DIGITALNI DOKAZI I KOMPJUTERSKA FORENZIKAJasmin Ćosić, dipl.ing.inf.tehnologija

MUP USK Bihać,502.V.bbr br.2 Bihać

Kao što zakonodavstvo kaže, svako kazneno djelo ima svoga izvršioca. Ova teza se može

primjeniti i na kaznena djela učinjena uz upotrebu IKT-a, ali sa razlikom da su ova djela teže

dokaziva i da je veoma teško uhvatiti osumnjičenog sa „pištoljem koji se dimi u ruci“.

Naime, postoje određene specifičnosti u otkrivanju, prikupljanju i čuvanju ovih dokaza , te

otkrivanju ovih djela u odnosu na „klasični kriminal“.

Nakon saznanja o učinjenom kaznenom djelu, sprovodi se sveobuhvatna istraga, odnosno

pristupa se prikupljanju dokaza vezanih za to djelo i eventualnog počinioca (počinioce) toga

djela. U kompjuterskom kriminalu prikupljaju se tzv. „digitalni dokazi“ , te se stvara „lanac

digitalnih dokaza“ , koji nedvojbeno moraju ukazivati na počinioca. Ovaj postupak se čini uz

veoma kompleksne forenzičke metode , te striktno propisane korake kojih se mora striktno

pridržavati, inače je sav posao uzaludan.

2. Digitalni dokazi

2.1 Definicije pojmova

Definicija pojma „digitalni dokaz“ je jako mnogo. Jedna od definicija1 je: „Digitalni

kompjuterski dokaz čini gomila posrednih stvarnih dokaza, od kojih se ni jedan ne smije

isključiti iz bilo kog razloga. Dokazi moraju biti potpuni, da se međusobno dopunjuju (da su

isprepleteni) i da nemaju tzv. pukotina za donošenje zaključaka, odnosno za utvrđivanje čvrstog

dokaza“.

Prema „The Scientific Working Group on Digital Evidence (SWGDE)“2 termin „dokaz“ se

upotrebljava za „nešto materijalno“ što će biti priznato od strane suda. Ono mora biti prikupljeno

na legalan i zakonit način. Neki objekat (podataka ili materijalna stvar) postaje dokazom jedino,

kada u njega povjeruje službena provedba zakona.

Prema istoj organizaciji , pojam digitalnog dokaza predstavlja svaka informacija ili dokaz koji

ima vrijednost koja je smještena ili transmitirana u digitalnoj formi.

1991.godine u Portlandu-Oregon, održano je zasjedanje IACS (International Association of

Computer Specialist) , gdje je odlučeno i konstatovano da su „digitalno dokazi“ ravnopravni sa

„opipljivim dokazima“, odnosno dokazima prikupljenim na tradicionalan način. Nastala je

kompjuterska forenzika 3

U isto vrijeme ali na drugom mjestu sastali su se predstavnici 6 medjunarnodnih sigurnosnih

Agencija, te su upostavili standarde i procedure i postupke kod kompjuterskih istraga.

Iako istraživanje računalnog kriminala ima mnogo sličnosti s ostalim tipovima velikih istraga,

postoje dvije razlike. Prva od njih jeste to što se traže drugačiji tipovi dokaza (fizički dokazi

elektroničkog odnosno elektromagnetskog tipa), a druga je razlika što se radi s elektroničkom

opremom.4

1 IOCE Princips & Definitions, IOCE 2. Conference, 7. 10. 1999., Marriott Hotel, London

2 http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm

3 http://www.forensics-intl.com

4 M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 2004

2

1996.godine IOCE (International Organization on Computer Evidence) , NIST (The National

Institute of Standards and Technology) i USDOJ (United States Department of Justice) propisali

su opće procedure i principi koje se odnose na digitalne dokaze a u cilju medjunarodne razmjene

ovih dokaza. Ustvrđeno je da se u postupku prikupljanja, analize i upravljanja sa digitalnim

dokazima, potrebno pridržavati određenih pravila i procedura i to:

U radu sa digitalnim dokazima moraju se primjenjivati striktne procedure i principi

Digitalni dokaz nesmije da bude izmjenjen, prije, u toku uzimanja ili poslije uzimanja

dokaza

Digitalnom dokazivanju može da pristupa samo dobro obučena i stručna osoba (sudski

vještak ili forenzičar)

Svaka aktivnost mora biti dobro i detaljno dokumentirana

Danas postoje odrđena pravila računalne forenzike, a mogu se svesti pod nekoliko najbitniji

stavki:

Princip zakonitotosti „onoga što se radi“; podrazumjeva da forenzičar ili onaj tko

prikuplja dokaze mora imati pismenu dozvolu za ono što radi, ukoliko se radi u

slučajevima istrage koje vodi sud, tu je nalog suda, a ukoliko se radi o analizama u

privatnim tvrtkama , onda se mora imati pismeno odobrenje nalogodavca (direktora

uprave).

Tijekom cijele istrage se mora voditi računa o „lancu istrage“, odnosno niti jedan

digitalno dokaz ne smije isključiti neki drugi iz bilo kog razloga. Dokazi moraju biti

potpuni i moraju dopunjavati jedan drugi.

Princip očuvanja digitalnog dokaza podrazumjeva da se originalni dokaz nesmije

mjenjati niti po koju cijenu, forenzička analiza se uvijek radi na „bit po bit“ kopiji. Isto

podrazumjeva i fizičko osiguranje medija od uništenja.

Princip identifikacije potencijalnog dokaznog materijala podrazumjeva identifikacij

medija (npr. Diskete, USB stick, CD, DVD i sl.)

Princip integriteta dokaznog materijala.

Istraga se mora voditi poznatim i „priznatim“ alatima od strane suda, mora postojati

dokumentacija za ove alate, da se zna kako i na koji način rade.

Izvještavanje podrazumjeva izradu završnog izvještaja koji mora biti jasan , koncizan,

bez pretjerane terminologije koju sud nemože razumjeti.

Na kraju svega predstoji prezentiranje ovih dokaza na sudu ili pred menadžmentom

kompanije koja je angažirala vještaka .

3

2.2 Locard´s exchange pricip

„Locardov princip razmjene“ , poznato kao Locardova teorija, ili Lokardov zakon je postavio

forenzički znanstvenik Edmond Locard (1877-1966). Locard je inače bio prvi Direktor

kriminalističke laboratorije locirane u Lyon-u , Francuska.

Locardov princip razmjene se bazira na postupatu da:“prilikom svakog kontakta dvije „stvari“

dolazi do razmjene“ (Thornton, 1997).

Svaki čovjek koji prođe kroz određenu prostoriju i dodje u doticaj sa ostalim ljudima ili

stvarima, nesvjesno će nešto ondje ostaviti ili nešto odatle uzeti (ponijeti sa sobom). Svaki

kontakt ostavlja neki trag. To „nešto“ je u stvari i najbitnije u forenzici. Ovaj princip je

prihvaćen i upotrebljava se još od 1940.godine, ali postavlja se pitanje kakva je situacija sa

kompjuterskim kriminalom, forenzikom, digitalnim dokazima i Lacardovim principom. Da li se

ova teorija i princip može primjenjivati i u kompjuterskim istragama.

Kada se desi neko kriminalno djelo iz oblasti kompjuterskog kriminala, obično dolaze u kontakt

barem 2 (ili više) računara .

Jedan učesnik je svakako računar žrtve a drugi je računar potencijalnog kriminalca.

Kada ovi računari dođu u kontakt (dodir) , oni svakako vrše razmjenu „nečega“, da li podataka,

informacija ili samo čistih „bitova“.

Ovo je lako (ne)dokazivo i može se eksperimentirati na razini operativnog sustava računara.

Ukoliko na jednom računaru u cmd-u ukucamo bilo koju mrežnu komandu (netstat, net session,

net use i sl.) koja se odnosi na drugi računar, vidjećemo ip adresu, adresu porta i ostalo drugog

računara. Ovakvih primjera je jako mnogo. Sve ove aktivnosti se bilježe u „log“ fajlove i

snimaju i arhiviraju na računaru.

Međutim , problem i daje ostaje, i kada se i pronadje dokaz, potrebno ga je dovesti u vezu sa

počiniteljem i dokazati djelo.

Npr. na računaru je dokazano postojanje „spornih i kompromitirajući materijala“, usklađeno je i

ustvrđeno vrijeme izvšenja, ali pitanje koje se postavlja je , da je baš toga dana, u baš to vrijeme

počinilac sjedio za računarom i pregledavao te materijale. Možda je računar bio „zombie“ ili je

zloupotrebljen na neki drugi način od strane nekoga trećeg. I ovo se naravno može dokazati, ali

put je jako mukotrpan, zahtjeva visoku stručnost lica koja vrše forenziku (ili istragu) , a lanac

dokaza je teško održati.

4

3. Kompjuterski kriminal i forenzika

3.1 Računarski kriminal i legislativa

Računarski kriminal nije uvijek predstavljao akt kršenja formalnog prava. Prema nekim izvorima 5 prve inicijative da se „upostavi „ pojam računalnog kriminala, datiraju još od 1977 godine, a

inicijativa je potekla od U.S. Senate Government Operations Committee-a. Studija je pokušala

skrenuti pozornost na nekoliko problema koji se mogu desiti u upotrebi računarskih programa.

Interpol6 je bio prva medjunarodna organizacija koja je se bavila problemom računalnog

kriminala i legislative. U izvještaju sa njihove konferenciji 1981.godine, obrađen je problem

računalnog kriminala , te legislative, identificirani su potencijalni problemi.

Vijeće Europe je 1985 uspostavilo još jedan komitet sastavljen od eksperata , kako bi se

razgovaralo o računalnom kriminalu. 1989.godine donešene su i konkretne preporuke.

UN je 1990.godine donio i rezoluciju o računalnom kriminalu, na 8.kongresu održanom na

Kubi. Rezolucija je postala veoma bitan element kod pisanja strategija ili Zakona o računalnom

kriminalu u EU, skoro sve zemlje iz Europe su potpisale ovu rezuliciju (BiH je potpisala

2006.godine).

Potrebu za ovim je nametnula činjenica da je već krajem 70-tih godina već bilo nekoliko stotina

(preko 500) krivičnih djela učinjenih uz pomoć računara ili računarskih tehnologija. Sredinom

80-tih nastaje kompjuterska forenzika u SAD , koja se bavi sa prikupljanjem, dokumentiranjem i

isporučivanjem „digitalnih dokaza“ za potrebe sigurnosnih agencija i sudova.

90-te donose eskalaciju kompjuterskog kriminala i nastanak pojma „cyber forenzika“.

3.2 Kompjuterska forenzika

Kompjuterska forenzika, je dio forenzičke nauke koji se odnosi na obradu legalnih dokaza

pronadjenih u računara i digitalnim medijima za pohranu podataka.

5 Cybercrime law, A brief history of Computer Crime Legislation, www.cybercrimelaw.net (pogledano 01.10.2009.g.)

6 www.interpol.int

5

Sam pojam „forenzika“ je nastao od latinske riječi „forensi“ što znači „na otvorenom prostoru ili

javno“, a što dolazi od riječi „forum“ koja upućuje na lokaciju ( javne površine koje su se

upotrebljavale za sudjenja ili neke druge javne poslove). Značenje je kasnije preraslo u

„ znanstveni testovi i tehnike koje se upotrebljavaju za otkrivanje kriminala“7. Kompjuterski

forenzičari istražuju sve medije za pohranu podataka (FDD,HDD,USB Drives, CD/DVD ROM,

Tape drives itd.) u cilju pronalaženja i analiziranja dokumentacije ili drugih digitalnih dokaza.

Kada govorima sa aspekta današnjice, govorićemo o cyber forenzici, jer se mjesto izvšenja

krivičnog djela nemože više vezati za računar i stol na kom se taj računar nalazio u momentu

izvšenja toga djela. Pojam kompjuterska foreznika se veže za malo „ranije vrijeme“ kada nije

postojao internet u ovakvom obliku i kada nije postojala globalizacija mreža koju danas imamo.

Sam proces korištenja digitalnih dokaza prema BEA8 analizi bi trebao ići sljedećim tijekom:

Prepoznavanje

Sakupljanje

Čuvanje

Dokumentiranje

Klasifikacija

Uspoređivanje

Individualizacija

Rekonstrukcija9

3.3 Meta forenzičke istrage10

Tradicionalno računarska forenzika je tijesno vezana za laboratorije, pregledavaju se računari

uzduž i poprijeko, svi periferali se detaljno pretražuju (od vizualnih pregleda monitora, printera,

štampanih dokaza, magnetnih medija, optičkih medija, prenosnih memorija itd.)

Forenzičar, da bi se dokazi koje je prikupio priznali na sudu, se mora pridržavati određenih

normi i pravila ponašanja i raditi po Pravilnicima koji regulišu ovu oblast. Ukoliko to nebi bilo

tako, njegovi dokazi bi bili odbačeni od strane suda zbog formalnih razloga.

Nakon vizualnog pregleda „zaplijenjenog“ hardvera, pravi se popis sa tačno opisanim detaljima

za svaki dio opreme. Obilježavaju se kablovi, monitor, tastatura, miš , sva periferna oprema,

zatim mediji za prenos podataka i sl.

7 S.Peisert and M.Bishop, K.Marzullo, „Computer Forensics in Forensis“ , ACM

8 „Behaviour Evidence Analysis“, proces ispitivanja forenzičkih dokaza9 M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 200410 J.Ćosić, „Kompjuterska i cyber forenzika“, „INFO“, jul 2008, (dostupno na www.sudskivjestak-ikt.com)

6

Nakon prvog pokretanja, kroz BIOS se provjeravaju podešavanja i postavke, ponovo se sve

dokumentuje, i preglada se podešenost internog sata. Veoma često sat nije tačno podešen

(namjerno je razdešen) , te ovo može imati posljedice na vrijeme kreiranja i modificiranja fajlova

odnosno datoteka, kao i vrijeme pokretanja programa na računaru, što je često presudno u

ovakvim vještačenjima.

Računar se ne smije boot-ati sa lokalnog diska sa host operativnim sistemom koji je instaliran,

nego se disk/diskovi vade iz računara, prebacuju na specijalni forenzički računar, te se ondje

„kloniraju“, znači u cjelosti se preslikavaju na drugi disk praveći pri tome „bit po bit“ presliku

diska..

„Klon“ originalnog diska se uz pomoć specijalnih alata detaljno pregleda, ali kao „slave“ disk , a

izuzetno se sa njega može koristiti host operativni sistem.

Nakon toga se posebnim software-om radi „recovery“ obrisanih, kao i oštećenih podataka. Ovo

može biti jako dugotrajno s obzirom na veličinu današnjih „storage-a“ (memori stickovi reda

gigabajta i diskovi reda nekoliko stotina gigabajta pa i terabajta)! Tek nakon toga se može

pristupiti detaljnoj analizi ovako dobijenih podataka. Naravno, prije svega potrabno je znati zašto

se istražuje i šta je cilj istrage. Istražuju se sve datoteke koje su bile obrisane a koje su vraćene,

ali i oštećene datoteke. Zatim se pregleda recent file list, system registry, hidden files i cache te

swap fajl. I ovo se naravno dokumentuje do u detalje. Istraživanje rada na internetu

podrazumjeva pregled cookies, bookmarks, history buffer, cache te temperary internet

files-a.

Za detalje oko istraživanje tačnog vremena i dužine vremena boravka na internetu, te

„spornih sadržaja“, obično se kontaktira lokalni ISP koji uz nalog tužilaštva mora

učestvovati u ovakvim istragama.

Važnost detaljne pretrage govori i podatak da je danas preko 95 % dokumenata u

elektronskoj verziji (barem u svijetu), a da veći procenat nikada nije niti ugleda svjetlo

dana na printeru.

S obzirom da je kompletan pregled računara veoma dugotrajan, mukotropan i skup posao,

ovakva detaljna analiza se sprovodi samo u slučaju teških krivičnih dijela, dok se obično

radi „ciljana“ pretraga računara (traženje dokaza o falsificiranju, „spornih“ audio/video

materijala i sl.).

3.4 Istrage u cyber okruženju 10

1

7

S obzirom na ekspanziju interneta i globalizaciju lokalnih mreža, te nagli razvoj IKT-a s kraja

90-tih godina, klasične laboratorije su postale tijesne za „vještačenja“, te su se forenzičari morali

preseliti u cyber prostor.

Znači, nije bilo dovoljno offline pregledavanje „zaplijenjenog“ hardware-a , nego su se počinioci

morali hvatati na djelu, znači on-line u vrijeme samog izvršenja. Tako je nastala i „cyber

forenzika“, kao kompleksnija i savršenija od kompjuterske forenzike. Njena kompleksnost se

ogleda u tome da se sada dokazi pronalaze u računarskim mrežama, na internetu, u drugim

dijelovima svijeta. Sve se dešava on-line, na mreži, u realnom vremenu, prate se upadi,

zloupotrebe, pregledavanje zabranjeih sadržaja na internetu, dilanje, maliciozno ponašanje

software-a, te aktivnost vlasnika takvog software-a.

Naravno ovo dolazi u koliziju sa privatnošću na internetu i to je u stvari i najveći problem sa

kojim se susreću forenzičari u sučeljavanju sa optuženim i njegovim advokatima kada sudu

prezentuju otkrivene podatke.

Postoji potreba za praćenjem aktivnosti na internetu na svim nivoima, od vlasnika

računara/firme, ISP-a sa kog se pristupa na internet, sigurnosnih Agencija pa i samim time i

države, ali s druge strane postoji pravo na privatnost korisnika dok je na internetu. Gdje je onda

tu sredina ?

To je veoma teško razgraničiti i podvući crtu, jer mnogi slučajevi na sudu padaju upravo zbog

povrede ovoga prava-kao temeljnog ljudskog prava , te ne poštivanja procedura od strane

forenzičara.

Danas većina sistema koji imaju pristup internetu ili se bave poslovima pružanja internet usluga,

imaju razrađene sisteme zaštite.

Najčešće se radi o hardverskim firewall uređajima, odnosno firewall serverima, koji bilježe

apsolutno sve, od protokola koji kolaju,MAC ili IP adresa računara koji rade bilo što na intenetu,

te se ovo sve bilježi u log fajlove. Analizom ovih fajlova može se dobiti mnogo podataka

relevantnih kao dokazi, međutim problem je što ovi uređaji uveliko prave usko grlo, te ih se

izbjegava zbog smanjenja brzine , ali upravo i zbog neželjenja povređivanja privatnosti. Problem

koji se ovdje javlja je problem „količine informacija“ koja se obrađuje, te dobivenih rezultata,

što se može vidjeti na slici br.1

8

Slika 1 Količina informacija koja se obradi tijekom istrage .

Danas u svijetu postoje specijalistički seminari posvećeni ovoj vrsti forenzike koja se održava i

za informatičare ali i za pravnike (tužioce i sudije), kako bi se ova problematika mogla ozbiljnije

shvatiti, te se objasniti pojmovi koji su često nejasni ovom dijelu populacije, a koji je odlučujući

u samoj konačnici slučaja-presudi.

Postoji specijalizirani hardware ali i software koji umnogome olakšava rad na ovom polju , ali

ipak je presudno znanje i metode kojima ovi stručnjaci vladaju.

3.5 Modeli „digitalne“ forenzike

Za razliku od kompjuterske forenzike tzv. digitalna forenzika je proširena sa kompjutera i na

ostale digitalne uređaje (gsm telefone, pda uređaje, digitalne kamere i fotoaparate itd...). Postoje

više modela digitalne forenzičke istrage a najpoznatiji su11:

1. The DFRWS Framework Meta-Model

2. The Reith , Carr and Gunsch Model

3. The Ciardhuain Model

4. The Beebe and Clark Model

11 D.A.Ray, P.G.Bradford, Models of Models: Digital Forensics and Domain-Specific Language

9

S obzirom da je digitalna forenzika veoma dinamična , postoji još modela (Kruse and Heiser,

DOJ model, Lee´s CSI model, Casey framework12) koji se mogu susreti u litetaruri.

DFRWS model

Digital forensic Reaserch working group model je razvijen 2001.godine. Prema ovom modelu postoji ukupno 7 faza u procesu istrage digitalnih dokaza:

1. Identifikacija2. Čuvanje3. Sakupljanje4. Pretraživanje5. Analiza6. Prezentacija7. Odluka

The Reith, Carr and Gunsch Model

Ovam model je razvijen 2002.godine i sastoji se od sljedećih koraka:

1. Identifikacija2. Priprema3. Približavanje4. Strategija5. Čuvanje6. Sakupljanje7. Istraživanje8. Analiza9. Prezentacija10. Vraćanje dokaza

The Ciardhuain Model

Seamus o Ciardhuain model je prošireni model i pokriva slje dećih 13 koraka13:

1. Svjesnost2. Autorizacija 3. Planiranje4. Notifikacija 5. Pretraga identifiakcije dokaza 6. Sakupljanje dokaza7. Transport dokaza 8. Smještaj dokaza 9. Istraga dokaza

12 S.Perumal, Digital Forensic Model Base od Malaysian Investigation Process13 Séamus Ó Ciardhuáin, An Extended Model of Cybercrime Investigations, International Journal of Digital Evidence Summer 2004, Volume 3, Issue 1

10

10. Hipoteza11. Prezentovanje hipoteze 12. Dokazivanje/Odbrana hipoteze 13. Diseminacija informacija

The Beebe and Clark Model

Ovaj model nudi strukturu za aktivnosti kroz faze koje se sastoje od više podfaza. Ovaj model

uključuje principe digitalne istrage. Zadaci istraga su direktno ovisni od specifičnosti slučaja,

tipa kriminala, platforme, etc.[11]

3.6 Odgovor na incident i forenzički alati

Računalni sigurnosni incident predstavlja upotrebu računalnih ili mrežnih sustava za razne

nelegalne, neprihvatljive ili ne autorizirane radnje.14

Takvih događaja je jako mnogo a u osnovne se mogu svrstati:

1. neautorizirani pristup računalnom sustavu

2. uskraćivanje usluga ili DoS (denial of services)

3. slanje neželjene e-pošte (email smap)

4. bila koja nezakonita radanja

Odgovor na sigurnosni incident je jako složen i sveobuhvatan postupak što možemo vidjeti na na

slici 211. Cijeli proces je podjeljen u 7 dijelova:

1. Priprema za incident

2. Otkrivanje incidenta

3. Inicijalni odgovor

4. Formulisanje strategije na odgovor

5. Prikupljanje podataka

6. Analiza podataka

7. Izvještavanje

14 K..Mandia, C.Prosise, M.Pepe, „Incident response and Computer forensic“, McGrew-Hill1

11

Slika 2 Komponente odgovora na incidente

Ukoliko je potrebno prikupiti dokaze koji nedvojbeno dokazuju da je sa računara posjećivana

određena web stranica ili neki sadržaj na internetu potrebno je detaljno pregledati sljedeće:

1. Cookies (kolačići)

2. Bookmarks (knjižne oznake)

3. History buffer (spremnik historije)

4. Cache (pričuvna memorija)

5. Temperary Internet files (privremeni internet fajlovi)

Za detalje oko toga , kada je i koliko dugo računar bio konektovan na internet, sa koje IP adrese

je pristupa, te sa kog korisničkog računa je bio konektovan potrebno je kontaktirati lokalnog ISP

privedera, koji je dužan surađivati u ovakvim slučajima.

Za detaljan pregled aktivnosti na računaru, pronalazak određenih fajlova obično se kontrolira:

12

1. RAM (sadržaj radne memorije)

2. Recent documents list (lista posljednjih dokumenata)

3. System review (pregled sistema)

4. Hidden Files (skriveni fajlovi i datoteke)

5. System registry (sistemski registri)

6. Event log (dnevnik dešavanja)

7. Swap files (izmjenjiva datoteka)

Gruba podjela alata bi mogla biti alati za detekciju, te alati za identifikaciju i analizu.

Najpoznatiji alati za analizu prikupljenih podataka su :

1. Forensic ToolKit (FTK)

2. EnCase (slika br.3)

Slika 3 EnCase forenzički alat

3. Expert Witness

13

Najpoznatiji alati za kloniranje (dupliciranje) bit po bit:

1. Norton Ghost

2. ByteBack

3. EnCase and FastBlock

Najpoznatiji alati za provjeru autentičnosti:

1. Hash

2. md5sum

3. Hashkeeper

Postoje i posebne, specijalizirane verzije tzv. „live CD-a“, koji omogućavaju podizanje (boot)

računara sa ovih CD-ova.Nakon toga se specijalnog okruženja vrši pokretanje specijalističkih

alata za forenziku.

Tipični primjeru ovoga software-a su Knopix - koji je posebna verzija distribucije LINUX-a, ,te

BackTrack2 – distribucija Linuxa namjenjena za penetracijsko testiranje , koje možemo vidjeti

na slikama 3 i 4.

Jedan od kvalitetnih alata današnjice je svakako HELIX , fime E-fense.

14

Slika 4 Knopix "LIVE CD"

15

Slika 5 BackTrack „LIVE CD“

Slika 6 Helix LIVE CD

16

Zaključak

Danas računari posjeduju mogućnosti memoriranja ogromnih količina podataka. Forenzičkim

metodama se ti podaci prikupljaju, analiziraju i donose se zaključci na osnovu urađenih

izvještaja. Analiza gomile podataka vremenski i financijski je zahtjevan posao i potrebno je

dobro poznavanje problematike, ali i računara i programa koji se koriste.

Forenzika računara nije samo svojstvena Agencijama za sprovođenje zakona (policiji), nego je

njena primjena danas velika i u organizacijama i preduzećima, gdje je potrebno uz pomoć

znanstvenih metoda (forenzičkih metoda) , ustvrditi neke činjenice, te do i dokazati.

Iako se digitalno dokazi , do prije nepunih nekoliko godina u našem okruženju , nisu niti

priznavali u sudskim procesima, danas je situacija sasvim drugačija, te ovi dokazi ukoliko se

prikupe, obrade i prezentiraju uz pomoć propisanih procedura, postaju ravnopravni sa ostalim

materijalnim dokazima.

Europa sve više pridodaje značaja ovoj problematici, i sve više se vrši edukacija sudija, tužioca,

te i samih informatičara temama digitalnog dokaza, računarske ali i cyber forenzike.

17

Literatura

[1] IOCE Princips & Definitions, IOCE 2. Conference, 7. 10. 1999., Marriott Hotel, London

[2] http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm (pogledano 01.10.2009.g.)

[3] http://www.forensics-intl.com (pogledano 28.09.2009.g.)

[4] M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 2004

[5] Cybercrime law, A brief history of Computer Crime Legislation, www.cybercrimelaw.net (pogledano 01.10.2009.g.)

[6] www.interpol.int (pogledano 03.10.2009.g.)

[7] S.Peisert and M.Bishop, K.Marzullo, „Computer Forensics in Forensis“ , ACM

[8] Behaviour Evidence Analysis“, proces ispitivanja forenzičkih dokaza

[9] M.Bača., „Uvod u račnarski kriminal“, FOI Varaždin, 2004

[10] J.Ćosić, „Kompjuterska i cyber forenzika“, „INFO“, jul 2008, (dostupno na www.sudskivjestak-ikt.com)

[11] D.A.Ray, P.G.Bradford, Models of Models: Digital Forensics and Domain-Specific Language

[12] S.Perumal, Digital Forensic Model Base od Malaysian Investigation Process

[13] Séamus Ó Ciardhuáin, An Extended Model of Cybercrime Investigations, International Journal of Digital Evidence Summer 2004, Volume 3, Issue 1

[14] K..Mandia, C.Prosise, M.Pepe, „Incident response and Computer forensic“, McGrew-Hill

18