Prikupljanje digitalnih dokaza

Tech.

Prikupljanje digitalnih dokaza

Kada dođe do sajber napada, treba odmah izolovati napadnuti uređaj – prekinuti internet konekciju, a ukoliko je uređaj sastavni deo šire mreže uređaja, treba odmah prekinuti vezu sa mrežom. Napadnuti uređaj nikako ne treba isključiti iz struje, gasiti ili resetovati, niti unositi bilo kakve izmene, kako bi se sačuvao integritet podataka na disku zabeleženih u vreme napada. Tek kada se napravi identična kopija diska iz perioda napada (disk imaging), koja služi za dalju istragu, uređaj se može ugasiti.

Prioritet je ograničavanje štete – obustavljanje napada, uspostavljanje normalnog rada sistema i procesuiranje slučaja. Pored CERT-ova i tehničke podrške, od vitalnog značaja su i javne službe u čijoj su nadležnosti dela visokotehnološkog kriminala. U Srbiji su to Odeljenje za visokotehnološki kriminal u Ministarstvu unutrašnjih poslova i Posebno tužilaštvo za borbu protiv visokotehnološkog kriminala. Ova dva organa vlasti se nalaze u Beogradu, dok u policijskim stanicama i tužilaštvima širom zemlje zasad nema osoba koje se bave visokotehnološkim kriminalom. Stoga je, radi efikasnosti, prijave najbolje upućivati direktno službama u Beogradu.

Prilikom prijave napada, važno je priložiti što više detalja i dokaza, kako bi se nadležnim službama predočilo dovoljno informacija za brzu reakciju. Različiti podaci o napadu mogu biti korisni za sajber istragu:

Linkovi/URL adrese

Ukoliko su poznati i relevantni za napad, linkove treba dostaviti u izvornom, celovitom obliku. Na primer, u slučaju pretnji smrću ili drugih nelegalnih radnji izvršenih preko društvenih mreža, foruma i sličnih portala, prijava treba da sadrži integralni link ka nalogu sa kog je pretnja upućena, tekstu pretnje, i slično.

Mejl poruke

Sam sadržaj poruke često nije dovoljan za utvrđivanje identiteta napadača, odnosno lokacije sa koje je mejl poslat. Zbog toga je dobro sačuvati kopiju mejla u integralnom obliku koji sadrži metapodatke, tzv. zaglavlje (email header). Uputstvo kako prikupiti email headere sa različitih email klijenata možete naći na sledećem linku.

Snimak ekrana

Kada suštinu krivičnog dela čini sadržaj - u vidu teksta, slike ili videa - dokumentovanje sadržaja se može izvesti snimanjem ekrana (screenshot, printscreen). Većina tastatura kućnih računara ima ugrađeno dugme za ovu operaciju (“PrtSc”), kada je sliku ekrana potrebno kopirati u program za obradu slika. Na mobilnim uređajima snimanje se izvodi kombinacijom nekoliko dugmića i automatski se čuva u folderu za slike. Ukoliko je delo počinjeno u više segmenata potrebno je napraviti poseban snimak svakog posebno, ili video celog procesa (na primer, više sms poruka, poruke koje se pojavljuju u okviru aplikacije na računaru ili telefonu, i sl.)

Log fajlovi

Podaci o operacijama koje su se odvijale na uređaju u određeno vreme zovu se log fajlovi i najčešće su potrebni kada je meta napada server. To su tekstualni fajlovi u kojima sajber istraga može otkriti digitalne tragove incidenta, uključujući i bitne informacije o napadaču.

Listinzi poziva

Ukoliko je telefonska komunikacija sastavni deo krivičnog dela protiv digitalne bezbednosti, prijava treba da sadrži i listing poziva koji izdaje telefonski operator. Podaci iz listinga sadrže vreme poziva i broj sa kog je upućen, što može olakšati dalju istragu.