1 fon, 2011.. 18:00 – 18:45 cyber forenzika 18:45 – 19:30 forenzičke metode 19:30 – 19:50...

1

FON, 2011.

18:00 – 18:45 Cyber forenzika

18:45 – 19:30 Forenzičke metode

19:30 – 19:50 Pauza

19:50 – 20:35 Digitalni dokazi

20:35 – 21:20 Antiforenzika

2

Cyber aktivnosti su svakodnevne aktivnosti većine stanovnika

razvijenih zemalja:

ICT je preduslov za upravljanje i kontrolu informacionih procesa u firmama, upravi …

eTrgovina postaje vodeći oblik poslovanja u svetu Sve više “stvari” je direktno kontrolisano od strane

kompjutera

Ljudi su sve zavisniji od ICT-akoji postaje cilj kriminalnih aktivnosti,

kao što su:prevare, vandalizam, špijunaža i sl.

Da se podsetimo

3

● 85% privrede i vladinih agencija u SAD je identifikovalo proboje sigurnosnih sistema

● U 2000. godini gubici su samo po ovom osnovu u SAD su bili oko $10 miljardi (izvor FBI)

● 4.2% je godišnji rast UK cyber kriminala u 2008.

● Početkom 90ih pretnje informacionim sistemima su u 80% slučajeva bile interne, odnosno 20% eksterne

● Integracijom telekomunakcija i PC putem Interneta eksterne i interne pretnje su se izjednačile

4

Da se podsetimo

Mere protiv Kompjuterskog & Cyber kriminala:

– Zaštita kompjutera i mreža – Efikasno tužilaštvo i prevencija

5

- tehničke i - organizacione

- pravne

Da se podsetimo

- tehnika - tehnika identifikacije počinilaca koja se bazira na identifikacije počinilaca koja se bazira na analizi prirode dela i načina na koji je analizi prirode dela i načina na koji je učinjeno.učinjeno. Analiziraju se antropološke, biološke, Analiziraju se antropološke, biološke, psihološke, demografske, lične karakteristike psihološke, demografske, lične karakteristike potencijalnih počinilaca i upoređuju sa potencijalnih počinilaca i upoređuju sa prethodnim, sadašnjim i naknadnim prethodnim, sadašnjim i naknadnim osobenostima načina izvršenja dela. Ove osobenostima načina izvršenja dela. Ove informacije se kombinuju sa drugim informacije se kombinuju sa drugim relevantnim podacima i fizičkim dokazima i relevantnim podacima i fizičkim dokazima i upoređuju sa karakteristikama poznatih tipova upoređuju sa karakteristikama poznatih tipova ličnosti i mentalnih abnormalnosti. Na osnovu ličnosti i mentalnih abnormalnosti. Na osnovu svega toga pravisvega toga pravi se opis potencijalnog se opis potencijalnog počiniocapočinioca..

Da li ste čuli za:

6

● Profil počiniocaProfil počinioca● Profil žrtveProfil žrtve● Opis scene - mesta zločinaOpis scene - mesta zločina

Prioritetizacije sumnjiPrioritetizacije sumnji NovNovihih linij linijaa gonjenja gonjenja Definisanja strategije vođenja istrageDefinisanja strategije vođenja istrage DefinisanjDefinisanjaa opasnosti opasnosti ““OsvetljavanjOsvetljavanjaa” počinilaca” počinilaca

7

To je bitno zbog?

• OsumnjičeniOsumnjičeni

• SaizvršilacSaizvršilac

• AlibiAlibi8

:: osoba koja bi bila sposobna da osoba koja bi bila sposobna da izvrši izvrši zločinzločin

:: druga osoba, ortak, u izvršenju druga osoba, ortak, u izvršenju kriminalnog delakriminalnog dela

:: izjava o tome gde je osumljičeni izjava o tome gde je osumljičeni bio u bio u vreme izvršenja krivičnog delavreme izvršenja krivičnog dela

bilo koja fizička lokacija na kojoj se odigraobilo koja fizička lokacija na kojoj se odigrao ili ili se predpostavlja da se odigrao zločin se predpostavlja da se odigrao zločin

Primarno mesto zločinaPrimarno mesto zločina - - originalna originalna lokacija na kojoj se lokacija na kojoj se

kriminal ili incident kriminal ili incident odigraoodigrao

SeSekundarno mesto zločinakundarno mesto zločina -- neka neka alterativna lokacija alterativna lokacija na kojoj se kriminal na kojoj se kriminal ili incident odigrao, ili incident odigrao, odnosno gde bi se odnosno gde bi se mogao naći dodatni mogao naći dodatni dokazdokaz

““MestoMesto zločina” zločina”

9

IntervIntervjuju – – prvi korakprvi korak protkola tj. obrade protkola tj. obrade mestamesta zločina: razgovor sa službenim licem koje je zločina: razgovor sa službenim licem koje je prvo stiglo na mesto zločina i/ili sa žrtvom da bi prvo stiglo na mesto zločina i/ili sa žrtvom da bi se utvdilo šta se i kako dogodilo. Ove informacije se utvdilo šta se i kako dogodilo. Ove informacije ne moraju biti činjenice ali će poslužiti za ne moraju biti činjenice ali će poslužiti za početak istrage. početak istrage.

IspitivanjIspitivanjee – – drugi korakdrugi korak: ono će pomoći u : ono će pomoći u identifikovanju mogućih dokaznih predmeta, tačke identifikovanju mogućih dokaznih predmeta, tačke ulaza i tačke izlaza, kao i opšte predstave o ulaza i tačke izlaza, kao i opšte predstave o mestumestu zločina. zločina.

FotografisanjeFotografisanje – – treći koraktreći korak: obezbeđuje video : obezbeđuje video zapise zapise mestamesta zločina i mogućih dokaznih zločina i mogućih dokaznih predmetapredmeta. . Fotografije Fotografije mestamesta zločina se svrstavaju zločina se svrstavaju u dve kategorije - opšte poglede na u dve kategorije - opšte poglede na mestomesto zločina zločina i dokazne predmete. i dokazne predmete.

Protokol “Protokol “MestaMesta zločina” zločina”

10

SkSkiciranjeiciranje – – četvrti korakčetvrti korak: crtanje grube skice : crtanje grube skice koja prikazuje izgled scene zločina i identifikuje koja prikazuje izgled scene zločina i identifikuje stvarni položaj žrtve ili dokaza na mestu zločina.stvarni položaj žrtve ili dokaza na mestu zločina. Skica Skica mestamesta zločina određenog slučaja ne mora zločina određenog slučaja ne mora biti kompletna zato što se neki oblici na crtežu biti kompletna zato što se neki oblici na crtežu ponavljaju u većini slučajeva. ponavljaju u većini slučajeva.

ObradaObrada –– poslednji, poslednji, peti korakpeti korak: tehničari : tehničari mestamesta zločina obrađuju zločina obrađuju mestomesto zločina u cilju zločina u cilju uobličavanja dokaza, i fizičkih i priznanja. uobličavanja dokaza, i fizičkih i priznanja. Tehničari su odgovorni za identifikaciju, Tehničari su odgovorni za identifikaciju, prikupljanje i klasifikovanje fizičkih dokaza za prikupljanje i klasifikovanje fizičkih dokaza za laboratorijske analize.laboratorijske analize.

Protokol “Protokol “MestaMesta zločina” zločina”

11

Pronađite razlike na ovim Pronađite razlike na ovim crtežimacrtežima

12

“Pimena fizičkih zakonitosti u pravu u cilju traganja za krajnjom istinom u građanskom, kriminalnom i društvenom ponašanju tako da nepravda ne bude naneta ni jednom članu društva.“

Handbook of Forensic Pathology, College of American

Pathologists

ForenzikaForenzika

13

Uloga forenzičaraUloga forenzičara::

– Prepoznavanje, prikupljanje i čuvanje fizičkih Prepoznavanje, prikupljanje i čuvanje fizičkih dokazadokaza

– AnalAnaliza fizičkih dokazaiza fizičkih dokaza– DavanjeDavanje ekspertskog mišljenja ekspertskog mišljenja

Saferstein Saferstein RR.., , CriminalisticsCriminalistics -- AnAn introduction introduction to to ForensicForensic Science, Prentice HallScience, Prentice Hall

CiljCilj: : određivanje dokazne vrednosti određivanje dokazne vrednosti mestamesta zločina i odgovarajućih dokazazločina i odgovarajućih dokaza

14

ForenzikaForenzika

ForenForenzički principizički principi

1.1. MinimizMinimiziranje gubitaka podatakairanje gubitaka podataka

2.2. Dokumentovanje svega:Dokumentovanje svega: - video,- video,- audio i- audio i - zapisi rukom- zapisi rukom

3.3. Analiziranje svih prikupljenih dokazaAnaliziranje svih prikupljenih dokaza

4.4. Izveštavanje o svemu što je pronađenoIzveštavanje o svemu što je pronađeno

15

lobodlobod

micer encsemicer encse

redrumredrum

titinpoorftnpoorft

kidskids

tentenritentenri

mutercopmutercop

BLOODBLOOD

CRIME SCENECRIME SCENE

MURDERMURDER

FOOTPRINTFOOTPRINT

DISKDISK

INTERNETINTERNET

COMPUTERCOMPUTER

Skremblovane skupove slova Skremblovane skupove slova prevedite u forenzičke termine:prevedite u forenzičke termine:

16

““Kompjuterska forenzika je Kompjuterska forenzika je primena kompjuterske istrage primena kompjuterske istrage i tehnika analize u cilju i tehnika analize u cilju pronalapronalažženja pogodnih enja pogodnih dokaza za suddokaza za sud.“.“

Kompjuterska forenzikaKompjuterska forenzika

““Kolekcija tehnika i alata za Kolekcija tehnika i alata za pronalapronalažženje dokaza na enje dokaza na

komjuterima.” komjuterima.” Caloyannides MCaloyannides M..A.A.,, Computer Forensics and Privacy Computer Forensics and Privacy

17

““Primena računarske nauke i matematike Primena računarske nauke i matematike za pouzdano i nepristrasno prikupljanje, za pouzdano i nepristrasno prikupljanje,

analizu, interpretaciju i prezentaciju analizu, interpretaciju i prezentaciju digitalnih dokazadigitalnih dokaza.”.”

StephensonStephenson P., P., PhD Thesis PhD Thesis

DigitalDigitalnana f forenorenzziikaka

““Korišćenje naučno razvijenih i proverenih Korišćenje naučno razvijenih i proverenih metoda za čuvanje, sakupljanje, validaciju, metoda za čuvanje, sakupljanje, validaciju, identifikaciju, identifikaciju, analizu, interpretaciju, analizu, interpretaciju, dokumentovanje i prezentovanje digitalnih dokumentovanje i prezentovanje digitalnih dokaza dobijenih iz digitalnih izvora za dokaza dobijenih iz digitalnih izvora za potrebe rekonstrukcije događaja koji je potrebe rekonstrukcije događaja koji je okarakterisan kao kriminal ili kao pomoć okarakterisan kao kriminal ili kao pomoć da se predvide neautorizovane akcije koje da se predvide neautorizovane akcije koje prete da prekinu planirane operacije.”prete da prekinu planirane operacije.”

Digital Forensics Research Workshop. Digital Forensics Research Workshop. “A Road Map for Digital Forensics Research“A Road Map for Digital Forensics Research””

18

FForenorenzika mrežezika mreže

““Proučavanje mrežnog saobraćaja Proučavanje mrežnog saobraćaja traganjem za istinom u državnim, traganjem za istinom u državnim, kriminalnim i administrativnim kriminalnim i administrativnim stvarima u cilju zaštite korisnika i stvarima u cilju zaštite korisnika i resursa od eksploatacije, napada na resursa od eksploatacije, napada na privatnost i bilo kog drugog zločina privatnost i bilo kog drugog zločina koji se hrani stalnom ekspanzijom koji se hrani stalnom ekspanzijom na mrežni priključak.”na mrežni priključak.”

Mandia Mandia K., K., ProsiseProsise C. C., Incident response,, Incident response,

Osborne/McGraw-Hill,Osborne/McGraw-Hill,

19

CyberCyber fforenorenzikazika

““Obezbeđenje, identifikacija, ekstrakcija, Obezbeđenje, identifikacija, ekstrakcija, dokumentovanje i interpretacija dokumentovanje i interpretacija

komjuterskih komjuterskih medija medija radiradi evidentiranja i/ili evidentiranja i/ili analize korišćenjem dobro definisanih analize korišćenjem dobro definisanih

metoda i procedurametoda i procedura..””

Warren, Kruse G. Warren, Kruse G. II, II, Heiser JHeiser J..G., G., Computer Forensics – Incident Response Essentials,Computer Forensics – Incident Response Essentials,

Addison WesleyAddison Wesley

MetMetodologija se mora zasnivati naodologija se mora zasnivati na::

– Obezbeđivanju dokaza bez promene ili oštećenja Obezbeđivanju dokaza bez promene ili oštećenja originalaoriginala

– Potvrdi da je oporavljeni dokaz isti kao Potvrdi da je oporavljeni dokaz isti kao i originali original– Analizi podataka bez njAnalizi podataka bez njiihove modifikacijehove modifikacije

2020

Preko Preko 9 90% 0% svih informacija svih informacija je u je u digitaldigitalnom nom formatformatuu

iz siz studtudijeije UUniverziteta niverziteta BerkliBerkli

Zašto Zašto CyberCyber forenzika forenzika??

Korišćenje ICT za izvršenje krivičnih Korišćenje ICT za izvršenje krivičnih dela zahteva posebne metode i tehnike dela zahteva posebne metode i tehnike vođenja istragevođenja istrage

Kompjuterski dokazi su osetljivi i lako Kompjuterski dokazi su osetljivi i lako se kompromituju (brišu, menjaju)se kompromituju (brišu, menjaju)

21

• Memoriski kapaciteti PC stalno rastu Memoriski kapaciteti PC stalno rastu (KB MB (KB MB GBGB TB ...) TB ...)

• jun 2010. - u sveta je bilo jun 2010. - u sveta je bilo 1.97 miliardi Internet korisnika

• decembar 2010. – u decembar 2010. – u Cyber prostoru je Cyber prostoru je više od 255 miliona više od 255 miliona

Web sajtovaWeb sajtova

• 2010. - poslato je oko 107 biliona 2010. - poslato je oko 107 biliona ePoruka tj. 294 miliardi dnevno ePoruka tj. 294 miliardi dnevno

• 22nn TB (n TB (n)) podataka se čuva na podataka se čuva na magnetnim medijima, CD, DVD, ...magnetnim medijima, CD, DVD, ...

CCyber yber fforenorenzički izazovizički izazovi

22

• Kako prikupiti specifične, punovažne i za Kako prikupiti specifične, punovažne i za slučaj relevantne dokaze iz ogromnog slučaj relevantne dokaze iz ogromnog broja fajlovabroja fajlova??– analizom linkovaanalizom linkova– vviizzuueelizalizacciijjoomm

• Raspoložive tehnike za otkrivanjeRaspoložive tehnike za otkrivanje::– ttext ext miningmining– ddata ata miningmining– iintelligent ntelligent information information retrieval retrieval

• CyberCyber forenzika se mora brzo prilagođavati forenzika se mora brzo prilagođavati svakom novom proizvodu i inovacijama svakom novom proizvodu i inovacijama postojećih validnim i pouzdanim tehnikama postojećih validnim i pouzdanim tehnikama istrage i analizeistrage i analize

23

CCyber yber fforenorenzički izazovizički izazovi

– NekeNeke uobičajene uobičajene kompjutersko/mrežne aktivnosti kompjutersko/mrežne aktivnosti izgledaju kao napadizgledaju kao napad

– ““Praznine” u lancu dokaza Praznine” u lancu dokaza – Dvosmisleni i nepotpuni logoviDvosmisleni i nepotpuni logovi– Međunarodna uključenostMeđunarodna uključenost

24

Potencijalni Potencijalni problemiproblemi

– Pronalaženje skrivenih, obrisanih ili na drugi Pronalaženje skrivenih, obrisanih ili na drugi način nepristupačnih podataka koji mogu način nepristupačnih podataka koji mogu predstavljatii potencijalne dokaze i njihovo predstavljatii potencijalne dokaze i njihovo dokumentovanjedokumentovanje

– Potkrepljivanje i objašnjavanje tako otkrivenih Potkrepljivanje i objašnjavanje tako otkrivenih dokaza dokazima pribavljenim na drugi način dokaza dokazima pribavljenim na drugi način ili iz drugih izvoraili iz drugih izvora

– Pomoć pri razmatranju uzrPomoć pri razmatranju uzrooka događajaka događaja

– Povezivanje napada sa računarom žrtvePovezivanje napada sa računarom žrtve

– Otkrivanje Otkrivanje end-to-endend-to-end puta koji vodi ka puta koji vodi ka rešenju, bilo ono rešenju, bilo ono pozitivnopozitivno ili ne ili ne

Uloga Uloga CyberCyber f forenorenzikezike

25

ne može da:ne može da:– otkrije oružje iz čijih “cevi se puši” (izuzetno retko)otkrije oružje iz čijih “cevi se puši” (izuzetno retko)– ““uhvati” osumnjičenog za kompjuteromuhvati” osumnjičenog za kompjuterom (“ (“na legluna leglu”)”)– odmah direktno poveže osumljičenog sa napadomodmah direktno poveže osumljičenog sa napadom– pronađe dokaze o događajima/akcijama koje se nisu pronađe dokaze o događajima/akcijama koje se nisu

odigrale (to ne znači da se događaj nikad neće dogoditi!)odigrale (to ne znači da se događaj nikad neće dogoditi!)

može da:može da:– ukaže na putanju kroz mrežu koju je koristio napadačukaže na putanju kroz mrežu koju je koristio napadač– otkrije posrednika upadaotkrije posrednika upada– obezbedi i potvrditi dokazeobezbedi i potvrditi dokaze– da savete za praćenje i verifikaciju drugih izvorada savete za praćenje i verifikaciju drugih izvora– pomogne u formulisanju i dokazivanju hipoteze o napadupomogne u formulisanju i dokazivanju hipoteze o napadu– eliminiše pogrešne predeliminiše pogrešne predppostavkeostavke

26

CyberCyber f forenorenzičkzičkaa analizanalizaa

Princip Princip “ledenog“ledenog brega” brega”

Šta je moguće otkriti Šta je moguće otkriti “klasičnim alatima”?“klasičnim alatima”?

Forenzički alatiForenzički alati

((npr. Windows npr. Windows Explorer)Explorer)

SPECIJALNI SPECIJALNI FORENZIČKI FORENZIČKI ALATIALATI mogućuju mogućuju povraćaj i analizu obrisanih, povraćaj i analizu obrisanih, skrivenih i privremenih fajlova kojima se ne skrivenih i privremenih fajlova kojima se ne može pristupiti na uobičajeni načinmože pristupiti na uobičajeni način

27

Razvoj forenzičkih alataRazvoj forenzičkih alata

Prva Prva generacijageneracija

Razni Razni alati alati zaza: : Image, Document, Search, Image, Document, Search,

Recover Recover ii Report Report

Druga Druga generacijageneracija

Posebno Posebno dizajniranidizajnirani i i razvijeni razvijeni forenzički forenzički

alatialati: : EnCaseEnCase® ® i i drugidrugi

TrećaTreća generacija generacija

Network Forensics: Network Forensics: trenutna, sigurna, trenutna, sigurna,

efikasna efikasna forenzika putem forenzika putem LAN-aLAN-a

28

Forenzički postupakForenzički postupak

Odrediti Odrediti uređajeuređaje koj kojii će biti će biti predmetpredmet istrageistrage

Ako je PC uključen, preuzeti sadržaj RAM-aAko je PC uključen, preuzeti sadržaj RAM-a

SačuvatiSačuvati originalne originalne medijemedije i i spriječiti spriječiti bilo bilo kakve kakve izmene njihovog izmene njihovog sadržajasadržaja

Napraviti Napraviti kopijukopiju svih svih bitnih bitnih medijamedija

Isključiti Isključiti uređaj uređaj standardnim standardnim postupkom postupkom iliili isključivanjem isključivanjem napajanjanapajanja (iz zida) (iz zida)

Obaviti Obaviti forenzičku forenzičku analizu analizu na na kopijamakopijama,, a a ne ne na na originaluoriginalu

29

ForenForenzički zički mmodelodel

• IdentifiIdentifikacijakacija

• PrPripremaiprema

• Pristupna strategijaPristupna strategija

• Čuvanje/zaštitaČuvanje/zaštita

• PrikupljanjePrikupljanje

• IstragaIstraga

• AnalAnalizaiza

• PrePrezezentantacijacija

• Prijava Prijava dokazadokaza

Reith, Carr, Gunsch. “An Examination of Digital Forensic Models”. International Journal of Digital Evidence, Fall 2002, Volume 1,

Issue 330

– PeriPeriferijaferija mrežemreže• Sve što je van firewall-a i u kontaktu sa spoljnom Sve što je van firewall-a i u kontaktu sa spoljnom

javnom mrežom npr. Internetomjavnom mrežom npr. Internetom– End-to-EndEnd-to-End

• Sve između komjutera sa koga je izvršen napad i Sve između komjutera sa koga je izvršen napad i kompjutera žrtve uključujući i njihkompjutera žrtve uključujući i njih

– Korelacija lKorelacija logogovaova• Uklapanje različitih elementa sadržanih u logovima i Uklapanje različitih elementa sadržanih u logovima i

protokolima: vreme, datum, izvor, destinacija, ...protokolima: vreme, datum, izvor, destinacija, ...– Forenzički interesantni podaciForenzički interesantni podaci

• Podaci koji su obrisani ali koji su i dalje prisutni i Podaci koji su obrisani ali koji su i dalje prisutni i moraju biti forenzički “izvučeni” i podaci koji postoje moraju biti forenzički “izvučeni” i podaci koji postoje u swap u swap fajlovima i fajlovima i slack spaceslack space-u-u

– Scenario napadaScenario napada• Opis i rOpis i redosled događaja koji omogućuje da se na edosled događaja koji omogućuje da se na

osnovu logike njihovog pojavljivanja izvrši napadosnovu logike njihovog pojavljivanja izvrši napad31

Navedimo neke pojmoveNavedimo neke pojmove

Šta su dokaziŠta su dokazi??

Podaci činjenične prirode koji Podaci činjenične prirode koji proizlaze iz krivičnoprocesnih radnji proizlaze iz krivičnoprocesnih radnji koje su preduzeli subjekti krivičnog koje su preduzeli subjekti krivičnog

postupka na osnovu kojih se postupka na osnovu kojih se utvrđuje činjenično stanje, a na utvrđuje činjenično stanje, a na

temelju kojih se izvode temelju kojih se izvode krivičnopravno relevantni zaključci u krivičnopravno relevantni zaključci u pogledu bitnih elemenata krivičnog pogledu bitnih elemenata krivičnog

dela i krivične odgovornosti. dela i krivične odgovornosti.

Škulić, JekićŠkulić, Jekić

32

ElementiElementi::

• činjenične prirodečinjenične prirode

• do njih se dolazi na zakonom do njih se dolazi na zakonom predviđeni način predviđeni način

pravno relevantnepravno relevantne

krivičnopravni značajkrivičnopravni značaj

činjenicečinjenice

33


1.. PPodaci ili informacijeodaci ili informacije

Činjenica Činjenica == pojave u strvarnosti pojave u strvarnosti

Činjenice koje su Činjenice koje su isključeneisključene kao predmet dokaza:kao predmet dokaza:

a)a) one one koje se odnose na nešto što je koje se odnose na nešto što je apsolutno nemogućeapsolutno nemoguće (zavisno od stepena razvoja nauke i vremena - primer (zavisno od stepena razvoja nauke i vremena - primer DNK)DNK)

b)b) notorne ili opšte poznatenotorne ili opšte poznate činjenice činjenice

c)c) zakonom isključenezakonom isključene (iz domena državne, vojne, službene (iz domena državne, vojne, službene tajne, krivično delo iznošenja ili pronošenja ličnih i tajne, krivično delo iznošenja ili pronošenja ličnih i porodičnih prilika)porodičnih prilika)

d)d) one one koje se na osnovu toka, prirode stvari ili koje se na osnovu toka, prirode stvari ili odgovarajućeg životnog iskustva odgovarajućeg životnog iskustva pretpostavljajupretpostavljaju kao kao istinite (uračunljivost, svi ljudi su istinite (uračunljivost, svi ljudi su duševno duševno zdravi i normalno duševno razvijeni zdravi i normalno duševno razvijeni za za shvatanje značaja svog dela)shvatanje značaja svog dela)

34


Dokazni postupak = pravila dokazivanja

Obuhvata sve činjenice za koje Obuhvata sve činjenice za koje sud smatrasud smatra da su potrebne za pravilno presuđivanjeda su potrebne za pravilno presuđivanje::

1.1. predmet su predmet su relevantnerelevantne činjenice činjenice

2.2. relevantnost se određuje u relevantnost se određuje u funkcionalnomfunkcionalnom smislusmislu

3.3. sud sud slobodno procenjujeslobodno procenjuje koje su činjenice od značajakoje su činjenice od značaja

4.4. relevantnost i zbog krivičnoprocesnerelevantnost i zbog krivičnoprocesne važnostivažnosti

35


2.2. Subjekti krivičnog postupkaSubjekti krivičnog postupka

Sud Sud jedini izvodi dokaze u krivičnom postupkujedini izvodi dokaze u krivičnom postupku

Sud Sud formuliše svoj dokazni zaključakformuliše svoj dokazni zaključak

Sud Sud je slobodan u oceni dokaza, a je slobodan u oceni dokaza, a ne može ne može da koristi svaki izvorda koristi svaki izvor

Sud Sud preduzima procesno regulisane preduzima procesno regulisane radnje da bi dobio dokaze iliradnje da bi dobio dokaze iliindicijeindicije

36


3.3. Dokazna načela:Dokazna načela:a.a. neposrednost u izvođenju dokazaneposrednost u izvođenju dokaza - - sud sud

nema posrednika i obavezno je prisustvo nema posrednika i obavezno je prisustvo okrivljenog sem kad je u bekstvu ili nedostižan okrivljenog sem kad je u bekstvu ili nedostižan držvnim organima i/ili na predlog tužioca da se sudi držvnim organima i/ili na predlog tužioca da se sudi u odsustvu i/ili ako postoje naročito važni razloziu odsustvu i/ili ako postoje naročito važni razlozi. . Glavni pretres teče u kontinuitetu, sGlavni pretres teče u kontinuitetu, sudsko udsko veće radi veće radi

u istom sastavu,u istom sastavu, odlaganje odlaganje maksimalno 4 maksimalno 4 meseca, u suprotnom mora početi iznova imeseca, u suprotnom mora početi iznova i svi svi

se dokazi moraju ponovo izvesti. se dokazi moraju ponovo izvesti. PrekidPrekid između 2 radna dana, izuzetnoizmeđu 2 radna dana, izuzetno 10 + 10 dana. 10 + 10 dana.

PauzaPauza (2 sata u istom(2 sata u istom danu) danu) zbog isteka radnog vremena ne dužezbog isteka radnog vremena ne duže od od 24 sata. 24 sata. 37


b.b. slobodnslobodnaa ocen ocenaa dokaza dokaza - “čvrsti dokazi”- “čvrsti dokazi”,, priznanjpriznanjee okrivljenog okrivljenog -- KRALJICA DOKAZAKRALJICA DOKAZA. . Obaveza suda je da obrazloži odluku. Ocenjivanje se Obaveza suda je da obrazloži odluku. Ocenjivanje se

obavlja na 2 načina: obavlja na 2 načina: sudija sam stvara sudija sam stvara kriterijum kriterijum iliili ddobijaobija merila merila ((nekad popularna nekad popularna zakonska zakonska mera mera da se izbegnu beznačajnida se izbegnu beznačajni i površno i površno ocenjeni ocenjeni dokazidokazi).).

OpasnostOpasnostii: : “uticaj” politike,“uticaj” politike, procena procena mišljenjamišljenja veštaka, veštaka, “veštak presuđuje” “veštak presuđuje”

tortura,tortura, mučenje, iznuđivanje mučenje, iznuđivanje –– torturutorturu mogu izdržavatimogu izdržavati tvrdokorni, tvrdokorni, znači krivi! znači krivi!

Najvažniji cilj postupka je donošenje Najvažniji cilj postupka je donošenje (pravične) odluke(pravične) odluke

38


c.c. in dubio pro reoin dubio pro reo - - pretpostavka pretpostavka nevinosti, načelo legaliteta. Eliminisanje nevinosti, načelo legaliteta. Eliminisanje svake sumnje u krivicu optuženog, odn. svake sumnje u krivicu optuženog, odn. ako sud ostane u sumnji rešava u korist ako sud ostane u sumnji rešava u korist okrivljenog. Ukoliko nema dokaza, čvrstih okrivljenog. Ukoliko nema dokaza, čvrstih dokaza obustavlja se postupak. dokaza obustavlja se postupak.

U sumnji za U sumnji za opopttuženog!uženog!

39


Materijalna istina vs. formalna istinaMaterijalna istina vs. formalna istina

40


d.d. istineistine - - odnosi se na subjekte i odnosi se na subjekte i predmet istinitog utvrđivanja činjenica predmet istinitog utvrđivanja činjenica (relevantnih). Bitan je i način na koji (relevantnih). Bitan je i način na koji se do nje dolazi. Do istine treba doći se do nje dolazi. Do istine treba doći uz poštovanje dokaznih pravila i uz poštovanje dokaznih pravila i dokaznih zabrana. dokaznih zabrana. Dužnost je suda da Dužnost je suda da u krivičnom postupku istražuje i u krivičnom postupku istražuje i utvrđuje istinu kroz izvođenje dokaza utvrđuje istinu kroz izvođenje dokaza po službenoj dužnosti na osnovu po službenoj dužnosti na osnovu svih činjenica i dokaznih sredstava svih činjenica i dokaznih sredstava koji su mu na raspolaganju i koji su koji su mu na raspolaganju i koji su od značaja za donošenje odlukeod značaja za donošenje odluke..

pravna nevaljanost dokaza do kojih se došlo pravna nevaljanost dokaza do kojih se došlo nakon ispitivanja osumničenog koje nije nakon ispitivanja osumničenog koje nije obavljeno u skladu sa zakonom i ustavom, npr. obavljeno u skladu sa zakonom i ustavom, npr. na osnovu priznanja pod prinudom dana osnovu priznanja pod prinudom da je izvršio krivično delo na osnovu je izvršio krivično delo na osnovu koga policija pronalazi leškoga policija pronalazi leš

Preterano čistunstvoPreterano čistunstvo po ranijim po ranijim propisima, sada nelegalan dokaz propisima, sada nelegalan dokaz koji predstavlja zabranjen osnov za koji predstavlja zabranjen osnov za donošenje sudske odlukedonošenje sudske odluke

direktno direktno pravno pravno nevaljani nevaljani

indirektno indirektno pravo pravo nevaljaninevaljani

41

Doktrina “plod otrovnog drvetaDoktrina “plod otrovnog drveta””

• Nastala u SAD, sudski slučaj Lemon v. Kurtzman povodom “učenje o kontroverznoj evoluciji” pri sprovođenju testa porekla ljudskih bića odn. dokazivanja postojanja “inteligentnog dizajna”

• “Miranda” slučaj - ispitivanje osumnjičenog koje je izvršeno kršenjem propisa

42

Doktrina “plod otrovnog drvetaDoktrina “plod otrovnog drveta” - ” - Fruit of the poisonous tree doctrineFruit of the poisonous tree doctrine

Krivičnoprocesne radnje dokazivanja - određene su krivičnoprocesnim aktivnostima

Dokazne radnje

prikupljanje dokaza

obezbedjenje dokaza

izvodjenjedokaza

proveradokaza

Načelo kredibilitetaNačelo kredibiliteta == rezultat istražnih radnji služi kao dokaz u krivičnom rezultat istražnih radnji služi kao dokaz u krivičnom postupkupostupku

43


RAZMIŠLJATI KAO RAZMIŠLJATI KAO HAKERHAKER

44

KAKO UHVATITIKAKO UHVATITI HAKERA? HAKERA?

P a u z a

DIGITALNIDIGITALNI

DOKADOKAZZII

45

Gde se nalazeGde se nalaze potencijalni potencijalni digitalni dokazidigitalni dokazi??

Address Address bbooksooksEmail filesEmail filesAudio/Video filesAudio/Video filesImage/graphics filesImage/graphics filesCalendarsCalendarsDatabase filesDatabase filesSpreadsheet filesSpreadsheet filesCompressed filesCompressed filesMisnamed filesMisnamed filesEncrypted filesEncrypted filesHidden filesHidden filesPassword protected Password protected filesfiles

File system artifactsFile system artifactsBackup filesBackup filesLog filesLog filesConfiguration filesConfiguration filesPrinter spool filesPrinter spool filesCookiesCookiesSwap filesSwap filesSystem filesSystem filesHistory filesHistory filesTemporary filesTemporary filesDocuments and text filesDocuments and text filesInternet Internet bookmarks/favoritesbookmarks/favorites

46

podaci ili informacije bitne podaci ili informacije bitne zza istragu, a istragu, elektronski elektronski sasaččuvane uvane ili ili prenesen prenesenee. .

Valjani su samo oni koji su Valjani su samo oni koji su prikupljeni ili sačuvani za istražne prikupljeni ili sačuvani za istražne

svrhesvrhe. .

često su “skriveni” na isti način kao i često su “skriveni” na isti način kao i otisak prsta ili DNK dokazi otisak prsta ili DNK dokazi

prelaze granice brzo i lakoprelaze granice brzo i lako mogu se lako iscepkati, zameniti, uništiti i mogu se lako iscepkati, zameniti, uništiti i

oštetitioštetiti ponekad su vremenski senzitivniponekad su vremenski senzitivni

Šta su Šta su digitalni digitalni dokazidokazi??

47

48

• prepoznavanja i identifikacije dokazaprepoznavanja i identifikacije dokaza

• dokumentovanja dokumentovanja mestamesta zločina zločina

• prikupljanje i čuvanjeprikupljanje i čuvanje

• ““pakovanje” i prenospakovanje” i prenos

Koraci pri rKoraci pri rukovanje ukovanje digitalnim dokazimadigitalnim dokazima

Izvori

Ličniiskazi

okrivljenog, svedoka, veštaka

Materijalnipredmetiisprave

fotografije

49


lični

materijalni

1.1. okrivljeni - okrivljeni - kod saslušanjakod saslušanja

2.2. svedok/ci - svedok/ci - kod saslušanja svedokakod saslušanja svedoka

3.3. veštak/ci - veštak/ci - kod veštačenjakod veštačenja

4.4. materijalni predmeti - materijalni predmeti - sasa uviđaja i uviđaja i

rekonstrukcije, rekonstrukcije, predmeti krivičnog predmeti krivičnog

dela,dela, snimci, snimci, d digitalne fotografijeigitalne fotografije 50

Izvori digitalnih Izvori digitalnih dokazdokazaa

Dva ključna problemaDva ključna problema

Pouzdanost digitalnih zapisaPouzdanost digitalnih zapisa Pouzdanost forenzički lociranih iPouzdanost forenzički lociranih i

“oporavljenih” podataka“oporavljenih” podataka

52


PPotencijalno najmanji digitalni dokaziotencijalno najmanji digitalni dokazi:: 4 byt4 byt-a-a IP adresIP adresaa (numerička)(numerička)

Dokumentacija Dokumentacija ((uuobičajenaobičajena))

kompjuterski izveštaji, npr. iz bazkompjuterski izveštaji, npr. iz bazaa podatakapodataka

zapisi transakcijazapisi transakcija reprodukcije sačuvanih slika reprodukcije sačuvanih slika

(skenirani dokumenti (skenirani dokumenti ii sl.) sl.)

53

54

U jednoj bogatoj firmi u okolini Beograda nekoliko U jednoj bogatoj firmi u okolini Beograda nekoliko godina za redom neposredno pre i u toku godina za redom neposredno pre i u toku godišnjih odmora dolazilo je do disproporcije godišnjih odmora dolazilo je do disproporcije između obračuna plata i naloga banci za uplate između obračuna plata i naloga banci za uplate na tekuće račune zaposlenih. Banci se dostavlja na tekuće račune zaposlenih. Banci se dostavlja magnetna traka sa nalozima za uplatu. Ukupna magnetna traka sa nalozima za uplatu. Ukupna obračunata i ukupna uplaćena suma su bile obračunata i ukupna uplaćena suma su bile jednake. jednake.

Razlika je uočavana tek nakon godišnjih odmora Razlika je uočavana tek nakon godišnjih odmora (oktobar) i pripisivana aplikaciji za obračun plata. (oktobar) i pripisivana aplikaciji za obračun plata. Pošto je grešku napravio računar tj. nema krivice Pošto je grešku napravio računar tj. nema krivice zaposlenog povraćaj je vršen u nekoliko narednihzaposlenog povraćaj je vršen u nekoliko narednih meseci odbijanjem određene sume od plate. meseci odbijanjem određene sume od plate.

55

Kada se situacija ponovila i četvrte godine banka Kada se situacija ponovila i četvrte godine banka sugeriše firmi da proveri o čemu se radi. Naime, sugeriše firmi da proveri o čemu se radi. Naime, pogrešne uplate su vršene samo na račun jednog pogrešne uplate su vršene samo na račun jednog zaposlenog koji je u to doba na godišnjem zaposlenog koji je u to doba na godišnjem odmoru i novac podiže u pošti na moru. odmoru i novac podiže u pošti na moru.

Šta je utvrđeno?Šta je utvrđeno?

- da je spisak zaposlenih i broj radnih sati po da je spisak zaposlenih i broj radnih sati po zaposlenom dolazio iz kadrovske službezaposlenom dolazio iz kadrovske službe

- da je poštovana standardna procedura obračunada je poštovana standardna procedura obračuna- da je obračun vršen i za neke zaposlene koji da je obračun vršen i za neke zaposlene koji

su na bolovanju ili nedavno otišli u penzijusu na bolovanju ili nedavno otišli u penziju- da postoji razlika između “originala” i onoga što se da postoji razlika između “originala” i onoga što se

šalje bancišalje banci

56

Šta je još utvrđeno?Šta je još utvrđeno?

- da je zaposleni radio u računskom centruda je zaposleni radio u računskom centru

- da je dva puta usmeno prijavio greške banci krajem da je dva puta usmeno prijavio greške banci krajem septembra septembra

- da svaki zaposleni u RC zna šifre pristupa da svaki zaposleni u RC zna šifre pristupa ostalihostalih

- da se zaposleni u RC međusobno “pokrivaju”da se zaposleni u RC međusobno “pokrivaju”

- da je zaposleni odgovoran za obračun plata da je zaposleni odgovoran za obračun plata (podprojektant, programer, (podprojektant, programer, jobjob-ista) i da kada nije -ista) i da kada nije na poslu njegove aplikacije pušta bilo kona poslu njegove aplikacije pušta bilo ko

57

Kako se branio?Kako se branio?

-- ddaa je je sam sam ukazao ukazao na na nepravilnost nepravilnost obračunaobračuna

-- “mislio” “mislio” je da je je da je to to redovna redovna plata plata i i novac novac trošiotrošio

-- da njemu neko smešta da njemu neko smešta jer jer se se to to dešavadešava kadkad nije nije na posluna poslu

Karakteristike Karakteristike digitalnih dokazadigitalnih dokaza

58

Digitalni dokazi Digitalni dokazi ......

... ... su kao i bilo koji su kao i bilo koji drugi drugi dokazi, te moraju dokazi, te moraju za za sudsud biti biti::

prihvatljiviprihvatljivi

autautentičnientični

precizniprecizni

kompletnikompletni

ubedljiviubedljivi

59

...... prihvatljivost prihvatljivost

• zajednička – krivičnopravnazajednička – krivičnopravna i i građanskopravna tradicija građanskopravna tradicija

• nepovoljni/inkvizitorski sudski nepovoljni/inkvizitorski sudski postupcipostupci

• ““obezbeđenjeobezbeđenje” do” dokumenata, kopijakumenata, kopija

60


... ... autentiautentičnostčnost

• može li se ekspicitno odnositi na može li se ekspicitno odnositi na fajlove i podatke koji su vezani za fajlove i podatke koji su vezani za odreodređene pojedince i događajeđene pojedince i događaje?? kontrola pristupakontrola pristupa

uključivanje, revizija logovauključivanje, revizija logova

kolateralni dokazikolateralni dokazi

autentičnost bazirana na kriptografijiautentičnost bazirana na kriptografiji

61


... ... preciznost preciznost

• uobičajeni kompjuterski procesi bez uobičajeni kompjuterski procesi bez povezanosti sa sadržajem podatakapovezanosti sa sadržajem podataka

• objasniti kako objasniti kako ““eksponatieksponati”” postaju postaju stvarnistvarni – šta radi kompjuterski sistemšta radi kompjuterski sistem??

– koji su ulazikoji su ulazi??

– koji su interni procesikoji su interni procesi??

– šta je sa kontrolomšta je sa kontrolom??62


... ... kompletnostkompletnost

• na sopstveni način “priča” potpunu na sopstveni način “priča” potpunu priču svakog pojedinog delapriču svakog pojedinog dela

63


...... ubedljivostubedljivost

• da ima punovažnu vrednostda ima punovažnu vrednost

• subjektivni, praktičan test izvođenjasubjektivni, praktičan test izvođenja

64


... ... ipak se razlikuju od drugihipak se razlikuju od drugih

• česte promene tehnologiječeste promene tehnologije

• veliki broj ovih dokaza je nečitljiv za veliki broj ovih dokaza je nečitljiv za ljude:ljude:

– mmnogi i kada su odštampani su u nogi i kada su odštampani su u digitalnom oblikudigitalnom obliku

– dokaze kreiraju i sami računari kao što ih i dokaze kreiraju i sami računari kao što ih i čuvaju čuvaju

65


... ... razlik razlikaa izmeizmeđđuu drugih dokaza drugih dokaza i i kompjuterskih podatakakompjuterskih podataka

Podaci se mogu brzo i lako promenitiPodaci se mogu brzo i lako promeniti: : • u računaru i tokom transferau računaru i tokom transfera

• u procesu prikupljanja dokazau procesu prikupljanja dokaza

• bez bez ““tragovatragova””

66


...... kreiraju isto onoliko mogućnosti kreiraju isto onoliko mogućnosti koliko i opasnostikoliko i opasnosti

većina komercijalnih transakcija su zapamćene

mnogo je lakše trasirati pojedinačne aktivnosti i lične podatke (istoriju)

metode bazirane na kompjuterski zasnovanim istragama su moguće i primenljive ...

67


identifikacija

čuvanje - zaštita

prikupljanje

ispitivanje

analiziranje

prezentiranje

povraćaj dokaza

ssttrraatteeggii jjaa

iissttrraaggaa

Zato se definišu okviri istrage za Zato se definišu okviri istrage za obezbeđivanje digitalnih dokazaobezbeđivanje digitalnih dokaza

68

Pravila Pravila

Raditi tako da se obezbede originalni Raditi tako da se obezbede originalni digitalni dokazi uz sve dodatne oblike digitalni dokazi uz sve dodatne oblike (kopije, beleške, fotografije ...)(kopije, beleške, fotografije ...)

Obezbediti predstavljanje originalnih Obezbediti predstavljanje originalnih dokaza u sistemu i na mrežidokaza u sistemu i na mreži

Vaditi i izdvajati dokaze da bi se mogli Vaditi i izdvajati dokaze da bi se mogli pojaviti na sudupojaviti na sudu

69

☻ Obezbediti osobe koja mogu nadzirati Obezbediti osobe koja mogu nadzirati dokaze dokaze

☻ Obezbediti kontinuitet posedovanja Obezbediti kontinuitet posedovanja

☻ Obezbediti integritet rukovanja (korišćenja) Obezbediti integritet rukovanja (korišćenja) prikupljanja dokazaprikupljanja dokaza

70

Lanci nadzoraLanci nadzora

... u protokol treba uneti:... u protokol treba uneti:☻ Datum i vreme konfikskacije “predmeta”Datum i vreme konfikskacije “predmeta”

☻ Imena lica koja su prikupljali podatkeImena lica koja su prikupljali podatke

☻ Lociranje ko je i zašto došao do njih Lociranje ko je i zašto došao do njih

☻ Puno ime i potpis ostalih osoba koja su Puno ime i potpis ostalih osoba koja su bila u kontaktu sa dokazimabila u kontaktu sa dokazima

☻ Broj predmeta i broj dokazaBroj predmeta i broj dokaza

☻ Opis dokazaOpis dokaza

☻ ““HashHash” funkciju kojom se došlo do njih” funkciju kojom se došlo do njih

Lanci nadzoraLanci nadzora

71

Šta su “slike”?Šta su “slike”?

Bit image mape Bit image mape tj. kopije tj. kopije bbit-for-bitit-for-bit originalnih dokaza pokupljenih sa originalnih dokaza pokupljenih sa

sistemasistema

☻Mogu obuhvatati “slike”Mogu obuhvatati “slike”:: Hard driveHard drive-a-a ( (logički i fizičkilogički i fizički)) MemorMemorijeije Prenosnih medijumaPrenosnih medijuma

72

Liste “prljavih” rečiListe “prljavih” reči

► Specifične ključne reči vezane za svaki Specifične ključne reči vezane za svaki pojedinačni slučajpojedinačni slučaj

► ListLista reči koje su se koristile kao hitovi a reči koje su se koristile kao hitovi na hard diskuna hard disku

► ModifiModifikovanja koja su se desila u toku kovanja koja su se desila u toku istrage ili analiziranjaistrage ili analiziranja

73

Integritet dokazaIntegritet dokaza

► Obezbeđenje dokaza od promenaObezbeđenje dokaza od promena

► Bit-imageBit-image kopije kopije

► Zaključavanje i ograničavanje pristupa Zaključavanje i ograničavanje pristupa

► Korišćenje kriptografije za obezbeđenje Korišćenje kriptografije za obezbeđenje integriteta originalnih dokaza, kao i kopijaintegriteta originalnih dokaza, kao i kopija

74

Analiza medijumaAnaliza medijuma

Fokusiranje na kopije koje su u postupku, Fokusiranje na kopije koje su u postupku, a koje su prikupljene na mestu izvršenjaa koje su prikupljene na mestu izvršenja ((slika, digitana fotografijaslika, digitana fotografija))

Primarno analiziranje primarnih dokazaPrimarno analiziranje primarnih dokaza

Traženje ostalih dokaza vezanih za deloTraženje ostalih dokaza vezanih za delo

Korišćenje forenzičkih posebnih podataka i Korišćenje forenzičkih posebnih podataka i alataalata

75

... .. ..... ...... .. ..... ...DiskDisk

Track

Sector

Cylinder

(Clusters aregroups ofSectors)

End of FileEnd of File Slack SpaceSlack Spaceposlednji cluster u

fajlu76

Gde se kriju dokazi?Gde se kriju dokazi?

Gde se kriju dokazi?Gde se kriju dokazi?

• Nealocirani prostorNealocirani prostor– pravi nealocirani prostorpravi nealocirani prostor– prostor obrisanih fajlovaprostor obrisanih fajlova

• SwapSwap ffajloviajlovi

• Cache Cache ffajloviajlovi

77

ProcesProces kkompompjjuteruterskeske f forenorenzziikeke

• Alati i procesi – zahtevi korišćenjaAlati i procesi – zahtevi korišćenja – Ne smeju da proizvedu alternativne podatke u Ne smeju da proizvedu alternativne podatke u

toku procesa prikupljanja toku procesa prikupljanja

– Moraju prikupiti sve podatke koji se zahtevaju Moraju prikupiti sve podatke koji se zahtevaju ali samo njihali samo njih

– Moraju se obezbediti uslovi da funkcionišu u Moraju se obezbediti uslovi da funkcionišu u predviđenim granicama predviđenim granicama

– Moraju biti prihvaćeni od većine istraživača iz Moraju biti prihvaćeni od većine istraživača iz oblasti kompjuterske forenzikeoblasti kompjuterske forenzike

– Rezultat koji se dobije njRezultat koji se dobije njiihovim korišćenjem hovim korišćenjem mora biti takav da se može ponovitimora biti takav da se može ponoviti

78

• Prvo praviloPrvo pravilo: : Ništa ne sme biti “povređeno”Ništa ne sme biti “povređeno”– Ne raditi ništa sa računarom žrtve ili Ne raditi ništa sa računarom žrtve ili računaromračunarom

osumljičenim za napadosumljičenim za napad

– Obezbedi disk sa kompjutera žrtve Obezbedi disk sa kompjutera žrtve kao kao dokaz dokaz kad kad god god jeje to to mogućemoguće

– ““Izvući” firewall logove kompjutera žrtve i ostalih Izvući” firewall logove kompjutera žrtve i ostalih kompjutera nekoliko dana pre i posle incidentakompjutera nekoliko dana pre i posle incidenta

• Drugo praviloDrugo pravilo: : ““Zaštiti sveZaštiti sve””– ZapZapočetočeti i identifikovanje tragova lociranjem logova identifikovanje tragova lociranjem logova– KontaktiraKontaktiratiti sistem administratora radi zaštite sistem administratora radi zaštite

zahtevanih zahtevanih logovalogova– Prikupiti lokalne logovePrikupiti lokalne logove– Zaustaviti štetuZaustaviti štetu– Sačuvati Sačuvati image image diska žrtve diska žrtve

79

ProcesProces kkompompjjuteruterskeske f forenorenzziikeke

• Pravljenje Pravljenje mirrormirror-a-a– BootBoot sasa floppyfloppy-a-a– Direktno kopiranje na drugi HDDirektno kopiranje na drugi HD

• Disk istog tipa (poželjno iz iste serije)Disk istog tipa (poželjno iz iste serije)• SetSetovati drugi disk kao ovati drugi disk kao slaveslave – original kao – original kao

mastermaster– Ako nije moguće HD na HD koristiti magnetnu Ako nije moguće HD na HD koristiti magnetnu

traku ili CD ROM ili DVD ili sličan uređaj kao traku ili CD ROM ili DVD ili sličan uređaj kao backupbackup medijum medijum

• Prikupljanje dokazaPrikupljanje dokaza– Obezbediti kompjuter – napraviti Obezbediti kompjuter – napraviti backupbackup– Shut Shut downdown kkompompjjuterutera – a – rebootreboot sa sa floppyfloppy-a-a – Dešifrovati dokaze Dešifrovati dokaze (op(opccionionoo))

80

Proces kompjuterske forenzike

• Pribavljanje dokazaPribavljanje dokaza– Pretraživanje Pretraživanje iimagemage diskdiska a kao tekstakao teksta pomoću pomoću

liste ključnih rečiliste ključnih reči

• Obezbeđivanje dokazaObezbeđivanje dokaza– Nikad ne vršiti forenzičku analizu na Nikad ne vršiti forenzičku analizu na

originalnom dokazu (uvek koristi originalnom dokazu (uvek koristi mirrormirror))

– Ne raditi na kompjuteru koji možda sadrži Ne raditi na kompjuteru koji možda sadrži dokazedokaze

– Obezbeđeni dokazi (elektronski - kriptovani, Obezbeđeni dokazi (elektronski - kriptovani, fizički - pečatirani) moraju biti pristupačni na fizički - pečatirani) moraju biti pristupačni na zahtevzahtev

81

Proces kompjuterske forenzike

Sastav Sastav cyber cyber forenzičkog forenzičkog timatima

• Specijalisti:Specijalisti: Tehničari, istražitelji, Tehničari, istražitelji, analitičari poslovnih analitičari poslovnih procesa ...procesa ...

• ““Minimalni” tim:Minimalni” tim:– specijalista specijalista cybercyber forenzike - vođa tima forenzike - vođa tima

– specijalista za mreže/platformespecijalista za mreže/platforme

– sspecipecijaljalistista za a za codecode

– analitičara poslovnih analitičara poslovnih procesprocesaa

– menadžer kontrole kvaliteta/evidentičarmenadžer kontrole kvaliteta/evidentičar82

Analize koje tim obavljaAnalize koje tim obavlja

• TehniTehničkačka analiza podataka analiza podataka

• Analiza poslovnih procesaAnaliza poslovnih procesa• Regulatorna saglasnost i analiza Regulatorna saglasnost i analiza

gubitka gubitka

83

84

Forenzički alatiForenzički alati

EnCase Forensic EnCase Forensic - kompletan sistem za - kompletan sistem za prikupljanje, analizu i pravljenje izveštaja o prikupljanje, analizu i pravljenje izveštaja o dokazima prihvatljivim za sud dokazima prihvatljivim za sud

File Scavaenger File Scavaenger - alat za oporavak - alat za oporavak podataka (MS Windows NT, 2000, 2003, podataka (MS Windows NT, 2000, 2003, XP, Vista)XP, Vista)

Disk Doctor Disk Doctor - skup programa za oporavak - skup programa za oporavak podataka (MS Windows, Mac OS, Linux, podataka (MS Windows, Mac OS, Linux, Unix /Solaris/)Unix /Solaris/)

JDAFTSJDAFTS - kompletan - kompletan open source open source sistem za sistem za prikupljanje, analizu i pravljenje izveštaja prikupljanje, analizu i pravljenje izveštaja o dokazima prihvatljivim za sud o dokazima prihvatljivim za sud

Da ponovimoDa ponovimo

Sačuvati Sačuvati originalnioriginalni medijum medijum u u najboljemnajboljem

mogućem mogućem stanjustanju

Analiza Analiza se se uvijek uvijek obavlja obavlja na na kopijikopiji

Analiza Analiza se se nikada nikada ne ne obavlja obavlja na na “živom” “živom”

sistemu sistemu alatima alatima OS OS ( (browsing browsing folders folders i i

sl.sl.))

Nikada Nikada se se ne ne smeju smeju koristiti koristiti aplikacije OS aplikacije OS

((netstatnetstat i sl.i sl.))

Dokumentovati Dokumentovati svaki koraksvaki korak85

A n t i f o r e n z i k a

86

87

AntiforenzikaAntiforenzika

““Pokušaji da se negativno utiče na postojanje, Pokušaji da se negativno utiče na postojanje, količinukoličinu i/ili kvalitet podataka i/ili kvalitet podataka nna mesta mestuu zločina, zločina, aali li i na i na pravljene analizpravljene analizaa i ispitivanje dokaza i ispitivanje dokaza tako datako da to to bude bude teškoteško ili ili gotovo neizvodljivo.”gotovo neizvodljivo.”

dr Marc Rogersdr Marc Rogers,, Purdue Purdue UUniverniverssitityy

““Antiforenzika je više od tehnologije. Antiforenzika je više od tehnologije. OnaOna je je kriminalnkriminalnii hak hakinging koj kojii dovodi dodovodi do ootežatežanognog pronalaženjpronalaženjaa počinioca i nemoguć počinioca i nemogućnostinosti dokazivanjdokazivanjaa da da jeje to onto on.”.”

Scott BerinatoScott Berinato,, član članaak k ““Uspon anti-forenzikeUspon anti-forenzike””

88

Mišljenja o antiforenzičkim alatima:Mišljenja o antiforenzičkim alatima:

-- malicioznimaliciozni, s, svrhom vrhom i i dizajnomdizajnom-- koriste koriste se se za za ilustrovanjeilustrovanje nedostataka nedostataka procedura procedura digitalnedigitalne forenzike, forenzike, njenih njenih alataalata i i obrazovanjobrazovanjee istražiteljaistražitelja Oblici Oblici antiforenzantiforenzčkog delovanja čkog delovanja (d(dr Marc Rogersr Marc Rogers))::

•sskrivanjekrivanje podataka podataka•brisanje brisanje sadržaja sadržaja•prikrivanje prikrivanje tragova tragova •napadi napadi na na forenziforenzičkečke alatealate i i proceseprocese

AntiforenzikaAntiforenzika

89

Oblici Oblici antiforenzičkog antiforenzičkog delovanja: delovanja: skrivanje skrivanje podatakapodataka

EnkripcijaEnkripcija

- - na na nivou fajlova kriptuje nivou fajlova kriptuje se se samo samo sadrsadržajžaj fajla. fajla. NNazivaziv,, veličina i vremenski pečat veličina i vremenski pečat su nsu neenkriptovaneenkriptovani tako da se di tako da se deo sadržaja fajla eo sadržaja fajla može rekonstruimože rekonstruisatisati iziz drugih drugih izvora.izvora. Većina Većina javno dostupnih javno dostupnih programa za enkripciju programa za enkripciju dozvoljava korisnicima da stvore dozvoljava korisnicima da stvore enkripenkriptovanetovane virtuelnevirtuelne diskove koji diskove koji se se mogu otvormogu otvoritiiti jedino jedino odgovarajućim ključemodgovarajućim ključem - - “forenzička “forenzička noćnanoćna mora”mora”

90

ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: skrivanje skrivanje podatakapodataka

SteganografijaSteganografija - - umeće pisanja u znakovima umeće pisanja u znakovima koji nisu razumljivi ukoliko se ne poseduje koji nisu razumljivi ukoliko se ne poseduje odgovarajući odgovarajući ključ.ključ.

DDigitalnigitalnaa st steganografijaeganografija - - skrivanjskrivanjee digitalnih digitalnih podatakapodataka u multimedij u multimedijalnom alnom oblikoblikuu kao kao delova digitalnih video (25, 26 ili ... sličica u delova digitalnih video (25, 26 ili ... sličica u sekundi, deo digitalne fotografije) i audio sekundi, deo digitalne fotografije) i audio fajlova.fajlova.

91

ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: skrivanje skrivanje podatakapodataka

Drugi oblici skrivanja podatakaDrugi oblici skrivanja podataka -- skrivanje skrivanje nana različite lokacije u računarskom sistemurazličite lokacije u računarskom sistemu: : memorijmemorija (RAM i/ili ROM)a (RAM i/ili ROM), skriven, skrivenii direktorijumdirektorijumii, skrivene particije, skrivene particije, s, slack lack sspace, pace, bad blocks, bad sectors bad blocks, bad sectors … …

SlackerSlacker alat koji alat koji deli fajl deli fajl na na delovdelove koje e koje smešta smešta u prazan prostor u prazan prostor iza iza drugih fajlovadrugih fajlova skrivajući skrivajući ga ga odod forenzičk forenzičkihih softvera. softvera.

ProglašavanjeProglašavanje “ispravnih” blokova ili sektora za “ispravnih” blokova ili sektora za “loše” - većina forenzičkih alata preskaće “loše” - većina forenzičkih alata preskaće takve delove diska.takve delove diska.

-- npr. uobičajena naredba za npr. uobičajena naredba za formatiranje diska. Međutimformatiranje diska. Međutim,, ona ona ostavlja ostavlja “tragove” tj. “tragove” tj. nne e formatira (čitaj: briše) sve formatira (čitaj: briše) sve delove diska podjednako. Pouzdaniji je delove diska podjednako. Pouzdaniji je LOW LOW LAVEL FORMATLAVEL FORMAT iliili neki od samo zaneki od samo za to to namenjenih softvera namenjenih softvera ((KillDisk, PC KillDisk, PC Inspector Inspector ......). Treba napomenuti da su ovi ). Treba napomenuti da su ovi postupci vremenski zahtevni.postupci vremenski zahtevni.

92

ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: brisanjebrisanje sadržajasadržaja

Čišćenje Čišćenje diskadiska

- među prvim - među prvim proizvodima ovog tipa, krajem 80tih prošlog proizvodima ovog tipa, krajem 80tih prošlog veka, bio je veka, bio je Norton WipeNorton Wipe. Brisanje se može . Brisanje se može oostvaritstvaritii u relativno kratkom vremen u relativno kratkom vremenu iu i obično ostavlja mnogo manji trag nego obično ostavlja mnogo manji trag nego formatiranjeformatiranje diska. diska.

ManeMane:: zahteva uključenost korisnika u proceszahteva uključenost korisnika u proces i i ne izvrši ne izvrši se se uvekuvek u potpunosti. u potpunosti.

93

ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: brisanjebrisanje sadržajasadržaja

BrisanjeBrisanje pojedinačnih pojedinačnih ffajlovaajlova

-- postupak postupak pri kome se pri kome se disk izlaže delovanju jakog disk izlaže delovanju jakog obrobrttnonogg magnetnomagnetnogg polj poljaa. Rezultat je potpuno čist . Rezultat je potpuno čist medijum. Umedijum. Uprkos činjenici da je prkos činjenici da je najpouzdanija retko senajpouzdanija retko se koristikoristi zbog zbog visokivisokihh troškova troškova ovakvih ovakvih uređaja. Alternativa je uređaja. Alternativa je fizičkofizičko uništ uništeenje. nje.

94

Oblici Oblici antiforenzičkog antiforenzičkog delovanja: delovanja: brisanjebrisanje sadržajasadržaja

DemagnetizDemagnetizacijaacija diskadiska

95

ObliciOblici antiforenzičkog antiforenzičkog delovanja: delovanja: prikrivanje prikrivanje tragovatragova

Svrha prikrivanja tragova je da preusmeri, Svrha prikrivanja tragova je da preusmeri, dezorjentiše dezorjentiše forenzičkoforenzičko is istraživtraživanje.anje.

TimestampTimestamp oomogućmogućujeuje izmen izmenuu metapodataka metapodataka kojkojii se odnos se odnosee na vreme/datum na vreme/datum pristuppristupaa, , kreiranja i/ili kreiranja i/ili mmodifikovanja fajla.odifikovanja fajla.

TransmogrifyTransmogrify o omogućmogućujeuje da se da se identifikacionidentifikacionii podapodaci o tipu i sadržaju koji se nalaze u ci o tipu i sadržaju koji se nalaze u zaglavljzaglavljuu fajla promene - fajla promene - forenzički program za skeniranje forenzički program za skeniranje slikaslika neće ih pronaći ako su one upakovane kao neće ih pronaći ako su one upakovane kao tekst dokument. tekst dokument.

96

Oblici Oblici antiforenzičkog antiforenzičkog delovanja: delovanja: napadinapadi nana forenzi forenzičke čke alate alate i i proceseprocese

Do nedavno su se Do nedavno su se antiforenzički alati kori antiforenzički alati koristili stili za za uništavanje, skrivanje ili menjanje uništavanje, skrivanje ili menjanje podataka podataka bitnih bitnih za za istraguistragu. Napadi s. Napadi see sada usmer sada usmeravaju avaju na alatena alate i i procedure procedure kojikojimama se se obavobavljajuljaju ispitivanj ispitivanjaa. . Određeni Određeni delovi diska se mogu zaštititi pomoću virusolikih delovi diska se mogu zaštititi pomoću virusolikih programa od neautorizovanog pristupa. programa od neautorizovanog pristupa. Tokom tipičnTokom tipičnee forenzičkforenzičkee is istrage prvo se prave kopije medijuma sa trage prvo se prave kopije medijuma sa podacima radi obezbeđivanja originalnih dokaza. podacima radi obezbeđivanja originalnih dokaza. Upravo se pravljenje kopije od strane takvih programa Upravo se pravljenje kopije od strane takvih programa može tretirati kao neautorizovani pristup. Da bi se on može tretirati kao neautorizovani pristup. Da bi se on sprečio pribegava se oštećenju sprečio pribegava se oštećenju hashhash fajla kopije ili fajla kopije ili originala tako da prikupljeni originala tako da prikupljeni dokazi mogu bdokazi mogu bitiiti osporeni osporeni..