FAKULTET ZA RAČUNARSTVO I INFORMATIKUSAVREMENE INFORMACIONE TEHNOLOGIJE

MASTER AKADEMSKE STUDIJE

DIGITALNA FORENZIKA RAČUNARSKOG SISTEMA - I Pristupni rad -

Mentor: Student:

doc. dr Gojko Grubor Željko Tomić

____________________ _________________

Bijeljina, februar 2015. godine

2

UNIVERZITET SINERGIJAFAKULTET ZA RAČUNARSTVO I INFORMATIKUSAVREMENE INFORMACIONE TEHNOLOGIJEBijeljina, Raje Baničića BB

Student: Željko TomićSmjer: Savremene Informacione Tehnologije

Tema: Digitalna forenzika računarskog sistema

Zadatak: Pojam, objašnjena i uvod u Digitalnu forenziku računarskog sistema. Tipovi digitalne forenzike, istraga kompjuterskog kriminala i forenzički alati.

MENTOR

doc. dr Gojko Grubor

Apstrakt

Digitalna forenzika računarskog sistema spada u proces proces pronalaženja i

prikupljanja podataka odnosno dokaza, koji se koristi u digitalnoj forenzici (engl. Cyber

forensics). Digitalna forenzika, kao jedna od mnogobrojnih disciplina forenzike koje se

koriste u krivičnim istragama, je pokazala da može biti korisna u otkrivanju i

razjašnjavanju krivičnih djela. Ona je mlada disciplina, te se javlja potreba da se još

proučava i primjenjuje kako u krivičnim istragama,tako i u građanskim parnicam,vojnim

ili administrativnim predmetima.

Pored otisaka i raznih fizičkih tragova prikupljaju se i digitalni tragovi koji se ne mogu

prikupljati na klasičan način već se mora pribeći posebnom prikupljanju dokaza i

njihovoj detaljnoj analizi. Elektronski dokaz ima sve veći značaj i zbog toga se sa njima

mora postupati vrlo pažljivo. U ovom radu je opisan razvoj i historijat digitalne

forenzike, digitalna forenzička istraga, objašnjene uloge digitalnih dokaza i

kompijutera,kao i istražne metodologije.

Ključne riječi: digitalna forenzika, digitalni dokaz, digitalni alati i metodologija

Naučna oblast: Informacione tehnologije

Uža naučna oblast: Digitalna forenzika

Abstract

Digital forensics computer system belongs to the process of the process of

finding and collecting data or evidence, which is used in digital forensics (Eng. Cyber

forensics). Digital Forensics, one of the many disciplines of forensic science used in

criminal investigations, has been shown to be helpful in discovering and clarifying the

crimes. She is a young discipline, and there is a need to further study and applied both

in criminal investigations, as well as in civil cases, military or administrative matters.

In addition to fingerprints and various physical traces are collected and digital

traces that can not be collected in a classic way but must resort to a special gathering

evidence and their detailed analysis. Electronic evidence is of increasing importance

and therefore they must be dealt with very carefully. This paper describes the

development and history of digital forensics, digital forensic investigation, explained

the role of digital evidence and computer control, as well as investigative

methodology.

Keywords : digital forensic, digital proof, digital tools and metodology

Scientific field : Information technologies

Specific sci-field : Digital forensic

5

1. METODOLOGIJA NAUČNOG ISTRAŽIVANJA

1.1. Uvodne napomene i obrazloženje rada

Sve je veći broj napada sa Interneta, slanjem malware-a od strane hakera, i drugih

kompjuterskih kriminalaca. Računarske mreže Internet tipa daju brojne prednosti i

omogućavaju veću efikasnost rada i smanjenje troškova, ali imaju i svoje mane, jer

predstavljaju kritičnu tačku bezbednosti. Naglo je porastao broj napada na računarske

mreže, pa se samim tim i povećao sam finansijski gubitak usled tih napada. Pored

finansijske dobiti, postoje i razni drugi motive za napade, kao što je krađa poverljivih

podataka, ili njihovo oštećenje, kao i oštećenje samih aplikacija i sistema. Sve ovo

spada u kompjuterski kriminal, i daljim otkrivanjem dokaza bavi se grana nauke-

Digitalna forenzika. “Pod kompjuterskim kriminalom se podrazumeva krivično delo

prema krivičnom zakonu nacionalne države.

Cilj same istrage ovakvog vida kriminala, je sličan klasičnoj istrazi, a to je dobijanje

neoborivih i čvrstih dokaza za pravosudne organe, koji će osumnjičenog ili osuditi ili

osloboditi na osnovu njih. “Digitalna forenzika je relativno malada nauka, koja se

vrtoglavom brzinom razvija, jer radi sa osetljivim podacima koji su i pritom lako

promenljivi. Ova nauka obezbeđuje primenu pri sakupljanju, čuvanju, identifikaciji,

analizi, dokumentovanju i prezentaciji dokaza, koji će poslužiti u rekonstrukciji

događaja nastalog krivičnog dela.”1 Za pravosudnu prihvatljivost digitalnih dokaza

osnovne prepreke su osetljivost i promenljivost digitalnih podataka i inherentna

posrednost digitalnih dokaza.

U ovom radu obrađena je tema značaja proaktivne forenzike za bezbednost

informacionih sistema. Dati su primeri u pristupu digitalnog forenzičara na log fajlove.

Objašnjene su određene vrste spoljnih napada, analiza mrežnih podataka, određene

istrage na serverima, kao i sama Web bezbednost.

6

1.2 Predmet istraživanja

Predmet istrаživаnjа ovog rаdа su osnovni pojmovi, činjenice i nаčelа iz svetа digitаlne

forenzike i suštinа ove nаuke. Početаk rаdа je orijentisаn kа istoriji forenzike, kа

nаstаnku rаčunаrа i rаzvoju digitаlnog kriminаlа, pа nаkon njegа i digitаlne forenzike,

zаtim se dаlje nаvode osnovni pojmovi digitаlne forenzike, objаšnjаvа se pojаm

kompjuterskog kriminаlа, njegovi pojаvni oblici аli i nаčini nа koji je on regulisаn u

svetu i Srbiji i dаje se primer korišćenjа jednog forenzičkog аlаtа. питању. Čаk se

većinа uređаjа obrаđuje nа slične nаčine i sа sličnim аlаtimа jer se zаsnivаju nа istim

plаtformаmа (operаtivni sistemi). Tаkođe se neki uređаji obrаđuju kаo klаsični

personаlni rаčunаri zbog prirode svojih sistemа.

1.3. Ciljevi i zadaci istraživanja

Cilj rаdа je dа prikаže osnovne pojmove digitаlne forenzike i dа posluži kаo uvod u

nаuku, а zаtim i dа rаzjаsni i njenu grаnu istrаživаnjа kroz reаlаn primer. Dа bi se neki

digitаlni zločin rešio morаju se identifikovаti dokаzi nа prаvi nаčin i isto tаko se oni

morаju prikupiti nа prihvаtljiv nаčin i vrlo pаžljivo jer su to dokаzi koji su obično u

nestаlnom obliku i mogu se vrlo lаko izgubiti ili nestаti. Zаto se morа znаti tаčаn

postupаk njihovog bezbednog prikupljаnjа rаdi održаvаnjа integritetа podаtаkа.

Zаdаtаk ovog rаdа je dа prikаže koje su to stаndаrdne procedure zа prikupljаnje

dokаzа i nа koji nаčin se ti prikupljeni dokаzi аnаlizirаju i uopšte kаko se koriste. Koji su

to аlаti nаmenjeni tome i ko ih obično koristi po kojoj ceni.

1.4 Istraživačke hipoteze

Opšta hipoteza 1: Za forenzičku analizu napada na sisteme i mreže potrebno je dobro

poznavanje same mreže i sistema, što virtuelnog, što pravog, jer ono nudi velike

mogućnosti korišćenja koje je pozitivno, ako se pravilno koriste sva posešavanja, ali

takođe može i izazvati velike posledice, ako administrator ne vodi računa i ne bude

7

detaljno obučen da prepozna napade. Sve ovo može biti pogubno za podatke, ali i

same sisteme.

Radna hipoteza 1: Polаzeći od hipoteze dа se zločin već dogodio, forenzičаr izlаzi nа

teren dа prikupi podаtke o svemu što se desilo. Nаkon prikupljаnjа dokаzа prаvi se

vremenskа linijа tokа dogаđаjа. Kаsnije se ti dokаzi porede sа već postojećim

аnаlizirаnim podаcimа ili sа sličnim dokаzimа priikupljenim nа rаzličitim uređаjimа. Nа

osnovu rezultаtа forenzičаr rekonstruiše sled dogаđаjа koji se desio nа tom mestu

zločinа.

Opšta hipoteza 2: Digitalna forenzika ima određene metode kako otkriva napade i kako se bori sa raznim izazovima. Pre svega koje vrste alata mogu da se koriste i načini na koje ona dolazi do određenih dokaza, objašnjeni su u radu.

Radna hipoteza 2: Od posebnog značaja su način pristupa i dokazivanje krivičnog dela. Kao i alati kojima će se dokazi prezentovati na sudu, zato je od vitalnog značaja da istrazitelj dobro poznaje način rada softvera.

1.5 Metode, tehnike I tok istraživačkog procesa

U toke istrаživаnjа se prolаzi kroz četiri fаze: postаvljаnje problemа, formulisаnje

hipoteze, njenа proverа i potvrđivаnje tj. Verifikаcijа hipoteze. Istrаživаčki proces čine

dvа delа – sаmo istrаživаnje i prezentаcijа dobijenih rezultаtа. U ovom rаdu su podаci

prikupljeni desk metodom istrаživаnjа – korišćeni su već prikupljeni podаci аli u

drugаčijem obimu i obliku. Tаkođe se od tih podаtаkа, dedukcijom i indukcijom, došlo

do rezultаtа i zаključаkа nаvedenih u rаdu.

Tehnike istraživanja predstavljaju sistematsko i svrsishodno jedinstvo postupaka i

instrumenata. Ovaj deo naučnog metoda podrazumeva: ocenu, sređivanje, obradu

podataka i zaključivanje na osnovu njih. U tom smislu, postoji povezanost i

međuzavisnost između metoda prikupljanja i obrade podataka, odnosno dokaznih

materijala i informacija do kojih se došlo istraživanjem.

8

Tok istraživanja, kao prvi logičan korak uključuje prikupljanje potrebne literature o

metodologiji naučnog istraživanja u dogotalnoj forenzičkoj istrazi sa težištem na

sisteme i mreže i same softvere za odbranu od napada u svetu komunikacionih

tehnologija, klasičnoj forenzičkoj istrazi, digitalnoj forenzilkoj istrazi. Zatim, istraživanje

dobijenih podataka iz literature i materijala preuzetih iz raznih ozvora, kroz faze

otkrivanja, opisivanja i objašnjenja određenih faza digitalne forenzičke istrage u

zavisnosti od situacije i primene. Rad je struktuiran u određene celine i svaka od njih

konkretno objašnjava kroz koje faze prolazi sistem pri napadu, način odbrane od

napada, kao i postupku prikupljanja podataka kada do incidenta dođe.

9

2. UVOD U DIGITALNU FORENZIKU

U današnje vrijeme informacione tehnologije su dio naše svakodnevnice. Informaciona

tehnologija se prožima kroz sve pore našeg života. Od infrastrukture (strujne stanice,

kontrola saobraćaja (semafora), mobilne telefonije, itd.), socijalnog (facebook,twitera

itd.), preko saobraćaja (moderna kola u današnje vrijeme imaju ugrađene kompijutere,

avio saobraćaj, željeznički saobrćaj), bankarstva (skoro sav novac ovog svijeta je

virtuelan, pohranjen kao podatak na računarima) itd. Samim tim ranjivost

informacionog sistema su velik izazov za razne vrste kriminala, od materijalnog,

naučnog, krivičnog pa do terorističkog.

Digitalna forenzika je relativno nova naučna disciplina koja nalazi svoje mjesto u

pravosudnom sistemu. Prate je brojni izazovi, uključujući brze promjene računarskih i

digitalnih usluga, kao i sve sofistiranijih napda na računarske sisteme i mreže i rapidni

porast zloupotreba IKT sistema i kompjuterskog kriminaliteta. Digitalna forenzika kao

disciplina ima za cilj pronalaženje, prikuplajnje i dokumentovanje podataka koji se

nalaze u digitalnom obliku. Bazira se na principima standardne forenzike, s tim da je

ovdje riječ o digitalnim dokazima, a ne o fizičkim. Naučni cilj rada odnosi se na teorijsku

i praktičnu deskripciju digitalne forenzike. Društveni cilj jeste da ovaj rad pruži

informacije i nova saznanja o učinkovitosti digitalne forenzike.

Značaj ovog rada ogleda se u boljem razumjevanju i shvatanju pojma i uloge digitalne

forenzike u cilju rasvjetaljavanja krivičnih djela. Postoje dvije vrsta značaja, a to su

društveni i naučni. Društveni značaj ogleda se u upotrebi ove discipline i stvaranju što

boljih uslova za upotrebu iste, a sve sa ciljem zaštite informacionih sistema. Kada je

riječ o naučnom značaju, ova disciplina ima pozitivan uticaj na rasvjetljavanje krivičnih

djela i otkrivanje njihovih izvršilaca, a i na smanjenje kompjuterskog kriminaliteta.

Prilikom istraživanja i objašnjenja bilo kojeg problema potrebno je koristiti

odgovarajuće metode kako bi se uopšte postigla svrha i cilj rada. Metod klasifikacije je

jedan od najstarijih i najkorišćenijih metoda. On je u ovom radu omogućio

rasčlanjivanje karakteristika krivičnih djela koja su u porastu kada su u pitanju

informacioni sistemi. Pored ovog metoda , za ovaj rad je veoma bitan i metod

prikupljanja podataka. Zahvaljujući njemu, dolazimo do tačnih i pouzdanih podataka.

10

3. ISTORIJAT DIGITALNE FORENZIKE

Digitalna forenzika, kao disciplina, počela se razvijati sa upotrebom kompijutera kasnih

1970-tih i ranih 1980-tih godina. Prvi konkretni kompijuterski kriminali su priznatin u

Florida Computer Crimes Act (1978), koji je obuhvaćao članove protiv neovlaštenih

izmjena i brisanja podataka sa kompijuterskog sistema. Vrste kompijuterskog

kriminala su se proširile na razne oblasti, te su doneseni zakoni koji se bave pitanjima

autorskih prava, privatnosti, uznemiravanja, krađom identiteta, dječijom

pornografijom i nacionalne sigurnosti. U to vrijeme je postojalo veoma malo standarda

ili smjernica koje bi mogle pomoći praktičarima,ali i digitalni dokazi su često odbijani od

strane sudova. Odgovor na rast kompijuterskog kriminala 1980 i 1990-tih godina,

agencije za provedbu zakona uspostavljaju specijalizirane istražne snage, obično na

nacionalnoj razini, primjer tome su:

- 1984.god. FBI je uspostavio Computer Analysis i Response Team

- 1985.god. UK je uspostavilo Odjel za kompijuterski kriminal u okviru Metropolitan

policije-Odjel za prevare.

Iako je forenzika kao nauka godinama prisutna, digitalna forenzika je još u

razvoju. Ona još uvijek traže mjesto među drugim forenzičkim disciplinama, odnosno,

standardima i najboljim praksama se još razvija. Digitalna forenzika je forenzička

disciplina koja se dijeli na: kompjutersku forenziku, mrežnu forenziku, forenziku baze

podataka i forenziku mobilnih uređaja. Ova podjela je prikazana na slici br.1.

Slika br. 1. Podjela digitalne forenzike

Kompjuterska forenzika

Mrežna forenzika

Forenzika baze podataka

Forenzika mobilnih uredjaja

11

Digitalna forenzika je disciplina koja ima za cilj prikupljanje, čuvanje, pronalaženje,

analizu i dokumentovanje digitalnih dokaza, odnosno podataka koji su skladišteni,

obrađeni ili prenešeni u digitalni oblik.

Digitalna istraga je proces gdje se razvijaju i testiraju hipoteze koje odgovaraju na

pitanja o digitalnim događajima. Ovo se radi koristeći naučne metode gdje se razvija

hipoteza koristeći dokaze koji su nađeni, a zatim se testira hipoteza pretražujući

dodatne dokaze koji su u kontradikciji sa hipotezom.

Digitalni dokaz je digitalni objekat koji sadrži pouzdane informacije koji podržavaju

hipotezu ili je opovrgavaju.

Digitalna forenzička istraga je process koji koristi nauku i tehnologiju radi analize

digitalnih objekata i koji razvija i testira teorije, koje su prihvatljive na sudu, radi

dobijanja odogovora o događajima koji su se desili. Digitalna forenzička istraga je uža

forma digitalne istrage. (John Sammons 2012:1-3).

12

4. DIGITALNA FORENZIČKA ISTRAGA

U proteklih par godina sa razvojem digitalne tehnologija kao i internet (globalna

svjetska mreža) mjesto krivičnog djela se seli sve više u virtuelnu realnost. Zašto se seli

u virtuelnu realnost? Zato što se pronevjere novca kao i razne druge nelegalne radnje

mogu lakše izvršiti i to neposredno tj. ne iz prvog lica već preko kompijutera, odnosno

nekog vida mreže (interneta). Samim tim pruža težu identifikaciju počinioca. Preko

internet i raznih organizacija koje funkcionišu na internet tj. u virtuelnoj stvarnosti kao

što su kockarnice, E-Gold, MoneyTransfer itd. javlja se mogućnost pranja novca

neposredno i vrlo efikasno. Pravne organizacije na svijetu imaju sve više slučajeva koji

su izvršeni djelimično ili cjelokupno preko internet ili nekih drugih elektonskih medija.

Potrebne su resursi i procedure da bi se efikasno locirali, pretraživali i očuvali svi tipovi

elektronskih dokazi. Ovi dokazi variraju od slika dječije pornografije, pa do kriptovanih

podataka koji se koriste za razne kriminalne aktivnosti. Čak neke istrage koje nisu

totalno elektronske prirode u nekim djelovima istrage imaju potrebu za analizom

digitalnih podataka. Digitalna forenzička istraga je nova disciplina koja se bavi upravo

otkrivanjem događaja, konfiskovanje i akvizicijom, analizom, očuvanjem i

prezentovanjem digitalnih dokaza. Kao što se realni svijet prepliće sa virtuelnim

svijetom, tako se i forenzička istraga fizičkog lica mjesta krivičnog djela prepliće sa

forenzičkom istragom digitalnog mjesta krivičnog djela.

4.1. Istražni proces

Cilj bilo koje istrage je da se otkrije i prezentuje istina o nekom događaju. Istražni

process je dio pravnog okvira, koji počinje tužbom,a napreduje kroz rukovanje

dokazima do jasnih i preciznih objašnjenja činjenica i tehnika u svjedočenju eksperata.

Istrenirani, iskusni istražitelji će započeti istragu postavljajući sebi niz pitanja u cilju

saznanja i odluka da li se zločin ili upad zaista dogodio. Odgovor na ova pitanja

odrediće da li će se potpuna istraga nastaviti ili da li su resursi upotrebljiviji za neke

druge stvari (npr. kada velika količina podataka nedostaje sa kompijutera ili se sumnja

na uljeza, digitalni istažitelji treba da ustanove da li je šteta povezana sa mogućim

greškama na disku ili sa upadom). Ukoliko su odgovori na ova pitanja potvrdni, fokus se

13

pomjera i utvrđuje se šta se dogodilo, gdje, kada, kako, ko je umješan i zašto.

Najvažnije je da uspjeh ovog procesa najviše zavisi od iskustva i vještina istražitelja,

ljudi koji pregledavaju dokaze i tehničara mjesta krivičnog događaja koji moraju da

surađuju da bi povezali dokaze zajedno i da bi razvili sadržaj (eng.account) prekršaja.

Efikasnost istražnog procesa u mnogome zavisi od objektivnosti istražitelja. Neki

sadržaji mogu da utiču na objektivno razmišljanje istražitelja kao i sličnosti između

datog slučaja i nekog slučaja iz prošlosti. Sličnosti između određenih slučajeva mogu

dovesti do preranog donošenja zaključaka na osnovu djela pregledanih dokaza, što

kasnije može rezultirati odbijanjem određenih dokaza na sudu kao i čitavog slučaja,

zbog toga treba svakom slučaju pristupiti kao unikatnom, iako je možda identičan

nekom prethodnom. Moraju se ispoštovati sve naučne metode i određene standardne

procedure da bi bili sigurni da smo slučaj procesirali na pravilan način, kao i da su sve

naše hipoteze i dokazi zasnovani na naučnim metodama.

4.2. Digitalni dokaz

Glavni cilj istrage u kompjuterskoj incidentnoj situaciji je, kao i slučaju klasičnog

kriminala, izgraditi za pravosudne organe neoboriv ili čvrst dokaz krivice ili dokaz za

oslobađanje osumnjičenog, i/ili pravedno sankcionisanje učinjenog dela. Pojam

digitalni dokaz je u ovom radu upotrebljen u smislu “utvrđivanja dokaza zloupotrebe u

sistemima u kojima je primenjena digitalna tehnologija”, u širem smislu te reči. U

slučaju klasičnog kriminala neoboriv dokaz, na primjer ubistva, je pištolj koji se dimi u

ruci ubice. Takav direktan (neposredan) dokaz u slučaju kompjuterskog kriminala

gotovo je nemoguće obezbjediti. Ipak, moguće je izgraditi čvrst digitalni dokaz, bez tzv.

pukotina, od niza posrednih dokaza, kakvi su digitalni podaci po svojoj prirodi.

Međunarodna organizacija za kompjutersku registraciju (IOCE), Nacionalni institut za

standardizaciju i tehnologiju (NIST-National Instutute for Standardization and

Technologies) i američko Ministarstvo pravde (USDOJ-US Department of Justice) su

propisali marta 1996. godine, opšte principe i procedure, koji se odnose na digitalne

dokaze, metode za usaglašavanje praktičnih rješenja među nacijama, koje garantuju

međunarodnu razmjenu.

14

5. ALATI ZA PRIKUPLJANJE DIGITALNIH DOKAZA

Alаti koji se koriste zа prikupljаnje digitаlnih dokаzа su аlаti zа sаmu detekciju

podаtаkа, zа njihovu аnаlizu, proveru аutentičnosti itd. Neki od njih se mogu besplаtno

preuzeti sа internetа, dok su ostаli komercijаlnog tipа. Postoji više kаtegorijа аlаtа zа

digitаlnu forenziku. Mogu se podeliti premа nаčinu implementаcije, premа oblаsti

upotrebe, premа tipu kodа, premа plаtformi nа kojoj rаdi kаo i premа fаzi u kojoj se

koristi u okviru forenzičke istrаge.

Prema načinu implementacije:

Hardverske alate

Programske(softverske) alate

Prema oblasti upotrebe:

Alate za forenziku računarske mreže

Alate za forenziku računarskog sistema

Alate za analizu digitalnih uredjaja(PDA, mobilnih uredjaja, itd.)

Prema tipu koda:

Programske alate otvorenog koda

Licencirane programske alate

Prema platformi na kojoj rade:

Alate koje rade na windows platformi

Alate koji rade na Linux I drugim platformama

Prema fazi procesa koje obavljaju u forenzičkoj istrazi:

Alate za pravljenje sterilnih medijuma

Alate za pravljenje fizičke kopije čvrstog diska

Alate za oporavak podataka

Alate za dešifrovanje podataka

Alate za analizu digitalnog materijala

15

Neki od nаjrаsprostаnjenijih аlаtа u ovoj oblаsti koji se koriste nа rаčunаrimа su

EnCase, Safe Back, Access Data, Driver Spy, Data Decoder, Scalpel – Open Source

alat. Alati koji se koriste na mobilnim telefonima, PDA uređajima i za SIM kartice:

Cellibrite UFED, Bit PIM. Neki od аlаtа koji se koriste zа pregled svih podаtаkа nа

rаčunаrskom sistemu su: SafeBack, DIBS, Maresware, NTI itd. Alаti zа prаćenje

mrežnog sаobrаćаjа:Carnivore, NetIntercept, NetWitness itd. Alаti zа pristup

podаcimа koji se nаlаze pod zаštitom (šifrа) i podаcimа koji su izbrisаni: ZERT,

TULP, Cards4Labs itd.

EnCase – progrаmski аlаt nаmenjen forenzičkoj istrаzi digitаlnih dokаzа

firme Guidance Software. Koristi se od strаne mnogih vodećih kompаnijа I

orgаnizаcijа u oblаsti digitаlne forenzike. Omogućаvа i olаkšаvа sudskim veštаcimа

i IT stručnjаcimа istrаživаnje slučаjevа, аkviziciju i аnаlizu dokаznog mаterijаlа i što

je svаkаko nаjvаžnije zа IT veštаke jeste dа ne omogućаvа izmenu podаtаkа

preuzetih sа korumpirаnog rаčunаrа. Nаjnovijа 28 verzijа ovog аlаtа je dostupnа

sаmo vlаdinim i obrаzovnim institucijаmа. Ključ zа otključаvаnje ovog softverа je

USB uređаj.

DriveSpy – forenzički аlаt zа DOS operаtivni sistem koji je rаzvilа kompаnijа Digital

Inteligence. Iаko nemа rаzvijen grаfički interfejs аlаt je dostа populаrаn među

forenzičаrimа jer je progrаm veličine sаmo 11kb I lаko je prenosiv nа svim

medijimа. Inаče rаdi se o аlаtu koji proširuje osnove MS-DOS funkcije, а sаdrži sve

potrebno zа kopirаnje i ispitivаnje sаdržаjа diskа. Dodаtne funkcije su i kreirаnje

MD5 hešа zа kopirаni disk, pаrticiju ili izаbrаne dаtoteke, sigurno brisаnje diskа.

Poslednjа verzijа sаdrži dodаtаk koji omogućаvа pristup i rаd sа USB fleš diskovimа,

dok pristup ostаlim memorijskim kаrticаmа zаvisi od proizvođаčа, čitаčа, tipа I

slično.

16

Helix – svoju populаrnost duguje i tome što je do poslednje verzije (objаvljen u mаrtu

2009. godine) bio potpuno besplаtаn. NJegovа nаjnovijа verzijа, kojа s zа rаzliku od

prethodnih, koje su se zаsnivаle nа Knoppix distribuciji, zаsnivа se nа Ubuntu Linux. U

nаjpovoljnijem obliku koštа 239 dolаrа godišnje (isključivo zа аkаdemske institucije).

Helix spаdа u grupu softverа nаmenjenih rаdu direktno sа CD-ROM medijumа. Bez

obzirа o kojoj se osnovnoj verziji linuksа rаdi, Helix je modifikovаn nа nаčin dа nikаd ne

koristi svаp (swop) pаrticiju i dа prepoznаje skoro sve moguće fаjl sisteme. Vаžnа

funkcionаlnost je i mogućnost pokretаnjа u obliku sаmostаlne аplikаcije nа Windows

operаtivnim sistemimа. Helix je rаzdeljen u progrаm koji аnаlizirа podignuteWindows

sisteme i Linux operаtivni sistem koji se sаmostаlno podiže.

VMware – populаrаn proizvod zа virtuelizаciju (VMware Workstation 7.x je аktuelnа

verzijа) koji omogućаvа kreirаnje pseudorаčunаrа i pseudomrežа, koji zа sve koriste

hаrdver jednog sistemа. Može se podesiti kаo gost operаtivni sistem, instаlirаti

potrebni forenzički аlаti, od njegа nаprаviti slikа sistemа, rаditi nа njemu, а po potrebi

uvek dovesti u prekonfigurisаno stаnje.

FTK se koristi u istrаgаmа kаo аlternаtivа аlаtu EnCase. FTK omogućаvа korisnicimа dа

istrаže i nаprаve sliku (image) tvrdog diskа (HDD) i to putem ispitivаnjа slikа kroz

gаleriju, ispitivаnjem fаjlovа kroz heksаdecimаlni pogled i pretrаživаnjem diskа preko

ključnih reči. Sаdrži prilаgodljive filtere koji omogućаvаju istrаžiteljimа dа se kreću kroz

hiljаde fаjlovа, e-poštu, kаo i locirаnje izgubljene i izbrisаne e-mаilove (Outlook, AOL,

Outlook Express, Netscape,Earthlink, Yahoo, Hotmail, Eudora i MSN). Omogućаvа

pristup enkriptovаnim podаcimа i njihovo dekriptovаnje. Vrši skenirаnje diskа zа

tekstuаlne stringove koje kаsnije koristi kаo rečnik šifаrа zа rаzbijаnje enkripcije

podаtаkа. Pretrаživаnje se vrši nа bаzi regulаrnih izrаzа (regular expressions), sаdrži u

sebi već definisаne izrаze zа pretrаgu brojа telefonа, аdresа itd.

17

Slika 2. FTK toolkit početna strana

Slika 3. Filteri za pretragu

Predstаvljа integrisаno rešenje zа istrаgu:

• Obrаđuje veliki broj tipovа podаtаkа od forenzičkih slikа do аrhivа

e-pošte, аnаlizirа registаr, dekriptuje fаjlove, rаzbijа šifre i

prаvi izveštаj o toku istrаge,

• Poseduje opciju dа obnovi lozinku sа više od 100 аplikаcijа,

• Sаdrži KFF (KnownFileFilter) heš biblioteku sа više od 45 milionа

heševа,

• Odlikuje gа nаprednа i аutomаtizovаnа аnаlizа bez skriptovаnjа.

18

Podržаvа više od 700 tipovа slikа, аrhivа i fаjlovа i zаsnovаn je nа bаzi podаtаkа pа ne

može doći do prekidа. Predstаvljа jedino forenzičko rešenje koje može dа identifikuje

enkriptovаni PDF fаjl. Bez problemа enkriptuje Credant, SafeBoot, Utimaco, Safe Guard

Enterprise and Easy, EFS, PGP, Guardian Edge, Pointsec i S/MIME. Sаdrži biblioteku sа

više od 30.000 slikа koje služe zа аutomаtsku identifikаciju potencijаlno pornogrаfskih

slikа.

19

6. MOBILNI TELEFONI KAO IZVOR DIGITALNIH DOKAZA

Mobilni telefoni su laki i kompaktni komunikacioni uređaji koji imaju mogućnost

obavljanja niza funkcija. U osnovi se sastoje od mikroprocesora, stalne memorije

(ROM) u kojoj je smješten operativni sistem, privremene memorije (RAM) neophodne

za rad aplikacija, radio-modula, procesora digitalnog signala, mikrofona i zvučnika,

različitih tastera, interfejsa i displeja. Uz manje razlike između pojedinih modela, većina

telefona podržava govornu komunikaciju, razmjenu tekstualnih poruka i osnovne

aplikacije za organizovanje ličnih podataka (PIM – Personal Information Management),

koje uključuju telefonske imenike i kalendare.

Konstantan razvoj je uvodio sve više novih mogućnosti i tehničkih unapređenja. Pored

neprestanog povećavanja kapaciteta interne fleš memorije, integrisani su i čitači

memorijskih kartica (na primjer čitači kartica tipa Mini Secure Digital – MiniSD i

MultiMedia Card – MMC), čime je omogućeno skladištenje sve veće količine

raznovrsnih podataka (kapaciteti obje vrste memorija već se isključivo izražavaju u

gigabajtima). Mobilni telefoni postaju spoj više uređaja poput ličnih organizatora

(PDA), uređaja za globalno pozicioniranje (GPS), fotoaparata, video kamera i

multimedijalnih reproduktora. Različiti bežični interfejsi, od već prevaziđenih

infracrvenih (npr. IrDA) do sada aktuelnih blututa (Bluetooth) i WiFi-a pružaju

mogućnost povezivanja telefona, kako međusobnog tako i sa računarima, i razmjene

velike količine podataka. Napredak mobilnih telefona doneo je mogućnost upotrebe

servisa multimedijalnih poruka (MMS), povezivanje na Internet, što pored pretrage

različitih sadržaja podrazumjeva i upotrebu elektronske pošte. Kad je riječ o softveru,

pametni telefoni (smartphones) su napravili pravu revoluciju omogućivši instaliranje i

korišćenje velikog broja različitih aplikacija (repozitorijum za operativni sistem Android

sadrži više od 260.000 aplikacija , a App Store više od 500.000 aplikacija za iPhone

telefone )(www.adobe.com). Uz mogućnost obavljanja više poslova u isto vreme

(multitasking), funkcionalnost mobilnih telefona dostigla je nižu klasu računara.

Standardni softver najrasprostranjenijih operativnih sistema za pametne telefone, kao

što su Android, Symbian, iOS, RIM (Research In Motion), Bada i Microsoft , nude

aplikacije za pregledanje datoteka paketa Microsoft Office i dokumenata u PDF

20

formatu, aplikacije za mape i navigaciju, Internet pretraživače i brojne aplikacije za rad

sa najpopularnijim Internet servisima i društvenim mrežama.

Slika 4. Forenzika mobilnog telefona

Instaliranjem aplikacija za multimedijalnu komunikaciju preko Interneta (kao što su

Skype ili neki od instant mesindžera), telefon se može koristiti za pozivanje ili slanje

poruka i bez korišćenja GSM mreže na mjestima gdje postoje pristupne tačke za bežični

Internet.

Sve navedeno ukazuje na to da mobilni telefoni imaju raznovrsne mogućnosti

kreiranja, preuzimanja i razmjene velikog broja različitih datoteka i informacija

potrebnih ili interesantnih korisniku, što ih upravo čini vrlo zanimljivim za forenziku i

krivični postupak. Neke od informacija koje se mogu dobiti sa mobilnih telefona i

koristiti kao dokazi su :

1. sačuvane SMS i MMS poruke i poruke elektronske pošte, sa podacima o

pošiljaocu, odnosno primaocu i temporalnim podacima;

2. podaci o podešavanju parametara (podešenost vremenske zone je posebno

zanimljiva jer, ukoliko nije sinhronizovana sa zonom na forenzičkom računaru,

može da utiče na pogrešno prikazivanje vremena vezanog za metapodatke

datoteka);

3. sačuvane fotografije, audio i video zapisi (posebno zanimljivi su oni snimljeni

samim telefonom);

21

4. sačuvane datoteke sa računara i one kreirane aplikacijama sa telefona;

5. datoteke instaliranih aplikacija;

6. podaci iz kalendara, telefonskih imenika;

7. podešavanja vezana za Internet komunikaciju i podaci dobijeni korišćenjem

telefona u ovu svrhu, poput istorije aktivnosti (History), omiljenih stranica

(Favorites ili Bookmarks) i samih Internet stranica, odnosno fragmenata kada su

u pitanju dinamičke stranice.

U postupku forenzike mobilnih telefona mora se uzeti u obzir GSM mreža u kojoj se

bilježe podaci o korisniku, SIM kartici i aktivnostima telefona. GSM mreža sadrži

informacije koje se mogu koristiti kao dokazi, a najvrednije se nalaze u zapisima

podataka o pozivima (CDR – Call Data Record), datotekama mobilnog operatora koje

sadrže podatke o svim komunikacijama u mreži. To znači da, pored podataka o

pretplatniku, servisima koji su mu na raspolaganju i SIM kartici (brojevi MSISDN, IMSI,

ICCID, PIN i PUK), iz CDR datoteka se mogu izdvojiti informacije o datumu, vremenu,

trajanju i vrsti bilo koje komunikacije, zatim o uređaju u kome se nalazila SIM kartica,

kao i identifikacija ćelije preko koje je poziv ostvaren, što može da se iskoristi za

lociranje korisnika.

22

7. CYBER KRIMINAL

Sajber kriminal (engl. Cyber crime) predstavlja oblik kriminalnog ponašanja, kod koga

se korišćenje kompjuterske tehnologije i informacionih sistema ispoljava kao način

izvršenja krivčnog dela, gde se kompjuter ili računarska mreža upotrebljavaju kao

sredstvo ili cilj izvršenja. Kompjuteri i kompjuterska tehnologija se mogu

zloupotrebljavati na razne načine, a sam kriminalitet koji se realizuje pomoću

kompjutera može imati oblik bilo kog od tradicionalnih vidova kriminaliteta, kao sto su

krađe, utaje, pronevere, dok se podaci koji se neovlašćeno pribavljaju

zloupotrebom informacionih sistema mogu na razne načine koristiti za sticanje

protivpravne koristi.[1] Može se konstatovati da je sajber kriminal takav oblik

kriminalnog ponašanja kod koga je sajber okruženje u kome se kompjuterske

mreže pojavljuju kao sredstvo, cilj, dokaz ili okruženje izvršenja krivčnog dela. 

7.1 Oblici cyber kriminala

Različiti dokumenti na različite načine klasifikuju oblike sajber kriminala. Tako u

materijalu za “radionicu” o kriminalu na mreži desetog kongresa UN konstatuje se da

postoje dve sub kategorije ovog kriminala:

sajber kriminal u užem smislu - kao svako nezakonito ponašanje usmereno na

elektronske operacije sigurnosti kompjuterskih sistema i podataka koji se u njima

obrađuju (pravljenje i ubacivanje kompjuterskih virusa, haking, piratstvo,

kompjuterska sabotaža, kompjuterska špijunaža, kompjuterske prevare i krađa

kompjuterskih usluga );

sajber kriminal u širem smislu - kao svako nezakonito ponašanje vezano za ili u

odnosu na kompjuterski sistem i mrežu, uključujući i takav kriminal kakvo je

nezakonito posedovanje, nuđenje i distribuiranje informacija preko kompjuterskih

sistema i mreža (kompjuterski falsifikati, kompjuterske krađe, tehničke

manipulacije uređajima ili elektronskim komponentama, zloupotrebe sistema

plaćanja).

23

Zavisno od tipa počinjenih dela sajber kriminal može biti:

1. Politički

2. Ekonomski

3. Proizvodnja i distribucija nedozvoljenih i štetnih sadržaja

4. Manipulacija zabranjenim proizvodima, supstancama i robama

5. Povrede sajber privatnosti

Jasno je da veliki broj različitih klasifikacija sam po sebi pokazuje raznovrsnost ovih dela

i kompleksnost njihovih pojavnih oblika, ali i različitost kriterijuma koji se koriste. U

svakom slučaju to bi pored upada u kompjuterske sisteme i mreže, špijunaže, sabotaže,

piraterije, bombardovanja elektronske pošte primanjem neželjenih poruka,

„njuškanja” lozinke, „prerušavanja” jednog računara drugim, bili i virusi, odnosno

njihova proizvodnja i distribuiranje, kao i ceo skup nedozvoljenih i štetnih sadržaja

od dečje pornografije do rasturanja verskih, rasističkih i sličnih sadržaja. Posebno su

brojna dela diseminacije nedozvoljene robe ili pružanje nedozvoljenih usluga. Tome

treba dodati i sajber sabotaže i terorizam, kao i krađu Internet vremena, usluga,

indentiteta, razne zloupotrebe kreditnih kartica.

24

8. ZAKLJUČAK

Kаko se sve više IT tehnologijа rаzvijа i digitаlni zločini se sve više rаzvijаju. Postoji

svаkog dаnа sve više nаčinа zа prevаre i rаzne zločine putem rаčunаrа. Velikа većinа

zločinа koji se odvijаju uživo mogu se činiti i putem rаčunаrа ili internetа. Elektronski

dokаz imа sve veći znаčаj i zbog togа se sа njimа morа postupаti vrlo pаžljivo. Često se

prikupljаnje i аnаlizа tih dokаzа ne može obаviti pomoću jednog аlаtа već

kombinаcijom više njih. Svаki od аlаtа je nаmenjen jednoj ili više fаzа istrаge. Često su

digitаlni trаgovi oštećeni, pod zаštitom ili izgubljeni ili izbrisаni, zbog togа se morаju

koristiti rаzličiti аlаti. Glаvni nedostаtаk svih аlаtа je to što je velikа većinа njih

licencirаnа i cene licenci su veomа visoke, što nаrаvno zаvisi od togа kаkve su nаmene

tog progrаmа i koliko mogućnosti pružаju i dа li je moguće dokupljivаti njegove

dodаtke.

U poslednjih nekoliko godinа zаkonske odredbe su se menjаle dа bi podаci prikupljeni

sа mobilnih uređаjа bili priznаti nа sudu ukoliko prođu verifikаciju i vаlidаciju. Mobini

uređаji su deo svаkodnevnice, svаki čovek je deo svogа dаnа spojen sа bаrem jednim

tаkvim uređаjem, аko ne i sа više. Posebno je izаzov i jаko dobrа metа zlonаmernih to

što su mobilni uređаji 72 sve "pаmetniji" i sve više podаtаkа o nаmа sаmimа sаdrže u

sebi, počev od ličnih stvаri pа sve do poslovnih, koje su uprаvo metа kriminаlаcа.

25

9. LITERATURA

[1.] Casey, E., Digital evidence and computer crime: forensic science, computers, and the Internet, 2004.

[2.] Willassen S., Forensic analysis of mobile phone internal memory, 2005.

[3.] Keonwoo Kim, Dowon Hong, Kyoil Chung, Jae-Cheol Ryou, Data Acquisition from Cell Phone using Logical Approach, 2007.

[4.] Mokhonoana P., Olivier M., Acquisition of a Symbian smart phone’s contentwith an on-phone forensic tool, 2007.

[5.] http://www.datasolutions.rs/srp/kompjuterska forenzika/kompjuterskaforenzika- osnove.htm (посећено 24.03.2013.)

[6.] www.vreme.com, Српска форензика: Отисак прста, чаура, ДНК,12.01.2012. (посећено 03.03.2013.)

26

SADRŽAJ

Apstrakt.................................................................................................................31. METODOLOGIJA NAUČNOG ISTRAŽIVANJA................................................5

1.1. Uvodne napomene i obrazloženje rada..................................................5

1.2 Predmet istraživanja...............................................................................6

1.3. Ciljevi i zadaci istraživanja...........................................................................6

1.4 Istraživačke hipoteze....................................................................................6

1.5 Metode, tehnike I tok istraživačkog procesa...............................................7

2. UVOD U DIGITALNU FORENZIKU.......................................................................93. ISTORIJAT DIGITALNE FORENZIKE....................................................................104. DIGITALNA FORENZIČKA ISTRAGA...................................................................12

4.1. Istražni proces...........................................................................................12

4.2. Digitalni dokaz...........................................................................................13

5. ALATI ZA PRIKUPLJANJE DIGITALNIH DOKAZA.................................................146. MOBILNI TELEFONI KAO IZVOR DIGITALNIH DOKAZA.....................................197. CYBER KRIMINAL.............................................................................................22

7.1 Oblici cyber kriminala................................................................................22

8. ZAKLJUČAK......................................................................................................249. LITERATURA.....................................................................................................25

27