1

UNIVERZITET U BEOGRADU Beograd, 20. Jul 2010. godine

Beograd 06 Broj:

Studentski trg 1 JKJ/

I Izveštaj komisije o oceni naučne zasnovanosti doktorske disertacije

Veću za multidisciplinarne postdiplomske studije Univerziteta u Beogradu

Odlukom Veća za multidisciplinarne studije donetoj na sednici održanoj 27. aprila 2010. godine

imenovani smo za članove Komisije za ocenu naučne zasnovanosti doktorske disertacije pod

naslovom “Digitalna forenzika u funkciji zaštite informacionog sistema baziranog na Linux i

Windows platformi u cilju suzbijanja računarskog kriminala” kandidata mr Vanje Korać. Na

osnovu pregleda dokumentacije koje je kandidat dao na uvid Komisija podnosi sledeći:

I Z V E Š T A J

1. Biografski podaci kandidata

Ime kandidata je Vanja Korać. RoĎen je 13.10.1976. godine u Beogradu. Diplomirao je na

fakultetu za poslovnu informatiku Univrziteta “Singidunum” 2005. godine u Beogradu sa

prosečnom ocenom 8,78, na smeru programiranje i projektovanje. Nakon uspešno završenih

osnovnih studija, pohaĎao je specijalističke studije na fakultetu za poslovnu informatiku

Univerziteta “Singidunum” u Beogradu, smer bezbednost informacionih sistema i elektronskog

poslovanja i stekao diplomu specijaliste za bezbednost informacionih sistema i elektronskog

poslovanja 2006. godine (zvanje specijalista za bezbednost elektronskih komunikacija i

elektronskog poslovanja). Magistarsku tezu pod nazivom "Infrastruktura sa javnim ključevima u

funkciji zaštite informacionog toka i elektronskog poslovanja" odbranio je 2008. godine na

Fakultetu za poslovnu informatiku u Beogradu.

U stalnom je radnom odnosu, na radnom mestu Koordinatora informacionog sistema

Matematičkog instituta SANU.

TakoĎe, saradnik je Arheološkog instituta SANU zadužen za administriranje mreže i sistema, a

angažovan je i kao stručni saradnik Matematičke gimnazije u Beogradu zadužen za administriranje i

razvoj mreže i sistema.

Angažovanost na projektima:

- Wireless Ad-Hoc Broadband Monitoring System, Sixth Framework Programme Priority

FP6-2004-IST-4, Contract no.: 026548

- Projekat 144018 pri Ministarstvu za nauku Republike Srbije - Nove metode u kriptologiji i

procesiranju informacija (Advanced methods for cryptology and information processing).

2

Njegovi stručni radovi do sada objavljeni su:

-Vanja Korać, Spam, Arheologija i prirodne nauke, br.1 : 137-150, Beograd 2006.

- Vanja Korać, Mobilni E-commerce, Arheologija i prirodne nauke, br.2 : 129-144, Beograd 2006.

Vanja Korać, Prevencija širenja virusa kroz autorun funkciju operativnog sistema, Arheologija i

prirodne nauke, br.4 : Beograd 2008.

- Vanja Korać, Uputstvo za povećanje sigurnosti bežičnih mreža – implementacija, Arheologija i

prirodne nauke, br.5, Beograd 2009.

- Vanja Korać, Zaštita USB prenosnog drajva i operativnog sistema od zlonamernog koda tipa

autorun.inf , Forum BISEC 2010, Konferencija o bezbednosti informacija – Zbornik radova,

Beograd 2010.

Monografija :

- Vanja Korać, Infrastruktura sa javnim ključevima u funkciji zaštite informacionog toka i

elektronskog poslovanja, Beograd 2010, ISBN 978-86-87271-21-0.

Istraživački rad i njegova interesovanja vezana su za oblasti IT bezbednosti, kao i administracija

i razvoj sistema i mreža.

2. Predmet istraživanja

Predložena tema se odnosi na pronalaženje, prikupljanje, ispitivanje i analizu podataka iz

čvrstih diskova HD i fajl sistema na Linux i Windows operativnim sistemima, njihovo čuvanje i

dokumetovanje kao i način njihovog prezentovanja, tako da se ti podaci mogu koristiti kao čvrsti i

neoborivi dokazi pred sudom. Kao predmet ovog rada biće obuhvaćene "offline" i "live" incident

response forenzičke procedure na računarskom sistemu Windows i Linux. Biće prikazane tehnike

oporavka podataka koje je "zlonamerni korisnik - napadač" namerno sakrio ili obrisao, sa ciljem da

se obezbedi validnost oporavljenih podataka, kao dokaza pred sudom.

Digitalni dokazi mogu biti optužujući, oslobaĎajući ili da ukazuju na osnovanu sumnju.

Biće prikazane procedure upravljanja pronalaženja i oporavka podataka posle destruktivnog

vanrednog dogaĎaja, u vidu tehnika i alata (komercijalnih i open source) za izvlačenje podataka

(izgubljenih) iz računara. Pravci istraživanja pokrivaju tehničke metode digitalne forenzike

računarskog sistema, tehničke metode ostvarivanja pravne validnosti i pravne okvire za digitalnu

forenziku. U radu će biti prikazane i različite vrste napada zakonom kažnjivih radnji na

kompjuterskim sistemima na Linux i Windows platformi.

3. Cilj istraživanja

Cilj ovog rada je da se otkrivanjem i prikupljanjem, ispitivanjem i analizom podataka iz

kompromitovanog računara tj. njegovih čvrstih hard diskova i fajl sistema, njihovim upravljenjem

(čuvanjem) i prezentacijom (eksprertskim svedočenjem), obezbedi validnost dokaza pred sudom.

Predložena su dva načina upravljanja kompjuterskim incidentom tradicionalni - offline (ispitivanje i

prikupljanje podataka u forenzičkoj laboratoriji) i "live" gde se podaci direktno na licu mesta

prikupljaju sa kompromitovanog računara tj. računara pod istragom. U radu će biti prikazan

ispravan postupak digitalne forenzike Windows operativnog sistema, kao i digitalna forenzika

Linux operativnog sistema., i tehnike i načini pronalaženja potrebnih informacija (slike,

dokumenata šifrovanih informacija, ključne reči, chat poruke, email poruke, i razne druge

informacije).

3

Radom je obuhvaćen i veliki broj forenzičkih alata koji obezbeĎuju pouzdanu akviziciju i analizu,

koji ne menjaju stanje na originalnom ispitivanom računaru, ne menjaju digitalne podatke, čuvaju

integritet podataka-dokaza u lancu istrage, a koji imaju za cilj ponovljivost rezultata u slučaju

zahteva nadležnih pravosudnih organa. TakoĎe ovaj rad ima za cilj i unapreĎenje i determinisanje

pravca efikasne istrage računarskog sistema i procesuiranja računarskog kriminala nad

kompromitovanim računarom.

4. Zadaci istraživanja

U ovom radu centralno mesto zauzima prikaz svakog elementa digitalne forenzike računarskog

sistema i to način pronalaženja, prikupljanja, ispitivanja i analize podataka iz čvrstih diskova i fajl

sistema na Linux i Windows operativnim sistemima, njihovo čuvanje i dokumentovanje kao i način

njihovog prezentovanja, da bi se ti podaci mogli koristiti kao čvrsti i neoborivi dokazi pred sudom.

Svaki element biće analiziran pojedinačno i meĎusobno. Ispitaće se sličnosti i razlike tradicionalne

offline forenzičke tehnike računarskog sistema i online forenzičke tehnike računarskog sistema, da

bi se definisala efikasnost odnosno celishodnost jedne od navedenih metoda u tačno odreĎenim

situacijama. Rezultati dobijeni navedenim forenzičkim tehnikama primenjeni na Windows i Linux

operativnim sistemima, saželi bi se u koncept koji bi bio praktično primenjivan u lancu istrage koji

imaju za cilj ponovljivost rezultata u slučaju zahteva nadležnih pravosudnih organa. To praktično

znači da se navedene forenzičke tehnike u praksi mogu primenjivati kao verodostojan i validan

dokazni materijal u krivično pravnoj materiji.

Posebna pažnja biće posvećena prikazivanju najpouzdanijeg načina na koji se mogu prikupljati

dokazi digitalnog profila za efikasno sprovoĎenje sudskih (krivičnih) postupaka za dela koja se

mogu definisati kao računarski kriminal u fazi predkrivičnog i krivičnog postupka. Podrazumevaju

se dela kao što su : zlostavljanje i diskriminacija, finansijske prevare elektronskim putem,

pronevere, pretnje, ucene i uznemiravanja sa ciljem ugrožavanja privatnosti i lične bezbednosti;

distribucija zabranjenih sadržaja, kraĎa poverljivih podataka, različite vrste zloupotrebe službenog

položaja; malverzacije vezane za osiguravajuća društva koja shodno tome traže dokaze u vezi sa

prevarama, vezanih za razne vidove osiguranja (premijama osiguranja), zloupotrebom smrti, kao i

uništavanje podataka radi sticanja koristi, kao i kraĎe intelektualne svojine i dr.).

5. Metodologija istraživanja

Osnove rada će biti postavljene uglavnom korišćenjem live i offline tehnika koje ima imaju za cilj

prikupljanje dokaza na Windows i Linux operativnom sistemu. U tu svrhu biće korišćen veliki broj

forenzičkih programa kako komercijalnih tako i open source alati i tehnike rada.

- Priprema za istragu nad kompromitovanim računarom ;

- Prikupljanje volatile podataka korišćenjem live tehnike i offline tehnike na Windows i Linux

računarskom sistemu ;

- Prikupljanje podataka sa memorije računara. Ovi podaci adekvatno prikupljeni predstavljali bi

relevantne dokaze u krivičnim postupcima protiv izvršilaca. (Prilikom istrage, dokaze je neophodno

prikupljati precizno odreĎenim redosledom polazeći od podataka koji su najmanje postojani, i to:

memorija zatim, temporalni fajlovi, disk) ;

- Očuvanje osetljivih dokaza i pravljenje kopije diska koja je identična originalu i fizički i logički ;

4

- Postupak kreiranja identičnih kopija diska ili particije koji će biti relevantan dokazni materijal za

voĎenje sudskog postupka ;

- Postupak obezbeĎenja integriteta kopije diska i njegova verifikacija korišćenjem adekvatnih alata ;

- Live Analiza podataka Windows i Linux računarskog sistema ;

- Analiza Windows memorije ;

- Registry analiza Windows računarskog sistema ;

- Analiza fajlova Windows i Linux računarskog sistema ;

- Analiza izvršnih fajlova ;

- Rootkit detekcija ;

-Prikupljanje obrisanih i pronalaženje skrivenih podataka na Windows i Linux računarskom

sistemu;

-Predlog Forensic case template-a pri forenzičkoj istrazi, koja prati krivično pravnu istragu i

obezbeĎuje dokaze za potrebe procesuiranja krivičnih dela iz oblasti visokotehnološkog kriminala;

- Upravljanje i dokumentovanje redosleda učinjenih poteza u izvršenju krivičnog dela. Naime,

neophodno je utvrditi i dokazati tačan redosled koraka koje je okrivljeni preduzeo, a koji su predmet

krivičnog dela i to na nesporan način;

- Identifikacije i definisanja odreĎenih radnji kao elemenata krivičnog dela u smislu

visokotehnološkog kriminala i njihova inkriminacija u domaćem zakonodavstvu i pravna praksa u

drugim zemljama;

6. Naučna opravdanost

Značaj i razvoj novih tehnologija u smislu modernizacije poslovanja i transfera podataka je u

stalnom porastu. Nažalost, kao nuspojava tog razvoja javlja se i širenje računarskog kriminala.

Jasno je da je u pitanju kompleksan problem, s obzirom da počinioci tih dela imaju potrebna znanja

za njihovo izvršenje, pa im je teže ući u trag, i nesumnjivo dokazati elemente krivičnog dela.

Kako bi se ova specifična vrsta kriminala najefikasnije procesuirala neophodno je stvaranje i razvoj

multidisciplinarnih timova koji se sastoje od stručnjaka iz oblasti informatike, pripadnika organa

unutrašnjih poslova i tužilaštva. Implementacija forenzičke metodologije sa ciljem detekcije,

analize i kvalifikacije krivičnih dela iz oblasti računarskog kriminala je od izuzetnog značaja.

Sadržaj rada će pokazati neophodnost multidisciplinarnog i interdisciplinarnog pristupa u

detektovanju incidenta na računarskom sistemu sprovoĎenje adekvatne digitalno forenzičke istražne

radnje, kao i odgovor na incident kroz analizu načina izvršenja, vremena izvršenja i obima štete. Na

taj način bi se dokazali elementi ovih specifičnih dela, njihovi izvršioci i njihova uzročno

posledična veza, način prezentovanja dokaza, i konačno bi se uspešno i efikasno procesuirala ta dela

u domaćem pravnom sistemu.

Ovaj rad je meĎu prvima u našoj zemlji koji će ispitivati specifičnosti vezane za sprovoĎenje

istražnih radnji nad kompromitovanim računarom, metodama prikupljanja dokaza i načina njihovog

adekvatnog prezentovanja kao pomoć pri procesuiranju tih dela u domaćem pravnom sistemu. Rad