UNIVERZITET SINERGIJA
UNIVERZITET SINERGIJA
SAVREMENE INFORMACIONE TEHNOLOGIJE
MASTER STUDIJSKI PROGRAM
II PROJEKTNI ZADATAK
ISTRAGA KOMPJUTERSKOG KRIMINALADigitalna Forenzika:
prof. dr Gojko GruborStudijsko-istraivaki rad: prof. dr Gojko
GruborStudijska praksa:
prof. dr Vladislav MikovicMentor: Kandidat:prof. dr Gojko Grubor
eljko Tomi Br.indeksa:
608010/13 Bijeljina, 2015.Saetak
Kompjuterski kriminal predstavlja oblik krivinog djela nastalog
usled koritenja internet tehnologija, koristei se metodama pri emu
dolazi do naruavanja i povrede pojedinca , web servisa ili
odredjenog informacionog sistema. Ovaj vid kriminal je takodje
protivpravna povreda odredjenog sistema, pri emu se vri
manipulacija raunarima, uredjajima, nanosei tetu rtvi.On je opti
vid kriminala, nanosei ili ne stvara problem.Smatra se da u
budunosti nee praviti razlika izmedju obinog i kompjuterskog
kriminala.Kljune rijei: kompjuterski kriminal, istraga, raunarske
mree, digitalni dokaz
Nauna oblast: Savremene informacione tehnologije
Ua nauna oblast: Digitalna forenzikaAbstract
Computer crime is a form of criminal offense arising due to the
use of internet technology, using the methods whereby a distortion
and violation of an individual, a web service or a specific
information system. This type of crime is also unlawful violation
of a particular system, whereby manipulate computers, devices,
causing damage to the victim.
It is a general type of crime, causing or creating
problem.Smatra that in the future will make the difference between
ordinary and computer crime.
Keywords: computer crime investigations, computer networks,
digital evidence
Scientific field: Modern information technology
Specific sci-field: Digital ForensicsSADRAJ
5UVOD
61.POJAM I KARAKTERISTIKE KOMPJUTERSKOG KRIMINALA
72.OBLICI KOMPJUTERSKOG KRIMINALA
82.1 RAUNARSKE KRAE I PREVARE
82.2 TERORIZAM I SABOTAA
93. UPADI U RAUNARSKE SISTEME
93.1 RAUNARSKI KRIMINAL PUTEM MREE
103.2PRODAJA I INVESTICIJA LAI
114.ILEGALNO PRESRETANJE KOMUNIKACIONIH KANALA
125.ISTRAGA KOMPJUTERSKOG KRIMINALA
125.1 ISTRANI PROCES
135.2 DIGITALNI DOKAZ
156. ALATI ZA PRIKUPLJANJE DIGITALNIH DOKAZA
166.1 STANDARDI, PRINCIPI I PROCEDURE
187. STANDARDNE OPERATIVNE PROCEDURE (SoP)
187.1POSTUPAK KOMPJUTERSKE ISTRAGE
197.2LANAC UVANJA I NADLENOSTI
208.PRIHVATLJIVOST DOKAZA
229.MJESTO ZLOINA
2310.TIM ZA ODGOVOR NA INCIDENT
2310.1 PROTOKOL MJESTA ZLOINA
2511.PREPOZNAVANJE I IDENTIFIKOVANJE DOKAZA
2511.1DOKUMENTOVANJE MJESTA ZLOINA
27ZAKLJUAK
28LITERATURA
UVOD
U proteklih par godina sa razvojem digitalne tehnologija kao i
internet (globalna svjetska mrea) mjesto krivinog djela se seli sve
vie u virtuelnu realnost. Zato se seli u virtuelnu realnost? Zato
to se pronevjere novca kao i razne druge nelegalne radnje mogu lake
izvriti i to neposredno tj. ne iz prvog lica ve preko kompijutera,
odnosno nekog vida mree (interneta). Samim tim prua teu
identifikaciju poinioca. Preko internet i raznih organizacija koje
funkcioniu na internet tj. u virtuelnoj stvarnosti kao to su
kockarnice, E-Gold, MoneyTransfer itd. javlja se mogunost pranja
novca neposredno i vrlo efikasno. Pravne organizacije na svijetu
imaju sve vie sluajeva koji su izvreni djelimino ili cjelokupno
preko internet ili nekih drugih elektonskih medija. Potrebne su
resursi i procedure da bi se efikasno locirali, pretraivali i
ouvali svi tipovi elektronskih dokazi. Ovi dokazi variraju od slika
djeije pornografije, pa do kriptovanih podataka koji se koriste za
razne kriminalne aktivnosti. ak neke istrage koje nisu totalno
elektronske prirode u nekim djelovima istrage imaju potrebu za
analizom digitalnih podataka. Digitalna forenzika istraga je nova
disciplina koja se bavi upravo otkrivanjem dogaaja, konfiskovanje i
akvizicijom, analizom, ouvanjem i prezentovanjem digitalnih dokaza.
Kao to se realni svijet preplie sa virtuelnim svijetom, tako se i
forenzika istraga fizikog lica mjesta krivinog djela preplie sa
forenzikom istragom digitalnog mjesta krivinog djela. (Georgijevi
U. 2010:10)
1. POJAM I KARAKTERISTIKE KOMPJUTERSKOG KRIMINALAPredstavlja
oblik kriminalnog ponasanja, kod koga se koriscenje kompjterske
tehnologije i informacionih sistema ispoljava kao nacin izvrsenja
krivicnog dela, ili se kompjuter upotrebljava kao sredstvo ili cilj
izvrsenja, cime se ostvaruje neka u krivicno-pravnom smislu
relevantna posledica. Kompjuterski kriminalitet je takodje
protivpravna povreda imovine kod koje se racunarski podaci s
predumisljajem menjaju (manipulacija racunara), razaraju
(racunarska sabotaza), ili se koriste zajedno sa hardverom (kradja
vremena).Kompjuteri i kompjuterska tehnologija se mogu
zloupotrebljavati na razne nacine, a sam kriminalitet koji se
realizuje pomocu kompjutera moze imati obliko bilo kog od
tradicionalnih vidova kriminaliteta, ako sto su kradje, utaje,
pronevere, dok se podaci koji se neovlasceno pribavljaju
zloupotrebom informacionih sistema mogu na razne nacine koristiti
za sticanje protivpravne koristi. Neovlaseno pribavljanje
informacija predstavlja svojevrsnu kradju podataka sadranih u
kompjuterskim sistemima, najcesce u cilju ostvarivanja protivpravne
imovinske koristi.Tehnicke i tehnoloske mogucnosti za neovlasceno
pribavljanje informacija su sa pojavom Interneta postale
mnogostruko vece tako da mete mogu biti i vas licni PC ali i bilo
koji povezani ili izolovani kompjuterski sistem.2. OBLICI
KOMPJUTERSKOG KRIMINALAPojavni oblici kompjuterskog kriminaliteta
su: protivpravno koriscenje uslugai neovlasceno pribavljanje
informacija, kompjuterske kradje, kompjuterske prevare,
kompjuterske sabotaei kompjuterski terorizamikriminal vezan
zakompjuterske mreze. Protivpravno koriscenje usluga i neovlasceno
pribavljanje informacija Protivpravno korienje usluga se sastoji u
neovlascenoj upotrebi kompjutera ili njegovoj ovlascenoj upotrebi
ali za ostvarivanje potreba nekog neovlascenog korisnika.Primjer
neovlascene upotrebe kompjutera je kada se kompjuter koristi u bilo
koje druge svrhe, osim onih koje predstavljaju deo njegove namene u
informatickom sistemu. Primeri ovlascene upotreba kompjutera, ali
za potrebe neovlascenoh korisnika, ili radi ostvarenja drugih
nedopustenih ciljeva su npr., u slucaju kad zaposleni u jednoj
firmi pribavi podatke za buduceg poslodavca ili kad raspolozivo
kompjutersko vreme koristi za obavljanje nekih svojih poslova. J
edan od najcescih oblika neovlascene upotrebe kompjutera sa kojim
se susecu poslodavci sirom sveta jeste zloupotreba Interneta od
strane zaposlenih. Tehnicke i tehnoloske mogucnosti za neovlasceno
pribavljanje informacija su sa pojavom Interneta postale
mnogostruko vece tako da mete mogu biti i vas licni PC ali i bilo
koji povezani ili izolovani kompjuterski sistem.2.1 RAUNARSKE KRAE
I PREVARE
Kraa zauzima visoko mesto u oblasti kompjuterskog kriminaliteta
a u razmatranom kontekstu od posebnog je znaaja kraa identiteta.
Ova vrsta kraa predstavlja posebno drutveno-opasnu radnju, jer
pored ostalog, znaajno podriva poverenje u integritet komercijalnih
transakcija i ugroava individualnu privatnost. Procena strunjaka su
da e ova vrsta kraa rasti sa poveanjem elektronske trgovine.
Snabdeveni individualnim personalnim informacijama, kradljivci
identiteta mogu da otvore raune u bankama, obavljaju kupovinu, a u
zemljama u kojima su automatizovane servisne usluge za gradjane,
mogu da dobiju sertifikate o roenju, paso, kredit i sl., a sve to u
ime osobe o ijim podacima se radi. Lanim identitetom kriminalac moe
da dobije pozajmicu u banci, kupi auto, stan, ode na putovanje i
sl., i na taj nain rtvu moe da optereti finansijski a u nekim
sluajevima da joj napravi i kriminalni dosije. rtva u veini
sluajeva i ne zna da se njen identitet "koristi" sve dok ne dou
rauni za naplatu. Dakle i finansijska i "humana" cena krae za
individualnu rtvu mogu biti veoma visoke, mada jedina krivica za
mngo rtve moe biti to to su njihovi personalni podaci bili na nekom
fajlu koji je ukraden ili su naivno davali informacije pogresnim
ljudima.
2.2 TERORIZAM I SABOTAA
Kompjuterske sabotae se sastoje u unitenju ili oteenju
kompjutera i drugih ureaja za obradu podataka u okviru
kompjuterskih sistema, ili brisanju, mijenjanju, odnosno spreavanju
korienja informacija sadranih u memoriji informatikih ureaja. Najei
vidovi su oni koji tetno djeluju na odreene programe koji imaju
funkciju uvanja podataka.
Teroristi u novije vrijeme sve vie naputaju klasine teroristike
akte i prelaze na kompjuterski terorizam, koji je veoma efikasno
sredstvo u rukama terorista jer im omoguava naine djelovanja o
kojima ranije nisu ni sanjali. Do sada su teroristima nedostajali
odgovarajui talenti i vjetine za raunare ali se u dananje vrijeme
koriste veoma razvijenom tehnikom i tehnologijom. Stalno
postavljaju nove web stranice na kojima propagiraju svoje ideje.
Moe se rei da je kompjuterski terorizam u stalnom razvoju i da e se
on sve vie javljati u budunosti.
3. UPADI U RAUNARSKE SISTEMEMada izraz "provaljivanje" asocira
na primenu izvesne mehanike sile, radi ulaska u zatvorene prostore,
poput vrenja klasinih provalnih kraa, ali kada je re o
kompjuterskom kriminalitetu oznaava se jedno vrlo suptilno,
elektronskim putem, izvedeno, naruavanje tajnosti, pojedinog
kompjuterskog sistema, odnosno neovlaeni elektronski upad u
centralni kompjuterski sistem i njegovu bazu podataka. Ovakva dela
preteno vre hakeri, koji se preko svojih personalnih raunara
ukljuuju u druge informativne sisteme, pri emu prvenstveno koriste
Internet. Ovi uinioci spretno zaobilaze zatitne mehanizme a dela ne
vre iz zlonamernih pobuda, ve nastoje da javno demonstriraju
informatiku vetinu kojom raspolau ili da ukau na postojee slabosti
u mehanizmu zatite kompjuterskih sistema. su na meti ovakvih
uinilaca esto ba one kompjuterske mree, za koje se s pravom oekuje
da su maksimalno zatiene od elektronskih provala kao sto su: vojne
kompjuterske komunikacije, informatiki sistemi obavetajnih slubi,
dravnih institucija.
3.1 RAUNARSKI KRIMINAL PUTEM MREEKriminal vezan za kompjuterske
mree je oblik kriminalnog ponaanja kod koga je cyberspace okruenje
u kome se kompjuterske mree pojavljuju u trostrukoj ulozi: kao
sredstvo ili alat, cilj ili okruenje izvrenja krivinog dela.
Kompjuterske mree kao cilj napada napadaju se servisi, funkcije
i sadraji koji se na mrei nalaze. Kradu se usluge i podaci, oteuju
se ili unitavaju delovi ili cela mrea i kompjuterski sistemi, ili
se ometaju funkcije njihovog rada.
Kompjuterske mree kao sredstvo ili alat- Danas moderni
kriminalci koriste sve vie kompjuterske mree kao orua za
realizaciju svojih namera.
Korienje ovog novog orua naroito je popularno kod deje
pornografije, zloupotrebe intelektualne svojine ili online prodaje
nedozvoljene robe (droga, ljudski organi, neveste..)
Kompjuterske mree kao okruenje u kome se napadi realizuju- Najee
to okruenje slui za prikrivanje kriminalnih radnji, kao to to veoma
veto uspevaju da urade pedofili, a ni drugi kriminalci nisu nita
manje uspeni. Naravno postoje i druge uloge, kao sto je npr.,
korienje mree kao simbola zastraivanja, uplitanja, koje su nekad
vie izraene kod kompjuterskog nego kod cyber kriminala. Bitno je da
je cyber kriminalu neosporno priznato "svojstvo" kriminala kao
"obliku ponaanja koji je protiv zakonit ili ce biti kriminaliozvan
za kratko vreme".
3.2 PRODAJA I INVESTICIJA LAIKako elektronska trgovina ili
e-trgovine postaje sve vie i vie popularna, primena digitalne
tehnologije za lane kriminalce znai laku manipulaciju, manje
trokove, vee mogunosti skrivanja i jednostavno vee mogunosti
prevare. Korienje lanih telefona za prevaru, lanih naloga, lane
prodaje, lane investicije su samo neki od naina sticanja dobiti i
prodaju lai. Cyberspace sada obiluje irokim spektrom mogunosti
investiranja, od tradicionalnih hartija od vrednosti, kao to je
akcija i obveznica pa do vie egzotinih mogunosti kao to su uzgoj
kokosa, prodaja turistikih aramana, posredovanje u trgovini
nekretninama itd . Fraudsters2 sada imaju pristup milionima ljudi
irom sveta, a trenutno ima minimalne cene.4. ILEGALNO PRESRETANJE
KOMUNIKACIONIH KANALARazvoj u oblasti telekomunikacija, kao i
prenos podataka preko mree ima za rezultat veu brzinu i kapacitet,
ali i vee ranjivosti. Sada je lake nego ikada za neovlaena lica da
dobiju pristup poverljivim informacijama. Elektromagnetni signal
koje emituje raunar, sada lako mogu biti presretnuti i
zloupotrebljeni. Da dodamo jo i to da postojei zakoni ne spreavaju
praenje signala sa dislociranog, udaljenog raunara. Pod ovim
okolnostima informacija je sve vie i vie ugroene i dostupna
neovlaenim korisnicima.Zavisno od vrste uinjenog dela Kompjuterski
kriminal moe biti :
1. Politiki
2. ekonomski
3. Kriminal u proizvodnji
4. Kriminal u distribuciji
5. Kriminal u logistici
6. Privatni(povreda privatnosti)
Metode za izvrenje:
1. Neovlaenog pristupa
2. E-pota bombardovanja
3. Date diddling
4. Salama napad
5. Krae Internet vreme
6. Logika bomba
7. Virus / crv napada
8. Trojanac napada
9. Denial of service napada
10. Distribuirano uskraivanje usluga napada
11. E-pota VarkaE-pota bombardovanja: Ovo zapravo znai slanje
velikog broja e-mailova na rtve gde dovodi do toga da e-mail nalog
korisnika odnosno, u ovom sluaju rtve pada (u sluaju pojedinanih)
ili server (u sluaju da korporacija). Deadlining: Ova vrsta napada
ukljuuje promenu na sirovim podacima pre nego to je obraeno sistem
i ponovo ga menja posle obrade. Ovakav vid zloupotrebe podrazumeva
instaliranje scripti u sirovom kodu koje imaju zadatak da kopiraju,
izbriu, poalju, manipuliu gotovom podacima u zavrnoj fazi ili tek
onda kada se proizvod ili usluga pusti na trite. Salama napad: Ovo
se generalno koristi kod poinioca finansijskog kriminala. Ovde je
Kljuno da se napravi mala promena, tako da e u jednom sluaju otii,
proi nezapaeno. Na primer, radnik banke naplauje pet dinara iz
svakog naloga klijenata. Mali broj kupaca e verovatno primetiti ove
male promene, ali veina korisnika nee primetiti tako male
transakcije a kriminalac e imati znaajnu zaradu.5. ISTRAGA
KOMPJUTERSKOG KRIMINALADigitalna forenzika istraga se zasniva na
principima digitalne forenzike nauke i podrazumeva upotrebu
uobiajenih forenzikih tehnika, raunara i raznih programa za
forenziku istragu. Kada se desi digitalni zloin, procedura
prikupljanja dokaza se vri na
slian nain na koji se prikupljaju i klasini dokazi na nekom
mestu zloina. Takoe se radi uviaj, digitalni forenziari izlaze na
mesto zloina i pre svega fotografiu zateknuto stanje i piu izvetaje
sa svim relevantnim informacijama koje se tiu tog zloina. Te
relevantne informacije se sastoje iz lokacije na kojoj se zloin
desio - tip raunara, njegovu dodatnu opremu I konfiguraciju, i iz
spiska svih beinih i ianih veza izmeu medijuma na kojima se desio
zloin.Ono to je veoma bitno jeste da se medijum ostavlja u stanju u
kome je zateknut, ukoliko je re u ukljuenom raunaru on se ne sme
nikako gasiti jer moe doi do oteenja digitalnih dokaza tj. do
njihovog trajnog gubljenja ukoliko se nalaze u radnoj memoriji.
Kada se nakon snimanja zateenog stanja pree na proces odnoenja
medijuma sa mesta zloina potrebno je fotografisati monitor u
zateenom stanju pa ga ukloniti. U proteklih par godina sa razvojem
digitalne tehnologija kao i internet (globalna svjetska mrea)
mjesto krivinog djela se seli sve vie u virtuelnu realnost. Zato se
seli u virtuelnu realnost? Zato to se pronevjere novca kao i razne
druge nelegalne radnje mogu lake izvriti i to neposredno tj. ne iz
prvog lica ve preko kompijutera, odnosno nekog vida mree
(interneta). Samim tim prua teu identifikaciju poinioca. Preko
internet i raznih organizacija koje funkcioniu na internet tj. u
virtuelnoj stvarnosti kao to su kockarnice, E-Gold, MoneyTransfer
itd. javlja se mogunost pranja novca neposredno i vrlo efikasno.
Pravne organizacije na svijetu imaju sve vie sluajeva koji su
izvreni djelimino ili cjelokupno preko internet ili nekih drugih
elektonskih medija. Potrebne su resursi i procedure da bi se
efikasno locirali, pretraivali i ouvali svi tipovi elektronskih
dokazi. Ovi dokazi variraju od slika djeije pornografije, pa do
kriptovanih podataka koji se koriste za razne kriminalne
aktivnosti.5.1 ISTRANI PROCES
Cilj bilo koje istrage je da se otkrije i prezentuje istina o
nekom dogaaju. Istrani process je dio pravnog okvira, koji poinje
tubom,a napreduje kroz rukovanje dokazima do jasnih i preciznih
objanjenja injenica i tehnika u svjedoenju eksperata. Istrenirani,
iskusni istraitelji e zapoeti istragu postavljajui sebi niz pitanja
u cilju saznanja i odluka da li se zloin ili upad zaista dogodio.
Odgovor na ova pitanja odredie da li e se potpuna istraga nastaviti
ili da li su resursi upotrebljiviji za neke druge stvari (npr. kada
velika koliina podataka nedostaje sa kompijutera ili se sumnja na
uljeza, digitalni istaitelji treba da ustanove da li je teta
povezana sa moguim grekama na disku ili sa upadom).Efikasnost
istranog procesa u mnogome zavisi od objektivnosti istraitelja.
Neki sadraji mogu da utiu na objektivno razmiljanje istraitelja kao
i slinosti izmeu datog sluaja i nekog sluaja iz prolosti. Slinosti
izmeu odreenih sluajeva mogu dovesti do preranog donoenja zakljuaka
na osnovu djela pregledanih dokaza, to kasnije moe rezultirati
odbijanjem odreenih dokaza na sudu kao i itavog sluaja, zbog toga
treba svakom sluaju pristupiti kao unikatnom, iako je moda identian
nekom prethodnom.5.2 DIGITALNI DOKAZ
Definicija pojma digitalni dokaz je jako mnogo. Jedna od
definicija je: Digitalni kompjuterski dokaz ini gomila posrednih
stvarnih dokaza, od kojih se ni jedan ne smije iskljuiti iz bilo
kog razloga. Dokazi moraju biti potpuni, da se meusobno dopunjuju
(da su isprepleteni) i da nemaju tzv. pukotina za donoenje
zakljuaka, odnosno za utvrivanje vrstog dokaza.
Prema The Scientific Working Group on Digital Evidence (SWGDE)
termin dokaz se upotrebljava za neto materijalno to e biti priznato
od strane suda. Ono mora biti prikupljeno na legalan i zakonit
nain. Neki objekat (podataka ili materijalna stvar) postaje dokazom
jedino, kada u njega povjeruje slubena provedba zakona.Iako
istraivanje raunalnog kriminala ima mnogo slinosti s ostalim
tipovima velikih istraga, postoje dvije razlike. Prva od njih jeste
to to se trae drugaiji tipovi dokaza (fiziki dokazi elektronikog
odnosno elektromagnetskog tipa), a druga je razlika to se radi s
elektronikom opremom.
1996.godine IOCE (International Organization on Computer
Evidence) , NIST (The National Institute of Standards and
Technology) i USDOJ (United States Department of Justice) propisali
su ope procedure i principi koje se odnose na digitalne dokaze a u
cilju medjunarodne razmjene ovih dokaza. Ustvreno je da se u
postupku prikupljanja, analize i upravljanja sa digitalnim
dokazima, potrebno pridravati odreenih pravila i procedura i
to:
U radu sa digitalnim dokazima moraju se primjenjivati striktne
procedure i principi
Digitalni dokaz nesmije da bude izmjenjen, prije, u toku
uzimanja ili poslije uzimanja dokaza
Digitalnom dokazivanju moe da pristupa samo dobro obuena i
struna osoba (sudski vjetak ili forenziar)
Svaka aktivnost mora biti dobro i detaljno dokumentirana
Danas postoje odrena pravila raunalne forenzike, a mogu se
svesti pod nekoliko najbitniji stavki:
Princip zakonitotosti onoga to se radi; podrazumjeva da
forenziar ili onaj tko prikuplja dokaze mora imati pismenu dozvolu
za ono to radi, ukoliko se radi u sluajevima istrage koje vodi sud,
tu je nalog suda, a ukoliko se radi o analizama u privatnim
tvrtkama , onda se mora imati pismeno odobrenje nalogodavca
(direktora uprave).
Tijekom cijele istrage se mora voditi rauna o lancu istrage,
odnosno niti jedan digitalno dokaz ne smije iskljuiti neki drugi iz
bilo kog razloga. Dokazi moraju biti potpuni i moraju dopunjavati
jedan drugi.
Princip ouvanja digitalnog dokaza podrazumjeva da se originalni
dokaz nesmije mjenjati niti po koju cijenu, forenzika analiza se
uvijek radi na bit po bit kopiji. Isto podrazumjeva i fiziko
osiguranje medija od unitenja.
Princip identifikacije potencijalnog dokaznog materijala
podrazumjeva identifikacij medija (npr. Diskete, USB stick, CD, DVD
i sl.)
Princip integriteta dokaznog materijala.
Istraga se mora voditi poznatim i priznatim alatima od strane
suda, mora postojati dokumentacija za ove alate, da se zna kako i
na koji nain rade.
Izvjetavanje podrazumjeva izradu zavrnog izvjetaja koji mora
biti jasan , koncizan, bez pretjerane terminologije koju sud nemoe
razumjeti.
6. ALATI ZA PRIKUPLJANJE DIGITALNIH DOKAZAAlti koji se koriste z
prikupljnje digitlnih dokz su lti z smu detekciju podtk, z njihovu
nlizu, proveru utentinosti itd. Neki od njih se mogu bespltno
preuzeti s internet, dok su ostli komercijlnog tip. Postoji vie
ktegorij lt z digitlnu forenziku. Mogu se podeliti prem ninu
implementcije, prem oblsti upotrebe, prem tipu kod, prem pltformi n
kojoj rdi ko i prem fzi u kojoj se koristi u okviru forenzike
istrge.
Najpoznatiji alati za analizu prikupljenih podataka su :
1. Forensic ToolKit (FTK)
2. EnCase (slika br.3)
Slika 1 EnCase forenziki alat3. Expert Witness
Najpoznatiji alati za kloniranje (dupliciranje) bit po bit:
1. Norton Ghost
2. ByteBack
3. EnCase and FastBlock
Najpoznatiji alati za provjeru autentinosti:
1. Hash
2. md5sum
3. Hashkeeper
Postoje i posebne, specijalizirane verzije tzv. live CD-a, koji
omoguavaju podizanje (boot) raunara sa ovih CD-ova.Nakon toga se
specijalnog okruenja vri pokretanje specijalistikih alata za
forenziku.
Tipini primjeru ovoga software-a su Knopix - koji je posebna
verzija distribucije LINUX-a, ,te BackTrack2 distribucija Linuxa
namjenjena za penetracijsko testiranje , koje moemo vidjeti na
slikama 3 i 4.
Jedan od kvalitetnih alata dananjice je svakako HELIX , fime
E-fense.
6.1 STANDARDI, PRINCIPI I PROCEDUREGlavni razlog razvoja
standarda i procedura je bio problem sa upravljanjem digitalnim
dokazima. Iz pespektive sprovoenja zakona zbog mogunosti trans
jurisdikctije poinilac moe biti priveden u jednom pravnom sistemu,
dok digitalni dokazi za uspeno krivino gonjenje mogu biti u drugoj
dravi. Da bi ti dokazi bili prihvatljivi za sud drave u kojoj se
nalaze dokazi, moraju se potovati odreeni standardi i procedure. U
martu 1998. godine, IOCE je odluio da formulie meunarodne principe
za postupke koji se odnose na digitalne dokaze, kako bi se
obezbedila usklaenost metoda i prakse meu narodima i garantovala
mogunost korienja digitalnih dokaza prikupljenih od strane jedne
drave u sudu druge drave. Da bi se digitalni dokazi to efikasnije
razmenjivali, glavni principi moraju da:1. budu konzistentni sa
pravosudnim sistemima u svakoj dravi,
2. koriste uobiajen i razumljiv jezik,
3. imaju trajnu vrednost,
4. budu meunarodno priznati i prihvatljivi,
5. ulivaju poverenje i tite integritet digitalnih dokaza,
6. budu primenjivi na sve digitalne dokaze,
7. budu primenjivi na pojedinca, zvanine agencije i najvii
nacionalni nivo.
Nakon meunarodne konferencije o haj-tek kriminalu i forenzici u
Londonu, u oktobru 1999. godine, IOCE je u martu 2000. godine
predstavila prvi izvetaj podgrupi za visokotehnoloki kriminal pri
G8 (The High Tech Crime Sub-Group of the G-8) u kome predlae niz
definicija i principa. Nakon pregleda od strane strunjaka podgrupe
za visokotehnoloki kriminal pri G8, usvojeno je nekoliko preporuka.
Preporukama se svaka drava lanica ohrabruje da razmotri sledee
principe prilikom uspostavljanja procedure za prikupljanje, uvanje
i upotrebu digitalnih dokaza, u skladu sa svojim nacionalnim
zakonom i telima za standardizaciju. Dravame se preporuuje i da
budu svesne potencijalnih razlika meu zakonodavstvima prilikom
prikupljanja dokaza na zahtev druge drave. IOCE treba da podnese
ove principe na pregled drugim nacionalnim, regionalnim i
meunarodnim organima i organizacijama, odgovornim za unapreenje
procedura, koje su u vezi sa digitalnim dokazima. IOCE treba
sarauju sa gore pomenutim telima i da na osnovu dobre prakse
razvije praktini vodi za prikupljanje, uvanje i upotrebu digitalnih
dokaza, koji obuhvata postojee izvore digitalnih dokaza. Podgrupa
za visokotehnoloki kriminal treba redovno da nadgleda rad IOCE.
7. STANDARDNE OPERATIVNE PROCEDURE (SoP)Da bi se osigurala
bezbedna kompjuterska istraga, odnosno da bi digitalni dokazi bili
uspeno prikupljeni, sauvani, ispitani i preneseni na nain koji e
obezbediti autentinost i integritet dokaza za potrebe suda,
organizacije moraju da uspostave i odravaju efikasni sistemi
kvaliteta. Ovi sistemi trebalo bi da koriste standardne opertivne
procedure (SOP). Standardne opertivne procedure su jedinstveni
dokumenti koji opisuju metode i postupke koje treba sprovoditi
tokom obavljanja forenzike analize u cilju obezbeenja to boljeg
kvaliteta. Ove procedure treba da dokumentuju sve zadatke tokom
kompjuterske istrage, kao i druge iroko prihvaene procedure, opremu
i materijale. Forma SOP treba da obuhvati sledee stavke: naslov,
namenu, spisak opreme i materijala, standarda i kontrola,
definicije i skraenice koje se obino ne koriste, opis elemenata
kalibracija i pripremne korake, ogranienja vezana za opremu,
softver i proceduru, spisak koraka koji se koriste u obavljanju
zadataka, reference i ostale informacije. 7.1 POSTUPAK KOMPJUTERSKE
ISTRAGE
Postoji veliki broj modela, metodologija i okvira kompjuterske
istrage. Metodologija istraivanja ukljuuje prakse, procedure i
tehnika koje se koriste za prikupljanje, pohranjivanje,
analiziranje i prezentovanje informacija i dokaza do kojih se dolo
u postupku kompjuterske forenzike. Ovaj postupak se razlikuje od
sluaja do sluaja i zavisi od tipa softvera i opreme koja se
koristi. U najveem broju istraga koriste se tri koraka:
prikupljanje dokaza, provera autentinosti dokaza, i analiza dokaza.
Ni u jednoj od ovih faza, ni pod bilo kojim uslovima, ne sme da doe
do promene ili oteenja dokaza. Prvi korak prikupljanja podrazumeva
proces prikupljanja podataka i informacija iz hard diskova, RAM
memorije i sistemskih log fajlova. Pored toga, u ovom koraku je
obavezno napraviti kopiju svih diskova i medija, jer se original
uva za potrebu suda. Bitno je napomenuti da se dokumentuje svaki
korak tokom prkupljanja dokaza.Provera autentinosti podrazumeva
proces u kome se dokazuje da prezentovani materijal odgovara
dokazima koji su prikupljeni tokom istrage. Da bi dokazni materijal
bio koristan, mora se pokazati da je dokaz koji se prezentuje na
sudu identian dokazu koji je prikupljen na kompjuteru koji je mesto
zloina, odnosno da su prikupljeni podaci identini onima sa
navedenog kompjutera. Prilikom prikupljanja, mora se obezbediti da
dokazi ne budu uniteni ili menjani. Bilo kakvo nepravilno rukovanje
sa dokaznim materijalom moe dovesti do toga da sud odbaci dokaze
zbog neprihvatljivosti. Proces analize je postupak utvrivanja
injenica na razliitim digitalnim medijima primenom razliitih metoda
otkrivanja, ispitivanja i procenjivanja prikupljenih informacija i
podataka za potrebe sudskog dokazivanja.
Svi modeli istraiteljima treba da obezbede:
2. Pouzdanost,
4. Integritet,
6. Dokumentovanost.7.2 LANAC UVANJA I NADLENOSTI
Tokom prikupljanja digitalnih dokaza dva vana pitanja su
autentinost i integritet dokaza. Tanije, treba da pokaemo da se
prikupljeni dokazi tokom transporta nisu izmenili. Da bi smo ovo
mogli pokazati trebalo bi da znamo odgovor na sledea pitanja (5Ws
and 1H):
1. ta su digitalni dokazi?
2. Ko je dolazio u dodir sa dokazima?
3. Gde su dokazi prikupljeni?
4. Zato su ba ti dokazi prikupljeni?
5. Kad se vrilo istraivanje, pristup i transport dokaza?
6. Kako su digitalni dokazi koriteni?
Termin "lanac uvanja" (chain of custody) odnosi se na
kontinuitet i prihvatljivost dokaza, od momenta kada su
prikupljeni, do momenta kada su prezentovani u sudskom postupku. On
podrazumeva legalno pravo jedne osobe da u nekom odreenom momentu
poseduje, rukuje ili transportuje dokazni materijal. Prekid lanca
uvanja navodi na sumnju da je dokaz falsifikovan ili zamenjen. Kako
se radi o digitalnim dokazima, stalno prisustvo jedne osobe tokom
forenzike analize nije mogue, pa se u te svrhe izdaje potvrda od
strane labaratorije od momenta kad su dokazi primljeni do momenta
isporuke rezultata analize. 8. PRIHVATLJIVOST DOKAZAKompjuterski
kriminal je uneo veliki problem u oblast sudskog vetaenja i
svedoenja. Pravilo klasinog svedoenja nalae da svedok moe svedoiti
samo ako je oevidac, odnosno samo o onome to je lino iskusio (uo,
video, ili zna), a ne iz druge ruke, to se smatra posrednim
dokazom, poznat kao rekla kazala. Problem je upravo u tome to se
kod raunara sve moe posmatrati kao rekla kazala dokaz, jer se nita
direktno vezano za dogaaj u raunaru ne vidi i sve se lako moe
izmeniti, otetiti ili izbrisati. To praktino znai da je samo osoba
koja je izvrila krivino delo oevidac, odnosno neposredni svedok, i
ima direktna saznanja o dogaaju. Prihvatljivi su samo oni raunarski
podaci koji su pravilno prikupljeni, imaju pravnu osnovu i koji
zadovoljavaju specifine kriterijume. Najea greka koja spreava da
digitalni dokazi budu prihvatljivi od strane sudova, je da su ti
dokazi dobijeni bez autorizacije, odnosno naloga za pretres i
zaplenu dokaza. Ukoliko istraitelji odlue da izvre pretres bez
naloga, taj pretres mora pripadati nekom od izuzetaka da bi se
njegovi rezultati prihvatili na sudu. Ti izuzeci su sledei: 1.
dobrovoljni pristanak osumnjienog,
2. mogunost fizikog unitavanja dokaza,
3. inkriminiui sadraj je oevidan,
4. prilikom legalnog liavanja slobode.
Da bi dokaz bio prihvatljiv od strane suda, potrebno je da
ispunjava odreene uslove. Tako, dokaz treba da bude:
Prihvatljiv: Dokaz mora da potuje odreena pravna pravila pre
nego to se prezentuje na sudu.
Autentian: Dokazni materijal mora da se povee sa incidentom,
tako to e se pokazati da su dokazi relevantni za dati incident.
Kompletan: Dokaz mora da ispria celu priu, a ne samo jednu
perspektivu. Nije samo potrebno da se prikupe dokazi koji dokazuju
akcije napadaa, nego i dokazi koji mogu da dokau njegovu
nevinost.
Pouzdan: Ne sme postojati nita to bi izazvalo sumnju u
autentinost i istinitost dokaza tokom prikupljanja i naknadnog
rukovanja.
Uverljiv i razumljiv: Dokaz mora da bude lako razumljiv i
uverljiv za sud.
Preduslov da dokaz bude prihvaen od strane suda je da tuilac
dokae njegovu autentinost. To znai da porota moe proglasiti
nevaecim dokaz ukoliko tuilac ne
dokae autentinost dokaza na samom suenju, bez obzira na to to je
dokaz prikupljen i analiziran po svim propisima.U dokaznom postupku
klasinog kriminala, najbolji dokaz je direktni odnosno originalan
dokaz. Kako je u kompjuterskom kriminalu veoma lako napraviti
identine kopije dokaznog materijala, pravilo najboljeg dokaza u
ovom smislu odnosi se na to da treba posedovati orginale rukopisa,
tonskog snimka ili fotografije, da bi se dokazala autentinost ovih
dokumenata. To znai da ukoliko se prezentovani dokazni materijal u
svom izvornom obliku moe pojaviti u smislu osporavanja
autentinosti, pouzdanosti ili preciznosti dokaznog materijala, onda
treba prezentovati originalni materijal. Dananje tehnologije
omoguavaju kreiranje kopije digitalnih dokaza identinih originalu,
pa je upotreba kopije u tom smislu prihvatljiva iako postoji
original. U praksi se upravo preferira prezentovanje kopije da bi
se otklonile sve sumnje da je dolo do izmene originalnog dokaza.
Direktni dokazi su injenice, a posredni su svi dokazi koji se
prikupe analizom samog softvera, raunara i/ili raunarske mree i
potencijalno mogu ukazati na injenice. Iako digitalni dokazi
ukazuju samo na odreene korisnike aktivnosti koje se obavljaju na
kompjuteru korisnika ili mrei, posredni dokazi mogu biti podjednako
znaajni u utvrivanju neke injenice, kao i direktni dokazi. U tom
smislu, sposobnost forenzikog analitiara da prikupi to vie
posrednih dokaza kako bi se izgradio vrst, neoboriv dokaz. Bilo
kakvu zloupotrebu informacionog sistema ili njegove sigurnosti
mogue je dokazati jedino pomou digitalnih dokaza.
Kako se tehnike i alati za izvoenje forenzke anliza generacijski
menjaju, esto su podvrgnuti proceni naunika. Zbog ubeivake
sposobnosti nauke, sudovi irom Sjedinjenih Drava oprezni su kada je
u pitanju verifikacioni proces dokaza pre prihvatanja rezultata tog
procesa. Ukoliko je proces analize doveden u pitanje, to e znaajno
uticati na autentinost ili teinu dokaza, u zavisnosti od situacije.
U Sjedinjenim Amerikim Dravama nauni dokaz se ocenjuje pomou etiri
kriterijuma razvijenih u Daubert principima.
9. MJESTO ZLOINAKao i u klasinom kriminalu, mesto zloina je
sastavni dio kompjuterskog kriminala. Mesto zloina je bilo koja
fizika lokacija na kojoj se zloin dogodio ili za koju se
pretpostavlja da se zloin dogodio. Poto se u kompjuterskom
kriminalu kompjuter koristi kao sredstvo ili kao cilj izvrenja,
moemo rei da postoji primarno i sekundarno mesto zloina. Primarno
mesto zloina je orginalna lokacija na kojoj se kriminal ili
incident dogodio, odnosno mesto odakle su napadi izvreni.
Sekundarno mesto zloina je bilo koja druga lokacija na kojoj se
kriminal ili incident dogodio, odnosno lokacija na kojoj se nalaze
dodatni dokazi kriminalnih aktivnosti izvan primarnog mesta
zloina.
Obino se tokom istraivanja mesta zloina uesnici pojavljuju kroz
tri uloge:
1. First responder,
2. Istraitelj,
3. Tehniar mesta zloina.
First responder je prva autorizovana osoba koja je dola na mesto
zloina, odnosno koja je uoila i/ili reagovala na incident. To je
obino administrator sistema, mree ili slubenik Ministarstva
unutranjih poslova. Njegova osnovna zaduenja su da:
Prepoznavanje i obezbeenje mesta zloina,
uvanje osetljivih dokaza.
Istraitelj je obino kriminalistika sluba ili lan tima za odgovor
na incident (IRT). Njihov zadatak je da:
Uspostavi lanac komandovanja,
Vri pretragu mesta zloina,
Odrava integritet dokaza.
Tehniari mesta zloina su osobe koje su obuene da vre
kompjutersku forenziku. Oni treba da:
uvaju osetljive dokaze i kreiraju duplikate diskova,
Vre iskljuenje sistema ili kompjutera i pripremu za
transport,
Oznaavaju i evidentiraju dokaze, Pakupljaju i transportuju
dokaze, Procesuiraju dokaze.10. TIM ZA ODGOVOR NA INCIDENTTim za
odgovor na incident (IRT) ine osobe koje su trenirane i
pripremljene da prepoznaju i momentalno reaguju na bilo kakav
sigurnosni incident. Formira se od strane vlade, univerziteta i
drugih institucija. IRT ine: lider koji je odgovoran za svakodnevne
aktivnosti tima, te manipulatori incidentom (Incident handlers)
koji nadgledaju ureaje, pregledaju podatke vezane za incidente,
uporeuju dogaaje i obezbeuju neophodne odgovore. Potreban je i
administrator baze podataka odgovoran za njihovo uvanje i obradu,
kao i pravni savetnik koji je zaduen za voenje tima u skladu sa
zakonom i obezbeduje savete vezane za konkretne incidente. IRT je
odgovoran za saniranje tete i vraanje sistema u normalno stanje.
Ovo ukljuuje oznaavanje mesta incidenta, obavetavanje odgovarajuih
organa, i vraanje bazine mrene opreme u prvobitno stanje. Imajui
ovo u vidu, tim bi trebalo da bude sastavljen od:
IT osoblja zaduenog za sigurnost,
Nekog ko e se baviti komunikacijom izmeu nadreenih i
zaposlenih,
Nekog ko e se baviti komunikacijom sa prodavcima, poslovnim
partnerima i medijima,
Internih programera,
Administratora baze podataka.
10. 1 PROTOKOL MJESTA ZLOINA
U maju 1998. godine Nacionalni institut pravde Sjedinjenih
Amerikih Drava (NIJ) formirao je Tehniku radnu grupu za istraivanje
elektronskog mesta zloina (TWGECSI). Njen zadatak je bio da utvrdi,
definie i uspostavi osnovne kriterijume za pomo agencijama koje se
bave elektronskim istraivanjima i gonjenjima. U januaru 1999.
godine, u Nacionalnom Institutu za standarde i tehnologiju (NIST) u
Gaithersburgu, savezna drava Merilend, odran je sastanak na kome je
utvreno da je obim materije isuvie veliki za predstavljanje u
jednom vodiu. Iz tog razloga oni su razvili plan za nekoliko vodia.
Istraivanje mesta zloina je izabrano kao prva tema.Jedinstveni
vodi, koji je sadrao sve navedene oblasti, zavren je 2000. godine.
U ovom vodiu se navodi da rukovanje digitalnim dokazima na mestu
zloina obuhvata sledee faze:
1. Prepoznavanje i identifikovanje digitalnih dokaza;
2. Obezbeivanje i procena mesta zloina;
Bitno je napomenuti da je prethodno neophodan legalni nalog za
pretragu i zaplenu sumnjivih dokaza sa mesta zloina. Pre nego to se
pone sa istragom potrebno je pripremiti neophodnu opremu koja e
biti koriena tokom ovih faza. Osnovna oprema koje istrano odeljenje
mora da poseduje sadri: kameru (foto-aprat i video kameru),
rokovnik, blok za skiciranje, marker, formular za dokaze, i traku
za mesto zloina.
Alati za dokumentaciju:
oznake za kablove vodootporni markeri u boji samolepljivi
listii
.
Alati za demontiranje i uklanjanje:
razliiti tipovi odvijaa
razliiti kljuevi za odvrtanje vijaka
kleta sa iljatim vrhovima (picangle)
mala pinceta
specijalizovani odvijai (odreenog proizvoaa, na primer, Compak,
Macintosh)
standardna kleta
krstasta kleta
makaze za seenje ice.
Pakovanje i transport opreme:
antistatik torbe
antistatik pucketava folija (folija sa mehuriima)
kopa za povezivanje i grupisanje elektronskih kablova
kese za prikupljanje dokaza
traka za oznaavanje dokaza
pri pakovanju materijala izbegavati materijale koji mogu da
proizvedu statini elektricitet, kao to je na primer stiropor
traka za pakovanje
nepromoive kutije razliitih veliina
11. PREPOZNAVANJE I IDENTIFIKOVANJE DOKAZAPrvenstvena
preokupacija first respondera bi trebalo da bude obezbeivanje svoje
sigurnosti i sigurnosti svih osoba i dokaza koji se nalaze na mestu
sloina. Sve radnje i aktivnosti koje su sprovedene na mestu zloina
trebalo bi da budu u skladu sa politikom odeljenja, kao i sa
dravnim i lokalnim zakonima. Nakon obezbeenja mesta zloina i svih
osoba na mestu, first responder bi trebalo vizuelno da identifikuje
sve potencijalne dokaze i da obezbedi da integritet i digitalnih i
tradicionalnih dokaza bude nepovreen. Digitalni dokazi na raunaru i
drugim elektronskim ureajima mogu se lako promeniti, izbrisati ili
unititi. Iz tog razloga first responder treba to pre da
dokumentuje, fotografie i zatiti digitalne dokaze na mestu zloina.
Nakon to je zatitio i procenio mesto zloina, on treba da:
Prati politiku odeljnja za zatitu mesta zloina;
Odmah obezbedi sve elektronske ureaje, ukljuujui i line i
prenosive ureaje;
Da se uveri da ni jedna neovlaena osoba nema pristup bilo kom
elektronskih ureaja na mestu zloina;
Da ne prihvata ponude za tehniku pomo od strane neovlaenog
lica;
Udalji sva lica od mesta zloina, ili od neposrednog podruja iz
kojeg se dokazi prikupljaju;
Da se uveri da je stanje elektronskih ureaja nepromenjeno;
Ostavi raunar ili elektronski ureaj iskljuen, ukoliko je ve
iskljuen.Komponente kao to su tastatura, mi, prenosivi mediji za
skladitenje i slino, mogu da sadre osetljive dokaze, kao to su
otisci prstiju, DNK, ili drugi materijalni dokazi koje bi trebalo
sauvati.11.1 DOKUMENTOVANJE MJESTA ZLOINADokumentovanje mesta
zloina obezbeuje beleke, koje e se kasnije koristiti za
istraivanje. Veoma je vano da se zabelei lokacija mesta zloina, kao
i samo mesto zloina; status napajanja, stanje kompjutera, medijuma
za skladitenje, beinih mrenih ureaja, mobilnih i pametnih telefona,
PDA, i drugih ureaja za skladitenje podataka; kao i stanje pristupa
Internetu i mrei, i drugih elektronskih ureaja. First responder bi
trebalo da ima na umu da svi digitalni dokazi ne moraju biti
smeteni u neposrednoj blizini kompjutera ili drugih ureaja.Ovlaena
lica e moda morati da pomere kompjuter ili drugi elektronski ureaj
da bi pronali njegov serijski broj ili neki drugi identifikator.
Premetanje kompjutera ili drugog elektronskog ureaja dok je
ukljuen, moe da oteti digitalne dokaze koje on sadri. Kompjuteri i
drugi elektronski ureaji ne bi smeli da se pomeraju dok se ne
iskljue.
Prvobitna dokumentacija mesta zloina bi trebalo da sadri
detaljan video i fotografski zapis, kao i beleke i skice koje e da
poslue kao pomo za kasniju rekonstrukciju mesta zloina. Sve radnje
i procesi na displeju moraju biti u potpunosti dokumentovani.
Preciznije, first responder u prvobitnoj dokumentaciji mesta zloina
treba da:
Dokumentuje fizike predmete na mestu zloina, kao to je pozicija
mia u odnosu na lokaciju druge komponente (npr. ukoliko je mi sa
leve strane kompjutera, to moe da ukae da je korisnik levoruk);
Dokumentuje stanje i poziciju kompjutera, ukljuujui status
napajanja (da li je upaljen, ugaen ili stanju hibernacije);
Identifikuje i dokumentuje elektronske komponente povezane sa
mestom zloina, koje nee biti prikupljene;
Opie celo mesto zloina, kao i da to potkrepi odgovarajuim
fotografijama. Ukoliko je mogue, cela soba bi trebalo da bude
snimljena, sa pokrivenou od 360 stepeni;
Fotografie frontalnu stranu kompjutera, kao to je ekran monitora
ili neke druge komponente.Takoe treba zapisati ta se pojavilo na
ekranu monitora;
Dodatna dokumentacija sitema e se izvoditi u fazi
prikupljanja.
ZAKLJUAK
Velik vein zloin koji se odvijju uivo mogu se initi i putem runr
ili internet. Elektronski dokz im sve vei znj i zbog tog se s njim
mor postupti vrlo pljivo. esto se prikupljnje i nliz tih dokz ne
moe obviti pomou jednog lt ve kombincijom vie njih. Svki od lt je
nmenjen jednoj ili vie fz istrge. esto su digitlni trgovi oteeni,
pod ztitom ili izgubljeni ili izbrisni, zbog tog se morju koristiti
rzliiti lti. Glvni nedosttk svih lt je to to je velik vein njih
licencirn i cene licenci su veom visoke, to nrvno zvisi od tog kkve
su nmene tog progrm i koliko mogunosti pruju i d li je mogue
dokupljivti njegove dodtke.
LITERATURA1. 13th INTERPOL Forensic Science Symposium, Lyon,
France, 16-19.10.2001.2. Babi V., Kompjuterski kriminal, RABIC,
Sarajevo, 2009.
3. Casey E., Digital Evidence and Computer Crime: Forensic
Science, Computers, and the Internet, Second Edition, Academic
Press, 2004.
4. Eoghan Casey. (2004). Digital Evidence and Computer Crime
Second edition. Academic Press.
5. Eoghan Casey and Benjamin Turnbull. (2011). Digital Evidence
and Computer Crime Third edition. Elsevier Inc.
6. John Sammons. (2012). The Basics of Digital Forensics. 225
Wyman Street, Waltham, MA 02451, USA.7. Zona Kosti, Gojko Grubor.
(2008). Alati za digitalnu forenziku istragu, Univerzitet
Singidunum, Fakultet za poslovnu informatiku. Beograd.
8. Digital Evidence: Standards and Principles. (1996).
http://www.justice.gov 25.04.2013
9. Searching and Seizing Computers and Obtaining Electronic
Evidence in Criminal Investigations (2002)
http://cyber.law.harvard.edu 25.04.1013
IOCE Princips & Definitions, IOCE 2. Conference, 7. 10.
1999., Marriott Hotel, London
HYPERLINK
"http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm"
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
M.Baa., Uvod u ranarski kriminal, FOI Varadin, 2004
SOPs - Standard Operating Procedures
Babi V., Kompjuterski kriminal, RABIC, Sarajevo, 2009, str.
300-302
5Ws and 1H- What, Who, Where, Why, When and How
Dostupno na Internet adresi: HYPERLINK
"http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-nadleznost.htm"
http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-nadleznost.htm,
poseeno 17.10.2010.
Dostupno na Internet adresi: HYPERLINK
"http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-svet.htm"
http://www.datasolutions.rs/srp/kompjuterska-forenzika/kompjuterska-forenzika-svet.htm,
poseeno 17.10.2010.
Schweitzer D., Incident Response: Computer Forensics Toolkit,
Wiley Publishing Inc., Indianapolis, 2003, str. 140
Daubert principi su formulisani presudom u sluaju Daubert protiv
Merrell Dow Pharmaceuticals, Inc., 1993. godine. Prema ovim
principima, sudija prihvata digitalni dokaz na osnovu njegove
relevantnosti, pouzdanosti i poverljivosti predloenih naunih
metoda, teknika akvizicije i analize, i prezentacije digitalnih
dokaza na sudu, i to za svaki konkretan sluaj. Sud odluuje da li je
svedoenje IT vetaka bilo od pomoi za utvrivanje odluujuih injenica
i istine.
Upravljanje razvojem informacionih sistema: Cyber forenzika, mr
Drakuli R.
Casey E., Digital Evidence and Computer Crime: Forensic Science,
Computers, and the Internet, Second Edition, Academic Press, 2004,
str. 671, 672
IRT - Incident Response Team
NIJ - National Institute of Justice
TWGECSI - Technical Working Group for Electronic Crime Scene
Investigation
NIST National Institute of Standards and Technology
Electronic Crime Scene Investigation: An On-the-Scene Reference
for First Responders, U.S. Department of Justice Office of Justice
Programs, 2001, str. 9,10