Nikolaj Goranin Dalius Mažeika
Nusikaltimai elektroninėje erDvėje ir jų tyriMo MetoDikos Nikolaj Goranin Dalius Mažeika
NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE IR JŲ TYRIMO METODIKOS MOKOMOJI KNYGA
Projektas „Aukštojo mokslo I ir II pakopų informatikos ir informatikos inžinerijos krypčių studijų programų atnaujinimas bei naujų sukūrimas ir įgyvendinimas (AMIPA)“, kodas VP1–2.2–ŠMM–09–V–01–003, finansuojamas iš Europos socialinio fondo ir Lietuvos valstybės biudžeto lėšų. Recenzavo: prof. dr. V. Jusas doc. dr. K. Driaunys
© N. Goranin, D. Mažeika, 2011 © KTU Informatikos fakultetas, 2011 © VGTU Fundamentaliųjų mokslų fakultetas, 2011 © UAB TEV, 2011 ISBN 978-609-433-055-1 TURINYS
ĮVADAS...... 7 1. NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE...... 9 1.1. Nusikaltimų elektroninėje erdvėje apibrėžimas ir jų tipai...... 9 1.2. Informacinis karas...... 11 1.3. Savikontrolės klausimai...... 14 2. NEE TEISINIAI ASPEKTAI...... 15 2.1. Teisinė nusikaltimų elektroninėje erdvėje samprata...... 15 2.2. Elektroninių nusikaltimų kategorijos...... 17 2.3. Tarptautiniai teisės aktai ir Konvencija dėl elektroninių nusikaltimų...... 18 2.4. Nusikaltimų elektroninėje erdvėje reglamentavimas Lietuvoje...... 23 2.5. Savikontrolės klausimai...... 27 3. POREIKIS TYRIMAMS IR JŲ TIPAI...... 29 3.1. Formalus ir neformalus metodai...... 30 3.2. „Gyvų“ ir „negyvų“ sistemų tyrimo metodai...... 31 3.3. Savikontrolės klausimai...... 33 4. PIRMINĖ REAKCIJA Į NEE...... 34 4.1. Reagavimas į incidentus, jų sulaikymas bei incidentų valdymo apibrėžimas.34 4.2. Reagavimo į incidentus etapai...... 35 4.3. Incidentų tipai...... 42 4.4. Savikontrolės klausimai ir praktiniai darbai...... 43 5. NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA...... 45 5.1. Bendri NEE tyrimo principai ir etapai...... 45 5.2. Klausimai tyrėjui ir užsakovui tyrimo eigoje...... 46 5.3. Savikontrolės klausimai...... 49 6. ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS...... 50 6.1. Įkalčių savybės...... 51 6.2. Įkalčių kategorijos ir šaltiniai...... 52 6.3. Savikontrolės klausimai...... 55 7. ĮKALČIŲ IŠĖMIMO PROCESAS...... 56 7.1. Įkalčių išėmimo proceso etapai...... 56 7.2. Alternatyvūs įkalčių išėmimo metodai...... 59 7.3. Savikontrolės klausimai...... 60 8. ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI...... 61 8.2. Nestabilių įkalčių surinkimas...... 61 8.2. Stabilių įkalčių surinkimas...... 69 8.3. Įrankai ir priemonės NEE įkalčių paieškai kompiuterių tinkle...... 77 8.4. Savikontrolės klausimai ir praktiniai darbai...... 81
3 9. SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS...... 83 9.1. Saugomų duomenų naikinimo būdai...... 83 9.2. Sunaikintų ir sugadintų duomenų atstatymas...... 87 9.3. Savikontrolės klausimai ir praktiniai darbai...... 89 10. ĮKALČIŲ RINKIMAS VIEŠOJE ERDVĖJE...... 90 10.1. Įkalčių paiešką interneto svetainėse...... 90 10.2. Įkalčių paieška kitose įtariamajam neprieinamose sistemose...... 92 10.3. Savikontrolės klausimai...... 93 11. NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI....94 11.1. NEE tyrimo Windows OS ypatumai...... 94 11.2. NEE tyrimo Linux OS ypatumai...... 96 11.3. Savikontrolės klausimai...... 98 12. ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS...... 99 12.1. Įkalčių vientisumo išsaugojimo metodai...... 99 12.2. Įkalčių grandinė...... 103 12.3. Savikontrolės klausimai ir praktiniai darbai...... 103 13. ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI...... 105 13.1. Įkalčių analizės būdai...... 105 13.2. Įkalčių analizės įrankiai...... 107 13.3. Savikontrolės klausimai ir praktiniai darbai...... 113 14. TYRIMO ATASKAITOS PARENGIMAS...... 114 14.1. Tyrimo ataskaitų tipai...... 114 14.2. Reikalavimai tyrimų ataskaitai...... 115 14.3. Ataskaitos struktūra...... 117 14.4. Savikontrolės klausimai...... 118 15. PROFESINĖ KARJERA...... 119 15.1. Rolės ir pareigos tyrimo metu...... 119 15.2. NEE tyrėjo profesinė etika...... 121 15.3. Sertifikacija...... 122 15.4. Savikontrolės klausimai...... 126 16. NUSIKALTIMŲ TYRIMAS: ATVEJŲ ANALIZĖ...... 127 16.1. NEE plačiąja prasme tyrimo atvejų analizė...... 127 16.2. NEE siaurąja prasme tyrimo atvejų analizė...... 128 16.3. Savikontrolės klausimai ir praktiniai darbai...... 129 SANTRUMPOS...... 131 TERMINŲ ŽODYNĖLIS...... 132 LIETUVIŲ-ANGLŲ TERMINŲ ŽODYNAS...... 133 REKOMENDUOJAMA LITERATŪRA...... 135 NAUDOTA LITERATŪRA...... 137 4 LENTELIŲ SĄRAŠAS
4.1 lentelė. Skirtingų CSIRT grupių tipų lyginamoji analizė...... 35 6.1 lentelė. Elektroninių įkalčių kategorijos...... 53 6.2 lentelė. Elektroniniai įkalčių šaltiniai ir juose aptinkami įkalčiai...... 54 9.1 lentelė. Sunaikintų duomenų atstatymo įrankiai...... 88 10.1 lentelė. Interneto svetainėse randami įkalčiai...... 91 11.1 lentelė. „Windows“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu..95 11.2 lentelė. „Linux“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu....97 12.1 lentelė. Komandos ir įrankiai nestabiliems įkalčiams išsaugoti...... 100 14.1 lentelė. Pavyzdinis NEE tyrimo ataskaitos turinys...... 117
5 PAVEIKSLĖLIŲ SĄRAŠAS
4.1 pav. Reagavimo į incidentus etapai...... 35 4.2 pav. Įkalčių paieškos kontrolinio sąrašo grafiniu pavidalu pavyzdys...... 36 7.1 pav. Įkalčių išėmimo proceso etapai...... 57 7.2 pav. Optimizuota įkalčių išėmimo proceso schema...... 58 8.1 pav. „SecondLook“ įrankio langas, vaizduojantis aptiktą backdoors objektą, paliktą po įsilaužimo...... 63 8.2 pav. Atminties atvaizdo failo nustatymai...... 65 8.3 pav. Įrankio Autoruns.exe langas...... 66 8.4 pav. „Volatility Frameworks“ komandos vykdymo pavyzdys...... 66 8.5 pav. „US-LATT“ programinės įrangos konfigūravimo langas...... 67 8.6 pav. „Encase Forensic“ programos langas...... 70 8.7 pav. „ProDiscover Forensics“ programos langas...... 71 8.8 pav. FTK paketo „Imager“ programos langas...... 73 8.9 pav. „Wireshark“ programos langas...... 78 9.1 pav. Failų trynimas naudojant komandinę eilutę...... 84 9.2 pav. Kontekstinis failų trynimo meniu „Windows“ šeimos operacinėje sistemoje..84 9.3 Pav. Ištrintų failų atstatymas iš šiukšliadėžės...... 85 9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja...... 86 12.1 pav. Portatyvinis diskų kopijavimo įrenginys...... 101 12.2 pav. „Norton Ghost“ vartotojo sąsaja...... 102 13.1 pav. „EnCase“ vartotojo sąsaja...... 107 13.2 pav. FTK įrankio paieškos rezultatai...... 108 13.3 pav. PTK platformos architektūra...... 109 13.4 pav. Tyrėjų veiksmų stebėjimas PTK platformoje...... 110 13.5 pav. Kombinuotojo filtro taikymo rezultatai PTK platformoje...... 110 13.6 pav. MACB vizualizacijos įrankio veikimo rezultatai...... 111 13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius...... 112 13.8 pav. Failų metaduomenų analizė naudojant „Autopsy“ įrankį...... 112
6 ĮVADAS
Platus kompiuterinių ir tinklo technologijų paplitimas šiuolaikinėje visuomenėje XX a. pabaigoje ir XXI a. pradžioje lėmė tai, kad kompiuteriai vis dažniau tampa ne tik teisėtos veiklos, bet ir nusikaltimo įrankiais – ir vykdomo vien elektroninėje erdvėje (įsilaužimai į sistemas, duomenų vagystės, draudžiamo turinio platinimas, autorinių teisių pažeidimai ir t. t.), ir klasikinių nusikaltimų pagalbine priemone (pvz., informa- cijos apie žudymo įrankius paieškai, informacijos mainama tarp teroristinių grupuočių, nusikaltimų planavimui bei kt.). Šios tendencijos savo ruožtu lemia tai, jog vis dažniau tiriant nusikaltimą bei nagrinėjant bylą teisme tenka aiškintis kompiuterinėje erdvėje paliktus pėdsakus arba remtis vien tik jais. Bendriausiuoju atveju nusikaltimų elektro- ninėje erdvėje tyrimų procesą galima apibrėžti kaip įkalčių identifikavimą, surinkimą, išsaugojimą, analizę bei analizės išvadų parengimą. Šiuo metu ši informacijos saugos užtikrinimo tematika negali būti ignoruojama, kadangi organizacija, nepasiruošusi at- sakyti į tokio tipo nusikaltimus, rizikuoja patirti finansinių nuostolių, neužtikrinti rei- kiamo nusikaltimų tyrimo proceso ir taip pačiai tapti teisinio persekiojimo objektu už tyrimo proceso pažeidimą. Nusikaltimų elektroninėje erdvėje pėdsakų nagrinėjimas iškelia daugelį iššūkių teisėsaugos organams bei organizacijų padaliniams, atsakingiems už informacijos sau- gos užtikrinimą. Kaip pagrindinius galima įvardyti šiuos: nagrinėjamų objektų specifi- kos suvokimas (pėdsakai skirtingose operacinėse sistemose, viešoje erdvėje (pvz., soci- aliniuose tinkluose, komentaruose naujienų portaluose), tinklo įrenginiuose, mobiliuo- siuose prietaisuose ir kt.) bei gebėjimas juos tinkamai nagrinėti; įstatymų, reglamentuo- jančių bendruosius nusikaltimų tyrimo procesus, greitai besikeičiančius bei kuriamus teisinius dokumentus elektroninei erdvei reglamentuoti, išmanymas; gebėjimas vertinti skirtingas rizikas (pvz., kas turės didesnės neigiamos įtakos kompanijai – teisėsaugos organų įtraukimas į tyrimą ir informacijos, kad organizacijos informacijos saugos siste- ma buvo pažeista, paviešinimas ar tyrimo vykdymas savo jėgomis bei nuostolių kom- pensavimas). Išvardyti iššūkiai lėmė tai, jog sparčiai evoliucionavo nusikaltimų elek- troninėje erdvėje tyrimo įrankiai ir metodikos, kurie lėmė vis didėjančius reikalavimus besiformuojančiam profesionalių nusikaltimų elektroninėje erdvėje tyrėjų sluoksniui. Tačiau ir nusikaltėliai tapo atsargesni, jiems tapo žinoma, jog jų veiksmai gali būti sekami, o palikti pėdsakai – panaudoti teisme. Paskutinės tendencijos rodo, jog nusi- kaltėliai, anksčiau ignoravę šią grėsmę arba apie ją tiesiog nežinoję, imasi priemonių, siekdami apsunkinti nusikaltimų tyrėjų darbą: taiko duomenų šifravimo metodikas, naudoja automatizuotas įkalčių naikinimo priemones bei vengia tiesiogiai naudoti savo kompiuterius nusikaltimams vykdyti. Šios mokomosios knygos tikslas – supažindinti „Nusikaltimų elektroninėje er- dvėje ir jų tyrimo metodikų“ studijų dalyko klausytojus su pagrindiniais nusikaltimų elektroninėje erdvėje tipais, jų apibrėžimo bei tyrimo teisiniais aspektais, baziniais ty- rimo procesais bei įrankiais, suteikti praktinių žinių nagrinėjant konkrečius pavyzdžius, nurodyti galimas šios srities karjeros galimybes. Rengiant šią mokomąją knygą buvo
7 stengiamasi neapsiriboti vien techniniais aspektais, kurie sparčiai kinta bei lemia greitą knygos medžiagos senėjimą, bet ir pateikti fundamentalius tyrimo aspektus, kurie ga- lėtų būti naudojami kaip bazinė sistema tiriant nusikaltimus ar priimant sprendimus. Autoriai tikisi, kad ši mokomoji knyga taip pat bus naudinga ir kitų analogiškų kursų arba bendrųjų informacijos saugos kursų klausytojams, teisininkams, nagrinėjantiems nusikaltimus elektroninėje erdvėje, teisėsaugos organų atstovams bei visiems, besido- minantiems informacijos saugos tematika. Vadovėlis yra vienas iš pirmųjų bandymų aprašyti nagrinėjamą sritį lietuvių kalba, todėl autoriai atsiprašo už galimas klaidas ir netikslumus bei bus dėkingi už konstruktyvią kritiką ir pasiūlymus. Vadovėlio rengimą finansavo Lietuvos Respublikos švietimo ir mokslo ministe- rija bei Europos Sąjungos struktūriniai fondai.
8 1.
NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE
Siekiant numatyti gynybos priemones, pirmiausia reikia įvardyti grėsmes, jas apibrėžti, kitaip tariant – žinoti savo priešą. Todėl šio skyrelio tikslas yra apibrėžti nusikaltimų elektroninėje erdvėje (NEE, angl. computer crime) sąvoką, siekiant įvesti vienodą sampratą apie šį reiškinį. Žinodamas nusikaltimo apibrėžimą, tyrėjas gali jį klasifikuoti ir imtis reikiamų tyrimo metodų. NEE tyrimo raida evoliucionavo atskirai nuo klasikinių nusikaltimų (plėšimų, prievartavimo, žudymo ir t. t.) tyrimų, juos vykdė specializuotos tyrėjų grupės, turin- čios kompiuterių tinklų, operacinių sistemų ir taikomųjų programų sričių žinių. Tai lėmė savotišką šios srities mistifikaciją visuomenėje ir nesupratimą, kad iš esmės NEE – tik dar viena nusikaltimų atmaina. Todėl dažnai pasirodydavo pranešimų, kad pro- gramišiai (angl. hackers) išvengdavo bausmės vien todėl, kad nebuvo įstatymiškai api- brėžti NEE nusikaltimai, tyrėjams trūko kompetencijos arba teismas negalėjo įvertinti surinktų įkalčių tinkamumo. NEE praėjo ilgą evoliuciją nuo vandalizmo bei gebėjimų demonstravimo (XX a. 7–9deš.) iki juodosios rinkos (nuo XX a. 9-ojo deš. iki dabar), kurioje prieinamos konkurentų puslapių nulaužimo ir blokavimo (de-facing, DDoS tipo atakos), pramo- ninio šnipinėjimo bei sabotažo, nepageidaujamo turinio reklamos (SPAM) paslaugos, išplėtoti sukčiavimo (pvz., phishing) ir draudžiamo turinio platinimo mechanizmai bei daugelis kitų. Platus kompiuterinių technologijų prieinamumas bei galimybė išlikti nepastebėtam vykdant sąlyginai didelio masto diversijas, sudarė patrauklias sąlygas naudoti kompiuterinius puolimus teroristinėms grupuotėms bei atskirų šalių specia- liosioms tarnyboms. Jau realybe tapo informacinis karas, kurio formuluojama dar tik sąvoka, bet neabejotinai turės būti atskirai vertinamas, įteisinamas ir tyrinėjamas.
1.1. Nusikaltimų elektroninėje erdvėje apibrėžimas ir jų tipai
NEE sąvoka šiuo metu apima įvairius nusikaltimus, tokius kaip informacijos vagystė, draudžiamos informacijos (pvz., vaikų pornografijos) platinimas, asmeninės informacijos vagystės, kompiuterinių resursų blokavimas, autorinių teisių pažeidimas bei daugelis kitų, tačiau bendriausiu atveju NEE gali būti suskirstyti į dvi grupes: ▬▬ NEE siaurąja prasme, arba nusikaltimai, tiesiogiai darantys įtaką kompiuterinei sistemai arba joje esantiems duomenims, kitaip tariant, pati kompiuterinė siste- ma yra nusikaltimo tikslas; ▬▬ NEE plačiąja prasme apibrėžiami kaip bet kokie nusikaltimai, kuriems įvykdyti vienaip ar kitaip buvo panaudotos kompiuterinės technologijos, o nusikaltimo faktui įrodyti turi būti taikomos specifinės NEE tyrimo priemonės.
9 Nereikia pamiršti, kad kompiuterinės technologijos tapo prieinamos nusikaltė- liams bei teroristinėms grupuotėms, kurios naudoja kompiuterių sistemas kaip informa- cijos rinkimo, veiksmų planavimo ir duomenų mainų įrankį. Būtent šituo apibrėžimu, kuriuo naudojasi JAV Federalinis tyrimų biuras, ir bus vėliau vadovaujamasi šiame va- dovėlyje, atsižvelgiant į jo universalumą (apimamos ne vien kompiuterinės, bet ir greti- mos technologijos, tokios kaip mobilieji įrenginiai) bei platumą. Tačiau šiame skyriuje supažindinsime ir su kitų autorių siūlomais apibrėžimais, kad būtų matyti apibrėžimų raida bei NEE kategorijos, kurias kaip svarbesnes išskiria autoriai. Vienas iš pirmųjų apibrėžti NEE 1976 metais bandė Donn Parker (Parker 1976), kuris pasiūlė naudoti piktnaudžiavimo kompiuteriu terminą (angl. computer abuse), kuris reiškė „bet kokį incidentą, apimantį tyčinį veiksmą, susijusį su kompiuteriais, kurio metu auka patyrė / galėjo patirti nuostolių arba nusikaltėlis turėjo naudos“. De- talizuojant šį aukšto lygio apibrėžimą Donas Parkeris išskyrė tokias piktnaudžiavimo kompiuteriu kategorijas: ▬▬ kompiuteris arba jame esantys duomenys yra neteisėto veiksmo objektas; ▬▬ kompiuteris sukuria unikalią aplinką arba vertybių formą; ▬▬ kompiuteris yra veiksmo įrankis arba instrumentas; ▬▬ kompiuteris naudojamas kaip šantažo arba grasinimo priemonė. Aprašytos kategorijos yra pakankamai plačios, todėl iki šiol nėra praradusios savo aktualumo nuo 1976 metų. Vėliau tyrinėtojai bandė tikslinti šį apibrėžimą bei teikti savo pasiūlymus. Pa- vyzdžiui, Majid Yar teigia, kad bendriniai terminai kompiuterinis nusikaltimas arba kibernetinis nusikaltimas yra neteisingi ir būtina bent atskirti nusikaltimus, kuriuose kompiuteris naudojamas kaip pagalbinė priemonė (angl. computer-assisted crimes), t. y. egzistavusius iki kompiuterių atsiradimo, bet įgavusių naujų formų kibernetinėje er- dvėje (sukčiavimas, seksualinis priekabiavimas, neapykantos kurstymas, pornografija), nuo į kompiuterius orientuotų nusikaltimų (angl. computer focused crimes), kurie susi- formavo kartu su kompiuterių atsiradimu ( programišių veikla, kenksmingo programi- nio kodo (KPK) atakos, saitynų (Web) puslapių modifikavimas). Autorius taip pat siūlo detalesnę NEE kategorizaciją: ▬▬ kibernetinis peržengimas (angl. cyber-trespass) – žmonių arba organizacijų nuo- savybės ribų peržengimas, sukeliant tam tikrų nuostolių (programišių veikla, defacement, KPK atakos); ▬▬ kibernetinė apgaulė ir vagystė (angl. cyber-deceptions and thefts) – veiksmai ki- bernetinėje erdvėje, kai vagiamos arba apgaulės būdų įgijamos finansinės (pvz., bankinių kortelių numeriai) arba intelektinės (pvz., piratavimas) vertybės; ▬▬ kibernetinė pornografija (angl. cyberpornography) – veiksmai, kurie peržengia nustatytas padorumo ribas; ▬▬ kibernetinis smurtas (angl. cyber-violence) – psichologinis smurtas arba neapy- kantos kurstymas naudojant kompiuterines priemones. Marjorie Britz teigia, kad kompiuterinis nusikaltimas, tai bet koks neteisėtas veiksmas, atliktas kompiuteriu, o su kompiuteriu susijęs nusikaltimas yra bet koks
10 neteisėtas veiksmas, kurio metu kompiuteris neatliko pagrindinio vaidmens. Galima matyti, kad šitie du apibrėžimai iš dalies yra vienodi ir nėra labai griežti, kas būdinga daugeliui NEE apibrėžčių. Douglas Thomas ir Brian Loader apibrėžia kibernetinį nusikaltimą kaip kom- piuteriu atliekamus veiksmus, kurie yra nelegalūs arba neteisėti, atliekami globaliuose elektroniniuose tinkluose. Robert Taylor (Taylor et al. 2005) pabrėžia, kad kompiuterinio nusikaltimo api- brėžimas yra sudėtingas uždavinys bei siūlo išplėsti D. Parker klasifikaciją, skirstant NEE į tokias kategorijas: ▬▬ kompiuteris kaip tikslas – atakos tikslas yra pažeisti teisėtų vartotojų prieigą prie sistemų ir duomenų; ▬▬ kompiuteris kaip nusikaltimo instrumentas – kompiuteris naudojamas nusikals- tamos veiklos tikslui pasiekti, pvz., duomenų vagystei; ▬▬ kompiuteris kaip nusikaltimo vykdymo antraeilis įrankis – kompiuteris nėra nu- sikaltimo pagrindas, tačiau palengvina jo vykdymą, pvz., pinigams plauti arba pornografijai platinti; ▬▬ kompiuteriai, susiję su kompiuterių paplitimu – šita kategorija apima nusikalti- mus prieš kompiuterių ir IT industriją, tokius kaip intelektinės nuosavybės va- gystė ir programinės įrangos piratavimas. Europos Komisijos dokumentuose kompiuterinis nusikaltimas apibrėžiamas kaip bet koks neteisėtas veiksmas, apimantis kompiuterį, jų sistemą arba programinę įrangą. (teisinis NEE apibrėžimas detaliau nagrinėjamas 2 skyriuje). Kaip matome iš pateiktų apibrėžimų, jie nėra visuomet vienareikšmiai, dažnai išskiriamos autoriaus nuomone svarbiausios kategorijos, yra panašūs arba nėra „iškal- būs“ (pvz., prie kategorijos kompiuteriai, susiję su kompiuteriu paplitimu galima be papildomo išaiškinimo priskirti bet kokį NEE). Tai, be abejo, parodo, jog supratimas apie NEE dar nėra iki galo susiformavęs, egzistuoja poreikis detalesniam problemos nagrinėjimui bei NEE klasifikavimui. Dėl šios priežasties toliau šioje knygoje yra var- tojamas tik bendrinis NEE terminas, neskiriant jo pagal prigimtį ar charakteristiką. Apibrėžimą taip pat apsunkina skirtingų šalių teisiniai nesutapimai, kas laikoma nusikaltimu (pvz., dėl skirtingo pilnametystės apibrėžimo tai, kas vienoje šalyje laiko- ma vaikų pornografija, kitoje gali būti įvertinta kaip teisėto turinio produkcija; teisės aktų, reglamentuojančių intelektinės nuosavybės klausimus, nebuvimas gali lemti, kad nusikaltėlis negali būti patrauktas baudžiamojon atsakomybėn už piratinės programi- nės įrangos platinimą). Įvairūs sunkumai bei teisiniai aspektai plačiau nagrinėjami 2 skyriuje.
1.2. Informacinis karas
Kaip gan specifinis NEE gali būti nagrinėjamas informacinis karas visokiausio- mis jo atmainomis: ir taikomas teroristinių grupuočių, ir šalių specialiųjų tarnybų kitų šalių atžvilgiu (parengta pagal Kumetaitis ir Goranin 2007).
11 Informacinis karas – reiškinys, atsiradęs plačiai paplitus masinėms visuome- nės informavimo priemonėms. Paskutiniu metu vis svarbesnės tampa IT technologijos (ypač internetas). Informacinėms technologijoms vis labiau besiskverbiant į naujausias karines technologijas bei visuomenės gyvenimą ir žmonijai tampant vis labiau priklau- somai nuo šių sistemų, iškyla naujos grėsmės dėl sistemų nepakankamo saugumo ir atsparumo tinklinėms atakoms ir kenksmingam programiniam kodui. Šis sistemų ne- atsparumas taip pat suteikia naujų galimybių siekiant pakenkti savo priešininkams ir konkurentams. Šiuo metu apytikriai 90–95 proc. visų karinių komunikacijų perduodamos ko- mercinėmis linijomis. Karinės pajėgos yra labai priklausomos nuo šių linijų, labai daž- nai šiais tinklais yra siunčiama koduota slapta informacija. Priešiškoms grupėms galbūt ir nepavyktų perimti ir iššifruoti perduodamų signalų, tačiau jos gali nuslopinti civili- nes komunikacijos linijas, tuo pačiu palikdamos kariuomenę be komunikacijų, įveliant sumaišties bei neorganizuotumo joje. Beveik visos valstybės, tai pat ir Jungtinės Amerikos Valstijos, daugumą savoms sistemoms skirtų mikroschemų perka iš kitų šalių įmonių, su kuriomis potencialiai atei- tyje yra įmanomas ir karinis konfliktas. Tokios mikroschemos valdo pačią moderniau- sią karinę techniką ir pačius galingiausius ginklus, todėl iškyla labai didelė grėsmė, kad tos mikroschemos kritiniu momentu gali suveikti ne taip, kaip tikimasi, ar net visai nesuveikti. Tiekimas iš sąjunginių šalių taip pat negali garantuoti patikimumo. Pati moderniausia karinė technika, tokia kaip B-2 bombonešis, F-22 ir F-35 nai- kintuvai, buvo suprojektuoti naudojant kompiuterinę techniką ir visa informacija apie šiuos projektus yra saugoma tam tikruose kompiuteriuose ar darbo stotyse, sujungtose tam tikrais kompiuterių tinklais. Tai yra labai patogu norint pasidalinti informacija su kitomis gamyklomis apie jau sukurtas detales, kurias galima panaudoti ir kitose kons- trukcijose, tačiau tuo pačiu atsiranda galimybė prieiti prie šios informacijos asmenims, kuriems neturėtų būti leista tai daryti. Be to išlieka galimybė tokį tinklą sutrikdyti ir padaryti didelių nuostolių karinę techniką gaminančioms kompanijoms, ypač atsižvel- giant į tai, jog karinės įrangos gamyba užsiima komercinės kompanijos, taikančios skir- tingus informacijos saugos standartus. Šiuolaikiniai protingieji ginklai savo taikinį sugeba susirasti patys pagal gautą taip vadinamąjį duomenų komponentą, kuris nurodo, kokio taikinio reikia ieškoti: ar tai būtų intensyvus infraraudonųjų spindulių šaltinis (lėktuvo ar tanko išmetamojo vamz- džio spinduliuojama šiluma), ar tam tikros taikinio koordinatės. Pakeitus tokį duomenų elementą arba jį visai ištrynus, net ir pats protingiausias ginklas tampa visiškai „kvailu“ ir nevaldomu. Persų įlankos karai akivaizdžiai parodė, jog stoti į atvirą karinį konfliktą su išsi- vysčiusiomis pasaulio valstybėmis nėra perspektyvu. Kur kas patrauklesnė alternatyva yra asimetrinių metodų, prie kurių priskiriamas ir informacinis karas, taikymas. Informacinis karas pritraukia vis daugiau dėmesio dėl dviejų esminių priežasčių. Pirmoji – kompiuterių sistemų puolimas yra kur kas paprastesnis, lengvesnis, pigesnis ir, svarbiausia, mažiau rizikingas nei sabotažas, nužudymas, įkaitų ėmimas bei lėktuvų
12 grobimas. Todėl informacinis karas gali tapti prioritetine strategija, ypač taikos periodu. Antroji priežastis – informacinis karas yra ne tik galima grėsmė, bet ir galimybė. Nau- jos karo strategijos remiasi informacinėmis technologijomis (pvz., tinklocentrinis karo modelis). Informacinės technologijos – išsivysčiusių šalių stiprioji pusė, todėl karinės pajėgos gali kuo puikiausiai pasinaudoti IT suteikiamomis galimybėmis ir sustiprinti gynybines sistemas prieš priešiškas atakas. Todėl informacinį karą galima apibrėžti taip: informacinis karas – veiksmų visuma, siekiant apsaugoti savas informacines sis- temas nuo neteisėto panaudojimo, duomenų iškraipymo arba visiško sunaikinimo, tuo pačiu siekiant informacinio pranašumo pasinaudojant, iškraipant arba sunaikinant opo- nento informacines sistemas. Informacinio karo tipai ir strategijos: ▬▬ C2 karas (angl. Command and control warfare), kurio pagrindinė idėja – atkirsti priešininko karinių pajėgų „galvą“ nuo viso „kūno“ – paremta karinių komunikaci- nių tinklų nutraukimu arba perduodamos informacijos iškraipymu. ▬▬ Elektroninis karas (angl. electronic warfare), kurį sudaro trys pagrindinės dalys: ――elektroninės atakos – elektromagnetinio spektro panaudojimas, siekiant pakenkti, suklaidinti ar visai sunaikinti priešo elektronines sistemas (pvz., elektromagnetinis impulsas, trikdžiai ir t. t.); ――elektroninės apsaugos – visos įmanomos priemonės, siekiant apsaugoti savo ir sąjungininkų elektroniką nuo priešininko elektroninės atakos; ――elektroninis palaikymas – pasyvus elektromagnetinio spektro panaudojimas, siekiant išžvalgyti priešininko pozicijas, surasti potencialius taikinius. ▬▬ Psichologinis karas (angl. Psychological warfare) naudojamas psichologiškai paveikti priešininką, priešiškos valstybės visuomenę ar atskirus individualius asmenis, naudojant politinį spaudimą, dezinformaciją, propagandą ar psicholo- ginio teroro priemones. ▬▬ Programišių karas (angl. Hacker warfare) – informacinio karo rūšis, kai pavie- niai individai atakuoja sistemas ir bando į jas įsilaužti. ▬▬ Kibernetinis karas (angl. Cyber warfare) – gerai organizuotų tinklo įsilaužėlių grupuočių atakos prieš informacines sistemas, siekiant į jas įsilaužti, perimti ar sunaikinti ten esančią informaciją arba sutrikdyti visą sistemą. ▬▬ Tinklinis karas (angl. Net warfare) – informacinio karo strategija, apimanti itin plataus mąsto tinklo įsilaužėlių atakas prieš informacines sistemas, pasižyminti tuo, kad yra beveik nepastebima ir yra nepaprastai sudėtinga nuo tokios atakos apsisaugoti (nukenksminti visus atakuojančius dėl labai didelio jų kiekio). ▬▬ Ekonominis informacinis karas (angl. Economic information warfare) –infor- macinio karo tipas, kai siekiama perimti informaciją ar pakenkti savo konkuren- tams, siekiant pranašumo rinkoje, arba siekiama žlugdyti priešiškos valstybės ekonomiką. Informacinio karo pagrindinės savybės: ▬▬ Mažos išlaidos. Lyginant su klasikiniu karu, informacinis karas reikalauja daug kartų mažesnių išlaidų – nereikia investuoti milijardinių lėšų į nepaprastai bran-
13 giai kainuojančią karinę techniką. ▬▬ Atstumas informaciniame kare tapo visai nebereikšmingas, informaciniame kare išnyksta ir valstybių sienos, nes pasiekti bet kokią informacinę sistemą, prijungtą prie interneto, galima iš bet kurio pasaulio krašto, turint kompiuterį, interneto prievadą ir reikiamų žinių. ▬▬ Informacinis karas yra pakankamai anonimiškas. Gerai įgudusius tinklo įsilau- žėlius praktiškai neįmanoma sugauti ir identifikuoti. ▬▬ Pakankamai didelis informacinių sistemų pažeidžiamumas. Šiame vadovėlyje nenagrinėjamos specifinės informacinio karo įvykių tyrimų metodikos. Dauguma jų techniškai nesiskiria nuo smulkių NEE tyrimų, tačiau pasižy- mi ypatingai dideliu darbų mastu, sudėtingumu, daugybe politinių niuansų, kurie yra už šios knygos ribų.
1.3. Kontroliniai klausimai
1. Pateikite bent tris NEE apibrėžimus. 2. Į kokias kategorijas siūloma skirstyti NEE? Pateikite bent du pavyzdžius. 3. Kokios NEE savybės, Jūsų nuomone, leidžia jas atskirti nuo kitų nusikalti- mų tyrimo? 4. Apibrėžkite informacinio karo sąvoką. 5. Išvardykite kelias informacinio karo savybes.
14 2.
NEE TEISINIAI ASPEKTAI
Nusikaltimai elektroninėje erdvėje – sąlyginai nauja sritis daugelio šalių teisi- nėje praktikoje. Šių tipų nusikaltimų terminai nėra galutinai nusistovėję teisėsaugoje, o galiojantys įstatymai yra nuolat tobulinami. IT specialistas, būdamas elektroninio nusikaltimo liudininkas ar atlikdamas elektroninių nusikaltimų tyrimą, privalo veikti nenusižengdamas galiojantiems įstatymams ir teisės aktams, todėl dažnai susiduria su esminiais klausimais: ▬▬ ar nepažeidžiami įstatymai renkant ir tikrinant naudotojų duomenis, stebint nau- dotojų veiksmus kompiuterių tinkle, analizuojant failų saugyklų turinį; ▬▬ ar naudojami tinkami, nenusižengiantys įstatymams incidento įrodymų rinkimo metodai. Specializuotos teisinės žinios yra būtinos kiekvienam IT administratoriui ar in- formacijos saugos specialistui, vykdančiam kasdienę veiklą. Ypač svarbu būti susipa- žinus su svarbiausiais šią sritį reglamentuojančiais teisiniais aktais: Europos Tarybos konvencija dėl elektroninių nusikaltimų, Lietuvos Respublikos baudžiamojo kodekso 30 skyriumi, LR elektroninių ryšių įstatymu ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencija. Žymiai palankiau vertinamas toks IT darbuotojas, kuris sugeba ne tik užtikrinti tinkamą informacijos ir IT infrastruktūros saugą organizacijoje, bet turi ir pakankamai teisinių žinių, todėl galinčio tinkamai elgtis įvykus elektroniniam nusikaltimui. Šiame skyriuje apžvelgsime Lietuvoje bei Europoje galiojančius teisės aktus ir įstatymus, apibrėšime elektroninių nusikaltimų rūšis teisiniu aspektu, tokių nusikaltimų daromą žalą, panagrinėsime bausmes, taikomas įvykdžius nusikaltimus elektroninėje erdvėje.
2.1. Teisinė nusikaltimų elektroninėje erdvėje samprata
Nors jau keletą dešimtmečių susiduriama su nusikaltimais elektroninėje erdvėje, tačiau bendros teisinės sampratos, kas yra elektroninis ar kompiuterinis nusikaltimas, taip ir nėra suformuluota. Apibūdinant nusikaltimus elektroninėje erdvėje dažnai re- miamasi JAV įstatymine baze, kur naudojami tokie terminai kaip cyber crime (liet. elektroniniai nusikaltimai), computer crime (liet. kompiuteriniai nusikaltimai), com- puter-related crime (liet. su kompiuteriais susiję nusikaltimai), internet-related crimes (liet. su internetu susiję nusikaltimai). 2001 m. priėmus Europos Tarybos konvenciją dėl elektroninių nusikaltimų (angl. Convention on Cybercrime), teisminėje praktikoje pradėtas vartoti elektroninio nusikaltimo terminas, nors iki tol aktyviai buvo naudoja- ma kompiuterinio nusikaltimo sąvoka. Elektroninio nusikaltimo sąvoka yra pakanka-
15 mai plati ir siejama su skaitmenine informacija, duomenimis, internetu, programine ir kompiuterine įranga. Teisiniu požiūriu elektroniniai nusikaltimai apima neteisėtus veiksmus, susijusius su prieiga prie kompiuterinės sistemos ir joje esančio turinio, jo keitimo ar modifikavimo bet kokia forma. Šio tipo nusikaltimas apima ir neteisėto ar žalingo turinio skaitmeninės informacijos laikymą, platinimą ir naudojimą. Elektroniniams nusikaltimams priskiriamos veikos, padarytos naudojant kom- piuterius ar išmaniuosius elektroninius įrenginius, siekiant neteisėtai perimti, sugadin- ti, sunaikinti pašalinti duomenis, sutrikdyti ar nutraukti informacinės sistemos darbą. Kaip pažymi teisės specialistai, šiais laikais elektroniniai nusikaltimai jau neatsiejami ir nuo interneto kaip terpės, kurioje vykdoma neteisėta veika. Apibendrinant galima teigti, kad teisiniu požiūriu elektroniniams nusikaltimams priskiriamos tokios neteisėtos veikos, kuriose kompiuterinė ar programinė įranga yra nusikaltimo objektas arba įrankis, ir kitos neteisėtos veikos, susijusios su skaitmenine informacija ir jos apdorojimu. Pavyzdžiui, kompiuteris ar kitas elektroninis įrenginys gali būti ir nusikaltimo objektas, t. y. jis gali būti pavogtas ar piktybiškai sugadintas, ir juo gali būti vykdoma DoS ataka, įsilaužimas į informacinę sistemą ar internetinį portalą, ištrinami ar sugadinami naudotojų duomenys. Reikėtų pažymėti, kad tokia elektroninio nusikaltimo samprata galioja daugelyje šalių ir neprieštarauja Konvencijai dėl elektroninių nusikaltimų, kurioje nors ir nėra pa- teiktas elektroninio nusikaltimo apibrėžimas, bet iš joje išdėstytų kriminalizuotų veikų, apimančių tokio tipo nusikaltimus, galima daryti analogiškas išvadas.
Elektroninio nusikaltimo apibrėžimas Lietuvos teisiniuose dokumentuose
Nusikaltimai elektroninėje erdvėje pripažįstami kaip neteisėta veika ir Lietu- voje. Panagrinėkime, kaip tokie nusikaltimai apibrėžiami Lietuvos Respublikos bau- džiamajame kodekse (toliau BK). Senajame 1961 m. BK bausmės už elektroninius nusikaltimus buvo skiriamos pagal 274 straipsnį, kurio pirmoji dalis apibrėžė sukčiavi- mo sąvoką, kai naudojama kompiuterinė įranga, o antroji dalis – sukčiavimą, padarytą sudarant žinomai neteisingą kompiuterinę programą. Tokio tipo sukčiavimai iš esmės nesiskyrė nuo įprastinio sukčiavimo, skyrėsi tik nusikaltimo įrankis, kuris nebuvo deta- liai įvardintas, todėl šio tipo nusikalstamos veikos sąvoka nebuvo apibrėžta. 2000 m. išleistame naujajame BK elektroniniams nusikaltimams yra skirtas 30 skyrius „Nusikaltimai informatikai“. Skyriaus pavadinime pavartotas žodis „informa- tika“, kurio samprata pakankamai plati, nes informatika – tai mokslo šaka, nagrinė- janti informacijos apdorojimą, panaudojant kompiuterinę įrangą. Informatika apima abstrakčių algoritmų, formalių gramatikų tyrimus, programavimo kalbas, programinę ir techninę įrangą. Taigi skaitmeninė informacija ir jos apdorojimas, šiuo atveju, tampa nusikaltimo objektu, nors informatikos specialistai labiau linkę vartoti konkretesnius terminus, tokius kaip duomenys, informacinė sistema, kompiuterių tinklai, programinė įranga – tai tiksliau apibrėžia patį nusikaltimo objektą. Todėl 2007 m. BK 30 skyrius buvo atnaujintas pakeičiant ne tik jo pavadinimą į „Nusikaltimai elektroninių duomenų ir informacinių sistemų saugumui“, bet ir 196, 198 ir 198 straipsnius. Įvesti pakeitimai
16 atitiko Europos Tarybos rekomendacijas ir tiksliau apibrėžė nusikaltimų rūšis ir jiems taikomas bausmes. Nagrinėjant nusikaltimus elektroninėje erdvėje baudžiamosios teisės atžvilgiu, elektroninis nusikaltimas suprantamas kaip bet koks baudžiamosios ar administracinės teisės pažeidimas, kuriame kompiuterių sistema, duomenų perdavimo tinklai ar skai- tmeninė informacija yra nusikaltimo objektas arba įrankis. 2004 m. Lietuvai ratifikavus Budapešto Konvenciją dėl elektroninių nusikaltimų, elektroninio nusikaltimo terminas buvo de jure įteisintas Lietuvos teisėsaugos dokumentuose, todėl tolesniuose skyriuose šie nusikaltimai bus nagrinėjami konvencijoje patiektos sampratos kontekste. Apibendrinant galima teigti, kad teisinėje praktikoje nėra universalios ir vie- ningos elektroninio nusikaltimo sampratos dėl veikų skirtumo, siejamų su tokio tipo nusikaltimais. Taip pat reikia pažymėti, kad daugelio šalių įstatymuose elektroniniai nusikaltimai interpretuojami panašiai; tai leidžia teisėsaugos institucijoms užtikrinti tarptautinį bendradarbiavimą, užkertant kelią nusikaltimams elektroninėje erdvėje.
2.2. Elektroninių nusikaltimų kategorijos
Prof. U. Sieber savo ataskaitoje „Legal Aspects of Computer-Related Crimes in Information Society“ išskiria tokius saugomus interesus: ekonominį, privatumo ir kitus. Šiuos interesus saugo daugelis tarptautinių ir Lietuvos teisės aktų, kuriuos galima būtų suskirstyti į: ▬▬ ekonominių interesų apsaugos (Konvencija dėl elektroninių nusikaltimų, Lietu- vos BK 196–198 str.); ▬▬ privatumo apsaugos (Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas, Lietuvos BK 166–168 str., Strasbūro Konvencija dėl asmenų apsau- gos ryšių su asmens duomenų automatizuotu tvarkymu); ▬▬ intelektinės nuosavybės teisių apsaugos (Konvencija dėl elektroninių nusikal- timų, Lietuvos Respublikos autorių ir gretutinių teisių įstatymas, Lietuvos BK 191–194 str.); ▬▬ apsaugos nuo žalingo ir žeidžiančio turinio informacijos (Konvencijos dėl elek- troninių nusikaltimų papildomas 2003 m. protokolas, Lietuvos BK 162, 309 str.). Reikia paminėti, kad elektroninių nusikaltimų klasifikacija pateikiama ir Kon- vencijoje dėl elektroninių nusikaltimų, kurioje 2 skyriaus 1 skirsnyje „Materialioji bau- džiamoji teisė“ nusikaltimai klasifikuojami pagal nusikalstamos veikos pobūdį: ▬▬ nusikaltimai, pažeidžiantys kompiuterinės informacijos ir kompiuterių sistemų konfidencialumą, vientisumą ir prieinamumą; ▬▬ su kompiuterių naudojimu susiję nusikaltimai; ▬▬ turinio nusikaltimai; ▬▬ pažeidimai, susiję su autorių ir gretutinėmis teisėmis. Nusikaltimams, pažeidžiantiems kompiuterinės informacijos ir kompiuterių sis- temų konfidencialumą, vientisumą ir prieinamumą, priskiriami tokie veiksmai: neteisė- ta prieiga prie visos kompiuterinės sistemos arba jos dalies; neteisėta neviešo kompiu-
17 terinių duomenų perdavimo į kompiuterinę sistemą perimtis; kompiuterinių duomenų sugadinimas, sunaikinimas, apgadinimas, neteisėtas kompiuterinės sistemos darbo trukdymas įvedant, perduodant, sugadinant ar sunaikinant kompiuterinius duomenis; elektroninių įtaisų, kompiuterinių programų, prisijungimo kodų, slaptažodžių gamini- mas, pardavimas, įsigijimas naudoti, įvežimąas platinimas aukščiau išvardintiems nu- sikaltimams daryti. Su kompiuterių naudojimu susijusiems nusikaltimams priskiriami kompiuterinės klastotės ir sukčiavimas, ketinant gauti neteisėtos ekonominės naudos sau arba kitam asmeniui. Turinio nusikaltimams priskiriamos tokios nusikalstamos veikos kaip pornogra- finio turinio produkcijos, kurioje atvaizduotas vaikas, gaminimas, siūlymas, platinimas, įsigijimas ir laikymas. Pažeidimai, susiję su autorių teisėmis ir gretutinėmis teisėmis, apima literatūros ir meno kūrinių apsaugos pažeidimus, atlikėjų, fonogramų gamintojų ir transliuojančiųjų organizacijų apsaugos pažeidimus.
2.3. Tarptautiniai teisės aktai ir Konvencija dėl elektroninių nusikaltimų
Šiuolaikinės visuomenės gyvenimas neatsiejamas nuo kompiuterinės ir progra- minės įrangos, informacinių sistemų bei interneto. Kompiuterizuotos sistemos nau- dojamos praktiškai visoms žmogaus veikloms, todėl korektiškas sistemų ir jų tinklų funkcionavimas būtinas, siekiant užtikrinti stabilią veiklą. Natūralu, kad netgi nedidelis sistemų sutrikimas gali sukelti sumaištį, destrukciją ar netgi pavojų žmogaus sveikatai ir gyvybei. Atsižvelgiant į tai, kad šiais laikais kompiuteriai yra įjungti į globalų kom- piuterių tinklą, o elektroninių nusikaltimų įvykdymo bei nusikaltėlio fizinio buvimo vietos paprastai nesutampa, tokio tipo nusikaltimų teisinis reglamentavimas dėl skir- tingų požiūrių ir nacionalinių ypatumų įvairiose šalyse yra skirtingas bei dažnai nepa- kankamas. Todėl natūraliai kyla poreikis nusikaltimus elektroninėje erdvėje persekioti ir bausti tarptautiniu mastu. Pirmieji tarptautinio bendradarbiavimo žingsniai buvo padaryti 1983 m., kai Ekonominio bendradarbiavimo ir plėtros organizacijos (EBPO) kompiuterinių nusikal- timų komitetas išleido ataskaitą „Su kompiuteriais susijęs nusikalstamumas: teisinės politikos analizė“ („Computer-Related Crimes: Analysis of Legal Policy“) ir rekomen- davo šios organizacijos narėms kriminalizuoti konkrečias veikas, siejamas su elektro- niniais nusikaltimais. 1992 m. EBPO paruošė kitą rekomendaciją „Dėl informacinių sistemų apsaugos gairių“ („Concerning Guidelines for the Security of Information Sys- tems“), kurioje suformulavo reikalavimus informacinių sistemų saugai užtikrinti. 1989 m. Europos Tarybos su kompiuteriais susijusių nusikaltimų ekspertų komi- tetas paruošė rekomendaciją Nr. R (89) 9 „Dėl su kompiuteriais susijusių nusikaltimų“ („Recommendation Nr. R (89) 9 on Computer-Related Crimes“). Rekomendacijoje aprašoma su kompiuteriais susijusio nusikaltimo samprata, nustatytas minimalus (8 punktų) ir pasirinktinis (4 punktų) kriminalizuotų veikų sąrašas, procesinės normos (kompiuterinių įrodymų rinkimo leistinumas, įrodymo rinkimo būdai ir metodai), su
18 kompiuteriais susijusių nusikaltimų prevencija bei latentiškumo mažinimas. Europos Tarybos parengtos rekomendacija tikslas – suvienodinti Europos Sąjungos šalių teisi- nes sistemas dėl su kompiuteriais siejamų nusikaltimų vertinimo ir užtikrinti tarptautinį bendradarbiavimą. Rekomendacijoje pasiūlytas minimalus su kompiuteriais susijusių nusikaltimų sąrašas: ▬▬ sukčiavimas, susijęs su kompiuteriais; ▬▬ klastojimas naudojant kompiuterį; ▬▬ kompiuterinių duomenų ir programų sunaikinimas arba sugadinimas; ▬▬ sabotažas naudojant kompiuterį, kompiuterinių duomenų ar kompiuterių progra- mų įvedimas, ištrynimas, pakeitimas, paslėpimas ar kitoks įsikišimas į duomenų apdorojimo procesą, siekiant sutrikdyti kompiuterio ar telekomunikacijų siste- mos darbą; ▬▬ neteisėta prieiga prie kompiuterių sistemos; ▬▬ neteisėtas informacijos perėmimas kompiuterių sistemoje; ▬▬ neteisėtas apsaugotų kompiuterio programų dauginimas ir platinimas; ▬▬ neteisėtas kompiuterių lustų topografijų dauginimas ir platinimas. Europos Tarybos valstybėms narėms pasiūlyta naudoti ir neprivalomų veikų, traktuotinų kaip elektroniniai nusikaltimai, sąrašas, t. y. kompiuterių duomenų ir pro- gramų pakeitimas, kompiuterinis šnipinėjimas, neteisėtas kompiuterio naudojimas, ne- teisėtas apsaugotų programų naudojimas. Kitas Europos Tarybos žingsnis, kovojant su nusikaltimais elektroninėje erdvė- je, buvo 1995 m. išleista rekomendacija Nr. R (95) 13, susijusi su baudžiamojo proceso teisės reglamentavimu nacionaliniu mastu. Valstybėms narėms rekomenduojama bau- džiamojoje teisėje naudoti tokius procedūrinius principus: ▬▬ krata ir poėmis turi būti leistinos procedūros, tiriant elektroninius nusikaltimus; ▬▬ sekimo procedūros turi užtikrinti galimybę sekti telekomunikacinių srautų duo- menis, tiriant nusikaltimus; ▬▬ bendradarbiavimas su teisėsaugos institucijomis yra privalomas asmenims ir institucijoms pateikiant duomenis, reikalingus nusikaltimo tyrimui; ▬▬ elektroniniai įrodymai, jų procedūriniai ir techniniai išgavimo metodai turi būti apibrėžti teisės aktuose ir vienodai galiojantys kaip ir kitos įrodymų formos; ▬▬ šifravimas tiriant nusikaltimus turi būti naudojimas tik būtinais atvejais, siekiant nenusižengti įstatymams; ▬▬ tyrimas, statistika ir mokymai – turi būti įsteigti specialūs kompetentingi padali- niai, tiriantys nusikaltimus elektroninėje erdvėje; ▬▬ tarptautinis bendradarbiavimas turi užtikrinti sklandų nusikaltimo tyrimą ir leis- ti atlikti tokias procedūras kaip kratą ir poėmį kitoje valstybėje, nepažeidžiant suverenumo principo.
19 Konvencija dėl elektroninių nusikaltimų
Vienas iš svarbiausių tarptautinių norminių dokumentų, skirtų nusikaltimams elektroninėje erdvėje reglamentuoti, yra Europos Tarybos 2001 m. rudenį Budapeš- te pasirašyta Konvencija dėl elektroninių nusikaltimų („Convention on Cybercrime“). Konvencijos projektą parengė Europos Taryba kartu su JAV, Kanada, Japonija ir kito- mis valstybėmis, kurios nėra šios organizacijos narės. 2010 m. konvenciją buvo pasira- šiusios 46 valstybės, o ratifikavusios – 26. Lietuva konveciją pasirašė 2003 m. birželio 23 d., o 2004 m. kovo 18 d. LR Seimas konvenciją ratifikavo. Konvencija įsigaliojo 2004 m. liepos 1 d. Reikia atkreipti dėmesį, kad šios konvencijos kol kas neratifikavo tokios šalys kaip Rusija, Indija ir Kinija, kurios yra vienos iš pavojingiausių šalių elek- troninių nusikaltimų srityje. Konvenciją pasirašiusios šalys įsipareigojo nacionaliniais teisės aktais pripažinti nusikalstamomis veikomis joje numatytus veiksmus, taip pat nu- statyti juridinių asmenų atsakomybę už šių veikų padarymą. Tačiau šiame dokumente nereikalaujama nustatyti konkretaus lygio baudžiamųjų sankcijų, o tik nurodoma, kad už padarytus nusikaltimus turi būti taikomos veiksmingos, proporcingos ir atgrasančios sankcijos, įskaitant laisvės atėmimą. Konkrečius bausmių lygius turi nustatyti kiekvie- nos valstybės įstatymų leidėjai individualiai. Konvencija taip pat nustato reikalavimus procedūrinėms teisės normoms bei įpareigoja imtis priemonių, būtinų operatyviai iš- saugoti ir pateikti elektroninius duomenis, nusikaltėlių prisijungimų prie sistemų įra- šus, tinklo srauto duomenis ir kitą svarbią informaciją. Dalis procedūrinių veiksmų, tiriant nusikaltimą, susiję su pagrindinėmis žmogaus teisėmis ir laisvėmis bei jų ap- sauga, kuri Lietuvoje garantuojama LR Konstitucijos 22 straipsniu (citata: „Žmogaus privatus gyvenimas neliečiamas. Asmens susirašinėjimas, pokalbiai telefonu, telegrafo pranešimai ir kitoks susižinojimas neliečiami. Informacija apie privatų asmens gyveni- mą gali būti renkama tik motyvuotu teismo sprendimu ir tik pagal įstatymą. Įstatymas ir teismas saugo, kad niekas nepatirtų savavališko ar neteisėto kišimosi į jo asmeninį ir šeimyninį gyvenimą, kėsinimosi į jo garbę ir orumą“). Taigi nusikaltimo tyrimas turi būti atliekamas nepažeidžiant galiojančių teisinių dokumentų. 2003 m. Strasbūre buvo priimtas Konvencijos dėl elektroninių nusikaltimų kon- vencijos papildomas protokolas dėl rasistinio ir ksenofobinio pobūdžio veikų, padarytų naudojantis kompiuterinėmis sistemomis, kriminalizavimo. Protokolą ratifikavusios valstybės narės įsipareigojo nacionalinio lygio įstatymuose nustatyti rasistinio ir kse- nofobinio pobūdžio veikas kaip nusikalstamas ir užtikrinti tarptautinį bendradarbiavi- mą tiriant tokius nusikaltimus. Lietuva šį protokolą pasirašė 2005 m. balandžio 7 d., o ratifikavo 2006 m. spalio 12 d.
Konvencijos dėl elektroninių nusikaltimų nuostatų apžvalga
Konvenciją dėl elektroninių nusikaltimų sudaro preambulė ir trys skyriai: 1. Sąvokos. 2. Priemonės, kurių reikia imtis nacionaliniu lygiu. 3. Tarptautinis bendradarbiavimas.
20 I skyriuje apibrėžiamos tokios sąvokos kaip kompiuterinė sistema, kompiuteri- niai duomenys, paslaugų tiekėjai ir srauto duomenys, kurios vėliau naudojamos apibrė- žiant nusikaltimo objektą, priemones, nusikaltimo tyrimo procedūras. II skyrių sudaro trys skirsniai, t. y. materialioji baudžiamoji teisė, procesinė teisė ir jurisdikcija. 1 skirsnį sudaro penkios dalys. Keturiose dalyse apibrėžiamos nusikals- tamos veikos elektroninėje erdvėje, kurias įsipareigoja kriminalizuoti konvenciją pasi- rašiusios šalys (šios veikos buvo aptartos ankstesniame vadovėlio skyriuje). Penktojoje dalyje nustatoma atsakomybė už padarytas nusikalstamas veikas, įskaitant ir juridinio asmens, bei rekomenduojama taikyti veiksmingas, proporcingas ir atgrasančias sankci- jas, įskaitant laisvės atėmimą. II skyriaus 2 skirsnis skirtas baudžiamojo proceso teisei. Juo siekiama suvieno- dinti valstybių nacionalinių įstatymų proceso normas ir tokias procesines priemones kaip krata ir poėmis pritaikyti elektroniniams nusikaltimams. Trijuose šiuose skirsniuo- se išskiriamos tokios nuostatos dėl procesinių priemonių: ▬▬ operatyvus laikomųjų kompiuterinių duomenų išsaugojimas; ▬▬ laikomųjų kompiuterinių duomenų paieška ir poėmis; ▬▬ kompiuterinių duomenų surinkimas realiuoju laiku. Operatyvus laikomųjų kompiuterinių duomenų išsaugojimas. Konvencijos 16 str. įpareigoja valstybes apibrėžti teisės aktus ir priemones, kurių gali prireikti paskiriant kompetentingas institucijas nurodyti arba pasirūpinti operatyviu kon- krečių kompiuterių duomenų, įskaitant ir duomenų srauto laikomų kompiuterių sistemoje, išsaugojimu, ypač jei tie kompiuteriniai duomenys gali būti nesun- kiai prarasti arba pakeisti. 17 str. įpareigoja užtikrinti, kad operatyvus srauto duomenų išsaugojimas yra galimas ir kompetentingai šalies institucijai arba jos paskirtam asmeniui būtų operatyviai atskleista pakankamai srauto duomenų, lei- džiančių šaliai nustatyti paslaugos teikėjus ir tos informacijos perdavimo kelią. 18 str. apibrėžia nurodymus dėl duomenų pateikimo kompetentingai šalies insti- tucijai. Poreikis operatyviai išsaugoti ir pateikti kompiuterių duomenis gali kilti tais atvejais, kai per trumpą laiką duomenys gali būti ištrinti arba modifikuoti. Pavyzdžiui, vykdant transakcijas duomenų bazės įrašai gali būti modifikuojami arba trinami, rezervinės kopijos gali būti saugomos tik tam tikrą įmonės politi- koje nustatytą laiką, po kurio jos yra trinamos. Įpareigojimas operatyviai išsau- goti kompiuterinius duomenis svarbus ir tarptautiniu lygiu, nes gali užtikrinti šalių bendradarbiavimą, tiriant elektroninius nusikaltimus. Laikomųjų kompiuterinių duomenų paieška ir poėmis. Konvencijos 19 str. 1 dalis įpareigoja priimti tokius teisės aktus ir kitas priemones, kurių gali prireikti, įga- linant jos kompetentingas institucijas apieškoti ar panašiai ištirti kompiuterinę sistemą arba jos dalį ir joje laikomus kompiuterinius duomenis, kompiuterinių duomenų atmeniąją terpę, kurioje tos šalies teritorijoje gali būti laikomi kom- piuteriniai duomenys. 2 dalyje nurodoma, kad šalis priima tokius teisės aktus ir kitas priemones, kurių gali prireikti užtikrinti, kad jos institucijoms pagal šio straipsnio 1 dalies a punktą apieškant ar panašiai tiriant konkrečią kompiuterinę
21 sistemą arba jos dalį ir turint priežasčių manyti, kad ieškomi duomenys laikomi tos šalies teritorijoje esančioje kitoje kompiuterinėje sistemoje arba jos dalyje, ir kad tokie duomenys yra teisėtai prieinami naudojant pirmąją sistemą, tokios institucijos galėtų operatyviai išplėsti paiešką ar panašų tyrimą į kitą sistemą. 19 str. tikslas – užtikrinti, kad nebūtų diskriminuojama duomenų paieška ir poėmis ne tik lokalioje sistemoje, bet esant reikalui galėtų būti atliekama ir kitoje, susi- jusioje su nusikaltimu, kompiuterių sistemoje. Kompiuterinių duomenų surinkimas realiuoju laiku. Konvencijos 19 str. 1 dalis įpareigoja priimti tokius teisės aktus ir kitas priemones, kurių gali prireikti, įga- linant jos kompetentingas institucijas: ▬▬ tos šalies teritorijoje surinkti arba techninėmis priemonėmis įrašyti; ▬▬ priversti paslaugos teikėją pagal jo technines galimybes: ――tos šalies teritorijoje surinkti arba techninėmis priemonėmis įrašyti arba ――bendradarbiauti su kompetentinga institucija ir padėti jai surinkti arba įrašyti realiuoju laiku srauto duomenis, susijusius su konkrečia jos teritorijoje perduodama informacija, naudojantis kompiuterine sistema. 20 str. įpareigoja atlikti tuos pačius veiksmus su realaus laiko turinio duomenis, su- sijusiais su konkrečia informacija, perduodama naudojantis kompiuterine sistema. Kaip matyti, konvencija įpareigoja nustatyti teisės aktus srauto ir turinio duomenims rinkti. Abu šie duomenų tipai yra svarbūs, kadangi srauto duomenys užfiksuoja įvykį, o turinio duomenys gali apibrėžti nusikaltimo objektą, pvz., pornografinį siunčiamų failų turinį. Tačiau turinio duomenų rinkimas yra šiek tiek komplikuotas, nes atliekant šiuos veiksmus neturi būti pažeidžiami asmens privatumo principai. Konvencijos III skyrius skirtas tarptautinių bendradarbiavimo principų, ekstradi- cijos, savitarpio pagalbos, savanoriško bendradarbiavimo, konfidencialumo ir informa- cijos panaudojimo apribojimo principams nustatyti tiriant elektroninius nusikaltimus. III skyriaus 1 dalyje šalys įpareigojamos kuo didesniu mastu bendradarbiauti tarpusavyje, taikydamos atitinkamus tarptautinius dokumentus dėl tarptautinio ben- dradarbiavimo baudžiamosiose bylose, susitarimus, pagrįstus vienodais ar abipusiais teisės aktais. 2 dalyje nustatomi ekstradicijos principai tarp šalių, taip pat rekomenduojama vadovautis Europos konvencija dėl ekstradicijos. III skyriaus 3 dalyje nustatomi bendrieji savitarpio pagalbos principai, pagal ku- riuos šalys įpareigojamos teikti didžiausią įmanomą pagalbą operatyviomis ryšio prie- monėmis. Taip pat rekomenduojama, kad kiekviena šalis, kiek tai leidžia jos vidaus teisė, be ankstesnio prašymo perduoti kitai šaliai informaciją, gautą per savo pačios atliekamus tyrimus, jeigu ji mano, kad tokios informacijos atskleidimas padėtų ją ga- vusiai šaliai pradėti arba atlikti tyrimą ar nagrinėti bylas dėl pagal šią konvenciją nusta- tytų nusikaltimų. III skyriaus paskutinioji 4 dalis nustato savitarpio pagalbos prašymų pateikimo tvarką, kai nėra taikytinų tarptautinių susitarimų.
22 2.4. Nusikaltimų elektroninėje erdvėje reglamentavimas Lietuvoje
Lietuvos BK prieš Konvenciją dėl elektroninių nusikaltimų
Nusikaltimai elektroninėje erdvėje, nors ir vėliau nei pažangiose vakarų šalyse, tapo realybe ir Lietuvoje. Realios galimybės kovoti su tokio tipo nusikaltimais atsira- do tik 1994 m., kai buvo patvirtinti senojo, dar iš sovietinių laikų paveldėto, 1961 m. BK pakeitimai. Senasis BK ir jo pakeitimai galiojo iki 2003 m. gegužės 1 d. 1994 m. BK įvestuose pakeitimuose nebuvo išskirtas atskiras skyrius elektroniniams nusikalti- mams, taip pat nebuvo suformuluoti nauji BK straipsniai. Buvo apsiribota tik dviejų praktikoje dažnai pasitaikančių nusikaltimų nuosavybei – sukčiavimo (BK 274 str.) ir turtinės žalos padarymo apgaule arba piktnaudžiaujant pasitikėjimu (BK 274 str.) – išplėtimu, suformuluojant nusikaltimų sudėtis, panaudojant kompiuterinę įrangą. Iš esmės šie pakeitimai nustatė baudžiamąją atsakomybę už sukčiavimus ir turtinės žalos padarymą, pavyzdžiui, įvedant klaidingus duomenis informacinėje sistemoje sukčiavi- mo tikslu. Kaip matyti, BK pakeitimai tiesiogiai neapėmė tokių su kompiuteriais sieja- mų nusikalstamų veikų kaip pažeidimai, susiję su autorinėmis ir gretutinėmis teisėmis, nusikaltimai, susiję su žalingo turinio medžiagos platinimu, sabotažu, šnipinėjimu ir t. t. Išvardyti nusikaltimai galėjo būti baudžiami pagal kitus BK straipsnius, kurie apibrė- žė panašius nusikaltimus ir netiesiogiai galėjo būti taikomi baudžiamajame procese. 2000 m. Lietuvos Respublikos Seimas patvirtino naują BK, kuris įsigaliojo 2003 m. gegužės 1 d. Jame BK rengėjai išskyrė atskirą 30 skyrių „Nusikaltimai informati- kai“ bei suformulavo tris straipsnius: 196, 197 ir 198. Skyriaus pavadinimas buvo kri- tikuojamas, nes žodis „informatika“ yra pakankamai platus ir pirmiausiai suprantamas kaip mokslo šaka, o nusikaltėliai vargu ar kėsinasi kenkti mokslui. Greičiau atvirkščiai, darant nusikaltimus, naudojamos informatikos mokslo žinios kaip nusikaltimo priemo- nė. Šiame BK nusikaltimų sudėtys yra tik materialinės, t. y. reikalaujama, kad elektro- niniais nusikaltimais būtų sukeliama didelė žala, išskyrus kompiuterinės informacijos pasisavinimo ir skleidimo sudėtį (BK 198 str.). 2000 m. BK 30 skyriuje buvo nustatytos trys nusikalstamos veikos: kompiu- terinės informacijos sunaikinimas arba pakeitimas (196 str.), kompiuterio programos sunaikinimas ar sugadinimas, kompiuterių tinklo ar informacinės sistemos sutrikdy- mas (197 str.), kompiuterinės informacijos pasisavinimas ir skleidimas (198 str.). Pagal šiuos straipsnius buvo nustatytos tokios bausmės: laisvės atėmimas iki trijų arba ketve- rių metų, bauda, areštas arba viešieji darbai. Remiantis BK 11 str. 3 dalimi, nusikaltimai elektroninėje erdvėje buvo traktuojami kaip nesunkūs, nes įstatymas numato bausmę, neviršijančią 3 metų laisvės atėmimo. Vienas iš 2000 m. BK privalumų tas, kad čia de- taliai neaprašomi nusikalstamos veikos padarymo būdai, nes neįmanoma pateikti visų būdų, kuriais galima paveikti kompiuterinę informaciją. Taip pat šiame kodekse buvo įvardyta, kad elektroninio nusikaltimo subjektas gali būti ne tik fizinis, bet ir juridinis asmuo.
23 Nežiūrint teigiamų 2000 m. BK savybių kovojant su nusikaltimais elektroninėje erdvėje, buvo pastebėta ir nemažai trūkumų. Įstatymų leidėjas naudojo netikslią ter- minologiją (nebuvo atskirtos sąvokos duomenys ir informacija), neįvertino kai kurių galimų elektroninių nusikaltimų atvejų (pvz., įsibrovimas į kompiuterinę sistemą, bet nepasisavinant ar nekeičiant informacijos, arba neteisėtas disponavimas licenzijuotų programų kodais, „nulaužimo“ programomis, slaptažodžiais ir t. t), 196 str. ir 197 str. iš dalies dubliavo vienas kitą, nes viename buvo kriminalizuojamas kompiuterinės in- formacijos, o kitame – kompiuterinės programos sunaikinimas ar sugadinimas. Skir- tumas tarp šių nusikaltimų subjektų yra neesminis, nes teisiniu požiūriu kompiuterinė programa gali būti laikoma kaip kompiuterinės informacijos dalis. Taip pat kaip vienas iš didesnių BK 30 skyriaus trūkumų išryškėjo praėjus vos keliems mėnesiams po BK įsigaliojimo, kai po Konvencijos dėl elektroninių nusikaltimų ratifikavimo buvo nusta- tyti BK neatitikimai šiai konvencijai.
Elektroninių nusikaltimų kriminalizavimas po konvencijos ratifikavimo
Ratifikavus Konvenciją dėl elektroninių nusikaltimų, įstatymų leidėjai atliko esminius 2000 m. BK 30 skyriaus pakeitimus, kurie buvo patvirtinti LR Seime 2007 m. birželio mėn. 28 d. įstatymu Nr. X-1233. Pirmiausiai buvo pakeistas skyriaus pa- vadinimas į „Nusikaltimai elektroninių duomenų ir informacinių sistemų saugumui“, taip pat modifikuoti visi skyriaus straipsniai. Reikia pastebėti, kad skyriaus pavadi- nime pateikiamos dvi sąvokos, t. y. elektroniniai duomenys ir informacinės sistemos, kas daug konkrečiau identifikuoja nusikaltimo objektus nei ankstesnėje BK redakcijo- je. Elektroniniai duomenys suprantami kaip failai, katalogai, failų sistemos atributai, duomenų bazės, o informacinė sistema – kaip informacijos apdorojimo sistema, skirta informacijai apdoroti, formuoti, skleisti. Daugiausiai pakeitimų buvo atlikta 198 BK straipsnyje, kuris papildytas dvejais naujais postraipsniais, kurie apibrėžė naujus iki tol iš viso nekriminalizuotus elektroninių nusikaltimo tipus. Reikia pastebėti, kad naujoje redakcijoje bausmės už nusikaltimus buvo sugriežtintos, o patys nusikaltimai perkvali- fikuoti iš lengvų į apysunkius. Visų 30 skyriaus straipsnių antrosiose dalyse akcentuo- jama, kad jei nusikalstama veika padarė strateginę reikšmę nacionaliniam saugumui ar didelę reikšmę valstybės valdymui, ūkiui ar finansų sistemai turinčios informacinės sistemos elektroniniams duomenims, tai bausmė gali siekti iki 6 metų laisvės atėmimo. Šia dalimi įstatymų leidėjai siekė parodyti, kad kompiuterinių ir informacinių sistemų stabili veikla yra kritinė šiuolaikinės visuomenės gyvenimui. Panagrinėkime atnaujinto 2000 m. BK 30 skyriaus straipsnius detaliau. BK 196 straipsnio „Neteisėtas poveikis elektroniniams duomenims“ pirmoji dalis nustato: Tas, kas neteisėtai sunaikino, sugadino, pašalino ar pakeitė elektroninius duo- menis arba technine įranga, programine įranga ar kitais būdais apribojo naudojimąsi tokiais duomenimis padarydamas didelės žalos, baudžiamas viešaisiais darbais arba bauda, arba laisvės atėmimu iki ketverių metų.
24 Remiantis šiuo straipsniu, nusikalstama veika elektroniniams duomenims nusta- toma juos sunaikinant, sugadinant, pašalinant arba pakeičiant. Sunaikinimas supran- tamas kaip visiškas duomenų ištrynimas, pvz., failo, katalogo ar duomenų bazės įrašo ištrynimas. Sugadinimas – tai toks poveikis duomenims, kai jų turinys tampa nesupran- tamas naudotojui ar duomenis apdorojančiai sistemai, o duomenų atstatymas reikalauja specialių informatikos žinių. Duomenų pašalinimu laikomas veiksmas, kai duomenys perkeliami į kitą vietą, kitą kompiuterinę sistemą ar laikmeną. Duomenų pakeitimas – tai duomenų turinio pakeitimas ar kitoks poveikis turiniui, modifikuojant originalą. Už neteisėtą poveikį elektroniniams duomenims, kai tokia veika sukelia didelę žalą, nustatoma maksimali bauda – laisvės atėmimas iki 6 metų. Šis straipsnis yra suderintas su Konvencijos dėl elektroninių nusikaltimų 4 straipsniu „Poveikis duomenims“. BK 197 straipsnio „Neteisėtas poveikis informacinei sistemai“ pirmoji dalis nustato: Tas, kas neteisėtai sutrikdė ar nutraukė informacinės sistemos darbą padaryda- mas didelės žalos, baudžiamas bauda arba areštu, arba laisvės atėmimu iki ketverių metų. Informacinė sistema informatikoje suprantama kaip informacijos apdorojimo sistemos ir organizacijos išteklių visuma, skirta informacijai apdoroti, formuoti, skleis- ti. Kitaip tariant, tai struktūrizuotas procesų ir procedūrų rinkinys, kuriame yra kaupia- mi ir apdorojami duomenys bei perduodami naudotojui. Todėl informacinės sistemos sutrikdymas yra siejamas su duomenų apdorojimo proceso neteisingu veikimu arba kaupiamų duomenų sugadinimu. Informacinės sistemos darbo nutraukimas supranta- mas kaip sistemos neveiksnumas dėl sugadintų apdorojimo procedūrų ar pačių duome- nų. Tačiau įvertinant tai, kad informacinė sistema yra tik vienas IT paslaugos tiekimo lygmuo, kuriam būtina ir fizinė infrastruktūra, todėl informacinės sistemos sutrikdymas ar darbo nutraukimas gali būti siejamas ir su kompiuterių tinklų, serverių, jų operacinių sistemų, sistemų apsaugos priemonių sutrikdymu ar sugadinimu, kitaip tariant, kom- piuterių sistemų ir tinklų sutrikdymu ar sugadinimu. Įstatymų leidėjas šiame straips- nyje numato analogiškas bausmes kaip ir 196 str. Šis BK 197 str. yra suderintas su Konvencijos dėl elektroninių nusikaltimų 5 straipsniu „Poveikis sistemai“. Kaip jau buvo minėta, didžiausi pakeitimai buvo atlikti 198 str., t. y. ne tik mo- difikuotas straipsnio turinys, bet jis papildytas dviem naujais postraipsniais, kurie kri- minalizavo naujas nusikalstamas veikas. BK 198 straipsnio „Neteisėtas elektroninių duomenų perėmimas ir panaudo- jimas“ pirmoji dalis nustato: Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė, pasisavino, paskleidė ar kitaip panaudojo neviešus elektroninius duomenis, baudžiamas bauda arba laisvės atėmimu iki ketverių metų. Šis BK straipsnis skirtas apsaugoti fizinio ir juridinio asmens privatumą elektro- ninėje erdvėje, todėl neteisėta veika su neviešais duomenimis yra baudžiama. Priklau- somai nuo konteksto sąvoka nevieši elektroniniai duomenys gali būti suprantama skir-
25 tingai. Pavyzdžiui, privataus asmens elektroniniai laiškai, naršymas internete, atsisiun- čiami failai, asmeniniai katalogai yra nevieši duomenys, jei jis to savo noru neviešina. Organizacijoje nevieši duomenys gali būti siejami su įmonės veiklos ir finansiniais duomenimis informacinėje sistemoje, el. komunikacija tarp verslo partnerių, techninė dokumentacija, gamybos technologija ir t. t. Jei informacija paskleista tik uždarame asmenų rate ir nesukėlė jokių neigiamų padarinių fiziniam ar juridiniam asmeniui, tuo- met ši veika nelaikoma nusikalstama. Reikia manyti, kad straipsnyje numatytos veikos gali būti baudžiamos tik tuo atveju, jei nusikaltimo sudėtyje yra tam tikrų nusikalstamų padarinių. Šis straipsnis yra suderintas su Konvencijos dėl elektroninių nusikaltimų 3 straipsniu „Neteisėta perimtis“. BK 198(1) straipsnio „Neteisėtas prisijungimas prie informacinės sistemos“ pirmoji dalis nustato: Tas, kas neteisėtai prisijungė prie informacinės sistemos pažeisdamas informa- cinės sistemos apsaugos priemones, baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu iki vienerių metų. Šis straipsnio papildymas baudžiamajame kodekse buvo priimtas 2007 m. re- miantis Konvencijos dėl elektroninių nusikaltimų 2 straipsniu „Neteisėta prieiga“, ir kriminalizuoja sąmoningą ir neteisėtą prieigą prie visos informacinės sistemos arba jos dalies. Šis straipsnis numato baudžiamąją atsakomybę už tokias veikas, kai pažeidžiant („nulaužiant“) apsaugos priemones prisijungiama prie informacinės sistemos ketinant gauti ar pakeisti kompiuterinius duomenis arba pademonstruoti, kad nusikaltėlis pajė- gus įveikti apsaugos priemones. Tokio nusikaltimo pavyzdys gali būti 2008 m. vasarą įvykęs incidentas, kai buvo įsibrauta į vieną iš Lietuvoje esančio interneto paslaugų tiekėjo fizinį žiniatinklio serverį ir visų joje buvusių žiniatinklio svetainiųindex.* failai buvo pakeisti tinklalapiu su Sovietų Sąjungos simbolika. BK 198(2) straipsnio „Neteisėtas disponavimas įrenginiais, programine įranga, slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis“ pirmoji dalis nustato: Tas, kas neteisėtai gamino, gabeno, pardavė ar kitaip platino įrenginius ar pro- graminę įrangą, taip pat slaptažodžius, prisijungimo kodus ar kitokius panašius duo- menis, tiesiogiai skirtus daryti nusikalstamas veikas, arba tuo pačiu tikslu juos įgijo ar laikė, baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu iki trejų metų. Šis papildymas buvo priimtas 2007 m. remiantis Konvencijos dėl elektroninių nusikaltimų 6 straipsniu „Netinkamas įtaisų naudojimas“. Straipsnis numato bausmes už neteisėtą disponavimą įrengimų ar programinės įrangos, skirtos legalioms, licen- ciniais raktais apsaugotoms programoms, kompiuterinėms sistemoms nulaužti ar ne- teisėtai įsibrauti. Uždraudžiant tokių hakeriškų programų, slaptažodžių, prisijungimo kodų platinimą, kovojama su juodąja internetine rinka, per kurią dažniausiai ir plinta šie nusikaltimo įrankiai.
26 Kitų elektroninių nusikaltimų kriminalizavimas
Kompiuterinis sukčiavimas Tai viena iš seniausiai žinomų nusikalstamų veikų elektroninėje erdvėje. Kon- vencijos 7 ir 8 straipsniai rekomenduoja kovoti su kompiuteriniu sukčiavimu ir klasto- tėmis. Ši veika Lietuvoje buvo kriminalizuota dar senajame 1961 m. BK 274 straipsny- je. 2000 m. BK tokio straipsnio nebeliko, o kompiuterinis sukčiavimas yra baudžiamas kaip ir bet kuri kita su sukčiavimu siejama veika pagal 182 str., kurio pirmojoje dalyje nurodoma: Tas, kas apgaule savo ar kitų naudai įgijo svetimą turtą ar turtinę teisę, išvengė turtinės prievolės arba ją panaikino, baudžiamas viešaisiais darbais arba bauda, arba laisvės apribojimu, arba areštu, arba laisvės atėmimu iki trejų metų. Kaip matyti, straipsnyje nėra užsimenama apie su kompiuteriais siejamą sukčia- vimą, todėl tam tikrais atvejais gali iškilti problemų pritaikant šį straipsnį nusikalstamai veikai.
Vaikų pornografija 2000 m. BK 162 ir 309 straipsniuose numatoma baudžiamoji atsakomybė už veikas, susijusias su vaikų pornografija. Šio tipo nusikalstamas veikas rekomenduoja- ma kriminalizuoti pagal Konvencijos dėl elektroninių nusikaltimų 9 straipsnį „Nusi- kaltimai, susiję su vaikų pornografija“. BK 162 str. numato baudžiamąją atsakomybę už vaiko išnaudojimą pornografinei produkcijai gaminti ir pelnymosi iš tokios vaiko veiklos. Pagal šį straipsnį atsakomybė kyla pornografinės produkcijos gamintojams, dalyvavusiems šiame procese. BK 309 str. 2 dalis nustato baudžiamąją atsakomybę tiems, kas įsigijo, laikė, demonstravo, reklamavo arba platino pornografinio turinio da- lykus, kuriuose vaizduojamas vaikas arba asmuo, pateikiamas kaip vaikas. Kaip matyti, baudžiamajame kodekse nėra palikta kokių nors spragų, leidžiančių asmenims išvengti baudžiamosios atsakomybės už tokio pobūdžio nusikalstamą veiką. Už šiuos nusikalti- mus numatoma atsakomybė tiek fiziniams, tiek ir juridiniams asmenims.
2.5. Kontroliniai klausimai
1. Kokie tarptautiniai ir Lietuvos teisiniai dokumentai reglamentuoja elektro- ninius nusikaltimus ir juos kriminalizuoja? 2. Kaip klasifikuojami elektroniniai nusikaltimai Konvencijoje dėl elektroni- nių nusikaltimų? 3. Kokias procesines priemones Konvencija dėl elektroninių nusikaltimų reko- menduoja naudoti kovojant su nusikaltimais elektroninėje erdvėje? 4. Kokias nusikalstamas veikas kriminalizuoja 2000 m. LR baudžiamojo ko- dekso 30 skyriaus straipsniai pagal 2007 m. birželio 28 d. patvirtintus pa- keitimus?
27 5. Ar atitinka 2000 m. LR baudžiamojo kodekso aktualioji redakcija Konven- cijos dėl elektroninių nusikaltimų rekomendacijas? 6. Kokia baudžiamoji atsakomybė numatyta Lietuvoje už: a) neteisėtą programinės įrangos platinimą ir atsisiuntimą P2P tinklais; b) neteisėtą prisijungimo kodų prie finansinės informacinės sistemos išga- vimą (phishing‘ą); c) neteisėtą kompiuterio prievadų skenavimą?
28 3.
TYRIMŲ POREIKIS, TYRIMŲ TIPAI
Kaip jau buvo minėta, NEE tampa kasdienybe. Europos Sąjungos (ES) Tarybos duomenimis, 85 proc. verslo organizacijų ir vyriausybinių institucijų patyrė vienokį ar kitokį informacijos saugos incidentą (Kleiman et al. 2007). Augant NEE skaičiui lygiagrečiai vystėsi jų tyrimo metodai, kurie jau tapo atskira kompiuterijos bei krimino- logijos šaka – NEE tyrimų metodais (angl. Computer forensics). NEE tyrimo procesas dažniausiai apibrėžiamas kaip „kompiuterinių įkalčių išsaugojimas, identifikavimas, išgryninimas, vertinimas ir dokumentavimas“. NEE tyrimas apima teisės bei kompiute- rių mokslų elementus, t. y. tyrėjas privalo būti pakankamai plataus spektro specialistas, kad galėtų atlikti ir įkalčių paiešką techniškai sudėtingoje aplinkoje, ir imtis reikiamų teisinių priemonių, jog surinkti įkalčiai būtų pripažinti tinkamais bei būtų išvengta tei- sinio persekiojimo iš nusikaltėlio ar trečiųjų asmenų pusės, jei tyrimų metu būtų pa- žeistos jų teisės. Įkalčių rinkimo, išsaugojimo ir analizės procesas kartais vadinamas teismo kom- piuterija (Middleton 2001) pagal analogiją su teismo medicina. Tuo pačiu pabrėžiama, kad aprašytas procesas gali būti taikomas ne tik kompiuteriniams nusikaltimams išaiš- kinti ir tinkamoms priemonėms parinkti (kaip dažniausiai šiuo metu elgiasi dauguma informacinį saugumą siekiančių užtikrinti organizacijų), bet ir nusikaltėlio kaltei teis- me įrodyti. Kai kurie autoriai NEE tyrimo procesą apibrėžia kaip vieną iš skaitmeninės er- dvės tyrimo proceso (angl. digital forensics) atmainų, kuris apima bet kokių įkalčių, perduodamų bet kokiais elektroniniais prietaisais, rinkimą ir analizę (nebūtinai kom- piuteriais, pvz., radijo ryšio linijomis). Šiuo metu NEE tyrimas vis dar yra aktyviai tobulinamas ir plėtojamas, ne iki galo yra suformuoti tyrimų metodai, kriterijai, kuriami nauji tyrimų metodai, o jų po- reikis vis didėja. Galima teigti, kad tokios tendencijos turėtų išsilaikyti dar pakanka- mai ilgai, atsižvelgiant į nuolat tobulėjančias technologijas bei nusikaltėlių taikomus metodus, nenusistovėjusią teismų praktiką NEE atžvilgiu bei vis didėjantį tokio tipo nusikaltimų skaičių bei poveikį. NEE tyrimus tradiciškai priimta skirstyti į dvi pagrindines kategorijas: formalųjį ir neformalųjį, priklausomai nuo to, ar surinktus įkalčius vėliau planuojama naudoti teisme ar ne (detaliau apžvelgiami žemiau). Tačiau dominuoja nuomonė, jog pradedant tyrimą visada geriau vadovautis formaliojo tyrimo metodais, nes sprendimas dėl bylos perdavimo teismui gali būti priimtas ne tik tyrimo pradžioje, bet ir vėliau. Dar viena naudojama NEE tyrimų klasifikacija remiasi nagrinėjamų kompiute- rių sistemų būsena jų funkcionavimo įkalčių rinkimo metu: „gyvos“ arba neišjungtos kompiuterių sistemos (angl. live) ir „mirusios“ arba išjungtos kompiuterių sistemos (angl. post-mortal). Gan ilgai vyravo nuomonė, kad tik tinkamai išjungtų ir apsaugo- tų sistemų nagrinėjimas turi teisę egzistuoti, ypač taikant formaliojo tyrimo metodus,
29 tačiau tobulėjančios technologijos ir poreikiai nagrinėjamų sistemų nepertraukiamo funkcionavimo užtikrinimui bei nusikaltėlių taikomi apsaugos prieš išjungtų sistemų nagrinėjimo metodai (pvz., pilnas disko šifravimas) skatina peržiūrėti tokią nuostatą. Šios klasifikacijos ypatumai taip pat nagrinėjama detaliau.
3.1. Formalusis ir neformalusis metodai
Kai NEE tyrėjas gauna nurodymą iš vadovybės pradėti tyrimą, vienas iš pirmųjų klausimų, kuris turi būti išspręstas, yra tyrimo būdo pasirinkimas. Kaip jau buvo mi- nėta, formaliojo tyrimo metu surinktus įkalčius yra planuojama perduoti teismui nagri- nėti, o neformaliojo atveju – ne. Nepriklausomai nuo to, koks metodas bus taikomas, kartojami tie patys įkalčių rinkimo, identifikavimo, išgryninimo ir analizės etapai, ta- čiau formaliojo tyrimo atveju yra keliami papildomi reikalavimai įkalčių vientisumui užtikrinti, todėl tyrimas paprastai trunka ilgiau ir kainuoja brangiau. Yra daugybė klausimų, į kuriuos kompanija turi atsakyti, priidama sprendimą dėl tyrimo metodo pasirinkimo: ▬▬ Ar tyrimas reikalingas tik nusikaltimo priežasčiai nustatyti ir atsako priemonėms parinkti, ar nusikaltimo kaltininkui surasti bei patraukti baudžiamojon atsako- mybėn? ▬▬ Ar kompanija privalo (remiantis teisės aktais, sutartimis, tarptautinių standartų reikalavimais ir kt.) vykdyti formalųjį tyrimo procesą, ar kompanija turi teisę pasirinkti (pvz., nuspręsti kompensuoti nuostolius klientams)? ▬▬ Kokią žalą kompanija patyrė? Ar formaliojo tyrimo kaina nenusvers žalos dy- džio? ▬▬ Kokia yra perspektyva, kad pateikus įkalčius teismui byla bus išnagrinėta kom- panijai palankia linkme? ▬▬ Ar egzistuoja tikimybė, kad tiriant iš pirmo žvilgsnio nesudėtingą nusikaltimą, atnešusį organizacijai nedidelį nuostolį, išaiškės didesni nusikaltimo mastai? ▬▬ Ar reputaciniai nuostoliai, kuriuos patirs organizacija, dėl to, jog viešai pripažins savo sistemų pažeidžiamumą, neviršys potencialios formaliojo tyrimo naudos (nusikaltėlio radimas, kompensacijų priteisimas ir t. t.)? ▬▬ Ar organizacija turi reikiamos teisinės ir techninės kompetencijos, kad galėtų vykdyti formalųjį tyrimą? Jei nei į vieną iš išvardytų klausimų nėra gautas teigiamas atsakymas, kompanija turėtų rinktis neformaliojo tyrimo būdą, nors paskutiniu metu ekspertai laikosi nuomo- nės, kad nepriklausomai nuo pradinio organizacijos sprendimo, organizacija turi vyk- dyti tyrimą taip, lyg tai būtų formalusis tyrimas ir imtis reikiamų veiksmų įkalčių vien- tisumui išsaugoti (įkalčių vientisumo išsaugojimo klausimai nagrinėjami 12 skyriuje). Tokiais argumentais paremta praktika, jog dažnai sprendimas perduoti įkalčius teismui yra priimamas jau tyrimo eigoje, kai paaiškėja didesni nei tikėtasi nusikaltimo mąstai.Jei nuo pat pradžių formaliojo tyrimo metodai naudojami nebuvo, surinkti įkal- čiai praranda savo vertę ir greičiausiai negalės būti panaudoti teisme. Taip pat formalio-
30 jo tyrimo metodai leidžia griežčiau kontroliuoti visus tyrimo etapus bei išvengti įkalčių praradimo ir modifikavimo, net jei kreiptis į teismą nėra planuojama.
3.2. „Gyvų“ ir „negyvų“ sistemų tyrimo metodai
Ilgą laiką vienintelė pripažinta NEE tyrimo metodika buvo paremta „negyvų“ sistemų analize, t. y. sistema, kurioje potencialiai buvo palikti įkalčiai, turėjo būt izo- liuota nuo kitų sistemų (pvz., ištraukiant tinklo kabelį), fiksuojama jos būsena tyrimo pradžios metu (pvz., fiziškai išjungiamas maitinimo kabelis, kad sistemą išjungiant klasikiniu būdu nebūtų sunaikinti įkalčiai), tada daroma failinės sistemos tiksli kopija (angl. bit-to-bit), kopija pasirašoma skaitmeniniu parašu, kad tyrėjas galėtų atsekti kopijos pakeitimą (įkalčių vientisumo išsaugojimo klausimai nagrinėjami 12 skyriuje) ir tolesni analizės veiksmai atliekami tik su kopija (-omis). Toks tyrimų būdas leidžia pasiekti tokius tyrimo tikslus: ▬▬ išvengiama kai kurių nusikaltėlių apsaugos priemonių, tokių kaip automatinis įkalčių trynimas išjungiant sistemą įprasta tvarka; ▬▬ kompiuterių sistemos būsena yra nuolat kintančioje būsenoje (atliekami ope- ratyviosios atminties ir disko skaitymo ir (arba) rašymo darbai, startuoja ir yra stabdomi skirtingi servisai, kuriami laikini / pagalbiniai failai); dalis tarnybinės informacijos tvarkingo sistemos išjungimo metu yra automatiškai šalinama pa- čios operacinės sistemos (pvz., laikini failai), nors juose gali būti įkalčių (pvz., atminties išklojos (angl. memory dump) failuose galima rasti raktažodžius, ku- riuos naudojo nusikaltėlis, ieškodamas draudžiamos informacijos internete); to- dėl sistemos išjungimas leidžia išvengti tokių įkalčių praradimo; ▬▬ išvengiama kaltinimų iš nusikaltėlio pusės, kad įkalčiai (pvz., įvykio registraci- jos įrašai) buvo modifikuoti / suklastoti tyrimo metu; ▬▬ sugadinus vieną kopiją, visuomet galima gauti analogišką iš originalo; o dirbant su originalia laikmena jos praradimo / sugadinimo atveju tokios galimybės nėra. Toks priėjimas yra daugeliu atvejų ir paprastesnis pačiam tyrėjui (kaip analogiją galima paminėti veikiančio ir išjungto automobilio remontą), ir idėjiškai artimas bet kokiam kriminalistiniam tyrimo metodui (užtenka prisiminti nusikaltimo vietoje renka- mus įkalčius, kuriuos policininkai vėliau pakuoja į maišelius, kad nebūtų nutrinti pirštų atspaudai arba ant jų nebūtų pašalinių atspaudų). Iš kitos pusės, tiesioginė analogija nėra įmanoma. Juk ir tiriant, tarkime, nužudymą ar apiplėšimą, įvykio vieta dažniausiai nėra izoliuojama visam tyrimo laikotarpiui, o daromi jos aprašymai, nuotraukos ir t. t., kurie vėliau naudojami kaip įkalTačiau kompiuterių pasaulis, kaip ir visas dabartinis pasaulis, tendencingai sudėtingėja, ne visus jo reiškinius galima „sudėti į maišelį“. Vis dažniau NEE tyrėjai susiduria su situacijomis, kai „negyvų“ sistemų nagrinėjimas gali turėti daugiau neigiamos įtakos organizacijai nei pats nusikaltimas. Todėl „gyvų“ arba funkcionuojančių sistemų analizė tampa vienintele, kad ir keliančia daugybę diskusi- jų, alternatyva, nors jos vykdymo metu gali keistis nagrinėjamų failų laiko antspaudai (angl. time-stamp), kontrolinės sumos ir registrų reikšmės. Galima spėti, kad ateityje
31 šio metodo taikymo dažnis didės. Norėtume atkreipti dėmesį į kelias priežastis, kurios verčia atsigręžti į šį metodą bei daro „negyvų“ sistemų analizę neveiksminga. Pagrin- dinėmis galima būtų pavadinti šias: ▬▬ Globali ekonomika ir paskirstytos sistemos. Tarptautinės korporacijos valdo di- džiules paskirstytas kompiuterių sistemas, kurių valdymo modeliai labai skiriasi. Esant dideliam sudėtingų sistemų skaičiui bei skirtingo žinių ir patirties lygio aptarnaujančiam personalui, ypač padažnėja klaidingų pranešimų (angl. false- positive) apie neva ataka paveiktus / kompromituotus kompiuterius, o tyrėjų ko- manda dažniausiai turi ribotus žmonių ir laiko išteklius bei negali būti prieinama visiems padaliniams tuo pačiu metu. Jei kiekvienas pranešimas bus traktuojamas kaip potencialus NEE ir kaskart bus „plėšiamas“ tinklo kabelis, tai gali tiesiog paralyžiuoti kompanijos darbą, atsižvelgiant į NEE tyrėjų grupės galimą reak- cijos lygį, prarastus komunikacijos kanalus bei nuostolius dėl sistemų neveiki- mo. Todėl bent pradiniu etapu tyrėjai turi turėti galimybę preliminariai įvertinti pranešimo apie potencialų NEE svarbą atlikdami, pavyzdžiui, nuotolinę analizę. Svarbus yra tinkamų instrukcijų incidentams klasifikuoti parengimas pagal tam tikrus kriterijus, kas personalui leistų vietoje vertinti, kiek pavojingas yra inci- dentas ir kokių veiksmų reikia imtis vienokiu ar kitokiu atveju. ▬▬ Poreikis nepertraukiamai veikiančioms sistemoms. Daugelis šiuolaikinio gyve- nimo sferų tapo visiškai priklausomos nuo kompiuterių sistemų ir grįžimas į „ikikompiuterinę erą“ faktiškai yra neįmanomas. Pavyzdžiais galėtų būti ban- kinis sektorius, kurio transakcijos kiekvieną sekundę sudaro milžiniškas sumas, telekomunikacijos sektorius, pramoninių procesų valdymas. Tokių sistemų iš- jungimas tyrimui gali turėti nenumatomų pasekmių ir gerokai viršyti NEE pase- kmes (pvz., didžiuliais nuostoliais ir veiklos paralyžiavimu banko ir telekomuni- kacijos atveju ir technogenine katastrofa, jei būtų sustabdytos, tarkime, atominės elektrinės valdymo sistemos). Šiuo atveju labai sunku įvertinti, koks tyrimo me- todas („gyvų“ ar „mirusių“ sistemų) turėtų būti taikomas, o galutinį sprendimą, įvertinusi visas rizikas, turi priimti kompanijos vadovybė. ▬▬ Auganti duomenų saugojimo laikmenų talpa. Kaip buvo minėta, išjungtų kom- piuterių formalusis analizės metodas reikalauja, kad būtų daroma tiksli analizuo- jamos laikmenos kopija. Tai buvo įmanoma, kai diskinė vieta analizuojamuose kompiuteriuose/serveriuose buvo matuojama gigabaitais. Tačiau, didėjant lai- kmenų talpoms, pereinant prie duomenų masyvų bei taikant virtualizacijos ir skaičiavimo debesyse technologijas (angl. Cloud computing), toks reikalavimas tampa sunkiai įgyvendinamas. Sunku įsivaizduoti, kad nagrinėjant vienos duo- menų masyve (kurio dydis jau šiuo metu gali siekti šimtus terabaitų) aptarnau- jamos sistemos pažeidimą bus stabdomas masyvo darbas, tuo pačiu paveikiant ir visų kitų naudojančių jo resursus sistemų funkcionavimą, bei perkamas analo- giško dydžio masyvas tiksliai kopijai kurti. ▬▬ PilnoVisiško disko šifravimo technologijos. Šios technologijos, pirmiausia, su- kurtos duomenų apsaugai nešiojamose laikmenose (nešiojamuose kompiute-
32 riuose, atmintinės kortelėse ir t. t.) tapo plačiai naudojamos ir nusikaltėlių, kurie bando paslėpti savo veiksmus tyrimo atveju nuo teisėsaugos organų. Jei kom- piuteris, kuriame yra įdiegta pilna disko šifravimo sistema, paimamas analizei išjungtas, o nusikaltėlio taikomas slaptažodis yra ganėtinai sunkus ir laužimui naudojama grubi jėga, tai labai tikėtina, kad disko analizė bus bevertė, nes ty- rėjas matys tik beprasmę simbolių seką. „Gyvos“ sistemos analizė, kai sistema automatiškai dekoduoja kietojo disko ir operatyviosios atminties turinį, leidžia tyrėjui susipažinti su saugomu turiniu, padaryti operatyviosios atminties kopiją ir ekstraguoti šifravimo raktą tam atvejui, jei vėliau kompiuterį reikėtų išjungti. Be abejo, čia paminėtos tik kelios pagrindinės „gyvų“ sistemų analizės pusės, o pats metodas yra savotiškas kompromisas tarp reikalavimo išsiaiškinti nusikaltimą ir nepažeisti įkalčių vientisumo. Taip pat negalima neatkreipti dėmesio į tai, kad „gyvi“ metodai kelia labai daug teisinių klausimų, tačiau tai tik dar kartą parodo teisinės bazės atsilikimą nuo šiuolaikinių realijų NEE apibrėžimo ir tyrimo srityje.
3.3. Kontroliniai klausimai
1. Kokias formaliojo NEE tyrimo būdo pasirinkimo priežastis galite išvardyti? 2. Kodėl rekomenduojama visada vykdyti formaliojo tyrimo procedūras, ne- priklausomai nuo to, ar vėliau bus kreipiamasi į teismą, ar ne? 3. Išvardykite pagrindinius NEE tyrimo žingsnius, kai taikoma „negyvos“ sis- temos analizės metodika. 4. Kokius argumentus galite pateikti „už“ ir „prieš“ metodą, kai nagrinėjamos neišjungtos kompiuterių sistemos? 5. Kokie pagrindiniai veiksniai lėmė „gyvų“ sistemų analizės metodų atsira- dimą?
33 4.
PIRMINĖ REAKCIJA Į NEE
Dauguma kompiuterinio saugumo specialistų pripažįsta, kad didžioji dalis kom- piuterinių nusikaltimų, kuriuose kompiuterių sistema yra nusikaltimo tikslas, lieka nenustatyti (Marcela ir Greenfield 2002). Kai nėra žinoma, kad įvyko įsilaužimas ar kitoks veiksmas, nukreiptas prieš kompiuterį, vėliau būna sunku, o kartais net neįmano- ma, nustatyti, jog sistemos saugumas buvo pažeistas. Todėl svarbu pastebėti vykstančio NEE požymius. Dažniausiai organizacijos veikloje reakcija į NEE nėra išskiriama į atskirą gru- pę, o tampa platesnės kategorijos – incidentų – dalimi. Kalbant apie incidento sąvoką, galima paminėti, kad ir ITIL, ir ISO 20000 incidentą traktuoja gan panašiai. Jis apibrė- žiamas kaip „bet koks įvykis, kuris nėra standartinio paslaugos funkcionavimo dalis, kuris sukelia arba gali sukelti paslaugos teikimo nutraukimą arba sąlygoti paslaugos kokybės teikimo sumažėjimą.“ Neabejotina, kad bet koks NEE, net neturintis tiesiogi- nio tikslo pakenkti paslaugai, o, tarkime, duomenims pavogti iš organizacijos, anksčiau ar vėliau neigiamai atsilieps organizacijos veiklai. Reakcijos į incidentus planavimas ir incidentų valdymas plačiau nagrinėjamas VGTU „Informacijos saugos vadybos“ kurse, o šiame skyriuje pateikiami tik pagrindi- niai reagavimo į incidentus žingsniai, akcentuojant tuos, kurie būtini NEE tyrimui, bei apibrėžiant pagrindinius incidentų tipus, kurie vienareikšmiškai priskiriami ne NEE, o techninių sutrikimų kategorijai.
4.1. Reagavimas į incidentus, jų sulaikymas bei incidentų valdymo apibrėžimas
Reagavimo į incidentus, incidentų pasekmių sumažinimo ir incidentų valdymo sąvokos yra labai susijusios: ▬▬ Reagavimas į incidentus yra apibrėžiamas kaip priemonės problemai aptikti, priežasčiai nustatyti, problemai spręsti ir kiekvienam iš žingsnių dokumentuoti vėlesnei analizei. ▬▬ Incidentų sulaikyme (angl. handling) pagrindinis dėmesys yra skiriamas priemo- nėms, leidžiančioms nepasireikšti incidento pasekmėms pilna jėga, ir incidentų pasekmėms sumažinti / šalinti. ▬▬ Incidentų valdymas (angl. incident management) – tai procesas, apimantis visus žingsnius nuo incidento paskelbimo iki dokumentavimo ir incidentų analizės fazės jam pasibaigus.
34 4.2. Reagavimo į incidentus etapai
Kiekviena organizacija privalo pasirinkti, kokią reagavimo į incidentus politiką jį taikys, atsižvelgdama į rizikos analizės rezultatus, turimus išteklius, kompetenciją bei kitus faktorius. Kai kurios organizacijos pasirenka atiduoti reagavimo funkciją kitoms specializuotoms organizacijoms (angl. outsource). Kita vertus, bet kokios veiklos perdavimas tiekėjams reiškia kompetencijos praradimą bei sukelia daug tipinių klausimų (paslaugos kokybė, priklausomybė nuo tiekėjo, reakcijos laikas, atskaitomybė ir t. t.). Tokių paslaugų tiekėjai dažnai turi ma- žiau informacijos apie tai, kaip funkcionuoja užsakovo sistemos, jų architektūra, todėl dauguma organizacijų linkusios turėti savo vidines reagavimo į kompiuterių saugos incidentus komandas (angl. CSIRT – Computer Security Incident Response Team). Pagrindinė problema, susijusi su vidinės komandos formavimu, yra potencialus interesų konfliktas, jei vienas iš narių yra įtariamasis. Detalesnė kiekvieno iš modelio privalumų ir trūkumų analizė yra pateikiama 4.1 lentelėje.
4.1 lentelė. Skirtingų CSIRT grupių tipų lyginamoji analizė CSIRT/CERT grupės tipas Privalumai Trūkumai Vidinė grupė (suformuota iš Sistemų architektūros ir organizacijos Interesų konfliktas. kompanijos darbuotojų). veiklos niuansų supratimas. Įtariamasis gali būti grupės sudėtyje. Išoriniai konsultantai (angl. Interesų konfliktų išvengimas. Aukšta kaina. outsource) Kvalifikacijos klausimai. Ilgas laiko tarpas, reikalingas organizacijos sistemoms suvokti. Teisėsaugos organai, Interesų konfliktų išvengimas. Kvalifikacijos klausimai. vyriausybės įgaliotos Žema kaina. Ilgas laiko tarpas, reikalingas organizacijos organizacijos sistemoms suvokiti. Maža tyrimo eigos kontrolė.
Nepriklausomai nuo to, koks modelis (vidinė ar trečiųjų šalių komanda) taiko- mas nagrinėjant incidentą, veiksmų etapai yra analogiški (4.1 pav.).
4.1 pav. Reagavimo į incidentus4.1 pav. Reagavimo etapai (Kleiman į incidentus et al.etapai 2007) (Kleiman et al. 2007) Aptarsime šiuos bei kitus svarbius etapus, tokius kaip pasiruošimą incidentams, rizikos analizę, grupės formavimą ir mokymus. 35
Pasiruošimas
Norint sėkmingai reaguoti į incidentus, būtina jiems tinkamai iš anksto pasiruošti, t. y. turėti veikiančias struktūras kompanijoje, suformuoti komandą, politiką, struktūras detalizuojančias procedūras ir t. t. Pasiruošimo poreikis atsiranda dėl pačios incidentų prigimties, reikalaujančios momentinės reakcijos į juos, norint sumažinti pasekmes bei nepaliekant laiko sprendimų priėmimui incidentui vykstant (galimi sprendimų scenarijai turi būti aprašyti iš anksto atsako į incidentus plane). Reakcija reikalauja išankstinio pasiruošimo ir aukšto žinių lygio, kadangi įsilaužimas ar incidentas trunka trumpiau nei reakcija į jį (Marcela ir Greenfield 2001). Nesiruošiant potencialiems incidentams, reakcija gali būti pavėluota, o padaryti nuostoliai – pernelyg dideli. Kaip vienas iš galimų sprendimų variantų gali būti naudojami taip vadinamieji kontroliniai sąrašai (angl. checklists), kurie leidžia nepraleisti svarbių žingsnių, vykdant NEE tyrimą. Pavyzdžiui, JAV Naciolinis teisingumo institutas (angl. National Institute of Justice) yra parengęs iliustruotą vadovą „First Responder Guide“, įvardijantį visas įmanomas įkalčių paieškos vietas, net nurodant, kaip jos gali atrodyti realybėje (4.2 pav.).
32 Aptarsime šiuos bei kitus svarbius etapus, tokius kaip pasiruošimą incidentams, rizikos analizę, grupės formavimą ir mokymus.
Pasiruošimas
Norint sėkmingai reaguoti į incidentus, būtina jiems tinkamai iš anksto pasi- ruošti, t. y. turėti veikiančias struktūras kompanijoje, suformuoti komandą, politiką, struktūras detalizuojančias procedūras ir t. t. Pasiruošimo poreikis atsiranda dėl pačios incidentų prigimties, reikalaujančios momentinės reakcijos į juos, norint sumažinti pa- sekmes bei nepaliekant laiko sprendimų priėmimui incidentui vykstant (galimi sprendi- mų scenarijai turi būti aprašyti iš anksto atsako į incidentus plane). Reakcija reikalauja išankstinio pasiruošimo ir aukšto žinių lygio, kadangi įsilaužimas ar incidentas trunka trumpiau nei reakcija į jį (Marcela ir Greenfield 2001). Nesiruošiant potencialiems in- cidentams, reakcija gali būti pavėluota, o padaryti nuostoliai – pernelyg dideli. Kaip vienas iš galimų sprendimų variantų gali būti naudojami taip vadinamieji kontroliniai sąrašai (angl. checklists), kurie leidžia nepraleisti svarbių žingsnių, vyk- dant NEE tyrimą. Pavyzdžiui, JAV Naciolinis teisingumo institutas (angl. National Ins- titute of Justice) yra parengęs iliustruotą vadovą „First Responder Guide“, įvardijantį visas įmanomas įkalčių paieškos vietas, net nurodant, kaip jos gali atrodyti realybėje (4.2 pav.).
4.2 pav.4.2 Įkalčių pav. Įpaieškoskalčių paieškos kontrolinio kontrolinio sąrašo sgrafiniuąrašo grafiniu pavidalu pavidalu pavyzdys pavyzdys (Ashcroft (Ashcroft ir General ir General 2001) 2001)
GalbūtGalb daugeliuiūt daugeliui informacijos informacijos saugumo specialist specialistųų toks toks vaizdavimo vaizdavimo būdas būdas ir detalumas ir de- gali atrodyti juokingas ir perteklinis, tačiau taip užsitikrinama, kad nei viena vieta, kurioje potencialiai gali talumasbūti galiįkal čatrodytiių, nebus juokingas pražiopsota. ir perteklinis, Pilną dokumento tačiau taip versij užsitikrinama,ą galima rasti kad internete nei viena adresu vieta,www.ncjrs.gov/pdffiles1/nij/187736.pdf kurioje potencialiai gali būti įkalčių, arba atliekant nebus paiešk pražiopsota.ą pagal pavadinimo Pilną dokumento raktinius žodžius. ver-
Rizikos analizė
Atsakas į incidentus yra incidento valdymo36 proceso dalis, kurio sprendimai savo ruožtu yra paremti rizikos analizės išvadomis. Rizikos analizės procesas plačiau nagrinėjamas kituose kursuose (pvz., „Informacijos saugos vadyba“). Pagrindinis rizikos analizės tikslas yra klasifikuoti egzistuojančias rizikas pagal tam tikrus kriterijus (dažniausiai pagal pasireiškimo tikimybę ir poveikio lygį organizacijai) į tam tikras kategorijas (pvz., žema, vidutinė, didelė), taip suteikiant pagrindą sprendimams priimti incidento valdymo (pvz., į kokius incidentus reaguoti nedelsiant, o kurių nagrinėjimas gali būti atidėtas tam tikram laikui) ir kitose informacijos saugos valdymo srityse.
CSIRT grupės formavimas
Incidento sprendimas gali pareikalauti skirtingo lygio žinių: nuo verslo sprendimo priėmimo ir teisinio vertinimo iki tinklo konfigūravimo bei mokėjimo daryti kompromituotų sistemų diskų atvaizdus, juos analizuoti. Nei vienas žmogus neturi pakankamai kompetencijos ir įgaliojimų vienas savarankiškai atlikti visus šiuo veiksmus. Būtent todėl atsiranda poreikis CSIRT grupei suformuoti.
33 siją galima rasti internete adresu www.ncjrs.gov/pdffiles1/nij/187736.pdf arba atliekant paiešką pagal pavadinimo raktinius žodžius.
Rizikos analizė
Atsakas į incidentus yra incidento valdymo proceso dalis, kurio sprendimai savo ruožtu yra paremti rizikos analizės išvadomis. Rizikos analizės procesas plačiau nagri- nėjamas kituose kursuose (pvz., „Informacijos saugos vadyba“). Pagrindinis rizikos analizės tikslas yra klasifikuoti egzistuojančias rizikas pagal tam tikrus kriterijus (dažniausiai pagal pasireiškimo tikimybę ir poveikio lygį organi- zacijai) į tam tikras kategorijas (pvz., žema, vidutinė, didelė), taip suteikiant pagrindą sprendimams priimti incidento valdymo (pvz., į kokius incidentus reaguoti nedelsiant, o kurių nagrinėjimas gali būti atidėtas tam tikram laikui) ir kitose informacijos saugos valdymo srityse.
CSIRT grupės formavimas
Incidento sprendimas gali pareikalauti skirtingo lygio žinių: nuo verslo sprendi- mo priėmimo ir teisinio vertinimo iki tinklo konfigūravimo bei mokėjimo daryti kom- promituotų sistemų diskų atvaizdus, juos analizuoti. Nei vienas žmogus neturi pakan- kamai kompetencijos ir įgaliojimų vienas savarankiškai atlikti visus šiuo veiksmus. Būtent todėl atsiranda poreikis CSIRT grupei suformuoti. Pageidautina, kad CSIRT grupės narių, kurie turės atsakyti į incidentus, kompetencija skirtųsi. Dažniausiai išski- riamos tokios grupės narių pareigos: ▬▬ Vadovaujantysis tyrėjas. Valdo visos grupės veiksmus. Turi užtikrinti, kad at- sako į incidentą procesai vyktų sklandžiai, greitai ir efektyviai. Į jo pareigas taip pat įeina įtariamųjų ir liudininkų apklausa. Be to, vadovaujantysis tyrėjas dažniausiai būna įtrauktas į atsako į incidentus plano (angl. incident response plan) kūrimą. ▬▬ Informacijos saugos specialisto pagrindinė pareiga yra suteikti grupei techninių žinių, reikalingų atsakyti į incidentą ir vykdyti tyrimą, pvz., jis turi nustatyti žingsnius, kurie neleistų incidentui plisti, taip pat įvertinti, kokie veiksniai gali sutrikdyti tyrimą (pvz., įtariamojo kompiuterio kietojo disko šifravimas). Jis taip pat turi teikti informaciją apie sistemos konfigūraciją ir dokumentuoti incidento įvykio vietą. ▬▬ Verslo / vadovybės atstovas (-ai). Jų pagrindinė pareiga yra įvertinti incidento verslo pasekmes ir priimti jų kompetenciją atitinkančius sprendimus: kokius re- sursus skirti tyrimui ir pasekmėms sumažinti; koks tyrimo tipas bus atliekamas; ar apie incidentą bus informuojama žiniasklaida ir kt. ▬▬ Teisininkas turi užtikrinti, kad atsako į incidentą ir tyrimo procesai nepažeidžia jokių teisinių reikalavimų. ▬▬ Techniniai specialistai. Dažniausiai kiekvienu konkrečiu atveju į komisijos dar- bą įtraukiamas skirtingas specialistų skaičius. Jų pareiga padaryti sistemų kopi-
37 jas-atvaizdus, teikti komisijai specifinę informaciją apie sistemų konfigūraciją, atlikti kitus techninius darbus, reikalaujančius specifinės kvalifikacijos. ▬▬ Personalo skyriaus atstovai įtraukiami į grupės sudėtį tam, kad būtų užtikrintas organizacijos reikalavimų vykdymas tarp personalo incidento vykdymo metu, taip pat riboja prieigą prie tiriamų ir kitų resursų įtariamiesiems. Personalo atsto- vai turi ypač glaudžiai bendradarbiauti su teisės skyriaus atstovais.
Mokymai
Bet kokie paruošiamieji darbai turės mažai prasmės, jei organizacijoje nebus vykdomi mokymai, imituojantys atsako į incidentus procesą. Pagrindiniai tokių moky- mų tikslai yra šie: ▬▬ Plano patikrinimas. Ar tikrai plane numatyti visi reikalingi etapai? Ar numatyti veiksmai yra adekvatūs incidentui? Ar visi numatyti ištekliai yra išskirti? ▬▬ Komunikacijos kanalų patikrinimas. Ar užtenka numatytų komunikacijos ka- nalų? Ar jie veikia įvykus incidentui? Kokius rezervinius ryšio kanalus reikia numatyti? ▬▬ Grupės narių reakcijos patikrinimas. Kaip grupės nariai reaguoja į pranešimą apie incidentą? Ar reakcijos laikas atitinka nustatytas normas? Ar nariai vado- vaujasi parengtomis instrukcijomis? Ar tinkamai organizuotas narių funkcijų dubliavimas? Tenka pripažinti, kad dalis organizacijų ignoruoja mokymų etapą, apsiriboda- mos vien tik planų parengimu. Tai pateisinama laiko ir pinigų stoka, o jei mokymai yra organizuojami, jie dažnai būna formalūs. Būtent pinigų skyrimas planų rengimams be mokymų gali būti pripažintas tiesioginiu pinigų švaistymu. Įvykus realiam incidentui paaiškėja, kad surinkti CSIRT narių neįmanoma, numatyti resursai nepasiekiami arba veikia ne taip, kaip buvo numatyta, prarandama brangaus laiko. Tik mokymai (dėl ku- rių formos turi apsispręsti organizacija) gali atskleisti silpnąsias proceso vietas bei jas pašalinti iki tikro incidento atsiradimo. Pagrindiniai punktai, kuriuos organizacija turi numatyti, planuojant mokymus, yra šie: ▬▬ mokymų periodiškumas; ▬▬ išteklių skyrimas mokymams (žmogiškųjų, laiko, techninių, finansinių bei kitų); ▬▬ mokymo prioriteto ir svarbos išaiškinimas visiems mokymų dalyviams; ▬▬ tinkamas mokymų planavimas ir eigos dokumentavimas; ▬▬ mokymo rezultatų analizė.
Incidento nustatymas
Nėra vienintelio būdo, kaip identifikuoti incidentą. Tai gali būti ir atsitiktinis įvykis, ir incidentų identifikavimo procedūrų taikymo pasekmė. Būtina užtikrinti, kad darbuotojas, pastebėjęs incidentą, žinotų savo atsakomybę dėl būtinybės informuoti apie incidentą bei informavimo apie incidentus tvarką (Kam? Kokiu greičiu? Kokius incidento parametrus reikia pranešti?). Gan dažnai incidentai identifikuojami gavus
38 skundą, atliekant įrenginių ir sistemų (ugniasienių, maršrutizatorių, duomenų bazių valdymo sistemų, įsiskverbimo detektavimo sistemų (IDS)) įvykių registracijos įrašų peržiūrą. Paskutiniu metu vis plačiau taikomos SIM sistemos (angl. Security Incident Management), kurios agreguoja įvykių registracijos įrašus iš skirtingų šaltinių ir ieško juose neatitikimo ar įsiskverbimo šablonų, atvaizduoja įsiskverbimo vykdymo eigą. Nepaisant labai didelės kainos, jie gali būti traktuojami kaip viena iš efektyviausių prie- monių incidentui aptikti. Informacija apie incidentą gali ateiti ir netiesiogiai iš įvairių našumo stebėjimo įrenginių, kurie signalizuoja apie pakitusį paslaugos teikimo lygį. Esant įtarimui dėl incidento, atliekamas jo pirminis tyrimas, kurio pagrindinis tikslas – įsitikinti, kad incidentas tikrai įvyko. Tai yra būtina siekiant taupyti resursus ir neinicijuoti pilno tyrimo, jei įtarimai dėl incidento nepasiteisina.Kita vertus, atsiranda prieštaravimas įkalčių būsenos išsaugojimui, jei įtarimai pasiteisintų. Todėl būtina im- tis priemonių tokiai tikimybeisumažinti. Preliminarų tyrimą sudaro tokie etapai: ▬▬ Skundo ir (ar) informacijos peržiūra. Patikrinama, ar tikrai buvo sutrikimas ar neleidžiamas veiksmas, kad tai nėra klaidingas pranešimas („false-positive“ tipo). ▬▬ Žalos įvertinimas. Siekiama įvertinti, kiek kritiškas incidentas buvo arba gali būti organizacijai. Vertinime turėtų dalyvauti ir technikos specialistai, ir verslo atstovai. ▬▬ Liudininkų apklausa. Siekiama surinkti kuo daugiau informacijos iš skirtingų šaltinių. ▬▬ Įvykių registracijos įrašų analizė. Siekiama surasti dokumentinių incidento pa- tvirtinimų. ▬▬ Tyrimo reikalavimų nustatymas. Nustatomas tyrimo tipas, terminai. Esant stam- biam arba rezonansiniam incidentui, sprendimą greičiausiai turės priimti aukš- čiausia organizacijos vadovybė. Pasitvirtinus įtarimams dėl incidento, NEE tyrimas pereina į informavimo apie incidentą etapą. Žemiau pateikiamas pavyzdinis veiksmų scenarijus, leidžiantis nusta- tyti „Windows“ (2000/XP šeimos) operacinės sistemos saugumo pažeidimą (Marcela ir Greenfield 2002): ▬▬ Peržiūrėti keistus arba nežinomus vartotojų vardus ir grupes. ▬▬ Peržiūrėti, ar visi vartotojai teisėtai priklauso priskirtoms grupėms. ▬▬ Peržiūrėti keistos arba neįprastos bet kokio tipo veiklos žymes žurnalinėse rin- kmenose. ▬▬ Peržiūrėti visų vartotojų teises. ▬▬ Patikrinti, ar nėra vykdoma neautorizuota programinė įranga („Windows Regis- try“, „System Services“, „Startup“ katalogai). ▬▬ Patikrinti, ar nebuvo pakeistos sisteminių vykdomųjų rinkmenų versijos. ▬▬ Patikrinti, ar kompiuteris neklauso nestandartinių tinko prieigų, naudojant ko- mandą „netstat – an“. Taip pat pateiksime keletą rekomendacijų, pagal kurias galima identifikuoti kenksmingą programinį kodą arba įsilaužimą.
39 Identifikuojant įtartinus procesus būtina atkreipti dėmesį į procesų vardus ir pra- džios laiką; proceso statusą; vartotoją, kuris vykdo procesą; proceso naudojamus ište- klius (CPU, RAM, kietasis diskas ir t. t.); teises, suteiktas procesui; proceso naudojamą aparatinę įrangą; proceso atidarytas rinkmenas. Analizuojant operacinės sistemos arba tinklo žurnalines rinkmenas reikia išsi- aiškinti, kokie procesai naudoja daugiausiai resursų; kokie procesai prasideda neįprastu laiku; kurie iš jų netikėtai nutraukia savo darbą; kurie vartotojai, anksčiau buvę neak- tyvūs, staiga pradėjo intensyvią veiklą; kurios paslaugos, buvusios užblokuotos, staiga pradėjo veikti; kurie kompiuteriai formuoja anomaliai didelį tinklo srautą; procesus su tais pačiais vardais, imituojančius leidžiamus procesus; neįprastai didelį procesų skaičių.
Informavimas apie incidentą
Informacijos saugos specialisto pareiga yra informuoti vadovybę apie informa- cijos saugos įvykius bei įvykius, tapusius / galinčiais tapti incidentais. Organizacijos vadovybė, dažniausiai padedama teisės skyriaus, sprendžia, ar apie įvykį turi būti infor- muojama žiniasklaida, teisėsaugos institucijos, verslo partneriai ir klientai. Dalis organizacijų vengia pranešti apie incidentą teisėsaugos institucijoms dėl įvairių priežasčių. Viena iš pagrindinių – nuostoliai, kuriuos organizacija patirs, jei ži- nia apie incidentą bus paskelbta. Nuostoliai gali susidaryti iš baudų už netinkamą in- formacijos saugos organizavimą, reputacijos praradimo, galinčio paveikti akcijų kursą, klientų nepasitikėjimo, pardavimo mažėjimo ir t. t. Anksčiau organizacijos neprivalėjo apie incidentus informuoti teisėsaugos or- ganus. Šiuo metu situacija šiek tiek pasikeitė, ypač JAV, kai buvo priimti teisės aktai, įpareigojantys organizacijas tai daryti („Gramm-Leach-Bliley Act“ (GLBA) ir „Health Information Portability and Accountability Act“ (HIPAA)). Teisės aktais yra siekiama padidinti kompanijų atsakomybę už informacijos saugos užtikrinimą, kai privalomas viešinimas apie incidentus yra tam tikras baudimo būdas. Kompanijos, veikiančios ki- tose šalyse, taip pat vis dažniau yra priverstos elgtis analogiškai, pvz., organizacijos, privalančios atitikti tarptautinio saugos standarto PCI DSS (angl. Payment Card Indus- try Data Security Standard), reglamentuojantį veiksmus su bankinių kortelių nume- riais, reikalavimams, turi informuoti bankinių kortelių asociacijas (VISA, MasterCard, Amex) apie įvykusias bankinių kortelių numerių vagystes. Nepaisant to, kompanijos stengiasi vengti atskleidimo apie incidentus, ieškodamos „landų“ teisės aktuose.
Įkalčių išsaugojimas ir incidento sulaikymas
NEE tyrėjas naudojasi trapiu ir nestabiliu turiniu (atidaryti susijungimai, opera- tyviosios atminties duomenys ir t. t.), kuris gali būti lengvai sunaikintas arba pakeistas, elgiantis su juo neatsargiai. Todėl turi imtis visų įmanomų atsargos priemonių, kad kuo daugiau nesugadintų įkalčių būtų išsaugota. Šis procesas dažnai vadinamas „scenos
40 užšaldymu“ (angl. freezing the scene). Techniniai šio etapo aspektai nagrinėjami 12 skyriuje. Lygiagrečiai turi būti vykdomi incidento sulaikymo darbai, t. y. veiksmai, nelei- džiantys incidentui paveikti didesniam sistemų kiekiui tinkle. Prie incidento sulaikymo darbų gali būti priskirtas pažeistos sistemos išjungimas iš tinklo arba jos prieigos prie kitų sistemų apribojimas kitais metodais. Kalbant apie incidento sulaikymą, organiza- cijos gali taikyti skirtingą priėjimą, t. y. tai gali būti ir CSIRT pareiga, ir atskiros grupės funkcija. Bet kokiu atveju, incidentas turi būti sustabdytas ir imtasi priemonių, kad jis nepasikartotų ateityje.
Analizės fazė
Analizės metu įvykio vieta yra aprašoma ir (arba) dokumentuojama įranga, ku- rioje potencialiai gali būti įkalčių, perduodama NEE tyrimo kvalifikaciją turintiems specialistams, kurie atlieka analizės darbus. NEE tyrimo metodų, kaip ir kompiuterinių nusikaltimų, įvairovė – didelė, pvz., rinkmenų analizė, ištrintos ar užkoduotos infor- macijos atkūrimas, vizuali įrangos apžiūra ar įtariamųjų ir liudininkų apklausos, asme- ninių atakuotojo savybių įvertinimas ir tikslų nustatymas. Detaliau šio etapo veiksmai nagrinėjami 13 skyriuje.
Pristatymas
Pristatymo metu perduodama visą incidento metu surinktą informaciją kartu su dokumentacija ir įkalčiais NEE tyrėjų komandai, t. y. vykdomas perėjimas iš įkalčių išsaugojimo ir incidento sulaikymo į analizės fazę. Jei organizacija yra sąlyginai maža, visai tikėtina, kad tokio grupių atskyrimo nėra, o tyrimą vykdys tos pačios grupės. Tokiu atveju kalbama tik apie tarpinį pristaty- mą apie tyrimo eigą organizacijos vadovybei.
Peržiūra pasibaigus incidentui
Peržiūra pasibaigus incidentui (angl. post mortem review) yra atliekama tam, kad pasibaigus tyrimui ir gavus tyrimo išvadas būtų imtasi veiksmų incidento atsako procesui gerinti kitą kartą. Tipinės proceso tobulinimo vietos yra: ▬▬ Atsako į incidentus planas. Tobulinami tie plano punktai, kurie pasirodė esą ne- pakankamai efektyvūs arba visai nesuveikė incidento metu. ▬▬ Informacijos skleidimo politika. Jei informacija apie incidentą buvo nutekinta tyrimo metu, reikia išsiaiškinti, kas ir kokiais būdais tai padarė, ateityje griežtinti kontrolę. ▬▬ Informavimo apie incidentą politika. Ar darbuotojas, kuris atskleidė incidentą, tinkamai vykdė informavimo procedūras?
41 ▬▬ Įvykių registracijos įrašų politika. Ar tikrai visa reikiama informacija buvo rasta įvykių registracijos įrašuose? Ar galiojanti įvykių registracijos įrašų politika rei- kalauja saugoti būtinus tyrimui duomenis? ▬▬ Kiti saugos tobulinimo klausimai. Bet kokie taikomi informacijos saugos meto- dai, tyrimo metu išaiškėję kaip nepakankami.
Plano peržiūra
Pasibaigus incidentui, peržiūros etapo rezultatai turi tapti pagrindu planui atnau- jinti. Vertinti reikia ne tik plano veiksmingumą konkretaus įvykusio incidento atveju, bet bandyti modeliuoti, ar planas būtų toks pat efektyvus, jei incidentas būtų kitokio tipo.
4.3. Incidentų tipai
Vienas iš didžiausių atsako į incidentus procesų iššūkių yra būtinybė reaguoti į skirtingus incidentų tipus. Kiekvienas incidentų tipas turi unikalių savybių. Tai reiškia, kad kiekvienas incidento tipas reikalauja atskirų procedūrų, norint užtikrinti adekvatų atsakymą.
Atsisakymo aptarnauti ataka
Atsisakymo aptarnauti atakos (angl. Denial-of-service (DoS)) tikslas yra neleisti teisėtiems vartotojams prieiti prie reikiamų resursų. Yra keli DoS atakų porūšiai, kurie gali remtis buferio perpildymo atakomis, kompiuterių resursų (CPU, tinklo pralaidu- mo, operatyviosios atminties) fizinio išnaudojimo atakomis, realizacijos klaidų išnau- dojimo atakomis, masinių teisėtų vartotojų prisijungimo imitavimo atakomis (angl. Distributed DoS arba DDoS). Pagrindinė užduotis, kovojant su DoS atakomis, yra verslui kritinių paslaugų funkcionalumo atstatymas. Tai gali būti traktuojama kaip viena iš pavojingiausių ata- kų, ypač kai kalbama apie DDoS tipą, kadangi puolimą dažniausiai vykdo tūkstančiai užkrėstų „zombių“ kompiuterių ir prieigos blokavimas iš tam tikrų tinklo adresų arba segmentų dažniausiai yra neveiksmingas.
Kenksmingas programinis kodas
Tai viena iš dažniausių incidentų atmainų, kai kompiuterių sistemos yra pažei- džiamos kenksmingo programinio kodo (KPK, angl. malware). Tai bendrinis terminas, apimantis kompiuterių virusus, kirminus, bot’us ir kitą kodą, sukurtą su tikslu pakenkti teisėtam vartotojui. Priklausomai nuo KPK tipo ir funkcionalumo, incidentas organi- zacijai gali turėti ir nykstamai mažas pasekmes, ir visiškai sutrikdyti jos darbą, todėl
42 nepaisant šio incidento dažnumo ir psichologinio susitaikymo su juo, kiekvienas toks įvykis turi būti detaliai nagrinėjamas. Pagrindinė užduotis kovojant su tokio incidento tipu yra tolimesnio KPK plitimo sistemose sulaikymas.
Neteisėtas naudojimas
Šis incidentų tipas yra pats tipiškiausias, kai kalbama apie NEE siaurąja prasme. Esant tokiai situacijai, vidinis ar išorinis nusikaltėlis gauna prieigą prie resurso, į kurio teises jis neturėtų turėti. Taip pat reikia pabrėžti, kad tai yra jo sąmoningų veiksmų pasekmė. Esant tokiam incidento tipui, CSIRT komanda turi koncentruotis ties tolimesnių nusikaltėlio veiksmų blokavimu ir įkalčių išsaugojimu. Būtent esant šiam incidento tipui greičiausiai gali būti priimtas sprendimas kreiptis į teisėsaugos organus.
Netinkamas naudojimas
Prie netinkamo naudojimo priskiriami veiksmai, kai kompiuterio vartotojas jį naudoja neteisėtai veiklai (skleidžia draudžiamą turinį, naudoja kompiuterį kaip smurto ir (ar) priekabiavimo priemonę, renka informaciją tradiciniam nusikaltimui vykdyti) arba naudojant kompiuterį pažeidžia teisės aktus, organizacijos vidinius reikalavimus (diegia piratinę programinę įrangą, darbo metu naudoja kompiuterį asmeniniams tiks- lams). Priklausomai nuo to, ar tyrimas atliekamas organizacijos darbuotojo, ar priva- taus asmens atžvilgiu, gali būti akcentuojami skirtingi vidinės grupės ir (ar) teisėsau- gos institucijos veiksmai. Pavyzdžiui, pirmuoju atveju gali būti svarbesnis tolimesnių veiksmų blokavimas, antruoju – tinkamas įkalčių išsaugojimas.
4.4. Kontroliniai klausimai ir praktiniai darbai
Kontroliniai klausimai
1. Kuo skiriasi reagavimas į incidentus, incidentų sulaikymas ir incidentų val- dymas? 2. Išvardykite reagavimo į incidentus proceso etapus. 3. Kuriame reagavimo į incidentus proceso etape yra priimamas sprendimas, kad nagrinėjamas įvykis turi būti traktuojamas kaip incidentas? 4. Pagrįskite mokymo etapo svarbą ruošiant atsaką į galimus incidentus. 5. Išvardykite keturis incidentų tipus ir jų pagrindinius bruožus CSIRT grupės požiūriu.
43 Praktiniai darbai
Susiskirstykite į grupes po 6–8 žmones (esant mažoms akademinėms grupėms, po 3–4 žmones). Grupės tikslas – imituoti CSIRT grupės veiklą. 1. Grupės nariai savarankiškai pasidalina roles imituojamos CSIRT grupės vi- duje (esant mažoms akademinėms grupėms, vienas žmogus gali prisiimti po 1–2 roles). 2. SCIRT grupė parengia reagavimo į incidentus planą. 3. Pratybas vedantis dėstytojas pateikia kiekvienai grupei individualų inciden- to modelį, jame nurodydamas: a) laiką, kada incidentas buvo pastebėtas; b) kas ir kokiomis aplinkybėmis pastebėjo incidentą; c) kitas reagavimui būtinas incidento detales. 4. Gavę incidento aprašymą, grupės nariai: a) pradeda veikti pagal paruoštą reagavimo į incidentus planą; b) nustato incidento tipą ir kategoriją; c) protokole fiksuoja, kokiu laiku ir koks sprendimas buvo priimtas, ar vyko sėkminga narių komunikacija, kada incidentas buvo sustabdytas ir pašalintos jo pasekmės. 5. Rengiamas viešas aptarimas, kurio metu grupės nariai, dėstytojas ir kiti stu- dentai vertina: a) ar incidentas buvo tiksliai identifikuotas ir kategorizuotas; b) kiek adekvatus buvo parengtas planas imituojamam incidento tipui; c) kiek laiko prireikė sprendimams priimti. d) ar pakankama buvo grupės narių kvalifikacija pareigoms atlikti; e) ar priimti sprendimai atitinka geriausioms praktikoms ir tinka konkre- taus incidento atvejui; f) kokie pakeitimai turi būti atlikti incidentų valdymo plane. 6. Esant galimybei, pakartokite reagavimo į incidento mokymus su kitu inci- dento tipu po reagavimo į incidentus plano koregavimo.
44 5.
NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA
Vykdydamas NEE tyrimą tyrėjas atlieka tam tikrą žingsnių ir procedūrų seką. Pirmiausia, identifikuojamas nusikaltimas. Vėliau surenkami įkalčiai ir formuojama įrodymų grandinė (angl. chain of custody). Tyrėjas šias procedūras turi vykdyti kiek įmanoma tiksliau bei laikytis tam tikrų tyrimo principų. Po to, kai įkalčiai būna išanali- zuoti, tyrėjas turi elgtis kaip liudininkas ekspertas bei mokėti pristatyti įkalčius teisme. Tyrėjas tampa kibernetinių nusikaltimų persekiojimo mechanizmo dalimi. Šiame skyriuje trumpai apžvelgiami pagrindiniai NEE tyrimų principai ir etapai. Svarbiausi tyrimo etapai detalizuojami kituose skyriuose.
5.1. Bendrieji NEE tyrimo principai ir etapai
Kai įvykis yra perkvalifikuojamas į incidentą, organizacija susiduria su būtinybe atlikti NEE tyrimą, kurio metu dažnai atliekami šie veiksmai: 1. Vadovybė kreipiasi į teisininką konsultacijos. 2. Tyrėjas parengia pirminio atsako procedūras (angl. First Response Proce- dures (FRP)). 3. Tyrėjas surenka įkalčius įvykio vietoje ir perduoda juos tyrimo laboratorijai. Vykdant šį etapą laikomasi tam tikros tvarkos: a) Identifikuojami įkalčiai. Nustatoma, kur sistemoje įkalčiai gali būti sau- gomi. b) Nustatomas duomenų tinkamumas, t. y. kiek rasti duomenys gali įro- dyti incidento faktą. Šito žingsnio metu svarbu neatmesti reikšmingų duomenų. c) Nustatoma rinkimo tvarka. Pagrindinis tvarkos nustatymo kriterijus – spėjamas įkalčių gyvavimo laikas, t. y. tikimybė prarasti įkalčius dėl jų gedimo. Tie įkalčiai, kurių gyvavimo trukmė yra mažesnė, pvz., įrašai diskeliuose, turi būti surenkami ir paruošiami apdoroti pirmiausiai. d) Pašalinami išorinio poveikio veiksniai. Renkant duomenis reikia iš- vengti jų modifikavimo, kadangi tik nemodifikuoti duomenys gali būti laikomi įkalčiu. Nusikaltėliai dažnai savo kompiuteriuose įdiegia pro- graminę įrangą, tam tikromis sąlygomis (kompiuterio atjungimas nuo interneto, klavišų derinio paspaudimas arba tam tikrų veiksmų neatliki- mas per nustatytą laiką nuo kompiuterio įjungimo) ištrinančią visą jame saugomą informaciją. 4. Daromos surinktų duomenų laikmenų atvaizdo kopijos, siekiant užfiksuoti jų būseną. Taip pat fiksuojama nusikaltimo įvykio vieta (nuotraukos, apra- šymai).
45 5. Tyrėjas išanalizuoja įkalčius nusikaltimui įrodyti ir paruošia negalutinę ty- rimo ataskaitą. 6. Tyrėjas perduoda užsakovui ataskaitą, o klientas įvertina, ar sieks iš nusikal- tėlio kompensacijos teismo tvarka. 7. Tyrėjas sunaikina bet kokius saugomus konfidencialius arba jautrius kliento duomenis, kurie neturi tiesioginės įtakos tyrimui. Vykdydamas tyrimą, tyrėjas turi stengtis vadovautis tokiais principais, kurie lei- džia maksimaliai padidinti bylos sėkmę teisme: ▬▬ Analizuoti originalius įkalčius kiek įmanoma mažiau. Stengtis pagal galimybę analizuoti įkalčių dublikatus. ▬▬ Nemodifikuoti įkalčių. Jeigu tai nėra įmanoma – dokumentuoti bet kokius, net pačius nereikšmingiausius įkalčių keitimus. ▬▬ Formuoti pagrįstas nusikaltimo įrodymo grandines, atsargiai ir atsakingai elgtis su įkalčiais. Formuoti tik tas išvadas, kurios tiesiogiai pagrįstos surinktais įkalčiais. ▬▬ Jausti atsakomybę už atliekamą darbą bei suprasti, kad klaidingai suformuluotos bei pateiktos išvados gali lemti teismo klaidą, suluošinti žmonių likimą arba neigiamai atsiliepti pačiam tyrėjui teisinio persekiojimo forma. ▬▬ Naudoti tyrimo metu surinktus duomenis tik tyrimo tikslais, neperduoti jų tre- čiosioms šalims, nenaudoti šantažui ar asmeninei naudai. Reikėtų pabrėžti, kad įvairių vadovėlių ir mokymo kursų, skirtų NEE tematikai, autoriai skirtingai vadina ir interpretuoja NEE tyrimo etapus, t. y. gali skirtis etapų pavadinimai, tiems patiems etapams gali būti priskiriami skirtingi uždaviniai (pvz., įkalčių apsaugojimas nuo modifikavimo gali būti priskirtas ir įkalčių rinkimo, ir atskirai fazei). Tai parodo, kad pats procesas dar nėra visiškai susistemintas ir dar nėra tvarkos, kuri tenkintų visus autorius. Todėl šiame vadovėlyje autoriai neakcentuoja konkrečių etapų pavadinimų, o labiau vardija veiksmus, kurie yra būdingi atliekant tyrimą. Kita vertus, įvardyti tyrimo principai yra ganėtinai nusistovėję, ypač kalbant apie jų etinę ir atsakomybės dalį. Taip pat, nepaisant aiškiai matomos tendencijos anali- zuoti „gyvas“ sistemas, vis dar aktualus išlieka įkalčių dublikavimo ir nemodifikavimo principas.
5.2. Klausimai tyrėjui ir užsakovui tyrimo eigoje
Bet kokį tyrimą ar detektyvinį romaną, atmetus tam tikrus meninius ir psicholo- ginius vaizdavimo aspektus, galima pateikti kaip tam tikrą seką klausimų, į kuriuos turi atsakyti tyrėjas ir (arba) detektyvas, siekdamas išsiaiškinti nusikaltimą. Tuos klausimus tyrėjas formuluoja sau, tyrimo užsakovui, įtariamajam, liudininkams. Jis turi išsiaiš- kinti, su kokio nusikaltimo tipu jis turi reikalų, kokie yra nusikaltimo motyvai, kaip jis buvo įvykdytas bei kaip gali būti įrodytas. Tinkamai suformuluoti klausimai yra pagrindas sėkmingam tyrimui, nes leidžia nustatyti visą logišką įvykių seką. Šiame poskyryje yra pateikiami (Middleton 2001) siūlomos metodikos pagrindu parengti klausimai, kurie skirtingais tyrimo etapais gali būti traktuojami kaip tyrėjo kontroliniai sąrašai.
46 Klausimai, pateikiami užsakovui pirmojo kontakto metu
Pageidautina, kad į šiuos klausimus tyrėjas gautų atsakymus iškart arba dar iki atvykdamas į tyrimo vietą. Išankstinis atsakymas yra pageidaujamas, kadangi tyrėjas gali geriau pasiruošti darbui įvykio vietoje bei pateikti pirmines FRP rekomendacijas. 1. Apie kokį nusikaltimo tipą kalbama? Nusikaltimo tipo apibrėžimas leidžia tyrėjui atlikti konsultacijas su konkrečios srities specialistais. Sąrašas api- ma, bet neapsiriboja, tokia informacija: a) puslapio turinio keitimas; b) asmeninių duomenų vagystė; c) intelektinės nuosavybės vagystė / pramoninis šnipinėjimas; d) nužudymas / vagystė / kitas kriminalinis įvykis; e) sabotažas / diversija; f) kompiuterinės sistemos panaudojimas kaip tarpinės grandies atakai vykdyti; g) verslo informacijos vagystė / nutekinimas; h) gynybos sistemų pažeidimas. 2. Ar kompanijoje naudojama IDS? Kas yra IDS tiekėjas? 3. Kas pirmasis pastebėjo nusikaltimą? Kada apie jį buvo pranešta? 4. Ar nusikaltėlis vis dar vykdo savo veiksmus? Ar gali įtarti, kad jo veiksmai yra susekti? 5. Ar yra įtariamieji? Ar tai organizacijos darbuotojai? 6. Ar apie incidentą informuotos teisėsaugos institucijos? Jei taip, kokių veiks- mų jie jau ėmėsi? 7. Ar gali būti užtikrintas nuotolinis priėjimas prie sistemos arba pažeistos sis- temos kopijos? 8. Kokio tipo įranga (aparatinė ir programinė) yra naudojama? Kokie yra spe- cifiniai jos nustatymai (pvz., failinės sistemos tipas)? 9. Ar sistemose su įkalčiais yra išorinių laikmenų skaitymo įrenginių (CD / DVD-ROM)? 10. Ar pažeista sistema yra padidinto saugumo zonoje? Kas atsakingas už leidi- mo išdavimą tyrėjui prieigai? 11. Kokie duomenys potencialiai saugomi nagrinėjamoje sistemoje? 12. Kokios talpos kietieji diskai nagrinėjamose sistemose? 13. Kas legaliai turėjo prieigos teises prie nagrinėjamos sistemos? Kas turėjo prieigą prie sistemos anksčiau arba buvo įtrauktas į sistemo kūrimą, diegimą ir palaikymą? 14. Sąrašas užsakovo atstovų, su kuriais reikės susitikti vizito metu. 15. Ar įvykio vieta yra fiziškai apsaugota? 16. Kokiu periodiškumu naikinamos pasenusios sistemų atsarginės kopijos? Ar įvykus incidentui šis procesas buvo sustabdytas?
47 17. Kokia yra taikoma įvykių registracijos įrašų saugojimo ir analizės politika? Ar išsaugoti įvykių registracijos įrašai potencialiu nusikaltimo įvykdymo laikotarpiu? 18. Kas žino apie įvykį? 19. Koks yra priimtas sprendimas nusikaltimo tyrimo požiūriu? Ar bus kreiptasi į teismą?
Klausimai, pateikiami užsakovui įvykio vietoje
Reikia pabrėžti, kad čia yra pateikiami tik pavyzdiniai klausimai. Kiekvienu kon- krečiu atveju gali būti formuluojami papildomi klausimai, o dalies iš jų – visiškai atsi- sakoma. Gauti atsakymai taip pat gali tapti pagrindu naujiems klausimams formuluoti. 1. Kokiu laiku įvyko incidentas? 2. Kokie pakeitimai įvykio vietoje buvo padaryti? 3. Ar žmonės, buvę įvykio vietoje, turėjo ten būti pagal savo pareigas / darbo grafiką? 4. Kas buvo paskutinis, naudojęsis sistema? 5. Kas iš darbuotojų mėgsta ateiti į darbą labai anksti arba pasilikti po darbo / savaitgaliais? 6. Kiek ilgai įtariamieji dirba organizacijoje? 7. Kas buvo matyti kompiuterio ekrane įvykio metu? 8. Kokios yra įtariamųjų elgesio ypatybės? Su kuo iš kitų darbuotojų jie bendrauja? 9. Ar paskutiniu metu organizacijoje buvo keistų arba netipinių įvykių, kurie nebuvo klasifikuoti kaip incidentai? 10. Ar įtariamieji palaiko ryšius su kitomis kompanijomis / šalimis? 11. Ar yra įvykio vietos vaizdo / garso įrašų? 12. Ar naudojami bendriniai vartotojų vardai / slaptažodžiai? 13. Ar kompanija turi finansinių ar kitokių problemų? 14. Ar niekas iš darbuotojų nepiknaudžiavo neįprastomis išlaidomis / pirkimais paskutiniu metu? 15. Kam iš darbuotojų buvo taikomos administracinės priemonės arba užsime- nama apie atleidimą; išreiškiamas nepasitenkinimas darbo rezultatais? 16. Kas iš darbuotojų turėjo finansinių sunkumų? 17. Ar yra organizacijoje laikinų arba nepilną darbo dieną dirbančių darbuotojų? 18. Kas buvo atleistas iš organizacijos paskutiniu metu? Ar atleidimas buvo konfliktiškas? 19. Kada paskutinį kartą buvo atliekami sistemos atnaujinimai / diegiamos nau- jos programos? Kas atliko šiuos veiksmus? 20. Ar įmanomą gauti tinklų topologijos diagramą? Visi šiame skyriuje pateikti klausimai yra adaptuoti atvejui, kai tyrimo užsako- vas yra organizacija, o potencialus nusikaltėlis yra organizacijos viduje ir (arba) po- tencialiai su ja susijęs, kadangi beveik 60–70 proc. visų nusikaltimų atliekami pačios
48 organizacijos darbuotojų. Tačiau šis klausimynas gali būti nesunkiai adaptuotas ir tuo atveju, jei vykdomas kriminalinio nusikaltimo tyrimas arba nusikaltėlis yra už organi- zacijos ribų.
5.3. Kontroliniai klausimai
1. Įvardykite pagrindinius NEE tyrimo principus. Apginkite kiekvieno iš prin- cipų pagrįstumą. 2. Įvardykite pagrindinius NEE tyrimo veiksmus / etapus. 3. Pateikto klausimyno pagrindo sukurkite klausimynus tokioms situacijoms: a) tyrimo užsakovas – organizacija, o potencialus nusikaltėlis yra už kom- panijos ribų; b) tyrimo užsakovas – teisėsaugos institucija, tiriamas nusikaltimas – kri- minalinis, kuriam įvykdyti kompiuteris buvo naudojamas kaip pagalbi- nė priemonė informacijai rinkti, todėl gali būti panaudotas kaip netie- sioginis įkaltis. 4. Nesinaudodami tolesnių vadovėlio skyrių medžiaga pabandykite suformuo- ti klausimyną NEE tyrimo analizės fazei, kai tyrėjas jau surinko visus įkal- čius ir gavo atsakymus į šiuose klausimynuose suformuluotus klausimus.
49 6.
ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS
Elektroniniais arba skaitmeniniais įkalčiais gali būti traktuojama bet kokia kompiuterių sistemomis perduodama arba saugoma informacija, kuri patvirtina tyri- mo metu suformuluotą hipotezę ir, pagal poreikį bei tenkinant tam tikras sąlygas, gali būti panaudota teismo proceso metu. Ar įkaltis gali būti naudojamas teismo procese priklauso nuo to, ar teisėtai jis buvo gautas ir kiek atitinka kitiems įkalčiams keliamus reikalavimus. Paskutiniu dešimtmečiu elektroninių įkalčių taikymas teismo procesuose tapo gan dažnu reiškiniu, o skaitmeninės nuotraukos, įvykių registracijos įrašai, elektroni- nių dokumentų kopijos, susirašinėjimo pokalbių programose kopijos – pilnateise bylų dalimi. Precedentinės teisės valstybėse, tokiose kaip JAV, dalis teismų traktuoja elek- troninius įkalčius analogiškai tradiciniams dokumentams, kiti – pabrėžia jų prigimties skirtumą. Dažnai elektroninių įkalčių atmetimo priežastimi būna įkalčių gavimas be teis- mo leidimo. Daugumoje teisinių sistemų keliamas reikalavimas, kad įrenginiai, iš ku- rių nuskaitomi elektroniniai įkalčiai, būtų areštuojami prieš pradedant vykdyti tyrimą. NEE tyrime tai gali sukelti tam tikrų sunkumų. Tyrėjai, vykdydami NEE tyrimą, turi vertinti du įkalčių tinkamumo kriterijus: ▬▬ autentiškumą – arba įkalčio atsiradimo šaltinį; ▬▬ patikimumą – kiek šaltinis yra patikimas ir (arba) nešališkas bei apsaugotas nuo galimų pažeidimų. Duomenų objektas arba kompiuterinis įrenginys gali tapti įkalčiu, kai jo naudo- jimą tokia tvarka reglamentuoja įstatymas (Marcela ir Greenfield 2002). JAV Federali- nis tyrimų biuras išskiria tokius įkalčių tipus, kurie gali būti naudojami atliekant NEE tyrimą: ▬▬ Duomenų objektai. Galimi informacijos šaltiniai su tam tikra tikimybine verte, susieti su fiziniais objektais. Gali pasitaikyti įvairių formatų duomenų objektų. ▬▬ Skaitmeniniai įkalčiai (angl. digital evidence). Tam tikros tikimybinės vertės in- formacija, saugoma arba perduodama skaitmeniniu formatu. ▬▬ Fiziniai objektai. Įrenginiai, kuriuose duomenų objektai arba informacija yra saugomi arba per kuriuos duomenų objektai yra perduodami. ▬▬ Originalūs skaitmeniniai įkalčiai. Fiziniai objektai ir su jais susiję duomenų objektai konfiskacijos metu. ▬▬ Skaitmeninių įkalčių dublikatai. Tiksli skaitmeninė visų duomenų objektų, sau- gomų originaliame fiziniame objekte, kopija. Įkalčiai dar gali būti skirstomi pagal jų vėlesnio pritaikymo tikslą: ▬▬ įkalčiai, renkami tolesniam teisminiam persekiojimui; ▬▬ įkalčiai, kurių tikslas – tiesiog nustatyti NEE faktą bei išsiaiškinti priežastis, jo neperduodant teismui. Paskutiniu atveju taikomos ne tokios griežtos rinkimo ir analizės procedūros. 50 6.1. Įkalčių savybės
Jei žvelgtume į fizinį elektroninių įkalčių lygį, tai turėtume naudotis elektro- magnetiniais impulsais laiduose bei diskiniuose kaupikliuose, radijo signalais ir t. t. Tačiau užsitikrindami priėjimą prie duomenų NEE tyrėjai naudojasi kompiuterių siste- mų suteikiama duomenų vaizdavimo sistema, perteikiančia fiziniu pavidalu saugomus duomenis žmogui suprantama forma (pvz., žmogus retai tiesiogiai analizuoja kietojo disko bitus ar sektorius, o naudojasi katalogais ir failais). Tai reiškia, kad tyrėjai retai tiesiogiai mato duomenis, o naudoja tam tikrą jų atvaizdavimą. Tačiau reikia turėti omenyje, kad kiekvienas abstrakcijos lygis gali įvesti tam tikrų klaidų arba informaci- jos praradimų. Dar vienas abstrakcijos lygis – specializuoti NEE tyrimo įrankiai, kurie, kaip ir bet kokia programinė įranga, gali turėti klaidų – tiek techninių, tiek atsiradusių dėl netinkamos probleminės srities suvokimo. Viena iš didžiausių pasitaikančių įrankių problemų – netinkamas failinių sistemų interpretavimas. Abstrakcijos lygių įvedimas iš tyrėjų reikalauja taikyti kelis įrankius bei vertinti, kad gauti rezultatai yra analogiški. Tiriant ypatingai svarbius atvejus, būtina atlikti ir tiesioginę fizinio lygio analizę, kad būtų išvengta galimų duomenų iškraipymo. Kita vertus, skirtingų abstrakcijos lygių nagrinėjimas gali suteikti papildomos svarbios informacijos. Kita išskirtine elektroninių įkalčių savybe gali būti pripažinta jų dinamika, kuri taip pat įveda nemažai netikslumų vykdant tyrimą. Įkalčių dinamika – tai bet koks veiksnys, kuris keičia įkalčio turinį, dislokaciją arba jį sunaikina, nepriklausomai nuo to, ar poveikis yra tyčinis ar netyčinis. Žemiau įvardyti keli iš galimų įkalčių dinamikos pavyzdžių: ▬▬ Sistemų administratorius. Stengdamasis padėti tyrimui atlieka veiksmus su na- grinėjama sistema, modifikuodamas įkalčius. ▬▬ NEE tyrėjas. Keičia įkalčius netyčia arba neturėdamas kitos išeities, kaip ištirti nusikaltimą. ▬▬ Įtariamasis. Pašalina įkalčius iš kietojo disko, jei prieiga laiku neužblokuojama. ▬▬ Kompiuterio netyčinis panaudojimas. Kompiuteris su įkalčiais netyčia panaudo- jamas kažkokiam veiksmui, nesusijusiam su NEE tyrimu, atlikti. ▬▬ Liudininkas. Sistemų administratorius, mažindamas incidento pasekmes, ištrina nusikaltėlio sukurtas vartotojo paskyras. ▬▬ Gamtos / laiko veiksniai. Įkalčių dinamika sukuria tyrimo ir teisinių iššūkių, apsunkina tikslios tyrimo eigos atstatymą ir labiausiai kenkia įkalčių autentiškumo ir patikimumo savybėms. Taip pat, jei tyrėjas nežino, kokie įkalčių pasikeitimai buvo įvykę, tai gali tapti surinktų įkal- čių kritikos pagrindu teisme arba lemti klaidingų išvadų formulavimą. Prie elektroninių įkalčių savybių galima priskirti ir tai, jog teismuose jos yra dažnai atakuojamos nusikaltėlio gynimo pusės dėl jų tariamai lengvo modifikavimo. Tačiau 2002 m. JAV Aukščiausiasis teismas nustatė, kad „faktas savaime, jog yra ga- limybė modifikuoti kompiuteryje esančius duomenis yra nepakankamas tam, kad įkal- čiai būtų pripažinti nepatikimais“ (http://ftp.resource.org/courts.gov/c/F2/858/858. F2d.1427.87-3085.html). Siekiant išvengti tokių atakų, autoritetingas žurnalas „Ame-
51 rican Law Reports“ (4th, 8, 2b) rekomenduoja, kad renkant įkalčius bei juos ruošiant teismo procesui būtų: ▬▬ patvirtintas kompiuterinės įrangos patikimumas; ▬▬ aprašyta, kokiu būdu buvo paveikti duomenys; ▬▬ aprašyta, kokių priemonių buvo imtasi, kad būtų išvengta duomenų modifikavi- mo ir praradimo; ▬▬ patvirtintas programų, naudojamų įkalčių analizei, patikimumas. Dar vienas taikomas atakos būdas prieš elektroninius įkalčius yra jų traktavimas kaip parodymus, paremtus kitų žodžiais. Šios atakos gali būti paneigtos tokiais argu- mentais: ▬▬ Parodymai, paremti kitų žodžiais, yra apibrėžiami būtent kaip žmogaus parody- mai, o kompiuterių sistemos sugeneruoti pranešimai šiai kategorijai nepriklauso. ▬▬ Parodymai, paremti kitų žodžiais, turi tam tikrų išimčių (pvz., verslo įrašų išim- tis, viešųjų įrašų išimtis pagal JAV teisinę bazę), prie kurių tam tikrais atvejais gali būti priskirti ir elektroniniai įkalčiai. Dauguma pateiktų teisinių elektroninių įkalčių savybių remiasi JAV patirtimi ir, be abejo, atspindi šitos šalies specifiką. Kita vertus, būtent JAV yra sukaupta didžiausia NEE tyrimo srities patirtis ir tikėtina, kad padažnėjus NEE tyrimo atvejų ES šalyse, bus susidurta su panašiais sunkumais. Viena iš elektroninių įkalčių savybių yra ta, kad kaip ir bet kuris kitas elektroni- nis objektas, jis, skirtingai nuo realaus pasaulio objektų, yra nesunkiai kopijuojamas, t. y. lengva padaryti identišką failą, ir beveik neįmanoma – identišką piršto atspaudą. Norint išsiaiškinti, kiek viena elektroninių duomenų kopija skiriasi nuo kitos, įvedama esminio skirtumo sąvoka, t. y. turi būti nustatyti tokie lyginamų duomenų parametrai, kurie leidžia juos vienareikšmiškai atskirti. Tokiais kriterijais gali būti laiko žymė, skir- tingas įrašymas fiziniame lygyje ir kiti.
6.2. Įkalčių kategorijos ir šaltiniai
Kaip jau buvo minėta, elektroniniai įkalčiai – tai duomenų objektai, kurie vėliau vienaip ar kitaip panaudojami NEE tyrimo metu. Duomenų objektai (failai, duomenų bazės, kiti objektai) yra saugomi skirtingose kompiuterių sistemų vietose ir gali būti analizuojami NEE tyrimo metu, siekiant nustatyti vykdytus veiksmus (pvz., prisijungi- mų prie sistemų faktus), įtariamojo motyvus (pvz., kokiose saituose, kokios informa- cijos ieškojo) ir t. t. NEE tyrimo požiūriu, kuriam įdomu, kur galima ieškoti įkalčių, duomenų objektai gali būti suskirstyti į keturias kategorijas (Ashcroft ir General 2001), pateiktas 6.1 lentelėje.
52 6.1 lentelė. Elektroninių įkalčių kategorijos Elektroninių įkalčių kategorija Į kategoriją patenkantys duomenų objektai Vartotojų sukurti objektai – įprasto formato duomenų Adresų knygos. objektai, kurie gali būti nesunkiai išanalizuoti tyrimo El. pašto pranešimai. metu. Garso / vaizdo / grafiniai failai. Dokumentai ir užrašai / skaičiuoklių failai. Kalendoriai. Duomenų bazės. Išsaugotos nuorodos. Vartotojų sukurti ir apsaugoti objektai – duomenų Suspausti failai. objektai, kuriems dėl vienų ar kitų priežasčių jų Nekorektiškai pavadinti failai. kūrėjas pritaikė apsaugos priemones. Taikomas Šifruoti failai. apsaugos tipas gali vienaip ar kitaip apsunkinti įkalčių Slaptažodžiais apsaugoti failai. identifikavimą ir analizę. Paslėpti failai. Steganografijos metodų taikymas. Kompiuterių sistemų sukurti objektai – objektai, Atsarginės kopijos. atsiradę kompiuterių sistemose kaip jų funkcionavimo Įvykių registracijos įrašai. pasekmė. Dažniausiai gali suteikti pakankamai daug Konfigūraciniai failai. naudingos informacijos tyrimui. Eilės (angl. spool) failai įrenginiuose. Sukeitimų (angl. swap) failai. „Saldainiukai“ (angl. Cookies). Sisteminiai failai. Laikinieji (angl. temp) failai. Kiti duomenų objektai – objektai, kurie paprastai Sugadinti klasteriai. nėra prieinami naudojant įprastas OS suteikiamas Ištrinti failai. priemones, atsiradę dėl netinkamo sistemų Laisva vieta diske (kurioje anksčiau potencialiai buvo funkcionavimo, tačiau galintys turėti svarbių įkalčių. svarbūs duomenys). Paslėpti disko skaidiniai (angl. partitions). Failinės sistemos metaduomenys. Sisteminės sritys. Nepriskirta vieta diske.
Objektas, kuris generuoja arba turi įtakos įkalčiui, gali būti pavadintas jo šal- tiniu. Įkalčiai gali būti susieti su jų šaltiniais daugybe ryšių, nurodančių jų tarpusavio santykius. Žemiau pateikiami keli galimi ryšių tipai: ▬▬ Gamybinis ryšys. Šaltinis pagamino įkaltį, t. y. galima vienareikšmiškai atsekti, kad konkretus įrenginys buvo panaudotas vienokio ar kitokio įkalčio gamybai. Tai gali būti svarbu, jei, pvz., žinoma, kad įrenginys tikrai priklauso įtariamajam. Tokį ryšį užtikrinančiais įkalčiais gali būti į duomenis įrašomi įrangos serijiniai numeriai (pagrindinės plokštės, CPU ir kt.). ▬▬ Segmentavimo ryšys. Šaltinis padalintas į dalis, o dalys yra išsklaidytos. Jei tyri- mo metu įvykio vietoje yra randama viena dalis, pagal ją galima nustatyti gali- mus šaltinio ir įkalčio ryšius. ▬▬ Keitimo ryšys. Šaltinis keičia arba modifikuoja įkaltį, pvz., įsilaužėlio naudojamas įsilaužimo įrankis (angl. exploit) palieka žymes laužomoje programoje. ▬▬ Vietos ryšys. Nustatymas, iš kurios vietos atkeliavo duomenys, galintys tapti įkalčiais, gali turėti didžiulės reikšmės NEE tyrimui. Tai ypač svarbus uždavi- nys, kai tiriama ne izoliuota, o tinklinė kompiuterių sistema. Tokio uždavinio sprendimo pavyzdžiu gali tapti atakuojančiojo IP adreso nustatymas, įsitikinant, kad IP adresas nebuvo modifikuotas ir kad nustatytas IP adresas nepriklauso tar- pinei stočiai, kuri yra naudojama nusikaltėlio pėdsakams paslėpti.
53 Kita dažnai naudojama elektroninių įkalčių klasifikacija remiasi jų skirstymu pagal įrenginio tipą, kuriame jie saugomi arba generuojami. Ši klasifikacija patogi tuo, kad ji gali būti naudojama kaip kontrolinis sąrašas tyrimo metu nustatant, kokių įkalčių kokiame įrenginyje galima ieškoti. 6.2 lentelėje pateikiamas šaltinių ir juose tikėtinų įkalčių sąrašas, parengtas pagal (Ashcroft ir General 2001).
6.2 lentelė. Elektroniniai įkalčių šaltiniai ir juose aptinkami įkalčiai Įkalčių šaltinis Galimi įkalčiai Procesorius (CPU) Fizinis įkaltis (minimas atskirai tik jei įrenginiui nėra būdingi kiti įkalčiai). Greičiausiai turi unikalų identifikacijos numerį. Gali būti atliekama CPU registrų analizė. Operatyvioji atmintis Fizinis įkaltis. Gali būti aptikta informacija, kuri nėra rašoma į išorines laikmenas (vartotojo vedami, bet neišsaugomi, duomenys (tokie kaip paieškos raktažodžiai), procesų aktyvumas, maršrutizavimo lentelės ir kt.). Esant galimybei – atlikti atminties kopiją (angl. dump). Operatyviosios atminties liekanų galima rasti kietojo disko išklojos kopijos (angl. disc dump) failuose, net jei atminties kopija specialiai nėra daroma. Praėjimo žetonai ir kortelės Identifikacinė informacija apie prieigos lygį. Dažniausiai turi sunkiai (angl. smart-cards) modifikuojamą identifikacinį numerį. Kartu su įvykių registracijos įrašais iš prieigos kontrolės sistemų gali būti naudojami prieigos prie sistemos / patalpos faktui nustatyti. Autoatsakikliai / fakso aparatai Paskutiniai rinkti numeriai, palikti pranešimai (jei naudojamos magnetinės kasetės, tai galima atstatyti ir ankstesnius įrašus, kurie jau buvo ištrinti arba perrašyti), vidinė atmintis. Skaitmeninės kameros Įvykio vietos nuotraukos. Įvykio laiko informacija. Portatyvieji įrenginiai (išmanieji Adresai, failai, elektroniniai laiškai, susirašinėjimo informacija, nuotraukos, telefonai, grotuvai, planšetiniai naršymo istorija. įrenginiai, portatyvieji asistentai) Kietieji diskai Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės sistemos priemonėmis matomų failų, ir tarp pašalintų failų, sugadintuose bei perrašytuose sektoriuose. Atmintinės kortelės Bet kokia įrašyta informacija. Modemai Fizinis įkaltis. Gali būti rasta informacijos apie prisijungimus, rinktus numerius. Tinklo kortos Fizinis įkaltis. Unikalus identifikatorius – MAC (angl. media access control) adresas. Tinklo įrenginiai Fizinis įkaltis. Konfigūraciniai nustatymai. Administracinių bei kitų veiksmų įvykių registracijos įrašai. Maršrutizavimo lentelės. Spausdintuvai Vidinė atmintis. Naudojimo istorija. Išorinės duomenų laikmenos Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės (diskeliai, CD, DVD diskai, sistemos priemonėmis matomų failų, ir tarp pašalintų failų, sugadintuose bei USB raktai). perrašytuose sektoriuose. Skeneriai, kopijavimo aparatai Vidinė atmintis. Naudojimo istorija. Telefonai Adresai, rinkti numeriai.
Į šį sąrašą nebuvo įtraukti kompiuteriniai įrenginiai, kurie gali būti įdomūs tik kaip fiziniai įkalčiai, tokie kaip tinklo kabeliai, kompiuterių pelės, monitoriai ir kiti, kurie patys savaime neturi skaitmeninės informacijos. Fizinių įkalčių analizės metodai yra nagrinėjami klasikiniuose kriminologijos vadovėliuose.
54 Vienas svarbus niuansas, kurį būtina paminėti kalbant apie NEE tyrimus, yra tas, kad tyrimo metu nereikia apsiriboti vien tik kompiuterio duomenų analize. Įtariamasis, žinodamas apie potencialų persekiojimą, gali stengtis pašalinti jame esančius įkalčius. Tačiau gali pamiršti arba nesugebėti tinkamai pašalinti įkalčius iš kitų 6.2 lentelėje mi- nimų įrenginių. Juose surinktų įkalčių gali visiškai pakakti kaltei įrodyti.
6.3. Kontroliniai klausimai
1. Pateikite elektroninio įkalčio apibrėžimą. 2. Kokiais kriterijais vertinamas elektroninio įkalčio tinkamumas? Pagrįskite, kodėl svarbus kiekvienas iš kriterijų. 3. Pateikite bent kelias elektroninių įkalčių savybes. Kokie elektroninių įkalčių pagrindiniai skirtumai nuo kitokių įkalčių tipų? 4. Kokiu atveju NEE tyrimo metu gali būti naudingas segmentavimo ryšio nu- statymas tarp šaltinio ir įkalčio? Sugalvokite pavyzdžių. 5. Prisiminkite, kokių įkalčių galima tikėtis surasti: a) mobiliajame telefone; b) spausdintuve; c) operatyviojoje atmintyje?
55 7.
ĮKALČIŲ IŠĖMIMO PROCESAS
Šioje knygoje naudojamas terminas įkalčių išėmimas (angl. seizure) yra apibrė- žiamas kaip procesų visuma, užtikrinanti įkalčių identifikavimą ir apsaugą nuo modifi- kavimo įvykio vietoje, jų paėmimą, pakavimą ir transportavimą iki tyrimo laboratori- jos. Kiti autoriai šiam procesui aprašyti naudoja dar ir tokius terminus kaip konfiskacija ir areštas. Šioje knygoje šitų terminų yra atsisakoma, siekiant išvengti dviprasmybių, kadangi terminas konfiskacija dažniausiai traktuojamas kaip baudžiamoji priemonė, o areštas – kardomoji ir baudžiamoji priemonė, o fiziniai įkalčiai, kuriuose vėliau ieš- koma elektroninių įkalčių, gali priklausyti ir nusikaltėliui (vėliau gali būti konfiskuoti arba apribota teisė jais disponuoti), ir nukentėjusiai pusei. Asmeninių kompiuterių paplitimas kasdieninėje veikloje reikšmingai pakeitė jų kaip įkalčių rolę tirant nusikaltimus. Anksčiau kompiuteris dažniausiai galėjo tapti įkalčiu tik jei buvo naudojamas kaip atakos priemonė prieš kitą kompiuterių sistemą arba tapdavo tokios atakos auka. Dabar kompiuteris gali būti įkalčiu arba informacijos šaltiniu beveik bet kokio tipo byloje: neleistinos informacijos platinimo, psichologinio smurto, teroristinės veiklos organizavimo ir t. t., kadangi nusikaltėliai irgi plačiai nau- doja kompiuterius kaip darbo organizavimo ir komunikacijos priemones. Vis dažniau kompiuteriai turi būti išimami įvykio vietoje ir analizuojami tyrimo metu, o tai lemia padidėjusį NEE tyrėjų darbo krūvį. Tais laikais, kai kompiuterių analizė tyrimui buvo gan retas dalykas, įkalčių iš- ėmimo veiksmus kiekvieną kartą galėjo spėti atlikti kvalifikuoti NEE tyrimo specia- listai, tačiau dabar toks įkalčių išėmimo būdas laikytinas nepraktišku arba net neįma- nomu, o išėmimo procesą dažniausiai atlieka žemesnę kvalifikaciją turintys žmonės, kurie mažai supranta apie kompiuterius ir NEE tyrimo metodus. Dėl išėmimo procesą vykdančio personalo kvalifikacijos pasikeitimo atsirado poreikis įkalčių išėmimo pro- cesui aprašyti ir detalioms instrukcijoms parengti.
7.1. Įkalčių išėmimo proceso etapai
Šiuolaikiniai išėmimo procesą reglamentuojantys protokolai yra pritaikyti fizi- nių įkalčių išėmimui aprašyti, o tai turėjo įtakos ir elektroninių įkalčių orientavimui į fizinių objektų, tokių kaip kompiuterio sisteminis blokas, klaviatūra, duomenų laikme- nos, išėmimą ir pristatymą į laboratoriją. Dabartinėse fizinių elektroninių įkalčių išėmimo instrukcijose daroma prielai- da, kad išėmimą vykdantis personalas turi bent minimalų supratimą apie kompiuterį (pvz., žino kas yra pelė, kaip atrodo sisteminis blokas bei kaip atrodo išorinės atminties laikmenos). Atvykęs į įvykio vietą toks specialistas turi pirmiausia imtis priemonių
56 fizinei įvykio vietos apsaugai užtikrinti, kad įkalčių išdėstymas nebūtų pakeistas. Tada pradedamas įvertinimas, kiek ir kaip elektroniniai įkalčiai gali būti įtraukti į tiriamą nusikaltimą. Tyrėjas, dirbantis įvykio vietoje, taip pat turi imtis priemonių, kad nebūtų pažeisti elektroniniuose įrenginiuose saugomi duomenys: įsitikinti, kad įrenginiuose nėra sumontuoti spąstai, galintys pažeisti įrenginį jį perkeliant arba ardant; izoliuoti įrenginius nuo tinklo. Vėliau pereinama prie išorinių duomenų laikmenų (CD, DVD, USB raktų ir t. t.) išėmimo. Išėmimo procesas numato, kad visi įkalčiai yra paženklina- mi (įskaitant laidus ir jų tarpusavio sujungimus), įvykio vieta nuodugniai fotografuoja- ma. Išimti fiziniai elektroniniai įkalčiai pristatomi į tyrimo laboratoriją, priklausančią policijai, kitai teisėsaugos struktūrai, teikiančiai elektroninių įkalčių tyrimo paslaugas kitoms organizacijoms, arba organizacijos / kompanijos vidinę laboratoriją, jei atlieka- policijai,mas kitai tik teisvidinisėsaugos incidento strukt ūtyrimas.rai, teikian Laboratorijoječiai elektronini išimtuoseų įkal čįkalčiuoseių tyrimo ieškoma paslaugas objektų kitoms organizacijoms, arba organizacijos / kompanijos vidinę laboratoriją, jei atliekamas tik vidinis incidento duomenų, kurie gali turėti naudos nusikaltimo tyrimui. Jei tokie objektai randami, jie tyrimas. Laboratorijoje išimtuose įkalčiuose ieškoma objektų duomenų, kurie gali turėti naudos Comment [n17]: Tvarkos įtraukiami į tyrimo ataskaitą ir kopijos pavidalu perduodami tyrėjams arba teismui. keitimas visiškai keičia prasmę. nusikaltimo tyrimui. Jei tokie objektai randami, jie įtraukiami į tyrimo ataskaitą ir kopijos pavidalu Turi likti ”duomenų objektų” perduodamiPagrindiniai tyrėjams arbaįkalčių teismui. išėmimo Pagrindiniai proceso įkal etapaičių iš pavaizduotiėmimo proceso 7.1 etapai pav. pavaizduoti 7.1 pav.
7.1 pav. Įkalčių išėmimo proceso etapai (Reyes et al. 2007) 7.1 pav. Įkalčių išėmimo proceso etapai (Reyes et al. 2007)
Įkalčių išėmimo proceso detalizavimas Įkalčių išėmimo proceso detalizavimas 7.1 pav. pateikta įkalčių išėmimo schema tinka tuo atveju, kai išimamas sąlyginai nedidelis įkalčių kiekis (nuo7.1 vienopav. pateikta iki kelių įkalčių kompiuteri išėmimoų). Jei schema susiduriama tinka sutuo pažeista atveju, sistema,kai išimamas kurią sudarosąlyginai bent keliasdešimtnedidelis kompiuteri įkalčiųų kiekis ir tūkstan (nuočiai vieno disk ųiki ar kelių kitų kompiuterių). laikmenų, tai Jei vis ųsusiduriama kompiuterių su ir pažeista laikmen ų išėmimas tampa problematiškas, o patį žingsnį siūloma suskaidyti į tris smulkesnius (parodyta 7.2 pav.), kuriesistema, leidžia kurią atrinkti sudaro tik bent tuos keliasdešimt įrenginius beikompiuterių laikmenas, ir kuriosetūkstančiai didžiausia diskų ar tikimyb kitų laikmeė surasti- dominannų,čius taiįkal visųčius. kompiuterių ir laikmenų išėmimas tampa problematiškas, o patį žingsnį siūloma suskaidyti į tris smulkesnius (parodyta 7.2 pav.), kurie leidžia atrinkti tik tuos įrenginius bei laikmenas, kuriose didžiausia tikimybė surasti dominančius įkalčius.
57
7.2 pav. Optimizuota įkalčių išėmimo proceso schema (Reyes et al. 2007)
52 policijai, kitai teisėsaugos struktūrai, teikiančiai elektroninių įkalčių tyrimo paslaugas kitoms organizacijoms, arba organizacijos / kompanijos vidinę laboratoriją, jei atliekamas tik vidinis incidento tyrimas. Laboratorijoje išimtuose įkalčiuose ieškoma objektų duomenų, kurie gali turėti naudos Comment [n17]: Tvarkos keitimas visiškai keičia prasmę. nusikaltimo tyrimui. Jei tokie objektai randami, jie įtraukiami į tyrimo ataskaitą ir kopijos pavidalu Turi likti ”duomenų objektų” perduodami tyrėjams arba teismui. Pagrindiniai įkalčių išėmimo proceso etapai pavaizduoti 7.1 pav.
7.1 pav. Įkalčių išėmimo proceso etapai (Reyes et al. 2007)
Įkalčių išėmimo proceso detalizavimas
7.1 pav. pateikta įkalčių išėmimo schema tinka tuo atveju, kai išimamas sąlyginai nedidelis įkalčių kiekis (nuo vieno iki kelių kompiuterių). Jei susiduriama su pažeista sistema, kurią sudaro bent keliasdešimt kompiuterių ir tūkstančiai diskų ar kitų laikmenų, tai visų kompiuterių ir laikmenų išėmimas tampa problematiškas, o patį žingsnį siūloma suskaidyti į tris smulkesnius (parodyta 7.2 pav.), kurie leidžia atrinkti tik tuos įrenginius bei laikmenas, kuriose didžiausia tikimybė surasti dominančius įkalčius.
7.2 pav. Optimizuota7.2 pav. Optimizuota įkalčių išėmimo įkal čprocesoių išėmimo schema proceso (Reyes schema et al. 2007) (Reyes et al. 2007)
Tokiu būdu optimizuoto proceso metu52 sumažinamas bendras išimamų įkalčių skaičius ir sutaupoma laiko įkalčių analizei. Žemiau pateikiamas trumpas kiekvieno optimizuoto įkalčių išėmimo proceso shemos žingsnio apibūdinimas (pastaba: kiekvie- name žingsnyje būtina taikyti atliekamų veiksmų dokumentavimą): • Skaitmeninių duomenų nešiklių identifikavimas. Įvykio vietoje stengiamasi nustatyti tas sistemas ir duomenų laikmenas, kuriose galima rasti įkalčių. Nėra vieno recepto, pagal kurį būtų galima vienareikšmiškai identifikuoti tokius objektus ir nepraleisti ko nors svarbaus. Kiekvienas tyrėjas turi va- dovautis savo nuojauta ir patirtimi. Rekomenduojama atkreipti dėmesį į iš vaizdo dažniau naudojamą įrangą (didesnė tikimybė, kad joje bus daugiau duomenų nei toje, kuri niekada arba retai naudojama), atsargines kopijas (jei žmogus kažką saugo, tai tikėtina, kad ta informacija yra svarbi). Identifika- vimo sėkmei gali turėti įtakos ir tai, kokios informacijos arba įkalčių tikima- si surasti (pvz., jei tiriama pornografinio turinio medžiagos platinimo byla, tai tikėtina, jog įtariamasis gali saugoti fotografuotą, vaizdinę medžiagą pa- kankamai didelės talpos laikmenuose, o siekiant įrodyti banko nulaužimo faktą, gali tekti analizuoti kompiuterio ir tinklo įrangos įvykių registracijos įrašus). • Apimties minimizavimas naudojant įkalčių prioritezavimą. Po to, kai lai- kmenos yra identifikuotos, turi būti imtasi jau atrinktų laikmenų klasifika- vimo pagal įkalčių radimo jose tikimybę. Šis žingsnis atsiranda todėl, kad šiuolaikinėse sistemose net atlikus pradinį identifikavimą, o ne išimant visas iš eilės kompiuterių sistemas, jų skaičius analizei gali būti pernelyg didelis . Siekiant nepraleisti įkalčių, šiame žingsnyjegali būti taikomi preliminarūs įkalčių analizės metodai įvykio vietoje.
58 • Atrinktų duomenų laikmenų išėmimas. Šis žingsnis iš esmės nesiskiria nuo įkalčių išėmimo, kai tai daroma visos įrangos išėmimo metu. Pagrindinis šio žingsnio akcentas – ypatingas dėmesys visų veiksmų dokumentavimui. Reikia atkreipti dėmesį, kad skirtingos laboratorijos ar tyrimus vykdančios agen- tūros gali turėti savo specifinių reikalavimų įkalčių išėmimo ir transportavimo procesui. Aprašytasis įkalčių išėmimo scenarijus yra, be abejo, pritaikytas „negyvų“ siste- mų analizės metodikai. Vis didėjantis poreikis „gyvų“ sistemų analizei įvykio vietoje, kuris buvo aprašytas auksčiau šioje knygoje, vienareikšmiškai lems, kad didžioji ana- lizės dalis turės būti atliekama įvykio vietoje, o ne laboratorijoje. Aiškiai suformuluotų reikalavimų įkalčių analizei įvykio vietoje NEE tyrimams skirtoje literatūroje beveik nėra, o šios srities tyrimai koncentruojami tik ties techninėmis tokių įkalčių analizės metodikomis. Galima tikėtis, kad susidarius kritinei masei reikiamų tyrimų metodikų, jos bus susistemintos ir pateiktos metodinės jų taikymo rekomendacijos.
Įkalčių išėmimo procesas ir asmens privatumo aspektas
Įkalčių išėmimo metu tyrėjas gali susidurti su situacija, kai išvežamoje įrangoje be potencialių įkalčių gali būti įtariamojo asmeninės informacijos, kuri tiesiogiai nėra susijusi su tiriamu nusikaltimu, arba kitų asmens duomenų (pvz., jei be įtariamojo kom- piuteriu naudojosi ir kiti jo šeimos nariai). Šiuo atveju taikomas bendras principas, kad duomenys, neturintys tiesioginio ryšio su tiriamu nusikaltimu, nepriklausomai kas būtų jų šeimininkas (įtariamasis ar trečiasis asmuo), turi būti saugomi pagal galiojančius asmens duomenų apsaugą re- glamentuojančius reikalavimus, jie negali būti viešinami teisme. Ypač daug problemų tyrėjams gali kilti dėl trečiųjų asmenų asmeninių duomenų gavimo, nes galima tikė- tis teisminių ieškinių dėl privatumo pažeidimo. Atsižvelgiant į daugelio šalių teisinių sistemų nebrandumą, NEE tyrimo ir teisminio persekiojimo srityje negali būti vieno atsakymo, kaip turėtų elgtis NEE tyrėjai tokiu atveju ir kokius įkalčių išėmimo metodus taikyti, tačiau rizika turėtų būti įvertinta prieš pradedant išėmimo procesą.
7.2. Alternatyvūs įkalčių išėmimo metodai
Kaip jau buvo minėta dominuojantis šiuo metu įkalčių išėmimo metodas reika- lauja duomenų objektų laikmenų išvežimo iš įvykio vietojos į specializuotas laborato- rijas. Toks metodas yra brangus (įkalčių pakavimasir (arba) paruošimas persiuntimui, saugumo užtikrinimas transportuojant, transporto išlaidos) bei reikalaujantis daug lai- ko, o galutiniame etape vis vien tenka nagrinėti duomenų objektus. Todėl paskutiniu metu, kol kas ypač neformalių tyrimų metu, matoma aiški tendencija išimti ne fizinius objektus, o jų tik tyrimui svarbius duomenis, kurie identifikuojami įvykio vietoje. Ypač toks metodas gali pasiteisinti, kai tyrimą užsako kompanija, nukentėjusi nuo išorinio įsilaužimo. Tokiu atveju kompanijos techninis personalas gali padėti tyrėjui greitai
59 identifikuoti svarbius įkalčius. Pavyzdžiui, siūlomas toks duomenų objektų išėmimo procesas: 1. Atvykęs į įvykio vietą tyrėjas susisiekia su kompromituotos sistemos admi- nistratoriumi arba kitu techniniu personalu, galinčiu ir norinčiu padėti iden- tifikuojant duomenų objektus bei juos kopijuojant. 2. Jei kompanija negali suteikti techninio eksperto, jis samdomas iš trečiosios šalies ir padeda identifikuoti orderyje nurodytus failus ir kitus duomenų objektus. Už pačių identifikuotų duomenų objektų išsaugojimą atsakomybė tenka tyrėjui. 3. Jei atskirų failų ar duomenų objektų išėmimas dėl techninių priežasčių yra neįmanomas, sukurti laikmenos tikslią (atvaizdo) atsarginę kopiją. 4. Jei ir atvaizdo kūrimas yra neįmanomas, išimamas fizinis įkaltis ir pristato- mas į specializuotą laboratoriją, turinčią specializuotą duomenų atstatymo įrangą. Pagrindiniu tokio metodo privalumu galima įvardyti tai, kad taupomas analizę atliekančios laboratorijos laikas duomenų objektams identifikuoti. Kai kuriais atvejais, tik išgirdusios apie galimą kompiuterių sistemų įtraukimą į tyrimo procesą, teisėsaugos institucijos atsisako inicijuoti nusikaltimų tyrimų bylas, motyvuodamos tai kompetencijos arba resursų nebuvimu. Tačiau dažnas nusikaltimo atvejis, tiesiogiai nesusijęs su kompiuterių sistemų pažeidimu (pvz., priekabiavimas, grasinimai el. paštu ir kiti), gali būti įrodytas naudojantis vien tradiciniais kriminolo- gijos metodais. Taip pat reikia įvertinti tai, kad didėjant kompiuterių naudojimui visi detektyvo darbą atliekantys darbuotojai turėtų stengtis įgyti bent minimalių NEE tyrimo srities žinių, kadangi specializuotos NEE tyrimo laboratorijos, turinčios ribotą aukštos kvali- fikacijos specialistų skaičių, nesugebės apdoroti visų ateinančių užklausų.
7.3. Kontroliniai klausimai
1. Pateikite įkalčių išėmimo proceso apibrėžimą. 2. Įvardykite įkalčių išėmimo etapus tradicinio ir optimizuoto tradicinio meto- dų taikymo atvejais? 3. Kokia pagrindinė grėsmė, Jūsų nuomone, atsiranda taikant optimizuotą įkalčių išėmimo metodą? Motyvuokite. 4. Kodėl, Jūsų nuomone, alternatyvūs įkalčių išėmimo procesai išpopuliarėjo tik neformalių tyrimo metu? 5. Sugalvokite tariamą nusikaltimo atvejį, kuriame naudojamas kompiuteris ar jų sistema, ir aprašykite Jūsų siūlomą įkalčių išėmimo procesą šiam kon- krečiam atvejui.
60 8.
ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI
Įvykus elektroniniam nusikaltimui, iš įvairių elektroninių laikmenų pradedama rinkti informacija ir duomenys, kurie vėliau gali būti pateikiami teisme kaip nusikaltimo įrodymai. Tradiciškai nusikaltimo tyrimas pradedamas padarant veikiančio kompiute- rio operatyviosios atminties atvaizdo kopiją, siekiant išsaugoti nestabilius duomenis, po to konfiskuojamas pats kompiuteris bei informacijos saugojimo laikmenos, kuriose gali būti rasta nusikaltimo įkalčių, pavyzdžiui, rezervinės duomenų kopijos, kompakti- nės ir DVD plokštelės, atminukai (angl. flash memory). Kitame etape surenkami tinklo įrenginių, autentifikacijos ir autorizacijos serverių įvykių registracijos žurnalai. Remiantis elektroninių nusikaltimų tyrimų gerąja praktika, rekomenduojama jokiais būdais nekeisti informacijos originalioje, iš nusikaltimo vietos paimtoje, lai- kmenoje, bet dirbti su jų kopijomis, todėl, pavyzdžiui, konfiskavus kompiuterį būtinai daroma kietojo disko bitų lygmens kopija. Toliau, panaudojant informacijos atstatymo ir paieškos priemones, atliekama informacijos analizė ir ieškoma nusikaltimo įrodymų. Tam tikslui naudojami įvairūs programiniai įrankiai arba aparatūrinės priemonės, ku- rios automatizuoja ir palengvina techninį tyrėjo darbą, pavyzdžiui, atlikti šešioliktainio kodo analizę. Šiame knygos skyriuje plačiau panagrinėsime programinę įrangą ir įran- kius, skirtus elektroniniams nusikaltimams tirti.
8.1. Nestabilių įkalčių surinkimas
Su nusikaltimu susijusios informacijos surinkimo eiliškumas nustatomas pagal jos galimo praradimo lygį. Pirmiausiai surenkami duomenys iš kompiuterio operaty- viosios ir virtualios atminties bei tinklo įrenginių operatyviosios atminties. Kitame eta- pe renkama iš fizinių diskų ir rezervinių kopijų. Nors dauguma elektroninių nusikaltimų įkalčių aptinkama kietuosiuose diskuo- se, tačiau kompiuterio operatyviojoje atmintyje esanti informacija taip pat gali būti nusikaltimo įkaltis ir panaudota atliekant tyrimus. Pavyzdžiui, kompiuteriniai kirminai, tokie kaip „Code Red“ ar „SQL Slammer“, buvo aptinkami tik operatyviojoje atmin- tyje. Jie niekada nieko nerašė į kietąjį diską, todėl, analizuojant tik kietajame diske esančią informaciją, neįmanoma aptikti jokių įkalčių. Kompiuterio operatyviojoje atmintyje galima rasti naudingos informacijos, to- kios kaip prisijungę vartotojai, aktyvūs ar neaktyvūs procesai, IP adresai, slaptažodžiai, nekoduoti naudotojų duomenys. Kompiuterio atmintyje esantys procesai gali būti pa- leidžiami kaip Trojos arkliai arba antivirusinės programos išjungikliai, taip atidaryda- mi nusikaltėliui prieigą prie kompiuterio.
61 Informacija, saugoma operatyviojoje atmintyje, gali būti greitai keičiama arba prarasta išjungus kompiuterį, todėl tyrėjui svarbu turėti veikiančios sistemos atminties atvaizdo kopiją dar prieš konfiskuojant kompiuterį. Pagrindiniai reikalavimai, kelia- mi operatyviosios atminties atvaizdą darančiam įrankiui – gebėjimas nuskaityti visą informaciją iš atminties jos nepakeičiant ir žinomu formatu įrašyti į kitą laikmeną, pa- vyzdžiui, išorinį kietąjį diską, CD, DVD ir t. t., kurioje informacijos saugojimo būdas nepriklauso nuo elektros šaltinio.
UNIX operacinės sistemos įrankiai
Kompiuterio operacinė sistema paprastai pateikia tam tikrą būdą, kaip prieiti prie operatyviosios atminties duomenų. „Unix“ operacinėse sistemose tam tikslui skirti įrenginių failai /dev/mem ir /dev/kmem. Pirmasis failas siejamas su fizine operatyviąja atmintimi, o antrasis – su virtualiąja atmintimi. Naudojant „Unix“ komandą dd gali- ma nuskaityti informaciją, esančią atmintyje, ir ją perkelti į kitą laikmeną. Pavyzdžiui, norint padaryti operatyviosios atminties atvaizdą į failą mem.bin, naudojama tokia dd komandos sintaksė: dd if=/dev/mem of=/home/forensics/mem.bin bs=1024
Joje argumentas if apibrėžia įvedimo failą, of – išvedimo failai, bs – bloko dydis baitais. Tačiau naujose „Linux“ branduolio versijose /dev/kmem failo jau nebėra, o pri- eiga prie operatyviosios atminties per /dev/mem failą ribojama. Todėl „Red Hat“ ir su ja suderintose „Linux“ distribucijose, pvz., CentOS, gali būti panaudoja crash tvar- kyklė pseudo įrenginiui sukurti, per kurį galima prieiti prie atminties (pvz., modprobe crash). JAV Gynybos departamente dd komanda buvo patobulinta ir labiau pritaiky- ta nusikaltimams tirti. Taip atsirado specializuotas įrankis dcfldd, kurio svarbiausios savybės: siunčiamų duomenų kodavimas realiu laiku, disko valymas pagal vartotojo nurodytą šabloną, sukurto atminties atvaizdo tikrinimas, galimybė atlikti išvedimą į keletą įrenginių vienu metu ir išvedamos informacijos skaidymas į keletą failų. dcfldd įrankis platinamas pagal GNU licenziją. Komandos dcfldd pavyzdys: dcfldd if=/dev/mem hash=md5,sha256 md5log=md5.txt sha256log=sha256.txt \ hashconv=after bs=512 conv=noerror of= /home/forensics/mem.bin Pateiktame pavyzdyje kopijuojamas /dev/mem failas į /home/forensics/mem. bin failą jį koduojant md5 ir sha256 raktais, kurie bus įrašyti md5.txt ir sha256.txt failuose. Argumentas bs nurodo, kad atminties kopija bus daroma 512 baitų blokais. Vykdant dd ar dcfldd komandas, atminties atvaizdas sukuriamas binariniu formatu. Kadangi „Unix“ operacinėse sistemose darbas su operatyviąja atmintimi yra vykdomas per failus, čia paminėti programiniai įrankiai ir komandos naudojamos ir reguliariems failams, katalogams ar failų sistemoms.
62 Suformavus atminties atvaizdą ir jį nukopijavus į saugią išorinę laikmeną, gali- ma pradėti jį analizuoti, ieškant nusikaltimo įkalčių. Nors komanda dd atminties atvaiz- dą sukuria binariniu pavidalu, jame visgi dažniausiai būna ir ASCII teksto fragmentų, pavyzdžiui, slaptažodžiai. Teksto eilutes galima filtruoti ir išvesti į ekraną, panaudojant komandą strings. Pavyzdžiui: strings /home/forensics/mem.bin C programavimo kalbos stdio.h faile yra funkcijos fgets() ir fread(), kurias naudojant galima ir pačiam nesunkiai pasirašyti programą, kuri nuskaitytų kiekvie- ną atminties atvaizdo failo simbolį, jį išvestų į ekraną. „Linux“ operacinėse sistemose operatyviosios atminties atvaizdui suformuoti galima naudoti ir komercinius įrankius, pvz., „Second Look: Linux Memory Forensics“ (www.pikeweks.com). Šis įrankis iš- saugo veikiančios sistemos atminties atvaizdą nenaudodamas „Unix“ komandų. At- mintis pasiekiama per tvarkyklę, nenaudojant tiesioginės fizinės atminties sąsajos. Įrankiu galima atlikti ir išsamią veikiančios sistemos atminties arba atminties atvaizdo failo analizę. „SecondLook“ išskiria ir pažymi įtartinus objektus, esančius atmintyje (8.1 pav.).
Comment [P20]: Gal yra lietuviškas terminas? Tokiu atveju 8.18.1 pav. pav. „SecondLook“ „SecondLook“ įrankio įrankio langas, langas, vaizduojantis vaizduojantis aptiktą aptikt backdoorsą backdoors objektą, objekt ąpaliktą, palikt poą po įsilaužimo įsilaužimo būtų galima anglišką terminą palikti skliaustuose Comment [n21]: Yra terminas “užpakalinės durys” likit’e, bet „SecondLook“ palaiko x86 architektūros 32/64bit „Linux“ operacines sistemas, kuriose labia keistai skamba. Jei galima, naudojamos 2.6.x „Linux“ branduolio versijos. Pavydžiui: „Debian GNU/Linux 4 – 6“, „Red Hat palikite anglišką žodį. Enterprise Linux 4 – 6“, „Ubuntu 4.10 - 11.04“ ir kitos „Linux“ operacinės sistemos. Kai kurie kompiuterinės įrangos gamintojai, pavyzdžiui, „Oracle“, SUN, serverių užkrovimo luste naudoja programinę įrangą „OpenBoot“, kuria63 galima prieš užkraunant operacinę sistemą atlikti jos branduolio derinimą ir padaryti operatyviosios atminties atvaizdą bei jį nukopijuoti į pasirinktą laikmeną. „OpenBoot“ programa pasiekiama spaudžiant du klavišus: L1->A arba STOP->A. Tuo metu operacinė sistema suspenduojama ir naudotojui patiekiamas „OpenBoot“ pultas. Taigi, jei kompiuteris buvo atakuojamas, galima sustabdyti operacinę sistemą ir pasidaryti atminties atvaizdo kopiją. Tam naudojama sync komanda. Po to, kai padaromas atminties atvaizdas, kompiuteris perkraunamas ir, panaudojus komandą savecore, galima nukopijuoti atvaizdo failą į reikiamą failų sistemą ar išorinę laikmeną. Norint gauti informacijos apie veikiančios sistemos branduolį ir procesus, galima analizuoti informaciją, prieinamą per pseudofailinę sistemą, esančią /proc kataloge. Konkreti katalogo struktūra ir jame esantys failai priklauso nuo „Unix“ versijos ar „Linux“ operacinei sistemai, bet principiniai Comment [n22]: ”Distribucijo s” turi likti, nes tai nėra tas pats, dalykai yra bendri. Šiame kataloge saugomi failai, kurie teikia informaciją apie visus atmintyje kaip OS. esančius procesus. Pavyzdžiui, failas /proc/kcore yra tiesiogiai susijęs su visa fizine atmintimi (panašiai kaip /dev/mem). Šio failo dydis atitinka kompiuterio operatyviosios atminties dydį su nedideliu pertekliumi. Analizuojant /proc katalogo failus, galima rasti informacijos apie kompiuterio
58 „SecondLook“ palaiko x86 architektūros 32/64bit „Linux“ operacines sistemas, kuriose naudojamos 2.6.x „Linux“ branduolio versijos. Pavydžiui: „Debian GNU/Li- nux 4 – 6“, „Red Hat Enterprise Linux 4 – 6“, „Ubuntu 4.10 - 11.04“ ir kitos „Linux“ operacinės sistemos. Kai kurie kompiuterinės įrangos gamintojai, pavyzdžiui, „Oracle“, SUN, ser- verių užkrovimo luste naudoja programinę įrangą „OpenBoot“, kuria galima prieš už- kraunant operacinę sistemą atlikti jos branduolio derinimą ir padaryti operatyviosios atminties atvaizdą bei jį nukopijuoti į pasirinktą laikmeną. „OpenBoot“ programa pa- siekiama spaudžiant du klavišus: L1->A arba STOP->A. Tuo metu operacinė sistema suspenduojama ir naudotojui patiekiamas „OpenBoot“ pultas. Taigi, jei kompiuteris buvo atakuojamas, galima sustabdyti operacinę sistemą ir pasidaryti atminties atvaizdo kopiją. Tam naudojama sync komanda. Po to, kai padaromas atminties atvaizdas, kom- piuteris perkraunamas ir, panaudojus komandą savecore, galima nukopijuoti atvaizdo failą į reikiamą failų sistemą ar išorinę laikmeną. Norint gauti informacijos apie veikiančios sistemos branduolį ir procesus, gali- ma analizuoti informaciją, prieinamą per pseudofailinę sistemą, esančią /proc katalo- ge. Konkreti katalogo struktūra ir jame esantys failai priklauso nuo „Unix“ versijos ar „Linux“ operacinei sistemai, bet principiniai dalykai yra bendri. Šiame kataloge saugo- mi failai, kurie teikia informaciją apie visus atmintyje esančius procesus. Pavyzdžiui, failas /proc/kcore yra tiesiogiai susijęs su visa fizine atmintimi (panašiai kaip /dev/ mem). Šio failo dydis atitinka kompiuterio operatyviosios atminties dydį su nedideliu pertekliumi. Analizuojant /proc katalogo failus, galima rasti informacijos apie kom- piuterio aparatūrinę dalį: procesorių (/proc/cpuinfo), atmintį (/proc/meminfo), failų sistemas (/proc/filesystems), branduolio modulius (/proc/modules), sistemos būseną (/proc/stat) ir t. t. Kiekvieną paleistą procesą šiame kataloge atitinka antrinis katalogas, kurio pavadinimas sutampa su proceso ID. Visų failų turinį galima peržiūrėti naudojant komandą cat, o panaudojus komandą hexdump galima išvedamą informaciją pateikti ir šešioliktainėje sistemoje. Pavyzdžiui: dd if=/proc/filesystems | hexdump -C | less Sukurtų failų sistemų peržiūra dd if=/proc/meminfo | hexdump -C | less Atminties būsena dd if=/proc/interrupts | hexdump -C | less Pertraukčių lentelė dd if=/proc/kallsyms | hexdump -C | less Branduolio išeksportuotų simbolių apibrėžimai
„Windows“ operacinės sistemos įrankiai
„Microsoft Windows“ operacinės sistemos turi \\.\PhysicalMemory objektinį įrenginį, per kurį realizuojama prieiga prie kompiuterio fizinės atminties. Plačiau pa- nagrinėsime keletą programinių įrankių, kurie sukurti pasinaudojus minėtąja prieigos galimybe. „LiveKd“ – tai nemokamas, laisvai platinamas įrankis, naudojamas veikiančio kompiuterio atminties atvaizdui sukurtigriūties išklojos (angl. crash dump) formatu.
64 Šis įrankis yra programų paketo „Sysinternals Suite“ (www.sysinternals.com arba tech- net.microsoft.com) dalis, kuriuo galima spręsti problemas, susijusias su operatyviąja atmintimi, procesais, diskais ir tinklų sprendimu. Programų paketo autorius – Mark Russinovich, sukūręs beveik 70 skirtingų įrankių, kurių dalis gali būti naudojami tiek kasdieniame sistemų administratoriaus darbe, tiek elektroninių nusikaltimų tyrėjo. Įrankiai gali būti paleidžiami ne tik juos parsisiuntus į lokalųjį kompiuterį, bet ir tie- siai iš svetainės http://live.sysinternals.com, taip išvengiant informacijos modifikavimo kompiuterio diske. Paleidus „LiveKD“ įrankį, atminties atvaizdas sukuriamas pasinau- dojus komanda dump –f c:\tmp\memory.dmp Po rakto –f nurodomas kelias iki atvaizdo failo. Nenurodžius kelio, atvaizdas padaromas į failą, kuris apibrėžtas System Properties lango Startup and recovery lange (8.2 pav.).
8.2 pav. Atminties atvaizdo failo nustatymai 8.2 pav. Atminties atvaizdo failo nustatymai
Pasinaudojant „LiveKD“ įrankiu galima paleisti „Windows“ branduolio derinimo komandas Kd (įrankis,Pasinaudojant veikiantis komandiniu „LiveKD“ režimu) įrankiu ir Windbg galima (į rankis paleisti su grafine„Windows“ vartotojo branduolio sąsaja), kurios deri - nimopriklauso komandas paketui „DebuggingKd (įrankis, Tools veikiantis for Windows“. komandiniu Minėtą derinimo režimu) paket irą Windbg galima suinstaliuoti (įrankis iš su grafine„Windows vartotojo SDK“ program sąsaja),ų rinkinio kurios (www.msdn.microsoft.com). priklauso paketui „Debugging Tools for Windows“. Kitas įrankis, padėsiantis sukurti atminties atvaizdo failą, yra Notmyfault.exe. Jis taip pat Minėtąpriklauso derinimo „Sysinternals“ paketą paketui. galima Administratoriaus suinstaliuoti teis ė išmis „Windows paleidus komand SDK“ą programų rinkinio (www.msdn.microsoft.com ). NotMyfault.exeKitas įrankis, /crash padėsiantis sukurti atminties atvaizdo failą, yra Notmyfault.exe.
Jisbus taip perkrautas pat priklauso kompiuteris „Sysinternals“ ir sukurtas atminties paketui. atvaizdo Administratoriaus failas. „Windows“ teisėmis operacin paleidusės sistemos ko - mandąaktyvi ų procesų analizei galima naudoti „Sysinternals“ paketo įrankį autoruns.exe. Juo galima matyti ir proceso metaduomenis, pavyzdžiui, kūrėją, analizuoti procesų medį, operacinės sistemos startavimo NotMyfault.exemetu paleidžiamų proces/crashų sąrašą ir kitą naudingą informaciją (8.3 pav.).
65
60 bus perkrautas kompiuteris ir sukurtas atminties atvaizdo failas. „Windows“ operacinės sistemos aktyvių procesų analizei galima naudoti „Sysinternals“ paketo įrankį auto- runs.exe. Juo galima matyti ir proceso metaduomenis, pavyzdžiui, kūrėją, analizuoti procesų medį, operacinės sistemos startavimo metu paleidžiamų procesų sąrašą ir kitą naudingą informaciją (8.3 pav.).
8.3 pav. Įrankio Autoruns.exe langas
„Volatility Frameworks“ – tai dar vienas nemokamas, atvirojo kodo įrankių 8.3 pav. Įrankio Autoruns.exe langas rinkinys, parašytas Python kalba ir platinamas pagal „GNU General Public“ licenciją (www.volatilesystems.com). Įrankiais galima surinkti skaitmeninius artifaktus, priei- namus„Volatility atliekant Frameworks“ operatyviosios – tai atmintiesdar vienas nemokamas,analizę. Atminties atvirojo kodoatvaizdas įranki ųkuriamas rinkinys, parašytasnepri- Python kalba ir platinamas pagal „GNU General Public“ licenciją (www.volatilesystems.com). Įrankiaisklausomai galima nuo surinktianalizuojamos skaitmeninius sistemos. artifaktus, Įrankiais prieinamus iš atminties atliekant į išorinę operatyviosios laikmeną galima atminties analizįrašytię. Atmintieskompiuterio atvaizdas aktyviuosius kuriamas procesus, nepriklausomai atviruosius nuo analizuojamostinklo lizdus, sistemos.DDL failus, Įrankiais kurie iš atmintiesatidaromi į išorin startuojantę laikmen ąprocesui, galima įrašyti registro kompiuterio įrašus, aktyviuosius kuriais valdomas procesus, procesas, atviruosius operacinės tinklo lizdus, DDLsistemos failus, kurie branduolio atidaromi naudojamus startuojant procesui, modulius, registro proceso įrašus, adresuojamąkuriais valdomas atmintį procesas, ir t.operacin t (8.4ė s sistemos branduolio naudojamus modulius, proceso adresuojamą atmintį ir t. t (8.4 pav.). „Volatility Framewoks“pav.). „Volatility tinkamas Framewoks“ šioms „Windows“ tinkamas operacin šiomsėms „Windows“ sistemoms: operacinėms„Windows XP“, sistemoms: „Vista“, 7, „Windows„Windows 2003 XP“, Server“, „Vista“, „Windows 7, „Windows 2008 Server“. 2003 Server“, „Windows 2008 Server“.
8.4 pav. „Volatility Frameworks“ komandos vykdymo pavyzdys 8.4 pav. „Volatility Frameworks“ komandos vykdymo pavyzdys Operatyviosios atminties atvaizdą ir jo analizę galima atlikti pasinaudojus kompanijos „Wetstone Technologies“ komerciniu produktu „US-LATT“ (www.wetstonetech.com). Jo paskirtis – sukaupti aktualią veikiančios sistemos informacij66ą į išorinę laikmeną. Programinė įranga pateikiama įrašyta į USB raktą, kurio talpa – nuo 4 GB iki 2 TB, ir yra skirtas išsaugoti aktualią informaciją (8.5 pav.).
61 Operatyviosios atminties atvaizdą ir jo analizę galima atlikti pasinaudojus kom- panijos „Wetstone Technologies“ komerciniu produktu „US-LATT“ (www.wetstone- tech.com). Jo paskirtis – sukaupti aktualią veikiančios sistemos informaciją į išorinę laikmeną. Programinė įranga pateikiama įrašyta į USB raktą, kurio talpa – nuo 4 GB iki 2 TB, ir yra skirtas išsaugoti aktualią informaciją (8.5 pav.).
8.5 pav. „US-LATT“ programinės įrangos konfigūravimo langas
Kaip ir „Unix“ operacinėse sistemose, taip ir „Windows“ naudoja virtualią at- mintį duomenims, kurie netelpa į fizinę operatyviąją atmintį. Tam tikslui operacinės sistemos instaliavimo metu sukuriamas failas (dažniausiai 1,5 karto didesnis nei ope- ratyvioji atmintis) pavadinimu pagefile.sys. Šio failo dydžio nustatymus galima keisti registrų skiltyje:
SYSTEM\
67 Šiame faile teoriškai galėtų būti saugomi duomenys, kurie buvo atmintyje prieš išjungiant kompiuterį. Čia gali būti tokia informacija kaip nekoduoti slaptažodžiai, rak- tai, susirašinėjimo žinutės ir t. t. Tačiau sudėtingiausia vieta atliekant tyrimą – perskai- tyti šio failo turinį. Vienas iš variantų – naudoti įrankį strings.exe iš jau minėto paketo „Systinternals“. Nors šis įrankis ir nufiltruoja binarinius kodus, tačiau pateikiamas teks- tas yra nestruktūrizuotas ir sunkiai analizuojamas. Kitas pagefile.sys failo analizės bū- das – tai iš anksto žinomos eilutės paieška, pavyzdžiui, ieškomas URL prefiksashttp:// arba www. Apibendrinant galima teigti, kad nėra vienos taisyklės, kaip ieškoti įkalčių pagefile.sys faile. Kiekvienas paieškos atvejis turi būti analizuojamas individualiai. Dar vienas būdas, kaip išsaugoti operatyviosios atminties atvaizdą faile, tai „už- migdyti“ kompiuterį (angl. hibernate). Prieš „užmiegant“, operatyviosios atminties turinys kopijuojamas į hiberfil.sys failą. Kompiuteriui „prisikeliant“, skaitoma infor- macija iš minėto failo ir atstatoma sistemos būsena, buvusi prieš „užmiegant“. Norint perskaityti hiberfil.sys failą galima naudoti kompanijos „Sandman“ komercinį paketą „Windows Memory Toolkit“ (www.moonsols.com/windows-memory-toolkit). Šiuo paketu taip pat galima analizuoti „Windows“ griūties išklojos (angl. crash dump) failus bei VMware atminties būsenos kopijas (angl. snapshot).
Virtualių mašinų įrankiai
Jau tapo įprasta, kad duomenų centruose naudojamos resursų virtualizacijos technologijos ir konsoliduojama IT infrastruktūra. Virtualizacijai naudojami įvairių ga- mintojų, tokių kaip XEN, KVM, QEMU, „VMware“, virtualizacijos sprendimai. Fiziš- kai virtuali mašina ir jos konfigūracijos duomenys saugomi keliuose failuose, iš kurių vienas skirtas mašinos virtualiajai atminčiai. Pavyzdžiui, „VMware“ atveju tai failas su plėtiniu .vmem, kuris sukuriamas virtualios mašinos paleidimo metu ir egzistuoja tol, kol mašina išjungiama. Norint pasidaryti virtualios mašinos atminties atvaizdo kopiją galimi du būdai. Pirmasis – tai sustabdyti (angl. suspend) virtualią mašiną ir nukopi- juoti atminties failą į saugią išorinę laikmeną. Šio būdo trūkumas tas, kad sustabdžius virtualią mašiną realiai ji tampa neveiksni. Antrasis būdas – tai suformuoti virtualios mašinos operatyviosios atminties atvaizdą, panaudojant veikiančios sistemos būsenos kopiją. Tam tikslui, pavyzdžiui, QEMU naudoja pmemsave funkciją, o XEN turi xm dump-core komandą. „VMware“ taip pat turi analogišką galimybę fiksuoti sistemos būseną, tik tai atliekama per virtualios mašinos valdymo kliento dalies grafinę sąsają, kur darant mašinos būsenos kopiją nurodoma, ar tuo pačiu sukurti ir atminties kopiją. Kuriant atminties kopiją, sukuriamas *.vmem failas, kurį galima persikopijuoti į kitą laikmeną. Failo turinio analizei tinka anksčiau minėtas įrankis „Volatility Frameworks“ arba galima panaudoti komandiniu režimu veikiančią atviro kodo programą „Mem- parser“, parašytą C programavimo kalba(sourceforge.net/projects/memparser). Žemiau pateiktas memparser pavyzdys:
C:\Forensic\memparser.exe Snapshot_1.vmem
68 Ekrane matoma komandos išvedama informacija su atmintyje paleistais procesais:
Searching for processes in memory dump --100% Enumerating process structures. Sorting processes by PID Checking for processes hidden by detachment from process link-list or processes no longer active Searching for all threads. MemParser v1.3 Chris Betz, (c) 2005 Process List: Proc# PPID PID InProcList Name: Threads: 0 0 0 Yes Idle 1 5 8 Yes System 2 9 120 Yes Evil_Notepad.EXE 3 110 134 Yes CSRSS.EXE
8.2. Stabilių įkalčių surinkimas
Didžiausia dalis elektroninių nusikaltimų įrodymų surenkama iš kompiuterio kietojo disko. Šis faktas nieko neturėtų stebinti, nes informacija elektroninėje erdvėje saugoma failų pavidalu, kuriuos patogiausia laikyti pastovioje laikmenoje, pavyzdžiui, kietajame diske. Informaciją į žurnalinius failus rašo ir dauguma sisteminių procesų taip fiksuodami visus atliekamus veiksmus, todėl analizuojant žurnalus galima gauti naudingos informacijos apie nusikalstamos veiklos istoriją. Pirmasis žingsnis, kuris atliekamas prieš pradedant kompiuterio kietojo disko tyrimą, tai jo atvaizdo (angl. disk image), dar vadinamojo klono, sukūrimas. Atvaizdas formuojamas kopijuojant disko informaciją bitų lygmeniu į taip vadinamąjį atvaizdo failą. Atvaizdas yra identiškas originalui tiek fizine, tiek ir logine prasme. Ši procedūra daroma siekiant išsaugoti disko veidrodinę kopiją tyrimams atlikti, paliekant originalų diską tokį, koks jis buvo nusikaltimo įvykdymo metu. Žemiau pateikti keli programi- niai ir aparatūriniai įrankiai disko atvaizdui sukurti. „Encase Forensic“ – tai „Guidance Software“ (www.guidancesoftware.com) kompanijos produktas, formuojantis disko atvaizdą bitų lygmeniu (8.6 pav.). Atvaiz- das pateikiamas LEF arba E01 formatu, pripažįstamu bet kurios šalies teismuose. At- liekant duomenų kopijavimą, atvaizdo failas yra nuolat tikrinamas naudojant CRC blokus. Pabaigus formuoti atvaizdą, papildomas tikrinimas atliekamas suformuojant kopijos MD5 raktą, kuriuo vėlesniuose žingsniuose galima patikrinti atvaizdo teisin- gumą. Panaudojant „EnCase Forensics“ galima atlikti ir duomenų paiešką formuojant įvairias užklausas ar naudojant filtrus. Programa tinka visoms „Windows“ operacinėms sistemoms, taip pat „Linux“ (2.4 ir aukštesnė branduolio versija), „Solaris“, AIX ir OSX. Tinkamos tokios failų sistemos: FAT12/16/32, NTFS, EXT2/3 („Linux“), „Rei- ser“ („Linux“), UFS („Sun Solaris“), „AIX Journaling File System“ (JFS), LVM8, FFS („OpenBSD“, „NetBSD“, „FreeBSD“), „Palm“, HFS, „HFS+“ („Macintosh“), CDFS, ISO 9660, UDF, DVD, „TiVo 1“ ir „TiVo 2“. „Encase Forensics“ palaiko RAID ma- syvus (programinius ir aparatūrinius). „Encase Forensic“ paketas yra testuotas JAV teisingumo departamento Nacionaliniame teisės institute ir gavęs teigiamą vertinimą.
69 8.6 pav. „Encase Forensic“ programos langas
„ProDiscover Forensics“ – tai „Technology Path“ (www.techpathways.com) kompanijos produktas, veikiantis daugumoje „Windows“ operacinių sistemų ir skir- tas bitų lygmens disko atvaizdui sukurti, įskaitant ir HPA zonas (8.7 pav.). Programa leidžia atlikti sudėtingą paiešką, peržiūrėti paslėptus, ištrintus failus, įskaitant ir fai- lų metaduomenis. Disko atvaizdas kuriamas E01 arba „Unix“ operacinėje sistemoje naudojamu dd formatu. Darant disko atvaizdą, automatiškai kuriamas MD5, SHA1 arba SHA256 raktas, taip užtikrinant atvaizdo tinkamumą. Tinkamos failų sistemos: FAT12/16/32, NTFS, EXT2/3 („Linux“), UFS („Sun Solaris“). Programoje integruotos registrų, žurnalų, naršyklės istorijos peržiūros galimybės. Galima atlikti „MS Outlo- ok“, „Outlook Expres“s ir „MS Mail“ el. laiškų peržiūrą. Programa turi automatinį ataskaitų generatorių, taupantį tyrėjo darbo laiką ruošiant ataskaitas.
70
8.7 pav. „ProDiscover Forensics“ programos langas 8.7 pav. „ProDiscover Forensics“ programos langas
„Unix“ operacinėse sistemose disko atvaizdą galima suformuoti naudojant komandą dd. Ji jau buvo „Unix“minėta ankstesniame operacinėse skyriuje. sistemose Pateiksime disko pavyzd atvaizdąį, kaip padaryti galima kietojo suformuoti disko atvaizd naudojantą „Linux“ ko - mandąoperacin ddė.je Ji sistemoje. jau buvo Tarkime, minėta kadankstesniame LVM („Logical skyriuje. Volume Pateiksime Managment“) pavyzdį, nenaudojamas. kaip padaryti Darbui kietojoreikalingas disko išorinis atvaizdą diskas „Linux“ar kita laikmena, operacinėje kurioje bus sistemoje. išsaugotas atvaizdasTarkime, bei kad kompaktin LVMė („Logicalplokštelė su „Linux“ operacine sistema. Paprastai tokios plokštelės vadinamos „Linux LiveCD“, o jų sąrašas Volumepateiktas Managment“) www.livecdlist.com nenaudojamas.. Galima naudoti Darbui praktiškai reikalingas bet kurią išorinis versiją, svarbu,diskas kadar kita joje laikme veiktų - na,komandos kurioje gzipbus, ddišsaugotas ir swapoff . atvaizdasTaigi, užkrauname bei kompaktinė kompiuterį iš plokštelėkompaktinė ssu plokštel „Linux“ės, prijungiame operacine Comment [P24]: Ar ši išorinė išorinę laikmeną, kurioje bus saugomas atvaizdas, kataloge /mnt, išjungiame virtualios atminties laikmena tikrai montuojama prie sistema. Paprastai tokios plokštelės vadinamos „Linux LiveCD“, o jų sąrašas pateik- kompiuterio? Gal tiktų žodis sektorių ir kuriame atvaizdą. Šiuos žingsnius atitinka tokios komandos: prijungiame? tas www.livecdlist.com. Galima naudoti praktiškai bet kurią versiją, svarbu, kad joje Comment [n25]: Tai yra angliško žodžio “mount” vertimas, veiktųsudo komandosswapoff -a gzip , dd ir swapoff. Taigi, užkrauname kompiuterį iš kompaktinės kuris reiškia ne fizinį, o loginį sudo dd if=/dev/hda | gzip > /mnt/hdd_image.dd.gz pajungimą. Sutinku naudoti plokštelės, prijungiame išorinę laikmeną, kurioje bus saugomas atvaizdas, kataloge / prijungiame. mntAtvaizdui, išjungiame atstatyti virtualiosį kitą diską vykdomos atminties tokios sektorių komandos: ir kuriame atvaizdą. Šiuos žingsnius ati- tinka tokios komandos: sudo swapoff -a sudo gzip -dc /mnt/hdd_image.dd.gz | dd of=/dev/hda sudo swapoff -a sudo dd if=/dev/hda | gzip > /mnt/hdd_image.dd.gz
Atvaizdui atstatyti į kitą diską vykdomos tokios komandos: 66 sudo swapoff -a sudo gzip -dc /mnt/hdd_image.dd.gz | dd of=/dev/hda
71 „Windows“ operacinės sistemos įrankiai
„Microsoft Windows“ operacinei sistemai yra sukurta nemažai komercinių pro- graminių paketų, skirtų kompiuterio kietojo disko duomenims kopijuoti ir analizei at- likti. Dažniausiai gamintojai, siekdami pateikti kuo didesnį paslaugų spektrą tyrėjui, įrankius grupuoja į programų paketus, kurie apima kietojo disko, atminties, tinklo duo- menų surinkimą ir analizę. Tokiu būdu yra padidinamas paketo funkcionalumas ir iš dalies palengvinamas tyrėjo darbas, nes naudodamas tą patį paketą jis atlieka daugumą nusikaltimo įkalčių surinkimo ir analizės veiksmų. Reikia paminėti, kad gamintojai dažnai akcentuoja atskirus paketų funkcionalumus, pavyzdžiui, elektroninių laiškų paiešką ir analizę kompiuterio lokaliajame diske arba pornografinio turinio nuotrau- kų paiešką, koduotos informacijos dekodavimą. Apžvelgsime tik pačius žinomiausius paketus. „Forensics Toolkit“ (FTK) – tai vienas iš žinomiausių programinių paketų, skir- tų elektroninių nusikaltimų tyrėjams. Paketą sukūrė kompanija „AccessData Group“ (www.accessdata.com), dirbanti elektroninių nusikaltimų srityje jau daugiau nei 20 metų bei turinti daugiau nei 100 000 naudotojų. FTK paketas gali atlikti visišką kom- piuterio skenavimą, ieškodamas reikiamos informacijos, galimi įvairūs paieškos filtrai, palengvinantys paiešką. Šiuo įrankių paketu galima ieškoti ištrintų laiškų, atstatyti slap- tažodžius, dekoduoti šifruotą informaciją, pavyzdžiui, failus, saugomus EFS sistemoje (angl. Encrypted File System). Paketas turi atskirą įrankį „FTK Imager“, kuriuo pada- romos viso kietojo disko arba atskiro segmento atvaizdas. Kopijuojant failus realiame laike vyksta MD5 rakto reikšmių skaičiavimas, o tai garantuoja teisingą perrašymo procedūrą. FTK paketas taip pat turi tyrimų ataskaitų generatorių. Ataskaitose patei- kiama bendroji statistika apie rastus įkalčius bei tyrimo metu tyrėjo surasti ir specialiai pažymėti įkalčiai. „Forensic Dossier“ – tai „Logicube“ (www.logicubeforensics.com) kompanijo- je sukurtas aparatūrinis įrenginys, skirtas kietojo disko atvaizdui daryti ir duomenims kopijuoti. Kompanija laikosi pozicijos, kad tyrėjui duomenų kopijoms daryti patogiau naudoti specializuotą įrenginį, o ne programinį sprendimą. „Forensic Dossier“ įrenginį siūloma komplektuoti kaip vieną iš globalios sistemos, skirtos elektroninių nusikaltimų tyrėjui, modulių. Šią sistemą sudaro „Forensic Dossier“ duomenų surinkimo įrenginys, didelės talpos nešiojama duomenų saugykla ir „NetConnect“ tinklo modulis. Tokia sis- tema gali kopijuoti didelės apimties duomenis, pavyzdžiui, iš duomenų saugyklų, taip pat yra galimybė juos iš karto siųsti į tyrimo kompanijos saugyklas. „Paraben P2 Commander“ – tai „Paraben Inc.“ kompanijos (www.paraben. com) įrankis, skirtas įvairių formatų elektroninių laiškų, susirašinėjimo žurnalų, inter- neto naršyklių istorijos analizei, filtravimui, rūšiavimui ir informacijos paieškai. Šiuo įrankiu galima atstatyti ištrintus laiškus. Kompanija taip pat yra išleidusi kietojo disko duomenų nuskaitymo programinę įrangą „Enterprise Drive Acquisition“, kuria visi dis- ko duomenys kopijuojami į tinklinį failų serverį. Programa turi galimybę kopijuoti ir paslėptą (apsaugotą) disko erdvę (HPA), prieinamą tik operacinei sistemai.
72
8.8 pav. FTK paketo „Imager“8.8 pav. programos FTK paketo langas „Imager“ programos langas
ToliauToliau panagrin panagrinėsimeėsime tipinius tipinius atvejus, atvejus, į kuriuos į kuriuos reikia reikia atkreipti atkreipti dėmes dėmesįį atliekant atliekant tyrim ą su „Windows“tyrimą su operacine „Windows“ sistema. operacine Parodysime, sistema. kokiaisParodysime, įrankiais kokiais galima įrankiais surinkti galima įkal surinktičius tokiose situacijose.įkalčius tokiose situacijose.
„Windows“ įvykių žurnalas „Windows“ įvykių žurnalas
NorintNorint sužinoti sužinoti naudotojo naudotojo veiksm veiksmųų istorij istoriją,ą, informacijos informacijos reikia reikia ieškoti ieškoti įvyki įvykiųų žurnale. Numatyta,žurnale. kad Numatyta, „Windows kad XP/2003“„Windows įXP/2003“vykių registracijos įvykių registracijos žurnalo failai žurnalo saugomi failai sau kataloge- Comment [n26]: Siūlau palikti terminą “pagal nutylėjimą”, kaip c:\windows\system32\configgomi kataloge c:\windows\system32\config. Ten rasime tris pagrindinius. Ten rasime žurnalinius tris pagrindinius failus, t. y. žurnalinius AppEvent.evt , nusistovėjusį terminą. SecEvent.evt, SysEvent.evt. Tačiau naujesnėse „Windows“ versijose „Microsoft“ programos, pvz., failus, t. y. AppEvent.evt, SecEvent.evt, SysEvent.evt. Tačiau naujesnėse „Windows“ Comment [DM27]: Papildyta „Microsoft Office 2007“ ir „Internet Explorer 7/8“, susikuria papildomus žurnalinius failus dviem žodžiais versijose „Microsoft“ programos, pvz., „Microsoft Office 2007“ ir „Internet Explorer Osession.evt ir Internet.evt. Taip pat reikia nepamiršti, kad savo atskirus žurnalus veda tokios programos7/8“, susikuria kaip DNS papildomus serveris, domeno žurnalinius kontroleris. failus Osession.evtĮvykių žurnalus ir Internet.evt galima perži.ū rTaipėti naudojant pat „Microsoftreikia nepamiršti, Management kad Console savo atskirus Event“ žurnalusįskiepį „Viewer“veda tokios arba programos išsikviesti kaip iš DNS komandin serveris,ės eilut ės c:\windows\system32\eventvwr.exedomeno kontroleris. Įvykių žurnalus. Kiekvienas galima įvykis peržiūrėti turi savo naudojant EventID ,„Microsoft pagal kurį galimaManage sužinoti- problemosment Console priežastis Event“ ir trump įskiepįą aprašym „Viewer“ą. Tam arba patogu išsikviesti naudotis iš komandinės nemokama eilutės „Microsoft“ c:\win į-vykių duomendows\system32\eventvwr.exeų baze (www.eventid.net). . Kiekvienas įvykis turi savo EventID, pagal kurį gali- ma sužinoti problemos priežastis ir trumpą aprašymą. Tam patogu naudotis nemokama
Ryšio„Microsoft“ failai įvykių duomenų baze (www.eventid.net).
Ryšio failai yra nuorodos į kitą failą ar katalogą. Ryšio failo pavadinime naudojamas plėtinys .lnk. Naudotojas juos kuria, norėdamas greitai patekti į katalogą ar atidaryti failą, kurį jis dažnai naudoja arba jam jis yra svarbus. Todėl ryšio failai gali būti naudingi ir nurodyti tyrėjui įkalčių
68 73 Ryšio failai
Ryšio failai yra nuorodos į kitą failą ar katalogą. Ryšio failo pavadinime nau- dojamas plėtinys .lnk. Naudotojas juos kuria, norėdamas greitai patekti į katalogą ar atidaryti failą, kurį jis dažnai naudoja arba jam jis yra svarbus. Todėl ryšio failai gali būti naudingi ir nurodyti tyrėjui įkalčių paieškos vietą. Ryšio faile taip pat išsaugomos laiko žymės (data ir laikas), kada tikrasis failas buvo sukurtas, paskutinį kartą atida- rytas ar modifikuotas. Ryšio failus peržiūrėti galima su nemokamu įrankiu „Windows File Analyzer“ (http://www.mitec.cz/wfa.html).
Thumbnail buferiniai failai
Thumbs.db – tai sudurtinis failas, kuriame saugomi sumažintos apimties failų atvaizdai, kurie buvo peržiūrėti „Windows Explorer“ programa. Šis failas automatiškai sukuriamas, kai katalogo failai peržiūrimi „Thumbnails“ režimu, ir modifikuojamas, jei kataloge atsiranda naujų failų. Thumbs.db failo vieta priklauso nuo „Windows“ versi- jos. „Windows Vista“, „Windows 7“ šis failas būna kataloge AppData\Local\Micro- soft\Windows\Explorer, o ankstesnėse „Windows“ versijose jis būdavo tame pačiame kataloge.Thumbs.db failus galima atsidaryti ir peržiūrėti, kokie failai buvo kataloge, naudojant anksčiau minėtus „EnCase“, FTK, „Windows File Analyzer“ įrankius.
Laiko ir datos žymės
„Windows“ operacinių sistemų failai turi tris laiko ir datos žymes: sukūrimo, paskutinio modifikavimo (perrašymo) ir paskutinio atidarymo (naudojimo). NTFS ir FAT failinėse sistemose esančių failų laiko ir datos žymės skiriasi. Failo metaduome- nyse minėtos žymės yra išsaugomos skirtingose vietose, NTFS laiko ir datos žymės saugomos UTC pavidalu, o FAT – lokalios laiko juostos pavidalu. Dar vienas skirtumas – NTFS laikas matuojamas 100 nanosekundžių periodu nuo 1601-01-01, o FAT faili- nėje sistemoje laiko periodas yra 10 milisekundžių ir skaičiuojamas nuo 1980-01-01. Failo įrašymo laikas FAT sistemoje skaičiuojamas kas 2 sekundes, o failo paskutinio atidarymo laikas skaičiuojamas dienomis. Be to, reikia žinoti, kad pakeitus registro įrašo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSys- tem\NtfsDisablelastAccessUptime reikšmę į 1, „Windows XP“ nebekeis paskutinio prieigos laiko ir datos reikšmių. Toks yra numatytasis „Windows Vista“ nustatymas.
Programų instaliavimas
Nelegalios programinės įrangos instaliavimas ir naudojimas yra nusikalstama veikla ir baudžiama pagal LR BK 198 straipsnį. Įrodymai, kad naudotojas turėjo suins- taliuotą nelegalią programinę įrangą, turi būti svarūs ir neginčijami, todėl pabandysime plačiau panagrinėti šią temą. Jei kompiuterio naudotas turi teisę instaliuoti programas,
74 numatyta, kad jos saugomos kataloge c:\Program Files. Kitos vietos, kuriose gali būti instaliuojama programa, yra šios: c:\Documents and Settings\
SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Analizuojant „Windows“ registro ir failo NTUSER.DAT informaciją, dažniau- siai surandami įrodymai apie nelegalios įrangos naudojimą kompiuteryje.
„Unix“ operacinių sistemų įrankiai
Skyriaus pradžioje jau buvo minėta komanda dd, kuri naudojama tiek kietojo disko, tiek ir operatyviosios atminties atvaizdams sukurti. Ši komanda tapo standartu de facto darant kopijas „Unix“ operacinėse sistemose. Ši komanda naudojama speci- alizuotuose įrankiuose, tokiuose kaip dcfldd ir ddrescue. dcfldd suteikia papildomų galimybių, tokių kaip siunčiamų duomenų kodavimas realiu laiku, disko valymas pagal tyrėjo nurodytą šabloną ir t. t. (žr. ankstesnį skyrių), o naudojant ddrescue galima kurti kietojo disko atvaizdą, kuriame sugadinta failų struktūra ar yra fizinių klaidų. Jei kopijuojant pasitaiko skaitymo klaidų, bandoma iš karto jas taisyti. Šis įran- kis sukurtas kaip GNU projekto dalis, todėl naudojamas nemokamai. Žemiau pateiktas ddrescue pavyzdys, kuriame raktas max-retries nurodo, kad bus 3 kartus bandoma nuskaityti klaidingą įrašą: ddrescue --direct --max-retries=3 /dev/sda /home/forensics/disk.image/ logfile.txt Sukurti kompiuterio disko, kuriame veikia „Unix“ operacinė sistema, atvaizdą galima naudojant ir anksčiau minėtus įrankius: „EnCase“, „Forensic Toolkit“, „X-Wa- ys“ ir kitus. Jei tiriamame kompiuteryje, naudojant LVM technologiją, suformuotos kintamojo dydžio kietojo disko skiltys, tai sukelia problemų darant atvaizdus. Elektro- ninių nusikaltimų tyrimų įrankiai nepalaiko LVM, todėl tokiu atveju rekomenduojama kurti ne disko, o kiekvieno skirsnio atvaizdą atskirai.
75 Failų ir failų sistemų analizė
Atliekant tyrimus su „Unix“ failų sistema reikia atkreipti dėmesį į failų laiko ir datos žymes. „Unix“ operacinės sistemos naudojama iki 4 laiko žymių, t. y. modi- fikavimo, pakeitimo, prieigos ir ištrynimo žymės. Laiko ir datos žymė saugoma failo metaduomenyse. Tam naudojamas 32 bitų laukas, kuriame fiksuojamas laikas sekundė- mis, prabėgusiomis nuo 1970 m. sausio 1 d. vidurnakčio. Laikas saugomas UTC laiko juostoje, todėl norint sužinoti tikrąjį laiką reikia žinoti, kokia laiko juosta nustatyta kompiuteryje. Laiko juostos nustatymai apibrėžti faile /etc/localtime. Atliekant failų analizę reikia atkreipti dėmesį ir į failų teises, nes pagal teisių priskyrimą vartotojui galima nustatyti, ar jis galėjo atlikti tam tikrus veiksmus: modifi- kuoti ar ištrinti failą, užmontuoti failų sistemą ir t. t. Kokios failų sistemos ir kokiuose kataloguose užmontuojamos, galima sužinoti perskaičius failą /etc/fstab. Ši informa- cija yra svarbi, nes užmontuojant failų sistemas iš nutolusių serverių dalis duomenų saugomi ne lokaliame diske, o tai reiškia, jog būtina pasidaryti ir nutolusių duomenų kopijas. Norint atstatyti ištrintus failus, geriausia patikrinti ištrintų failų metaduomenis (angl. inode) metaduomenų lentelėje. Nors metaduomenyse nesaugomi failų pavadi- nimai, tačiau lieka tokia informacija kaip datos, teisės, failo vieta. Mažesnių failų me- taduomenyse yra saugomi netgi atskiri duomenų blokai. Ištrintiems failams atstatyti galima naudoti „The Sleuth Kit“ (TSK), www.sleuthkit.org rinkinio fls komandą: fls -f linux-ext2 -r -p -d ext2-atstatytas.dd r/- * 0: file2.jpg r/- * 0: handle.pdf r/- * 0: .file3.txt Kaip matyti, atstatant failus neatkuriamos laiko ir datos žymės, nes neaišku, su kokio failo metaduomenimis jie susiję. Naudojant kitą to paties paketo komandą ils, galima detaliau analizuoti susijusius metaduomenis: ils -f linux-ext2 ext2-atstatytas.dd Gautuose rezultatuose galima surasti ryšius tarp metaduomenų ir failų bei tokiu būdu atstatyti duomenis. Norint sužinoti, kokie failai ar tinklo prievadai sistemoje yra atidaryti, verta nau- doti įrankį lsof. Šis įrankis taip pat padeda identifikuoti ryšį tarp proceso ir prievado. lsof įrankis yra įtrauktas į daugelį „Linux“ distribucijų, todėl jo nereikia atskirai insta- liuoti. Komandos naudojimo pavyzdys, kurią įvykdžius sužinomi visi atvirieji interneto lizdai: lsof −i +M Jei reikia surasti ryšį tarp atidaryto prievado ir sisteminio proceso, lsof –i –n –P
76 „Unix“ įvykių registracijos žurnalas
Vartotojų prisijungimų žurnalas „Unix“ operacinėse sistemose yra saugomas / var/log/wtmp ir /var/run/utmp failuose. Kiekvieną įrašą sudaro tokie laukai: varto- tojo prisijungimo vardas, įrenginio pavadinimas, kompiuterio vardas arba IP adresas, prisijungimo laikas, data ir trukmė. Prisijungimų žurnalo peržiūrai naudojama koman- das last. Norinti atlikti paiešką, papildomai galima naudoti komandą grep. Pavyzdžiui, norint sužinoti, kada buvo prisijungta prisijungimo vardu root, vedama komanda: last | grep root | more Norint vartotojų įvykių žurnalą skaityti per grafinę sąsają, galima pasinaudoti jau minėtu „EnCase“ įrankiu. Sisteminiams įvykiams registruoti „Unix“ operacinėse sistemose naudojamas žurnalas syslog. Čia saugoma informacija apie kritinius ir paprastuosius įvykius, at- sirandančius veikiant sisteminiams ir taikomiesiems procesams. Įvykių įrašą sudaro du laukai: proceso pavadinimas ir įvykio sunkumo lygis. Numatyta, kad „Linux“ ope- racinėse sistemose įvykių žurnalas saugomas faile /var/log/messages, nors kai kurie procesai, pvz., „Apache“, gali turėti ir savo atskirus žurnalo katalogus, pvz., /var/log/ httpd. Žurnalas gali būti saugomas ne tik lokaliajame diske, bet ir siunčiamas į nutolusį kompiuterį, pvz., duomenų centro konsoliduotą įvykių žurnalų serverį. Įvykių registra- vimo žurnalo nustatymai atliekami faile /etc/syslog.conf (pavadinimas gali keistis pri- klausomai nuo „Linux“ versijos). Žurnalo failas yra tekstinis, todėl failo analizę galima atlikti grep, tail, more ir kitomis „Unix“ komandomis. Pavyzdžiui: tail -f /var/log/messages arba grep string /var/log/messages | more Nusikaltimo tyrimui gali būti naudinga ir vartotojo vykdytų veiksmų istorija. Kiekvieno vartotojo namų kataloge yra tekstinis failas, kuriame saugoma vartotojo vykdytų komandų istorija. Failo pavadinimas priklauso nuo naudojamo komandinio interpretatoriaus ir gali būti toks: .bash_history (bash), .history.csh (csh) ir t. t. Failą peržiūrėti galima bet kuriuo teksto redaktoriumi ar komandomis: cat, more, pg ir t. t.
8.3. Įrankai ir priemonės NEE įkalčių paieškai kompiuterių tinkle
Šiuolaikinis kompiuteris – tai lokalaus ar globalaus kompiuterių tinklo elemen- tas, todėl elektroninių nusikaltimų tyrėjas privalo žinoti kompiuterių tinklų pagrindus, TCP/IP paketo struktūrą, Ethernet kadro sudėtį, tinklo apsaugos technologijas, suprasti vartotojų autorizacijos ir autentifikacijos principus. Maršrutizatorių, ugniasienių ar IDS įrenginių, autentifikacijos serverių žurnalų analizė gali būti naudinga atliekant įsilauži- mų tyrimus ar siekiant užkirsti kelią galimam nusikaltimui. Apžvelgsime populiariau- sius įrankius tinklo analizei ir tyrimams atlikti.
77 „Wireshark“ – tai vienas iš žinomiausių, atvirojo kodo paketų, skirtų tinklo protokolų analizei (www.wireshark.org). Juo galima perimti ir interaktyviai analizuoti tinklo srautą, analizuoti TPC/IP ir Ethernet paketus (8.9 pav.). „Wireshark“ turi grafinę sąsają ir gali būti instaliuojamas tiek „Windows“, tiek „Unix“ operacinėse sistemose. Paketas turi integruotas rūšiavimo ir filtravimo galimybes. Tinklo analizė vykdoma per nurodytas tinklo sąsajas, įskaitant ir bevielio tinklo arba iš failo. „Wireshark“ – tai tarptautinis savanorių projektas, vykdomas nuo 1998 m. ir tinklo protokolų analizatorių laikomas kaip standard de facto. Žemiau pateikiamos pagrindinės „Wireshark“ paketo savybės: ▬▬ Įvairių tinklo tipų palaikymas, įskaitant Ethernet, IEEE 802.11, PPP, „loopback“. USB srauto skaitymas. ▬▬ Įvairių protokolų palaikymas, todėl galima analizuoti inkapsuliuotus duomenis skirtingų protokolų atžvilgiu. ▬▬ „VoIP“ palaikymas. Jei garsas koduojamas vienu iš paketo palaikomų kodavimo technologijų, galimas pokalbio klausymas. ▬▬ Skaitymas ir (arba) rašymas skirtingais failų formatais: „tcpdump“ („libpcap“), „Pcap NG“, „Catapult DCT2000“, „Cisco Secure IDS iplog“, „Microsoft Ne- twork Monitor“, „Network General Sniffer“, „Sniffer Pro“, „NetXray“, „Net- work Instruments Observer“, „NetScreen snoop“, „Novell LANalyzer“, „RAD- COM WAN/LAN Analyzer“, „Shomiti/Finisar Surveyor“, „Tektronix K12xx“, „Visual Networks Visual UpTime“, „WildPackets EtherPeek/TokenPeek/Airo- Peek“ ir kitais. ▬▬ Įvairių protokolų dešifravimas, įskaitant „Ipsec“, ISAKMP, „Kerberos“, SNM- Pv3, SSL/TLS, WEP, WPA/WPA2. ▬▬ Rezultatų eksportas XML, „PostScript“, CSV formatais.
8.9 pav. „Wireshark“ programos langas8.9 pav. „Wireshark“ programos langas
„Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libpcap biblioteką. Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui perimti ir ekrane pavaizduoti TCP/IP ir kitų tinklo paketų (ICMP ir UDP) 78turinį. Šis paketas gali būti naudojamas ir kaip tinklo infrastruktūros analizatorius, kuris nustato, ar visi reikalingi maršrutai veikia teisingai, ir esant reikalui leidžia izoliuoti problemą. „Tcpdump“ gali pateikti nešifruotus paketuose esančius duomenis, pavyzdžiui, prisijungimo vardus, slaptažodžius ir t. t. Paketams filtruoti vartotojas gali naudoti „Berkeley Packet Filter“ tipo filtrus, leidžiančius parodyti tik reikalingą informaciją. „Tcpdump“ veikia „Unix“ operacinėse sistemose. Šio analizatoriaus įvykių žurnalo analizei naudojamas kitas atvirojo kodo įrankis tcptrace. Komandos pavyzdys, kai surenkami ir išvedami visi IP paketai, siunčiami tarp kompiuterių pavadinimais pirmas ir antras:
tcpdump ip host pirmas and antras
Kitas „Tcpdump“ pavyzdys demonstruoja duomenų nuskaitymą iš traffic.cap failo, o ne iš tinklo sąsajos: tcpdump –n –r traffic.cap
Tinklo stebėjimas – tai vienas iš elektroninių nusikaltimų tyrimo metodų. Jis apibrėžiamas kaip gebėjimas kaupti ir analizuoti duomenis apie tinklo srautus. Egzistuoja du pagrindiniai stebėjimo principai: aktyvusis ir pasyvusis. Aktyvieji metodai dažniausiai naudojami kokybinėms tinklo charakteristikoms nustatyti, pavyzdžiui, vėlinimui, pralaidumui, anomalijoms aptikti. Tačiau matavimo metu siunčiami šalutiniai duomenys patys trikdo normalų tinklo darbą ir gali būti anomalijų priežastimi. Šio metodo privalumas tas, kad nereikalinga specializuota techninė įranga, o programinė įranga yra nesudėtinga. Pasyvieji metodai tinklo srautų stebėjimui naudoja specializuotą techninę įrangą. Tokią funkciją gali atlikti srautus persiunčiantis maršrutizatorius arba prie tinklo prijungtas klausymosi įrenginys, perduodamus srautus nukreipiantis į stebėjimo stotį. Panagrinėkime keletą aktyviųjų tinklo stebėjimo įrankių.
73 „Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libp- cap biblioteką. Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui perimti ir ekrane pavaizduoti TCP/IP ir kitų tinklo paketų (ICMP ir UDP) turinį. Šis paketas gali būti naudojamas ir kaip tinklo infrastruktūros analizatorius, kuris nustato, ar visi reikalingi maršrutai veikia teisingai, ir esant reikalui leidžia izoliuoti problemą. „Tcpdump“ gali pateikti nešifruotus paketuose esančius duomenis, pavyzdžiui, prisi- jungimo vardus, slaptažodžius ir t. t. Paketams filtruoti vartotojas gali naudoti „Ber- keley Packet Filter“ tipo filtrus, leidžiančius parodyti tik reikalingą informaciją. „Tcp- dump“ veikia „Unix“ operacinėse sistemose. Šio analizatoriaus įvykių žurnalo analizei naudojamas kitas atvirojo kodo įrankis tcptrace. Komandos pavyzdys, kai surenkami ir išvedami visi IP paketai, siunčiami tarp kompiuterių pavadinimais pirmas ir antras: tcpdump ip host pirmas and antras Kitas „Tcpdump“ pavyzdys demonstruoja duomenų nuskaitymą iš traffic.cap failo, o ne iš tinklo sąsajos: tcpdump –n –r traffic.cap Tinklo stebėjimas – tai vienas iš elektroninių nusikaltimų tyrimo metodų. Jis api- brėžiamas kaip gebėjimas kaupti ir analizuoti duomenis apie tinklo srautus. Egzistuoja du pagrindiniai stebėjimo principai: aktyvusis ir pasyvusis. Aktyvieji metodai dažniau- siai naudojami kokybinėms tinklo charakteristikoms nustatyti, pavyzdžiui, vėlinimui, pralaidumui, anomalijoms aptikti. Tačiau matavimo metu siunčiami šalutiniai duome- nys patys trikdo normalų tinklo darbą ir gali būti anomalijų priežastimi. Šio metodo privalumas tas, kad nereikalinga specializuota techninė įranga, o programinė įranga yra nesudėtinga. Pasyvieji metodai tinklo srautų stebėjimui naudoja specializuotą techni- nę įrangą. Tokią funkciją gali atlikti srautus persiunčiantis maršrutizatorius arba prie tinklo prijungtas klausymosi įrenginys, perduodamus srautus nukreipiantis į stebėjimo stotį. Panagrinėkime keletą aktyviųjų tinklo stebėjimo įrankių. „Nmap“ (Network Mapper) – tai atvirojo kodo įrankis (www.nmap.org), skirtas kompiuterio saugumui patikrinti, identifikuojant tinklo sujungimus, atviruosius prie- vadus. Naudojant „Nmap“ galima atlikti tinklo įrenginių inventorizaciją ir auditavimą skenuojant tinklą. „Nman“ siunčia specialius paketus į tiriamą įrenginį ir analizuoja at- saką. Siunčiant paketus yra įvertinamos tinklo charakteristikos, tokios taip uždelsimas, fluktuacijos, tinklo apkrovimas. Įrankiu nustatoma analizuojamo kompiuterio opera- cinė sistema, veikiantys servisai, ar yra ugniasienė. „Nmap“ veikia tiek „Windows“, tiek ir „Unix“ operacinėse sistemose. Įrankis turi grafinę sąsają, vadinamą „Zenmap“. „Nmap“ įrankio skenavimo rezultatai gali būti išsaugoti 4 skirtingais formatais teksti- niame faile, kurį galima analizuoti awk, sed, grep ir kitais įrankiais. „Netcat“ – tai dar vienas atvirojo kodo įrankis (nc110.sourceforge.net), skir- tas sukurti TCP arba UDP sujungimą tarp dviejų įrenginių, siekiant skaityti ir (arba) rašyti duomenis. Sujungimai gali būti padaromi tarp bet kurių prievadų lokalioje ir nutolusioje mašinoje. Šis įrankis gali būti naudojamas kaip priemonė sudaryti patikimą
79 sujungimą tarp dviejų kompiuterių, kuriuo gali naudotis kitos programos ar servisai. Šiuo įrankiu galima atlikti ir prievadų skenavimą, suformuoti siunčiamos informacijos atvaizdą (angl. hex dump). „Windows“ operacinėje sistemoje tinklo srautų analizei galima naudoti „Win- dows Support Tools“ rinkinio įrankius (technet.microsoft.com). Daugeliu šių įrankių galima atlikti tinklo diagnostiką, monitoringą ir analizę. Komandiniu režimu veikiantis įrankis, kuriuo galima stebėti tinklo paketus ir įrašyti juos į žurnalo failą, yra netcap. exe. Šis įrankis perima tinklo paketus tiesiai iš tinklo srauto ir nukreipia jį analizei. Kiekvienas perimtas paketas turi tokią informaciją: siuntėjo, gavėjo adresus, protokolo pavadinimą, klaidų tikrinimo žymę ir kitus duomenis. Pavyzdys, kuriame kompiuterio tinklo prievadai stebimi 3 minutes ir visa informacija surašoma į c:\temp katalogą. netcap /c:c:/ temp /l:00:03:00 Tinklo aktyviam stebėjimui taip pat tinka ir gerai žinomi įrankiai: ping, trace- route, iperf, netperf ir kiti. Dalis informacijos, siejamos su tinkliniais ryšiais, saugoma kompiuterio ope- ratyviojoje atmintyje, pavyzdžiui, tinklinės sesijos, aktyvūs susijungimai, dinaminiai IP adresai, kaukės, DNS adresai, ARP lentelė, maršrutizavimo lentelė ir kita informa- cija, kuri dingsta išjungus arba perkraunant kompiuterį. Todėl, atliekant nusikaltimo tyrimą, reikia būtinai išsaugoti šią veikiančios sistemos informaciją. Tai galima atlikti komandomis: netstat (veikia „Windows“ ir „Unix“ operacinėse sistemose) ir nbtstat („Windows OS“), kurios parodo TCP/IP (NetBIOS) protokolo statistiką ir aktyvius tin- klinius susijungimus. Naudojant arp komandą, galima sužinoti, kokie IP adresai yra arp lentelės buferyje. Iš komandų ipconfig („Windows OS“) ar ifconfig („Unix OS“) sužinosite tinklo sąsajų konfigūraciją ir būsenas. Pageidautina šias komandas leisti iš atskiro kompaktinio disko ar kitos išorinės laikmenos tam, kad nereikėtų paleisti jokios papildomos bibliotekos ar programos iš inspektuojamo kompiuterio kietojo disko ir nebūtų pakeičiama jokia informacija arba duomenys. Tinklo maršrutizatorių žurnalas „NetFlow“. Tinklo maršrutizatorių žurnalai dažnai suteikia neįkainuojamos informacijos atliekant nusikaltimo tyrimą. Didieji tin- klo įrangos gamintojai „Cisco“, „Juniper“, „Extreme Networks“ pildo įvykių žurnalus naudodami duomenų struktūrą, vadinamą „NetFlow“. Žurnalų analizė priskiriama prie pasyviųjų tinklo stebėjimo priemonių, nes ji nekeičia tinklo parametrų bei neįveda jo- kių papildomų stebėjimo komponentų. „NetFlow“ srautas – tai vienkrypčių iš siuntėjo gavėjui siunčiamų paketų aibė. Srautą identifikuoja raktiniai paketo laukai: siuntėjo ir gavėjo IP adresai, siuntėjo ir gavėjo prievado numeriai, paketų skaičius sraute, prii- mančios sąsajos SNMP indeksas. Iš viso pakete yra 20 laukų. „NetFlow“ srautas suku- riamas, kai maršrutizatorius aptinka pirmąjį paketą. Tie paketai, kurių raktiniai laukai sutampa, bus priskirti tam pačiam srautui. Jei nesutampa nors vienas raktinis laukas, paketas priskiriamas naujam srautui. Maksimali „NetFlow“ įrašo trukmė – 30 minučių. Jei ši riba viršijama, kuriamas naujas įrašas. Analizuojant „NetFlow“ žurnalo įrašus, galima nustatyti nusikaltėlio kompiuterio IP adresą, protokolą ir tinklo prievadą, per
80 kurį nusikaltėlis įsibrovė, datą ir laiką, kada buvo įvykdytas nusikaltimas, bei persiųstą duomenų kiekį. „NetFlow“ žurnalo analizei reikia naudoti specializuotus įrankius, nes paprastai žurnale saugomi didžiuliai įrašų kiekiai, kuriuos analizuoti be specialių įrankių sudėtin- ga. Šiuo metu rinkoje yra nemažai tiek komercinių, tiek ir atvirojo kodo įrankių, skirtų „NetFlow“ analizei. Štai keletas iš jų: „NfSen“ (http://nfsen.sourceforge.net), „Flow tools“ (www.splintered.net/sw/flow-tools), „SiLK“ (tools.netsa.cert.org/silk), „Orion NetFlow Traffic Analyzer“ (NTA) www.solarwinds.com/products/orion/nta( ). Plačiau aptarsime „NfSen“ įrankį. „Nfsen“ – tai atvirojo kodo paketas, skirtas „NetFlows“ paketams analizuoti, filtruoti, statistiniams rodikliams skaičiuoti. Paketas yra parašytas kaip grafinė sąsaja įrankiui nfdump. Papildomai ji apdoroja duomenis užsibrėžtu laiko intervalu, kaupia istorinius duomenis, pagal nurodytas sąlygas siunčia perspėjimus, leidžia programuoti ir įdiegti įskiepius.
8.4. Kontroliniai klausimai ir praktiniai darbai
Kontroliniai klausimai
1. Kokiu eiliškumu atliekamas informacijos kopijavimas iš kompiuterių ir tin- klo įrenginių? 2. Kaip atlikti operatyviosios atminties duomenų kopiją „Unix“ operacinėse sistemose nenaudojant papildomų įrankių? 3. Kaip atlikti „Vmware“ virtualiosios mašinos atminties kopiją jos nestabdant? 4. Kur nustatoma atminties atvaizdo kopijos saugojimo vieta „Windows“ ope- racinėje sistemoje? 5. Ar skiriasi kietojo disko atvaizdų darymo procedūros „Windows“ ir „Linux“ operacinėse sistemose? 6. Kam reikalingas disko atvaizdo kopijos MD5 raktas? 7. Kokį įrankį naudotumėte ištrintų el. laiškų peržiūrai, atstatymui, įkalčių paieškai? 8. Kur saugomi „Windows“ operacinių sistemų įvykių žurnalai? Kokią infor- maciją galima iš jų gauti? 9. Kokiu formatu saugomos failų laiko ir datos žymės NTFS, FAT, EXT3 failų sistemose? 10. Kaip reikia atstatyti ištrintus failus NTFS, FAT, EXT3 failų sistemose? 11. Kaip sužinoti, kokie vartotojai buvo prisijungę prie „Linux“ operacinės sis- temos per paskutinę savaitę? 12. Kas yra „NetFlow“ ir kokią informaciją galima gauti atlikus jo analizę?
81 Praktiniai darbai
Dėstytojas praktinei užduočiai pateikia kietąjį diską iš tariamai nusikalstamą veiklą įvykdžiusio asmens kompiuterio bei apibūdina įvykdytą nusikalstamą veiklą. Darbo tikslas – surasti nusikaltimų įkalčių kietajame diske. Pasirinkite tinkamus atvi- rojo kodo programinius įrankius ir atlikite tokius veiksmus: 1. Padarykite kietojo disko atvaizdą. Tolimesnį tyrimą atlikite naudodami at- vaizdo kopiją. 2. Atstatykite ištrintus failus ir katalogus. 3. Nustatykite, ar nebuvo naudojama nelegali programinė įranga. 4. Nustatykite vartotojo veiksmų istoriją per paskutinę savaitę. 5. Atlikite nusikalstamą veiklą įrodančių el. laiškų paiešką. 6. Tyrimo rezultatus dokumentuokite, pateikite tyrimo išvadas.
82 9.
SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS
Failai ar kiti duomenų objektai, potencialiai turintys svarbios informacijos NEE tyrimui, gali būti sunaikinti atsitiktinai (netyčinis klavišų paspaudimas, netinkamas programinės ar aparatinės įrangos funkcionavimas), tyčia (naikinant nusikaltimo pėd- sakus), kaip standartinio operacinės sistemos ar programinės įrangos veikimo pasekmė (trinant laikinus failus) arba kaip nusikaltimo pasekmė (kai nusikaltimo tikslas buvo duomenų sunaikinimas, KPK veikimo pasekmė ir t. t.). Gali skirtis ir duomenų prara- dimo lygis (nuo kelių įrašų faile iki ištiso skaidinio kietajame diske), ir tokių duomenų atstatymo sudėtingumas. Sunaikintų įkalčių atstatymas gali turėti lemiamos įtakos NEE tyrimo sėkmei, kadangi juose galima tikėtis rasti duomenų, kurie buvo pašalinti iš failų, matomų įpras- tinėmis OS priemonėmis, arba niekad neegzistavusių tokiu pavidalu. Iš esmės sunai- kintų įkalčių atstatymas nesiskiria nuo įprasto duomenų atstatymo, kai sunaikinti duo- menys atstatomi dėl kitų priežasčių (neatsargūs vartotojų veiksmai), o pats procesas susiveda į specializuotų įrankių taikymą. Šiame skyriuje trumpai aprašomi duomenų naikinimo būdai, siekiant suteikti žinių apie jų veikimo bei duomenų atstatymo mecha- nizmus. Taip pat pateikiami įvairių duomenų atstatymo įrankių sąrašai.
9.1. Saugomų duomenų naikinimo būdai
Kiekviena operacinė sistema pateikia priemonių seniems, nereikalingiems arba laikiniems failams šalinti iš laikmenų ir toms laikmenoms paruošti darbui (formatavi- mo, loginių disko skaidinių formavimo). Taip operacinė sistema apsaugoma nuo diski- nės talpos perpildymo neaktualiais failais, o vartotojas gali tvarkyti savo sukurtas bylas. Kalbant apie duomenų šalinimą iš laikmenos, dažnai galvojama, kad po duo- menų trynimo jie ir dingsta, tačiau dažniausiai taip nėra: trinami tik tam tikri meta- duomenys, aprašantys pačių duomenų buvimo vietą laikmenoje, o patys duomenys fiziškai lieka nepažeisti, kol nėra perrašyti. Taip pat dauguma operacinių sistemų turi mechanizmus netyčia ištrintiems duomenims atstatyti. Žemiau pateikiama pagrindinių duomenų naikinimo būdų analizė.
Failų trynimas komandinės eilutės ir operacinės sistemos grafinėmis priemonėmis
Failų trynimas komandinės eilutės priemonėmis „Windows“ šeimos operacinėse sistemose (9.1 pav.) yra realizuojamas dviem komandomis: del ir erase, užtikrinan- čiomis vienodą funkcionalumą. Šioje operacinėje sistemoje jos gali būti traktuojamos
83 kaip savotiškas DOS operacinės šeimos reliktas, kurioje tai buvo pagrindinis failų try- nimo būdas, taip pat kaip galimybė automatizuoti administracinius veiksmus *.BAT tipo skriptų priemonėmis. Komandos nesuteikia administratoriui galimybių daugiau nei grafinė vartotojo aplinka.
9.1 pav. Failų trynimas9.1 naudojant pav. Fail komandinęų trynimas eilutę naudojant komandinę eilutę
9.1 pav. Failų trynimas naudojant komandinę eilutę „Unix“„Unix“ tipo operacintipo operacinėseėse sistemose sistemose naudojamos naudojamos komandos komandos rm ir del rm suteikia ir del OS suteikia naudotojui platesnOSį pasirinkim naudotojuių spektrplatesnįą nei pasirinkimų šitų OS grafin spektrąės aplinkos. nei šitų Ir vienu,OS grafinės ir kitu atveju aplinkos. reikia Ir tur vienu,ėti omenyje, ir kad kitu komandin „Unix“ atveju ė tipos reikia eilut operacinė sturėti priemonė seomenyje, sistemoseėmis trinamikad naudojamos komandinės failai komandosdažniausiai eilutės rm priemonėmis neperimami ir del suteikia trinami automatizuot OS naudotojuifailaių OS platesnpriemonidažniausiaiį pasirinkimų, skirtų apsaugaineperimamių spektr ąnuo nei nety automatizuotųšitųč OSinio grafin ištrynimo,ė sOS aplinkos. tokipriemonių,ų kaip Ir vienu, Recycle skirtų ir kitu Bin apsaugai atveju. reikia nuo turnetyčinioėti omenyje, Failų trynimas operacinės sistemos grafinėmis priemonėmis dažniausiai pasireiškia panaudojant kad ištrynimo, komandinė stokių eilut kaipės priemon Recycleėmis Bin . trinami failai dažniausiai neperimami automatizuotų OS priemonitam tikroų tipo, skirt kontekstinų apsaugaiį meniu nuo nety (9.2č iniopav.). ištrynimo, tokių kaip Recycle Bin. Fail ųFailų trynimas trynimas operacin operacinėsės sistemos sistemos grafinėmis grafinėmis priemonėmis priemonėmis dažniausiai pasireiškia dažniausiai panaudojant pasi- tam tikroreiškia tipo panaudojant kontekstinį meniu tam tikro (9.2 pav.).tipo kontekstinį meniu (9.2 pav.).
9.2 pav. Kontekstinis failų trynimo meniu „Windows“ šeimos operacinėje sistemoje
9.2 pav. Kontekstinis failų trynimo meniu „Windows“ šeimos operacinėje sistemoje 9.2Trinant pav. Kontekstinis failus per failų kontekstin trynimoį meniu meniu, „Windows“ ištrintas šeimos failas operacinėje patenka „Windows“ sistemoje OS į šiukšliadėžę (angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadinimai gali skirtis Trinant failus per kontekstinį meniu, ištrintas84 failas patenka „Windows“ OS į šiukšliadėžę (angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadinimai gali skirtis
78
78 Trinant failus per kontekstinį meniu, ištrintas failas patenka „Windows“ OS į šiukšliadėžę (angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadi- nimai gali skirtis priklausomai nuo naudojamos grafinės aplinkos), iš kurios, vartotojui priklausomai nuo naudojamos grafinės aplinkos), iš kurios, vartotojui panorus, gali būti atstatyti (9.3 pav.).panorus, gali būti atstatyti (9.3 pav.).
9.3 pav. Ištrintų failų atstatymas9.3 Pav. iš Ištrint šiukšliadėžėsų failų atstatymas iš šiukšliadėžės
Į operacinĮ operacinėsės sistemos sistemos šiukšliad šiukšliadėžęėžę taip pat taip patenka pat patenka failai, failai, kurie yrakurie pažymimi yra pažymimi ir ištrinami spaudžiantir ištrinami Del klaviš spaudžiantą klaviat Delūroje. klavišą O failai, klaviatūroje. ištrinti naudojant O failai, ištrintiShiftir naudojantDel klaviš ųShift kombinacijir Del ą, į šiukšliadklavišųėžę nepatenka. kombinaciją, Taip į pat šiukšliadėžę į ją nepatenka nepatenka. failai, esantys Taip trynimopat į ją metunepatenka išorinė sefailai, laikmenose esantys (USB raktuose,trynimo diskeliuose metu išorinėse ir t. t.). laikmenose (USB raktuose, diskeliuose ir t. t.). Nepriklausomai nuo čia aprašyto failo trynimo būdo, diske informacija yra modifikuojama tik failų sistemosNepriklausomai lentelėje (FAT, nuoMFT, čia EXT, aprašyto „ReiserFS“ failo trynimoir kt.), kur būdo, pažymima, diske informacijakad atitinkama yra vieta mo- diske yra neužimta,difikuojama o failo tik duomenys failų sistemos lieka fiziškai lentelėje toje (FAT,pačioje MFT,vietoje, EXT, kur ir„ReiserFS“ buvo, kol nirėra kt.), perrašomi kur pa- kitais duomenimis,žymima, t. kady. atsiranda atitinkama galimyb vietaė, diskenaudojant yra specializuotusneužimta, o failo įrankius, duomenys tuos duomenis lieka fiziškai atstatyti. toje pačioje vietoje, kur ir buvo, kol nėra perrašomi kitais duomenimis, t. y. atsiranda gali- mybė, naudojant specializuotus įrankius, tuos duomenis atstatyti. Failų perkėlimas
Failų perkėlimo proceso (angl. moveFailų) pperkėlimasėdsakų analizė gali irgi duoti naudos NEE tyrimo procesui. Kai failas yra perkeliamas vieno disko skaidinio ribose, failas fiziškai lieka toje pačioje vietoje, o, kaipFailų ir trynimo perkėlimo atveju, proceso modifikuojami (angl. move įrašai) pėdsakų failų lentel analizėėje. Ta galičiau, irgi jei failas duoti perkeliamas naudos į kitą diskNEEą artyrimo kitą diskoprocesui. skaidin Kaiį, procesasfailas yra šiek perkeliamas tiek pailgė ja.vieno Pirmiausia, disko skaidinio failas yra ribose, nukopijuojamas failas į naująfiziškai vietą, o lieka paskui toje atliekamas pačioje vietoje, failo trynimas, o, kaip kurioir trynimo metu, atveju, vėlgi, fiziškaimodifikuojami failas nė raįrašai pašalinamas. failų Tokiulentelėje. būdu tyr ėTačiau,jas potencialiai jei failas gali perkeliamas gauti priė jimį kitąą prie diską failo ar duomenkitą diskoų dvejose skaidinį, vietose, procesas susipažinti šiek su senesne versija, jei failas naujoje vietoje buvo modifikuotas. tiek pailgėja. Pirmiausia, failas yra nukopijuojamas į naują vietą, o paskui atliekamas
failo trynimas, kurio metu, vėlgi, fiziškai failas nėra pašalinamas. Tokiu būdu tyrėjas Diskopotencialiai valymas gali gauti priėjimą prie failo duomenų dvejose vietose, susipažinti su se- nesne versija, jei failas naujoje vietoje buvo modifikuotas. Operacinės sistemos ir programų funkcionavimo metu susidaro nemažai tarnybinės informacijos, kuri gali būti neįdomi vartotojui, tačiau naudinga NEE tyrėjui. Tai įvairūs laikinieji Comment [P35]: Gal yra diegimo failai, iš įvairių tinklalapių atsisiųstos programos (applet’ai) ir skriptai, laikinieji internetinių lietuviškas atitikmuo? Comment [n36]: Galime visai naršyklių failai, naršymui be interneto išsaugoti puslapiai, failų indeksavimo failai ir kiti. Dalis tokio ištrinti žodį applet’ai, jo pramė paaiškinama ankstesniais žodžiais.. 85 79 Disko valymas
Operacinės sistemos ir programų funkcionavimo metu susidaro nemažai tarny- binės informacijos, kuri gali būti neįdomi vartotojui, tačiau naudinga NEE tyrėjui. Tai įvairūs laikinieji diegimo failai, iš įvairių tinklalapių atsisiųstos programos (applet’ai) ir skriptai, laikinieji internetinių naršyklių failai, naršymui be interneto išsaugoti pus- lapiai, failų indeksavimo failai ir kiti. Dalis tokio tipo failų yra pašalinama automatiš- kai, užsilikusiems ir nepašalintiems operacinėje sistemoje gali būti numatytas atskiras pusiau automatinis procesas („Windows“ OS jis vadinamas Disk Cleanup). Juo galima tipo failųnustatyti, yra pašalinama kokie automatiškai,failai ir kokiu užsilikusiems reguliarumu ir turėtų nepašalintiems būti šalinami. operacin Jo ėtaikymoje sistemoje metu gali failų bū ti numatytasšalinimas atskiras iš pusiau laikmenų automatinis nesiskiria procesas nuo paprasto („Windows“ trynimo, OS todėl jis vadinamas galima tuos Disk failus Cleanup atstatyti.). Juo galima nustatyti, kokie failai ir kokiu reguliarumu turėtų būti šalinami. Jo taikymo metu failų šalinimas iš laikmenų nesiskiria nuo paprasto trynimo, todėl galima tuos failus atstatyti. Neatstatomas failų trynimas
Neatstatomas failų trynimas (angl. wipe) skirtas būtent tam atvejui, kai kompiu- Neatstatomas failų trynimas terio vartotojas nori būti tikras, kad ištrinti failai nebus atstatyti. Metodas paremtas tuo, Neatstatomaskad atliekant fail trynimąų trynimas ne tik(angl. pašalinamas wipe) skirtas įrašas būtent failų tam lentelėje, atvejui, kaibet kompiuterioir į fizinę duomenųvartotojas nori būti įrašymotikras, kad vietą ištrinti įrašomi failai atsitiktiniai nebus atstatyti. duomenys. Metodas Tiesa, paremtas naudojant tuo, kad ypatingai atliekant jautrią trynim irą bran ne tik- pašalinamasgią aparatūrą,įrašas failų galimalentelėje, nustatyti bet ir į fizinlikutinįę duomen įmagnetinimą,ų įrašymo išviet kurioą įrašomi atstatyti atsitiktiniai prieš tai duomenys. įrašytus Tiesa, naudojantduomenis. ypatingai Todėl jautrirekomenduojamaą ir brangią aparat duomenųūrą, galima trynimo nustatyti ir rašymo likutin įprocesą įmagnetinim kartotią, iš kelis kurio atstatyti prieš tai įrašytus duomenis. Todėl rekomenduojama duomenų trynimo ir rašymo procesą kartus, kad neliktų jokių likutinio įmagnetinimo žymių. Rekomenduojamas rašymų ir kartoti kelis kartus, kad neliktų jokių likutinio įmagnetinimo žymių. Rekomenduojamas rašymų ir trynimų skaitrynimųčius – skaičius ne mažiau – nekaip mažiau 7 kartai kaip (9.4 7 pav.). kartai (9.4 pav.).
9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja 9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja
„Linux“ sistemose tokios funkcijos atliekamos naudojant shred komandą. „Linux“„Windows“ sistemose sistemose tokios dominuoja funkcijos trečiųjų atliekamos šalių naudojant sukurti įrankiai,shred tačiaukomand suą. „Windows „Windows“ sistemoseXP“ dominuoja versija treyrač iatsiradęsųjų šalių sukurtiper komandinę įrankiai, taeilutęčiau suprieinamas „Windows įrankis XP“ versija cipher yra, naudojamas atsiradęs per komandinsuę eilut ęraktu, prieinamas užtikrinančiu, įrankis cipher kad, būtųnaudojamas saugiai su išvalytos /W raktu, disko užtikrinan vietos,čiu, pažymėtos kad būtų saugiai kaip išvalytos disko/W vietos, pažymėtos kaip tuščios, tačiau neleidžia trinti konkrečių failų ar katalogų. tuščios, tačiau neleidžia trinti konkrečių failų ar katalogų. Jei neatstatomas failų trynimas yra taikomas tinkamai, tokiu būdu sunaikintų duomenų ar įkalčių atstatyti faktiškai neįmanoma ir tenka jų ieškoti alternatyviose saugojimo vietose (atsarginėse kopijose, išorinėse laikmenose) arba taikyti tyrimų metodus, nepagrįstus elektroninių įkalčių analize. 86
Disko skaidinių trynimas, modifikavimas ir formatavimas
Disko skaidinių trynimas ar modifikavimas taip pat gali pažeisti saugomus duomenis arba apsunkinti prieigą prie jų. Realiai, kaip ir taikant įprastus failų trynimo metodus, duomenys iš disko nėra prarandami, net jei apie tai vartotojui pateikiami įspėjamieji pranešimai, o modifikuojami įkrovos
80 Jei neatstatomas failų trynimas yra taikomas tinkamai, tokiu būdu sunaikintų duomenų ar įkalčių atstatyti faktiškai neįmanoma ir tenka jų ieškoti alternatyviose sau- gojimo vietose (atsarginėse kopijose, išorinėse laikmenose) arba taikyti tyrimų meto- dus, nepagrįstus elektroninių įkalčių analize.
Disko skaidinių trynimas, modifikavimas ir formatavimas
Disko skaidinių trynimas ar modifikavimas taip pat gali pažeisti saugomus duo- menis arba apsunkinti prieigą prie jų. Realiai, kaip ir taikant įprastus failų trynimo metodus, duomenys iš disko nėra prarandami, net jei apie tai vartotojui pateikiami įspėjamieji pranešimai, o modifikuojami įkrovos sektoriai, perrašomos failų lentelės. Taip pat nepažeidžiamas fizinio duomenų saugojimas ir formatavimas, atliekamas operacinės sistemos priemonėmis. Vienintelis programinis disko modifikavimo būdas, vienareikšmiškai sunaikinantis visus jame esančius duomenis, yra žemo lygio forma- tavimas (angl. low level format), kuris šiuo metu dažnai kompiuterių vartotojams net nėra prieinamas.
9.2. Sunaikintų ir sugadintų duomenų atstatymas
NEE tyrimo metu sunaikintų įkalčių atstatymas yra gan dažnas uždavinys. Tyrė- jas, be abejo, gali pasinaudoti operacinių sistemų suteikiamų įrankių duomenų atstaty- mo galimybėmis, pvz., jau minėta šiukšliadėže arba bandyti ją atstatyti, jei ji sugadinta. Tačiau operacinių sistemų suteikiamos galimybės yra gan ribotos ir tinka ne- bent tuo atveju, jei nagrinėjama nepatyrusio arba žioplo nusikaltėlio sistema. Priešingu atveju gali padėti specializuoti duomenų atstatymo įrankiai. Atsižvelgiant į platų tokių įrankių spektrą, greitai besikeičiantį jų dizainą ir funkcionalumą bei ribotą vadovėlio apimtį, autoriai nesiekia pateikti detalaus aprašymo, kaip naudotis kiekvienu iš jų. Tai rekomenduojama atlikti savarankiškai arba per pratybas. Žemiau pateiktoje 9.1 lente- lėje įvardijamos pagrindinės duomenų atstatymo įrankių kategorijos ir į jas patenkanti programinė įranga.
87 9.1 lentelė. Sunaikintų duomenų atstatymo įrankiai Įrankių kategorija ir jos apibūdinimas Įrankiai Ištrintų failų atstatymo įrankiai – naudojami, kai • „Undelete“ trinant failą buvo pašalinta tik informacija apie jį • „Active@ Data Recovery Software“ failų lentelėje, o failo duomenys nebuvo perrašyti. • „R-Undelete“ Gali skirtis palaikomų laikmenų ir failinių sistemų • „Easy-Undelete“ atžvilgiu. • „WinUndelete“ • „Restoration“ • „Mycroft V3“ • „Recover My Files“ • „eData Unerase“ • „Recover4all Professional“ • „File Scavenger“ • „VirtualLab“ • „File Recover“ • „Badcopy Pro“ • „Zero Assumption Recovery“ • „SUPERFileRecover“ • „DiskInternals Uneraser and NTFS Recovery“ • „PC Inspector File Inspector“ • „Search and Recover“ • „O&O Unerase“ • „Filesaver“ • „Stellar Phoenix“ • „Restorer 2000“ • „R-Linux“ • „PC ParaChute“ Duomenų atstatymas iš CD / DVD diskų – taikomas, • „CDRoller“ jei atstatomi ištrinti duomenys iš daugkartinių diskų • „IsoBuster“ arba diskai turi įbrėžimų ar kitų pažeidimų. • „CD Data Rescue“ • „InDisk Recovery“ „MS Office“ dokumentų atstatymo įrankiai taikomi, • „OfficeFIX“ kai „MS Office“ priemonėmis sukurti failai yra • „Repair My Excel“ pažeisti. • „Repair My Word“ Suspaustų failų atstatymo įrankiai – dėl duomenų • „Zip Repair“ suspaudimo archyvų failai yra ypač jautrūs • „RAR Repair“ sugadinimui. Gali skirtis palaikomų suspaudimo • „WinZIP fix“ algoritmų skaičiumi. • „Zip2Fix“ Paveikslėlių atstatymas – atstato pažeistus • „eIMAGE Recovery“ paveikslėlius. • „Canon RAW File Recovery Software“ • „ImageRecall“ • „RecoverPlus Pro“ • „Nero Assumption Digital Image Recovery“ • „DiskInternals Flash Recovery“ • „PC Inspector Smart Recovery“ Ištrintų disko skaidinių atstatymas – naudojamas, kai • „Active@ Partition Recovery“ keliamas tikslas – atstatyti visą sugadintą ar ištrintą • „Active@ Disk Image“ disko skaidinį, o ne atskirus failus laikmenoje. • „DiskInternals Partition Recovery“ • „GetDataBack“ • „NTFS Deleted Partition Recovery“ • „Handy Recovery“ • „Acronis Recovery Expert“ • „TestDisk“ • „Scaven“ • „Recover It All!“ • „Partition Table Doctor“
88 Paskutiniu metu populiarėja įvairūs nemokamos programinės įrangos pagrindu surinkti paketai, paruošti kaip diegimo nereikalaujanti operacinė sistema, paleidžiama iš optinio disko arba USB rakto. Pelnytą populiarumą užsitarnavo „Hirens Boot CD“ ir „BackTrack“ įrankiai, naudojami dažno sistemų administratoriaus, informacijos sau- gos specialisto ar NEE tyrėjo. Juose taip pat galima rasti paruoštų darbui ir duomenų atstatymo įrankių, kurių sąrašas nuolat atnaujinamas. Reikėtų pabrėžti, kad pateiktas programinės įrangos sąrašas nėra pilnas. Konkre- taus įrankio pasirinkimas priklauso nuo NEE tyrėjo sprendžiamų uždavinių, naudojimo patirties, turimo biudžeto ir asmeninių pomėgių. Taip pat, atsižvelgiant į patikimumo reikalavimą įkalčiams, tyrimo metu dažniausiai negalima apsiriboti vienu įrankiu – ten- ka taikyti jų kombinacijas bei lyginti gautus rezultatus.
9.3. Kontroliniai klausimai ir praktiniai darbai
Kontroliniai klausimai
1. Kodėl yra įmanoma atstatyti ištrintą failą, net jei jis pašalintas iš šiukšliadė- žės, jei jam ištrinti buvo naudojami standartiniai trynimo metodai? 2. Koks yra neatstatomo disko trynimo principas? 3. Kuo gali būti naudinga NEE tyrimo metu perkeltų failų analizė?
Praktiniai darbai
1. Išbandykite skirtingus nereikšmingo failo trynimo testiniame kompiuteryje būdus: a) komandinę eilutę; b) trynimą operacinės sistemos grafinėmis priemonėmis; c) saugų (wipe) trynimą. Pabandykite po kiekvieno būdo pritaikymo atstatyti ištrintą failą pa- sirinktu arba dėstytojo nurodytu įrankiu. Pakomentuokite gautus rezultatus ir paaiškinkite naudotų įrankių veikimo principus. 2. Susiskirstykite į grupes po 2–3 žmones. a) Įdiekite savo kompiuteryje po dvi–tris programas iš įrankių kategorijos (9.1 lentelė), kurią nurodys pratybas vedantis dėstytojas. b) Išbandykite programos funkcionalumą, pritaikant jį pagal dėstytojo nu- rodymus mokomiesiems duomenų rinkiniams. c) Ar abiejų programų gauti rezultatai sutampa? d) Viešai aptarkite gautus rezultatus.
89 10.
ĮKALČIŲ RINKIMAS VIEŠOJOJE ERDVĖJE
Kompiuterio vartotojo, taip pat ir nusikaltėlio veiksmai, retai apsiriboja vien tik jo asmeninio kompiuterio ribomis. Kompiuterių tinklams ir internetui skverbiantis į kasdienį gyvenimą, vis plačiau yra išnaudojami nutolusių sistemų (paslaugų serve- rių, interneto svetainių ir t. t.) resursai. Vykdant tyrimą nutolusiose sistemose palikti pėdsakai gali turėti lemiamos įtakos tyrimo sėkmei, tačiau dažnai yra už tyrėjo ana- lizės galimybių ribų (nėra galimybės išimti sistemos analizei; sistema yra kitos šalies jurisdikcijoje, o teisinės pagalbos sutartis nėra pasirašyta). Įtariamojo palikti įkalčiai gali būti matomi ir viešai (pvz., įrašai palikti socialinių tinklų svetainėse), ir matomi tik riboto skaičiaus specialistų bei pateikiami tyrimui pagal užklausą (pvz., interneto paslaugų tiekėjų sistemose esantys įvykių registracijos įrašai). Jei įtariamasis ėmėsi pa- kankamų priemonių apsaugai nuo potencialaus tyrimo savo kompiuteryje (pvz., visiško šifravimo, įkalčių sunaikinimo saugiais metodais), tai tik viešojoje erdvėje likę įkalčiai gali būti panaudoti kaltei įrodyti. Šiame skyriuje viešoji erdvė suprantama plačiąja prasme, kaip bet kokios kom- piuterių sistemos ar duomenys, tiesiogiai nesantys įvykio vietoje ir kurių nėra gali- mybės išimti formaliam tyrimui. Patogumo dėlei įkalčių rinkimas viešoje erdvėje yra išskaidytas į dvi kategorijas: paiešką interneto svetainėse ir paiešką kitose įtariamajam neprieinamose sistemose. Be abejo, dėl ne visai formalių tokio tipo įkalčių gavimo būdų atsiranda daugybė niuansų, susijusių su įkalčių pripažinimu teismo proceso metu, o pagrindiniu uždaviniu juos renkant tampa visų įkalčių rinkimo žingsnių dokumenta- cija ir susiejimas su laiko žymėmis. Pavyzdžiui, jei daroma interneto tinklapio, kuriame yra įtariamąjį demaskuojantys komentarai, kopija ir (arba) nuotrauka, tai būtinai turi būti nurodoma, kokiu laiku buvo fiksuojama svetainės būsena, kadangi interneto sve- tainės pasižymi dinamika ir po kurio laiko ji gali atrodyti visai kitaip.
10.1. Įkalčių paieška interneto svetainėse
Internetas ir kompiuterių mainai jau yra tapę viena iš populiariausių bendravimo ir informacijos mainų priemone. Žmonės rašo elektroninius laiškus, kalba ir susiraši- nėja tiesioginio bendravimo programose (angl. Instant Messaging), ieško informacijos internete, skelbia informaciją apie save ir buriasi į interesų grupes socialiniuose tin- kluose. Tačiau šiuolaikinių ryšių infrastruktūros privalumus suprato ir nusikaltėliai – jie taip pat formuoja uždaras grupes, kuriose vyksta duomenų mainai (pvz., draudžiamo turinio informacijos platinimas), koordinuojami veiksmai (pvz., teroristinių išpuolių planavimai). Daugeliui interneto vartotojų susidaro klaidingas anonimiškumo jausmas, todėl jie ima rašyti nekorektiškus komentarus, tyčiotis arba priekabiauti prie kitų žmo- nių, skleisti ekstremistines idėjas.
90 Kita vertus, internete esančios informacijos analizė leidžia tyrėjui surinkti per trumpą laiką labai daug naudingos informacijos, tokios kaip įtariamojo nuotrauka, draugų ratas, kontaktai, paskutinių apsilankymų tinkle datos, pažiūros ir pasakymai, pomėgiai ir interesai. Didelė dalis nusikaltėlių, neturinčių specifinių kompiuterijos ži- nių , net nesusimąsto, kiek daug naudingos informacijos jie patys pateikia tyrėjams. 10.1 lentelėje pateikiami skirtingi viešai prieinami resursai, kuriuose galima ras- ti vienokių ar kitokių tyrimui naudingų duomenų.
10.1 lentelė. Interneto svetainėse randami įkalčiai Svetainės / resurso tipas Duomenų objektas / įkaltis Įkalčio panaudojimas tyrimo procese Naujienų svetainės Komentarai, skaitytos publikacijos Įtariamojo interesų sritims išsiaiškinti, pažiūroms patvirtinti. Forumai Komentarai, pasakymai, pradėtos ir Įtariamojo interesų sritims išsiaiškinti, stebimos temos pažiūroms patvirtinti, bendravimo ratams nustatyti (dažnai forumų dalyviai būna pažįstami asmeniškai). Socialiniai tinklai Vartotojo vardas Nustatytas vartotojo vardas, pats savaime neturintis tiesioginės informacijos apie vartotoją (pvz., „jgjj451“, o ne „V. Pavardenis“), gali būti pritaikytas vartotojui identifikuoti kitose sistemose. Socialiniai tinklai Darbo patirtis / CV Darbo ir profesinei patirčiai nustatyti, atsiliepimams ir charakteristikoms, atleidimo priežastims išsiaiškinti iš buvusių darbdavių (pvz., „LinkedIn“). Socialiniai tinklai Grupės / draugai Ryšiams ir interesams, grupės hierarchijai nustatyti. Socialiniai tinklai Pasakymai Įtariamojo interesų sritims išsiaiškinti, pažiūroms patvirtinti. Socialiniai tinklai Fotografuota ir vaizdo medžiaga Asmenų, su kuriais bendraujama, tačiau kurie patys nesinaudoja socialiniais tinklais, asmenybėms nustatyti. Asmeninis, oficialus Pasakymai, asmeniniai duomenys, Įtariamojo interesų sritims išsiaiškinti, puslapis, tinklaraščio tipo nuotraukos, gyvenimo aprašymai, pažiūroms patvirtinti gyvenamajai arba arba kitaip kontroliuojami kontaktai buvimo vietai nustatyti. puslapiai Interneto archyvas Senos svetainių versijos Jei sena informacija, kompromituojanti įtariamąjį, buvo pašalinta iš jo kontroliuojamos svetainės, ji gali būti atstatyta iš interneto archyvo sistemų, tokių kaip http://www.archive.org/. Paieškos sistemų podėlio Senos svetainių versijos Kitas būdas rasti pašalintas svetaines arba (angl. cache) informacija jų senas versijas. Pornografinio, ekstremistinio Lankymosi arba medžiagos Draudžiamos medžiagos naudojimo, ar kitokio draudžiamo peržiūros /paskelbimo pėdsakai; platinimo įrodymui, pažiūroms patvirtinti. turinio platinimo saitai komentarai DNS įrašai Įtariamojo kontroliuojami adresai, Žmogaus kontroliuojamų svetainių svetainės; kontaktinė informacija, nuosavybei patvirtinti. svetainių paskelbimo informacija Warez ir torrent svetainės Duomenų siuntimo ir platinimo Autorinėmis teisėmis apsaugotos istorija informacijos neteisėtam platinimui arba naudojimui patvirtinti.
91 Kaip matyti lentelėje, daugiausia informacijos tyrėjui gali suteikti socialiniuose tinkluose esanti informacija. Taip pat reikia pabrėžti, kad galimi įkalčių panaudojimai tyrimo procese neapsiriboja įvardytais lentelėje. Kiekvienu konkrečiu atveju surinkta informacija gali būti panaudota priklausomai nuo tyrėjo kvalifikacijos ir sprendžiamo uždavinio. Kita viešojoje erdvėje skleidžiamos asmeninės informacijos pusė yra ta, kad ja neteisėtai arba ne visai korektiškai gali pasinaudoti nusikaltėliai arba tretieji asmenys. Taip pat ir dalis darbdavių pripažįsta, jog tikrina kandidatų į darbą asmenines svetaines ir puslapius socialiniuose tinkluose, o nusikaltėliai gali panaudoti viešai prieinamus duomenis žmogaus identiteto vagystei (pvz., sužinoti asmens duomenis ir jo vardu pa- imti kreditą) arba įsilaužimui į asmens valdomas sistemas (pvz., dalis sistemų, tokių kaip el. pašto, gali priminti slaptažodį, jei teisingai atsakoma į slaptą klausimą, daž- niausiai paremtą asmenine informacija, kuri, savo ruožtu, matoma nusikaltėliui aukos svetainėje). Tokiu atveju pati socialinio tinklo sistema gali tapti tyrimo objektu, siekiant išsiaiškinti, kada ir kas galėjo įvykdyti asmeninių duomenų peržiūrą / vagystę.
10.2. Įkalčių paieška kitose įtariamajam neprieinamose sistemose
Kitoms viešoms įtariamajam neprieinamoms sistemoms šio vadovėlio autoriai priskiria ryšio veikimą užtikrinančias sistemas, tokias kaip interneto paslaugų tiekėjų (angl. Internet Service Provider arba ISP) maršrutizatorius, DNS serverius, ugniasienes ir t. t. Įtariamasis, tikėdamasis nusikaltimo tyrimo, gali pašalinti nusikaltimo pėdsakus savo kompiuteryje arba net pažeistoje aukos sistemoje (-ose). Tačiau jo įtaka ryšio pas- laugų tiekėjų įrangai dažnai būna ribota. Daugelyje valstybių (taip pat ir Europos Są- jungoje) ISP yra įpareigoti saugoti informaciją apie vartotojų inicijuotus susijungimus. Todėl ISP pateikus tyrėjui tokio tipo informaciją, gali būti patvirtinta, jog įtariamasis kreipėsi į tam tikrą resursą. Jei ISP naudoja tarpinę tarnybinę stotį (angl. proxy ser- ver), galima tikėtis, kad bus nustatytas ir tikslus siųstos informacijos turinys. Kai kurių paslaugų atveju (pvz., IRC, kitos tiesioginio bendravimo programos), paslaugų tiekėjo serveriuose gali išlikti tokių pokalbių turinys ir jų dalyvių sąrašas. Taip pat nėra paslap- tis, kad paieškos sistemos kaupia ir analizuoja vartotojų užklausas, jas sieja su kreipi- mosi adresais, kitų savo teikiamų paslaugų (pvz., el. pašto) duomenimis. Portatyviniai įrenginiai, tokie kaip išmanieji telefonai, turintys pozicionavimo (GPS) funkciją, gali perduoti informaciją apie asmens buvimo vietą telefono gamintojui. Mobiliųjų tinklų operatoriai taip pat gali gan tiksliai nustatyti abonento buvimo vietą, naudodami GSM pozicionavimo sistemas. Tačiau visais šiais atvejais NEE tyrėjui, norint gauti įkalčius, būtinas bendradar- biavimas su trečiųjų šalių pusėmis. Šį bendradarbiavimą gali apsunkinti tokie veiksniai: ▬▬ trečioji šalis yra nepavaldi NEE tyrėjo šalies teisinei sistemai, t. y. tyrėjas neturi jokių teisinių galių priversti pateikti tyrimui reikiamus duomenis; ▬▬ duomenys yra priešiškos arba silpnai kontroliuojamos valstybės teritorijoje;
92 ▬▬ lėtas trečiosios šalies reagavimas arba įkalčių teikimo vilkinimas, galintis sąly- goti jų praradimą anksčiau, nei įkalčiai yra pateikti; ▬▬ tyrimo vilkinimas iš trečiosios šalies pusės, siekiant apsaugoti savo klientų pri- vatumą; ▬▬ techninės problemos, susijusios su didžiuliais trečiosios šalies apdorojamais duomenų kiekiais; ▬▬ įkalčių praradimas arba netinkamas apdorojimas; ▬▬ problemos įrodant, kad sujungimai ar kiti veiksmai tinkle buvo inicijuoti įtaria- mojo, o ne, pavyzdžiui, jo kompiuteryje įdiegtu kenksmingu programiniu kodu. Tikėtina, kad griežtinant įstatymus ir gilinant tarptautinį NEE tyrimo srities ben- dradarbiavimą, ateityje daugelį šitų problemų bus galima išspręsti.
10.3. Kontroliniai klausimai
1. Kokiu atveju pasiteisina įkalčių paieška viešojoje erdvėje? 2. Kokie įkalčiai gali būti rasti socialinių tinklų svetainėse ir kokių nusikaltimų įrodymui gali būti panaudoti? 3. Ar galite prisiminti atvejų, kad Lietuvoje būtų nuteista už neleistinos infor- macijos platinimą arba ekstremistinius išpuolius internete? 4. Pasinaudodami http://www.archive.org/ galimybėmis, atlikite pasirinktos interneto svetainės keitimo istorijos analizę. Ar pavyko surasti atvejų, kai duomenys buvo pašalinti? Pakartokite eksperimentą naudodamiesi „Goo- gle“ ar analogiškos paieškos sistemos podėlio informacijos (angl. cache) galimybėmis. Kokius privalumus ir trūkumus galite įvardyti abiem atvejais. 5. Viešai aptarkite, kokias grėsmes kelia asmeninių duomenų saugumui jų ne- kontroliuojamas platinimas internete. 6. Su kokiais iššūkiais gali susidurti NEE tyrėjas, jei tyrimui reikalingi įkalčiai yra saugomi trečiosios šalies?
93 11.
NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI
Kompiuterių sistemose NEE tyrėjas gali susidurti su pačiomis įvairiausiomis operacinėmis sistemomis, pradedant atgyvenančiomis DOS ir baigiant SCADA (angl. supervisory control and data acquisition). Naudojamų operacinių sistemų ypač padau- gėjo plačiai paplitus išmaniesiems telefonams ir kitiems mobiliems įrenginiams, kai rinkoje pasirodė naujų operacinių sistemų gamintojų, tokių kaip „Google“ („Android“ platforma), „Nokia“ („Symbian“ OS), „Samsung“ („Bada“ OS) ir kitų, produkcija. Pastebima mobilių OS perkėlimo tendencija į stacionariuosius kompiuterius. Tačiau pagrindinį vaidmenį rinkoje vis dar išlaiko „Microsoft“ korporacija su „Windows“ ope- racinių sistemų šeima, „Apple“ ir atvirojo kodo pagrindu kuriamos „Unix“ tipo ope- racinės sistemos (įvairios „Linux“ versijos). Lietuvoje labiausiai paplito „Microsoft“ ir atvirojo kodo produktai, o „Apple“ operacinės sistemos didesnę rinkos dalį užima JAV. Šiame skyriuje yra akcentuojami NEE tyrimo aspektai „Windows“ ir „Linux“ tipo operacinėse sistemose. Bendrieji tyrimo metodai ir žingsniai nepriklauso nuo konkrečios operacinės sis- temos, tačiau gali skirtis tam tikri techniniai įkalčių identifikavimo ir analizės niuansai, kuriuos lemia operacinės sistemos architektūriniai sprendimai.
11.1. NEE tyrimo „Windows“ OS ypatumai
„Microsoft Windows“ – grupė komercinių operacinių sistemų, skirtų asmeni- niams kompiuteriams. Operacinės sistemos duomenų mainai su vartotoju vyksta per grafines vartotojo sąsajas. Kartu su operacine sistema pateikiamos ir kai kurios progra- mos, pvz., „Windows Media Player“, „Internet Explorer“. OS pasižymi plačiu prieina- mų taikomųjų programų spektru, kuriuos tiekia ir pati „Microsoft“ korporacija, ir kiti programinės įrangos gamintojai. Tai, o taip pat patogios vartotojo sąsajos, leido šiai sistemai užimti didelę rinkos dalį. Žemiau esančioje 11.1 lentelėje pateikti specifiniai „Windows“ OS objektai ir galimi jų panaudojimai NEE tyrimui.
94 11.1 lentelė. „Windows“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu Duomenų objektas Tyrimui naudinga informacija 1 2 Failas boot.ini versijose Windows NT / Įdiegtų operacinių sistemų versijoms nustatyti ir joms surišti su 2000 / XP / 2k3 / Vista / 7 kietojo disko skaidiniais. Vidiniai NTFS failai (jei diegimui $MFT – įvairios funkcijos, tokios kaip saugomų objektų sąrašas. naudojama NTFS failinė sistema) $MFTMirr – naudojamas sistemos atstatymui po avarijos užtikrinti. $LogFile – naudojamas sistemos atstatymui po avarijos užtikrinti. $Volume – saugoma informacija apie formatuotą disko tūrį (angl. volume). $AttrDef – nurodo atributus, palaikomus formatuoto disko tūrio. $Bitmap – stebimas klasterių išnaudojimas disko tūryje. $Boot – nurodo į disko įkrovos sektorių. $BadClus – stebi blogų klasterių buvimo vietas diske. $Secure – saugo saugumo atributus. Registrai Prisijungimų prie sistemos nustatymai. Įvykių registracijos įrašų valdymo nustatymai. Sistemos konfigūraciniai nustatymai. NTUSER.DAT Vartotojo sukūrimo laikas. Paskutinio sistemos išjungimo laikas.
Katalogas Įvairių tipų įvykių registracijos įrašai. c:\windows\system32 \config
Failai: AppEvent.evt, SecEvent.evt, SysEvent. evt, Osession.evt, Internet.evt
Arba katalogas c:\windows\system32\ winevt\logs Nuorodų failai (*.lnk) Gali išlikti, net jei ištrinti failai, kuriuos jie nurodė. Gali būti kaip įrodymas, kad tam tikri failai sistemoje atsirado ne be vartotojo žinios, nes jis buvo sukūręs jų nuorodą. Thumbs.db, thumbcache_32.db, Faile saugomi paveiksliukų išankstinės peržiūros (angl. preview) thumbcache_96.db, thumbcache_256.db, atvaizdai. Failas sukuriamas, jei įjungiamas „Thumbnails“ thumbcache_1024.db režimas. Iš failo, jei jis išliko, galima sužinoti apie kataloge saugotų paveikslėlių turinį, net jei patys paveiksliukai buvo sunaikinti. c:\windows\ Spausdintuvo eilės failo informacija. system32\spool\printers
*.SHD *.SPL Recycler, Recycled, $Recycle.Bin Šiukšliadėžės informacija. Gali būti panaudota, jei pati šiukšliadėžė yra sugadinta ir neatsidaro standartinėmis priemonėmis. Pagefile.sys Naudojami atminties atvaizdo analizei, atmintyje vykdomai Hiberfil.sys dvejetainio kodo analizei, šifravimo slaptažodžių paieškai.
95 11.1 lentelės tęsinys 1 2 Atstatymo taškai ir „šešėlinės“ kopijos Sistemos būsenos nustatymas tam tikru laiku (priklauso nuo (angl. Rektore points ir Shadow copies) atstatymo taškų kūrimo dažnio).
SYSTEM\
C:\Documents and Settings\
C:\Documents and Settings\
Aprašytieji duomenų objektai gali priklausyti nuo konkrečios instaliacijos nu- statymų (pvz., būti kitame loginiame diske) ir keistis evoliucionuojant operacinėms sistemoms arba išeinant jų atnaujinimo paketams.
11.2. NEE tyrimo „Linux“ OS ypatumai
„Linux“ – tai atvirojo kodo operacinės sistemos branduolio (angl. kernel) pa- vadinimas. Dažnai taip sutrumpintai vadinama ir bendrai visa „Unix“ tipo operacinė sistema, naudojanti „Linux“ branduolį kartu su sisteminėmis programomis bei biblio- tekomis. „Linux“ OS šeimos populiarumą lėmė jų kaina (nemokama), platus įrankių ir programinių paketų pasirinkimas, stabilumas ir galimybė pritaikyti operacinę sistemą savo poreikiams. 11.2 lentelėje pateikti specifiniai „Linux“ OS objektai ir galimi jų panaudojimai NEE tyrimui.
96 11.2 lentelė. „Linux“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu Duomenų objektas Tyrimui naudinga informacija /boot Naudojamo OS branduolio versija, sukompiliuoti ir naudojami branduolio moduliai. /etc Šiame kataloge gali būti rasta didžioji dalis operacinės sistemos konfigūracinių nustatymų. Tyrimo metu reikėtų ieškoti nukrypimų nuo tipinių nustatymų. /etc/passwd Informacija apie sistemoje registruotus vartotojus, jų ID. /var/spool/cron Informacija apie sistemoje reguliariai atliekamus veiksmus. Gali būti /etc/crontab naudinga, jei tam tikro veiksmo reguliarumą sukonfigūravo nusikaltėlis. lastlog Vartotojų prisijungimo (laiko, iš kur jungtasi ir t. t.) informacija. /var/run/utmp /etc/syslog.conf Įvykių registracijos įrašų nustatymai, taip pat įvairūs įvykių registracijos /var/log įrašai. .bash_history Vartotojo vykdytos komandos. .history .sh_history .recently-used.xbel (Gnome) Įvairių programų paskutiniai atidaryti failai. .recently-used.xbel (GIMP) .wireshark/recent (Wireshark) … /var/spool/cups Spausdintuvo nustatymai ir jo eilės failo informacija. /etc/printcap known_hosts Nuotolinės mašinos, prie kurių buvo jungtasi iš analizuojamos mašinos per SSH protokolą. .mozilla/firefox Interneto naršyklės „Mozilla Firefox“ (šiuo metu populiariausia „Linux“ OS) naršymo istorija. Cookies.sqlite Downloads.sqlite Formhistory.sqlite Places.sqlite
sessionstore.js
_CACHE_MAP_;_CACHE_001_; _CACHE_002_; _CACHE_003_
mbox Susirašinėjimo el. paštu analizė. Maildir .mozilla/thunderbird Sukeitimų vieta (angl. swap space). Naudojama atminties atvaizdo analizei, atmintyje vykdomai dvejetainio kodo analizei, šifravimo slaptažodžių paieškai.
11.2 lentelėje pateikti duomenys gali neženkliai skirtis priklausomai nuo „Li- nux“ distribucijos, naudojamos versijos. Taip pat reikia atkreipti dėmesį, kad „Linux“ operacinėje sistemoje skirtingi vartotojai gali naudotis daugybe įrankių, kurie nėra ap- rašyti šioje lentelėje, tačiau gali suteikti naudingos informacijos tyrimui. Kaip matome iš pateiktų lentelių (11.1, 11.2), kiekviena operacinė sistema in- formacijos ir konfigūracinių nustatymų saugojimui naudoja savitą struktūrą ir architek- tūrą, todėl NEE tyrėjas, siekdamas tyrimo metu nepražiopsoti svarbių įkalčių arba jų netyčia nesunaikinti, turi gerai susipažinti su analizuojamos operacinės sistemos archi- tektūra ir veikimo principais.
97 11.3. Kontroliniai klausimai
1. Priklausomai nuo to, kokią operacinę sistemą naudojate, pasistenkite savo kompiuteryje surasti failus, nurodytus Jūsų operacinę sistemą atitinkančioje lentelėje, peržiūrėkite jų turinį. 2. Pasidalinę į grupes po 4–5 žmones, parenkite pristatymus apie kitų operaci- nių sistemų NEE tyrimo ypatumus. 3. Atlikite savarankišką analizę ir pasiūlykite, kokius tyrimo įrankius Jūs reko- menduotumėte „Windows“ ir „Linux“ operacinių sistemų analizei? Kodėl?
98 12.
ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS
Viena iš svarbiausių rekomendacijų, kuria būtina vadovautis renkant įkalčius, ne- priklausomai, ar tai būtų asmeninis kompiuteris, serveris ar tinklo sistema, yra duome- nų vientisumo (angl. integrity) išsaugojimas. Tai reiškia griežtų procedūrų, leidžiančių neužteršti tiriamų duomenų bei formuojančių teisinius reikalavimus vykdančią įkalčių grandinę, vykdymą. Reikia turėti omenyje, kad net neturint tikslo tyrimo pradžioje per- duoti bylą teismui, vientisumo išsaugojimas turi būti užtikrintas, atsižvelgiant į tokio scenarijaus perspektyvą ateityje. Net jei byla niekada nebus perduota teismui, patys įtariamieji, pasinaudodami spragomis tyrėjo veiksmuose, galės vėliau iškelti prieš jį bylą, tarkime, už privatumo pažeidimą ar duomenų sunaikinimą. Todėl tinkamai išsau- goti įkalčiai gali tapti ne tik įtariamojo kaltės įrodymo priemone, bet ir tyrėjo gynybos argumentu. Duomenų ar aparatūros, naudojamos kaip įkalčiai, išsaugojimas, apima įvairias procedūras, kurios apsaugo įkalčius nuo žalos ir užtikrina, kad įkalčių būsena nepakinta arba pakinta nereikšmingai nuo to momento, kai įkalčiai yra išimami. Jei duomenys ar jų dalis yra prarandami, pakeičiami arba pažeidžiami, jie negali būti panaudoti teisme. Dar blogiau, metodų rinkimo patikimumas, kai dalis duomenų prarasta ar sugadinta, gali teisme pažeisti pasitikėjimą kitais surinktais įkalčiais ir sugriauti visą bylą. Šiame skyriuje apžvelgiami esminiai veiksmai ir procedūros, kurias turi taiky- ti NEE tyrėjas visuose tyrimo etapuose, siekdamas neprarasti įkalčių bei išsaugoti jų vientisumą. Vientisumo sąvoka šiame vadovėlyje yra suprantama kaip negalėjimas mo- difikuoti saugomus duomenis neturint tam reikiamų teisių, taip pat negalėjimas modifi- kuoti duomenų, nepaliekant tų veiksmų pėdsakų.
12.1. Įkalčių vientisumo išsaugojimo metodai
Įkalčių vientisumas turi būti užtikrintas visų NEE tyrimo etapų metu. Įkalčių išsaugojimo procesas prasideda nuo momento, kai atsiranda įtarimas dėl nusikaltimo įvykdymo, ir tęsiasi tol, kol tyrimas pasibaigia. Net pasibaigus teismo procesui, įkalčiai turi išlikti saugūs ir nemodifikuoti tam atvejui, jei būtų pateiktas apeliacinis skundas. Pavyzdžiui, policija turi saugoti surinktus įkalčius daugybę metų net įsiteisėjus teis- mo sprendimui, o nusikaltėliui – atlikus bausmę. Analogiškai, jei , pvz., buvo atleistas darbuotojas ir tyrimą vykdė organizacijos vidinis tyrimų skyrius, jis irgi bus priverstas saugoti įkalčius daugelį metų, siekiant apsisaugoti nuo teisminio persekiojimo dėl ne- motyvuoto atleidimo. Įkalčių saugojimo terminas dažniausiai priklauso nuo šalyje galiojančios teisi- nės sistemos, apibrėžiančios senaties terminus kiekvienam nusikaltimo tipui. Siekiant nustatyti įkalčių saugojimo terminus, kiekvieną kartą rekomenduojama konsultuotis su teisininkais.
99 Įkalčių fizinės apsaugos įvykio vietoje užtikrinimas
Žmogus, organizacijoje atsakingas už pirminę reakciją į incidentus, taip pat turi būti atsakingas ir už tai, kad būtų apsaugota įvykio vieta iki tyrėjo atvykimo. Svarbu užtikrinti, kad po to, kai įtartinos sistemos yra identifikuotos, žmonės negalėtų prie jų prieiti ir sugadinti įkalčių. Kartais tai gali būti gan paprastas uždavinys, pavyzdžiui, tiesiog užrakinant ir plombuojant serverinę ar kitokią patalpą, kartais – žymiai sudė- tingesnis, kai, pavyzdžiui, susiduriama su geografiškai paskirstyta sistema. Jei fizinės prieigos ribojimas nėra techniškai įmanomas, galima taikyti įvykio vietos žymėjimą įspėjamaisiais ženklais, nes dauguma žmonių vengs patekimo į pažymėtą ir aptvertą teritoriją, bijodami būti įtrauktais į teismo procesą (jei būtų nustatytas jų buvimo faktas įvykio vietoje) kaip liudininkai ar net įtariamieji. Kaip atskira įvykio vietos apsaugos priemonių dalis turi būti traktuojamas sąrašas žmonių, bandžiusių patekti ir patekusių į įvykio vietą (sąraše reikia nurodyti asmeninę informaciją, buvimo arba bandymo pa- tekti laiką, tikslą ir parašą).
Nestabilių įkalčių vientisumo išsaugojimas
Atlikus šiuos veiksmus, būtina imtis priemonių nestabiliems įkalčiams išsau- goti, t. y. tokiems, kurie išnyksta dingus elektros tiekimui (operatyviosios atminties duomenys, įvairių įrenginių atmintis, ekrano vaizdai ir kiti). Jų apsaugos imamasi prio- ritetine tvarka, kadangi jie yra labiausiai pažeidžiami ir pakankamai lengvai praranda- mi. Įrangai, kuriai dėl techninių priežasčių neįmanoma atlikti nestabilių įkalčių kopijos (pvz., paskutiniai telefonu rinkti numeriai) galima taikyti dokumentavimo procesus, pasitelkus į pagalbą nešališkus liudininkus. Nestabilių įkalčių rinkimą ar dokumentavimą rekomenduojama atlikti tokia tvarka (jų praradimo grėsmės mažėjimo tvarka): 1. Registrai ir paieškos sitemų podėlio informacijos (angl. cache) atmintis. 2. Maršrutizavimo lentelės, ARP paieškos sistemų podėlio informacija, proce- sų sąrašas, OS branduolio statistika. 3. Operatyvioji atmintis. 4. Laikinieji failai failinėje sistemoje (nebūtina, jei yra galimybė fiziškai iš- jungti sistemą; tada taikomi stabilių įkalčių rinkimo metodai). Didžiąją šių veiksmų dalį galima atlikti pasinaudojant standartinėmis operacinių sistemų komandomis (12.1 lentelė).
12.1 lentelė. Komandos ir įrankiai nestabiliems įkalčiams išsaugoti Nestabilių įkalčių tipas ir panaudojimas Komanda arba įrankis 1 2 Atidaryti tinklo sujungimai – gali parodyti, su netstat („Windows“ / “Unix“); nbstat („Windows“). kuriomis sistemomis vyksta duomenų mainai. ARP cache – gali parodyti, su kuriomis arp („Windows“ / “Unix“). sistemomis buvo užmezgamas ryšys. Veikiantys procesai – įtartiniems procesams ps („Unix“); pslist, TaskManager („Windows“). identifikuoti.
100 12.1 lentelės tęsinys 1 2 Tinklo nustatymai – galimoms klaidoms ar ipconfig („Windows“); ifconfig („Unix“). pažeidimams konfigūracijoje nustatyti. Operatyviosios atminties kopijavimas (dump) dd („Unix“); trečiųjų šalių įrankiai, tokie kaip WinHEX – atmintyje saugotų duomenų analizei, („Windows“). tarnybinės informacijos analizei. Monitoriaus rodomos informacijos fiksavimas Fotoaparatas, turintis unikalų identifikatorių bei galintis – anomalijoms, paleistoms programoms, fiksuoti laiko žymę. Kadangi šiuolaikinės operacinės stebimai informacijai fiksuoti. sistemos sugeba „ištempti“ vaizdą per kelis monitorius, reikia nufotografuoti visų monitorių rodomą vaizdą, įsitikinti, kad visi jie yra įjungti.
Stabilių įkalčių vientisumo išsaugojimas
Apsaugojus labiausiai pažeidžiamus duomenisįjungti. yra pereinama prie stabilių duo- menų, t. y. tokių, kurie išlieka ir išjungus elektros tiekimą, išsaugojimo (informacija Stabilikietajameų įkalčių vientisumodiske, atmintuko išsaugojimas tipo atmintyje ir kt.). Tačiau dirbant net ir su tokio tipo įranga reikia imtis saugumo priemonių. Egzistuoja dvi nuomonės, kaip turi būti ap- dorotiApsaugojus stabilieji labiausiai įkalčiai, pažeidžiamus jei tyrėjo atvykimo duomenis įyra įvykio pereinama vietą priemetu stabili įtartinaų duomen sistemaų, t. yray. toki ų, kurie įjungta.išlieka irVieni išjungus specialistai elektros ragina tiekim darytią, išsaugojimo tikslią disko (informacija kopiją neišjungiantkietajame diske, kompiuterio atmintuko ir tipo atmintyje ir kt.). Tačiau dirbant net ir su tokio tipo įranga reikia imtis saugumo priemonių. Egzistuoja tokiu būdu išsaugoti dalį informacijos, kuri galėtų būti prarasta sistemą išjungiant. Šis dvi nuomonės, kaip turi būti apdoroti stabilieji įkalčiai, jei tyrėjo atvykimo į įvykio vietą metu įtartina sistemametodas yra įjungta. yra vienintelis Vieni specialistai įmanomas, ragina jei darytisistema tiksli apsaugotaą disko kopij„fullą disk neišjungiant encryption“ kompiuterio tipo ir tokiu apsauga, būdu išsaugoti tačiau dalyraį dažnai informacijos, kritikuojamas kuri gal ėdėltų savo būti prarastapotencialaus sistem poveikioą išjungiant. įkalčiams. Šis metodas Kiti yra vienintelisspecialistai įmanomas, ragina jei išjungti sistema kompiuterį apsaugota „fullatjungiant disk encryption“ tinklo kabelį, tipo o apsauga,ne naudojant tačiau opera yra dažnai- kritikuojamascinės sistemos dėl savo siūlomą potencialaus išjungimo poveikio kelią, į kalnesčiams. tokiu Kiti būdu specialistai išvengiama ragina galimų išjungti duomenų kompiuter į atjungiantpraradimo tinklo tvarkingaikabelį, o ne išjungiant, naudojant iroperacin vėliau ėsukurtis sistemos disko siū tiksliąlomą išjungimo kopiją naudojant kelią, nes specia tokiu- būdu išvengiama galimų duomenų praradimo tvarkingai išjungiant, ir vėliau sukurti disko tikslią kopiją lizuotą aparatinę (12.1 pav.) arba programinę įrangą, tokią kaip „Norton Ghost“ (12.2 naudojant specializuotą aparatinę (12.1 pav.) arba programinę įrangą, tokią kaip „Norton Ghost“ (12.2 pav.) pav.)arba kitarbaą analogišk kitą analogišką.ą.
12.1 pav. Portatyvinis diskų kopijavimo įrenginys 12.1 pav. Portatyvinis diskų kopijavimo įrenginys
101
12.2 pav. „Norton Ghost“ vartotojo sąsaja
96 įjungti.
Stabilių įkalčių vientisumo išsaugojimas
Apsaugojus labiausiai pažeidžiamus duomenis yra pereinama prie stabilių duomenų, t. y. tokių, kurie išlieka ir išjungus elektros tiekimą, išsaugojimo (informacija kietajame diske, atmintuko tipo atmintyje ir kt.). Tačiau dirbant net ir su tokio tipo įranga reikia imtis saugumo priemonių. Egzistuoja dvi nuomonės, kaip turi būti apdoroti stabilieji įkalčiai, jei tyrėjo atvykimo į įvykio vietą metu įtartina sistema yra įjungta. Vieni specialistai ragina daryti tikslią disko kopiją neišjungiant kompiuterio ir tokiu būdu išsaugoti dalį informacijos, kuri galėtų būti prarasta sistemą išjungiant. Šis metodas yra vienintelis įmanomas, jei sistema apsaugota „full disk encryption“ tipo apsauga, tačiau yra dažnai kritikuojamas dėl savo potencialaus poveikio įkalčiams. Kiti specialistai ragina išjungti kompiuterį atjungiant tinklo kabelį, o ne naudojant operacinės sistemos siūlomą išjungimo kelią, nes tokiu būdu išvengiama galimų duomenų praradimo tvarkingai išjungiant, ir vėliau sukurti disko tikslią kopiją naudojant specializuotą aparatinę (12.1 pav.) arba programinę įrangą, tokią kaip „Norton Ghost“ (12.2 pav.) arba kitą analogišką.
12.1 pav. Portatyvinis diskų kopijavimo įrenginys
12.2 pav. „Norton Ghost“ vartotojo12.2 pav. sąsaja „Norton Ghost“ vartotojo sąsaja
Aptikus neįjungtą kompiuterių sistemą,96 vienareikšmiškai nurodoma, kad jos ne- galima įjungti, o iškart reikia pereiti prie tikslios kopijos kūrimo.
Įkalčių būsenos fiksavimas ir sterilumo užtikrinimas
Kai padaroma tiksli laikmenos kopija, būtina įrodyti, kad ji visiškai atitinka ori- ginalo duomenis. Dažniausiai tai daroma pasirinktu metodu suskaičiuojant originalo ir kopijos duomenų kontrolinę sumą, remiantis CRC (angl. cyclic redundancy check) arba vienakrypčių funkcijų algoritmais. Dauguma NEE tyrimams skirtų dublikavimo įrankių turi tokią funkciją. Tyrėjas turi būti tikras, kad laikmena, į kurią bus įrašoma tiksli kopija, yra sterili (angl. forensically sterile), t. y. joje nėra jokių kitų duomenų, KPK arba defektų. Tai lei- džia išvengti duomenų dubliavimosi ir praradimo. Sterilumo reikalavimas taip pat ga- lioja, kai papildomos kopijos yra daromos ir perduodamos kitoms tyrimą vykdančioms šalims. Rekomenduojama pagal galimybę kiekvieną kartą rašyti duomenis į absoliučiai naują laikmeną, prieš tai įsitikinus, kad joje nėra gamykloje įrašytų duomenų.
Įkalčių saugos užtikrinimas saugojimo metu
Bet kada, kai išimti įkalčiai (kompiuterinė įranga) nėra analizuojami, jie turi būti tinkamai apsaugotoje aplinkoje, tokioje kaip seifas arba ribotos prieigos kambarys, ne- priklausomai, ar tai yra teisėsaugos institucijų, ar kompanijos tyrimo grupės vykdomas tyrimas. Tokioms patalpoms ar saugykloms turi būti vedamas į jas patenkančių asmenų registracijos žurnalas, analogiškas vedamam įvykio vietoje. Bet koks įkalčių įnešimas ar išnešimas turi būti registruojamas ir patvirtintas atitinkamus įgaliojimus turinčių asmenų.
102 Taip pat, jei padarytos duomenų kopijos yra išsaugotos serveryje, turi būti užti- krinta to serverio prieigos kontrolė. Taigi bendriausias taikomas principas turėtų būti toks – prieiga prie įkalčių turi būti užtikrinta tik ribotam, tam motyvuotą ir teisėtą pa- grindą turintiems žmonėms.
12.2. Įkalčių grandinė
Šiame trumpame poskyryje nagrinėjama labai svarbi įkalčių grandinės sąvoka. Įkalčių grandinė (angl. chain of evidence arba chain of custody) yra apibrėžiama kaip veiksmų seka, leidžianti kontroliuoti įkalčio buvimo vietą bet kuriuo momentu nuo išėmimo iki pateikimo į teismo salę. Tie veiksmai apima, bet neapsiriboja, tinkamą įkalčių pakavimą, nuotraukas iš įvykio vietos, su įkalčiais atliekamą operacijų doku- mentavimą, galimus liudininkų parodymus ir t. t. Tinkamai paruošta įkalčių grandinė yra pagrindas įrodymui, kad įkalčių vientisumas nėra pažeistas. Jei įkalčių grandinė nėra patikima arba prarasta viena jos grandis, arba, kitaip tariant, įkalčio buvimo vietos nėra įmanoma atsekti kažkokiu laiko momentu, tai gali reikšti, kad įkalčiai buvo modi- fikuoti, o vėliau jų pagrindu padaryti sprendimai – klaidingi. Įkalčių grandinės valdymas prasideda įvykio vietoje, kur įkaltis įpakuojamas ir (arba) pažymimas. Sudaromas visų išimamų įkalčių sąrašas. Įkalčiams pakuoti turi būti naudojami specialūs maišeliai, kurių po užklijavimo negalima atidaryti nepažeidus pakuotės. Po to pakeliai yra pažymimi nurodant, kas atliko jų pakavimą. Taip pat reko- menduojama užrašyti unikalų įkalčio identifikatorių ir tiriamos bylos numerį. Įstatymai ir konkrečios šalies tyrimų procedūros gali reikalauti papildomos informacijos žymint įkalčius. Įvykio vietoje sudarytas įkalčių sąrašas naudojamas kaip pagrindas išimtų įkal- čių kontrolei. Jame fiksuojama, kam, kuriam laikui ir kokiu tikslu įkaltis buvo perduo- tmas, taip pat fiksuojamas įkalčių grąžinimo faktas.
12.3. Kontroliniai klausimai ir praktiniai darbai
Kontroliniai klausimai
1. Kaip galima apriboti fizinę prieigą prie įvykio vietos, jei patalpų rakinimas arba kitos prevencinės patekimo priemonės nėra įmanomos? 2. Kokia tvarka rekomenduojama atlikti nestabilių įkalčių išsaugojimą? Ko- kiais įrankiais galima surinkti nestabilius įkalčius? 3. Suformuluokite sterilumo apibrėžimą NEE tyrimo prasme. Kodėl sterilu- mas yra svarbus ir kaip gali būti pasiektas? 4. Kaip gali būti įrodyta, kad NEE tyrimo metu padaryta disko kopija atitinka originalą? 5. Kokia yra įkalčių grandinės sąvokos prasmė ir kuo ji svarbi teismo procesui?
103 Praktiniai darbai
1. Išbandykite 12.1 lentelėje pateiktų įrankių ir komandų funkcionalumą. Kaip galėtumėte interpretuoti gautus rezultatus vykdant tyrimą? 2. Pasirinktu arba dėstytojo nurodytu įrankiu sukurkite duoto lankstaus diske- lio arba kompaktinio disko atvaizdą, suskaičiuokite ir užrašykite atvaizdo kontrolinę sumą. 3. Pabandykite įsivaizduoti ir aprašyti tariamo įkalčio grandinę. Aptarkite grandinę su kolegomis ir dėstytoju.
104 13.
ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI
Įkalčių analizė yra sunkus ir daug laiko reikalaujantis procesas. Analizės pro- cesas numato daug metodų – pradedant labai paprastais, tokiais kaip reikšminių žo- džių paieška įtartinose rinkmenose, ir baigiant sudėtingais, pavyzdžiui, kompiuterio operatyviojoje atmintyje iki išjungimo saugotos informacijos atkūrimu pagal likutinį įmagnetinimą. Šiame skyriuje aprašyti keli bendrieji įkalčių analizės metodai ir laisvai platinami bei komerciniai įrankiai.
13.1. Įkalčių analizės būdai
Pagrindinė įkalčių analizės etapo užduotis yra surasti visoje įvykio vietoje su- rinktoje informacijoje duomenis, kurie gali patvirtinti arba paneigti tyrimo hipotezę ir atstatyti įvykio eigą. Didėjantys informacijos kiekiai ir laikmenų talpos daro praktiškai nepritaikomais rankinius analizės metodus, o tyrėjai vis dažniau naudojasi automati- zuotais metodais. Žemiau aprašomi įvairūs įkalčių analizės būdai, galintys padėti su- rasti išimtuose fiziniuose įkalčiuose arba jų dublikatuose tyrimui reikšmingų duomenų. ▬▬ Įkalčių paieška pagal reikšminius žodžius. Tai vienas iš plačiausiai taikomų ana- lizės metodų. Šiuo metu saugomos kietuosiuose diskuose informacijos apimtys yra labai didelės ir atlikti visos informacijos vizualinę analizę tampa nebeįma- noma, todėl pasitelkiama specializuota programinė įranga, ieškanti reikšminių žodžių ne tik rinkmenų pavadinimuose, bet ir rinkmenų viduje. Taip pat reikš- minių žodžių gali būti ieškoma ir atkurtuose failuose. ▬▬ Įvykių registracijos įrašų analizė ir koreliacija. Vienas iš svarbiausių taikomų analizės būdų. Pagrindinis metodo privalumas prieš bendrą paiešką pagal reikš- minius žodžius yra tas, kad skirtingai nuo paieškos skirtingo formato failuose ar duomenyse, įvykių registracijos įrašai yra griežtai struktūrizuoti, į juos beveik visada yra įrašoma informacija apie įvykio laiką ir įvykio šaltinį. Įvykių regis- tracijos įrašuose dažnai naudojama įvykių rangavimo sistema, todėl atsiranda galimybė rūšiuoti įvykius pagal jų kategoriją ir didžiausią dėmesį skirti aukštą pavojingumo reitingą turintiems įrašams, o ne gaišti laiką analizuojant informa- cinį „triukšmą“. Jei organizacijoje yra taikomas centralizuotas įvykių registra- cijos įrašų saugojimas ir yra pakankamos įvykių registracijos įrašų apsaugos nuo modifikavimo, jie tampa dar svarbesni tyrimui, nes leidžia būti tikriems dėl įvykių laikų. Įvykių registracijos įrašų koreliavimo įrankiais galima susieti skir- tingose sistemose vykusius įvykius pagal laiko žymes, o taikant šį ir kitus duo- menų gavybos metodus – nustatyti, kaip sistemos buvo susietos įvykio metu bei kaip vystėsi incidentas.
105 ▬▬ Sukeitimų rinkmenos arba disko skaidmenos analizė. Sukeitimų (angl. swap) rin- kmeną („Windows“ OS) arba disko skaidmeną („Unix“ sistemos) operacinė siste- ma naudoja, kai pritrūksta operatyviosios atminties: seniausiai RAM (operatyvio- joje atmintyje) saugomi informacijos blokai įrašomi į sukeitimų rinkmeną, turint galimybę juos atstatyti. Sukeitimų rinkmenos analizė naudinga nusikaltimams tirti, nes jame gali būti išsaugotas operatyviosios atminties atvaizdas, t. y. atlie- kant sukeitimų rinkmenos analizę galima atstatyti kompiuterio vartotojo veiks- mus, net jei visa kita informacija yra ištrinta iš kietojo disko. Didžiausias metodo iššūkis tas, kad informacija yra nestruktūrizuota, dažnai neišsami ir prieinama binariniu formatu, todėl analizei reikalinga specializuota programinė įranga. Su- keitimų rinkmenos analizė naudinga tada, jei analizuojamas kompiuteris buvo konfiskuotas nusikaltėliui nespėjus jo perkrauti ir aktyvuoti sukeitimų valymo programų arba tinkamai išjungus kompiuterį, nustačius įsilaužimą. ▬▬ Kontaktų analizė. Kontaktų analize galima nustatyti įtariamojo bendravimo ratą, tačiau ji turi būti atliekama nepažeidžiant privatumo įstatymų. Turi būti tiriami analizuojamo kompiuterio kietajame diske esantys elektroniniai laiškai, susira- šinėjimo per pokalbių programas (IRC, ICQ, Skype ir kt.) žurnalinės rinkmenos, interneto skambučių išklotinė ir t. t. Naudojant kontaktų analizę galima nustatyti bendravimo temas, išsiaiškinti nusikaltėlio tikslus ir jį dominančią informaci- ją arba įrodyti nusikalstamos veiklos organizavimą, išsiaiškinti organizacijos struktūrą. Jei reikiamos informacijos nepavyksta rasti įtariamojo kompiuteryje, ji gali būti aptikta komunikacijai naudotų tarnybinių stočių įrašuose arba kitų asmenų, su kuriais įtariamasis keitėsi informacija, kompiuteriuose. ▬▬ Grafinės ir vaizdinės informacijos analizė. Peržiūrint fotografuotus ir vaizdo įra- šus galima nustatyti asmenis, su kuriais buvo bendraujama, gali būti užfiksuoti nusikaltimo įvykiai (pvz., nusikaltėlis pats fiksavo įvykio vietą) ar patys įrašai gali būti nusikaltimo įrodymu (pvz., tiriant vaikų pornografijos platinimo atvejus). ▬▬ Atminties atvaizdo (angl. dump) analizė. Jei yra galimybė gauti kompiuterio at- minties atvaizdą, tai naudojant specializuotus įrankius galima gauti informacijos apie veikiančius ir paslėptus procesus, kviečiamas bibliotekas, perimti slaptažo- džius, kuriais užšifruoti duomenys diske ir t. t. ▬▬ Žiniatinklio naršyklės podėlio (angl. cache) analizė. Šiuo metodu galima nusta- tyti, kokia informacija buvo renkama, nusikaltėlio tikslus ir charakterį, naršymo internete įpročius ir daug kitos pagalbinės informacijos, pvz., nustačius, kokiose interneto puslapiuose nusikaltėlis lankėsi, galima išsiaiškinti, kokios priemonės buvo naudojamos įsilaužimui įvykdyti. ▬▬ Spausdintuvo kaupiklio analizė. Spausdintuvo kaupiklyje arba eilės faile (angl. spooler), t. y. faktiškai specialiai spausdinti paruoštose rinkmenose, taip pat ir sukeitimų rinkmenoje, gali netyčia užsilikti svarbių įkalčių. ▬▬ Tinklo srauto analizė. Galima sužinoti apie atidarytus sujungimus tinklo lygiu, naudojamus duomenų protokolus, perimti nešifruotu pavidalu perduodamus slaptažodžius (pvz., FTP, SMTP), analizuoti siunčiamų paketų turinį. ▬▬ Failų keitimo istorijos analizė. Pagrįsta dažniausiai analizuojamų failų hash reikšmių arba laiko žymių analize. Leidžia nustatyti, ar failas buvo modifikuotas ir (arba) modifikavimo laiką. 106 Galima pastebėti, kad daugumos analizės metodų pagrindą sudaro duomenų paieška pagal tam tikrus kriterijus (raktiniai žodžiai, įvykio rangas, laiko intervalas, tam tikra vaizdinė informacija ir t. t.). Neabejotinai, didesnės reikšmės ateityje turės šiuo metu labai brangios įvykių žurnalo įrašų koreliacijos technologijos ir kitos duo- menų gavybos technologijos, kuriomis nustatomi įprastiniais metodais nematomi ryšiai tarp atskirų surinktų duomenų blokų.
13.2. Įkalčių analizės įrankiai
NEE tyrėjui šiuo metu retai kada tenka tiesiogiai peržiūrėti įvykio vietoje su- 13.2.rinktą Įkal činformacijąių analiz ė– srankinė įrankiai paieška truktų pernelyg ilgai ir sąlygotų žemą tyrėjo pro- duktyvumą. Pagrindiniu tyrėjo darbo įrankiu tampa specializuotos analizės programos
arba net integruotieji paketai, skirti įvairiems analizės uždaviniams spręsti. Šiame pos- NEE tyrėjui šiuo metu retai kada tenka tiesiogiai peržiūrėti įvykio vietoje surinktą informaciją – rankinkyryje,ė paieška atsižvelgiant truktų pernelyg į vadovėlio ilgai ir stikslinęąlygotų auditoriją,žemą tyrėjo trumpai produktyvum supažindinamaą. Pagrindiniu su tyrkeliaisėjo darbo įrankiunemokamais tampa specializuotos arba pagal analiz GPLės licencijąprogramos platinamais arba net integruotieji įkalčių analizės paketai, įrankių skirti įvairiems rinkiniais. analiz ės uždaviniamsTaip pat pristatomi spręsti. Šiame populiariausi poskyryje, komerciniai atsižvelgiant produktai, į vadov skirtiėlio įkalčių tikslin ęanalizei. auditoriją, trumpai supažindinama su keliais nemokamais arba pagal GPL licenciją platinamais įkalčių analizės įrankių rinkiniais. Taip pat pristatomi populiariausi komerciniai produktai, skirti įkalčių analizei. Komerciniai įrankiai
Komerciniai„EnCase“ įrankiai – plačios paskirties NEE tyrimo įrankių rinkinys, gaminamas „Gui- dance Software“ kompanijos (www.guidancesoftware.com). Skirtas įkalčių tikslioms kopijoms„EnCase“ sukurti, – plač analizeiios paskirties ir ataskaitoms NEE tyrimo parengti. įrankių Yrarinkinys, vienas gaminamas iš populiariausių „Guidance komer Software“- kompanijoscinių įrankių, (www.guidancesoftware.com plačiai naudojamas teisėsaugos). Skirtas įpareigūnų.kalčių tikslioms Dėl savo kopijoms populiarumo sukurti, taip analizei pat ir ataskaitomsdažnai parengti.yra taikomos Yra vienasspecialiai iš populiariausi prieš šį rinkinįų komercini nukreiptosų įranki atakos.ų, pla Analitinėsčiai naudojamas dalies teisfunkėsaugos- pareigcionalumasūnų. Dėl savo apima populiarumo daugelio taipfailų pat formatų dažnai peržiūros yra taikomos palaikymą, specialiai HEX prieš formato šį rinkin analizėsį nukreiptos atakos. Analitinės dalies funkcionalumas apima daugelio failų formatų peržiūros palaikymą, HEX galimybes, įvykių registracijos įrašų analizę. Vienas iš pagrindinių privalumų – visam formato analizės galimybes, įvykių registracijos įrašų analizę. Vienas iš pagrindinių privalumų – visam Comment [n40]: Siūlau kaip NEE NEEtyrimo tyrimo procesui procesui reikaling reikalingųų įrankių integravimasįrankių integravimas į vieną są sajį vienąą (13.1 sąsają pav.). (13.1 pav.). buvo palikti “LOG”
13.1 pav. „EnCase“ vartotojo sąsaja13.1 pav. „EnCase“ vartotojo sąsaja
„Forensic Toolkit®“ (FTK®) irgi yra 107 priskiriamas plačios paskirties NEE tyrimo įrankių kategorijai. Galima analizuoti operacinių sistemų registrus, atlikti paiešką pagal reikšminius žodžius (13.2 pav.).
101 „Forensic Toolkit®“ (FTK®) irgi yra priskiriamas plačios paskirties NEE tyri- mo įrankių kategorijai. Galima analizuoti operacinių sistemų registrus, atlikti paiešką pagal reikšminius žodžius (13.2 pav.).
13.2 pav. FTK įrankio paieškos rezultatai 13.2 pav. FTK įrankio paieškos rezultatai
Prie pagrindinių privalumų galima priskirti tai, kad juo galima atlikti „gyvų“ Prie pagrindinisistemųų privalum analizę.ų galima priskirti tai, kad juo galima atlikti „gyvų“ sistemų analizę. „Computer Online Forensic Evidence Extractor“ (COFEE) yra sukurtas „Mi- „Computercrosoft“ korporacijos Online Forensic ir optimizuotas Evidence būtent Extractor“ „Windows“ (COFEE) šeimos yra sukurtasoperacinių „Microsoft“ sistemų korporacijos ir optimizuotas būtent „Windows“ šeimos operacinių sistemų analizei. Įrankis gali būti analizei. Įrankis gali būti paleistas iš USB rakto arba išorinio disko. paleistas iš USB rakto arba išorinio disko. Taip pat galima paminėti tokius komercinius įrankius, kaip „Paraben P2 Com- Taipmander“ pat galima (plačios pamin paskirtiesėti tokius komerciniusįrankių rinkinys), įrankius, „Forensic kaip „Paraben Assistant“ P2 Commander“ (vartotojų veiks(plačios- paskirtiesmų įranki analizėsų rinkinys), įrankis „Forensic– el. pašto, Assistant“ bendravimo (vartotoj programų,ų veiksm dokumentų,ų analizė snaršyklių įrankis –duomenų el. pašto, bendravimoanalizė), program „PeerLab“ų, dokument (dalinimosių, naršykli failaisų duomen ir bendravimoų analizė), „PeerLab“ programų duomenų(dalinimosi analizė), failais ir bendravimo„ArcSight program IdentityView“ų duomenų analiz ir „LogLogicė), „ArcSight LX“ IdentityView“(vartotojų veiksmų ir „LogLogic stebėjimas LX“ ir (vartotojanalizė ų veiksmų stebėjimas ir analizė įvykių registracijos įrašų pagrindu), „LogLogic SEM“ (įvykių įvykių registracijos įrašų pagrindu), „LogLogic SEM“ (įvykių registracijos įrašų ir in- registracijos įrašų ir incidentų koreliacija), „WinHEX“ (atminties atvaizdo analizė). cidentų koreliacija), „WinHEX“ (atminties atvaizdo analizė).
Nemokami arba atvirojo kodo įrankiaiNemokami arba atvirojo kodo įrankiai
Šiuo metuŠiuo egzistuojantys metu egzistuojantys nemokami nemokami NEE įkal NEEčių analiz įkalčiųės analizėsįrankiai išįrankiai esmės iš gali esmės užtikrinti gali tyrėjui visužtikrintią reikiam tyrėjuią funkcionalum visą reikiamąą. Išimt funkcionalumą.į sudaro tik įvyki Išimtįų registracijos sudaro tik įraš įvykiųų koreliacijos registracijos uždaviniai, įra- kuriems kokybiškų ir nemokamų įrankių dar faktiškai nėra sukurta (nereikia painioti paprastos įvykių registracijosšų koreliacijos įrašų analiz ėuždaviniai,s ir koreliacijos kuriems uždavini kokybiškųų, kadangi ir nemokamų pastarieji įrankių susiję sudar įraš faktiškaių iš skirting nėra ų sistemų agregavimusukurta (nereikia ir automatizuotu painioti paprastosįvykių tarpusavio įvykių ryširegistracijosų nustatymu). įrašų Dauguma analizės nemokam ir koreliacijosų įranki ų gali nusileistiuždavinių, komerciniams kadangi pastarieji produktams susiję dėl su vartotojo įrašų iš sskirtingųąsajos patogumo sistemų (pvz.,agregavimu gali bū irti automa reikalingi- komandintizuotuės eilut įvykiųės naudojimo tarpusavio įgūdžiai ryšių arba nustatymu). gali tekti Dauguma persijungti nemokamų tarp skirting įrankiųų lang galių). Nemokamnusileisti ų produktųkomerciniams naudai galima produktams paminėti tai, dėl jog vartotojo jie dažnai sąsajos kuriami patogumo specializuot (pvz.,ų institutgali būtių (pvz.,reikalingi SANS Institute)komandinės arba šios srities eilutės entuziast naudojimoų, yra dažniau įgūdžiai atnaujinami. arba gali tekti persijungti tarp skirtingų langų).
„SANSNemokamų SIFT produktųWorkstation“ naudai – SANS galima institute paminėti distribucijos tai, jog jie pagrindu dažnai sukurtakuriami „Ubuntu specializuotų Linux“ virtuali mašina,institutų kurioje (pvz., SANS yra įdiegti Institute skirtingi) arba šios NEE srities tyrimo entuziastų, proceso užtikrinimo yra dažniau į rankiaiatnaujinami. (neminimi įrankiai, nesusiję su įkalčių analize): • „The Sleuth Kit“ (failinės sistemos analizė); • „log2timeline“ (įvykių registracijos įrašų susiejimo108 su laiko juosta įrankis);
102 „SANS SIFT Workstation“ – SANS institute distribucijos pagrindu sukurta „Ubuntu Linux“ virtuali mašina, kurioje yra įdiegti skirtingi NEE tyrimo proceso užti- krinimo įrankiai (neminimi įrankiai, nesusiję su įkalčių analize): ▬▬ „The Sleuth Kit“ (failinės sistemos analizė); ▬▬ „log2timeline“ (įvykių registracijos įrašų susiejimo su laiko juosta įrankis); ▬▬ „Foremost/Scalpel“ (failų analizė); ▬▬ „Wireshark“ (gali būti naudojamas tinklo paketų analizei); ▬▬ „Vinetto“ (thumbs.db failo analizė); •▬ „Foremost/Scalpel“▬ „Pasco“ („Internet (fail ųExplorer“ analizė); naršyklės naršymo istorijos analizė); •▬ „Wireshark“▬ „Rifiuti“ (gali Recycle( būti naudojamas Bin analizė); tinklo paketų analizei); •▬ „Vinetto“▬ „Volatility (thumbs.db Framework“ failo analiz (atmintiesė); analizė); •▬ „Pasco“▬ „PyFLAG“ („Internet (GUI Explorer“ Log/Disk naršykl analizė).ės naršymo istorijos analizė); • „Rifiuti“Rinkinys (Recycle suderinamas Bin analiz suė); „Expert Witness Format“ (E01), „Advanced Forensic •Format“ „Volatility (AFF) Framework“ ir raw (dd) (atminties įkalčių analiz formatais.ė); Kaip pagrindinį rinkinio privalumą ga- •lima „PyFLAG“ įvardyti jo(GUI virtualizaciją, Log/Disk analiz kuri ėtampa). labai populiari ir leidžia efektyviai išnaudoti kompiuterių sistemų resursus. Rinkinys suderinamas su „Expert Witness Format“ (E01), „Advanced Forensic Format“ (AFF) ir raw (dd) įkalčių formatais.„PTK Forensics“Kaip pagrindin (PTK)į rinkinio platforma privalum yraą galima kuriama įvardyti „DFLabs jo virtualizacij Inc“ kompanijosą, kuri tampa labai populiari„The Sleuthir leidžia Kit“ efektyviai įrankio išnaudoti pagrindu kompiuteri su papildomaisų sistemų analitiniais resursus. moduliais. Platformai įdiegti turi būti paruošta LAMP tipo (angl. Linux, Apache, MySQL, Perl/PHP/Python) „PTKsistema, Forensics“ vartotojui (PTK) suteikiama platforma patogi yra kuriamagrafinė „DFLabsaplinka, prieinamaInc“ kompanijos per naršyklę. „The Sleuth Dėl Kit“kli- įrankio pagrinduento serverio su papildomais architektūros analitiniais realizacijos moduliais. (13.3 Platformai pav.) vienu įdiegti metu turi baplinkaūti paruošta gali LAMPnaudotis tipo (angl. Linux,keli tyrėjai.Apache, MySQL, Perl/PHP/Python) sistema, vartotojui suteikiama patogi grafinė aplinka, prieinama per naršyklę. Dėl kliento serverio architektūros realizacijos (13.3 pav.) vienu metu aplinka
13.3 pav. PTK platformos architektūra 13.3 pav. PTK platformos architektūra
IndeksavimoIndeksavimo mechanizmas mechanizmas yra naudojamas yra naudojamas preliminariai preliminariai duomenų duomenų analizei iranalizei vėlesn ėirms paieškomsvėlesnėms pagreitinti. paieškoms Naudojant pagreitinti. modulinę Naudojant architektūrą modulinę galima lengvai architektūrą plėsti analitini galima ų lengvai moduli ų skaičių. Profesinplėsti analitiniųė platformos modulių versija skaičių. gali bū tiProfesinė pateikiama platformos kaip virtuali versija arba aparatingali būtiė pateikiamasistema. kaip Sistemoje automatiškai fiksuojami visi tyrėjų atlikti veiksmai (13.4 pav.), todėl galima automatiškaivirtuali fiksuoti arba aparatinė ir galimus sistema. įkalčių pakeitimus, o vėliau juos įtraukti automatiškai generuojant ataskaitą. Taip, jei tyrėjas neturi prieigos teisių prie PTK sistemos administravimo, išvengiama interesų konflikto ir užkertamas kelias tyrėjų sukčiavimui,109 nes bet kokie jų veiksmai užfiksuojami jiems nepavaldžioje sistemoje.
103 Sistemoje automatiškai fiksuojami visi tyrėjų atlikti veiksmai (13.4 pav.), todėl galima automatiškai fiksuoti ir galimus įkalčių pakeitimus, o vėliau juos įtraukti auto- matiškai generuojant ataskaitą. Taip, jei tyrėjas neturi prieigos teisių prie PTK sistemos administravimo, išvengiama interesų konflikto ir užkertamas kelias tyrėjų sukčiavimui, nes bet kokie jų veiksmai užfiksuojami jiems nepavaldžioje sistemoje.
13.4 pav. Tyrėjų veiksmų stebėjimas PTK platformoje 13.4 pav. Tyrėjų veiksmų stebėjimas PTK platformoje
ŠiuoŠiuo metu metu platformos platformos suteikiam suteikiamąą analitin analitinįį funkcionalum funkcionalumąą sudaro: sudaro: • Failų analizė: peržiūra „Ascii“, „Ascii String“, „Hexdump“ ir „Image preview“ ▬▬ Failų analizė:formatais; peržiūrapaieška pagal „Ascii“, raktinius „Ascii žodžius String“, (indeksuota „Hexdump“ ir neideksuota); ir „Image paieška preview“ tam tikru formatais;laiko intervalu;paieška pagal filtrai (tekstinisraktinius ir žodžius kelių kriterij (indeksuotaų kombinuotasis); ir neideksuota); nesutapimų paieška failuose tam tikrunustatymas. laiko intervalu; 13.5 pav. filtrai pateikiami (tekstinis kombinuotojo ir kelių filtro kriterijų (failų kombinuotasis); tipas ir laiko intervalo) nesu- taikymo rezultatai. tapimų failuose nustatymas. 13.5 pav. pateikiami kombinuotojo filtro (failų tipas ir laiko intervalo) taikymo rezultatai.
13.5 pav. Kombinuotojo filtro taikymo rezultatai PTK platformoje
• MACB (angl. Modification, Access, Creation, Birth) vizualizacija. MACB 13.5 pav. Kombinuotojovizualizacijos filtro įrankiu taikymo galima rezultatai nustatyti PTK objektplatformojeų kūrimo ir modifikavimo tendencijas informacinėje sistemoje. Taip, pavyzdžiui, 13.6 pav. matyti, kad nagrinėjamu
110104 ▬▬ MACB (angl. Modification, Access, Creation, Birth) vizualizacija. MACB vizu- alizacijos įrankiu galima nustatyti objektų kūrimo ir modifikavimo tendencijas informacinėje sistemoje. Taip, pavyzdžiui, 13.6 pav. matyti, kad nagrinėjamu laikotarpiu buvo trys šuoliai, kurių metu sistema buvo naudojama ypač aktyviai. Todėl galimalaikotarpiu manyti, buvo tryskad šuoliai, aktyvumas kurių metu buvo sistema sąlygotas buvo naudojama kažkokios ypač neteisėtosaktyviai. Tod veiėl - klos, ir tyrėjasgalima manyti, gali skirti kad aktyvumaspagrindinį buvo dėmesį sąlygotas būtent kažkokios tiems neteis periodams.ėtos veiklos, ir tyrėjas gali skirti pagrindinį dėmesį būtent tiems periodams.
13.6 pav. MACB vizualizacijos13.6 pav. įrankio MACB veikimo vizualizacijos rezultatai įrankio veikimo rezultatai
• Raktinių Raktini žodžiųų žodži paieška.ų paieška. Galimi Galimi paieškos paieškos variantai: variantai: ▬▬ o paieška „Extended“ tipo disko skaidmenose; ――paieška „Extended“o paieška FAT tipo failin diskoėje sistemoje; skaidmenose; ――paieška FATo paieškafailinėje NTFS sistemoje; failinėje sistemoje; paieška EXT3FS failinėje sistemoje; ――paieška NTFSo failinėje sistemoje; o „FAT Daylight“ testas; ――paieška EXT3FSo „FAT failinėjeUndeleted“ sistemoje; testas; ――„FAT Daylight“o „NTFS testas; Undeleted“ testas; o paieška „JPEG header“ failuose. ――„FAT Undeleted“ testas; ――„NTFS• Operatyviosios Undeleted“ atminties testas; analizė. Naudojant operatyviosios atminties atvaizdo platformą ――paieškagalima: „JPEG header“ failuose. o nustatyti veikiančius / veikusius procesus; ▬▬ Operatyviosios perži atmintiesūrėti atidarytus analizė. tinklo Naudojant „soketus“ / sujungimus; operatyviosios atminties atvaizdo Comment [P41]: Reikia o lietuviško atitikmens platformą galima:o peržiūrėti užkrautas DLL bibliotekas ir jų ryšius su procesais; peržiūrėti visų procesų atidarytus failus ir registro įrašus; Comment [n42]: Yra terminas ――nustatyti veikiančiuso / veikusius procesus; “prievadas”. Bet lygiai taip pačiai o peržiūrėti procesoriaus adresuojamą atmintį; siūlomą versti ir terminą “port”. peržiūrėti operacinės sistemos naudojamus modulius; Dėl to gali būti dviprasmybė, ――peržiūrėti oatidarytus tinklo „soketus“ / sujungimus; kadangi iš techninės pusės tai yra ――peržiūrėti oužkrautas susieti fizinius DLL ir bibliotekasvirtualius atminties ir jų adresus;ryšius su procesais; skirtingi dalykai. Siūlau rašyti taip: ištraukti iš atminties vykdomąjį kodą; prievadus (angl. socket). ――peržiūrėti ovisų procesų atidarytus failus ir registro įrašus; o atlikti paiešką pagal raktinius žodžius (13.7 pav.). ――peržiūrėti procesoriaus adresuojamą atmintį; ――peržiūrėti operacinės sistemos naudojamus modulius; ――susieti fizinius ir virtualius atminties adresus; ――ištraukti iš atminties vykdomąjį kodą;105 ――atlikti paiešką pagal raktinius žodžius (13.7 pav.).
111
13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius 13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius • Disko ar kitos laikmenos įrašų peržiūra žemu lygmeniu. Disko• Žymi ar13.7 ųkitos sistema. pav. laikmenos PaieškosSuteikiama įrašųrezultatai galimyb peržiūraė pažymatmintyje ėžemuti (angl. pagal lygmeniu. bookmark raktinius) įkal žodžiusčius. ▬ ▬ Žymių sistema. Suteikiama galimybė pažymėti (angl. bookmark) įkalčius. ▬• ▬ Atskiras įrankių rinkinys, skirtas NEE įkalčių analizei, yra integruotasis ir „Linux“ distribucijos „BackTrack“ DiskoAtskiras ar, kitos skirtas įrankių laikmenos etinio rinkinys, įsilaužimo įraš ųskirtas perži imitavimoū raNEE žemu ir įkalčių NEE lygmeniu. tyrimo analizei, uždaviniams yra integruotasis spręsti. Distribucija ir „Li - •platinama Žymi ų„LiveCD“ sistema. forma, Suteikiama todėl gali galimyb būti naudojamaė pažym ė irti „gyv(angl.ų“ bookmark sistemų analizei.) įkal č Šiuoius. metu rinkinį nux“sudaro: distribucijos „BackTrack“, skirtas etinio įsilaužimo imitavimo ir NEE tyrimo už- daviniamsAtskiras• įspręsti.ranki„Autopsy“ų rinkinys, Distribucija įrankis –skirtas galima platinama NEE atlikti į kal„gyv č„LiveCD“ių“ analizei,ir „negyv forma,ųyra“ sistem integruotasis todėlų analiz galię, joseir būti „Linux“ sudarant naudojama distribucijosfailų „BackTrack“ir „gyvų“, skirtassistemųsąrašus, etinio peržianalizei. ūrįėsilaužimoti failo Šiuo turin metu imitavimoį, rūšiuoti rinkinį failus ir sudaro: NEEpagal tip tyrimoą, steb ė uždaviniamsti failų keitimo spristorijęsti.ą, atlikti Distribucija platinama „LiveCD“paiešk forma,ą pagal tod reikšminiusėl gali b žodžius,ūti naudojama analizuoti ir fail „gyvų metaduomenisų“ sistemų analizei. (13.8 pav.), Šiuo analizuoti metu rinkinį ▬▬ „Autopsy“duomenis įrankis diskuose – ir galima nagrinėti atlikti grafini ų„gyvų“ failų tarnybin ir „negyvų“ę informacij sistemųą. analizę, jose su- sudaro: darant failų sąrašus, peržiūrėti failo turinį, rūšiuoti failus pagal tipą, stebėti failų • „Autopsy“keitimo istoriją, įrankis –atlikti galima paiešką atlikti pagal„gyvų “reikšminius ir „negyvų“ žodžius,sistemų analizanalizuotię, jose failų sudarant me- failų sąrašus, peržiūrėti failo turinį, rūšiuoti failus pagal tipą, stebėti failų keitimo istoriją, atlikti taduomenis (13.8 pav.), analizuoti duomenis diskuose ir nagrinėti grafinių failų paiešką pagal reikšminius žodžius, analizuoti failų metaduomenis (13.8 pav.), analizuoti duomenistarnybinę diskuose informaciją. ir nagrinėti grafinių failų tarnybinę informaciją.
13.8 pav. Failų metaduomenų analizė naudojant „Autopsy“ įrankį
106
13.8 pav. Failų13.8 metaduomenų pav. Failų analizė metaduomen naudojantų analiz „Autopsy“ė naudojant įrankį „Autopsy“ įrankį
106 112 ▬▬ „Scalpel“ – tai greitas failų analizatorius, kuris apdoroja failų header ir footer informaciją. ▬▬ „Memdump“ – įrankis, galintis apdoroti ir operatyviosios atminties, ir PCI sude- rinamų įrenginių atmintį. Taip pat galima paminėti tokius nemokamus NEE įkalčių analizės įrankius ar jų rinkinius, kaip „The Coroner’s Toolkit“ (įrankis, pritaikytas „Unix“ tipo sistemų ana- lizei), „The Sleuth Kit“ (plačios paskirties įrankių rinkinys), „Categoriser 4 Pictures“ (grafinės informacijos analizės ir kategorizavimo įrankis), „OSForensics“ (įrankis, skirtas failų, vaizdų, elektroninio pašto ir naršyklių naudojimo istorijos analizei).
13.3. Kontroliniai klausimai ir praktiniai darbai
Kontroliniai klausimai
1. Kokius NEE įkalčių analizės būdus galėtumėte įvardyti? Kokie yra šių me- todų ypatumai? 2. Kokių reikšminių žodžių NEE tyrėjas gali ieškoti: a) analizuodamas failinę sistemą; b) analizuodamas atminties atvaizdą; c) kuo gali būti motyvuoti ieškomų reikšminių žodžių skirtumai? 3. Kokią informaciją NEE tyrėjui gali suteikti interneto naršyklės naudojimo istorijos analizė? 4. Kokius komercinius ir nemokamus NEE įkalčių analizės įrankius galite įvardyti? 5. Kuo NEE tyrėjui gali būti naudinga MACB vizualizacija?
Praktiniai darbai
Mokomojoje aplinkoje „Tele-Lab – Virtual IT Security Laboratory“ arba, studi- juodami savarankiškai, savo kompiuteryje paleiskite „SANS SIFT Workstation“ pro- graminę įrangą. Susiskirstykite į grupes po 2–3 žmones. Dėstytojui pateikus mokomuo- sius įkalčių rinkinius ir vykdydami jo instrukcijas, atlikite: 1. Lankstaus diskelio, kuriame yra ir ištrintų, ir neištrintų failų, failinės siste- mos analizę. 2. Paiešką pagal raktinius žodžius pateiktame kietojo disko atvaizde. Kiekvie- nai grupei dėstytojas aprašo tariamą situaciją, kurios pagrindu studentai nu- sprendžia, kokių raktinių žodžių reikia ieškoti. Atlikite „Internet Explorer“ naršyklės naršymo istorijos analizę. 3. Dokumentuokite atliktus veiksmus ir tyrimo išvadas. Viešai aptarkite tyri- mo rezultatus ir etaloninius (dėstytojui žinomus) tyrimo rezultatus.
113 14.
TYRIMO ATASKAITOS PARENGIMAS
Tyrimo ataskaitos parengimas atlikus įkalčių analizę yra labai svarbus tyrimo etapas. Dokumentas yra parengiamas su tikslu pristatyti analizės išvadas suinteresuo- tiems asmenims. Jei išvados negali būti suformuluotos, niekas negalės įvertinti tyrimo rezultatų ir priimti reikiamų sprendimų. Labai dažnai ataskaitai parengti ir atitinkamai kvalifikacijai suteikti nėra skiria- ma pakankamai dėmesio. Gerai struktūrizuotos ir logiškai išdėstytos ataskaitos paren- gimas padidina tikimybę, kad nusikaltėlis bus nubaustas, o surinkti įrodymai – pripa- žinti tinkamais. Vykdant formalųjį kriminalinį tyrimą, ataskaita taip pat tampa privalo- ma rezultatų pristatymo forma teismui. Ataskaita – pagrindinis atlikto darbo rezultatas, todėl jai turi būti taikomi aukščiausi kokybės reikalavimai. Pagrindinė tyrimo užduotis yra faktų ir įkalčių dokumentavimas. Labai dažnai ataskaita yra pristatoma žmonėms, neturintiems specializuotų žinių, todėl dėstymo kal- ba ir faktų pateikimas turi būti paprastas ir suprantamas. Vaizdumo dėlei ataskaita gali būti papildoma išvadas detalizuojančiomis diagramomis ar iliustracijomis. Rekomen- duojama, kad tyrėjo kvalifikacijai patvirtinti prie ataskaitos būtų prisegtas jo gyvenimo aprašymas (CV) ir anksčiau vykdytų tyrimų sąrašas.
14.1. Tyrimo ataskaitų tipai
Pirmasis uždavinys, kurį turi išspręsti tyrėjas, rengiantis ataskaitą, yra ataskaitos tikslo ir tikslinės auditorijos nustatymas. Ataskaita tūri būti rengiama ir struktūrizuota, kad ją galėtų suprasti specifinių kompiuterijos žinių neturintys specialistai (teisėjai, verslo atstovai, advokatai ir t. t.). Bendriausiu atveju ataskaitos yra skirstomos pagal pateikimo formą: ▬▬ žodinės; ▬▬ rašytinės; ir formalumą: ▬▬ formalios; ▬▬ neformalios. Kai formali ataskaita yra pristatoma žodine forma, jos tikslinė auditorija daž- niausiai yra direktorių taryba, kiti vadovai arba teismas. Tokiais atvejais dažniausiai būna numatytas pristatymo formatas ir griežtas laiko limitas. Gali tekti ruošti ne tik savo kalbą, bet ir numatyti galimus auditorijos klausimus (advokatų, prokurorų, verslo atstovų) bei paruošti jiems aiškius ir argumentuotus atsakymus. Kartais tokie klausimai gali būti pateikti tyrėjui iš anksto, pristatymo rengimo metu.
114 Neformalios žodinės ataskaitos forma dažniausiai nebūna griežtai apibrėžta, o pati ataskaita pristatoma vienam arba keliems asmenims, dažniausiai prokurorui arba advokatui. Tokios ataskaitos pagrindinė užduotis yra pateikti preliminarias išvadas. Pa- grindinė šio ataskaitos tipo rizika yra galimas informacijos nutekėjimas trečiosioms ša- lims, todėl būtina imtis priemonių tokiam scenarijui išvengti (informacijos pateikimas tik tiems asmenims, kuriems priklauso ją turėti pagal pareigas; informacijos neteikimas esant įtarimams; konfidencialumo sutarčių pasirašymas). Neformali rašytinė ataskaita yra rengiama siekiant pristatyti tarpines ar prelimi- narias tyrimo išvadas, kai nėra galimybės jas pateikti žodžiu arba prašomas būtent toks rezultatų pateikimas. Ataskaitai iškyla tos pačios rizikos kaip ir žodinės neformalios ataskaitos atveju. Neformali rašytinė ataskaita gali būti naudojama ir tada, kai būtina dokumentuoti tyrimo rezultatus, tačiau jos nesiruošiama atiduoti teismui, t. y. užsako- vas yra organizacija, atliekanti vidinį tyrimą. Neformali ataskaita yra traktuojama kaip labai svarbus tyrimo dokumentas, atspindintis tyrimo eigą, todėl negali būti naikinamas be atskiro užsakovo ar prokuroro nurodymo, nes tokie veiksmai gali būti prilyginti įkalčių sunaikinimui. Formali rašytinė ataskaita dažniausiai pateikiama su priesaika. Šiam ataskaitos tipui keliami ypač griežti reikalavimai, turi būti naudojamos ištobulintos formuluo- tės, gramatika, punktuacija ir stilius. Dažniausiai naudojamas informacijos perteikimas kalbant pirmuoju asmeniu. Formalios ataskaitos naikinimas yra apibrėžiamas įstatymo nustatyta tvarka.
14.2. Tyrimų ataskaitos reikalavimai
Atsižvelgiant į tyrimų ataskaitų svarbą, yra suformuoti tam tikri ataskaitų ren- gimo reikalavimai ir rekomendacijos . Dalis iš jų yra privalomojo pobūdžio, o kita dalis – rekomendacinio. Skirtingose šalyse gali būti taikomi šiek tiek kitokie ataskaitų rengimo reikalavimai. Bendrojo pobūdžio reikalavimai, tokie kaip gramatikos klaidų nebuvimas, poskyryje nėra detalizuojami. ▬▬ Tyrimo tikslo ir ataskaitos išvadų atitikimas. Ataskaita turi būti konkreti, o išva- dos turi nurodyti, kiek ir kaip pavyko pasiekti tyrimo tikslo. Tikslas dažniausiai apibrėžiamas pačioje tyrimo pradžioje tyrimo užsakovo. Ataskaitoje neturi būti informacijos, tiesiogiai nesusijusios su tiriamu įvykiu. Siekiant konkretaus tikslo pagreitinamas tyrimo procesas ir sumažinamos išlaidos. Ataskaita turi pateikti atsakymus į klausimus: „Kas?“, „Kaip?“, „Kada?“, „Kur?“ ir „Kodėl?“, arba nurodyti, į kokius klausimus nepavyko gauti atsakymo. ▬▬ Ataskaitos nuoseklumas ir logiškumas. Ataskaita turi atspindėti tyrimo eigą, turi būti išvengta mėtymosi iš vieno etapo į kitą. Turi būti apibrėžti tyrimo tikslai, ap- rašyta tyrimo eiga, pristatyti analizės rezultatai, tyrimo išvados ir rekomendaci- jos. Priimami sprendimai turi būti paremti prieš tai įvykdytų veiksmų rezultatais. Ataskaitos nuoseklumas gali būti pasiektas taikant ataskaitos ir jos struktūros planavimą prieš pradedant ją rengti.
115 ▬▬ Aiški ataskaitos struktūra. Kiekviename ataskaitos paragrafe turi būti pateikia- ma tik viena ataskaitos mintis. Skyrių ir skyrelių pavadinimai turi atspindėti tuo- se skyriuose dėstomą medžiagą. Esant didelei ataskaitai po skyriaus pavadinimo gali būti skyriaus santrauka. Lentelės ir grafikai turi būti sunumeruoti ir pavadin- ti. Grafikuose turi būti nurodyti naudojami matavimo vienetai. Ataskaitoje turi būti tokios dalys: ――santrauka – ataskaitos esmė ir esminiai tyrimo momentai, išvados; ――turinys; ――pagrindinė ataskaitos dalis; ――išvados ir, pagal poreikį, rekomendacijos; ――naudotų šaltinių sąrašas; ――terminų ir santrumpų žodynas; ――padėkos (jei taikoma); ――priedai (pagal poreikį). ▬▬ Tyrimo medžiagos pilnumas. Ataskaitoje turi būti aprašyti: ――metodai, įranga ir procedūros, taikytos vykdant tyrimą; panaudotai įrangai turi būti pateiktos licencijos, įrodančios teisę šia įranga naudotis; ――kada, kur ir kokie įkalčiai buvo surinkti; ――surinkti duomenys; ――bet kokie veiksmai, galėję modifikuoti duomenis, duomenys, dėl kurių yra abejojama, taip pat priemonės, kurių buvo imtasi vientisumui užtikrinti ir klaidoms sumažinti; ――problemos ir kliūtys, su kuriomis buvo susidurta tyrimo metu. ▬▬ Orientaciją į tikslinę auditoriją. Dėl to, kad ataskaita yra skiriama verslo ar teisi- nes žinias turintiems užsakovams, ji turi būti aiški ir suprantama ne tik NEE ty- rimo specialistams. Kaip vienas iš būdų gali būti taikomas aiškinamasis terminų žodynas ir santrumpų sąrašas, specifinių terminų ir žargono vengimas. ▬▬ Nešališkumas pateikiant duomenis. Ataskaitoje tūri būti vengiama vertinimų, nesusijusių su tyrimo tikslu, epitetų ir emocijų. ▬▬ Išvadų pagrindimas. Kiekviena pateikiama ataskaitos išvada turi būti argumen- tuota ir pagrįsta nustatytais faktais ir įkalčiais. Negalima remtis prielaidomis, gandais arba spėjimais. Paprastai rekomenduojama, kad NEE tyrėjas susikurtų ir naudotųsi paruoštu ataskaitos šablonu, kuriame numatyti visi būtini skyriai, parašyta įžanginė ir bendro pobūdžio informacija. Toks šablonas gali būti naudojamas kaip kontrolinis sąrašas ir tuo pačiu taupyti laiką rengiant ataskaitas – kiekvieną kartą modifikuojami tik pasikeitę duomenys, negaištamas laikas struktūrai sukurti ir nėra praleidžiami svarbūs punktai.
116 14.3. Ataskaitos struktūra
Nėra vienintelio visuotinai priimto tyrimo ataskaitos formato ar struktūros. Atas- kaitos gali skirtis priklausomai nuo šalies ir organizacijos. Pagrindinis reikalavimas yra 14.2 poskyryje išvardytų reikalavimų įvykdymas. Dažniausiai ataskaita gali būti suskirstyta į keturias logines dalis: ▬▬ I dalyje aprašoma administracinė su tyrimu susijusi informacija, tokia kaip ty- rimą vykdanti organizacija / specialistas, jų kontaktinė informacija ir ataskaitos saugojimo vieta. ▬▬ II dalyje pateikiama esminė ataskaitos pateikimo priežastis ir tyrimo santrauka. ▬▬ III dalis – pagrindinė ataskaitos dalis, kurioje aprašomas tyrimo procesas, rasti įkalčiai, formuluojamos tyrimo išvados ir t. t. ▬▬ IV dalyje pateikiami ataskaitos priedai, nuorodos į naudotą medžiagą, padėkos ir t. t. Dalis NEE tyrimui skirtų įrankių, tokių kaip „Forensic Toolkit“ (FTK), „DriveS- py“, „Ilook“, „EnCase“ gali automatiškai generuoti ataskaitas, pasirenkant vaizdavimo formatą (HTML, „MS Word“, PDF ir t. t.). Ruošiant NEE tyrimo ataskaitos turinį dominuoja du formatai: dešimtainio nu- meravimo ir nuosekliojo teisinio numeravimo. 14.1 lentelėje pateikiami pavyzdiniai ataskaitos struktūros vaizdavimo variantai abiem formatais, siūlomi CHFI kursui. Pastaba: tai nėra pilna ataskaitos struktūra, o tik struktūros pavaizdavimo būdai.
14.1 lentelė. Pavyzdinis NEE tyrimo ataskaitos turinys Dešimtainis numeravimas Nuoseklusis teisinis numeravimas 1.0. Įvadas I. Įvadas 1.1. Incidento prigimtis 1. Incidento prigimtis 1.1.1. Aukos charakteristika 2. Auka 2.0. Pirmasis incidentas 3. Liudininkai 2.1. Pirmasis liudininkas 4. Įkalčių lokalizavimas 2.1.1. Liudininko parodymai – pirmasis liudininkas … … II. Tyrimas 3.0. Įkalčių lokalizavimas 5. Įkalčių grandinė 3.1. Įkalčių išėmimas 6. Įkalčių identifikavimas 3.1.1. Įkalčių transportavimas 7. Įkalčių analizė … … 4.0. Įkalčių analizė 4.1. Įkalčių grandinė 4.1.1. Duomenų išgryninimas … 5.0. Išvados 5.1. Rezultatai 5.1.1. Eksperto nuomonė …
Nuoseklusis teisinis numeravimas dažniau naudojamas pareiškimuose ir popu- liarus tarp teisininkų. Romėniški skaičiai žymi esminius aspektus, o arabiški naudoja- mi skyriams, detalizuojantiems esminę informaciją, žymėti. Dešimtainis numeravimas gali užtikrinti „gilesnę“ skyrių hierarchiją. Konkretaus numeravimo pasirinkimas pri- klauso nuo tyrimo užsakovo.
117 14.4. Kontroliniai klausimai
1. Kokius tyrimo ataskaitų tipus galite išvardyti? 2. Su kokia rizika susiduriama pristatant neformalias tyrimo ataskaitas? 3. Kuriam tyrimo ataskaitos tipui yra keliami griežčiausi reikalavimai? Kodėl? 4. Išvardykite, kokie reikalavimai yra taikomi NEE tyrimo ataskaitoms. 5. Kuo skiriasi dešimtainis ir nuoseklusis teisinis numeravimas? Pateikite kie- kvieno iš numeravimo tipų pavyzdžių.
118 15.
PROFESINĖ KARJERA
Išaugęs NEE tyrimų poreikis ir vis didėjantys reikalavimai, keliami tyrėjų kva- lifikacijai, lėmė tai, jog pradėjo formuotis tam tikras NEE tyrėjų, žinančių, kaip atlikti įkalčių išėmimą, apsaugoti nestabilius įkalčius bei atlikti jų analizę, sluoksnis. Iš pra- džių tokių tyrėjų pagrindą sudarė buvę kriminalinių nusikaltimų tyrėjai, turintys tam tikrų kompiuterijos žinių ir išmanantys patį tyrimo procesą. Vis didėjantis kompiuterių sistemų sudėtingumas bei pradėtos taikyti nusikaltėlių apsisaugojimo priemonės pri- traukė į šią sritį jau gilių kompiuterių sistemų žinių turinčių specialistų, kuriems teko mokytis teisinių tyrimų aspektų. Nors NEE tyrėjo pareigos, profesinės karjeros galimybės ir poreikiai kvalifika- cijai vis dar nėra galutinai susiformavę, šiame skyriuje apžvelgiami pagrindiniai NEE tyrėjo profesinės karjeros aspektai, taip pat ir įvairių organizacijų siūlomos sertifikavi- mo galimybės.
15.1. Rolės ir pareigos tyrimo metu
Rolės ir pareigos NEE tyrimo metu gali būti suskirstytos priklausomai nuo to, kokiam organizacijos tipui tyrėjas priklauso. Poskyryje nenagrinėjamas techninės kva- lifikacijos lygio klausimas, kadangi daroma prielaida, kad nepriklausomai nuo organi- zacijos tipo kvalifikacija turi būti pakankama tyrimui vykdyti.
Organizacijos vidinis tyrėjas
Organizacijos įdarbina vidinius auditorius (arba samdo tam tikslui trečiųjų šalių organizacijas) ir suteikia atitinkamas galias bei priemones, norėdami: ▬▬ greitai reaguoti į organizacijoje kylančius incidentus, juos tirti; ▬▬ stebėti įtarimus keliančių darbuotojų veiksmus; ▬▬ bendradarbiauti su teisėsaugos institucijomis, jei tyrimas pereina į formaliojo tyrimo fazę. Pagrindinės kompetencijos, kurių reikia vidinio auditoriaus darbą atliekančiam auditoriui: ▬▬ Darbuotojų teisių į privatumą supratimas, vykdant tyrimą arba prevencinį veiks- mų stebėjimą. Skirtingos teisinės sistemos skirtingai supranta, kiek gali būti pa- žeistas darbuotojų privatumas tyrimo ir stebėjimo metu. JAV beveik 75 proc. organizacijų vykdo visų savo darbuotojų veiksmų stebėjimą, net jei nekyla įta- rimo, kad darbuotojas ketina atlikti neteisėtus veiksmus. Vienas iš pagrindinių tokio masinio stebėjimo tikslų – darbo efektyvumo vertinimas, t. y. stebėjimas,
119 ar darbuotojas darbo vietoje neatlieka pašalinių veiksmų, nesusijusių su darbu, o pašalinių veiksmų aptikimas gali būti nuobaudų taikymo ar atleidimo priežas- timi. Nors JAV įstatymai ir konstitucija garantuoja teisę į privatumą, susifor- mavusi teismų praktika daro išimtį būtent kompanijoms, traktuojant darbdavio resursus kaip ne darbuotojo privačią erdvę. Nepaisant to, tyrėjas turi suprasti galimas perteklinio stebėjimo rizikas. Europos Sąjungos teisės aktuose minima, kad stebėjimas yra leidžiamas tik įtariant nusikalstamą veiklą, stebėjimas darbo efektyvumui nustatyti yra draudžiamas, darbuotojas turi teisę į privatumą net besinaudodamas darbdavio resursais. ▬▬ Bendravimo niuansų su teisėsaugos institucijomis supratimas. Neminint būtinų žinių, tokių kaip mokėjimą pranešti teisėsaugos institucijoms apie įvykusį nusi- kaltimą, bendrų ir saugių komunikacijos kanalų žinojimą bei gebėjimą atstovauti organizacijos interesams teisme techniniais klausimais, NEE tyrėjas turi suprasti tam tikras teisėsaugos institucijų bendravimo subtilybes. Dauguma iš jų, tokių kaip informacijos apie tyrimo eigą nesuteikimas arba ribotos informacijos sutei- kimas, tyčinis klaidinimas apie tyrimo eigą ir t. t., gali būti paaiškintos tuo, kad teisėsaugos atstovai, pradėdami tyrimą, visus darbuotojus, taip pat ir vidinį ty- rėją, traktuoja kaip potencialius įtariamuosius, o išsamesnę informaciją pradeda teikti tik tada, kai įtarimai nebetaikomi. ▬▬ Mokėjimas pateikti pagrindžiančią informaciją. Kadangi NEE tyrėjas yra žmo- gus, vienas iš geriausiai suprantančių organizacijos kompiuterių sistemų veiki- mą po techninio personalo (tinklų ir sistemų administratorių, inžinierių ir kt.), kurie dažniausiai retai įtraukiami į tyrimo eigą dėl potencialaus įtarimo (didžioji dauguma duomenų vagysčių įvykdoma organizacijos darbuotojų, o ne išorinių programišių), būtent tyrėjo pareiga yra perteikti teisėsaugos institucijoms infor- maciją apie organizacijos sistemas, įdiegtas stebėjimo sistemas, renkamus įvy- kių registracijos įrašus ir t. t.
Teisėsaugos organų NEE tyrėjai
Teisėsaugos organuose dirbančių NEE tyrėjų pareiga yra, be abejo, formaliojo tipo NEE tyrimų vykdymas, tyrimo dokumentų perdavimas teismui, dalyvavimas teis- mo procese kaip ekspertui ir liudininkui, nustatyta tvarka konsultuoti kitas valstybines ir komercines organizacijas. Tokiam darbui būtina išmanyti tokius NEE tyrimo niuan- sus: ▬▬ Organizacijos problemų supratimas. Organizacijos kartais gali neturėti pakan- kamai resursų arba kvalifikacijos, kad galėtų padėti tyrėjui vykdyti tyrimą; gali būti susiduriama su tyrimo eigos nesuvokimu arba priešišku nusistatymu. Ty- rėjas turi mokėti taikyti skirtingus bendravimo būdus (nuo bandymo suprasti, kodėl nėra efektyvios komunikacijos, iki administracinių priemonių taikymo, jei nustatomas tyčinis nebendradarbiavimo atvejis). ▬▬ Gebėjimas įvertinti, kokio tipo sistemų tyrimą taikyti – „gyvų“ ar „negyvų“. Tyrėjas turi suprasti, kad gydytojų pagrindinis principas „nepakenk“ galioja ir tiriant NEE, t. y. reikia įvertinti, ar patogus „negyvų“ sistemų analizės metodas nepridarys daugiau žalos nei naudos.
120 ▬▬ Žiniasklaidos vengimas. Organizacijos vengia viešumo tais atvejais, kai jose įvyksta incidentai, sąlygoti ir jų darbuotojų (pvz., darbuotojas darbo vietoje nau- dodamas kompiuterį vykdė nelegalią veiklą), ir trečiųjų šalių (pvz., nuotoliniai įsilaužimai su duomenų vagyste), kadangi atsiranda reputacijos praradimo rizi- ka. NEE tyrėjams rekomenduotina, galbūt netaikant rezonansinių nusikaltimų atvejams, neperduoti žiniasklaidai jokių duomenų, kurie gali turėti neigiamos įtakos organizacijai, jei būtų paskelbti. ▬▬ Privataus ir valstybinio sektoriaus skirtumų suvokimas. Darbo organizavimo schemos, taikomas dokumentų valdymas, duomenų mainai, sprendimo priėmi- mo greičiai ir t. t. gali ženkliai skirtis. Taip pat daug gali priklausyti nuo organi- zacijos dydžio ir turimų išteklių.
Kitos NEE tyrimo proceso šalys
Kitoms NEE tyrimo proceso šalims gali būti priskirti advokatai ir prokurorai, kurie atitinkamai bando įrodyti arba įtariamojo nekaltumą, arba kaltę. Nors jų veiksmų pagrindą turėtų sudaryti teisinės žinios, tačiau, siekdami kokybiškai atlikti savo darbą, jie turi išmanyti ir techninius kompiuterių sistemų veikimo aspektus bei reikalavimus NEE tyrimo procesui, kad galėtų formuoti gynybos ar kaltinimo strategiją. Kadangi ši knyga yra orientuota į tyrimo procesą, gynimo ir kaltinimo proceso aspektai joje nenagrinėjami.
15.2. NEE tyrėjo profesinė etika
NEE tyrėjo etika gali būti suprantama kaip tam tikras rekomendacijų ir drau- dimų sąrašas, kuriuo NEE tyrėjas, nepriklausomai nuo to, valstybinėje ar privačioje organizacijoje jis dirba, turi vadovautis, atlikdamas tyrimus. Etinių normų vykdymas suteikia tyrėjui pasitikėjimo savo veiksmų teisingumu ir korektiškumu, taip pat išven- giama potencialių kaltinimų. Pagrindiniai NEE tyrimo etiniai principai, minimi skirtin- gų autorių: ▬▬ Atlikti darbą atsakingai, siekiant išsiaiškinti objektyvias nusikaltimo aplinkybes. ▬▬ Vykdyti tyrimą tik tuo atveju, jei turima pakankamai žinių konkrečiam tyrimui vykdyti. ▬▬ Etinių principų laikymasis turi būti pastovus, o ne priklausyti nuo aplinkybių, išorinio spaudimo ir t. t. ▬▬ Vykdant tyrimą organizacijoje, būtina atsižvelgti į tos kompanijos etikos kodek- są, kad būtų išvengta jo pažeidimo. ▬▬ Negalima daryti išvadų apie tiriamą nusikaltimą iš kitų potencialiai kompromi- tuojančių duomenų, rastų tyrimo metu. ▬▬ Reikia vengti juokų, patyčių ar nekorektiškų komentarų apie tyrimo metu suras- tus duomenis.
121 ▬▬ Būtinas atsiribojimas nuo emocinės įvykio pusės, objektyvumo išlaikymas bei vadovavimasis įstatymais bei instrukcijomis. ▬▬ Tyrimo eigos konfidencialumo išlaikymas. Informacija neturi būti platinama ne tik įtariamiesiems, bet ir nukentėjusiesiems, liudininkams, bendradarbiams, ku- rie neatlieka konkrečiai šito NEE tyrimo, draugams ir giminėms. Informacija tur būti suteikiama tik tiems, kas turi į ją teisę ir kam ji reikalinga pareigoms vykdyti. ▬▬ Vengti interesų konflikto, t. y. nesiimti tyrimų, į kuriuos potencialiai gali būti įtraukti draugai, giminės ir t. t. ▬▬ Nenaudoti gautos informacijos asmeniniais tikslais, šantažui ar kitokiai neteisė- tai veiklai. ▬▬ Nuolat kelti savo profesinę kvalifikaciją. ▬▬ Pranešti žiniasklaidai informaciją apie tyrimą, tik jei tam yra gautas atitinkamas leidimas ir neviršijant pranešimo spaudai ribų. Atvejais, kurie nėra aprašyti šiame sąraše, tyrėjui reikia vadovautis teisine baze ir bendraisiais moralės bei etikos principais.
15.3. Sertifikacija
Didelės konkurencijos erdvėje, kuriai priklauso ir darbo rinka, konkurencinį pranašumą įgyja specialistai, turintys aukštą žinių lygį bei patirties. Vienas iš būdų patvirtinti savo kvalifikacijos lygį yra sertifikacijos procesas, kurio metu nepriklauso- ma trečioji šalis įvertina žinių atitikimą tam tikram reikalaujamam minimaliam žinių lygiui, ir sėkmingai praėjusiems patikrinimą išduoda tai patvirtinantį sertifikatą. Darb- davys, matydamas kandidato sertifikatą, gali būti tikras, kad jis turi pakankamą žinių lygį pareigoms vykdyti. Viena iš pagrindinių pasitikėjimo sertifikacijos programomis priežasčių – griež- tos sertifikavimo procedūros ir vertinimo objektyvumas. Šiuo metu nemažai komer- ciniais ir visuomeniniais pagrindais veikiančių kompanijų siūlo NEE tyrimo srities profesinio sertifikavimo programų. Tarpusavyje jos skiriasi nagrinėjamomis temomis, vertinimo sistemomis ir tiksline auditorija. Šiame poskyryje apžvelgiamos populiariau- sios sertifikavimo programos. Rengiant šį vadovėlį buvo, be abejo, atsižvelgta į komercines sertifikavimo pro- gramas bei stengtasi, kad būtų parengtos daugumos kursų pagrindinės temos. Atsižvel- gianti į vadovėlio apimtį, išimtis buvo daroma tik bendriesiems klausimams, tokiems kaip failinių sistemų funkcionavimo principai ir panašiems, kadangi jie yra studijuoja- mi kituose universitetiniuose kursuose.
„Computer Hacking Forensic Investigator“
CHFI (angl. Computer Hacking Forensic Investigator) yra viena iš populiariau- sių sertifikavimo programų. Ją vykdo „International Council of E-Commerce Consul- tants“ („EC-Council“). Pagrindinis dėmesys skiriamas tinkle vykstančių incidentų ty- rimui. Klausytojams suteikiamos žinios bei įgūdžiai, reikalingi neteisėto įsibrovėlio ir
122 jo kaltės įrodymams identifikuoti, naudojamiems metodams ir technikai atpažinti. Šios žinios ir įgūdžiai padeda surinkti kompiuterinio įsibrovėlio kaltės įrodymus, būtinus patraukti asmenį teisinėn atsakomybėn. Pagrindinės kurso temos: ▬▬ NEE ir jų tyrimas šiuolaikiniame pasaulyje; ▬▬ sistemos, diskai ir laikmenos; ▬▬ NEE tyrimo procesas; ▬▬ duomenų gavimas, dublikavimas ir ištrintų duomenų atstatymas; ▬▬ „Windows“, „Linux“ ir „Machintosh“ įkrovos procesas; ▬▬ tyrimai „Windows“ ir „Linux“ terpėje; ▬▬ steganografija ir programinės įrangos nulaužimo technikos; ▬▬ atakos ir nusikaltimai, vykdomi kompiuteriu; ▬▬ tinklo srauto ir įvykių registracijos įrašų analizė; ▬▬ maršrutizatorių ir tinklo įrangos analizė; ▬▬ atakų bevielėje erdvėje tyrimas; ▬▬ portatyvinių įrenginių analizė; ▬▬ NEE tyrimo įrankiai; ▬▬ tyrimas naudojat „EnCase“ įrankius; ▬▬ atsakas į incidentus; ▬▬ tyrimų tipai. Tikslinė auditorija – policijos ir kiti teisėsaugos pareigūnai, šalies gynybos mi- nisterijos atstovai, el. verslo saugumo specialistai, sistemų administratoriai, NEE srities teisininkai, draudimo kompanijų atstovai, kuriems tai gali būti naudinga nustatant suk- čiavimo atvejus, IT vadovai. Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems EC0 312- 49 egzaminą (testą). Egzaminui galima ruoštis savarankiškai arba akredituotuose mo- kymo centruose. Sertifikatas galioja 3 metus, po kurių turi būti pakartotinai laikomas egzaminas. Prieš egzamino laikymą rekomenduojama turėti CEH (angl. Ethical Hac- king and Countermeasure) sertifikatą.
„Certified Computer Examiner“
CCE (angl. Certified Computer Examiner) yra vien tik NEE tyrimo srityje be- sispecializuojančios kompanijos „International Society of Forensic Computer Exami- ners“ sertifikavimo programa. Ji gali būti laikoma kaip viena iš sudėtingiausių. Sertifi- kato siekiantis kandidatas turi išmanyti: ▬▬ NEE tyrimo etinius klausimus; ▬▬ NEE tyrimo teisinius klausimus; ▬▬ programinės įrangos licencijavimo klausimus; ▬▬ kompiuterinės įrangos veikimo principus; ▬▬ kompiuterių tinklų veikimo principus; ▬▬ operacinių sistemų veikimo principus; ▬▬ įkalčių išėmimo procesą; ▬▬ NEE tyrimo procesą;
123 ▬▬ failinių sistemų ypatumus; ▬▬ laikmenų veikimo principus; ▬▬ informacijos vienetus ir adresaciją; ▬▬ sterilumo užtikrinimo klausimus; ▬▬ apie specializuotus įkrovos diskus; ▬▬ kitus naudingus įgūdžius; ▬▬ pratybas. Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje; neribojama. Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems egzami- ną. Egzaminą leidžiama laikyti akredituotuose mokymo centruose CCE kursą išklau- siusiems klausytojams arba specialistams, savarankiškai besiruošusiems egzaminui ir turintiems ne mažesnę nei 18 mėnesių NEE tyrimo darbo patirtį arba vykdantiems NEE srities tyrimus, jei ta patirtis yra pripažinta tinkama sertifikavimo komisijos. Kandidatai negali būti teisti ir turi vadovautis CCE etikos kodeksu. Egzaminas susideda iš dviejų dalių: testo (norint išlaikyti reikia teisingai atsakyti ne mažiau kaip 70 proc. klausimų) ir praktinės dalies, kurią gali laikyti tik sėkmingai išlaikę testą. Praktinio testo metu kiekvienas kandidatas gauna individualias užduotis ir yra kuruojamas jam paskirto va- dovo. Sertifikacija atliekama kas 2 metus.
„Certified Computer Forensics Examiner“
CCFE (angl. Certified Computer Forensics Examiner) yra vykdomas „Informa- tion Assurance Certification Review Board�������������������������������������������“ ������������������������������������������organizacijos. Tikrinamos 9 sričių kandi- datų žinios: ▬▬ teisiniai ir etiniai aspektai; ▬▬ tyrimo procesas; ▬▬ tyrimo įrankiai; ▬▬ įkalčių kietajame diske atstatymas ir vientisumas; ▬▬ kitų skaitmeninių įkalčių atstatymas ir vientisumas; ▬▬ failinių sistemų tyrimas; ▬▬ įkalčių analizė ir koreliacija; ▬▬ įkalčių atstatymas „Windows“ sistemose; ▬▬ darbas su tinklo ir nestabiliais įkalčiais; ▬▬ ataskaitų parengimas. Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje; neribojama. Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems egzami- ną. Pasiruošimas egzaminui – savarankiškas. Testą sudaro teorinė ir praktinė dalis.
„CyberSecurity Forensic Analyst“
CSFA (angl. CyberSecurity Forensic Analyst) sertifikacija vykdoma „CyberSe- curity Institute“ organizacijos, kurios specializacija – tik NEE tyrimai. Vertinama pagal
124 praktinių darbų atlikimą per nustatytą laiko intervalą ir ataskaitos parengimą. Testo uždaviniai formuluojami iš tokių sričių: ▬▬ operaciniai, archyviniai ir latentiniai duomenys; ▬▬ parodymai, prašymai ir šaukimai į teismą; ▬▬ TCP/IP baziniai aspektai; ▬▬ vienakryptės funkcijos ir kontrolinės sumos; ▬▬ paieška pagal reikšminius žodžius; ▬▬ ataskaitų parengimas; ▬▬ atvaizdo kopijų kūrimas; ▬▬ failų „header“ laukų formatai; ▬▬ dokumentacija, įkalčių grandinės, įkalčių apdorojimo procesas; ▬▬ bendravimas su ginamąja puse; ▬▬ FAT 12/16/32 failinės sistemos; ▬▬ tarpų analizė failinėje sistemoje, operatyviojoje atmintyje ir nepaskirstyta erdvė; ▬▬ NTFS failinė sistema; ▬▬ kompaktinių diskų analizė; ▬▬ skirtingų įvykio registracijos įrašų interpretavimas; ▬▬ interneto naudojimo istorijos interpretavimas ir HTTP koncepcija; ▬▬ rankinis ir automatinis duomenų atstatymas; ▬▬ „MS Office“ ir PDF failų metaduomenys; ▬▬ šifravimo ir slaptažodžio apsaugos mechanizmų vengimas; ▬▬ kompiuterio aparatinė įranga; ▬▬ privatumo aspektai; ▬▬ įkalčių taikymo taisyklės; ▬▬ „Windows“ kaupiklio failai; ▬▬ „Windows“ registrai; ▬▬ „Windows“ sukeitimų failai; ▬▬ darbas techniniu liudininku; ▬▬ draudimas ir atsakomybė; ▬▬ virusai ir KPK. Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje, tik JAV piliečiai arba turintys teisę gyventi JAV. Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems egzami- ną. Pasiruošimas egzaminui vyksta savarankiškai arba kursuose, kurie nėra privalomi. Testą sudaro teoriniai klausimai ir praktiniai uždaviniai. Praktinio uždavinio atlikimo metu galima naudotis bet kokia informacija, išskyrus kitų laikančių egzaminą pagalbą. Testą gali laikyti asmenys, turintys ne mažiau kaip 2 metų NEE tyrimo srities praktinę patirtį. Kandidatai turi pateikti pažymą iš JAV Federalinio tyrimo biuro dėl teistumo nebuvimo. Resertifikacijai reikalaujama kas 2 metus išklausyti ne trumpesnį nei80 valandų NEE tyrimų arba saugos kursą ir kas 4 metus kartoti testavimo procesą.
125 „PCI Forensic Investigator“
PFI (angl. PCI Forensic Investigator) programa yra vykdoma „Payment Card Industry (PCI) Security Standards Council“ organizacijos, kuriančios saugumo standar- tus bankiniam sektoriui. Pagrindinis dėmesys yra skiriamas bankinių kortelių numerių apsaugai ir su jų vagystėmis susijusių nusikaltimų tyrimams. Taip pat akcentuojamos atsako į tokio tipo incidentus procedūros. Programoje gali dalyvauti darbuotojai tik tų kompanijų, kurioms suteikta teisė vykdyti atitikimo „PCI Data Security Standard“ (PCI DSS) standarto reikalavimams auditą (PCI QSA). Kompanija taip pat turi turėti nusikaltimų tyrimų finansiniame sektoriuje patirties. Reikėtų pabrėžti, kad nepaisant to, kad šiame vadovėlyje buvo stengtasi parengti beveik visų kursų pagrindines temas, jo negalima naudoti kaip pasiruošimo sertifika- cijai medžiaga, kadangi kiekviena sertifikavimo programa turi savo specifikas ir NEE tyrimo interpretacijų, kurių buvo stengiamasi išvengti. Taip pat reikėtų paminėti, kad tyrėjui rekomenduojama turėti ir ne su NEE tyrimais susijusius sertifikatus, įrodančius jų kvalifikaciją, pvz., tinklų ir operacinių sistemų administravimo srities.
15.4. Kontroliniai klausimai
1. Kokie, Jūsų manymu, yra pagrindiniai vidinio organizacijos NEE tyrėjo ir teisėsaugos institucijoje dirbančio tyrėjo skirtumai kvalifikacijos požiūriu? 2. Kodėl teisėsaugos pareigūnai, tiriantys NEE nusikaltimą, gali vengti teikti informaciją apie tyrimo eigą net vidiniam organizacijos tyrėjui? 3. Kokia yra profesinio sertifikavimo esmė? Kokias NEE tyrimo srities sertifi- kavimo programas galėtumėte išvardyti?
126 16.
NUSIKALTIMŲ TYRIMAS: ATVEJŲ ANALIZĖ
Šio trumpo skyrelio tikslas yra supažindinti vadovėlio skaitytojus su keliais įvairaus pobūdžio nusikaltimais, kurių tyrimui buvo panaudoti NEE tyrimo metodai. Detalios tyrimo ataskaitos beveik nėra publikuojamos, tačiau ir iš viešai paskelbtų duo- menų galima susidaryti įspūdį, kaip buvo atliekamas tyrimas bei kokie įkalčiai turėjo lemiamą reikšmę.
16.1. NEE plačiąja prasme tyrimo atvejų analizė
Serijinio žudiko demaskavimas
Serijinis žudikas Dennis Lynn Rader nužudė 10 žmonių Wichita miestelio apylin- kėse (Kanzasas, JAV) laikotarpiu nuo 1974 iki 1991 m. Buvo baigęs aukštąjį mokslą, dirbo įvairius darbus, tarnavo kariuomenėje, buvo vedęs, turėjo vaikų, ėjo Liuteronų bažnyčios vietinės bendruomenės pirmininko pareigas. Laiškus, adresuotus policijai ir žiniasklaidos priemonėms, pasirašydavo BTK Killer (angl. Bind, Torture, Kill) slapyvardžiu. Laiškuose jis detaliai aprašydavo įvykdytus nusikaltimus ir jų aplinkybes. Policijai labai ilgai nepavyko susekti žudiko – nustatė tik apytikslę jo gyvenamąją vietą. Kaip kai kurie serijiniai žudikai, Dennis pasąmonėje norėjo atomazgos, tačiau ne- norėjo tiesiog pasiduoti, o siuntė policijai vis kitokias užuominas. 2004-aisiais jis atsiuntė policijai klausimą, ar jie galėsią jį susekti, jei jis atsiųstų FDD diskelį su nusikaltimų ap- rašymais. Policija per žiniasklaidos priemones atsakė, kad taip. Netrukus Dennis išsiuntė lankstųjį diskelį į vietinę televizijos stotį. Diskelio NEE tyrimas atskleidė („MS Word“ metaduomenų analizė), kad tikėtina, jog dokumento autorius yra žmogus vardu Dennis, o programa yra registruota Liutero- nų bažnyčios parapijos vardu. Tai ir apytikslės gyvenamos vietos žinojimas leido policijai areštuoti žudiką. Tyrimo išvadas patvirtino DNR analizė (http://en.wikipedia.org/wiki/Den- nis_Rader#Arrest).
Priekabiavimo atvejo ir identiteto vagystės tyrimas
Vyriškis, vardu Suhas Katti (Tamilų valstija, Indija), buvo areštuotas už prieka- biavimą prie moters, kurią norėjo vesti, tačiau ji ištekėjo už kito vyro. Po kurio laiko ji išsiskyrė, o Suhas Katti vėl pradėjo siekti tos moters palankumo. Gavęs pakartotinį neigiamą atsakymą, jis ėmėsi psichologinio smurto internetu. Moters vardu „Yahoo! Groups“ jis paskelbė skelbimą, žeminantį jos reputaciją. Moters vardu jis atidarė el.
127 pašto paskyrą, kurią nurodė skelbime, o gaunamus laiškus persiųsdavo į tikrą aukos paštą. Skelbimas lėmė tai, kad auka sulaukė daugybės nepadorių pasiūlymų ir kreipėsi į teismą. Policija sugebėjo atsekti siųstų elektroninių laiškų siuntimo kelią ir areštuoti įtariamąjį. Gynybos advokatai bandė teigti, kad laiškai buvo inicijuoti aukos buvusio vyro, o ne įtariamojo. Taip pat akcentavo, kad ne visi įkalčiai buvo surinkti laikantis teisinių reikalavimų. Tačiau teismas buvo palankus kaltintojų pusei, atsižvelgdamas į tai, kad įkalčių analizės duomenis atitiko ir liudininkų parodymai (http://www.cyber- lawclinic.org/casestudy.asp).
Įkalčių, surinktų viešojoje erdvėje, panaudojimas nužudymui įrodyti
Jaunas nusikaltėlis nušovė San Oleandro (Oklandas, JAV) aukštosios mokyklos futbolo žaidėją. Oklando policija nustatė gatvės, kurioje gyveno įtariamasis, pavadini- mą. Policija taip pat turėjo vaizdo įrašus iš įvykio vietos. Įtariamasis buvo identifikuotas, ieškant visų gatvės gyventojų nuotraukų inter- nete ir lyginant jas su vaizdu iš įvykio vietos. Įtariamojo nuotrauka buvo rasta portalo „MySpace“ puslapyje, kuriame įtariamasis priklausė gangsterių interesų grupei. Patei- kus įrodymus, įtariamasis Dwayne Stancill pripažino savo kaltę. Nusikaltėlis nenurodė jokių aiškių nusikaltimo motyvų (http://www.cyberlawsindia.net/cases.html).
16.2. NEE siaurąja prasme tyrimo atvejų analizė
DoS atakų tyrimas
Programišius Michael Calce (taip pat žinomas kaip MafiaBoy) iš Kvebeko pro- vincijos (Kanada) 2000 metais įvykdė DoS ataką prieš „Yahoo“ paieškos sistemą, dėl šios priežasties sistema neveikė beveik valandą. Per savaitę jis taip pat paralyžiavo Buy.com, Ebay.com, CNN.com, Amazon.com ir Dell.com portalų veiklą, tačiau ne apie visus incidentus buvo pranešta spaudoje. Pagrindinis jo siekis buvo įgauti pripažinimą programišių grupuotėje TNT. Policijai pavyko demaskuoti nusikaltėlį, stebint programišių kontroliuojamus IRC kanalus: viename iš jų Michael Calce gyrėsi įvykdęs ataką, apie kurią nebuvo plačiai žinoma. Gynyba bandė įrodyti, kad atakų pasekmės buvo netyčinės, tačiau Mi- chael prisipažinimai IRC kanale leido pagrįsti, kad tai buvo tyčinis veiksmas (http:// en.wikipedia.org/wiki/Mike_Calce). Analogiškai, analizuojat IRC kanalų įrašus, buvo įrodyta ir programišiaus Den- nis M. Moran kaltė, vykdžiusio DDoS atakas prieš daugybę populiarių tinklo portalų (http://en.wikipedia.org/wiki/Dennis_Moran_%28computer_criminal%29).
128 Įsilaužimo faktų nustatymas
Nahshon Even-Chaim (taip pat žinomas kaip Phoenix) – pirmasis Australijo- je (Melburne) areštuotas programišius (priklausė programišių grupei „The Realm“). Savo atakų šaltiniais pasirinkdavo valstybinius ir gynybinius objektus. Buvo įsilaužęs į Melburno Mokslinio ir pramoninio tyrimo centro sistemas, Kalifornijos universiteto (Berkeley) sistemas, NASA ir kitų organizacijų sistemas. Nusikaltimo tyrimo pagrindu tapo informatoriaus suteikti duomenys, tačiau kal- tei įrodyti reikėjo faktinių duomenų. Įkalčiams surinkti Melburno policija stebėjo įta- riamojo telefoninius pokalbius ir perimdavo visus iš jo modemo siunčiamus duomenų paketus, kurie vėliau buvo panaudoti įrodymui, kad iš jo kompiuterio buvo siunčiami kenkėjiški programiniai paketai (http://en.wikipedia.org/wiki/Nahshon_Even-Chaim). Kitas programišius, amerikietis Jerome Heckenkamp, buvo pastebėtas „Qual- comm“ sistemų administratoriaus, kai atakavo kompanijos sistemas, esančias jos de- militarizuotoje (angl. De Militarized Zone arba DMZ) zonoje. Kartu su Federalinio tyrimo biuro specialistais nustatė į aukos sistemą atkeliaujančių tinklo paketų kelią (analizuojant hop‘us). Analizė atvedė į vieno universiteto bendrabutį, kuriame nusi- kaltėlis studijavo. Universiteto administratoriai reagavo nelabai korektiškai, nes patys įsilaužė į įtariamojo kompiuterį, traktuodami tai kaip prevencinę priemonę prieš ga- limus incidentus. Vėliau nusikaltėlis bandė tuo pagrįsti savo gynybą, teigdamas, jog buvo pažeistas jo privatumas, tačiau teismas argumentavo, jog negali kalbėti apie pri- vatumą, kadangi jis naudojosi ne savo privačia, o universiteto infrastruktūra (http:// en.wikipedia.org/wiki/Jerome_Heckenkamp).
16.3. Kontroliniai klausimai ir praktiniai darbai
Kontroliniai klausimai
1. Suraskite internete naujienų apie paskutiniais metais įvykdytus nusikalti- mus, kuriems atskleisti buvo panaudoti NEE tyrimo metodai? Aptarkite su kolegomis ir dėstytoju tyrimo eigą, galimas tyrimo klaidas ir gynybos advo- katų taikytas metodikas. 2. Kokius atvejus iš Lietuvos teismų praktikos galite prisiminti, kai buvo na- grinėjamos bylos NEE plačiąja ar siaurąja prasme?
Praktiniai darbai
1. Susiskirstykite į grupes po 2–3 žmones. Dėstytojui pateikus modelines si- tuacijas (studijuojant savarankiškai galima pasinaudoti adresu http://www. asianlaws.org/library/cyber-laws/real-world-cyber-crime-cases.pdf aprašy-
129 tomis situacijomis), kuriose trumpai aprašomos tariamojo nusikaltimo įvyk- dymo aplinkybės, suformuokite tyrimo strategiją, joje apibrėždami: a) galimas įkalčių paieškos vietas; b) kokių įkalčių ir duomenų tikimasi surasti; c) kokius įrankius naudosite ir kokia tvarka. 2. Rekomenduojama iš pradžių savarankiškai, o paskui kartu su dėstytoju, at- likti CCE sertifikavimo kurso pavyzdinę užduotį, kurią galima rasti adresu https://www.isfce.com/sample-pe.htm.
130 SANTRUMPOS
CCE – angl. Certified Computer Examiner CCFE – angl. Certified Computer Forensics Examiner CEH – angl. Ethical Hacking and Countermeasure CHFI – angl. Computer Hacking Forensic Investigator CPU – angl. Central Processing Unit CRC – angl. Cyclic Redundancy Check CSFA – angl. CyberSecurity Forensic Analyst CSIRT – angl. Computer Security Incident Response Team DDoS – angl. Distributed Denial of Service Attack DMZ – angl. De Militarized Zone DNS – angl. Domain Name System DoS – angl. Denial of Service Attack EBPO – Ekonominio bendradarbiavimo ir plėtros organizacija FRP – angl. First Response Procedures GLBA – angl. Gramm-Leach-Bliley Act HIPAA – angl. Health Information Portability and Accountability Act IDS – angl. Intrusion Detection System ISP – angl. Internet Service Provider IT – informacinės technologijos KPK – kenksmingas programinis kodas MACB – angl. Modification, Access, Creation, Birth NEE – nusikaltimai elektroninėje erdvėje OS – operacinė sistema P2P – angl. Peer-2-Peer PCI DSS – angl. Payment Card Industry Data Security Standard PFI – angl. PCI Forensic Investigator RAM – angl. Random Access Memory SCADA – angl. Supervisory Control and Data Acquisition SIM systems – angl. Security Incident Management Systems
131 TERMINŲ ŽODYNĖLIS
De-facing (angl.) – atakos tipas, nukreiptas prieš interneto svetainę, kai neteisėtai pa- keičiamas svetainės turinys. Elektroniniai arba skaitmeniniai įkalčiai – bet kokia kompiuterių sistemomis perduo- dama arba saugoma informacija, kuri patvirtina tyrimo metu suformuluotą hipotezę ir pagal poreikį bei tenkinant tam tikras sąlygas gali būti panaudota teismo proceso metu. Įkalčių grandinė – veiksmų seka, pagal kurią galima kontroliuoti įkalčio buvimo vietą bet kuriuo momentu nuo išėmimo iki pateikimo į teismo salę. Įkalčių išėmimas – procesų visuma, užtikrinanti įkalčių identifikavimą ir apsaugą nuo modifikavimo įvykio vietoje, jų paėmimą, pakavimą ir transportavimą iki tyrimo labo- ratorijos. Incidentas – bet koks įvykis, kuris nėra standartinio paslaugos funkcionavimo dalis, sukeliantis arba galintis sukelti paslaugos teikimo nutraukimą arba sąlygoti paslaugos kokybės teikimo sumažėjimą. Informacinis karas – veiksmų visuma, siekiant apsaugoti savas informacines sistemas nuo neteisėto panaudojimo, duomenų iškraipymo arba visiško sunaikinimo, tuo pačiu siekiant informacinio pranašumo pasinaudojant, iškraipant arba sunaikinant oponento informacines sistemas. NEE tyrimas – kompiuterinių įkalčių išsaugojimas, identifikavimas, išgryninimas, ver- tinimas ir dokumentavimas. Phishing (angl.) – atakos būdas, kai iš vartotojo bandoma išvilioti jo privačius duome- nis (dažniausiai prisijungimo), siūlant jam juos suvesti į nusikaltėlio sistemą, imituo- jančią legalios sistemos išvaizdą ir funkcionavimą. SPAM (angl.) – nepageidaujamo turinio reklama, platinama elektroniniu paštu.
132 LIETUVIŲ–ANGLŲ TERMINŲ ŽODYNAS
Atminties būsenos kopija – Snapshot Branduolys – Kernel Elektroninis karas – Electronic warfare Failai kaupikliai / eilės failai– Spool failai Failų metaduomenys – Inode „Gyvos“ arba neišjungtos kompiuterių sistemos – Live computer systems Įkalčių grandinė – chain of evidence / chain of custody Įkalčių išėmimas – Evidence seizure Incidentų sulaikymas – Incident handling Incidentų valdymas – Incident management Interneto paslaugų tiekėjas – Internet Service Provider Įsilaužimo įrankis – Exploit Kenksmingas programinis kodas – Malware Kibernetinė apgaulė ir vagystė – Cyber-deceptions and thefts Kibernetinis karas – Cyber warfare Kibernetinis peržengimas – Cyber-trespass Kibernetinis smurtas – Cyber-violence Klaidingas pranešimas – False-positive Kopija-atvaizdas – Bit-to-bit copy / Image copy Laikinas failas – Temp file Laiko antspaudas – Time-stamp „Mirusios“ arba išjungtos kompiuterių sistemos – Mortal computer systems Neatstatomas trynimas – Wiping Nusikaltimai elektroninėje erdvėje – Computer crime / cyber crime Peržiūra pasibaigus incidentui – Post mortem review Piktnaudžiavimas kompiuteriu – Computer abuse Pirminio atsako procedūros – First Response Procedures Programišius – Hacker
133 Psichologinis karas – Psychological warfare Saldainiukai – Cookies Scenos užšaldymas – Freezing the scene Skaičiavimo debesyse technologijos – Cloud computing Skaitmeninės erdvės tyrimo procesas – Digital forensics Skaitmeniniai įkalčiai – Digital evidence Sukeitimų failas – Swap file Tiesioginio bendravimo programos – Instant messaging programs Tinklinis karas – Net warfare Žemo lygio formatavimas – Low level format Žymės – Bookmarks
134 REKOMENDUOJAMA LITERATŪRA
Žemiau pateikiama literatūra, kuri gali būti rekomenduojama nuodugnesniam kiekvieno skyriaus savarankiškoms studijoms. Studentams siūloma neapsiriboti vien rekomenduojama literatūra, bet analizuoti ir kitus naudotos literatūros sąraše pateiktus šaltinius, stebėti naujas publikacijas NEE tyrimo tema.
1. NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE Sieber, U. 1998. Legal Aspects of Computer-Related Crimes in Information So- ciety. Comcrime study. 2. NEE TEISINIAI ASPEKTAI Sauliūnas, D. (Red.) 2004. Informacinių technologijų teisė. Vilnius: NVO teisės institutas. 544 p. Kiškis, M.; Petrauskas, R.; Rotomskis, I.; Štitilis, D. 2006. Teisės informatika ir informatikos teisė. Vilnius: Mykolo Romerio universiteto leidybos centras. 267 p. 3. TYRIMŲ POREIKIS, TYRIMŲ TIPAI Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T. 2007. Cyber Crime Investigations. Syngress Publishing. 432 p. 4. PIRMINĖ REAKCIJA Į NEE Shinder, D. L.; Tittel, E. 2002. Scene of the Cybercrime: Computer Forensics Handbook. Syngress Publishing. 749 p. 5. NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA Marcela, A. J.; Greenfield, R. S. 2002.Cyber Forensics. A Field Manual for Collec- ting and Preserving Evidence of Computer Crimes. Auerbach Publications. 346 p. 6. ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS Brown, C. 2006. Computer Evidence Collection and Preservation. Hingham (USA): Charles River Media. 7. ĮKALČIŲ IŠĖMIMO PROCESAS Brown, C. 2006. Computer Evidence Collection and Preservation. Hingham (USA): Charles River Media. 8. ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier Inc. 594 p.
135 9. SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone, J.; Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress Pu- blishing. 960 p. 10. ĮKALČIŲ RINKIMAS VIEŠOJOJE ERDVĖJE Wall, D. 2001. Cybercrimes and the Internet. London: Routledge, London. 11. NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier Inc. 594 p. 12. ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS Brown, C. 2006. Computer Evidence Collection and Preservation. Hingham (USA): Charles River Media. Marcela, A. J.; Greenfield, R. S. 2002. Cyber Forensics. A Field Manual for Collecting and Preserving Evidence of Computer Crimes. Auerbach Publicati- ons. 346 p. 13. ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier Inc. 594 p. 14. TYRIMO ATASKAITOS PARENGIMAS Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T. 2007. Cyber Crime Investigations. Syngress Publishing. 432 p. 15. PROFESINĖ KARJERA Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone, J.; Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress Pu- blishing. 960 p.
136 NAUDOTA LITERATŪRA
1. Ashcroft, J.; General, A. 2001. Electronic Crime Scene Investigation: A Guide for First Responders. U. S. Department of Justice. 93 p. 2. Brown, C. 2006. Computer Evidence Collection and Preservation. Hing- ham (USA): Charles River Media. 3. Carrier, B. 2005. File System Forensic Analysis. Boston: Addison-Wesley Professional. 4. Carrier, B. D.; Grand, J. 2003. A Hardware-Based Memory Acquisition Pro- cedure for Digital Investigations. Digital Investigation Journal, Issue 1(1). 5. Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier Inc. 594 p. 6. Kaspersen, H. W. K. 2009. Cybercrime and Internet Jurisdiction, Discus- sion paper (draft), version 5 March 2009, prepared in the framework of the Project on Cybercrime of the Council of Europe [interaktyvus].
137 15. Marcela, A. J.; Greenfield, R. S. 2002.Cyber Forensics. A Field Manual for Collecting and Preserving Evidence of Computer Crimes. Auerbach Publi- cations. 346 p. 16. Middleton, B. 2001. Cyber Crime Investigator’s Field Guide. Auerbach Pu- blications. 330 p. 17. Parker, D. 1976. Crime by Computer. NY: Charles Scribner’s Sons. 18. Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T. 2007. Cyber Crime Investigations. Syngress Publishing. 432 p. 19. Sauliūnas, D. (Red.) 2004. Informacinių technologijų teisė. Vilnius: NVO teisės institutas. 544 p. 20. Sauliūnas, D. 2010. Legislation on Cybercrime in Lithuania: Development and Legal Gaps in Comparison with the Convention on Cybercrime, Ju- risprudencija, Vol. 4 (122): 203–219. 21. Shinder, D. L.; Tittel, E. 2002. Scene of the Cybercrime: Computer Forensi- cs Handbook. Syngress Publishing. 749 p. 22. Shipley, T. G.; Reeve, H. R. 2006. Collecting Evidence from a Running Computer. The National Consortium for Justice Information and Statistics. 23. Sieber, U. 1998. Legal Aspects of Computer-Related Crimes in Information Society. Comcrime study. 24. Taylor, R. W; Caeti, T. J.; Loper, K.; Fritsch, E. J.; Liederbach, J. R. 2005. Digital Crime and Digital Terrorism. Prentice Hall. 416 p. 25. Wall, D. 2001. Cybercrimes and the Internet. London: Routledge, London. 26. Соколов, A.; Степанюк, О. 2002. Защита от компьютерного терроризма. БХВ-Петербург. 496 p.
Rekomendavo VGTU Fundamentaliųjų mokslų fakulteto studijų komitetas
VILNIAUS GEDIMINO TECHNIKOS UNIVERSITETAS
Nikolaj Goranin, Dalius Mažeika
Nusikaltimai elektroninėje erdvėje ir jų tyrimo metodikos
Mokomoji knyga
Redagavo J. Valikonė Maketavo L. Mončius
2011-11-30. 8,75 sp. l. Išleido leidykla UAB „TEV“, Akademijos g. 4, 08412 Vilnius Gamino leidykla UAB „TEV“, Akademijos g. 4, 08412 Vilnius