You are on page 1of 18

DIGITALNI DOKAZI I KOMPJUTERSKA FORENZIKA

Jasmin Ćosić, dipl.ing.inf.tehnologija
MUP USK Bihać,
502.V.bbr br.2 Bihać

Kao što zakonodavstvo kaže, svako kazneno djelo ima svoga izvršioca. Ova teza se može
primjeniti i na kaznena djela učinjena uz upotrebu IKT-a, ali sa razlikom da su ova djela teže
dokaziva i da je veoma teško uhvatiti osumnjičenog sa „pištoljem koji se dimi u ruci“.
Naime, postoje određene specifičnosti u otkrivanju, prikupljanju i čuvanju ovih dokaza , te
otkrivanju ovih djela u odnosu na „klasični kriminal“.
Nakon saznanja o učinjenom kaznenom djelu, sprovodi se sveobuhvatna istraga, odnosno
pristupa se prikupljanju dokaza vezanih za to djelo i eventualnog počinioca (počinioce) toga
djela. U kompjuterskom kriminalu prikupljaju se tzv. „digitalni dokazi“ , te se stvara „lanac
digitalnih dokaza“ , koji nedvojbeno moraju ukazivati na počinioca. Ovaj postupak se čini uz
veoma kompleksne forenzičke metode , te striktno propisane korake kojih se mora striktno
pridržavati, inače je sav posao uzaludan.
2. Digitalni dokazi
2.1 Definicije pojmova

Definicija pojma „digitalni dokaz“ je jako mnogo. Jedna od definicija 1 je: „Digitalni
kompjuterski dokaz čini gomila posrednih stvarnih dokaza, od kojih se ni jedan ne smije
isključiti iz bilo kog razloga. Dokazi moraju biti potpuni, da se međusobno dopunjuju (da su
isprepleteni) i da nemaju tzv. pukotina za donošenje zaključaka, odnosno za utvrđivanje čvrstog
dokaza“.

Prema „The Scientific Working Group on Digital Evidence (SWGDE)“2 termin „dokaz“ se
upotrebljava za „nešto materijalno“ što će biti priznato od strane suda. Ono mora biti prikupljeno
na legalan i zakonit način. Neki objekat (podataka ili materijalna stvar) postaje dokazom jedino,
kada u njega povjeruje službena provedba zakona.

Prema istoj organizaciji , pojam digitalnog dokaza predstavlja svaka informacija ili dokaz koji
ima vrijednost koja je smještena ili transmitirana u digitalnoj formi.

1991.godine u Portlandu-Oregon, održano je zasjedanje IACS (International Association of
Computer Specialist) , gdje je odlučeno i konstatovano da su „digitalno dokazi“ ravnopravni sa
„opipljivim dokazima“, odnosno dokazima prikupljenim na tradicionalan način. Nastala je
kompjuterska forenzika 3

U isto vrijeme ali na drugom mjestu sastali su se predstavnici 6 medjunarnodnih sigurnosnih
Agencija, te su upostavili standarde i procedure i postupke kod kompjuterskih istraga.

Iako istraživanje računalnog kriminala ima mnogo sličnosti s ostalim tipovima velikih istraga,
postoje dvije razlike. Prva od njih jeste to što se traže drugačiji tipovi dokaza (fizički dokazi
elektroničkog odnosno elektromagnetskog tipa), a druga je razlika što se radi s elektroničkom
opremom.4

1
IOCE Princips & Definitions, IOCE 2. Conference, 7. 10. 1999., Marriott Hotel, London
2
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
3
http://www.forensics-intl.com
4
M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 2004

2
1996.godine IOCE (International Organization on Computer Evidence) , NIST (The National
Institute of Standards and Technology) i USDOJ (United States Department of Justice) propisali
su opće procedure i principi koje se odnose na digitalne dokaze a u cilju medjunarodne razmjene
ovih dokaza. Ustvrđeno je da se u postupku prikupljanja, analize i upravljanja sa digitalnim
dokazima, potrebno pridržavati određenih pravila i procedura i to:

• U radu sa digitalnim dokazima moraju se primjenjivati striktne procedure i principi
• Digitalni dokaz nesmije da bude izmjenjen, prije, u toku uzimanja ili poslije uzimanja
dokaza
• Digitalnom dokazivanju može da pristupa samo dobro obučena i stručna osoba (sudski
vještak ili forenzičar)
• Svaka aktivnost mora biti dobro i detaljno dokumentirana

Danas postoje odrđena pravila računalne forenzike, a mogu se svesti pod nekoliko najbitniji
stavki:

• Princip zakonitotosti „onoga što se radi“; podrazumjeva da forenzičar ili onaj tko
prikuplja dokaze mora imati pismenu dozvolu za ono što radi, ukoliko se radi u
slučajevima istrage koje vodi sud, tu je nalog suda, a ukoliko se radi o analizama u
privatnim tvrtkama , onda se mora imati pismeno odobrenje nalogodavca (direktora
uprave).
• Tijekom cijele istrage se mora voditi računa o „lancu istrage“, odnosno niti jedan
digitalno dokaz ne smije isključiti neki drugi iz bilo kog razloga. Dokazi moraju biti
potpuni i moraju dopunjavati jedan drugi.
• Princip očuvanja digitalnog dokaza podrazumjeva da se originalni dokaz nesmije
mjenjati niti po koju cijenu, forenzička analiza se uvijek radi na „bit po bit“ kopiji. Isto
podrazumjeva i fizičko osiguranje medija od uništenja.
• Princip identifikacije potencijalnog dokaznog materijala podrazumjeva identifikacij
medija (npr. Diskete, USB stick, CD, DVD i sl.)
• Princip integriteta dokaznog materijala.
• Istraga se mora voditi poznatim i „priznatim“ alatima od strane suda, mora postojati
dokumentacija za ove alate, da se zna kako i na koji način rade.
• Izvještavanje podrazumjeva izradu završnog izvještaja koji mora biti jasan , koncizan,
bez pretjerane terminologije koju sud nemože razumjeti.

3
• Na kraju svega predstoji prezentiranje ovih dokaza na sudu ili pred menadžmentom
kompanije koja je angažirala vještaka .

2.2 Locard´s exchange pricip

„Locardov princip razmjene“ , poznato kao Locardova teorija, ili Lokardov zakon je postavio
forenzički znanstvenik Edmond Locard (1877-1966). Locard je inače bio prvi Direktor
kriminalističke laboratorije locirane u Lyon-u , Francuska.
Locardov princip razmjene se bazira na postupatu da:“prilikom svakog kontakta dvije „stvari“
dolazi do razmjene“ (Thornton, 1997).
Svaki čovjek koji prođe kroz određenu prostoriju i dodje u doticaj sa ostalim ljudima ili
stvarima, nesvjesno će nešto ondje ostaviti ili nešto odatle uzeti (ponijeti sa sobom). Svaki
kontakt ostavlja neki trag. To „nešto“ je u stvari i najbitnije u forenzici. Ovaj princip je
prihvaćen i upotrebljava se još od 1940.godine, ali postavlja se pitanje kakva je situacija sa
kompjuterskim kriminalom, forenzikom, digitalnim dokazima i Lacardovim principom. Da li se
ova teorija i princip može primjenjivati i u kompjuterskim istragama.
Kada se desi neko kriminalno djelo iz oblasti kompjuterskog kriminala, obično dolaze u kontakt
barem 2 (ili više) računara .
Jedan učesnik je svakako računar žrtve a drugi je računar potencijalnog kriminalca.
Kada ovi računari dođu u kontakt (dodir) , oni svakako vrše razmjenu „nečega“, da li podataka,
informacija ili samo čistih „bitova“.
Ovo je lako (ne)dokazivo i može se eksperimentirati na razini operativnog sustava računara.
Ukoliko na jednom računaru u cmd-u ukucamo bilo koju mrežnu komandu (netstat, net session,
net use i sl.) koja se odnosi na drugi računar, vidjećemo ip adresu, adresu porta i ostalo drugog
računara. Ovakvih primjera je jako mnogo. Sve ove aktivnosti se bilježe u „log“ fajlove i
snimaju i arhiviraju na računaru.
Međutim , problem i daje ostaje, i kada se i pronadje dokaz, potrebno ga je dovesti u vezu sa
počiniteljem i dokazati djelo.
Npr. na računaru je dokazano postojanje „spornih i kompromitirajući materijala“, usklađeno je i
ustvrđeno vrijeme izvšenja, ali pitanje koje se postavlja je , da je baš toga dana, u baš to vrijeme
počinilac sjedio za računarom i pregledavao te materijale. Možda je računar bio „zombie“ ili je
zloupotrebljen na neki drugi način od strane nekoga trećeg. I ovo se naravno može dokazati, ali
put je jako mukotrpan, zahtjeva visoku stručnost lica koja vrše forenziku (ili istragu) , a lanac
dokaza je teško održati.

4
3. Kompjuterski kriminal i forenzika

3.1 Računarski kriminal i legislativa

Računarski kriminal nije uvijek predstavljao akt kršenja formalnog prava. Prema nekim izvorima
5
prve inicijative da se „upostavi „ pojam računalnog kriminala, datiraju još od 1977 godine, a
inicijativa je potekla od U.S. Senate Government Operations Committee-a. Studija je pokušala
skrenuti pozornost na nekoliko problema koji se mogu desiti u upotrebi računarskih programa.
Interpol6 je bio prva medjunarodna organizacija koja je se bavila problemom računalnog
kriminala i legislative. U izvještaju sa njihove konferenciji 1981.godine, obrađen je problem
računalnog kriminala , te legislative, identificirani su potencijalni problemi.

Vijeće Europe je 1985 uspostavilo još jedan komitet sastavljen od eksperata , kako bi se
razgovaralo o računalnom kriminalu. 1989.godine donešene su i konkretne preporuke.

UN je 1990.godine donio i rezoluciju o računalnom kriminalu, na 8.kongresu održanom na
Kubi. Rezolucija je postala veoma bitan element kod pisanja strategija ili Zakona o računalnom
kriminalu u EU, skoro sve zemlje iz Europe su potpisale ovu rezuliciju (BiH je potpisala
2006.godine).

Potrebu za ovim je nametnula činjenica da je već krajem 70-tih godina već bilo nekoliko stotina
(preko 500) krivičnih djela učinjenih uz pomoć računara ili računarskih tehnologija. Sredinom
80-tih nastaje kompjuterska forenzika u SAD , koja se bavi sa prikupljanjem, dokumentiranjem i
isporučivanjem „digitalnih dokaza“ za potrebe sigurnosnih agencija i sudova.

90-te donose eskalaciju kompjuterskog kriminala i nastanak pojma „cyber forenzika“.

3.2 Kompjuterska forenzika

Kompjuterska forenzika, je dio forenzičke nauke koji se odnosi na obradu legalnih dokaza
pronadjenih u računara i digitalnim medijima za pohranu podataka.

5
Cybercrime law, A brief history of Computer Crime Legislation, www.cybercrimelaw.net (pogledano
01.10.2009.g.)
6
www.interpol.int

5
Sam pojam „forenzika“ je nastao od latinske riječi „forensi“ što znači „na otvorenom prostoru
ili javno“, a što dolazi od riječi „forum“ koja upućuje na lokaciju ( javne površine koje su se
upotrebljavale za sudjenja ili neke druge javne poslove). Značenje je kasnije preraslo u
„ znanstveni testovi i tehnike koje se upotrebljavaju za otkrivanje kriminala“7. Kompjuterski
forenzičari istražuju sve medije za pohranu podataka (FDD,HDD,USB Drives, CD/DVD ROM,
Tape drives itd.) u cilju pronalaženja i analiziranja dokumentacije ili drugih digitalnih dokaza.
Kada govorima sa aspekta današnjice, govorićemo o cyber forenzici, jer se mjesto izvšenja
krivičnog djela nemože više vezati za računar i stol na kom se taj računar nalazio u momentu
izvšenja toga djela. Pojam kompjuterska foreznika se veže za malo „ranije vrijeme“ kada nije
postojao internet u ovakvom obliku i kada nije postojala globalizacija mreža koju danas imamo.
Sam proces korištenja digitalnih dokaza prema BEA8 analizi bi trebao ići sljedećim tijekom:

• Prepoznavanje
• Sakupljanje
• Čuvanje
• Dokumentiranje
• Klasifikacija
• Uspoređivanje
• Individualizacija
• Rekonstrukcija9

3.3 Meta forenzičke istrage10

Tradicionalno računarska forenzika je tijesno vezana za laboratorije, pregledavaju se računari
uzduž i poprijeko, svi periferali se detaljno pretražuju (od vizualnih pregleda monitora, printera,
štampanih dokaza, magnetnih medija, optičkih medija, prenosnih memorija itd.)
Forenzičar, da bi se dokazi koje je prikupio priznali na sudu, se mora pridržavati određenih
normi i pravila ponašanja i raditi po Pravilnicima koji regulišu ovu oblast. Ukoliko to nebi bilo
tako, njegovi dokazi bi bili odbačeni od strane suda zbog formalnih razloga.

7
S.Peisert and M.Bishop, K.Marzullo, „Computer Forensics in Forensis“ , ACM
8
„Behaviour Evidence Analysis“, proces ispitivanja forenzičkih dokaza
9
M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 2004
10
J.Ćosić, „Kompjuterska i cyber forenzika“, „INFO“, jul 2008, (dostupno na www.sudskivjestak-ikt.com)

6
Nakon vizualnog pregleda „zaplijenjenog“ hardvera, pravi se popis sa tačno opisanim detaljima
za svaki dio opreme. Obilježavaju se kablovi, monitor, tastatura, miš , sva periferna oprema,
zatim mediji za prenos podataka i sl.
Nakon prvog pokretanja, kroz BIOS se provjeravaju podešavanja i postavke, ponovo se sve
dokumentuje, i preglada se podešenost internog sata. Veoma često sat nije tačno podešen
(namjerno je razdešen) , te ovo može imati posljedice na vrijeme kreiranja i modificiranja fajlova
odnosno datoteka, kao i vrijeme pokretanja programa na računaru, što je često presudno u
ovakvim vještačenjima.
Računar se ne smije boot-ati sa lokalnog diska sa host operativnim sistemom koji je instaliran,
nego se disk/diskovi vade iz računara, prebacuju na specijalni forenzički računar, te se ondje
„kloniraju“, znači u cjelosti se preslikavaju na drugi disk praveći pri tome „bit po bit“ presliku
diska..
„Klon“ originalnog diska se uz pomoć specijalnih alata detaljno pregleda, ali kao „slave“ disk , a
izuzetno se sa njega može koristiti host operativni sistem.
Nakon toga se posebnim software-om radi „recovery“ obrisanih, kao i oštećenih podataka. Ovo
može biti jako dugotrajno s obzirom na veličinu današnjih „storage-a“ (memori stickovi reda
gigabajta i diskovi reda nekoliko stotina gigabajta pa i terabajta)! Tek nakon toga se može
pristupiti detaljnoj analizi ovako dobijenih podataka. Naravno, prije svega potrabno je znati zašto
se istražuje i šta je cilj istrage. Istražuju se sve datoteke koje su bile obrisane a koje su vraćene,
ali i oštećene datoteke. Zatim se pregleda recent file list, system registry, hidden files i cache te
swap fajl. I ovo se naravno dokumentuje do u detalje. Istraživanje rada na internetu
podrazumjeva pregled cookies, bookmarks, history buffer, cache te temperary internet files-a.
Za detalje oko istraživanje tačnog vremena i dužine vremena boravka na internetu, te „spornih
sadržaja“, obično se kontaktira lokalni ISP koji uz nalog tužilaštva mora učestvovati u ovakvim
istragama.
Važnost detaljne pretrage govori i podatak da je danas preko 95 % dokumenata u elektronskoj
verziji (barem u svijetu), a da veći procenat nikada nije niti ugleda svjetlo dana na printeru.
S obzirom da je kompletan pregled računara veoma dugotrajan, mukotropan i skup posao,
ovakva detaljna analiza se sprovodi samo u slučaju teških krivičnih dijela, dok se obično radi
„ciljana“ pretraga računara (traženje dokaza o falsificiranju, „spornih“ audio/video materijala i
sl.).

3.4 Istrage u cyber okruženju 10

1

7
S obzirom na ekspanziju interneta i globalizaciju lokalnih mreža, te nagli razvoj IKT-a s kraja
90-tih godina, klasične laboratorije su postale tijesne za „vještačenja“, te su se forenzičari morali
preseliti u cyber prostor.
Znači, nije bilo dovoljno offline pregledavanje „zaplijenjenog“ hardware-a , nego su se počinioci
morali hvatati na djelu, znači on-line u vrijeme samog izvršenja. Tako je nastala i „cyber
forenzika“, kao kompleksnija i savršenija od kompjuterske forenzike. Njena kompleksnost se
ogleda u tome da se sada dokazi pronalaze u računarskim mrežama, na internetu, u drugim
dijelovima svijeta. Sve se dešava on-line, na mreži, u realnom vremenu, prate se upadi,
zloupotrebe, pregledavanje zabranjeih sadržaja na internetu, dilanje, maliciozno ponašanje
software-a, te aktivnost vlasnika takvog software-a.
Naravno ovo dolazi u koliziju sa privatnošću na internetu i to je u stvari i najveći problem sa
kojim se susreću forenzičari u sučeljavanju sa optuženim i njegovim advokatima kada sudu
prezentuju otkrivene podatke.
Postoji potreba za praćenjem aktivnosti na internetu na svim nivoima, od vlasnika
računara/firme, ISP-a sa kog se pristupa na internet, sigurnosnih Agencija pa i samim time i
države, ali s druge strane postoji pravo na privatnost korisnika dok je na internetu. Gdje je onda
tu sredina ?
To je veoma teško razgraničiti i podvući crtu, jer mnogi slučajevi na sudu padaju upravo zbog
povrede ovoga prava-kao temeljnog ljudskog prava , te ne poštivanja procedura od strane
forenzičara.
Danas većina sistema koji imaju pristup internetu ili se bave poslovima pružanja internet usluga,
imaju razrađene sisteme zaštite.
Najčešće se radi o hardverskim firewall uređajima, odnosno firewall serverima, koji bilježe
apsolutno sve, od protokola koji kolaju,MAC ili IP adresa računara koji rade bilo što na intenetu,
te se ovo sve bilježi u log fajlove. Analizom ovih fajlova može se dobiti mnogo podataka
relevantnih kao dokazi, međutim problem je što ovi uređaji uveliko prave usko grlo, te ih se
izbjegava zbog smanjenja brzine , ali upravo i zbog neželjenja povređivanja privatnosti. Problem
koji se ovdje javlja je problem „količine informacija“ koja se obrađuje, te dobivenih rezultata,
što se može vidjeti na slici br.1

8
Slika 1 Količina informacija koja se obradi tijekom istrage .

Danas u svijetu postoje specijalistički seminari posvećeni ovoj vrsti forenzike koja se održava i
za informatičare ali i za pravnike (tužioce i sudije), kako bi se ova problematika mogla ozbiljnije
shvatiti, te se objasniti pojmovi koji su često nejasni ovom dijelu populacije, a koji je odlučujući
u samoj konačnici slučaja-presudi.
Postoji specijalizirani hardware ali i software koji umnogome olakšava rad na ovom polju , ali
ipak je presudno znanje i metode kojima ovi stručnjaci vladaju.

3.5 Modeli „digitalne“ forenzike

Za razliku od kompjuterske forenzike tzv. digitalna forenzika je proširena sa kompjutera i na
ostale digitalne uređaje (gsm telefone, pda uređaje, digitalne kamere i fotoaparate itd...). Postoje
više modela digitalne forenzičke istrage a najpoznatiji su11:

1. The DFRWS Framework Meta-Model
2. The Reith , Carr and Gunsch Model
3. The Ciardhuain Model
4. The Beebe and Clark Model

11
D.A.Ray, P.G.Bradford, Models of Models: Digital Forensics and Domain-Specific Language

9
S obzirom da je digitalna forenzika veoma dinamična , postoji još modela (Kruse and Heiser,
DOJ model, Lee´s CSI model, Casey framework12) koji se mogu susreti u litetaruri.

DFRWS model

Digital forensic Reaserch working group model je razvijen 2001.godine. Prema ovom modelu
postoji ukupno 7 faza u procesu istrage digitalnih dokaza:

1. Identifikacija
2. Čuvanje
3. Sakupljanje
4. Pretraživanje
5. Analiza
6. Prezentacija
7. Odluka

The Reith, Carr and Gunsch Model

Ovam model je razvijen 2002.godine i sastoji se od sljedećih koraka:

1. Identifikacija
2. Priprema
3. Približavanje
4. Strategija
5. Čuvanje
6. Sakupljanje
7. Istraživanje
8. Analiza
9. Prezentacija
10. Vraćanje dokaza

The Ciardhuain Model

Seamus o Ciardhuain model je prošireni model i pokriva slje dećih 13 koraka13:

1. Svjesnost
2. Autorizacija
3. Planiranje
4. Notifikacija
5. Pretraga identifiakcije dokaza
6. Sakupljanje dokaza
7. Transport dokaza
8. Smještaj dokaza
9. Istraga dokaza
12
S.Perumal, Digital Forensic Model Base od Malaysian Investigation Process
13
Séamus Ó Ciardhuáin, An Extended Model of Cybercrime Investigations, International Journal of Digital
Evidence Summer 2004, Volume 3, Issue 1

10
10. Hipoteza
11. Prezentovanje hipoteze
12. Dokazivanje/Odbrana hipoteze
13. Diseminacija informacija

The Beebe and Clark Model

Ovaj model nudi strukturu za aktivnosti kroz faze koje se sastoje od više podfaza. Ovaj model
uključuje principe digitalne istrage. Zadaci istraga su direktno ovisni od specifičnosti slučaja,
tipa kriminala, platforme, etc.[11]

3.6 Odgovor na incident i forenzički alati

Računalni sigurnosni incident predstavlja upotrebu računalnih ili mrežnih sustava za razne
nelegalne, neprihvatljive ili ne autorizirane radnje.14
Takvih događaja je jako mnogo a u osnovne se mogu svrstati:

1. neautorizirani pristup računalnom sustavu
2. uskraćivanje usluga ili DoS (denial of services)
3. slanje neželjene e-pošte (email smap)
4. bila koja nezakonita radanja
Odgovor na sigurnosni incident je jako složen i sveobuhvatan postupak što možemo vidjeti na na
slici 211. Cijeli proces je podjeljen u 7 dijelova:

1. Priprema za incident
2. Otkrivanje incidenta
3. Inicijalni odgovor
4. Formulisanje strategije na odgovor
5. Prikupljanje podataka
6. Analiza podataka
7. Izvještavanje

14
K..Mandia, C.Prosise, M.Pepe, „Incident response and Computer forensic“, McGrew-Hill
1

11
Slika 2 Komponente odgovora na incidente

Ukoliko je potrebno prikupiti dokaze koji nedvojbeno dokazuju da je sa računara posjećivana
određena web stranica ili neki sadržaj na internetu potrebno je detaljno pregledati sljedeće:

1. Cookies (kolačići)
2. Bookmarks (knjižne oznake)
3. History buffer (spremnik historije)
4. Cache (pričuvna memorija)
5. Temperary Internet files (privremeni internet fajlovi)

Za detalje oko toga , kada je i koliko dugo računar bio konektovan na internet, sa koje IP adrese
je pristupa, te sa kog korisničkog računa je bio konektovan potrebno je kontaktirati lokalnog ISP
privedera, koji je dužan surađivati u ovakvim slučajima.
Za detaljan pregled aktivnosti na računaru, pronalazak određenih fajlova obično se kontrolira:

12
1. RAM (sadržaj radne memorije)
2. Recent documents list (lista posljednjih dokumenata)
3. System review (pregled sistema)
4. Hidden Files (skriveni fajlovi i datoteke)
5. System registry (sistemski registri)
6. Event log (dnevnik dešavanja)
7. Swap files (izmjenjiva datoteka)

Gruba podjela alata bi mogla biti alati za detekciju, te alati za identifikaciju i analizu.

Najpoznatiji alati za analizu prikupljenih podataka su :

1. Forensic ToolKit (FTK)
2. EnCase (slika br.3)

Slika 3 EnCase forenzički alat

3. Expert Witness

13
Najpoznatiji alati za kloniranje (dupliciranje) bit po bit:

1. Norton Ghost
2. ByteBack
3. EnCase and FastBlock

Najpoznatiji alati za provjeru autentičnosti:

1. Hash
2. md5sum
3. Hashkeeper

Postoje i posebne, specijalizirane verzije tzv. „live CD-a“, koji omogućavaju podizanje (boot)
računara sa ovih CD-ova.Nakon toga se specijalnog okruženja vrši pokretanje specijalističkih
alata za forenziku.
Tipični primjeru ovoga software-a su Knopix - koji je posebna verzija distribucije LINUX-a, ,te
BackTrack2 – distribucija Linuxa namjenjena za penetracijsko testiranje , koje možemo vidjeti
na slikama 3 i 4.
Jedan od kvalitetnih alata današnjice je svakako HELIX , fime E-fense.

14
Slika 4 Knopix "LIVE CD"

15
Slika 5 BackTrack „LIVE CD“

Slika 6 Helix LIVE CD

16
Zaključak

Danas računari posjeduju mogućnosti memoriranja ogromnih količina podataka. Forenzičkim
metodama se ti podaci prikupljaju, analiziraju i donose se zaključci na osnovu urađenih
izvještaja. Analiza gomile podataka vremenski i financijski je zahtjevan posao i potrebno je
dobro poznavanje problematike, ali i računara i programa koji se koriste.
Forenzika računara nije samo svojstvena Agencijama za sprovođenje zakona (policiji), nego je
njena primjena danas velika i u organizacijama i preduzećima, gdje je potrebno uz pomoć
znanstvenih metoda (forenzičkih metoda) , ustvrditi neke činjenice, te do i dokazati.
Iako se digitalno dokazi , do prije nepunih nekoliko godina u našem okruženju , nisu niti
priznavali u sudskim procesima, danas je situacija sasvim drugačija, te ovi dokazi ukoliko se
prikupe, obrade i prezentiraju uz pomoć propisanih procedura, postaju ravnopravni sa ostalim
materijalnim dokazima.
Europa sve više pridodaje značaja ovoj problematici, i sve više se vrši edukacija sudija, tužioca,
te i samih informatičara temama digitalnog dokaza, računarske ali i cyber forenzike.

17
Literatura

[1] IOCE Princips & Definitions, IOCE 2. Conference, 7. 10. 1999., Marriott Hotel, London

[2] http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm (pogledano 01.10.2009.g.)

[3] http://www.forensics-intl.com (pogledano 28.09.2009.g.)

[4] M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 2004

[5] Cybercrime law, A brief history of Computer Crime Legislation, www.cybercrimelaw.net
(pogledano 01.10.2009.g.)

[6] www.interpol.int (pogledano 03.10.2009.g.)

[7] S.Peisert and M.Bishop, K.Marzullo, „Computer Forensics in Forensis“ , ACM

[8] Behaviour Evidence Analysis“, proces ispitivanja forenzičkih dokaza

[9] M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 2004

[10] J.Ćosić, „Kompjuterska i cyber forenzika“, „INFO“, jul 2008, (dostupno na
www.sudskivjestak-ikt.com)

[11] D.A.Ray, P.G.Bradford, Models of Models: Digital Forensics and Domain-Specific
Language

[12] S.Perumal, Digital Forensic Model Base od Malaysian Investigation Process

[13] Séamus Ó Ciardhuáin, An Extended Model of Cybercrime Investigations, International
Journal of Digital Evidence Summer 2004, Volume 3, Issue 1

[14] K..Mandia, C.Prosise, M.Pepe, „Incident response and Computer forensic“, McGrew-Hill

18