Transcript Elektronski dokazi i studije slučaja
“NAJBOLJI HAKERI NA SVIJETU OSTAJU NEPOZNATI”
- J.B. Jakša Backović, Ministarstvo unutrašnjih poslova Crne Gore
ELEKTRONSKI DOKAZI I STUDIJE SLUČAJA
2
Podgorica, 2013.godine
3
Plan
Prvi dio – Što je elektronski dokaz Definicija Izvori i vrste elektronskog dokaza Drugi dio – Postupak i poželjna praksa Utvrđivanje, uzimanje i rukovanje s elektronskim dokazom Vrste izuzimanja Istraživanje i analiza elektronskog dokaza Prezentacija elektronskog dokaza
4
Prvi dio Što je elektronski dokaz?
Elektronski dokaz
Ne postoji međunarodno prihvaćena definicija elektronskog dokaza, Već često korišćena “definicija” elektronskog dokaza je:
“Svaka informacija ili podatak koji se nalazi na uređaju ili je prenošen posredstvom elektronskih uređaja”
Elektronski dokaz
• Borba protiv savremenih oblika kriminala zahtijeva saradnju stručnjaka i posebno edukovanih službenika u dva slučaja i to: • •
Za analizu dokaza i njegovu ispravnu interpretaciju Tokom istrage i glavne rasprave
Izvori i vrste elektronskog dokaza
Izvori
Svaka elektronska naprava
Vrste
Statični podaci
Dinamički podaci (memorija & serveri)
Podaci na internetu
Svojstva elektronskog dokaza
Promjenjivost
Može se lako obrisati, izmijeniti, oštetiti ili manipulisati sa njim Ne mora biti dostupan duže vrijeme
Priroda
Nevidljiv okom Teško je potvrditi autentičnost Može zahtijevati posebne vještine kako bi se pronašao Može zahtijevati stručnjaka koji bi ga interpretirao Može zahtijevati sredstva prisile kako bi se prikupio i pristup ili upotreba mu mogu biti ograničeni
Svojstva elektronskog dokaza
Lokacija
Može biti nerazdvojivo povezan s materijalom
Može se nalaziti na području druge nadležnosti
Količina
Utvrđivanje dokaznog materijala
Utvrđivanje neupotrebljivog materijala
Problematika
Posredni dokaz
Poslovni podaci
Automatizovani procesi
Pomiješani dokazi
Stručni dokazi
10
Drugi dio Postupak i poželjna praksa
Opšta načela
• • • • • • Pri rukovanju elektonskim dokazima ključno je sljedeće:
Prisustvo na mjestu izuzimanja dokaza, Integritet podataka, Zapisnik, Pomoć stručnjaka, Edukacija službenika Zakonitost i postupanje u skladu s načelima
Osnovno načelo 1 – Prisustvo na mjestu uzimanja dokaza
Nadležni policijski službenik ne bi trebao biti sam na mjestu događaja.
Najmanje dva policijska službenika trebala bi sprovoditi tu vrstu posla. Time se osigurava samozaštita i uočavanje više detalja na mjestu događaja. Službenici trebaju isplanirati i koordinirati svoju aktivnost.
Osnovno načelo 2 – Integritet podataka
Niti jedna radnja policijskih službenika ne smije dovesti do promjene elektronskog uređaja ili medija koji bi mogli poslužiti u sudskom postupku.
Kada se rukuje s elektronskim uređajima i podacima, isti se ne smiju mijenjati, bilo da je riječ o hardware-u ili software-u. Nadležni službenik je odgovoran za integritet materijala pronađenog na mjestu događaja i utvrđivanje službenih osoba koje su imale pristup dokazu.
Osnovno načelo 3 –Zapisnik
Mora se sačiniti zapisnik ili drugo bilježenje svih poduzetih radnji. Treća, nezavisna osoba, mora biti u mogućosti ispitati te radnje i na taj način doći do istog rezultata.
Tačno bilježenje svih radnji nužno je kako bi se mogle rekonstruisati sve radnje službenih osoba na mjestu događaja radi osiguranja dokazne vrijednosti pred sudom. Svi elektronski dokazi moraju biti detaljno dokumentovani, očuvani i spremni za ponovni pregled.
Osnovno načelo 4 – Pomoć stručnjaka
Ako se može pretpostaviti da će se pronaći elektronski dokaz tokom policijske radnje, nadležni službenik trebao bi na vrijeme obavijestiti stručnjake/ vanjske saradnike.
Za istrage koje uključuju pretragu i oduzimanje elektronskih dokaza može biti nužno konsultovati i vanjske stručnjake. Svi vanjski stručnjaci trebaju biti upoznati s načelima priručnika i ostalim relevantnim dokumentima. Pretpostavlja se da stručnjak posjeduje: Nužno znanje i iskustvo u području elektronskih dokaza Nužno znanje o samom postupku i zakonu Nužno znanje o kontekstu i pravnim implikacijama, te Primjerene komunikacijske vještine (usmeno i pismeno obrazlaganje)
Osnovno načelo 5 – Edukacija službenika
Oni koji prvi sprovode radnje moraju biti adekvatno edukovani kako bi mogli pronaći i oduzeti elektronski
dokaz ukoliko ne postoje dostupni stručnjaci.
U određenim okolnostima kada je nužno da službenici koji se prvi zateknu na mjestu događaja prikupe elektronski dokaz ili pristupe podacima iz elektronskog uređaja ili nosača memorije, moraju biti edukovani da to ispravno urade i objasne važnost i implikacije svojih postupaka.
Osnovno načelo 6 - Zakonitost
Službenik i nadležno tijelo koje postupa u slučaju, odgovorni su da se osigura primjena Zakona, opšta forenzička i postupna načela, te naprijed navedena načela. Navedeno se odnosi na posjedovanje i pristup elektronskom dokazu.
Vrste uzimanja
• • • Postoji nekoliko vrsto uzimanja elektronskih dokaza: – – –
Uzimanje statičnih podataka
Uzimanje pribavljanjem elektronske opreme i medija za smještanje podataka; Uzimanje kopiranjem cijelog sadržaja memorije Uzimanje zapljenom medija za back-up –
Uzimanje dinamičkih podataka
Uzimanje selektivnim kopiranjem podataka
Uzimanje podataka s interneta
Postupak uzimanja
Postupak se sastoji od slijedećih faza koje su opisane u slijedećim odjeljcima: Priprema za oduzimanje; Osiguranje mjesta događaja; Dokumentovanje mjesta događaja; Prikupljanje dokaza; Pakovanje, transport i spremanje.
Priprema za oduzimanje
Vjerovatnoća dostupnosti vrste dokaza s kojima se može susresti Obavještavanje službenika za obnovu podataka i vanjskih stručnjaka Utvrđivanje koje će se vrste izuzimanja obaviti Pribavljanje informacija o računarskom sistemu koji treba zaplijeniti
Hardware, operativni sistem, aplikacije i uređaji za smještanje podataka Podaci o mreži Utvrditi osobe odgovorne za infrastrukturu informacionog sistema Koliko će opreme biti zaplijenjeno Koliko podataka treba kopirati Da li je backup dostupan (vanjski ili na mjestu događaja)
Priprema za oduzimanje
Nadležne osobe na mjestu događaja?
Izbor prikladnih članova tima Dodjeljivanje zadatka pojedincima Brifiranje tima Osiguranje potrebne opreme
Osiguranje mjesta događaja
Prva radnja
Osigurati sigurnost svih osoba na mjestu događaja i integritet tradicionalnih i elektronskih dokaza
Osiguranje mjesta događaja
Zaštititi nestabilne podatke fizički i elektronski Utvrditi i dokumentovati elektronske komponente koje neće biti izuzete Utvrditi telefonske i mrežne ulaze prikopčene u uređaje, dokumentovati ih i označiti Odlučiti da li će se izuzeti neki drugi dokaz (npr. DNA, otisci prstiju) Pretražiti mjesto događaja za neelektronskim uređajima , ali povezanim dokazima Obavljanje preliminarnih razgovora
Dokumentovanje mjesta događaja
Dokumentovanje je postupak koji se odrađuje kroz cijeli postupak uzimanja podataka. Ključno je tačno dokumentovati lokaciju i stanje računara, medija za smještanje, drugih elektronskih uređaja i konvencionalnih dokaza.
Dokumentovanje mjesta događaja
Prostorije Računarskih sistemi i elektronske komponente/uređaji/oprema Detalji o svoj relevantnoj pronađenoj opremi, npr. proizvođač, model, serijski broj Uslovi i lokacija svakog računarskog sistema koji sadrži e dokaz, uključujući strujni status računara (upaljeno, ugašeno, u mirovanju) Označavanje svih ulaza i kablova (uključujući konekcije i periferne jedinice) kako bi se omogućilo kasnije tačno sastavljanje Označavanje ulaza koji nisu u upotrebi.
Utvrđivanje docking stanica laptopa kako bi se utvrdili drugi nosači podataka
Dokumentovanje mjesta događaja
Fotografisanje prednje strane računara, monitora i ostalih komponenti; Pravljenje bilješki o onom što se pojavljuje na monitoru; Snimanje ili pravljenje detaljnije dokumentacije o onom što se događa na monitoru; Obavijesti od osoba pronađenih na mjestu događaja; Detalji o svim prisutnim osobama pri pretrazi; Detalji o svim osobama koje upotrijebljavaju računarski sistem/ opremu; Primjedbe, komentari i informacije koje su pružili računarski korisnici/ vlasnici/ svjedoci.
Radnje preduzete na mjestu događaja
Prikupljanje dokaza
Računarski sistem i komponente ne treba oduzeti kao dokaz samo zato što se nalazio na mjestu događaja. Takva mjera mora biti opravdana i razmjerna počinjenom kaznenom djelu i onaj ko je naredio pretragu mora biti u mogućnosti donijeti odluku da li će nadležna tijela oduzeti predmet.
Prikupljanje dokaza
Sa elektronskim dokazom, kao i sa svakim drugim, treba rukovati pažljivo na način da se očuva njegova dokazna vrijednost. Ovo se ne odnosi samo na fizičku postojanost uređaja, već i elektronskih podataka koje sadrži. Određene vrste e-dokaza zahtijevaju posebno prikupljanje, pakovanje i prevoz.
Pakovanje, prevoz i skladištenje
Računari, povezani uređaji i oprema su lomljivi i osjetljivi na temperaturu, vlažnost, fizičke promjene, statički elektricitet, izvore magnetskog zračenja, kao i na neke radnje (uključivanje/ isključivanje). Stoga se moraju preduzeti posebne mjere opreza kada se pakuju, prevoze i skladište. Kako bi se očuvao redosled dokaza, pakovanje, transport i skladištenje sve treba prikladno bilježiti.
Računarska/ digitalna forenzika
Postupak istraživanja i analiziranja elektronskog(digitalnog) dokaza često je povezan s digitalnom forenzikom. U stvari, cijeli postupak od uzimanja do prezentovanja tokom glavne rasprave može se smatrati dijelom takvog postupka.
Ovaj odjeljak odnosi se na postupak nakon što su uređaji i materijali već zaplijenjeni
Definicija
Računarska forenzika je grana forenzičke nauke koja se odnosi na zakonit dokaz pronađen u računarima i medijima za smještanje podataka. Svrha računarske forenzike je ispitivanje digitalnih medija s ciljem utvrđivanja, očuvanja, obnove, analize i predočavanja činjenica i mišljenja u vezi s tim podacima Izvor: Michael G. Noblett; Mark M. Pollitt, Lawrence A. Presley 2000.
"Recovering and examining computer forensic evidence
Periodi
Najlakša podjela je na period na mjestu događaja i period u računarsku laboratoriju.
Iako se neke radnje kao forenzika dinamičkih podataka obavljaju na mjestu događaja, većina aktivnosti odnosi se na rad u laboratoriju.
Period
Utvrđivanje Očuvanje Oduzimanje/ Obnova
Istraga/ Analiza
Izvođenje/ Predstavljanje
Istraga/ Analiza
Ovo pokriva sve aspekte povezane s analizom digitalnog dokaza kao i oduzimanjem hardware-a. To je najsloženiji period u cijelom postupku istraživanja. Velika količina podataka koju treba analizirati već sama za sebe dovodi do velikih izazova istraživačima. Utvrđivanje relevantnog podatka za istragu i povezivanje tako postaje jedan od osnovnih zadataka stručnjaka za forenziku. Njihov posao proteže se od traganja za ilegalnim sadržajem u računarskom sistemu do analize log-datoteka. Nije neophodno da svi postupci koje je preuzeo kriminalac u vršenju krivičnog djela ostavljaju trag. Analizom svih dostupnih dokaza, forenzički stručnjaci mogu rekonstruisati način na koji je počinjeno krivično djelo.
Vrste analize
Analiza hardware-a Analiza aplikativnog software-a Analiza instaliranog software-a Utvrđivanje mjesta relevantnih podataka Upotreba udaljenog sredstva za smještanje podataka Skrivene datoteke Obrisane datoteke Dekripcija datoteka • • • • • • • • Analiza sadržaja datoteka Analiza autora Analiza integriteta dokaza Analiza surfovanja na internetu Analiza finansijskih transakcija Prikupljanje podataka o saobraćaju u realnom vremenu Aktivnosti nadziranja Udaljena forenzika
Metode analize
• Postoje dva načina na koje se mogu izvesti forenzičke istrage: Ručne operacije. Uprkos dostupnosti tehnologija za automatsku istragu, računarska forenzika u velikoj mjeri ostaje manualni posao. Posebno u onim istragama koje uključuju veliku količinu podataka, takve ručne operacije mogu biti relevantne kada sredstva za analizu nisu odgovarajuća.
• Sredstva analize. Neki procesi – posebno traženje lozinki, rekonstrukcija obrisanih datoteka ili dekripcija – mogu biti automatski primjenom sofisticiranih sredstava za forenzičku analizu. Većina istraga je kombinacija je ručnih operacija uz upotrebu programa za forenzičku analizu koji automatizuju proces
Studija slučaja
www.mnairlines.com www.vijesti.com
Prijavljen napad na www.mnairlines.com
Obavješten tužilac Zatražena Naredba za pretres Telekoma CG IP adresa pripada opsegu ETF-a (nezaštićen Wi-Fi) Dan posle prijavljen napad www.vijesti.com
(ista procedura) Sa servera ETF-a skinuli smo LOG MAC adrese Uporedili vrijeme LOG IP adresa i LOG Mac adresa Sa stručnjacima ETF izradili SKRIPTU Treći dan od početka istrage, prvi nakon SKRIPTI ALARM!!!
Oduzimanje Lap topa, pretres, krivična prijava
www.mnairlines.com www.vijesti.com
Prijavljen napad na www.mnairlines.com
Obavješten tužilac Zatražena Naredba za pretres Telekoma CG IP adresa pripada opsegu ETF-a (nezaštićen Wi-Fi) Dan posle prijavljen napad www.vijesti.com
(ista procedura) Sa servera ETF-a skinuli smo LOG MAC adrese Uporedili vrijeme LOG IP adresa i LOG Mac adresa Sa stručnjacima ETF izradili SKRIPTU Treći dan od početka istrage, prvi nakon SKRIPTI ALARM!!!
Oduzimanje Lap topa, pretres, krivična prijava
PRIMJER LOG fajlova
PRIMJER LOG fajlova
www.mnairlines.com www.vijesti.com
Prijavljen napad na www.mnairlines.com
Obavješten tužilac Zatražena Naredba za pretres Telekoma CG IP adresa pripada opsegu ETF-a (nezaštićen Wi-Fi) Dan posle prijavljen napad www.vijesti.com
(ista procedura) Sa servera ETF-a skinuli smo LOG MAC adrese Uporedili vrijeme LOG IP adresa i LOG Mac adresa Sa stručnjacima ETF izradili SKRIPTU Treći dan od početka istrage, prvi nakon SKRIPTI ALARM!!!
Oduzimanje Lap topa, pretres, krivična prijava
PRIMJER LOG fajlova
Studija slučaja
9.
10.
11.
12.
Sa naredbom idemo kod ISP, koji nam daje podatke o vlasniku IP adrese u vremenu napada U periodu prijavljivanja napada na www.vijesti.me
prijavljen je napad na izvršenja). www.mnairlines.me
(isti način , IP adresa napada na www.mnairlines.me
www.vijesti.me je pripadala opsegu adresa sa ETF-a, dok je IP adresa napada pripadala fizičkom licu.
ETF nije imao video nadzor u svojim hodnicima, stoga smo morali improvizovati
Studija slučaja
1.
2.
3.
4.
Slučaj: internet piraterija www.zone.cg.yu
(2008) E-mail: [email protected]
2007.godine zatvorio CD shop Istražne radnje
Studija slučaja
Studija slučaja
Studija slučaja
1.
2.
3.
Slučaj: zloupotreba kartica NLB banka on-line shop Skimovanim brojevima dopunjavali račune Istražne radnje
Studija slučaja
Slučaj: Obaranja
web
servera T-Com-a Oboreno preko 170
web
sajtova Radilo se o malizioznom programu Banka slučajno preuzela virus-program Nije bilo materijalne štete Preko 70GB LOG fajlova obrađeno