UNIVERZITET U BEOGRADU Beograd, 20. Jul 2010. godine ...
Transcript of UNIVERZITET U BEOGRADU Beograd, 20. Jul 2010. godine ...
1
UNIVERZITET U BEOGRADU Beograd, 20. Jul 2010. godine
Beograd 06 Broj:
Studentski trg 1 JKJ/
I Izveštaj komisije o oceni naučne zasnovanosti doktorske disertacije
Veću za multidisciplinarne postdiplomske studije Univerziteta u Beogradu
Odlukom Veća za multidisciplinarne studije donetoj na sednici održanoj 27. aprila 2010. godine
imenovani smo za članove Komisije za ocenu naučne zasnovanosti doktorske disertacije pod
naslovom “Digitalna forenzika u funkciji zaštite informacionog sistema baziranog na Linux i
Windows platformi u cilju suzbijanja računarskog kriminala” kandidata mr Vanje Korać. Na
osnovu pregleda dokumentacije koje je kandidat dao na uvid Komisija podnosi sledeći:
I Z V E Š T A J
1. Biografski podaci kandidata
Ime kandidata je Vanja Korać. RoĎen je 13.10.1976. godine u Beogradu. Diplomirao je na
fakultetu za poslovnu informatiku Univrziteta “Singidunum” 2005. godine u Beogradu sa
prosečnom ocenom 8,78, na smeru programiranje i projektovanje. Nakon uspešno završenih
osnovnih studija, pohaĎao je specijalističke studije na fakultetu za poslovnu informatiku
Univerziteta “Singidunum” u Beogradu, smer bezbednost informacionih sistema i elektronskog
poslovanja i stekao diplomu specijaliste za bezbednost informacionih sistema i elektronskog
poslovanja 2006. godine (zvanje specijalista za bezbednost elektronskih komunikacija i
elektronskog poslovanja). Magistarsku tezu pod nazivom "Infrastruktura sa javnim ključevima u
funkciji zaštite informacionog toka i elektronskog poslovanja" odbranio je 2008. godine na
Fakultetu za poslovnu informatiku u Beogradu.
U stalnom je radnom odnosu, na radnom mestu Koordinatora informacionog sistema
Matematičkog instituta SANU.
TakoĎe, saradnik je Arheološkog instituta SANU zadužen za administriranje mreže i sistema, a
angažovan je i kao stručni saradnik Matematičke gimnazije u Beogradu zadužen za administriranje i
razvoj mreže i sistema.
Angažovanost na projektima:
- Wireless Ad-Hoc Broadband Monitoring System, Sixth Framework Programme Priority
FP6-2004-IST-4, Contract no.: 026548
- Projekat 144018 pri Ministarstvu za nauku Republike Srbije - Nove metode u kriptologiji i
procesiranju informacija (Advanced methods for cryptology and information processing).
2
Njegovi stručni radovi do sada objavljeni su:
-Vanja Korać, Spam, Arheologija i prirodne nauke, br.1 : 137-150, Beograd 2006.
- Vanja Korać, Mobilni E-commerce, Arheologija i prirodne nauke, br.2 : 129-144, Beograd 2006.
Vanja Korać, Prevencija širenja virusa kroz autorun funkciju operativnog sistema, Arheologija i
prirodne nauke, br.4 : Beograd 2008.
- Vanja Korać, Uputstvo za povećanje sigurnosti bežičnih mreža – implementacija, Arheologija i
prirodne nauke, br.5, Beograd 2009.
- Vanja Korać, Zaštita USB prenosnog drajva i operativnog sistema od zlonamernog koda tipa
autorun.inf , Forum BISEC 2010, Konferencija o bezbednosti informacija – Zbornik radova,
Beograd 2010.
Monografija :
- Vanja Korać, Infrastruktura sa javnim ključevima u funkciji zaštite informacionog toka i
elektronskog poslovanja, Beograd 2010, ISBN 978-86-87271-21-0.
Istraživački rad i njegova interesovanja vezana su za oblasti IT bezbednosti, kao i administracija
i razvoj sistema i mreža.
2. Predmet istraživanja
Predložena tema se odnosi na pronalaženje, prikupljanje, ispitivanje i analizu podataka iz
čvrstih diskova HD i fajl sistema na Linux i Windows operativnim sistemima, njihovo čuvanje i
dokumetovanje kao i način njihovog prezentovanja, tako da se ti podaci mogu koristiti kao čvrsti i
neoborivi dokazi pred sudom. Kao predmet ovog rada biće obuhvaćene "offline" i "live" incident
response forenzičke procedure na računarskom sistemu Windows i Linux. Biće prikazane tehnike
oporavka podataka koje je "zlonamerni korisnik - napadač" namerno sakrio ili obrisao, sa ciljem da
se obezbedi validnost oporavljenih podataka, kao dokaza pred sudom.
Digitalni dokazi mogu biti optužujući, oslobaĎajući ili da ukazuju na osnovanu sumnju.
Biće prikazane procedure upravljanja pronalaženja i oporavka podataka posle destruktivnog
vanrednog dogaĎaja, u vidu tehnika i alata (komercijalnih i open source) za izvlačenje podataka
(izgubljenih) iz računara. Pravci istraživanja pokrivaju tehničke metode digitalne forenzike
računarskog sistema, tehničke metode ostvarivanja pravne validnosti i pravne okvire za digitalnu
forenziku. U radu će biti prikazane i različite vrste napada zakonom kažnjivih radnji na
kompjuterskim sistemima na Linux i Windows platformi.
3. Cilj istraživanja
Cilj ovog rada je da se otkrivanjem i prikupljanjem, ispitivanjem i analizom podataka iz
kompromitovanog računara tj. njegovih čvrstih hard diskova i fajl sistema, njihovim upravljenjem
(čuvanjem) i prezentacijom (eksprertskim svedočenjem), obezbedi validnost dokaza pred sudom.
Predložena su dva načina upravljanja kompjuterskim incidentom tradicionalni - offline (ispitivanje i
prikupljanje podataka u forenzičkoj laboratoriji) i "live" gde se podaci direktno na licu mesta
prikupljaju sa kompromitovanog računara tj. računara pod istragom. U radu će biti prikazan
ispravan postupak digitalne forenzike Windows operativnog sistema, kao i digitalna forenzika
Linux operativnog sistema., i tehnike i načini pronalaženja potrebnih informacija (slike,
dokumenata šifrovanih informacija, ključne reči, chat poruke, email poruke, i razne druge
informacije).
3
Radom je obuhvaćen i veliki broj forenzičkih alata koji obezbeĎuju pouzdanu akviziciju i analizu,
koji ne menjaju stanje na originalnom ispitivanom računaru, ne menjaju digitalne podatke, čuvaju
integritet podataka-dokaza u lancu istrage, a koji imaju za cilj ponovljivost rezultata u slučaju
zahteva nadležnih pravosudnih organa. TakoĎe ovaj rad ima za cilj i unapreĎenje i determinisanje
pravca efikasne istrage računarskog sistema i procesuiranja računarskog kriminala nad
kompromitovanim računarom.
4. Zadaci istraživanja
U ovom radu centralno mesto zauzima prikaz svakog elementa digitalne forenzike računarskog
sistema i to način pronalaženja, prikupljanja, ispitivanja i analize podataka iz čvrstih diskova i fajl
sistema na Linux i Windows operativnim sistemima, njihovo čuvanje i dokumentovanje kao i način
njihovog prezentovanja, da bi se ti podaci mogli koristiti kao čvrsti i neoborivi dokazi pred sudom.
Svaki element biće analiziran pojedinačno i meĎusobno. Ispitaće se sličnosti i razlike tradicionalne
offline forenzičke tehnike računarskog sistema i online forenzičke tehnike računarskog sistema, da
bi se definisala efikasnost odnosno celishodnost jedne od navedenih metoda u tačno odreĎenim
situacijama. Rezultati dobijeni navedenim forenzičkim tehnikama primenjeni na Windows i Linux
operativnim sistemima, saželi bi se u koncept koji bi bio praktično primenjivan u lancu istrage koji
imaju za cilj ponovljivost rezultata u slučaju zahteva nadležnih pravosudnih organa. To praktično
znači da se navedene forenzičke tehnike u praksi mogu primenjivati kao verodostojan i validan
dokazni materijal u krivično pravnoj materiji.
Posebna pažnja biće posvećena prikazivanju najpouzdanijeg načina na koji se mogu prikupljati
dokazi digitalnog profila za efikasno sprovoĎenje sudskih (krivičnih) postupaka za dela koja se
mogu definisati kao računarski kriminal u fazi predkrivičnog i krivičnog postupka. Podrazumevaju
se dela kao što su : zlostavljanje i diskriminacija, finansijske prevare elektronskim putem,
pronevere, pretnje, ucene i uznemiravanja sa ciljem ugrožavanja privatnosti i lične bezbednosti;
distribucija zabranjenih sadržaja, kraĎa poverljivih podataka, različite vrste zloupotrebe službenog
položaja; malverzacije vezane za osiguravajuća društva koja shodno tome traže dokaze u vezi sa
prevarama, vezanih za razne vidove osiguranja (premijama osiguranja), zloupotrebom smrti, kao i
uništavanje podataka radi sticanja koristi, kao i kraĎe intelektualne svojine i dr.).
5. Metodologija istraživanja
Osnove rada će biti postavljene uglavnom korišćenjem live i offline tehnika koje ima imaju za cilj
prikupljanje dokaza na Windows i Linux operativnom sistemu. U tu svrhu biće korišćen veliki broj
forenzičkih programa kako komercijalnih tako i open source alati i tehnike rada.
- Priprema za istragu nad kompromitovanim računarom ;
- Prikupljanje volatile podataka korišćenjem live tehnike i offline tehnike na Windows i Linux
računarskom sistemu ;
- Prikupljanje podataka sa memorije računara. Ovi podaci adekvatno prikupljeni predstavljali bi
relevantne dokaze u krivičnim postupcima protiv izvršilaca. (Prilikom istrage, dokaze je neophodno
prikupljati precizno odreĎenim redosledom polazeći od podataka koji su najmanje postojani, i to:
memorija zatim, temporalni fajlovi, disk) ;
- Očuvanje osetljivih dokaza i pravljenje kopije diska koja je identična originalu i fizički i logički ;
4
- Postupak kreiranja identičnih kopija diska ili particije koji će biti relevantan dokazni materijal za
voĎenje sudskog postupka ;
- Postupak obezbeĎenja integriteta kopije diska i njegova verifikacija korišćenjem adekvatnih alata ;
- Live Analiza podataka Windows i Linux računarskog sistema ;
- Analiza Windows memorije ;
- Registry analiza Windows računarskog sistema ;
- Analiza fajlova Windows i Linux računarskog sistema ;
- Analiza izvršnih fajlova ;
- Rootkit detekcija ;
-Prikupljanje obrisanih i pronalaženje skrivenih podataka na Windows i Linux računarskom
sistemu;
-Predlog Forensic case template-a pri forenzičkoj istrazi, koja prati krivično pravnu istragu i
obezbeĎuje dokaze za potrebe procesuiranja krivičnih dela iz oblasti visokotehnološkog kriminala;
- Upravljanje i dokumentovanje redosleda učinjenih poteza u izvršenju krivičnog dela. Naime,
neophodno je utvrditi i dokazati tačan redosled koraka koje je okrivljeni preduzeo, a koji su predmet
krivičnog dela i to na nesporan način;
- Identifikacije i definisanja odreĎenih radnji kao elemenata krivičnog dela u smislu
visokotehnološkog kriminala i njihova inkriminacija u domaćem zakonodavstvu i pravna praksa u
drugim zemljama;
6. Naučna opravdanost
Značaj i razvoj novih tehnologija u smislu modernizacije poslovanja i transfera podataka je u
stalnom porastu. Nažalost, kao nuspojava tog razvoja javlja se i širenje računarskog kriminala.
Jasno je da je u pitanju kompleksan problem, s obzirom da počinioci tih dela imaju potrebna znanja
za njihovo izvršenje, pa im je teže ući u trag, i nesumnjivo dokazati elemente krivičnog dela.
Kako bi se ova specifična vrsta kriminala najefikasnije procesuirala neophodno je stvaranje i razvoj
multidisciplinarnih timova koji se sastoje od stručnjaka iz oblasti informatike, pripadnika organa
unutrašnjih poslova i tužilaštva. Implementacija forenzičke metodologije sa ciljem detekcije,
analize i kvalifikacije krivičnih dela iz oblasti računarskog kriminala je od izuzetnog značaja.
Sadržaj rada će pokazati neophodnost multidisciplinarnog i interdisciplinarnog pristupa u
detektovanju incidenta na računarskom sistemu sprovoĎenje adekvatne digitalno forenzičke istražne
radnje, kao i odgovor na incident kroz analizu načina izvršenja, vremena izvršenja i obima štete. Na
taj način bi se dokazali elementi ovih specifičnih dela, njihovi izvršioci i njihova uzročno
posledična veza, način prezentovanja dokaza, i konačno bi se uspešno i efikasno procesuirala ta dela
u domaćem pravnom sistemu.
Ovaj rad je meĎu prvima u našoj zemlji koji će ispitivati specifičnosti vezane za sprovoĎenje
istražnih radnji nad kompromitovanim računarom, metodama prikupljanja dokaza i načina njihovog
adekvatnog prezentovanja kao pomoć pri procesuiranju tih dela u domaćem pravnom sistemu. Rad