Professional Documents
Culture Documents
ZT06 - Kompjuterska Forenzika Odgovor Na Incident
ZT06 - Kompjuterska Forenzika Odgovor Na Incident
ODGOVOR NA INCIDENT
Dipl. Ing. Stevanovi Boris, Narodna banka Srbije,
sboris@ptt.yu
Abstrakt: U ovom radu obraena je problematika prikupljanja digitalnih dokaza
pomou kompjuterske forenzike kao reakcije na incident. Prikazano je nekoliko tehnika
prikupljanja digitlanih dokaza i njihovog tretiranja.
Kljune rei: digitalni dokaz, povraaj podataka, logovanje, auditing, toolkit
1. Uvod
Kompjuteri, bez sumnje, ine ljudsku aktivnost brom, jednostavnijom i interesantnijom. Uz njihovu pomo stvaraju se novi modeli rada, ali i ostalih tipova aktivnosti
koje ljudi preduzimaju. Posledica takvog stanja je kontinualno generisanje novih ideja
kao i poveanje broja mogunosti koje se nude savremenom oveku. Meutim, u svetlu ovih dobrih stvari koje raunari donose postoji i tamna strana koja prua prilike za
nanoenje tete drutvu. Sve one tehnologije koje nose informacionu i informatiku
revoluciju istovremeno su i nosioci evolucije kompjuterske forenzike, posebnog tipa
forenzike, koja nam moe pokazati i dokazati kako ljudi, pomou kompjutera, mogu
poiniti neko kriminalno delo.
U samom poetku Internet je kao i svaki dimamiki sistem nametnuo odreena
pravila ponaanja kojih su se veina korisnika pridravala. U poetku re je bila o nekoj
vrsti kodeksa (netiquette), da bi zatim razvio sistem praenja, moderacije, a na kraju je
doao u sistem kanjavanja (ban, black lists itd). Kako kibernetiki prostor (cyberspace) nije mogue ograniiti, tako dolazi i do problema u postavljanu zakonske regulative koja bi mogla najbolje da se suprotstavi neprimerenom ponaanju ljuskog faktora. Problem dolazi i sa izvora cele prie. Ma koliko korisnici Interneta eleli da njihovi
raunari budu sigurni esto je takvo stanje u kontra poziciji u odnosu na ekonomski faktor. Administratori, preteno, komercijalnih sajtova u cilju poboljanja prodaje i unapreenja njihovih e-commerce sistema esto primenjuju neke tehnike koje se mogu iskoristiti na maliciozan nain. Od svih aktivnosti koje takav sistem moe da prui korisnku
nije sve produktivno, niti je sve legalno i samim tim nije drutveno poeljno. Zakoni,
regulative i etika su esto u konfliktu sa ciljevima poslovanja.
Kompjuterska forenzika daje sve potrebne vetine za identifikaciju incidenta,
otkrivanje i sklapanje svih dokaza neophodnih za izgradnju vrstog pravnog sluaja.
Veoma vano je da sluaj bude utemeljen i dobro obrazloen u oima prava pa ak
iako to nije sluaj sa aspekta sistem administratora ili nekog drugog korisnika. Termin
forenzika se moe primeniti u informacionoj tehnologiji iako pred druto postavlja niz
problema u konceptualizaciji sluaja. Postavlja se set pitanja kako krivino delo moe
biti dokazano digitalnim dokazom ? Kako alocirati odgovornost ? Moe li kompjuter biti
orue ? Koji bi bili elementi validni za odbranu ? Moda najgore od svega je pitanje da
li kompjuter moe izazvati jasan, oevidan, zloin (kriminalni akt) i moe li se neopaeno podmetnuti krivica nekome ko je u celoj prii nevin ?
sics, str 9
Mohay G., Anderson A, Collie B.,VelRodney D., McKemmish R.,Computer and IntrusionForen-
3.
Ve je pomenut pojam kompjuterske forenzike i neke od oblika kriminalnih radnji koje kompjuterska forenzika moe tretirati. Kompjuterska forenzika predstavlja skupljanje, uvanje, analizu i prezentaciju kompjuterskih i/ili digitalnih dokaza3. Postavlja se
logino pitanje. Kada je potrebno koristiti kompjutersku forenziku? Laici bi rekli da je
upotreba kompjuterske forenzike potrebna uvek kada se radi o kompjuterskom kriminalu. Meutim podsetimo se da kompjuterska forenzika nosi velike nedostatke i da je teko napraviti vrst sluaj samo pomou forenzike. Upotreba kompjuterske forenzike potrebna u svakoj situaciji kada je jasno da se na nekom kompjuteru nalaze potencijalno
vani dokazi za sluaj, ali kako je veoma mogue da do tih dokaza nije lako doi potrebno je da tehnike kompjuterske forenzike primenjuje ekspert iz te oblasti kako ne bi
dolo do oteenja dokaza i smanjenja njihove upotrebljivosti na sudu.
Kada se trai strunjak iz oblasti kompjuterske forenzike od velikog je znaaja
da se pronae iskusna osoba. Kompjuterska forenzika je forenzika kao i svaka druga
pa je iskustvo od neprocenjive vanosti. Iako e mnogi rei za sebe da su stunjaci,
pravnici kojima je potrebna usluga nekog forenzikog struanjaka posebno moraju da
obrate panju da reference istog i da paljivo procene nivo strunosti.
Kompjuterska forenzika nije samo pronalaenje skivenih i obrisanih podataka ili
snimanje stanja memorije. Sposobnost onoga ko sprovodi te tehnike poveava se sa
mogunou da na pravilan nain interpretira rezultate do koji je doao. Te rezultate taj
isti strunjak morae da brani argumentacijom koja je razumljiva svakom ko bi je sluao. U krajnjem sluaju forenziar mora da svoju analizu prezentuje i obrazloi na sudu
pa i da odgovori na svaka pitanja koja bi mogla da se postave u toku postupka. Neki
autori pokuali su da razviju neku vrstu okvira (framework-a) koji bi pomogao u upotrebi kompjuterske forenzike u pravosuu. Iako je voenje pravnog sluaja primer situacionog menadmenta, a smetanje metodologije u neke okvire nije takve prirode izneemo primer jednog framework-a.
Test eksperitze,
Test metodologije i
Test tehnologije.
Kompjuterska forenzika je nala svoju primenu u velikom broju oblasti. Nisu
samo pravo i istrani organi zainteresovani za kompjutersku forenziku. Sve je vie velikih, privatnih, kompanija koje koriste kompjutersku forenziku kao vid unutranje kontrole svojih zaposlenih, pravdajui to prevencijom. Kasnije e biti rei se pozabaviti praktinim aspektima primene kompjterske forenzike.
4. USPOSTAVLJANJE SLUAJA
KOMPJUTERSKE FORENZIKE
Na poeku ovog rada napravljenja je razlika izmeu forenzike upada i kompjuterske forenzike. Jedna od zajednikih stvari za oba tipa forenzike jeste priroda dokaza
koju koriste. Kompjuterski bazirani digitalni dokazi ine osnovu bez koje nije mogue
uspostaviti bilo koji sluaj iz oblasti komjuterske forenzike.
Kompjuterska forenzika kako u irem (korienje svih kompjuterski zasnovanih
dokaza) tako i u uem smislu (korienje samo dokaza prihvatljivih za sud) sastoji se
od aktivnosti prilino razliitih od onih aktivnosti koje se sprovede u nekim tradicionalnim forenzikim disciplinama. Materijal koji kompjuterska forenzika obrauje, kao i alati
i tehnike, nisu prirodnog porekla niti se proizvodi u nekim laboratorijama. esto je mes-
to dogaaja komercijalne prirode, a kompjuterska forenzika pokuava da sastavi divergentne dokaze kako bi se dobio prihvatljiv scenario sluaja.
Jasno je da je centralna uloga u uspostavljanju sluaja kompjuteske forenzike
namenjena dokazu. Po prirodi stvari digitalni dokaz je potreban uslov za izgradnju sluaja kompjuterkse forenzike, ali ne i dovoljan. Pravo i istrani organi se susreu sa
problemom nedovoljnog broja obuenih ljudi koji bi se mogli pozabaviti ovom problematikom. Do skora je i zakonska regulativa bila prepreka u izgradnji sluaja baziranog
na kompjuterskoj forenzici jer u postojeim zakonima veine zemalja nisu se mogli
objasniti pojmovi poput kompjuterski upad, download, logging i sl. Problem koji je bio
podjednako ozbiljan kao i ovaj prvi je to to digitalni dokaz nije imao fiziku, materijalnu, komponentu poput otisaka pristiju, mrlja od krvi ili rane od oruja pa je teina dokaza uvek bila dovoena u pitanje od suprotne strane u sluaju.
5. DIGITALNI DOKAZ
Dokaz je ono to razdvaja hipotezu od neosnovane tvrdnje. Dokazi mogu potvrditi ili oboriti hipotezu pa je njihov integritet kljuna stvar u njihovom prihvatanju
odnosno odbacivanju pred sudom. Postoji nekoliko specijalnih karakteristika digitalnog
dokaza koje ih ine posebno izazovnim. Pre svega potrebno je jasno i precizno definisati digitalni dokaz.
Digitalni dokaz je informacija uskaditena ili prenoena u digitalnoj formi koja
uestuje u sudskom sluaju i moe se koristiti na suenju4. Digitalna forma po svojoj
prirodi podrazumeva da se radi o nekom elektronskom ili magnetnom ureaju pa to
mogu biti podaci u oprativnoj memoriji, na hard disku, flash karticama, ali i podaci koji
se nalaze u transmisiji npr. radio talasi. Digitalni dokaz nije neto to ljudi mogu na prvi
pogled protumaiti. U bukvalnom smislu digitalni dokaz predstavlja niz nula i jedinica
koje neki elektronski ureaj prevodi u ljudima razumljivu formu koju oni mogi koristiti
kao potkrepljenje svojoj hipotezi u okviru nekog sudskog sluaja.
Treba se osvrnuti na karakteristike i prirodu digitalnih dokaza5.
1 Veliki broj potencijalno inkriminsanih: Kod tradicionalnih prestupa esto se pojavljuje neto to isti manifestuje postoji le, otisci prstiju, vlasi kose materijalni
tragovi. Sa takvom poetnom takom istraiteljima je lako da zaponu pretragu
jer postoji neko usmerenje i poetna lista osumnjienih. Proverava se ko je poznavao rtvu, iji su otisci, radi se DNK test i sl. Internet, zbog svoje anonimnosti i
nepostojanja standarda indentifikacije moe ponuditi veliki broj potencijalno
osumnjienih.
2 Identifikacija prestupa: Kod kompjuterskog kriminala priroda prestupa je manje
oigledna i neposredna. Na primer ako haker ukrade poverljive informacije, rtva
moe da ne primeti da je oteena sve dok ne bude obavetena od strane sistem
administratora, a to je obino kasno nakon samog upada. Kraa identiteta je
jedan od prestupa koji ima najvei faktor rasta u oblasti kompjuterskog krimnala,
a moe biti otkrivena tek nakon nekoliko godina.
3 Suvie potencijalnih dokaza: Kod kompjuterske forenzike nekad je neophodno
pokuati dati postojanu hipotezu koja je mnogo ira od finalne, da bise zatim ta
ista hipoteza suavala tokom istrage. Naravno da nije sve digitalni dokaz. ak ta
vie o odnosu na ono na ta se sve nailazi tokom istrage dokazi su u malom procentu. Istraitelj mora znati ta od toga da iskoristi za suavanja poetne hipoteze, a da bi to uradio mora znati prirodu prestupa. Kako je identifikacija prestupa
teka sama po sebi jasno je o kakvom se problemu radi.
4
5
Mohay G., Anderson A, Collie B.,VelRodney D., McKemmish R.,op. cit., str 25.
3. Application log: Aplikacioni logovi su najbrojniji logovi i belee aktivnosti aplikacija. Kao primer izdvojiemo logove sistema za upravljanje bazama podatka koji
svaku transakciju nad bazom belee u jedan log ovakvog tipa. Tvorci aplikacija
odreuju ta e se nadzirati i logovati
8. ZAKLJUAK
Nema sumnje da e kompjuterska forenzika nastaviti da se razvija i da e postati mona tehnika za otkrivanje digitalnih dokaza. Da bi taj razvoj bio nesmetan potrebno je da ga prati zadovoljavajua pravna regulativa i da drava ne predstavlja usporavajui faktor. Zemlje zapadne Evrope i SAD su odavno uoile ovu konstataciju i ine
sve da prue pravnu podrku kompjuterskoj forenzici. Naa zemlja kasni u regulisanju
ovog pitanja, ali nadu budi predlog zakona o organizaciji i nadlenosti dravnih organa
za borbu protiv visokotehnikog kriminala kojim je predvieno obrazovanje posebnih
organizacionih jedinica koje bi se bavile krivinim delima predvienim tim zakonom. 8
Verovatno kao posledica ovog predloga zakona, postoje informacije da e biti formirano posebno odeljenje policije koje bi se bavilo kompjuterskim kriminalom i kompjuterskom forenzikom. Dok se to sve ne ozvanii ostaje konstatacija da naa zemlja kasni
za razvijenim informatikim zemljama i da bi trebalo unaprediti postojee stanje. Mogue je da celokupna ekonomska i politika situacija usmerava panju relevantnih faktora
u dravi na neke druge oblasti, meutim ne bismo smeli da dozvolimo da se ovaj problem skloni u stranu. Informaciono drutvo omoguava njegovim manje razvijenim delovima da preskoi neke, uglavnom loe, evolucione korake i da implementira dobra
reenja.
Dok se ne donesu pravni mehanizmi nama ostaje da radimo na unapreenju
postojee metodologije i tehnika. Setimo se pitanja sa poetka ovog rada. Zakon je
jasno definisao dela kompjuterskog kriminala i ulogu kompjutera u svakom od prestupa. U takvom stanju stvari digitalnom dokazu se mora posvetiti velika panja. Nije jednostavan zadatak dokazati krivicu pomou nematerijalnog dokaza. Kompjuterski forenziari bi morali da se strogo pridravaju osnovnih koraka u tretiranju digitalnih dokaza.
Konsultantsku ulogu bi trebalo da imaju pravnici jer istraitelji ne mogu da znaju vrednost nekog od dokaza na sudu. Ovakva saradnja dae sinergetski efekat jer se pored
pribavljanja dokaza dolazi i do poveanja brzine rada. Zato nije neobino to velike
advokatske kancelarije imaju u svom sastavu sopstvene forenzike laboratorije.
Jasnost i oevidnost prestupa je, kad se radi o kompjuterskoj forenzici, u zavisnosti od subjektivnih osobina i iskustva istraitelja. Poetnik i iskusan forenziar nee
jednakom dinamikom doi do ispravnog zakljuka. Brzina je u pojednim incidentima
imanenta pa je vano odabrati prave nosioce istrage. U direktnoj povezanosti sa ovim
pitanjem je alociranje odgovornosti. Brza reakcija pomae, kod ove oblasti kriminaliteta
vie nego kod nekih drugih, pronalazak poinioca. Zato je na kompjuterskim forenziarima zadatak da vre edukaciju svih oni koji bi mogli biti mete napada nekog malicioznog korisnika.
Kada su tragovi digitalni, kompjuterski, u cyberspace-u gotovo da su nevidljivi.
Ipak mogue je povezati trag sa pojedincem, ma koliko to bilo teko. Podmetanje zloi8
lan 1. predloga zakona o organizaciji i nadlenosti dravnih organa za borbu protiv visokotehnikog kriminala
na je lako i zapanjuje inventivnost prestupnika. Na istraiteljima je da paljivo analiziraju dokaze kako ne bi dolo do greke u utvrivanju odgovornosti. I prestupnici i rtve bi
trebalo da imaju u vidu da ne postoji savren zloin i da uvek postoje tragovi, a da je na
kompjuterskoj forenzici da ih pravilno: otkriju, sauvaju, analiziraju i prezentuju.
9. LITERATURA