KOMPJUTERSKA FORENZIKA:

ODGOVOR NA INCIDENT
Dipl. Ing. Stevanovi Boris, Narodna banka Srbije,
sboris@ptt.yu
Abstrakt: U ovom radu obraena je problematika prikupljanja digitalnih dokaza
pomou kompjuterske forenzike kao reakcije na incident. Prikazano je nekoliko tehnika
prikupljanja digitlanih dokaza i njihovog tretiranja.
Kljune rei: digitalni dokaz, povraaj podataka, logovanje, auditing, toolkit

COMPUTER FORENSICS: INCIDENT RESPONSE

Abstract: This paper deals with problems of gathering computer evidences
with coputer forensics as incident response. Several tehcniques for collecting and
management of digital evidence are reviewed.
Keywords: digital evidence, data retrieval, logging, auditing, toolkit

1. Uvod
Kompjuteri, bez sumnje, ine ljudsku aktivnost brom, jednostavnijom i interesantnijom. Uz njihovu pomo stvaraju se novi modeli rada, ali i ostalih tipova aktivnosti
koje ljudi preduzimaju. Posledica takvog stanja je kontinualno generisanje novih ideja
kao i poveanje broja mogunosti koje se nude savremenom oveku. Meutim, u svetlu ovih dobrih stvari koje raunari donose postoji i tamna strana koja prua prilike za
nanoenje tete drutvu. Sve one tehnologije koje nose informacionu i informatiku
revoluciju istovremeno su i nosioci evolucije kompjuterske forenzike, posebnog tipa
forenzike, koja nam moe pokazati i dokazati kako ljudi, pomou kompjutera, mogu
poiniti neko kriminalno delo.
U samom poetku Internet je kao i svaki dimamiki sistem nametnuo odreena
pravila ponaanja kojih su se veina korisnika pridravala. U poetku re je bila o nekoj
vrsti kodeksa (netiquette), da bi zatim razvio sistem praenja, moderacije, a na kraju je
doao u sistem kanjavanja (ban, black lists itd). Kako kibernetiki prostor (cyberspace) nije mogue ograniiti, tako dolazi i do problema u postavljanu zakonske regulative koja bi mogla najbolje da se suprotstavi neprimerenom ponaanju ljuskog faktora. Problem dolazi i sa izvora cele prie. Ma koliko korisnici Interneta eleli da njihovi
raunari budu sigurni esto je takvo stanje u kontra poziciji u odnosu na ekonomski faktor. Administratori, preteno, komercijalnih sajtova u cilju poboljanja prodaje i unapreenja njihovih e-commerce sistema esto primenjuju neke tehnike koje se mogu iskoristiti na maliciozan nain. Od svih aktivnosti koje takav sistem moe da prui korisnku
nije sve produktivno, niti je sve legalno i samim tim nije drutveno poeljno. Zakoni,
regulative i etika su esto u konfliktu sa ciljevima poslovanja.
Kompjuterska forenzika daje sve potrebne vetine za identifikaciju incidenta,
otkrivanje i sklapanje svih dokaza neophodnih za izgradnju vrstog pravnog sluaja.
Veoma vano je da sluaj bude utemeljen i dobro obrazloen u oima prava pa ak
iako to nije sluaj sa aspekta sistem administratora ili nekog drugog korisnika. Termin
forenzika se moe primeniti u informacionoj tehnologiji iako pred druto postavlja niz
problema u konceptualizaciji sluaja. Postavlja se set pitanja kako krivino delo moe
biti dokazano digitalnim dokazom ? Kako alocirati odgovornost ? Moe li kompjuter biti
orue ? Koji bi bili elementi validni za odbranu ? Moda najgore od svega je pitanje da
li kompjuter moe izazvati jasan, oevidan, zloin (kriminalni akt) i moe li se neopaeno podmetnuti krivica nekome ko je u celoj prii nevin ?

2. POJAM I ULOGA KOMPJUTERSKOG KRIMINALA

Kompjuterska forenzika obuhvata istragu neke zloupotrebe na osnovu kompjuterski zasnovanih odnosto digitalnih dokaza1. esto je neophodno da odgovorna lica,
koja sprovode tu istragu, pored pravnog aspekta, poznaju i tehniku ulogu koju igraju
raunarski sistemi. Kao to smo ve pomenuli nee svaki incident rezultirati jakim sluajem, niti e prestupnik biti krivino gonjen. Prema amerikom Ministarstvu pravde
kompjuteri mogu odigrati tri razliite uloge u kriminalnom sluaju2.
Kompjuteri imaju ulogu trve,
Kompjuteri mogu imati indirektnu ulogu u izvrenju prestupa i
Kompjuteri imaju ulogu prestupnika.

Definicija preuzeta sa internet enciklopedije Wiki

2

sics, str 9

Mohay G., Anderson A, Collie B.,VelRodney D., McKemmish R.,Computer and IntrusionForen-

3.

UPOTREBA KOMPJUTERSKE FORENZIKE

Ve je pomenut pojam kompjuterske forenzike i neke od oblika kriminalnih radnji koje kompjuterska forenzika moe tretirati. Kompjuterska forenzika predstavlja skupljanje, uvanje, analizu i prezentaciju kompjuterskih i/ili digitalnih dokaza3. Postavlja se
logino pitanje. Kada je potrebno koristiti kompjutersku forenziku? Laici bi rekli da je
upotreba kompjuterske forenzike potrebna uvek kada se radi o kompjuterskom kriminalu. Meutim podsetimo se da kompjuterska forenzika nosi velike nedostatke i da je teko napraviti vrst sluaj samo pomou forenzike. Upotreba kompjuterske forenzike potrebna u svakoj situaciji kada je jasno da se na nekom kompjuteru nalaze potencijalno
vani dokazi za sluaj, ali kako je veoma mogue da do tih dokaza nije lako doi potrebno je da tehnike kompjuterske forenzike primenjuje ekspert iz te oblasti kako ne bi
dolo do oteenja dokaza i smanjenja njihove upotrebljivosti na sudu.
Kada se trai strunjak iz oblasti kompjuterske forenzike od velikog je znaaja
da se pronae iskusna osoba. Kompjuterska forenzika je forenzika kao i svaka druga
pa je iskustvo od neprocenjive vanosti. Iako e mnogi rei za sebe da su stunjaci,
pravnici kojima je potrebna usluga nekog forenzikog struanjaka posebno moraju da
obrate panju da reference istog i da paljivo procene nivo strunosti.
Kompjuterska forenzika nije samo pronalaenje skivenih i obrisanih podataka ili
snimanje stanja memorije. Sposobnost onoga ko sprovodi te tehnike poveava se sa
mogunou da na pravilan nain interpretira rezultate do koji je doao. Te rezultate taj
isti strunjak morae da brani argumentacijom koja je razumljiva svakom ko bi je sluao. U krajnjem sluaju forenziar mora da svoju analizu prezentuje i obrazloi na sudu
pa i da odgovori na svaka pitanja koja bi mogla da se postave u toku postupka. Neki
autori pokuali su da razviju neku vrstu okvira (framework-a) koji bi pomogao u upotrebi kompjuterske forenzike u pravosuu. Iako je voenje pravnog sluaja primer situacionog menadmenta, a smetanje metodologije u neke okvire nije takve prirode izneemo primer jednog framework-a.
Test eksperitze,
Test metodologije i
Test tehnologije.
Kompjuterska forenzika je nala svoju primenu u velikom broju oblasti. Nisu
samo pravo i istrani organi zainteresovani za kompjutersku forenziku. Sve je vie velikih, privatnih, kompanija koje koriste kompjutersku forenziku kao vid unutranje kontrole svojih zaposlenih, pravdajui to prevencijom. Kasnije e biti rei se pozabaviti praktinim aspektima primene kompjterske forenzike.

4. USPOSTAVLJANJE SLUAJA
KOMPJUTERSKE FORENZIKE
Na poeku ovog rada napravljenja je razlika izmeu forenzike upada i kompjuterske forenzike. Jedna od zajednikih stvari za oba tipa forenzike jeste priroda dokaza
koju koriste. Kompjuterski bazirani digitalni dokazi ine osnovu bez koje nije mogue
uspostaviti bilo koji sluaj iz oblasti komjuterske forenzike.
Kompjuterska forenzika kako u irem (korienje svih kompjuterski zasnovanih
dokaza) tako i u uem smislu (korienje samo dokaza prihvatljivih za sud) sastoji se
od aktivnosti prilino razliitih od onih aktivnosti koje se sprovede u nekim tradicionalnim forenzikim disciplinama. Materijal koji kompjuterska forenzika obrauje, kao i alati
i tehnike, nisu prirodnog porekla niti se proizvodi u nekim laboratorijama. esto je mes-

Definicija preuzeta sa internet enciklopedije Wiki

to dogaaja komercijalne prirode, a kompjuterska forenzika pokuava da sastavi divergentne dokaze kako bi se dobio prihvatljiv scenario sluaja.
Jasno je da je centralna uloga u uspostavljanju sluaja kompjuteske forenzike
namenjena dokazu. Po prirodi stvari digitalni dokaz je potreban uslov za izgradnju sluaja kompjuterkse forenzike, ali ne i dovoljan. Pravo i istrani organi se susreu sa
problemom nedovoljnog broja obuenih ljudi koji bi se mogli pozabaviti ovom problematikom. Do skora je i zakonska regulativa bila prepreka u izgradnji sluaja baziranog
na kompjuterskoj forenzici jer u postojeim zakonima veine zemalja nisu se mogli
objasniti pojmovi poput kompjuterski upad, download, logging i sl. Problem koji je bio
podjednako ozbiljan kao i ovaj prvi je to to digitalni dokaz nije imao fiziku, materijalnu, komponentu poput otisaka pristiju, mrlja od krvi ili rane od oruja pa je teina dokaza uvek bila dovoena u pitanje od suprotne strane u sluaju.

5. DIGITALNI DOKAZ
Dokaz je ono to razdvaja hipotezu od neosnovane tvrdnje. Dokazi mogu potvrditi ili oboriti hipotezu pa je njihov integritet kljuna stvar u njihovom prihvatanju
odnosno odbacivanju pred sudom. Postoji nekoliko specijalnih karakteristika digitalnog
dokaza koje ih ine posebno izazovnim. Pre svega potrebno je jasno i precizno definisati digitalni dokaz.
Digitalni dokaz je informacija uskaditena ili prenoena u digitalnoj formi koja
uestuje u sudskom sluaju i moe se koristiti na suenju4. Digitalna forma po svojoj
prirodi podrazumeva da se radi o nekom elektronskom ili magnetnom ureaju pa to
mogu biti podaci u oprativnoj memoriji, na hard disku, flash karticama, ali i podaci koji
se nalaze u transmisiji npr. radio talasi. Digitalni dokaz nije neto to ljudi mogu na prvi
pogled protumaiti. U bukvalnom smislu digitalni dokaz predstavlja niz nula i jedinica
koje neki elektronski ureaj prevodi u ljudima razumljivu formu koju oni mogi koristiti
kao potkrepljenje svojoj hipotezi u okviru nekog sudskog sluaja.
Treba se osvrnuti na karakteristike i prirodu digitalnih dokaza5.
1 Veliki broj potencijalno inkriminsanih: Kod tradicionalnih prestupa esto se pojavljuje neto to isti manifestuje postoji le, otisci prstiju, vlasi kose materijalni
tragovi. Sa takvom poetnom takom istraiteljima je lako da zaponu pretragu
jer postoji neko usmerenje i poetna lista osumnjienih. Proverava se ko je poznavao rtvu, iji su otisci, radi se DNK test i sl. Internet, zbog svoje anonimnosti i
nepostojanja standarda indentifikacije moe ponuditi veliki broj potencijalno
osumnjienih.
2 Identifikacija prestupa: Kod kompjuterskog kriminala priroda prestupa je manje
oigledna i neposredna. Na primer ako haker ukrade poverljive informacije, rtva
moe da ne primeti da je oteena sve dok ne bude obavetena od strane sistem
administratora, a to je obino kasno nakon samog upada. Kraa identiteta je
jedan od prestupa koji ima najvei faktor rasta u oblasti kompjuterskog krimnala,
a moe biti otkrivena tek nakon nekoliko godina.
3 Suvie potencijalnih dokaza: Kod kompjuterske forenzike nekad je neophodno
pokuati dati postojanu hipotezu koja je mnogo ira od finalne, da bise zatim ta
ista hipoteza suavala tokom istrage. Naravno da nije sve digitalni dokaz. ak ta
vie o odnosu na ono na ta se sve nailazi tokom istrage dokazi su u malom procentu. Istraitelj mora znati ta od toga da iskoristi za suavanja poetne hipoteze, a da bi to uradio mora znati prirodu prestupa. Kako je identifikacija prestupa
teka sama po sebi jasno je o kakvom se problemu radi.
4
5

Definicija preuzeta sa internet enciklopedije Wiki

Mohay G., Anderson A, Collie B.,VelRodney D., McKemmish R.,op. cit., str 44.

Podlonost kontaminaciji: Tradicionalni dokazi, uglavnom, bivaju poslati sa scene

dogaaja na neko drugo mesto na kojima se vri njihova obrada i na kome se
ekaju rezultati. Kod kompjuterske forenzike ne postoji takva neosetljivost na
promenu stanja. Svi koraci u procesu istrage moraju preduzeti to pre sve potrebne mere za ouvanje poetnog stanja. Sprovoenje takve metodologije mogue
je samo ako se prati striktno odreena procedura. Niko ne eli da doe do kontaminiranja dokaza, a koliko je to mogue govori injenica da se restartom kompjutera drastino menja poetno stanje, a da dokazi mogu biti ne samo kontaminirani ve i zauvek izgubljeni.
Lakoa gubitka dokaza: Upravo poslednja reenica prethodne karakteristike otvara novo pitanje. Da li bez dokaza koji je izgubljen sluaj moe da opstane. Naravno da je gubitak dokaza kardinalna greka koja ne bi smela da se dogodi ni poetnicima, a kamoli nekome ko je iskusan u poslu kompjuterske forenzike. Meutim
nekada je gubitak dokaza posledica neznanja da je dokaz zaista prisutan. Kasnije
e se govoriti o koracima koji se preduzimaju kao reakcija na incident i videemo
na koji nain se ovakve greke mogu smanjiti na minimum.

5.1 Pribavljanje digitalnih dokaza

Kako je kompjuterska forenzika vie zainteresovana za formu nego za funkciju
izvora digitalnog dokaza izvori digitalnih dokaza su klasifikovani prema skladitenju
podataka na:
1. Privremenu formu digitalnog dokaza. Tipian predstvnik ove forme je RAM
memorija koja bez eksternog izvora napajanja prestaje da postoji.
2. Nestalnu formu. Kod ove forme postoji neki interni izvor napajanja poput baterije. Kao i kad privremene forme ukoliko bismo izvadili bateriju informacije bi bile
izgubljenje. Primer ove forme je CMOS ili RAM na laptopu koji ima napajanje na
bateriju.
3. Semipermanentna (polustalna) forma. Re je o perzistentnom medijumu koji se
moe promeniti npr. hard disk, disketa, CD, DVD, MMC i sl.
4. Permanentna (stalna) forma. ROM memorija6.
Kompjuterski forenziar mora dobro da poznaje svaku od gore navedenih formi
kako bi izbegao probleme koje smo naveli, a koji karekteriu digitalne dokaze. Ve je
pominjana inicijalna obimnost digitalnih dokaza. Istraitelj mora sa takivm podacim da
postupa iterativno-dekrementativno i da poetnu veliku kolinu podataka svede na
optimalnu veliinu. Svaka iteracija u forenzikoj istrazi rezultira za sluaj vrednim podacima, a istvoremeno smanjuje inicijalnu koliinu podataka. Rezultujui skup podataka
se u sledeoj iteraciji koristi za dublju analizu i tako se dolazi do neke optimalne veliine podataka. Finalni set dokaza bi trebao da bude od velike koristi pravnicima u sudskom procesu protiv poinioca prestupa. Na sledeoj slici moete videti kako se grafiki predstavlja ovaj iterativno-dekrementativni proces pronalaenja rezultujueg skupa
digitalnih dokaza.

Mohay G., Anderson A, Collie B.,VelRodney D., McKemmish R.,op. cit., str 25.

Slika 1. Proces pronalaenja dokaza

5.2 Odgovor na incident

U informacionoj tehnologiji termin incident odnosi se na ne-prijateljski dogaaj u
informacionom sistemu i/ili mrei ili pretnju takvim dogaajem. Dogaaji poput upanja
kablova koje rezultira padom sistema ili namernog izazivanje nestanka elektrine energije nisu incidenti ovog tipa poto se pod incidentom smatra samo ono to je u opsegu
bezbednosti informacija (informacione sigurnosti). Navedimo neke primere: pad sistema, flooding, incidenti nastali ljudskom grekom poput brisanja kritinih podataka itd.

6. FORENZIKA PRIPREMA I PRVI ODGOVOR

6.1. Znaaj log fajlova
Log fajlovi (logovi-dnevnici rada) su tradicionalni izvor informacija i dokumentacija aktivnosti koje su se desile ili koje se i dalje deavaju u operativnom sistemu. Svrha logovanja (logginga) je da se sauvaju znaajni dogaaji npr. nakon deavanja
incidenta administrator sistema eli da doe do neke ideje o tome ta se zaista desilo.
Logovi mogu biti razliitog tipa. Sistemski logovi, aplikacioni logovi, mreni logovi su
samo najei od brojnih tipova logova. Moderni operativni sistemi ponekad spajaju
tipove logova kako bi se poveala mogunost sinhronizacije vremenske linije logovanja
i praenja aktivnosti na kompjuterskom sistemu.
Vana aplikacija koja se moe pronai u Windows XP i 2000 sistemima je tzv.
Event viewer. Ova aplikacija nakon nadziranja, dokumentuje sve vane informacije na
jednom mestu npr. Podatke o punom hard disku, hardversku koliziju, ali i one dogaaja
koji se u prvi mah ine nevanim. Logovanje dogaaja poinje odmah nakon podizanja
operativnog sistema i traje sve do zavretka rada. Event viewer dokumentuje logove
raznih formata. Tri formata su bazina:
1. System log: Sistem logovi sadre podatke o dogaajima i aktivnostima koji izazivaju komponente sistema. Na primer greke u drajveru ili nekog drugog sistemskog servisa bie zabeleene u logu ovog tipa. Tipovi dogaaja koji odgovaraju
svakom od ovih logova predefinisani su od strane samog sistema.
2. Security log: Logovi ovog tipa sadre informacije o validnim i ne validnim pokuajima logovanja kao i dogaaje koji reguliu korienje resursa. Pod ovim se
podrazumeva kreiranje i brisanje fajlova ili drugih objekata, kao i menjanje statusa
nekih sistemskih komponenti. Logovi ovog tipa dostupni su samo administratoru
sistema i adminsitrator odreuje koje e aktivnosti nadzirati.

3. Application log: Aplikacioni logovi su najbrojniji logovi i belee aktivnosti aplikacija. Kao primer izdvojiemo logove sistema za upravljanje bazama podatka koji
svaku transakciju nad bazom belee u jedan log ovakvog tipa. Tvorci aplikacija
odreuju ta e se nadzirati i logovati

6.2 Povraaj podataka

Povraaj (oporavak) podataka7 predstavlja vrlo vaan deo svake forenzike
istrage. U uvodnim razmatranjima pomenuli smo da je esencija svake forenzike istrage i odgovora na incident skupljanje digitalnih dokaza. Digitalni dokazi su najee u
obliku nekih fajlova, ali kako nije svaki fajl dokaz treba razgraniiti ove dve stvari. Prestupnik e, vrlo verovatno, pokuati da uniti sve dokaze koji bi govorili o njegovim aktivnostima na mestu zloina pa tako neki podaci prestavljaju objekat brisanja. Cilj forenziara je da povrati takve podatke i da njihovom analizom ustanovi da li su dovoljno
dobar dokaz za upotrebu u pravnom postupku protiv poinica krivinog dela.
Znai postoje dva koraka u povraaju podataka:
1. Hardeverski i
2. Softverski
Hardverski aspekt nije obavezan i sprovodi se samo u sluaju oteenja medijuma na kojem se nalaze podaci. Vano je istaknuti da se svaka od operacija zamene
defektnog hardevera mora izvriti u potpuno sterilnom okruenju i da i najmanja kontaminacija moe rezultirati trajnim gubitkom podataka. Postoje specijalne tzv. iste
sobe u kojima strunjaci za hardever izvravaju ove popravke.
Softverski deo je dosta laki. Softver, nakon pokretanja, trai podatke i u zavisnoti od njihovog stanja na medijumu uspeva da ih rekonstruie i povrati. Na tritu je
mogue nai veliki broj sotverskih paketa koji su namenjeni povraaju podataka, a na
istraitelju je da odabere onaj koji mu najvie odgovara.

7. SASTAVLJANJE FORENZIKOG TOOLKITA

Krucijalna komponenta svake istrage nekog kompjuterskog zloina je skup specijalizovanih alata (toolkit) koji mogu ekstraktovati i pruiti detaljne informacije o kompjuteru ili mrei koju ispitujemo. Toolkit moe imati dva tipa. Prvi, najee komercijalni,
predefinisani toolkit izraen od strane nekog softverskog proizvoaa i drugi tip, ire
rasprostranjen kod poetnika, tolokit koji korisnik sastavlja po elji, od alata koje eli da
koristi. Svaki toolkit, bez obzira na tip mora da obuhvati veliki broj alata kako bi mogao
da pravilno odgovori na bilo koji tip incidenta. Tu je velika prednost toolkitova koji prave
specijalizovane forenzike laboratorije, jer se smanjuje mogunost da se prilikom sprovoenja istrage nee raspologati odgovarajuim alatima.
Svi alati koje smo do sada predstavili trebali bi da bude deo manuelno napravljenog toolkita. Za one koji ele da naprave svoj toolkit trebalo bi da imaju u vidu da su
sledee kategorije alata neophodne:

Data recovery eng

Alat za analizu mrenog saobraaja,

Alat za kreiranje fizike slike hard diska i celog sistema,
Alat za razbijanje lozinki,
Alat za skeniranje i rad sa portovima,
Alat za povraaj obrisanih i izgubljenih podataka,
Alat za rad sa Registry-jem,
Alat za real time monitoring aktivnosti sistema,
Alat za analizu fajlova,
Antivirusni alati.

8. ZAKLJUAK
Nema sumnje da e kompjuterska forenzika nastaviti da se razvija i da e postati mona tehnika za otkrivanje digitalnih dokaza. Da bi taj razvoj bio nesmetan potrebno je da ga prati zadovoljavajua pravna regulativa i da drava ne predstavlja usporavajui faktor. Zemlje zapadne Evrope i SAD su odavno uoile ovu konstataciju i ine
sve da prue pravnu podrku kompjuterskoj forenzici. Naa zemlja kasni u regulisanju
ovog pitanja, ali nadu budi predlog zakona o organizaciji i nadlenosti dravnih organa
za borbu protiv visokotehnikog kriminala kojim je predvieno obrazovanje posebnih
organizacionih jedinica koje bi se bavile krivinim delima predvienim tim zakonom. 8
Verovatno kao posledica ovog predloga zakona, postoje informacije da e biti formirano posebno odeljenje policije koje bi se bavilo kompjuterskim kriminalom i kompjuterskom forenzikom. Dok se to sve ne ozvanii ostaje konstatacija da naa zemlja kasni
za razvijenim informatikim zemljama i da bi trebalo unaprediti postojee stanje. Mogue je da celokupna ekonomska i politika situacija usmerava panju relevantnih faktora
u dravi na neke druge oblasti, meutim ne bismo smeli da dozvolimo da se ovaj problem skloni u stranu. Informaciono drutvo omoguava njegovim manje razvijenim delovima da preskoi neke, uglavnom loe, evolucione korake i da implementira dobra
reenja.
Dok se ne donesu pravni mehanizmi nama ostaje da radimo na unapreenju
postojee metodologije i tehnika. Setimo se pitanja sa poetka ovog rada. Zakon je
jasno definisao dela kompjuterskog kriminala i ulogu kompjutera u svakom od prestupa. U takvom stanju stvari digitalnom dokazu se mora posvetiti velika panja. Nije jednostavan zadatak dokazati krivicu pomou nematerijalnog dokaza. Kompjuterski forenziari bi morali da se strogo pridravaju osnovnih koraka u tretiranju digitalnih dokaza.
Konsultantsku ulogu bi trebalo da imaju pravnici jer istraitelji ne mogu da znaju vrednost nekog od dokaza na sudu. Ovakva saradnja dae sinergetski efekat jer se pored
pribavljanja dokaza dolazi i do poveanja brzine rada. Zato nije neobino to velike
advokatske kancelarije imaju u svom sastavu sopstvene forenzike laboratorije.
Jasnost i oevidnost prestupa je, kad se radi o kompjuterskoj forenzici, u zavisnosti od subjektivnih osobina i iskustva istraitelja. Poetnik i iskusan forenziar nee
jednakom dinamikom doi do ispravnog zakljuka. Brzina je u pojednim incidentima
imanenta pa je vano odabrati prave nosioce istrage. U direktnoj povezanosti sa ovim
pitanjem je alociranje odgovornosti. Brza reakcija pomae, kod ove oblasti kriminaliteta
vie nego kod nekih drugih, pronalazak poinioca. Zato je na kompjuterskim forenziarima zadatak da vre edukaciju svih oni koji bi mogli biti mete napada nekog malicioznog korisnika.
Kada su tragovi digitalni, kompjuterski, u cyberspace-u gotovo da su nevidljivi.
Ipak mogue je povezati trag sa pojedincem, ma koliko to bilo teko. Podmetanje zloi8

lan 1. predloga zakona o organizaciji i nadlenosti dravnih organa za borbu protiv visokotehnikog kriminala

na je lako i zapanjuje inventivnost prestupnika. Na istraiteljima je da paljivo analiziraju dokaze kako ne bi dolo do greke u utvrivanju odgovornosti. I prestupnici i rtve bi
trebalo da imaju u vidu da ne postoji savren zloin i da uvek postoje tragovi, a da je na
kompjuterskoj forenzici da ih pravilno: otkriju, sauvaju, analiziraju i prezentuju.

9. LITERATURA

1. Drakuli M (1996), Osnovi Komjuterskog prava, Dopis, Beograd,

2. Drakuli M., DrakuliR. (2003), Fakultet organizacionih nauka, Beograd
3. uri-Luli A., Stamenkovi B. (2003), Kompjuterski kriminalitet - opasnost na
naem pragu, www.2ojt.sr.gov.yu
4. Marcella I., Greenfield A. (2002), Computer crimesInvestigationHandbooks, manuals etc., Auerbach publications a crc,
Boston
5. Mohay G., Anderson A, Collie B.,VelRodney D., McKemmish R (2003), Computer and IntrusionForensics, Arttech, Boston
6. Potaczala M. (2004), Computer Forensics, www.forensics.com
7. Schweitzer D (2003)., Incident Response: Computer Forensics Toolkit, Wiley
Publishing, Inc., London
rd
8. Vacca J.(2005), Computer Forensics: Computer Crime Scene Investigation 3
Edition, Charles River Media, London