Digitalna forenzika otkriva kriminalce

Fo­ren­zička ana­li­za računar­skih po­da­ta­ka, fo­to­gra­fi­ja i mo­bil­nih te­le­fo­na pred­stav­lja o­zbi­ljan iza­zov za sav­re­me­ne is­tra­ge. Kakvi su dometi u ovoj oblasti?

Izu­ze­tnim ra­zvo­jem in­for­ma­ci­onih i te­le­ko­mu­ni­ka­ci­onih te­hno­lo­gi­ja sav­re­me­ni svet se u pot­pu­nos­ti pro­me­nio, pos­te­pe­no pre­la­zeći u in­for­ma­ci­ono dru­štvo. Lju­di svo­je ak­tiv­nos­ti, od sva­ko­dnev­nih do onih naj­va­žni­jih, pre­me­šta­ju u ki­ber­pros­tor s ten­den­ci­jom ka pro­du­ža­va­nju vre­me­na bo­rav­ka u tom no­vom i ta­ko za­nim­nji­vom sve­tu ne­slućenih mo­gućnos­ti. Uređaji su sve broj­ni­ji: računa­ri, ta­ble­ti, pa­me­tni te­le­fo­ni… sve to iza­zi­va traj­ne i du­bo­ke te­hno­lo­ške pro­me­ne ka­kve ni­su za­be­le­že­ne u ljud­skoj is­to­ri­ji. Is­tov­re­me­no se o­tva­ra­ju i mo­gućnos­ti za zlo­upo­tre­be. Ka­da de­vi­jan­tna po­na­ša­nja iza­zo­vu šte­tu pos­ta­ju pro­tiv­za­ko­ni­ta i kao ta­kva sprečava­ju se i san­kci­oni­šu. Za­to se ra­zvi­ja­ju no­ve me­to­de ko­je, uz ade­kva­tne za­kon­ske o­kvi­re, mo­ra­ju ima­ti i sav­re­me­ne kibe­ra­la­te ala­te za do­ka­zi­va­nje saj­ber­kri­mi­na­la. Ta­ko se ra­zvi­ja sav­re­me­na di­gi­tal­na fo­ren­zička ana­li­za.

Is­tra­ga i di­gi­tal­ni do­kazi
Kom­pju­ter­ska fo­ren­zička ana­li­za mo­že se de­fi­ni­sa­ti kao ko­rišćenje naučnih me­to­da u ci­lju očuva­nja, pri­ku­plja­nja, va­li­da­ci­je, iden­ti­fi­ka­ci­je, ana­li­ze, tu­mačenja do­ku­men­ta­ci­je i pre­zen­ta­ci­je di­gi­tal­nih do­ka­za i­zve­de­nih iz di­gi­tal­nih i­zvo­ra, u ci­lju olak­ša­va­nja i una­pređenja re­kon­struk­ci­je do­gađaja iz pro­šlos­ti za ko­je je utvrđeno da pred­stav­lja­ju bi­tne ele­men­te kri­vičnog de­la, ili ra­di pre­dviđanja ne­ov­lašćenih ra­dnji ko­je se po­ka­žu da bi mo­gle bi­ti šte­tne za pla­ni­ra­ne ope­ra­ci­je. Ru­ko­vo­di­lac is­tra­ge, a po no­vom Za­ko­ni­ku o kri­vičnom pos­tup­ku to je jav­ni tu­ži­lac, mo­ra o­dmah da u­klo­ni sve me­mo­rij­ske je­di­ni­ce ili kar­ti­ce za ana­li­zu van mes­ta i­zvrše­nja kri­vičnog de­la, da bi se u­tvrdi­le in­for­ma­ci­je ko­je spa­da­ju u o­kvir na­lo­ga za pre­tres. Ovaj pro­ces se sas­to­ji od dva pos­tup­ka: sni­ma­nje i ana­li­za snim­lje­nog ma­te­ri­ja­la.
Prvi ko­rak obav­lja se po stro­go de­fi­ni­sa­noj pro­ce­du­ri ko­ja za cilj ima stva­ra­nje „snim­lje­ne ko­pi­je“ na hard‑dis­ku ko­ji pred­stav­lja duplikat ori­gi­nal­nog me­di­ju­ma, i to „du­pli­ka­te sva­kog bi­ta i baj­ta na ori­gi­nal­nom dis­ku kao o­bjek­tu fo­ren­zičke ana­li­ze, u­ključujući sve da­to­te­ke, na­mer­no os­tav­lje­ne pros­to­re i ta­be­le glav­nih do­si­jea sa svim me­ta­po­da­ci­ma, u is­tom ona­k­vom re­do­sle­du po ko­me se po­jav­lju­ju na ori­gi­nal­nom dis­ku“.
Dru­gi ko­rak u pro­ce­su je fo­ren­zička ana­li­za, u ko­joj se is­pi­tu­je sa­drži­na me­di­ja ko­ji je pre­dmet ana­li­ze, u­ključujući sve po­dat­ke ko­ji spa­da­ju u de­lo­krug in­te­re­so­va­nja is­tra­ge, pre sve­ga ta­ko da bu­du na potpuno po­u­zdan način iden­ti­fi­ko­va­ni.
Računa­ri ko­ris­te ra­zne pro­gra­me ko­ji obav­lja­ju ra­zne fun­kci­je, kao što je elek­tron­ska po­šta, i­gre, mu­zički ser­vi­si, ser­vi­si za ra­zne vrste u­slu­ga i za­ba­vu, dnev­ni pla­ne­ri, vir­tu­el­ni dnev­ni­ci i mno­go dru­gih pro­gra­ma. Je­dan od prven­stve­nih za­da­ta­ka kom­pju­ter­ske fo­ren­zi­ke jes­te da o­dvo­ji po­dat­ke ko­ji ni­su pre­dmet is­tra­ge od po­da­ta­ka ko­ji su značaj­ni za utvrđiva­nje pos­to­ja­nja ele­me­na­ta kri­vičnog de­la u pos­tup­ci­ma osum­njičenog ko­ri­sni­ka ili vla­sni­ka ana­li­zi­ra­nog me­di­ja. Ko­rišćenjem sav­re­me­nih naučnih me­to­da, ra­zvo­jem hi­po­te­ze‑pret­pos­tav­ke uz po­moć do­ka­za do ko­jih smo do­šli, kao kraj­nji cilj ima pro­ve­ru pos­tav­lje­ne hi­po­te­ze, tra­žeći do­da­tne do­ka­ze ko­ji bi po­ka­za­li da je hi­po­te­za o­drži­va ili ne­mo­guća.
Za di­gi­tal­ni do­kaz sma­tra­mo di­gi­tal­ni o­bje­kat ko­ji sa­drži po­u­zda­ne in­for­ma­ci­je ko­je po­drža­va­ju ili opov­rga­va­ju hi­po­te­zu. Ter­mi­ni di­gi­tal­na is­tra­ga i di­gi­tal­na fo­ren­zička ana­li­za po­dra­zu­me­va­ju da se fo­kus ne u­sme­ra­va sa­mo pre­ma te­hno­lo­gi­ji, već i pre­ma za­kon­skim u­slo­vi­ma pod ko­ji­ma se is­tra­žne ra­dnje obav­lja­ju.

U mo­bil­nom svetu
Po­ja­va no­vih plat­for­mi, sve ši­ra pri­hvaćenost cloud computing‑a, kao i ma­sov­na pro­da­ja Android uređaja, pa­me­tnih te­le­fo­na i a­pli­ka­ci­ja za njih stvo­ri­la je o­sno­vu za po­ja­vu BYOD fi­lo­zo­fi­je i is­kom­pli­ko­va­la iona­ko ve­li­ki pro­blem za­šti­te saj­ber­pros­to­ra i od­bra­ne od saj­ber­kri­mi­na­la. Da­nas su na­pa­di na mo­bil­ne uređaje i pra­teće so­ftver­ske plat­for­me naj­ma­sov­ni­ji o­blik kri­mi­na­la. U tom smi­slu, di­gi­tal­na fo­ren­zička ana­li­za mo­bil­nih te­le­fo­na i plat­for­mi pos­ta­la je veoma va­žna stru­ka, a zbog na­glog po­ras­ta zlo­upo­tre­ba ve­za­nih za fo­to­gra­fi­je i snim­ke čiji se broj ne­kon­tro­li­sa­no uvećava za­hva­lju­jući so­ci­jal­nim mre­ža­ma i pa­me­tnim tel­fo­ni­ma, izdvojila se još uža o­blast di­gi­tal­ne fo­ren­zičke ana­li­ze di­gi­tal­nih fo­to­gra­fi­ja i sni­ma­ka.
Da­nas se di­gi­tal­ne fo­to­gra­fi­je i snim­ci mo­gu do­bi­ti iz broj­nih i­zvo­ra, dos­tu­pnih sve većem bro­ju lju­di na pla­ne­ti. Pad ce­na ovih uređaja i po­ja­va dru­štve­nih mre­ža do­ve­li su do ma­sov­ne pro­i­zvo­dnje i ra­zme­ne o­grom­nog bro­ja fo­to­gra­fi­ja i sni­ma­ka, u­ključujući i one ne­do­zvo­lje­ne sa­drži­ne. Za­to je za di­gi­tal­nu fo­ren­zi­ku mo­bil­nih uređaja od izu­ze­tnog značaja po­se­do­va­nje sav­re­me­nih fo­ren­zičkih ala­ta – so­ftve­ra ko­ji mo­gu da od­go­vo­re slo­že­nim u­slo­vi­ma ana­li­ze.

Fo­ren­zička ana­li­za mo­bil­nih te­le­fona
Kod fo­ren­zičke ana­li­ze mo­bil­nog te­le­fo­na su­srećemo se s mno­go pro­ble­ma. Pre sve­ga, ra­zličiti ala­ti za ek­strak­ci­ju po­da­ta­ka iz te­le­fo­na i me­mo­rij­skih kar­ti­ca pro­i­zvo­de ra­zličite se­to­ve po­da­ta­ka. Ne­ma ši­re u­svo­je­nih stan­dar­da, pa po­da­ci i pri­me­nje­ne te­hno­lo­gi­je ni­su in­te­ro­pe­ra­bil­ni, a na­ila­zi se na o­grom­ne ko­ličine po­da­ta­ka, čes­to i vi­še od 100.000 po­da­ta­ka ra­zličite vrste sa­mo na je­dnom te­le­fo­nu. Te­ško je o­dvo­ji­ti po­dat­ke ko­ji su u ve­zi s kri­vičnim de­lom od os­ta­lih, a sa­mi po­da­ci su ne­kon­so­li­do­va­ni i ne­pro­ve­re­ni.
Kom­plek­snost ana­li­ze po­većava ve­li­ki broj i­zvo­ra i vrsta po­da­ta­ka na ko­je na­ila­zi­mo, kao što su: IM­SI (International Mobile Subscriber Identity), ko­ri­snički bro­je­vi, lis­ta po­zi­va, lis­ta SMS po­ru­ka, lis­ta kon­ta­ka­ta, IMEI (International Mobile Equipment Identity), sis­tem da­to­te­ka, mu­zi­ka, fo­to­gra­fi­je, vi­deo‑snim­ci…
U­zmi­mo kao pri­mer di­gi­tal­nu fo­ren­zičku ana­li­zu gru­pe di­le­ra nar­ko­ti­ka od ko­jih je odu­zet veći broj te­le­fo­na, kao i mno­go veći broj SIM kar­ti­ca.

Sli­ka pri­ka­zu­je kom­plek­snost po­da­ta­ka ve­za­nih za međuso­bnu ko­mu­ni­ka­ci­ju i o­gro­man broj os­tva­re­nih kon­ta­ka­ta. Do­daj­mo to­me sve os­ta­le mo­guće po­dat­ke i ko­re­la­ci­je u re­la­tiv­no ma­loj gru­pi te­le­fo­na i SIM kar­ti­ca i sha­tićemo ko­li­ko je slo­že­nop na­pra­vi­ti sud­ski pri­hva­tlji­vu fo­ren­zičku di­gi­tal­nu ana­li­zu mo­bil­nih te­le­fo­na. S ob­zi­rom na to da je da je u re­dov­nom is­tra­žnom pos­tup­ku odu­zi­ma­nje mo­bil­nog te­le­fo­na osum­njičenog kao do­ka­znog ma­te­ri­ja­la pos­ta­lo re­dov­no, mo­že­mo sa­mo za­mi­sli­ti ko­li­ko je ve­li­ki saj­ber­pros­tor svih tre­nu­tno odu­ze­tih mo­bil­nih te­le­fo­na ko­ji na ne­ki način pred­stav­lja­ju do­ka­zni ma­te­ri­jal.

Sav­re­me­na fo­ren­zička ana­li­za mo­bil­nih te­le­fo­na mo­ra da se za­sni­va na ala­ti­ma ko­ji će omo­gućiti is­tra­ži­te­lji­ma brzo, efi­ka­sno i je­fti­no do­bi­ja­nje oba­ve­štaj­nih po­da­ta­ka i po­tre­bnih do­ka­za iz mo­bil­nih te­le­fo­na i te­le­ko­mu­ni­ka­ci­onih mre­ža. Teh­no­lo­gi­ja tre­ba da omo­gući ot­kri­va­nje kri­tičnih ino­frma­ci­ja iz kom­plek­snog spek­tra mo­gućih na ana­li­zi­ra­nim me­di­ji­ma. Sav­re­me­ni ala­ti tre­ba da omo­guće ko­rišćenje za is­tra­ži­va­nje je­dne je­di­ni­ce ili hi­lja­du je­di­ni­ca u is­to vre­me. Va­žno je da se mo­že auto­mat­ski pro­ce­si­ra­ti ve­li­ka ko­ličina te­le­ko­mu­ni­ka­ci­onih po­da­ta­ka i omo­gućiti pris­tup tim po­da­ci­ma u re­al­nom vre­me­nu. Ana­li­za tre­ba da bu­de ta­kva da se ne tro­ši mno­go vre­me­na na ma­ni­pu­la­ci­ju po­da­ci­ma i od­ba­ci­va­nje ne­po­tre­bnih in­for­ma­ci­ja, da se omo­gući lak pris­tup naj­bi­tni­jim in­for­ma­ci­ja­ma, kao što su bro­je­vi, SMS po­ru­ke, kon­tak­ti i sli­ke, s mo­gućnošću ana­li­ze kom­ple­tne ko­re­la­ci­one sli­ke po­da­ta­ka.

Glav­ne ka­rak­te­ris­ti­ke efi­ka­snog fo­ren­zičkog ala­ta za ana­li­zu mo­bil­nih plat­for­mi su:
• Ne­ma posebne po­tre­be za sis­tem­skom in­te­gra­ci­jom
• Bez ma­nu­el­nog čišćenja po­da­ta­ka – auto­mat­ska o­bra­da
• Mre­že se ge­ne­ri­šu auto­mat­ski
• Ko­re­la­ci­ona sli­ka svih po­da­ta­ka, ne sa­mo od slučaja do slučaja
• Mo­gućnost bi­ra­nja in­ter­ven­ci­je nad kon­kre­tnim bro­je­vi­ma odnosno ve­za­ma
• Kon­tak­ti, bro­je­vi, ime­na, po­ru­ke i sli­ke pot­pu­no se pre­tra­žu­ju i auto­mat­ski kla­si­fi­ku­ju
• Po­tre­ba za pro­ve­rom zem­lje, tre­ba da je in­te­gri­sa­na s ma­pi­ra­njem svih bro­je­va po zo­na­ma, zem­lja­ma i o­blas­ti­ma
• Gru­pi­sa­nje, ana­li­za mre­že i vir­tu­el­na in­te­rak­ci­ja, ja­san pre­gled po­ten­ci­jal­ne kri­vične za­je­dni­ce, or­ga­ni­zo­va­ne gru­pe i slično
• Stan­dar­dno i­zve­šta­va­nje u tek­stu­al­nom for­ma­tu sa mo­gućnošću i­zvo­za u ra­zne dru­ge for­ma­te
• La­ka in­sta­la­ci­ja so­ftve­ra na stan­dar­dne računa­re
• U­šte­da vre­me­na na pre­uzi­ma­nju i sla­nju po­da­ta­ka
• Ob­zi­rom na o­grom­nu kol­ičinu po­da­ta­ka, slo­že­nost i du­go­traj­nost sud­skih pos­tu­pa­ka, po­tre­bu za čuva­njem i dis­tri­bu­ci­ju ve­li­kog bro­ja ra­zličitih sa­drža­ja po stro­go kon­tro­li­sa­nim pro­ce­du­ra­ma, va­žno je da, uz ala­te sav­re­me­ne fo­ren­zičke la­bo­ra­to­ri­je za vi­so­ko­te­hno­lo­ški kri­mi­nal, i is­tra­žni or­ga­ni ima­ju kva­li­te­tan so­ftver za u­prav­lja­nje, o­bra­du, ana­li­zu, ar­hi­vi­ra­nje i dis­tri­bu­ci­ju po­da­ta­ka, ka­ko mo­bil­nih ta­ko i kla­sičnih di­gi­tal­nih uređaja.

Fo­ren­zi­ka di­gi­tal­nih slika
Sav­re­me­ni so­ftve­ri za fo­ren­zičku ana­li­zu di­gi­tal­nih sli­ka u­glav­nom ko­ris­te me­to­du Sensor Patern Noise da iden­ti­fi­ku­ju i­zvor­nu je­di­ni­cu ko­ja je ge­ne­ri­sa­la sli­ku. Na ba­zi pri­ro­dnih izo­bličenja i ne­sav­rše­nos­ti ko­ji nas­ta­ju u elek­tron­skim kom­po­nen­ta­ma di­gi­tal­ne ka­me­re, ra­zličitih ose­tlji­vos­ti pik­se­la na sve­tlost, omo­gućava­ju pos­to­ja­nje ro­bu­snog spe­ci­fičnog otis­ka sva­ke od je­di­ni­ca. Na taj način, sva­ki po­je­di­načni di­gi­tal­ni uređaj na ba­zi CCD čipa ima sop­stve­ni „oti­sak prsta“ ili „DNK se­kven­cu“ de­tek­to­va­nu iz šu­ma, ko­ji ge­ne­ri­še pot­pu­no slučaj­no, na o­sno­vu ko­je se je­dno­značno utvrđuje po­re­klo fo­to­gra­fi­je. Kva­li­te­tan. sav­re­men so­ftver i me­to­do­lo­gi­ja za fo­ren­zičku ana­li­zu sli­ke, uz go­to­vo 100% us­pe­ha pri iden­ti­fi­ko­va­nju uređaja, mo­že da is­ko­ris­ti je­dnu je­di­nu fo­to­gra­fi­ja za ana­li­zu.
Pro­fe­si­ona­lan i kva­li­te­tan so­ftver tre­ba da bu­de pri­men­ljiv na sve ka­me­re, mo­bil­ne te­le­fo­ne ili ske­ne­re. Tre­ba­lo bi da de­tek­tu­je sve ka­me­re svet­skih pro­i­zvođača i što veći pro­ce­nat mo­bil­nih te­le­fo­na s ka­me­ra­ma, u­ključujući pa­me­tne te­le­fo­ne i ta­blet računa­re.

Pre­vas­ho­dna pri­me­na soft­ve­ra za di­gi­tal­nu fo­ren­zi­ku fo­to­gra­fi­ja i sni­ma­ka tre­ba da obe­zbe­di:
• Do­ka­zi­va­nje in­te­lek­tu­al­nih pra­va i ot­kri­va­nje ne­ov­laš­ćenog ko­pi­ra­nja konkretnih di­gi­tal­nih sli­ka
• Do­ka­zi­va­nje vla­sni­štva i for­mi­ra­nje di­gi­tal­nog ma­te­ri­ja­la za sud, kri­mi­nal­na i te­ro­ris­tička is­tra­ži­va­nja, do­ka­zi­va­nje pe­do­fi­li­je, dečje por­no­gra­fi­je i omo­gućavanje potrebnih in­spek­cij­skih is­tra­ži­va­nja
• Do­kaz o ra­zme­ni sa­drža­ja i upo­tre­bi sadržaja u ko­mer­ci­jal­ne svrhe
• Do­kaz o ra­zme­ni sa­drža­ja i upo­tre­bu pri kri­mi­nal­nim i te­ro­ris­tičkim is­tra­ži­va­nji­ma
• De­tek­ci­ju mre­ža ko­je dis­tri­bu­ira­ju sli­ke, u ko­mer­ci­jal­ne ili ile­gal­ne svrhe.

So­ftver za di­gi­tal­nu fo­ren­zi­ku sli­ka i sni­ma­ka tre­ba pre svega da alo­ci­ra sli­ku iz sku­pa sli­ka, de­tek­tu­je je­di­ni­cu ko­ja je ge­ne­ri­sa­la sli­ku, uka­že na to da je vi­še sli­ka ge­ne­ri­sa­la je­dna je­di­ni­ca ili da iz sku­pa sli­ka i­zvrši dis­tri­bu­ci­ju sli­ka pre­ma i­zvor­nim je­dni­ca­ma.
Pre sve­ga ne­ko­li­ko ne­de­lja, prvi put u sve­tu je do­ka­zan slučaj pe­do­fi­li­je i do­ne­ta je pre­su­da na o­sno­vu di­gi­tal­ne fo­ren­zičke ana­li­ze sli­ka i sni­ma­ka sav­re­me­nim so­ftve­rom za ana­li­zu bri­tan­ske kom­pa­ni­je Forensic Pathways. To­kom is­tra­ge, od osum­njičenog je odu­ze­to pet te­le­fo­na i je­dan hard‑disk, na ko­ji­ma je pro­nađeno vi­še od 650.000 fo­to­gra­fi­ja. Ana­li­zom sli­ka pro­nađenih u te­le­fo­ni­ma i na hard‑dis­ku ne­dvo­smi­sle­no je utvrđeno da su in­kri­mi­sa­ne fo­to­gra­fi­je i snim­ci pe­do­fi­li­je načinje­ni u­pra­vo te­le­fo­ni­ma ko­ji pri­pa­da­ju osum­njičenom. Osum­njičeni, ko­ji je tvdrio da je sve te fo­to­gra­fi­je ne­ko uba­cio u nje­go­ve uređaje pu­tem In­ter­ne­ta, na­kon suočava­nja sa sud­skim ve­šta­kom i re­zul­ta­ti­ma ana­li­ze urađene FPA so­ftve­rom, pri­znao je na­vo­de op­tu­žni­ce i ne­pra­vo­sna­žno je osuđen na du­go­go­di­šnju ka­znu za­tvo­ra. Očeku­je se da pre­su­da bu­de potvrđena i pra­vo­sna­žna počet­kom ju­la, čime bi ovaj slučaj ušao i for­mal­no u is­to­ri­ju kao prvi ta­kve vrste.

Mr Zoran Živković, dipl.inž
Predsednik društva za informacionu bezbednost Srbije