Kompjuterski Kriminalitet.ii Parc.
25
KOMPJUTERSKI KRIMINALITET-II PARC. -ETIMOLOGIJA POJMA FORENZIKE ... Forenzika je proces u kojem koristimo naučne spoznaje pri prikupljanju, analizi i prezentiranju dokaza sudu. Riječ forenzika znači „predstaviti sudu“. Primarno se bavi povratom i analizom latentnih tragova. Latentni tragovi mogu biti raznog porijekla i vrste, od otisaka prstiju ostavljenih na prozoru to tragova DNA dobijenih iz kapljice krvi. Prvi oblik forenzike možemo naći kod još 1284. godine kod kineskog doktora Hi Duan Yu i njegovom djelu iz domena medicinske kriminalistike „Ispiranje lošeg“. Otisci prstiju su upotrijebljeni i pravilno shvaćeni tek 1892. Prva forenzična laboratorija je ustanovljena u SAD-u tridesete godine prošlog vijeka, a DNA upotrebljena na sudu 1996. godine. -RAČUNARSKA FORENZIKA... Računarska forenzika je prikupljanje i analiza podataka iz računarskih sistema, mreža, komunikacionih tokova i medija, za čuvanje podataka na način da su tako prikupljeni podaci prihvatljivi sudskom postupku. a) Postojani podaci; b) Nepostojani podaci; c) Sistemski administratori kao „forenzičari“ Ova definicija je primjenljiva kako na prikupljanje informacija u realnom vremenu tako i na latentne podatke. Dugo vremena se računarska forenzika bavila isključivo postojanim podacima koji su pohranjeni na tvrdom disku ili sl. mediju i sačuvani su u slučaju gašenja računara. Međutim, u vremenu povezanih računarskih mreža, prikupljanje nestalnih podataka postaje sve važnije. Nepostojani podatak je bilo koji podatak koji je pohranjen u memoriji ili se nalazi u prenosu te će biti izgubljen kada računar izgubi napajanje ili bude ugašen. Ovakvi podaci se nalaze u registrima, privremenoj memoriji (cache) i radnoj memoriji (RAM). Sistemski administratori i sigurnosno osoblje kao i forenzičari moraju posjedovati osnovno razumijevanje kako njihovi rutinski administrativni poslovi mogu uticati i na forenzične procedure (i prihvatljivost prikupljenih podataka na sudu) tako i na mogućnost povrata podataka koji mogu biti ključni za identifikaciju i analizu. Ne postoji dovoljan br. forenzičara koji bi u svakom trenutku
-
Upload
benjamin-prince -
Category
Documents
-
view
222 -
download
0
description
Drugi parcijalni KOMP. KRIM.
Transcript of Kompjuterski Kriminalitet.ii Parc.
KOMPJUTERSKI KRIMINALITET-II PARC.
-ETIMOLOGIJA POJMA FORENZIKE ...
Forenzika je proces u kojem koristimo naučne spoznaje pri prikupljanju, analizi i prezentiranju dokaza sudu. Riječ forenzika znači „predstaviti sudu“. Primarno se bavi povratom i analizom latentnih tragova. Latentni tragovi mogu biti raznog porijekla i vrste, od otisaka prstiju ostavljenih na prozoru to tragova DNA dobijenih iz kapljice krvi. Prvi oblik forenzike možemo naći kod još 1284. godine kod kineskog doktora Hi Duan Yu i njegovom djelu iz domena medicinske kriminalistike „Ispiranje lošeg“. Otisci prstiju su upotrijebljeni i pravilno shvaćeni tek 1892. Prva forenzična laboratorija je ustanovljena u SAD-u tridesete godine prošlog vijeka, a DNA upotrebljena na sudu 1996. godine.
-RAČUNARSKA FORENZIKA...
Računarska forenzika je prikupljanje i analiza podataka iz računarskih sistema, mreža, komunikacionih tokova i medija, za čuvanje podataka na način da su tako prikupljeni podaci prihvatljivi sudskom postupku.
a) Postojani podaci; b) Nepostojani podaci; c) Sistemski administratori kao „forenzičari“
Ova definicija je primjenljiva kako na prikupljanje informacija u realnom vremenu tako i na latentne podatke. Dugo vremena se računarska forenzika bavila isključivo postojanim podacima koji su pohranjeni na tvrdom disku ili sl. mediju i sačuvani su u slučaju gašenja računara. Međutim, u vremenu povezanih računarskih mreža, prikupljanje nestalnih podataka postaje sve važnije. Nepostojani podatak je bilo koji podatak koji je pohranjen u memoriji ili se nalazi u prenosu te će biti izgubljen kada računar izgubi napajanje ili bude ugašen. Ovakvi podaci se nalaze u registrima, privremenoj memoriji (cache) i radnoj memoriji (RAM).
Sistemski administratori i sigurnosno osoblje kao i forenzičari moraju posjedovati osnovno razumijevanje kako njihovi rutinski administrativni poslovi mogu uticati i na forenzične procedure (i prihvatljivost prikupljenih podataka na sudu) tako i na mogućnost povrata podataka koji mogu biti ključni za identifikaciju i analizu. Ne postoji dovoljan br. forenzičara koji bi u svakom trenutku trenutno mogli obezbijediti mjesto krivičnog djela. Iz tog razloga mnogi policijski službenici se obučavaju da obrade i prikupe tragove na forenzično ispravan način. Isto tako i sistemski administratori su često u poziciji da budu prvi na licu mjesta i da budu u ulozi da moraju obezbijediti i sačuvati mjesto računarskog incidenta i potencijalnog krivičnog djela.
-USLOVI ZA PRIHVATLJIVOST DIGITALNIH TRAGOVA...
1) Svjedok po čuvenju - Postoje dva tipa računarskih zapisa: oni koji sadrže zapis neke osobe ili osoba koji su unijeli u računar - računarski pohranjeni zapisi, i zapisi koje je računar automatski generisao - računarski kreirani zapisi. Razlika između ove dvije vrste zapisa je: prva kategorija može sadržavati informacije koje spadaju u kategoriju svjedoka po čuvenju, te time biva neprihvatljiva kao dokaz, dok druga kategorija sa kojom se češć susrećemo ne može sadržavati takvu vrstu informacija.
2) Autentifikacija - Da bi zapis bio autentificiran, osoba koja je pribavila ili generirala zapis, mora biti u stanju potvrditi izvornost zapisa. Nije potrebno naglasiti koliko je u stvari važan lanac čuvanja dokaza. Na primjer, osoba koja je pokrenula netstat komandu i snimila rezultat na CD mora na sudu moći svjedočiti da je CD koji je priložen kao dokaz zaista CD koji je ona snimila
3) Pouzdanost - posebnu pažnju treba obratiti na pouzdanost i zakonsku prihvatljivost programske opreme koju koristi pri prikupljanju i analizi podataka. Što se tiče prezentacije digitalnih dokaza na sudu, u praksi je prihvaćeno rješenje da ukoliko su podaci pohranjeni u računaru ili sl.uređaju, tada odštampani ili dr.oblik vidljiv okom, a koji vjerno prikazuje pohranjenje podataka, može se smatrati orginalom.
-RAZUMIJEVANJE DATOTEČNOG SISTEMA...
1) Arhitektura datotečnog sistema - razumijevanje normalnog i uobičajenog ponašanja datotečnog sistema nam omogućava da lakše uočimo potencijalne anomalije, što bi trebao biti prvi korak ka uspješnoj analizi podataka.
2)Važnost datotečnih sistema - Dvije osnovne funkcije datotečnog sistema i koje i utiču na perfomanse računara su:
-povezivanje fizičkog položaja podataka na disk sa njihovim logičkim adresama-mogućnost čitanja i pisanja u cilju kreiranja, mijenjanja i brisanja datoteka.
Većina datotečnih sistema je vezana uz vrstu OS-a, mada neki OS-ovi mogu kombinovati razne sisteme. U većini slučajeva kada korisnik izbriše neku datoteku, datotečni sistem tu datoteku ne briše trenutno sa tvrdog diska. Jednostavno se postavlja oznaka koja govori OS-u da taj prostor na disku može biti ponovo upotrijebljen. Ovo je važna činjenica koja spretnom forenzičaru omogućava povrat podataka.
3) Razumijevanje strukture datotečnih sistema u Windows OS-u - na fizičkom tvrdom disku može postojati više od jedne logičke sekcije. Dijeljenje fizičkog diska u odvojene dijelove se naziva particionisanje. Particije logičkog diska se tradicionalno označavaju sa slovima C,D,E itd. Sektori na tvrdom disku se dalje grupiraju u klastere. Grupu klastera čini grupu podataka koja predstavlja osnovnu adresnu jedinicu. Klaster je najmanji dio diska koji se može odvojiti da bi sadržavao datoteku.
Dva osnovna sistema na windowsima su:
a) FAT-tabela – sadrži imena datoteka i mapa, MAC vremena, br.klastera i odabrane atribute datoteka na disku. Ova tabela je locirana na vanjskom dijelu diska i u slučaju FAT 32 postoji i redudantna kopija koja može biti veoma važna u slučaju povratka podataka nakon maliciozne aktivnosti.
b) NTFS – je primarni sistem koji se koristi u Windowsovma XP, Vista i 7, te u svim serverskim varijantama još od Windowsa NT. Zamjenjuje FAT i koristi tzv.MFT (Master file table) kao prvu datoteku na disku. Zapisi u njoj se nazivaju metapodacima i sadrže informacije o svim datotekama na disku, uključujući i sistematske datoteke. Na diskovima sa NTFS sistemom mogu se postaviti dozvole i zabrane korisnicima i grupama korisnika nad datotekama i direktorijumima. Ove dozvole mogu biti lokalnog ili mrežnog nivoa. Također, datoteke pod NTFS sistemom mogu biti enkriptirane. Pri povratu i analizi podataka sa NTFS diskova, treba posebnu pažnju obratiti na tzv.alternativne tokove podataka.
4) Windows registar - je centralna konfiguraciona baza za OS i većinu aplikacija još od Windowsa 95. Forenzičar, pregledajući registar, može otkriti podatke o hardverskoj i softverskoj konfiguraciji, korisničkim postavkama, početnim postavkama sistema i čak i podatke za prijavu na sistem (korisničko ime i lozinke).
5) „Swap“ datoteka, „slack“ i nedodjeljeni prostor
-swap datoteka je skrivena sistemska datoteka koja se koristi kao virtualna memorija kada na sistemu ne postoji dovoljno fizičke memorije. Ova datoteka sadrži dijelove dokumenata i ostalih podataka koji nisu mogli biti smješteni u fizičku memoriju. Ova datoteka se na windowsima NT, XP, Vista, 7 i serverskim sistemima naziva pagefile.sys, a na starijim win386.swp. Neophodno je da forenzičar izvrši pretragu ove datoteke jer se u njoj mogu nalaziti privremeni podaci koji su izbrisani iz ostatka datotečnog sistema.
-Slack prostorom nazivamo prostor koji preostane kada OS zapiše podatak u klaster, ali ga ne popuni u potpunosti. Potrebno je da forenzičar pregleda ovaj prostor jer se i u njemu mogu nalaziti podaci o izbrisanim datotekama.
-Pod nedodijeljenim prostorom podrazumijevamo prostor koji je OS označio kao izbrisanu datoteku, ali je nije prepisao novim podacima.
-BOOT PROCEDURA...
Prilikom restarta računara postoji opasnost da dođe do oštećenja forenzičko bitnih podataka, te je neophodno da se boot procedura u BIOS-u računara podesi tako da se računar pokreće sa unaprijed pripremljenih i provjerenih medija (CD, USB memorija) sa forenzičkim alatima.
-KORIŠTENA TERMINOLOGIJA PRI FORENZIČKIM PROCEDURAMA...
a) Kopiranje: kopira se samo datoteka, bez slack ili nedodijeljenog prostora;
b) Backup: kopiranje podataka za budući povrat;
c) Image/slika: stvaranje datoteka koja predstavlja kompletan datotečni sistem za duplikaciju ili povrat;
d) Dupliciranje slika:tačna replika svih sektora uključujući svaku 0 i 1, slack, nedodijeljeni prostor i swap.
U forenzičke svrhe koristi se dupliciranje podataka koje uključuje kopiju diska na bit-po-bit način.
Kada su u pitanju kriminalističke procedure pri prikupljanju digitalnih dokaza neophodno je naglasiti da će dobar kriminalistički tehničar svakako rutinski upotrebljavati i veoma dobro poznavati opšte kriminalističke i administrativne procedure, ali i obratiti pažnju kako uobičajene neprilagođene procedure mogu uticati na forenzičnu vrijednost prikupljenih podataka. Ova sposobnost je krucijalan i često olako uzet element i u slučaju kada se radi o planiranju dubinske sigurnosti IT sistema i osiguranju čvrstoće ICT infrastrukture.
-PROCEDURA PRI RADU SA TVRDIM DISKOM...
Kada očekujemo da pronađemo tragove moramo obratiti pažnju na sljedeće:
• Da li je disk na serveru ili korisničkom računaru?
• Da li se disk može odstraniti iz sitema ili je neophodan za rad?
• Da li posjedujemo dovoljno velik sanitizovan (izbrisan) disk da prebacimo podatke sa spornog diska?
• Da li se tragovi nalaze na jednom ili se prostiru preko više diskova (RAID, prošireni diskovi u NTFS-u itd.)
• DoD procedure daju dobre standarde i procedure vezane za brisanje i sanitaciju diskova
Druge vrste medija mogu sadržavati razne datočne sisteme, a najrašireniji su:
• Backup uređaji sa trakama – zavisi od OS-a
• Floppy uređaji – FAT 12
• CD i DVD – ISO 9660
• Flash memorija i USB memorija – najčešće FAT32 i NTFS
-OSNOVNE SMJERNICE PRI IZBORU, TESTIRANJU I PROVJERI ALATA...
• Koristiti alate sa statički povezanim bibliotekama, ukoliko se moraju koristiti dinamički povezani alati, prije svake upotrebe uraditi detaljnu sliku sistema sa svim procesima i generisati hash vrijednosti biblioteka.
• Ne koristiti (osim u specifičnim situacijama) alatke i naredbe nativne ispitivanom sistemu.
-OSNOVNI METODOLOŠKI KORACI PRI KREIRANJU SETA ALATA SU...
1) Kreirati forenzički testni sistem: a) Odlučiti o korištenom OS-u; b) Sanitizovati sistem; c) Instalirati softver; d) Postaviti najnovije zakrpe i popravke; e) Generisati hash vrijednosti i f) Instalirati monitor integriteta datotečnog sistema.
2) Dokumentovati testni sistem: a) Tip OS-a; b)Verzija OS-a; c)Br. i vrsta aplikacije; d)Br.i vrsta zakrpi i popravki; e)MD5 hash vrijednosti DLL/dijeljenih biblioteka.
3) Dokumentovati i postaviti forenzičke alatke: a) Detaljno dokumentovati alatke; b)Kreirati terenski sistemski disk.
4) Testirati alatke: a)Instalirati pomoćne programe za analizu; b)Provesti statičku analizu; c)Provesti dinamičku analizu i d) Sve rezultate unijeti u dokumentaciju.
-TIPOVI ISTRAGE
a.Interna istraga i b. Istraga u krivično-procesnom smislu
U slučaju da se utvrdi da je meta napada bio određeni računar, dokazi o takvom upadu se traže na samom računaru koji je bio meta napada. Vještačenje računara treba se odvijati po svim pravilima kriminalističko-forenzičke struke, te u skladu sa pozitivnim krivično-procesnim zakonima. U vještačenju računara postoje 2 tipa istrage: interna istraga i istraga u krivično-procesnom smislu. Prije provođenja istrage, potrebno je donijeti odluku da li će se nastaviti inicjalna interna istraga ili je neophodno obavijestiti službe za provođenje zakona.
-KOMPJUTERSKA FORENZIKA JE...
očuvanje, identificiranje, izvlačenje, dokumentovanje i interpretacija kompjuterskih medija za dokaznu i/ili uzročnu svrhu.
-MODEL KOMPJUTERSKE ISTRAGE KAO LOGIČNOG PROCESA...
1) Prvi korak je procjena situacije i preuzimanje slučaja:
a) Obavještavamo nadležne i tražimo dozvolu za dalji rad;
b) Konsultujemo se sa zakonskim obavezama i politikom kompanije;
c) Identificiramo članove tima (ukoliko nam je dodijeljen);
d) Zvanično preuzimamo slučaj;
e) Pripremamo se za prikupljanje dokaznog materijala.
2) Sljedeća faza je prikupljanje dokaznog materijala:
a) Određujemo alate koje ćemo koristiti; b) Prikupljamo podatke; c) Čuvamo i arhiviramo prikupljene podatke.
3) Nakon prikupljanja podataka, slijedi analiza:
a) Analiza mrežnih podataka; b)Analiza podataka na vještačenom računaru i c)Analiza medija za pohranu.
4) Konačna faza istrage je izvještavanje: a)Prikupljanje svih rezultata analize svih članova tima; i b)Izrada izvještaja.
-ALATI ZA KOMPJUTERSKU FORENZIKU...
Ukoliko se radi o internoj istrazi, u preko 90% slučajeva radi se o windows okruženju. Paket alata Windows Sysinternals su razvli Mark Russinovich i Bryce Cogswell (tabela).
-Interni Windows alati - I sa samim windowsima dolazi veliki broj alata koje možemo iskoristi u forenzičke svrhe. Također na stranicama Microsofta se nalazi određen broj besplatnih alata koji nam mogu pomoći u istrazi.
-Profesionalni paketi – u toku zvanične obrade računara mora biti zajamčeno da nijedan podatak neće biti kompromitovan, te da u procesu pronalaženja dokaza nijedan bit podataka na memorijskim jedinicama neće biti izmijenjen. U tu svrhu potrebno se koristiti dokazanim i provjerenim, te priznatim alatima za kompjutersku forenziku. Najrašireniji u praksi pojavljuju se 2 paketa alata: EnCase Forensic i Helix Forensic.
-SMJERNICE FBI KADA SU U PITANJU RAČUNARI KAO DOKAZNI MATERIJAL...
U toku ispitivanja računara pojavljuju se sljedeći elementi:
a) Sadržaj - Tip podataka i datoteka u računaru;b) Poređenje - Odnos podataka u odnosu na poznate formate;c) Transakcije – Određenje vremena i sekvence kreiranja podataka;d) Ekstrakcija – Podaci mogu biti izvučeni sa računara i medija za pohranu;e) Izbrisani podaci – Podaci mogu biti vraćeni sa računara i medija za pohranu ukoliko su bili
izbrisani;f) Konverzija – Podaci mogu biti prebačeni iz jednog formata u drugi;
g) Ključne riječi – Podaci se mogu pretražiti po ključnim riječima ili frazama i svako pojavljivanje treba biti zabilježeno;
h) Lozinke – Lozinke se mogu pronaći i iskoristiti za dešifrovanje zaštićenih podataka;i) Programski kod – se može izvući i dodatno analizirati.
-U SLUČAJU RAČUNARA KAO DOKAZA NEOPHODNO JE, UZ FIZIČKI I MATERIJALNI DOKAZ, PRILOŽITI...
U slučaju računara neophodno je obilježiti centralnu procesorsku jedinicu sa svim sadržajem,kao i sve eksterne medije, dok uređaje kao što su monitori, tastature i sl. nije potrebno procesuirati. Štampače također treba obraditi:
a) Tip računara i operativnog sistema;b) Ako postoji, tip mrežnog softvera, lokaciju mrežnih servera i br.računara u mreži;c) Da li je korištena enkripcija podataka i zaštita putem lozinki;d) Da li je potrebno račune laboratorijski obraditi ili se mogu obraditi na licu mjesta.
-HELIX ALAT...
se sastoji od jednog CD sa kojeg možemo pokrenuti računar, te dobiti skup forenzičkih alata. Helix se može koristiti na dva načina:
1) kao Windows aplikacija, dakle sa podignutim OS-om, te u tom slučaju ne možemo obaviti puno radnji koje bi nam pružile odgovarajući dokazni materijal, jer ne možemo garantovati netaknutost podataka;
2) kao tzv. bootabilni CD sa kojeg se pokreće prilagođena verzija Knopix distribucije Linuxa u koju su ugrađeni razni forenzički alati. U ovom slučaju integritet podataka je garantovan jer se OS u potpunosti pokreće sa CD medija i ni na koji način ne utiče na pohranjene podatke.
-FORENZIČKI ALATI KOJI SE NALAZE U SKLOPU HELIXA SU...
a) Autopsy: Web Interfejs za Sleuthkit;
b) wipe: sigurno brisanje datoteka;
c) forernost: traženje datoteka zasnovano na zaglavlju i podnožju;
d) fatback: analiza i vraćanje izbrisanih FAT datoteka;
e) faust: analiza elf programskih datoteka i bash skripti.........
-PRIKUPLJANJE NEPOSTOJANIH PODATAKA...
osobe koje su prve u doticaju sa mjestom incidenta uglavnom reaguju tako što propisno ugase sistem i obezbjede računar. Nakon toga, pristupa se obradi tvrdog diska i sl. medija i prikupljanju i analizi postojanih podataka. Nažalost, proces gašenja računara će uništiti čitav zbir nepostojanih podataka koji su mogli poslužiti kao krucijalan izvor podataka i informacija. Da bi se prikupila ta vrsta podataka neophodno je da sistem ostane pokrenut.
Nepostojani podaci su svi podaci koji se nalaze u sistemskoj memoriji i izgubljeni su u slučaju gašenja ili ponovnog pokretanja mašine, te gubitka napajanja. Podaci koji se nalaze u sistemskoj memoriji su: registri i privremena memorija; RAM; privremeni datotečni sistem; tvrdi disk i sl.tipovi medija; podaci iz sistemskog dnevnika i nadgledanja; fizička konfiguracija i mrežna
topologija;arhivski medij. Primarni fokus prikupljanja ove vrste podataka su podaci koji se nalaze u RAM-u. Ovi podaci trebaju biti prikupljeni ukoliko nismo sigurni u razloge neuobičajenog ponašanja računara, ukoliko primjetimo sumnjive aktivnosti ili ukoliko istražujemo slučaj aktivnosti koje je otkrio IDS ili firewall. Iz tih razloga stalnosti podataka na tvrdom disku oni trebaju biti prikupljeni nakon prikupljanja nepostojanih podataka. Bez obzira koju vrstu podataka prikupljali, sprečavanje kontaminacije mora biti od prvorazrednog značaja.
Za razliku od postojećih podataka, nije moguće napraviti bit-po-bit kopiju ove vrste podataka, ali uz pravilne, provjerene i dokumentovane procedure moguće je dobiti podatke dovoljne kvalitete da bi ih sud uvrstio u dokazni materijal. Važnost nepostojanih podataka se ogleda u činjenici da iz njih možemo saznati prijavljene korisnike, pokrenute procese, otvorene konekcije i sl. Iz ovog skupa podataka možemo uspješno kreirati vremensku liniju i rekonstrukciju incidenta.
-DVIJE OSNOVNE GREŠKE KOJE SE ČINE PRI PRISTUPANJU RAČUNARU SU...
a) Gašenje ili ponovno pokretanje mašine - i samo gašenje terminala ili ljuske sistema može imati sl.efekat;
b) Pretpostavka da su neki dijelovi sistema pouzdani - korištenjem komandi nativnog sistema možemo pokrenuti trojane, vremenske bombe i ostali maliciozni softver.
-VRSTE NEPOSTOJANIH PODATAKA...
1) Sistemski podaci – kolekcija podataka o trenutnoj konfiguraciji sistema i stanja pokrenutosti: a) Profil sistema; b) Trenutno sistemsko vrijeme i datum; c) Istorija komandi; d)Vrijeme pokrenutosti sistema; e) Pokrenuti procesi; f) Otvorene datoteke, datoteke koje se pokreću sa sistemom, podaci iz privremene pohrane (clipboard); g) Prijavljen korisnici; h) DLL i dijeljenje biblioteke.
2) Mrežni podaci – kolekcija informacija o stanju mreže: a) Otvorene konekcije; b) Otvoreni portovi i soketi (utičnice); c) Ruting informacija i konfiguracija; d) Status mrežnog sučelja i konfiguracija; e) ARP informacije.
-METODIKA PRIKUPLJANJA NEPOSTOJANIH PODATAKA...
1. Priprema za odgovor na incident – potrebno je da bude spremno: a. Set alata; b. Određeni tim za odgovor i poznat vođa tima; c. Set procedura.
2. Dokumentovanje incidenta – potrebno je: a. Profil incidenta; b. Priprema forenzičkog dnevnika; c. Korištenje dnevnika kreiranog pri stvaranju seta alata.
3. Provjera procedura: a. Da li nam je potrebno odobrenje za pristup sistemu i podacima; b. Da li nam je potrebno zakonsko odobrenje.
4. Kreiranje strategije prikupljanja; 5. Pripremanje i postavljanje alata; 6. Prikupljanje.
-PRIKUPLJANJE POSTOJANIH PODATAKA...
Postojani podaci su podaci koji se zadržavaju i ostaju nepromijenjeni nakon gašenja računara. Nalaze se na izmjenjivim medijima, kao i na tvrdim diskovima. Uprkos stabilnosti, moraju se preduzeti mjere opreza kako bi se osiguralo pravilno prikupljanje. Ova definicija je dovoljno opsežna da obuhvati podatke čuvane na diskovima, flash memorijama, mobilnim telefonima i PDA-ovima. Neki od foren.dokaza se pronalazi u postojanim podacima kao npr.dokumentima, e-pošti, mrežnim
aktivnostima i izbrisanim datotekama. Istraživanje postojanih podataka obično nije komplikovano. Ako imaju pristup računaru, većina korisnika može tražiti datoteke, istraživati prijašnje internet aktivnosti, pa čak i provjeriti prisustvo neprikladnih programa. Ipak, istraživanje sumnjivog računara na ovaj način će izmijeniti dokaze i učiniti ih manje korisnim. Iako je najbolje i najsigurnije analizirati čitav disk, treba napomenuti dvije stvari: 1. Prikupljanje podataka sa čitavog diska može potrajati poprilično dugo, zato je zavisno od situacije, ponekad ispravnije prikupiti samo one dijelove diska za koje je najvjerovatnije da će sadržavati tražene podatke. 2. Ako samo prikupljanje traje dugo, onda sama analiza može trajati značajno duže.
-OTKRIVANJE UPADA U MREŽU
• Svako mjesto koje smo spomenuli kao pogodno za postavljanje zaštite, može izvrsno poslužiti i kao „check point“ za otkrivanje upada, tj. proboja sigurnosti te tačke.
• Smjernice za rad kriminaliste koji bi trebao da forenzički obradi mrežu za koju sumnja da je kompromitovana.
• Ukoliko se radi o neovlaštenom pristupu unutar perimetara mreže (klasičnim hackingom) – onda nam je za otkrivanje neovlaštenog pristupa najbolja preventivna akcija;
• Dobra situacija je kada napad možemo detektovati čim se dogodio i samim tim možemo veoma brzo i efektivno djelovati. Dva osnovna načina da to postignemo je IDS i nadgledanje zapisničkih datoteka (logovi)
-IDS
IDS uočava neželjenu aktivnost i šalje upozorenje (e-mailom, SMS-om...) odgovornoj osobi (obično administratoru) tako da se odgovarajuća aktivnost može preduzeti. Neželjena aktivnost ne mora biti samo napad na mrežu, to može biti bilo koja aktivnost koja nije poželjna unutar mreže (npr. korištenje P2P programa za dijeljenje datoteka). Najčešći način implementacije IDS je nadgledanje i inspekcija prometa preko određene veze.
-VRSTE IDS:
- Prema načinu: a) IDS zasnovan na potpisu i b) IDS zasnovan na anomaliji
IDS upoređuje promet sa bazom znanih „potpisa“ neželjenog prometa. Takav IDS nazivamo IDS zasnovan na potpisu. Druga vrsta IDS-a je IDS zasnovan na anomaliji. Takvi IDS-ovi pokušavaju izgraditi bazu „normalnog“ prometa, a zatim označavaju sve što odudara od te liste. Proces identificiranja normalnog prometa može uzeti puno vremena i zahtijeva dosta ljudskog rada i odlučivanja. Neki sistemi kombinuju ove dvije metode.
- Prema mjestu: a) Pojedinačni; b) Mrežni c) IPS
Ova podjela je zasnovana na načinu na koji IDS nadzire promet. Uz ovu postoji još i različita terminologija koja pokušava pokazati gdje IDS nadzire promet. Tako imamo pojedinačno zasnovani IDS koji nadzire aktivnosti na određenom sistemu (npr. web serveru da bi otkrili pokušaje otkrivanja lozinke). Sljedeća vrsta je mrežni IDS koji nadzire kompletan promet unutar određene mreže.
Poseban tip IDS je IPS – sistem prevencije napada. Za razliku od IDS-a koji samo detektuje neželjenu aktivnost, IPS može preuzeti korake da detektovanu aktivnost učini neuspješnom. Na primjer, ako IDS otkrije da je korisnik pokrenuo ICQ (koji prema sigurnosnoj politici kompanije nije dozvoljen) on
može samo obavijestiti odgovornu osobu i zapisati detektovanu aktivnost u mjesečni zapis. IPS bi u tom slučaju mogao i prekinuti tu konekciju. Razlog male upotrebe ovih sistema je što oni zahtijevaju veliki oprez, te znanje i iskustvo da bi bili pravilno konfigurirani. U suprotnom, upravo oni mogu poslužiti vještom napadaču da identifikuje vašu mrežu i oteža normalno funkcionisanje.
IDS kao i firewall može biti u formi samostojećeg dediciranog uređaja ili u obliku aplikacije koja se vrti na manje-više standardnom računaru. Prednosti i mane svakog od ovih uređaja su identične kao i kod firewala, te ih nećemo posebno navoditi. Ono što je još potrebno napomenuti je, da je sam IDS meta napada, kao i svi ostali uređaji u mreži. Shodno tome, IDS je potrebno posebno obezbijediti i „zaključati“ što je više moguće. Odličan softverski IDS je Snort koji postoji u verziji i za *nix i Windowse i potpuno je besplatan.
-PRAĆENJE SISTEMSKIH LOGOVA
Drugi način, veoma rijetko korišten zbog svoje kompleksnosti je nadgledanje sistemskih logova. Ova metoda zahtijeva da administratori uz pomoć specijaliziranih programa konstantno nadgledaju logove mrežnih servisa te da detektuju ponašanje koje nije uobičajeno, te se ovaj način detekcije rijetko samostalno koristi jer zahtijeva velike ljudske resurse i opterećenje adminstratora.
-MJERE SUPROSTAVLJANJA KOMPJUTERSKOM KRIMINALITETU...
Država treba da potakne kompleks ukupnih njenih nastojanja da na njezinom području bude što manje ostvarenih kažnjivih ponašanja, a da ona ostvarena budu što prije otkrivena, te da nakon zakonito provedenog postupka učinitelju bude izrečena odgovarajuća kaznena sankcija. Pored pozitivnih primjera, zemalja koje su uspješnije od ostalih u suprostavljanju komp.kriminalitetu, u planiranju multidisciplinarne akcije neophodno je uključiti i preporuke koje donose mešunarodne organizacije: Savjeti stručnih sektora OUN, tzv. Strategijski model za borbu protiv komp.kriminaliteta, te Preporuke Vijeća Evrope iz 1989.
Treba uzeti u obzir i međunarodne modele za određene zakonske izmjene, te prihvatiti i ugraditi međunarodne ugovore i konvencije iz ove oblasti. Ostale mjere koje se preporučuju predstavljaju uključivanje dr.resursa za istraživanje, reviziju, trening, te javno poučavanje i informisanje. Preporučuje se i aktivno uključivanje u međunarodne asocijacije koje se bave ovim problemom.
Pored legislativne reakcije, nužne su i mjere na planu tehnološke zaštite, edukacija korisnika, te upotreba kompjutera u skladu sa principima etiškog ponašanja, a ukoliko ipak dođe do djela onda je nužna primjena kriminalističkih znanja.
- SISTEM ŠIRIH PREVENTIVNIH MJERA...
Prevencija pretpostavlja ukupnost planski osmišljenih i organizovano poduzetih mjera kojima se nastoji ukloniti ili barem smanjiti izravni, odnosno neizravni uzroci kažnjivih ponašanja, posebno onih najtežih.
Na konferenciji Vijeća Evrope, 1989. predložene su aktivnosti kao prevencija komp.kriminaliteta:
1) Primjena dobrovoljnih sigurnosnih mjera u pojedinim osjetljivim sektorima;2) Nametanje obaveznih sig.mjera u pojedinim osjetljivim sektorima;3) Donošenje i provođenje zakona i pravila ponašanja koji osiguravaju komp,zaštitu od strane
nacionalnih vlada;
4) Određivanje mjera za spriječavanje komp.krim. od strane rukovodstva i dr.odgovornih osoba u kompanijama,
5) Međusobno povezivanje, razmatranje i unapređivanje sig.mjera od strane industrije informacijske tehnologije;
6) Razvijanje i unapređivanje kompj.etike od strane cjelokupnog društva;7) Razradu profesionalnih pravila ponašanja prilikom postupka obrade podataka, uključujući i
primjenu disciplnskih mjera;8) Davanje poticaja organizacijama koje su bile žrtve komp.krim.da podnesu prijavu s tim u vezi;9) Edukacija kadrova koji se bave istragom i gonjenjem ovih kd-a, kao i u pravosudnim
organima.
-TRI KATEGORIJE MJERA ZAŠTITE OD KOMPJUTERSKOG KRIMINALITETA...
1. Mjere tehnološke zaštite
Fizičko-tehničke mjere mogu biti vrlo efikasne za određene probleme zaštite, ali isto tako povlače za sobom i znatne troškove. Njihova zajednička karakteristika je da uslovljavaju finansijske investicije prije nego što počnu da dejstvuju, znači unaprijed, plus troškove njihovog tekućeg održavanja. Pozitivna strana se ogleda u činjenici da se ovakvi troškovi mogu tačno procijeniti i izbor planski podesiti raspoloživim finansijskim mogućnostima. Efikasnost ovih mjera značajno opada u ambijentu u kojem normativne mjere nisu primjenjene na adekvatan način, jer ne postoji ni Faradejev kavez, ni kripto uređaj, ni dovoljno pouzdana lozinka, u ambijentu u kojem se ne zna ko, šta i kako treba, može i mora da radi. Ove mjere se mogu podijeliti u mjere kojima se ograničava pristup ili zaštićuju određeni programi, mreže ili komunikacija, te mjere koje služe za zaštitu podataka pohranjenih na istim
*Faradejev kavez predstavlja specijalni prostor za čuvanje magnetskih materijala. Ne dozvoljava ulazak u svoju unutrašnjost bilo kog oblika elektriciteta, te time ostvaruje adekvatnu zaštitu od vanjskih uticaja za sve što se nalazi u njemu.
-Dragičević od metoda i sredstava izdvaja one koje svoju primjenu nalaze u svakodnevnom radu i korištenju savremene informatičke i telekomunikacione tehnologije, a osiguravaju primjereni stepen zaštite informacijskih sistema i njihovih korisnika od raznih zloupotreba. To se odnosi na: 1.metod fizičke zaštite; 2. provjeru pristupa; 3. pravilno postavljanje i zaštitu lozinki;
4. kriptografske metode – kriptografija služi za stvaranje jedinstvenog koda koji se zatim šalje primatelju;
5. kerberos - je mrežni identifikacijski protokol namijenjen da bi osigurao visok stepen provjere identiteta sudionika mrežnog komuniciranja, korištenjem kriptografske metode tajnog ključa);
6. vatreni zid –Koristi se da bi sudionicima omogućio pristup Internetu bez opasnosti za podatke na lokalnoj mreži s koje se pristupa, kao i kada se želi zaštiti veza između javnog Web servera preduzeća, dostupnog svima, i interne mreže s kojom je povezan;
7. digitalni potpis (nalazi se na digitalnom obliku i sastavni je dio šifrovane poruke koja se šalje, a sadrži izračunati zbir same poruke. Budući da je nemoguće izmijeniti sadržaj teksta, a da zbir ostane isti, predstavlja vrlo siguran način provjere vjerodostojnosti samog teksta i sigurne komunikacije);
8. digitalni vremenski bijeg – koristi se za provjeru kada je digitalni dokument kreiran, odnosno zadnji put promijenjen, što je važno za utvrđivanje vjerodostojnosti dokumenata primljenih, odnosno poslanih putem mreže;
9. steganografija – je umijeće i tehnologija skrivenog pisanja, i na taj način se podaci, bez obzira u kojem se obliku nalazili, kriju unutar naizgled bezazlenih poruka;
10. izdvajanje podatak iz mreže; 11. sigurnosne kopije; 12. zaštita od virusa i 13. nadzor rada i korištenje komj.mrežnog sistema.
-Kavran, ističe da je prije svega neophodna kontrola pristupa prostorijama u koje su smješteni komp.sistemi, uređaji i terminali, a onda svakako i kontrola pristupa kompj.sistemu u smislu automatske kontrole korištenjem lozinke, davanjem manjeg ili većeg ovlaštenja korisnicima itd.
-Šimović, Šimundić i Hebrang razrađuju specifičnost tešnološke prevencije komp.krim. u vezi sa elektronskim novčanim transakcijama. Oni prvo ističu značaj različitih kriptografskih tehnika za zaštitu elektronskih transakcija novca, u koje ubrajaju simetrično kriptiranje, asimetrično kriptiranje, digitalni potpis i certifikat kao instrument sigurnosti. Pored tehnika šifriranja poruka, istaknut je značaj čip kartica, kreditnih kartica, te elektronskih čekova kao sredstava elektronske transakcije novca.
-Carter i Katz predlažu zaštitne mjere koje uključuju kodiranje, zaštitu operacijskih sistema, zaštitu gotovinskih računa, obuku zaposlenika, te korištenje tzv.fire walls.
2. Mjere edukacije
iniciranje, podsticanje i stimulisanje istraživanja, izučavanja i razumijevanja ovog fenomena kroz naučno-istraživačke projekte, simpozijume, seminare, klasično i specijalističko školovanje i obuku. Predlaže da se posebna pažnja posveti hitnom i organizovanom osposobljavanju državnih organa, i to prije svega onih koji su zaduženi za suzbijanje kriminaliteta: policije, sudstva i tužilaštva, kako bi svoju funkciju iz ove oblasti mogli uspješno i profesionalno obavljati.
3. Poštivanje etičkih i profesionalnih principa
Specifičnost etičkog i profesionalnog ponašanja pri upotrebi kompjutera i komp.sistema odnosi se prije svega na njihove korisnike. Proizvođači, kao i svi oni koji učestvuju u kreiranju bilo kojeg segmenta opreme koja je neophodna za funkcionisanje kompjutera, bi konstantno morali imati svijest o mogućim zloupotrebama njihovih proizvoda. U tom bi smislu, kroz odgovoran intelektualn i stvaralački rad trebali dati svoj maksimalni doprinos kako bi rizik neregularnog korištenja sveli na što niži nivo. Upoznavanje sa posljedicamaa nemoralnog i protivpravnog ponašanja treba postati jednim od ključnih zadataka rukovodioca na svim nivoima upravljanja. U tom cilju bi se trebali izraditi i kodeksi moralne i profesionalne upotrebe ovih uređaja.
-KRIMINALISTIČKO ISTRAŽIVANJE KOMPJUTERSKOG KRIMINALITETA
Elektronski kompjuter je izumio Konrad Zuse 1941. Kao osnovni segmenti kriminalističke fenomenologije jesu: morfologija,čiji je zadatak ispitivanje pojavnosti kd-a, zatim kriminografija, kojoj je zadatak osvijetliti karakteristike izvršioca, te tehnika zločina, koja proučava načine ostvarenja konkretnih kd-a. Da bi se uopšte mogle izvršiti kvalitetne pretpostavke o ovom pitanju, neophodno je izvršiti određene analize, koje će osigurati realno posmatranje ovog fenomena u ukupnoj politici suzbijanja kriminaliteta.
Ako se problem postavi u analitičke okvire, može se poći od pretpostavke da je kompjuterski kriminalitet povezan s brojem:
1. kompjutera u upotrebi i intenzitetom njihove upotrebe;2. osoba koje se znaju koristiti kompjuterom i koje imaju pristup do njega;
3. terminala preko kojih je omogućen pristup kompjuteru.
S obzirom na stepen otkrivenosti saznanja o kompjuterskom kriminalitetu, on egzistira u četiri oblika:
1. otkriveno djelo i identificiran izvršilac;2. otkriveno djelo, a izvršilac nepoznat;3. neotkriveni kriminal, pri čemu postoje sumnjive osobe;4. neotkriveni kriminalitet bez postojanja sumnjivih osoba.
-SAZNANJE O IZVRŠENOM KRIVIČNOM DJELU
O saznanju o ovoj vrsti djela može se doći na osnovu indicija o koristi pridobijene kd-om, zatim putem prijave oštećenika, te sasvim slučajno, gdje se kroz istragu o drugim djelima kriminalista dođe do informacija o izvršenom kompj.deliktu. Kao načini saznanja mogu biti:
-Radnici – su često najbolji izvor informacija o zloupotrebi kompjutera, zato što se nalaze na mjestu događaja i imaju detaljan uvid u sve ono što se oko njih dešava, a jedan od osnovnih preduslova za takav njihov odnos prema zloupotrebi su lojalnost i moral;
-Anonimne i pseudonimne prijave-ne bi ih trebalo bezrezervno prihvatiti, ali ni olako odbaciti dok se ne provjeri njihova istinitost;
-Mjere nadzora i kontrole – predstavljaju najpouzdaniji način otkrivanja i sprečavanja svih oblika ilegalnih aktivnosti, ali samo ukoliko su dobro osmišljene, jelovite i permanentne, sa predvidivom dinamiko.
Informacije o učinjenom kd-u svoju formalizaciju dobiva kroz krivičnu prijavu. Ukoliko se do informacije o kd-o došlo kriminalističkim aktivnostima, onda je istražitelj taj koji će na bazi vlastitih znanja i iskustva sastaviti prijavu, uzimajući u bzir sve one neophodne elemente koji će opravdati razlog za podnošenje. Prijava može biti sastavljena i na bazi informacija koje nudi osoba van organa zaduženih za borbu protiv kriminaliteta.
-SASTAV KRIMINALISTIČKOG ISTRAŽITELJSKOG TIMA
Kao bitan element kriminalističkog postupanja u predmetima komj.zločina, postavlja se pitanje sastava tima koji će vršiti istragu djela. Kriminalisti moraju posjedovati elementarna znanja kako o kompjuterskim deliktima, tako i o kompjuterskoj tehnologiji uopšte. Pored krim.istražitelja i dr. sudionici krivičnog progona i presuđivanja također trebaju biti educirani iz ove oblasti. Kako razrješavanje slučajeva kompj.krim. zahtjeva različita znanja i stručnost, koja bar za sada, ne posjeduje većina operativnih radnika, to se za pravilno izvođenje istrage i minimiziranje posljedica koje mogu nastati, naglasak mora staviti na multidisciolinarni timski pristup koji bi trebao da omogući i olakaša otkrivanje, razjašnjenje i dokazivanje komp.krim. Kompjuterski eksperti koji u kriminalističkoj obradi fungira kao konsultant (neprocesna figura) može u istrazi djelovati kao specijalist. Od slučaja do slučaja povat će se potreba za saradnjom s proizvođačima hardvera i softvera. Kompjuterska tehnologija omogućuje komunikaciju između korisnika i ekspertnog sistema u određenom smislu, svaki pomaže drugome da riješi određeni problem. Pravni osnov za korištenje usluga stručnog lica-specijaliste u istrazi kd-a, možemo naći u Zakonu o krivičnom postupku BIH, i to u odredbama koje se odnose na istragu, odnosno na izvođenje uviđajnih radnji. Prema prijedlogu novog Zakona o krivičnom postupku FBIH, u izvođenju uviđaja i rekonstrukcije, predviđa se također pomoć i prisustvo stručne osobe, te obavezno prisustvo stručne osobe prilikom radnje dokazivanja pretresanjem kompjutera i sl. uređaja.
-ZNAČAJ INDICIJA I VERZIJA ZA KRIMINALISTIČKU ISTRAGU
Indicije koje ukazuju na moguće izvršeno kompjutersko kd-o ili na učinioca, mogu se odnositi prije svega na neku promjenu u objektivnoj stvarnosti a koja izaziva sumnju o regularnosti procesa u kojoj sudjeluje neki vid kompjuterske opreme ili to može biti sumnjivo i neuobičajeno ponašanje određenih osoba koje bi mogle imati priliku za izvršenje takvog delikta. Kao objektivne okolnosti, koje e mogu pojaviti kao indicije, spominju se česte pojave „greške“ kompjutera, koje mogu biti posljedica loših programskih rješenja ili ulaznih podataka, ali mogu biti i indicija koja ukazuje na pokušaj izvršavanja ilegalnih aktivnosti. Takođe u ovoj grupi indicija nalaze se i prepisivanje slogova ili kopiranje datoteka iz neopravdanih razloga, pojava falsifikovanih slogova, ili informacija da se datoteke ne čuvaju do određenog datuma, ili pojava ključnih dokumenata bez odgovarajućeg potpisa ili sa falsifikovanim potpisom.
Subjektivne okolnosti, koje izazivaju sumnju u regularnost ponašanja pojedinih osoba i na koje se najčešće ukazuje su sumnjiva i nelogična objašnjenja za učinjene propuste, udaljavanje radnika od svojih kolega i povlačenje u samoću, što može biti i simptom nečiste savjesti, ili izdvajanje i samostalno rukovanje komputerom od strane određenih pojedinaca jer su to uslovi koji pružaju dobru priliku za obilaženje ili probijanje postojećeg zaštitnog mehanizma. U istu grupu indicija spadaju i nenormalna osjetljivost na rutinska pitanja, na koja se daju nejasni i dvosmisleni odgovori, nevoljno prihvatane ili čak odbijanje obavljanja kontrole u djelokrugu njihovog rada, iznenadne promjene u načinu života pojedinaca. Uz sve to česte su žalbe korisnika, mušterija ili prodavaca, koje se ignorišu.
Nakon analize svih relevantnih indicija, krim.istražitelj treba uspostaviti sistem verzija, na bazi koji će isplanirati sve one neophodne aktivnosti kako bi bio u mogućnosti da dopre do saznanja o postojanju ili nepostojanju djela,odnosno postojanju ili nepostojanju izvršioca kd-a. Pri planiranju verzija primarno se mora voditi računa o 7 zlatnih pitanja kriminalistike, čijim rješavanjem u konkretnom slučaju se otklanjaju dileme o postojanju djela ili učinioca.
-PLANIRANJE KRIMINALISTIČKIH AKTIVNOSTI
Tri važna segmenta istraživanja ove vrste kriminala su:
1. veliki kompj.sistemi čija zloupotreba može biti značajna te potkopati i nacionalne ekonomije. Istraživanje kriminala vezanog za velike kompj.sisteme najsloženiji je zadatak;
2. srednji kompj.sistem s određenim br.terminala po sastavu, smještenih uglavnom unutar preduzeća. I ovdje postoji potreba za organizovanom i profesionalnom istragom;
3. mali kompj.sistem s ograničenim br.korisnika, a karakteriše ih široka rasprostranjenost malih sistema s upotrebom slabo zaštićenih sistema. Pojedinačna zloupotreba može biti relativno malog značaja, ali njihov br. može biti veliki.
U okviru postavljenih verzija planirat će se sve one operativno-taktičke i istražne radnje koje se moraju uklopiti da bi se provjerili navodi prijavitelja i došlo do dokaza o (ne) postojanju djela i učinioca. Tu pogotovo spadaju radnje prvog zahvata. Pod prvim zahvatom kriminalisti obuhvaćaju sva neodložna (bitna) kriminalistička ustanovljenja i radnje, koje služe otkrivanju i razjašnjavanju kd-a i njegovog učinioca. Pogrešno je pojam prvog zahvata suziti samo za bitan rad na licu mjesta, koliko god on bio značajan, često sudbonosan. Standardne radnje i mjere prvog zahvata jesu: izlazak na lice mjesta i njegovo osiguranje; vršenje uviđaja; identifikacija sumnjive osobe; pretres osoba i lokacije sa svim uređajima u njemu; potrebna lišenja slobode; preduzimanje specijalne opservacije nad osobama, stvarima i prostorijama; eventualna potraga za odbjeglim osobama i stvarima; organizovanje informatora i alarmiranje kriminalističke operativne mreže.
-PRIKUPLJANJE INFORMACIJA O KOMPJUTERSKOM DELIKTU
Pravni osnov za posebno kriminalističko istraživanje kompj.sistema i njima srodnih uređaja,utvrđen je u Zakonu o krivičnom postupku BIH, čime se omogućuje pregled kompj.sistema osoba za koje postoje osnovi sumnje da je sama ili u saučesničkom odnosu s drugim osobama izvršila ili vrši neko kd-a koja su navedena u ovom zakonu. Uslov za određivanje ove istražne radnje je i taj da se dokazi ne mogu pribaviti na drugi način ili bi njihovo pribavljanje bilo povezano s nesrazmjernim teškoćama. Ova posebna istražna radnja se može poduzeti nakon naredbe sudije za prethodni postupak, a na obrazloženi prijedlog tužioca, a izuzetno se može započeti i na osnovu usmene naredbe sudije za prethodni postupak, ukoliko se pismena naredba ne može dobiti na vrijeme i ako postoji opasnost od odlaganja.
Po dolasku istražiteljske ekipe, neophodno je prvo izvršiti obezbjeđenje, a nakon toga i procjenjivanje lica mjesta. Osnovni princip je da onaj ko vrši ovaj zadatak treba preduzeti takve korake koji će osigurati sigurnost cjelokupnog osoblja i svakako zaštiti integritet svih dokaza, bilo tradicionalnih, bilo elektronskih. Pored sakupljanja svih osoba zatečenih na licu mjesta, neophodno je s pažnjom ophoditi se prema elektronskim uređajima. Važno je pravilo, da sva oprema koja je zatečena isključena iz mreže napajanja, da ostane isključena, a sva oprema koja je bila uključena da ostane uključena. Također, važno je voditi računa o sigurnosti tzv.kratkotrajnih podataka, koji se mogu naći na pagerima, elektronskim organizerima, mobilnim telefonima ili sl.uređajima. Ovakvi podaci se trebaju što hitnije zadokumentovati i fotografisati. Osim toga, treba provjeriti da li eventualno u toku same istrage postoji mogućnost da je neko „izvana“ prisutan ili se koristi opremom koja je predmet istrage.
Osiguranje predstavlja početnu fazu prvog zahvata, a vrednovanje se mora shvatiti kao njegova druga faza. Ima za cilj ocjenu nalaza na licu mjesta rekonstrukcije događaja, prikupljanje i istovremeno ocjenu svih indicija i direktnih dokaza, provjeravanje postavljenih verzija i stvaranje novih, kako o djelu, tako i o učiniocu. Vrši se prvo kriminalističko rasuđivanje kriminalističko-taktičke situacije. Cilj ove faze je da na osnovu informativnog materijala, kao osnova našeg misaonog procesa, stvorimo sliku o djelu, njegovom toku, načinu izvršenja, odnosima (ne)poznati učinilac-žrtva, motivu, krugu sumnjivih ili konkretnom osumnjičeniku, bazi za traganje i uopšte osnovima za dalju taktičku konstrukciju krim.obrade. U toku početnih faza krim.djelovanja, obavljaju se i preliminarni intervjui sa svim zatečenim osobama ili onima koji su potencijalni svjedoci. Prilikom izvođenja ovih razgovora neophodno je voditi računa o sljedećem: sve oobe treba identificirati i nakon toga izdvojeno i pojedinačno ispitati.
Prilikom izvođenja krim.radnji na licu mjesta, a u cilju pronalaženja i fiksiranja što kvalitetnijeg dokaznog materijala, istražitelji će poduzeti:
1. Ispitati sve hardverske komponente u cilju otkrivanja i utvrđivanja da li su svi ulazno-izlazni uređaji, koji će se koristiti u toku istražnih radnji, u ispravnom stanju;
2. Za kopiranje dokaznog materijala, potrebnog u istrazi, obezbijediti ukoliko je moguće, od isporučioca opreme standardne uslužne programe, koji ne sadrže greške ili moguće neovlaštene izmjene;
3. Za svaki orginalni disk, disketu ili traku napraviti 2 kopije, zadržavajući orginale kao dokazni materijal. Jedna kopija bi služila kao rezervni dokaz, dok bi druga koristila za neophodne analize. Na taj način bi se orginal i rezervna kopija obezbijedilekao dokaz po kojem se nije „vršljalo“;
4. Sve pronađene dokaze propisno obilježiti i ovjeriti potpisom ovlaštene osobe, a u zapisnik o pretresanju i potvrdi o privremenom oduzimanju predmeta navesti tehničke podatke o oduzetim predmetima, tačno vrijeme, mjesto i način pronalaženja;
5. Kako se radi o tehnologiji osjetljivoj na radne uslove(temper.,vlaga...), dokazi se moraju na odgovarajući način zaštiti, da ne bi greškom došlo do njegovog oštećenja;
6. U cilju pronalaženja i dr.dokaza koji mogu biti relevantni za slučaj, potrebno je pretražiti kompj.prostorije, uključujući i prostoriju za skladištenje memorijskih medija;
7. Istragu sprovesti što je moguće brže i detaljnije, jer cijela operacija može imati samo jednu šansu da prikupi potreban dokazni materijal.
Pored krim.aktivnosti na samom pretresu ili uviđaju, neophodno je preduzeti i niz ostalih krim.aktivnosti kojima bi obezbijedili dodatne informacije o djelu ili učiniocu, ili bi obezbijedili da ne dođe do uništenja ili oštećenja nekog od već pronađenih predmeta ili informacija. Lišenje slobode sumnjivih osoba ima veliki značaj za zaštitu mjesta izvršenja, zaštitu nosilaca podataka na kompj.uređajima ili onemogućavanje daljih zajedničkih aktivnosti, ukoliko postoje saučesnici. Ukoliko je sumnjiva osoba lišena slobode neophodno je što hitnije izvršiti informativni razgovor s njom, što važi i za osobu koja posjeduje određene relevantne informacije, a koja može postati svjedokom krivične stvari. Učinilac će priznati djelo samo nadmoćnom operativcu, ali ne takvom koji prikazuje svoju inferiornost i neznanje iz sporne materije. Bilo bi taktički idealno da u paru jedan operativac iza sebe ima karijeru kompj.eksperta. Kada to nije moguće, zamijent će ga ekspert koji, doduše ne zna krim.taktiku niti psihologiju iskaza, ali djeluje kao neka vrsta operativčeve „proteze“.
Prva dilema koju bi trebalo razriješiti u vezi vođenja informativnog razgovora sa potencijalnim svjedokom je mjesto vođenja razgovora. Mada je za operativnog radnika često pogodnije da razgovor vodi u svojoj kancelariji, postoje okolnosti zbog koji bi to ipak trebalo obaviti u prostorijama lica sa kojim se vodi razgovor:
1. Lica sa kojim se vodi razgovor će radije prihvatiti ovakav aranžman jer se u svojim prostorijama osjeća sigurnije i opuštenije, što može uticati na njegovu kooperativnost:
2. Postoji vjerovatnoća da lice raspolaže izvjesnim papirima, potsjetnicima i sl.koje ukoliko su relevantni za razgovor može odmah staviti na uvid;
3. On također može biti u poziciji da odmah pozove kolrge ili saradnike za dodatne informacije i potkrijepi iznijete dokaze.
-POSTUPANJE SA CORPORA DELICTI
Kada se već identificiraju predmeti koji će poslužiti kao dokazni materijal ili koji će se u daljim fazama istrage koristiti za dobijanje dodatnih informacija, neophodno ih je na pravilan i pažljiv način pakovati, prevoziti i skladištiti. Kroz ove aktivnosti ne smiju se dopunjavati, mijenjati ili uništavati podaci smješteni u kompjuterima ili dr.medijima. Pri pakovanju neophodno je sve dokazne materijale dokumentirati, obilježiti i popisati. U toku pakovanja treba posebnu pažnju posvetiti eventualnim nevidljivim tragovima i dokazima, koje treba na pravilan način zaštititi Prilikom pakovanja magnetnih medija voditi računa da se ne pakuju u vrećice ili kutije sačinjene od materijala koji proizvode statički elektricitet. Izbjeći savijanje, izvrtanje i grebanje kompj.medija, kao što su diskete, CD-romovi i trake. Nakon pakovanja provjeriti da li su svi paketi pravilno označeni.
U toku prevoza, potrebno je sve elektronske dokaze čuvati od uticaja magnetnih izvora, u koje spadaju radio predajnici, zvučnici različitih audio ili video uređaja, a do oštećenja ovih resursa može doći i
ukoliko se nađu na sjedištima automobila koji imaju ugrađene grijače. Sakupljene dokaze ne treba predugo držati u vozilima, jer mogu biti izloženi izrazitim temperaturnim promjenama ili promjenama vlažnosti zraka. Također, ukoliko se vrši transport vozilom, onda elektronski uređaji moraju biti osigurani od vibracija i fizičkih udara.
Neophodan segment krim.istrage predstavlja specijalna oprema koja ima namjeru uspješno prikupljanje elektronskih dokaza. Predmeti su sortirani, s obzirom na namjenu i vrstu, u nekoliko kategorija:
a) oprema za dokumentiranje: vrećice za kablove, neizbrisivi flomasteri-markeri i samoljepljive etikete;
b) oprema za demontažu i izuzimanje: obični, ravni, te četvero i šestero-kraki odvijači, te set specijalnih odvijača, zatim normalna i kliješt sa tankim vrhom; male makaze i sjekač žice;
c) oprema za pakovanje i prevoz: antistatičke vrećice i antistatički omotači, spone za kablove, vrećice i trake za pojedinačno pakovanje dokaznog materijala, zatim materijal za popunu i zaštitu upakovanih uređaja(preporučuje se izbjegavanje materijala koji mogu izazvati statički elektricitet, npr.stiropor itd.), te samoljepljiva traka za upakivanje i čvrste kutije različitih veličina;
d) ostale pojedinosti: rukavice, ručna kolica, velike gumene vezice, lupa, printer papir, disk za izuzimanje podataka, nekorištene floppy diskete, mala baterija, te lista telefonskih br.osoba za asistenciju.
-PRIJAVA KOMPJUTERSKOG KRIVIČNOG DJELA
Prijava predstavlja postupak koji je most između dvije faze krim.djelovanja. Na temelju odredaba procesnog krivičnog zakonodavstva, krim.istražitelji, kao i odgovorne osobe u svim organima vlasti u BIH, javnim preduzećima i ustanovama, dužni su da prijave kd-a o kojima su obaviješteni ili za koja saznaju na koji dr.način. Sama prijava se podnosi Tužitelju, i to u pismenoj ili usmenoj formi. Prijavu ne bi smio definitivno primiti radnik unutrašnjih poslova koji to inače čini, nego specijalizovani operativac koji u okviru temeljitog razgovora uobličava prijavu. Preporučuje se da u tom razgovoru učestvuje ekspert za kompj.tehniku, koji će rasvjetljavati stručnu dimenziju problema i ukazati na slabe tačke funkcionisanja elektronskog kompj.sistema.
Iako je u BIH prihvaćena tendencija da se struktura prijave ne propisuje krivičnim procesnim odredbama, zbog praktičnih razloga je neophodno sagledati koji su to elementi neophodni za sadržaj jedne krivične prijave kompj.kd-a.:
1) podaci o organu koji podnosi prijavu;2) podaci o kd-u koje se prijavljuje:način izvršenja, mjesto i vrijeme izvršenja kd-a;3) podaci o prijavljenoj osobi;4) podaci o poduzetim mjerama i radnjama u toku krim. obrade;5) podaci o dokazima;6) podaci o objektu napada, šteti, oštećeniku;7) prilozi uz krivičnu prijavu;8) dalje mjere i radnje organa unutrašnjih poslova; posebni izvještaji kao dopuna kriv.prijavi.
Krivična prijava mora, pored sadržajnih, biti prilagođena i terminološkim zahtjevima koji nastaju na osnovu karaktera delikta, čije elemente valja i dokazati.
