Nikolaj Goranin Dalius Mažeika NUSIKALTIMAI elektroninėje erDvėje ir jų tyriMo MetoDikos Nikolaj Goranin Dalius Mažeika NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE IR JŲ TYRIMO METODIKOS MOKOMOJI KNYGA Projektas „Aukštojo mokslo I ir II pakopų informatikos ir informatikos inžinerijos krypčių studijų programų atnaujinimas bei naujų sukūrimas ir įgyvendinimas (AMIPA)“, kodas VP1–2.2–ŠMM–09–V–01–003, finansuojamas iš Europos socialinio fondo ir Lietuvos valstybės biudžeto lėšų. Recenzavo: prof. dr. V. Jusas doc. dr. K. Driaunys © N. Goranin, D. Mažeika, 2011 © KTU Informatikos fakultetas, 2011 © VGTU Fundamentaliųjų mokslų fakultetas, 2011 © UAB TEV, 2011 ISBN 978-609-433-055-1 TURINYS ĮVADAS ........................................................................................................................7 1. NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE ...................................................9 1.1. Nusikaltimų elektroninėje erdvėje apibrėžimas ir jų tipai ................................9 1.2. Informacinis karas ...........................................................................................11 1.3. Savikontrolės klausimai ..................................................................................14 2. NEE TEISINIAI ASPEKTAI ..................................................................................15 2.1. Teisinė nusikaltimų elektroninėje erdvėje samprata .......................................15 2.2. Elektroninių nusikaltimų kategorijos ..............................................................17 2.3. Tarptautiniai teisės aktai ir Konvencija dėl elektroninių nusikaltimų .............18 2.4. Nusikaltimų elektroninėje erdvėje reglamentavimas Lietuvoje......................23 2.5. Savikontrolės klausimai ..................................................................................27 3. POREIKIS TYRIMAMS IR JŲ TIPAI ...................................................................29 3.1. Formalus ir neformalus metodai .....................................................................30 3.2. „Gyvų“ ir „negyvų“ sistemų tyrimo metodai ..................................................31 3.3. Savikontrolės klausimai ..................................................................................33 4. PIRMINĖ REAKCIJA Į NEE .................................................................................34 4.1. Reagavimas į incidentus, jų sulaikymas bei incidentų valdymo apibrėžimas 34 4.2. Reagavimo į incidentus etapai ........................................................................35 4.3. Incidentų tipai .................................................................................................42 4.4. Savikontrolės klausimai ir praktiniai darbai ...................................................43 5. NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA ....................................................45 5.1. Bendri NEE tyrimo principai ir etapai ............................................................45 5.2. Klausimai tyrėjui ir užsakovui tyrimo eigoje ..................................................46 5.3. Savikontrolės klausimai ..................................................................................49 6. ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS ...............................................50 6.1. Įkalčių savybės ................................................................................................51 6.2. Įkalčių kategorijos ir šaltiniai ..........................................................................52 6.3. Savikontrolės klausimai ..................................................................................55 7. ĮKALČIŲ IŠĖMIMO PROCESAS.........................................................................56 7.1. Įkalčių išėmimo proceso etapai .......................................................................56 7.2. Alternatyvūs įkalčių išėmimo metodai ............................................................59 7.3. Savikontrolės klausimai ..................................................................................60 8. ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI ........................................................61 8.2. Nestabilių įkalčių surinkimas ..........................................................................61 8.2. Stabilių įkalčių surinkimas ..............................................................................69 8.3. Įrankai ir priemonės NEE įkalčių paieškai kompiuterių tinkle .......................77 8.4. Savikontrolės klausimai ir praktiniai darbai ...................................................81 3 9. SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS ............................................................83 9.1. Saugomų duomenų naikinimo būdai ..............................................................83 9.2. Sunaikintų ir sugadintų duomenų atstatymas .................................................87 9.3. Savikontrolės klausimai ir praktiniai darbai ...................................................89 10. ĮKALČIŲ RINKIMAS VIEŠOJE ERDVĖJE ......................................................90 10.1. Įkalčių paiešką interneto svetainėse ..............................................................90 10.2. Įkalčių paieška kitose įtariamajam neprieinamose sistemose .......................92 10.3. Savikontrolės klausimai ................................................................................93 11. NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI ...94 11.1. NEE tyrimo Windows OS ypatumai .............................................................94 11.2. NEE tyrimo Linux OS ypatumai ...................................................................96 11.3. Savikontrolės klausimai ................................................................................98 12. ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS ......................................................99 12.1. Įkalčių vientisumo išsaugojimo metodai ......................................................99 12.2. Įkalčių grandinė ..........................................................................................103 12.3. Savikontrolės klausimai ir praktiniai darbai ...............................................103 13. ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI ..................................................105 13.1. Įkalčių analizės būdai ..................................................................................105 13.2. Įkalčių analizės įrankiai ..............................................................................107 13.3. Savikontrolės klausimai ir praktiniai darbai ...............................................113 14. TYRIMO ATASKAITOS PARENGIMAS .........................................................114 14.1. Tyrimo ataskaitų tipai ..................................................................................114 14.2. Reikalavimai tyrimų ataskaitai ...................................................................115 14.3. Ataskaitos struktūra .....................................................................................117 14.4. Savikontrolės klausimai ..............................................................................118 15. PROFESINĖ KARJERA ....................................................................................119 15.1. Rolės ir pareigos tyrimo metu .....................................................................119 15.2. NEE tyrėjo profesinė etika ..........................................................................121 15.3. Sertifikacija .................................................................................................122 15.4. Savikontrolės klausimai ..............................................................................126 16. NUSIKALTIMŲ TYRIMAS: ATVEJŲ ANALIZĖ............................................127 16.1. NEE plačiąja prasme tyrimo atvejų analizė ................................................127 16.2. NEE siaurąja prasme tyrimo atvejų analizė ................................................128 16.3. Savikontrolės klausimai ir praktiniai darbai ...............................................129 SANTRUMPOS ........................................................................................................131 TERMINŲ ŽODYNĖLIS .........................................................................................132 LIETUVIŲ-ANGLŲ TERMINŲ ŽODYNAS .........................................................133 REKOMENDUOJAMA LITERATŪRA ..................................................................135 NAUDOTA LITERATŪRA ......................................................................................137 4 LENTELIŲ SĄRAŠAS 4.1 lentelė. Skirtingų CSIRT grupių tipų lyginamoji analizė ......................................35 6.1 lentelė. Elektroninių įkalčių kategorijos ...............................................................53 6.2 lentelė. Elektroniniai įkalčių šaltiniai ir juose aptinkami įkalčiai .........................54 9.1 lentelė. Sunaikintų duomenų atstatymo įrankiai ...................................................88 10.1 lentelė. Interneto svetainėse randami įkalčiai .....................................................91 11.1 lentelė. „Windows“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu .95 11.2 lentelė. „Linux“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu ...97 12.1 lentelė. Komandos ir įrankiai nestabiliems įkalčiams išsaugoti .......................100 14.1 lentelė. Pavyzdinis NEE tyrimo ataskaitos turinys ...........................................117 5 PAVEIKSLĖLIŲ SĄRAŠAS 4.1 pav. Reagavimo