kontrolomšta je sa kontrolom??62
Digitalni dokazi Digitalni dokazi ......
... ... kompletnostkompletnost
• na sopstveni način “priča” potpunu na sopstveni način “priča” potpunu priču svakog pojedinog delapriču svakog pojedinog dela
63
Digitalni dokazi Digitalni dokazi ......
...... ubedljivostubedljivost
• da ima punovažnu vrednostda ima punovažnu vrednost
• subjektivni, praktičan test izvođenjasubjektivni, praktičan test izvođenja
64
Digitalni dokazi Digitalni dokazi ......
... ... ipak se razlikuju od drugihipak se razlikuju od drugih
• česte promene tehnologiječeste promene tehnologije
• veliki broj ovih dokaza je nečitljiv za veliki broj ovih dokaza je nečitljiv za ljude:ljude:
– mmnogi i kada su odštampani su u nogi i kada su odštampani su u digitalnom oblikudigitalnom obliku
– dokaze kreiraju i sami računari kao što ih i dokaze kreiraju i sami računari kao što ih i čuvaju čuvaju
65
Digitalni dokazi Digitalni dokazi ......
... ... razlik razlikaa izmeizmeđđuu drugih dokaza drugih dokaza i i kompjuterskih podatakakompjuterskih podataka
Podaci se mogu brzo i lako promenitiPodaci se mogu brzo i lako promeniti: : • u računaru i tokom transferau računaru i tokom transfera
• u procesu prikupljanja dokazau procesu prikupljanja dokaza
• bez bez ““tragovatragova””
66
Digitalni dokazi Digitalni dokazi ......
...... kreiraju isto onoliko mogućnosti kreiraju isto onoliko mogućnosti koliko i opasnostikoliko i opasnosti
većina komercijalnih transakcija su zapamćene
mnogo je lakše trasirati pojedinačne aktivnosti i lične podatke (istoriju)
metode bazirane na kompjuterski zasnovanim istragama su moguće i primenljive ...
67
Digitalni dokazi Digitalni dokazi ......
identifikacija
čuvanje - zaštita
prikupljanje
ispitivanje
analiziranje
prezentiranje
povraćaj dokaza
ssttrraatteeggii jjaa
iissttrraaggaa
Zato se definišu okviri istrage za Zato se definišu okviri istrage za obezbeđivanje digitalnih dokazaobezbeđivanje digitalnih dokaza
68
Pravila Pravila
Raditi tako da se obezbede originalni Raditi tako da se obezbede originalni digitalni dokazi uz sve dodatne oblike digitalni dokazi uz sve dodatne oblike (kopije, beleške, fotografije ...)(kopije, beleške, fotografije ...)
Obezbediti predstavljanje originalnih Obezbediti predstavljanje originalnih dokaza u sistemu i na mrežidokaza u sistemu i na mreži
Vaditi i izdvajati dokaze da bi se mogli Vaditi i izdvajati dokaze da bi se mogli pojaviti na sudupojaviti na sudu
69
☻ Obezbediti osobe koja mogu nadzirati Obezbediti osobe koja mogu nadzirati dokaze dokaze
☻ Obezbediti kontinuitet posedovanja Obezbediti kontinuitet posedovanja
☻ Obezbediti integritet rukovanja (korišćenja) Obezbediti integritet rukovanja (korišćenja) prikupljanja dokazaprikupljanja dokaza
70
Lanci nadzoraLanci nadzora
... u protokol treba uneti:... u protokol treba uneti:☻ Datum i vreme konfikskacije “predmeta”Datum i vreme konfikskacije “predmeta”
☻ Imena lica koja su prikupljali podatkeImena lica koja su prikupljali podatke
☻ Lociranje ko je i zašto došao do njih Lociranje ko je i zašto došao do njih
☻ Puno ime i potpis ostalih osoba koja su Puno ime i potpis ostalih osoba koja su bila u kontaktu sa dokazimabila u kontaktu sa dokazima
☻ Broj predmeta i broj dokazaBroj predmeta i broj dokaza
☻ Opis dokazaOpis dokaza
☻ ““HashHash” funkciju kojom se došlo do njih” funkciju kojom se došlo do njih
Lanci nadzoraLanci nadzora
71
Šta su “slike”?Šta su “slike”?
Bit image mape Bit image mape tj. kopije tj. kopije bbit-for-bitit-for-bit originalnih dokaza pokupljenih sa originalnih dokaza pokupljenih sa
sistemasistema
☻Mogu obuhvatati “slike”Mogu obuhvatati “slike”:: Hard driveHard drive-a-a ( (logički i fizičkilogički i fizički)) MemorMemorijeije Prenosnih medijumaPrenosnih medijuma
72
Liste “prljavih” rečiListe “prljavih” reči
► Specifične ključne reči vezane za svaki Specifične ključne reči vezane za svaki pojedinačni slučajpojedinačni slučaj
► ListLista reči koje su se koristile kao hitovi a reči koje su se koristile kao hitovi na hard diskuna hard disku
► ModifiModifikovanja koja su se desila u toku kovanja koja su se desila u toku istrage ili analiziranjaistrage ili analiziranja
73
Integritet dokazaIntegritet dokaza
► Obezbeđenje dokaza od promenaObezbeđenje dokaza od promena
► Bit-imageBit-image kopije kopije
► Zaključavanje i ograničavanje pristupa Zaključavanje i ograničavanje pristupa
► Korišćenje kriptografije za obezbeđenje Korišćenje kriptografije za obezbeđenje integriteta originalnih dokaza, kao i kopijaintegriteta originalnih dokaza, kao i kopija
74
Analiza medijumaAnaliza medijuma
Fokusiranje na kopije koje su u postupku, Fokusiranje na kopije koje su u postupku, a koje su prikupljene na mestu izvršenjaa koje su prikupljene na mestu izvršenja ((slika, digitana fotografijaslika, digitana fotografija))
Primarno analiziranje primarnih dokazaPrimarno analiziranje primarnih dokaza
Traženje ostalih dokaza vezanih za deloTraženje ostalih dokaza vezanih za delo
Korišćenje forenzičkih posebnih podataka i Korišćenje forenzičkih posebnih podataka i alataalata
75
... .. ..... ...... .. ..... ...DiskDisk
Track
Sector
Cylinder
(Clusters aregroups ofSectors)
End of FileEnd of File Slack SpaceSlack Spaceposlednji cluster u
fajlu76
Gde se kriju dokazi?Gde se kriju dokazi?
Gde se kriju dokazi?Gde se kriju dokazi?
• Nealocirani prostorNealocirani prostor– pravi nealocirani prostorpravi nealocirani prostor– prostor obrisanih fajlovaprostor obrisanih fajlova
• SwapSwap ffajloviajlovi
• Cache Cache ffajloviajlovi
77
ProcesProces kkompompjjuteruterskeske f forenorenzziikeke
• Alati i procesi – zahtevi korišćenjaAlati i procesi – zahtevi korišćenja – Ne smeju da proizvedu alternativne podatke u Ne smeju da proizvedu alternativne podatke u
toku procesa prikupljanja toku procesa prikupljanja
– Moraju prikupiti sve podatke koji se zahtevaju Moraju prikupiti sve podatke koji se zahtevaju ali samo njihali samo njih
– Moraju se obezbediti uslovi da funkcionišu u Moraju se obezbediti uslovi da funkcionišu u predviđenim granicama predviđenim granicama
– Moraju biti prihvaćeni od većine istraživača iz Moraju biti prihvaćeni od većine istraživača iz oblasti kompjuterske forenzikeoblasti kompjuterske forenzike
– Rezultat koji se dobije njRezultat koji se dobije njiihovim korišćenjem hovim korišćenjem mora biti takav da se može ponovitimora biti takav da se može ponoviti
78
• Prvo praviloPrvo pravilo: : Ništa ne sme biti “povređeno”Ništa ne sme biti “povređeno”– Ne raditi ništa sa računarom žrtve ili Ne raditi ništa sa računarom žrtve ili računaromračunarom
osumljičenim za napadosumljičenim za napad
– Obezbedi disk sa kompjutera žrtve Obezbedi disk sa kompjutera žrtve kao kao dokaz dokaz kad kad god god jeje to to mogućemoguće
– ““Izvući” firewall logove kompjutera žrtve i ostalih Izvući” firewall logove kompjutera žrtve i ostalih kompjutera nekoliko dana pre i posle incidentakompjutera nekoliko dana pre i posle incidenta
• Drugo praviloDrugo pravilo: : ““Zaštiti sveZaštiti sve””– ZapZapočetočeti i identifikovanje tragova lociranjem logova identifikovanje tragova lociranjem logova– KontaktiraKontaktiratiti sistem administratora radi zaštite sistem administratora radi zaštite
zahtevanih zahtevanih logovalogova– Prikupiti lokalne logovePrikupiti lokalne logove– Zaustaviti štetuZaustaviti štetu– Sačuvati Sačuvati image image diska žrtve diska žrtve
79
ProcesProces kkompompjjuteruterskeske f forenorenzziikeke
• Pravljenje Pravljenje mirrormirror-a-a– BootBoot sasa floppyfloppy-a-a– Direktno kopiranje na drugi HDDirektno kopiranje na drugi HD
• Disk istog tipa (poželjno iz iste serije)Disk istog tipa (poželjno iz iste serije)• SetSetovati drugi disk kao ovati drugi disk kao slaveslave – original kao – original kao
mastermaster– Ako nije moguće HD na HD koristiti magnetnu Ako nije moguće HD na HD koristiti magnetnu
traku ili CD ROM ili DVD ili sličan uređaj kao traku ili CD ROM ili DVD ili sličan uređaj kao backupbackup medijum medijum
• Prikupljanje dokazaPrikupljanje dokaza– Obezbediti kompjuter – napraviti Obezbediti kompjuter – napraviti backupbackup– Shut Shut downdown kkompompjjuterutera – a – rebootreboot sa sa floppyfloppy-a-a – Dešifrovati dokaze Dešifrovati dokaze (op(opccionionoo))
80
Proces kompjuterske forenzike
• Pribavljanje dokazaPribavljanje dokaza– Pretraživanje Pretraživanje iimagemage diskdiska a kao tekstakao teksta pomoću pomoću
liste ključnih rečiliste ključnih reči
• Obezbeđivanje dokazaObezbeđivanje dokaza– Nikad ne vršiti forenzičku analizu na Nikad ne vršiti forenzičku analizu na
originalnom dokazu (uvek koristi originalnom dokazu (uvek koristi mirrormirror))
– Ne raditi na kompjuteru koji možda sadrži Ne raditi na kompjuteru koji možda sadrži dokazedokaze
– Obezbeđeni dokazi (elektronski - kriptovani, Obezbeđeni dokazi (elektronski - kriptovani, fizički - pečatirani) moraju biti pristupačni na fizički - pečatirani) moraju biti pristupačni na zahtevzahtev
81
Proces kompjuterske forenzike
Sastav Sastav cyber cyber forenzičkog forenzičkog timatima
• Specijalisti:Specijalisti: Tehničari, istražitelji, Tehničari, istražitelji, analitičari poslovnih analitičari poslovnih procesa ...procesa ...
• ““Minimalni” tim:Minimalni” tim:– specijalista specijalista cybercyber forenzike - vođa tima forenzike - vođa tima
– specijalista za mreže/platformespecijalista za mreže/platforme
– sspecipecijaljalistista za a za codecode
– analitičara poslovnih analitičara poslovnih procesprocesaa
– menadžer kontrole kvaliteta/evidentičarmenadžer kontrole kvaliteta/evidentičar82
Analize koje tim obavljaAnalize koje tim obavlja
• TehniTehničkačka analiza podataka analiza podataka
• Analiza poslovnih procesaAnaliza poslovnih procesa• Regulatorna saglasnost i analiza Regulatorna saglasnost i analiza
gubitka gubitka
83
84
Forenzički alatiForenzički alati
EnCase Forensic EnCase Forensic - kompletan sistem za - kompletan sistem za prikupljanje, analizu i pravljenje izveštaja o prikupljanje, analizu i pravljenje izveštaja o dokazima prihvatljivim za sud dokazima prihvatljivim za sud
File Scavaenger File Scavaenger - alat za oporavak - alat za oporavak podataka (MS Windows NT, 2000, 2003, podataka (MS Windows NT, 2000, 2003, XP, Vista)XP, Vista)
Disk Doctor Disk Doctor - skup programa za oporavak - skup programa za oporavak podataka (MS Windows, Mac OS, Linux, podataka (MS Windows, Mac OS, Linux, Unix /Solaris/)Unix /Solaris/)
JDAFTSJDAFTS - kompletan - kompletan open source open source sistem za sistem za prikupljanje, analizu i pravljenje izveštaja prikupljanje, analizu i pravljenje izveštaja o dokazima prihvatljivim za sud o dokazima prihvatljivim za sud
Da ponovimoDa ponovimo
Sačuvati Sačuvati originalnioriginalni medijum medijum u u najboljemnajboljem
mogućem mogućem stanjustanju
Analiza Analiza se se uvijek uvijek obavlja obavlja na na kopijikopiji
Analiza Analiza se se nikada nikada ne ne obavlja obavlja na na “živom” “živom”
sistemu sistemu alatima alatima OS OS ( (browsing browsing folders folders i i
sl.sl.))
Nikada Nikada se se ne ne smeju smeju koristiti koristiti aplikacije OS aplikacije OS
((netstatnetstat i sl.i sl.))
Dokumentovati Dokumentovati svaki koraksvaki korak85
A n t i f o r e n z i k a
86
87
AntiforenzikaAntiforenzika
““Pokušaji da se negativno utiče na postojanje, Pokušaji da se negativno utiče na postojanje, količinukoličinu i/ili kvalitet podataka i/ili kvalitet podataka nna mesta mestuu zločina, zločina, aali li i na i na pravljene analizpravljene analizaa i ispitivanje dokaza i ispitivanje dokaza tako datako da to to bude bude teškoteško ili ili gotovo neizvodljivo.”gotovo neizvodljivo.”
dr Marc Rogersdr Marc Rogers,, Purdue Purdue UUniverniverssitityy
““Antiforenzika je više od tehnologije. Antiforenzika je više od tehnologije. OnaOna je je kriminalnkriminalnii hak hakinging koj kojii dovodi dodovodi do ootežatežanognog pronalaženjpronalaženjaa počinioca i nemoguć počinioca i nemogućnostinosti dokazivanjdokazivanjaa da da jeje to onto on.”.”
Scott BerinatoScott Berinato,, član članaak k ““Uspon anti-forenzikeUspon anti-forenzike””
88
Mišljenja o antiforenzičkim alatima:Mišljenja o antiforenzičkim alatima:
-- malicioznimaliciozni, s, svrhom vrhom i i dizajnomdizajnom-- koriste koriste se se za za ilustrovanjeilustrovanje nedostataka nedostataka procedura procedura digitalnedigitalne forenzike, forenzike, njenih njenih alataalata i i obrazovanjobrazovanjee istražiteljaistražitelja Oblici Oblici antiforenzantiforenzčkog delovanja čkog delovanja (d(dr Marc Rogersr Marc Rogers))::
•sskrivanjekrivanje podataka podataka•brisanje brisanje sadržaja sadržaja•prikrivanje prikrivanje tragova tragova •napadi napadi na na forenziforenzičkečke alatealate i i proceseprocese
AntiforenzikaAntiforenzika
89
Oblici Oblici antiforenzičkog antiforenzičkog delovanja: delovanja: skrivanje skrivanje podatakapodataka
EnkripcijaEnkripcija
- - na na nivou fajlova kriptuje nivou fajlova kriptuje se se samo samo sadrsadržajžaj fajla. fajla. NNazivaziv,, veličina i vremenski pečat veličina i vremenski pečat su nsu neenkriptovaneenkriptovani tako da se di tako da se deo sadržaja fajla eo sadržaja fajla može rekonstruimože rekonstruisatisati iziz drugih drugih izvora.izvora. Većina Većina javno dostupnih javno dostupnih programa za enkripciju programa za enkripciju dozvoljava korisnicima da stvore dozvoljava korisnicima da stvore enkripenkriptovanetovane virtuelnevirtuelne diskove koji diskove koji se se mogu otvormogu otvoritiiti jedino jedino odgovarajućim ključemodgovarajućim ključem - - “forenzička “forenzička noćnanoćna mora”mora”
90
ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: skrivanje skrivanje podatakapodataka
SteganografijaSteganografija - - umeće pisanja u znakovima umeće pisanja u znakovima koji nisu razumljivi ukoliko se ne poseduje koji nisu razumljivi ukoliko se ne poseduje odgovarajući odgovarajući ključ.ključ.
DDigitalnigitalnaa st steganografijaeganografija - - skrivanjskrivanjee digitalnih digitalnih podatakapodataka u multimedij u multimedijalnom alnom oblikoblikuu kao kao delova digitalnih video (25, 26 ili ... sličica u delova digitalnih video (25, 26 ili ... sličica u sekundi, deo digitalne fotografije) i audio sekundi, deo digitalne fotografije) i audio fajlova.fajlova.
91
ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: skrivanje skrivanje podatakapodataka
Drugi oblici skrivanja podatakaDrugi oblici skrivanja podataka -- skrivanje skrivanje nana različite lokacije u računarskom sistemurazličite lokacije u računarskom sistemu: : memorijmemorija (RAM i/ili ROM)a (RAM i/ili ROM), skriven, skrivenii direktorijumdirektorijumii, skrivene particije, skrivene particije, s, slack lack sspace, pace, bad blocks, bad sectors bad blocks, bad sectors … …
SlackerSlacker alat koji alat koji deli fajl deli fajl na na delovdelove koje e koje smešta smešta u prazan prostor u prazan prostor iza iza drugih fajlovadrugih fajlova skrivajući skrivajući ga ga odod forenzičk forenzičkihih softvera. softvera.
ProglašavanjeProglašavanje “ispravnih” blokova ili sektora za “ispravnih” blokova ili sektora za “loše” - većina forenzičkih alata preskaće “loše” - većina forenzičkih alata preskaće takve delove diska.takve delove diska.
-- npr. uobičajena naredba za npr. uobičajena naredba za formatiranje diska. Međutimformatiranje diska. Međutim,, ona ona ostavlja ostavlja “tragove” tj. “tragove” tj. nne e formatira (čitaj: briše) sve formatira (čitaj: briše) sve delove diska podjednako. Pouzdaniji je delove diska podjednako. Pouzdaniji je LOW LOW LAVEL FORMATLAVEL FORMAT iliili neki od samo zaneki od samo za to to namenjenih softvera namenjenih softvera ((KillDisk, PC KillDisk, PC Inspector Inspector ......). Treba napomenuti da su ovi ). Treba napomenuti da su ovi postupci vremenski zahtevni.postupci vremenski zahtevni.
92
ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: brisanjebrisanje sadržajasadržaja
Čišćenje Čišćenje diskadiska
- među prvim - među prvim proizvodima ovog tipa, krajem 80tih prošlog proizvodima ovog tipa, krajem 80tih prošlog veka, bio je veka, bio je Norton WipeNorton Wipe. Brisanje se može . Brisanje se može oostvaritstvaritii u relativno kratkom vremen u relativno kratkom vremenu iu i obično ostavlja mnogo manji trag nego obično ostavlja mnogo manji trag nego formatiranjeformatiranje diska. diska.
ManeMane:: zahteva uključenost korisnika u proceszahteva uključenost korisnika u proces i i ne izvrši ne izvrši se se uvekuvek u potpunosti. u potpunosti.
93
ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: brisanjebrisanje sadržajasadržaja
BrisanjeBrisanje pojedinačnih pojedinačnih ffajlovaajlova
-- postupak postupak pri kome se pri kome se disk izlaže delovanju jakog disk izlaže delovanju jakog obrobrttnonogg magnetnomagnetnogg polj poljaa. Rezultat je potpuno čist . Rezultat je potpuno čist medijum. Umedijum. Uprkos činjenici da je prkos činjenici da je najpouzdanija retko senajpouzdanija retko se koristikoristi zbog zbog visokivisokihh troškova troškova ovakvih ovakvih uređaja. Alternativa je uređaja. Alternativa je fizičkofizičko uništ uništeenje. nje.
94
Oblici Oblici antiforenzičkog antiforenzičkog delovanja: delovanja: brisanjebrisanje sadržajasadržaja
DemagnetizDemagnetizacijaacija diskadiska
95
ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: prikrivanje prikrivanje tragovatragova
Svrha prikrivanja tragova je da preusmeri, Svrha prikrivanja tragova je da preusmeri, dezorjentiše dezorjentiše forenzičkoforenzičko is istraživtraživanje.anje.
TimestampTimestamp oomogućmogućujeuje izmen izmenuu metapodataka metapodataka kojkojii se odnos se odnosee na vreme/datum na vreme/datum pristuppristupaa, , kreiranja i/ili kreiranja i/ili mmodifikovanja fajla.odifikovanja fajla.
TransmogrifyTransmogrify o omogućmogućujeuje da se da se identifikacionidentifikacionii podapodaci o tipu i sadržaju koji se nalaze u ci o tipu i sadržaju koji se nalaze u zaglavljzaglavljuu fajla promene - fajla promene - forenzički program za skeniranje forenzički program za skeniranje slikaslika neće ih pronaći ako su one upakovane kao neće ih pronaći ako su one upakovane kao tekst dokument. tekst dokument.
96
Oblici Oblici antiforenzičkog antiforenzičkog delovanja: delovanja: napadinapadi nana forenzi forenzičke čke alate alate i i proceseprocese
Do nedavno su se Do nedavno su se antiforenzički alati kori antiforenzički alati koristili stili za za uništavanje, skrivanje ili menjanje uništavanje, skrivanje ili menjanje podataka podataka bitnih bitnih za za istraguistragu. Napadi s. Napadi see sada usmer sada usmeravaju avaju na alatena alate i i procedure procedure kojikojimama se se obavobavljajuljaju ispitivanj ispitivanjaa. . Određeni Određeni delovi diska se mogu zaštititi pomoću virusolikih delovi diska se mogu zaštititi pomoću virusolikih programa od neautorizovanog pristupa. programa od neautorizovanog pristupa. Tokom tipičnTokom tipičnee forenzičkforenzičkee is istrage prvo se prave kopije medijuma sa trage prvo se prave kopije medijuma sa podacima radi obezbeđivanja originalnih dokaza. podacima radi obezbeđivanja originalnih dokaza. Upravo se pravljenje kopije od strane takvih programa Upravo se pravljenje kopije od strane takvih programa može tretirati kao neautorizovani pristup. Da bi se on može tretirati kao neautorizovani pristup. Da bi se on sprečio pribegava se oštećenju sprečio pribegava se oštećenju hashhash fajla kopije ili fajla kopije ili originala tako da prikupljeni originala tako da prikupljeni dokazi mogu bdokazi mogu bitiiti osporeni osporeni..