Nusikaltimai Elektronineje Erdveje Ir Ju Tyrimo Metodikos PDF

Nikolaj Goranin
Dalius Mažeika
Nusikaltimai
elektroninėje erDvėje
ir jų tyriMo MetoDikos
Nikolaj Goranin
Dalius Mažeika
NUSIKALTIMAI
ELEKTRONINĖJE ERDVĖJE IR
JŲ TYRIMO METODIKOS
MOKOMOJI KNYGA
Projektas „Aukštojo mokslo I ir II pakopų informatikos ir informatikos inžinerijos krypčių

studijų programų atnaujinimas bei naujų sukūrimas ir įgyvendinimas (AMIPA)“, kodas
VP1–2.2–ŠMM–09–V–01–003, finansuojamas iš Europos socialinio fondo ir Lietuvos
valstybės biudžeto lėšų.
Recenzavo: prof. dr. V. Jusas
doc. dr. K. Driaunys
© N. Goranin,
D. Mažeika, 2011
© KTU Informatikos fakultetas, 2011
© VGTU Fundamentaliųjų mokslų fakultetas, 2011
© UAB TEV, 2011
ISBN 978-609-433-055-1
TURINYS
ĮVADAS.........................................................................................................................7
1. NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE....................................................9
1.1. Nusikaltimų elektroninėje erdvėje apibrėžimas ir jų tipai.................................9
1.2. Informacinis karas............................................................................................11
1.3. Savikontrolės klausimai...................................................................................14
2. NEE TEISINIAI ASPEKTAI...................................................................................15
2.1. Teisinė nusikaltimų elektroninėje erdvėje samprata........................................15
2.2. Elektroninių nusikaltimų kategorijos...............................................................17
2.3. Tarptautiniai teisės aktai ir Konvencija dėl elektroninių nusikaltimų..............18
2.4. Nusikaltimų elektroninėje erdvėje reglamentavimas Lietuvoje......................23
3. POREIKIS TYRIMAMS IR JŲ TIPAI....................................................................29
3.1. Formalus ir neformalus metodai......................................................................30
3.2. „Gyvų“ ir „negyvų“ sistemų tyrimo metodai...................................................31
4. PIRMINĖ REAKCIJA Į NEE..................................................................................34
4.1. Reagavimas į incidentus, jų sulaikymas bei incidentų valdymo apibrėžimas.34
4.2. Reagavimo į incidentus etapai.........................................................................35
4.3. Incidentų tipai..................................................................................................42
4.4. Savikontrolės klausimai ir praktiniai darbai....................................................43
5. NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA.....................................................45
5.1. Bendri NEE tyrimo principai ir etapai.............................................................45
5.2. Klausimai tyrėjui ir užsakovui tyrimo eigoje...................................................46
6. ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS................................................50
6.1. Įkalčių savybės.................................................................................................51
6.2. Įkalčių kategorijos ir šaltiniai...........................................................................52
7. ĮKALČIŲ IŠĖMIMO PROCESAS.........................................................................56
7.1. Įkalčių išėmimo proceso etapai........................................................................56
7.2. Alternatyvūs įkalčių išėmimo metodai.............................................................59
8. ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI.........................................................61
8.2. Nestabilių įkalčių surinkimas...........................................................................61
8.2. Stabilių įkalčių surinkimas...............................................................................69
8.3. Įrankai ir priemonės NEE įkalčių paieškai kompiuterių tinkle........................77
3
9. SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS.............................................................83
9.1. Saugomų duomenų naikinimo būdai...............................................................83
9.2. Sunaikintų ir sugadintų duomenų atstatymas..................................................87
10. ĮKALČIŲ RINKIMAS VIEŠOJE ERDVĖJE.......................................................90
10.1. Įkalčių paiešką interneto svetainėse...............................................................90
10.2. Įkalčių paieška kitose įtariamajam neprieinamose sistemose........................92
10.3. Savikontrolės klausimai.................................................................................93
11. NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI....94
11.1. NEE tyrimo Windows OS ypatumai..............................................................94
11.2. NEE tyrimo Linux OS ypatumai....................................................................96
11.3. Savikontrolės klausimai.................................................................................98
12. ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS.......................................................99
12.1. Įkalčių vientisumo išsaugojimo metodai.......................................................99
12.2. Įkalčių grandinė...........................................................................................103
12.3. Savikontrolės klausimai ir praktiniai darbai................................................103
13. ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI...................................................105
13.1. Įkalčių analizės būdai...................................................................................105
13.2. Įkalčių analizės įrankiai...............................................................................107
14. TYRIMO ATASKAITOS PARENGIMAS..........................................................114
14.1. Tyrimo ataskaitų tipai...................................................................................114
14.2. Reikalavimai tyrimų ataskaitai....................................................................115
14.3. Ataskaitos struktūra......................................................................................117
14.4. Savikontrolės klausimai...............................................................................118
15. PROFESINĖ KARJERA.....................................................................................119
15.1. Rolės ir pareigos tyrimo metu......................................................................119
15.2. NEE tyrėjo profesinė etika...........................................................................121
15.3. Sertifikacija..................................................................................................122
15.4. Savikontrolės klausimai...............................................................................126
16. NUSIKALTIMŲ TYRIMAS: ATVEJŲ ANALIZĖ............................................127
16.1. NEE plačiąja prasme tyrimo atvejų analizė.................................................127
16.2. NEE siaurąja prasme tyrimo atvejų analizė.................................................128
SANTRUMPOS.........................................................................................................131
TERMINŲ ŽODYNĖLIS..........................................................................................132
LIETUVIŲ-ANGLŲ TERMINŲ ŽODYNAS..........................................................133
REKOMENDUOJAMA LITERATŪRA...................................................................135
NAUDOTA LITERATŪRA.......................................................................................137
4
LENTELIŲ SĄRAŠAS
4.1 lentelė. Skirtingų CSIRT grupių tipų lyginamoji analizė.......................................35

6.1 lentelė. Elektroninių įkalčių kategorijos................................................................53
6.2 lentelė. Elektroniniai įkalčių šaltiniai ir juose aptinkami įkalčiai..........................54
9.1 lentelė. Sunaikintų duomenų atstatymo įrankiai....................................................88
10.1 lentelė. Interneto svetainėse randami įkalčiai......................................................91
11.1 lentelė. „Windows“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu..95
11.2 lentelė. „Linux“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu....97
12.1 lentelė. Komandos ir įrankiai nestabiliems įkalčiams išsaugoti........................100
14.1 lentelė. Pavyzdinis NEE tyrimo ataskaitos turinys............................................117
5
PAVEIKSLĖLIŲ SĄRAŠAS
4.1 pav. Reagavimo į incidentus etapai........................................................................35

4.2 pav. Įkalčių paieškos kontrolinio sąrašo grafiniu pavidalu pavyzdys....................36
7.1 pav. Įkalčių išėmimo proceso etapai......................................................................57
7.2 pav. Optimizuota įkalčių išėmimo proceso schema...............................................58
8.1 pav. „SecondLook“ įrankio langas, vaizduojantis aptiktą backdoors objektą,
paliktą po įsilaužimo....................................................................................................63
8.2 pav. Atminties atvaizdo failo nustatymai...............................................................65
8.3 pav. Įrankio Autoruns.exe langas...........................................................................66
8.4 pav. „Volatility Frameworks“ komandos vykdymo pavyzdys...............................66
8.5 pav. „US-LATT“ programinės įrangos konfigūravimo langas...............................67
8.6 pav. „Encase Forensic“ programos langas.............................................................70
8.7 pav. „ProDiscover Forensics“ programos langas...................................................71
8.8 pav. FTK paketo „Imager“ programos langas........................................................73
8.9 pav. „Wireshark“ programos langas.......................................................................78
9.1 pav. Failų trynimas naudojant komandinę eilutę...................................................84
9.2 pav. Kontekstinis failų trynimo meniu „Windows“ šeimos operacinėje sistemoje..84
9.3 Pav. Ištrintų failų atstatymas iš šiukšliadėžės........................................................85
9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja.................86
12.1 pav. Portatyvinis diskų kopijavimo įrenginys....................................................101
12.2 pav. „Norton Ghost“ vartotojo sąsaja.................................................................102
13.1 pav. „EnCase“ vartotojo sąsaja..........................................................................107
13.2 pav. FTK įrankio paieškos rezultatai.................................................................108
13.3 pav. PTK platformos architektūra......................................................................109
13.4 pav. Tyrėjų veiksmų stebėjimas PTK platformoje.............................................110
13.5 pav. Kombinuotojo filtro taikymo rezultatai PTK platformoje..........................110
13.6 pav. MACB vizualizacijos įrankio veikimo rezultatai....................................... 111
13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius................................112
13.8 pav. Failų metaduomenų analizė naudojant „Autopsy“ įrankį...........................112
6
ĮVADAS
Platus kompiuterinių ir tinklo technologijų paplitimas šiuolaikinėje visuomenėje
XX a. pabaigoje ir XXI a. pradžioje lėmė tai, kad kompiuteriai vis dažniau tampa ne
tik teisėtos veiklos, bet ir nusikaltimo įrankiais – ir vykdomo vien elektroninėje erdvėje
(įsilaužimai į sistemas, duomenų vagystės, draudžiamo turinio platinimas, autorinių
teisių pažeidimai ir t. t.), ir klasikinių nusikaltimų pagalbine priemone (pvz., informa-
cijos apie žudymo įrankius paieškai, informacijos mainama tarp teroristinių grupuočių,
nusikaltimų planavimui bei kt.). Šios tendencijos savo ruožtu lemia tai, jog vis dažniau
tiriant nusikaltimą bei nagrinėjant bylą teisme tenka aiškintis kompiuterinėje erdvėje
paliktus pėdsakus arba remtis vien tik jais. Bendriausiuoju atveju nusikaltimų elektro-
ninėje erdvėje tyrimų procesą galima apibrėžti kaip įkalčių identifikavimą, surinkimą,
išsaugojimą, analizę bei analizės išvadų parengimą. Šiuo metu ši informacijos saugos
užtikrinimo tematika negali būti ignoruojama, kadangi organizacija, nepasiruošusi at-
sakyti į tokio tipo nusikaltimus, rizikuoja patirti finansinių nuostolių, neužtikrinti rei-
kiamo nusikaltimų tyrimo proceso ir taip pačiai tapti teisinio persekiojimo objektu už
tyrimo proceso pažeidimą.
Nusikaltimų elektroninėje erdvėje pėdsakų nagrinėjimas iškelia daugelį iššūkių
teisėsaugos organams bei organizacijų padaliniams, atsakingiems už informacijos sau-
gos užtikrinimą. Kaip pagrindinius galima įvardyti šiuos: nagrinėjamų objektų specifi-
kos suvokimas (pėdsakai skirtingose operacinėse sistemose, viešoje erdvėje (pvz., soci-
aliniuose tinkluose, komentaruose naujienų portaluose), tinklo įrenginiuose, mobiliuo-
siuose prietaisuose ir kt.) bei gebėjimas juos tinkamai nagrinėti; įstatymų, reglamentuo-
jančių bendruosius nusikaltimų tyrimo procesus, greitai besikeičiančius bei kuriamus
teisinius dokumentus elektroninei erdvei reglamentuoti, išmanymas; gebėjimas vertinti
skirtingas rizikas (pvz., kas turės didesnės neigiamos įtakos kompanijai – teisėsaugos
organų įtraukimas į tyrimą ir informacijos, kad organizacijos informacijos saugos siste-
ma buvo pažeista, paviešinimas ar tyrimo vykdymas savo jėgomis bei nuostolių kom-
pensavimas). Išvardyti iššūkiai lėmė tai, jog sparčiai evoliucionavo nusikaltimų elek-
troninėje erdvėje tyrimo įrankiai ir metodikos, kurie lėmė vis didėjančius reikalavimus
besiformuojančiam profesionalių nusikaltimų elektroninėje erdvėje tyrėjų sluoksniui.
Tačiau ir nusikaltėliai tapo atsargesni, jiems tapo žinoma, jog jų veiksmai gali būti
sekami, o palikti pėdsakai – panaudoti teisme. Paskutinės tendencijos rodo, jog nusi-
kaltėliai, anksčiau ignoravę šią grėsmę arba apie ją tiesiog nežinoję, imasi priemonių,
siekdami apsunkinti nusikaltimų tyrėjų darbą: taiko duomenų šifravimo metodikas,
naudoja automatizuotas įkalčių naikinimo priemones bei vengia tiesiogiai naudoti savo
kompiuterius nusikaltimams vykdyti.
Šios mokomosios knygos tikslas – supažindinti „Nusikaltimų elektroninėje er-
dvėje ir jų tyrimo metodikų“ studijų dalyko klausytojus su pagrindiniais nusikaltimų
elektroninėje erdvėje tipais, jų apibrėžimo bei tyrimo teisiniais aspektais, baziniais ty-
rimo procesais bei įrankiais, suteikti praktinių žinių nagrinėjant konkrečius pavyzdžius,
nurodyti galimas šios srities karjeros galimybes. Rengiant šią mokomąją knygą buvo
7
stengiamasi neapsiriboti vien techniniais aspektais, kurie sparčiai kinta bei lemia greitą
knygos medžiagos senėjimą, bet ir pateikti fundamentalius tyrimo aspektus, kurie ga-
lėtų būti naudojami kaip bazinė sistema tiriant nusikaltimus ar priimant sprendimus.
Autoriai tikisi, kad ši mokomoji knyga taip pat bus naudinga ir kitų analogiškų kursų
arba bendrųjų informacijos saugos kursų klausytojams, teisininkams, nagrinėjantiems
nusikaltimus elektroninėje erdvėje, teisėsaugos organų atstovams bei visiems, besido-
minantiems informacijos saugos tematika. Vadovėlis yra vienas iš pirmųjų bandymų
aprašyti nagrinėjamą sritį lietuvių kalba, todėl autoriai atsiprašo už galimas klaidas ir
netikslumus bei bus dėkingi už konstruktyvią kritiką ir pasiūlymus.
Vadovėlio rengimą finansavo Lietuvos Respublikos švietimo ir mokslo ministe-
rija bei Europos Sąjungos struktūriniai fondai.
8
1.
NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE
Siekiant numatyti gynybos priemones, pirmiausia reikia įvardyti grėsmes, jas
apibrėžti, kitaip tariant – žinoti savo priešą. Todėl šio skyrelio tikslas yra apibrėžti
nusikaltimų elektroninėje erdvėje (NEE, angl. computer crime) sąvoką, siekiant įvesti
vienodą sampratą apie šį reiškinį. Žinodamas nusikaltimo apibrėžimą, tyrėjas gali jį
klasifikuoti ir imtis reikiamų tyrimo metodų.
NEE tyrimo raida evoliucionavo atskirai nuo klasikinių nusikaltimų (plėšimų,
prievartavimo, žudymo ir t. t.) tyrimų, juos vykdė specializuotos tyrėjų grupės, turin-
čios kompiuterių tinklų, operacinių sistemų ir taikomųjų programų sričių žinių. Tai
lėmė savotišką šios srities mistifikaciją visuomenėje ir nesupratimą, kad iš esmės NEE
– tik dar viena nusikaltimų atmaina. Todėl dažnai pasirodydavo pranešimų, kad pro-
gramišiai (angl. hackers) išvengdavo bausmės vien todėl, kad nebuvo įstatymiškai api-
brėžti NEE nusikaltimai, tyrėjams trūko kompetencijos arba teismas negalėjo įvertinti
surinktų įkalčių tinkamumo.
NEE praėjo ilgą evoliuciją nuo vandalizmo bei gebėjimų demonstravimo (XX
a. 7–9deš.) iki juodosios rinkos (nuo XX a. 9-ojo deš. iki dabar), kurioje prieinamos
konkurentų puslapių nulaužimo ir blokavimo (de-facing, DDoS tipo atakos), pramo-
ninio šnipinėjimo bei sabotažo, nepageidaujamo turinio reklamos (SPAM) paslaugos,
išplėtoti sukčiavimo (pvz., phishing) ir draudžiamo turinio platinimo mechanizmai bei
daugelis kitų. Platus kompiuterinių technologijų prieinamumas bei galimybė išlikti
nepastebėtam vykdant sąlyginai didelio masto diversijas, sudarė patrauklias sąlygas
naudoti kompiuterinius puolimus teroristinėms grupuotėms bei atskirų šalių specia-
liosioms tarnyboms. Jau realybe tapo informacinis karas, kurio formuluojama dar tik
sąvoka, bet neabejotinai turės būti atskirai vertinamas, įteisinamas ir tyrinėjamas.
1.1. Nusikaltimų elektroninėje erdvėje apibrėžimas ir jų tipai
NEE sąvoka šiuo metu apima įvairius nusikaltimus, tokius kaip informacijos
vagystė, draudžiamos informacijos (pvz., vaikų pornografijos) platinimas, asmeninės
informacijos vagystės, kompiuterinių resursų blokavimas, autorinių teisių pažeidimas
bei daugelis kitų, tačiau bendriausiu atveju NEE gali būti suskirstyti į dvi grupes:
▬▬ NEE siaurąja prasme, arba nusikaltimai, tiesiogiai darantys įtaką kompiuterinei
sistemai arba joje esantiems duomenims, kitaip tariant, pati kompiuterinė siste-
ma yra nusikaltimo tikslas;
▬▬ NEE plačiąja prasme apibrėžiami kaip bet kokie nusikaltimai, kuriems įvykdyti
vienaip ar kitaip buvo panaudotos kompiuterinės technologijos, o nusikaltimo
faktui įrodyti turi būti taikomos specifinės NEE tyrimo priemonės.
9
Nereikia pamiršti, kad kompiuterinės technologijos tapo prieinamos nusikaltė-
liams bei teroristinėms grupuotėms, kurios naudoja kompiuterių sistemas kaip informa-
cijos rinkimo, veiksmų planavimo ir duomenų mainų įrankį. Būtent šituo apibrėžimu,
kuriuo naudojasi JAV Federalinis tyrimų biuras, ir bus vėliau vadovaujamasi šiame va-
dovėlyje, atsižvelgiant į jo universalumą (apimamos ne vien kompiuterinės, bet ir greti-
mos technologijos, tokios kaip mobilieji įrenginiai) bei platumą. Tačiau šiame skyriuje
supažindinsime ir su kitų autorių siūlomais apibrėžimais, kad būtų matyti apibrėžimų
raida bei NEE kategorijos, kurias kaip svarbesnes išskiria autoriai.
Vienas iš pirmųjų apibrėžti NEE 1976 metais bandė Donn Parker (Parker 1976),
kuris pasiūlė naudoti piktnaudžiavimo kompiuteriu terminą (angl. computer abuse),
kuris reiškė „bet kokį incidentą, apimantį tyčinį veiksmą, susijusį su kompiuteriais,
kurio metu auka patyrė / galėjo patirti nuostolių arba nusikaltėlis turėjo naudos“. De-
talizuojant šį aukšto lygio apibrėžimą Donas Parkeris išskyrė tokias piktnaudžiavimo
kompiuteriu kategorijas:
▬▬ kompiuteris arba jame esantys duomenys yra neteisėto veiksmo objektas;
▬▬ kompiuteris sukuria unikalią aplinką arba vertybių formą;
▬▬ kompiuteris yra veiksmo įrankis arba instrumentas;
▬▬ kompiuteris naudojamas kaip šantažo arba grasinimo priemonė.
Aprašytos kategorijos yra pakankamai plačios, todėl iki šiol nėra praradusios
savo aktualumo nuo 1976 metų.
Vėliau tyrinėtojai bandė tikslinti šį apibrėžimą bei teikti savo pasiūlymus. Pa-
vyzdžiui, Majid Yar teigia, kad bendriniai terminai kompiuterinis nusikaltimas arba
kibernetinis nusikaltimas yra neteisingi ir būtina bent atskirti nusikaltimus, kuriuose
kompiuteris naudojamas kaip pagalbinė priemonė (angl. computer-assisted crimes), t.
y. egzistavusius iki kompiuterių atsiradimo, bet įgavusių naujų formų kibernetinėje er-
dvėje (sukčiavimas, seksualinis priekabiavimas, neapykantos kurstymas, pornografija),
nuo į kompiuterius orientuotų nusikaltimų (angl. computer focused crimes), kurie susi-
formavo kartu su kompiuterių atsiradimu ( programišių veikla, kenksmingo programi-
nio kodo (KPK) atakos, saitynų (Web) puslapių modifikavimas). Autorius taip pat siūlo
detalesnę NEE kategorizaciją:
▬▬ kibernetinis peržengimas (angl. cyber-trespass) – žmonių arba organizacijų nuo-
savybės ribų peržengimas, sukeliant tam tikrų nuostolių (programišių veikla,
defacement, KPK atakos);
▬▬ kibernetinė apgaulė ir vagystė (angl. cyber-deceptions and thefts) – veiksmai ki-
bernetinėje erdvėje, kai vagiamos arba apgaulės būdų įgijamos finansinės (pvz.,
bankinių kortelių numeriai) arba intelektinės (pvz., piratavimas) vertybės;
▬▬ kibernetinė pornografija (angl. cyberpornography) – veiksmai, kurie peržengia
nustatytas padorumo ribas;
▬▬ kibernetinis smurtas (angl. cyber-violence) – psichologinis smurtas arba neapy-
kantos kurstymas naudojant kompiuterines priemones.
Marjorie Britz teigia, kad kompiuterinis nusikaltimas, tai bet koks neteisėtas
veiksmas, atliktas kompiuteriu, o su kompiuteriu susijęs nusikaltimas yra bet koks
10
neteisėtas veiksmas, kurio metu kompiuteris neatliko pagrindinio vaidmens. Galima
matyti, kad šitie du apibrėžimai iš dalies yra vienodi ir nėra labai griežti, kas būdinga
daugeliui NEE apibrėžčių.
Douglas Thomas ir Brian Loader apibrėžia kibernetinį nusikaltimą kaip kom-
piuteriu atliekamus veiksmus, kurie yra nelegalūs arba neteisėti, atliekami globaliuose
elektroniniuose tinkluose.
Robert Taylor (Taylor et al. 2005) pabrėžia, kad kompiuterinio nusikaltimo api-
brėžimas yra sudėtingas uždavinys bei siūlo išplėsti D. Parker klasifikaciją, skirstant
NEE į tokias kategorijas:
▬▬ kompiuteris kaip tikslas – atakos tikslas yra pažeisti teisėtų vartotojų prieigą prie
sistemų ir duomenų;
▬▬ kompiuteris kaip nusikaltimo instrumentas – kompiuteris naudojamas nusikals-
tamos veiklos tikslui pasiekti, pvz., duomenų vagystei;
▬▬ kompiuteris kaip nusikaltimo vykdymo antraeilis įrankis – kompiuteris nėra nu-
sikaltimo pagrindas, tačiau palengvina jo vykdymą, pvz., pinigams plauti arba
pornografijai platinti;
▬▬ kompiuteriai, susiję su kompiuterių paplitimu – šita kategorija apima nusikalti-
mus prieš kompiuterių ir IT industriją, tokius kaip intelektinės nuosavybės va-
gystė ir programinės įrangos piratavimas.
Europos Komisijos dokumentuose kompiuterinis nusikaltimas apibrėžiamas
kaip bet koks neteisėtas veiksmas, apimantis kompiuterį, jų sistemą arba programinę
įrangą. (teisinis NEE apibrėžimas detaliau nagrinėjamas 2 skyriuje).
Kaip matome iš pateiktų apibrėžimų, jie nėra visuomet vienareikšmiai, dažnai
išskiriamos autoriaus nuomone svarbiausios kategorijos, yra panašūs arba nėra „iškal-
būs“ (pvz., prie kategorijos kompiuteriai, susiję su kompiuteriu paplitimu galima be
papildomo išaiškinimo priskirti bet kokį NEE). Tai, be abejo, parodo, jog supratimas
apie NEE dar nėra iki galo susiformavęs, egzistuoja poreikis detalesniam problemos
nagrinėjimui bei NEE klasifikavimui. Dėl šios priežasties toliau šioje knygoje yra var-
tojamas tik bendrinis NEE terminas, neskiriant jo pagal prigimtį ar charakteristiką.
Apibrėžimą taip pat apsunkina skirtingų šalių teisiniai nesutapimai, kas laikoma
nusikaltimu (pvz., dėl skirtingo pilnametystės apibrėžimo tai, kas vienoje šalyje laiko-
ma vaikų pornografija, kitoje gali būti įvertinta kaip teisėto turinio produkcija; teisės
aktų, reglamentuojančių intelektinės nuosavybės klausimus, nebuvimas gali lemti, kad
nusikaltėlis negali būti patrauktas baudžiamojon atsakomybėn už piratinės programi-
nės įrangos platinimą). Įvairūs sunkumai bei teisiniai aspektai plačiau nagrinėjami 2
skyriuje.
1.2. Informacinis karas
Kaip gan specifinis NEE gali būti nagrinėjamas informacinis karas visokiausio-
mis jo atmainomis: ir taikomas teroristinių grupuočių, ir šalių specialiųjų tarnybų kitų
šalių atžvilgiu (parengta pagal Kumetaitis ir Goranin 2007).
11
Informacinis karas – reiškinys, atsiradęs plačiai paplitus masinėms visuome-
nės informavimo priemonėms. Paskutiniu metu vis svarbesnės tampa IT technologijos
(ypač internetas). Informacinėms technologijoms vis labiau besiskverbiant į naujausias
karines technologijas bei visuomenės gyvenimą ir žmonijai tampant vis labiau priklau-
somai nuo šių sistemų, iškyla naujos grėsmės dėl sistemų nepakankamo saugumo ir
atsparumo tinklinėms atakoms ir kenksmingam programiniam kodui. Šis sistemų ne-
atsparumas taip pat suteikia naujų galimybių siekiant pakenkti savo priešininkams ir
konkurentams.
Šiuo metu apytikriai 90–95 proc. visų karinių komunikacijų perduodamos ko-
mercinėmis linijomis. Karinės pajėgos yra labai priklausomos nuo šių linijų, labai daž-
nai šiais tinklais yra siunčiama koduota slapta informacija. Priešiškoms grupėms galbūt
ir nepavyktų perimti ir iššifruoti perduodamų signalų, tačiau jos gali nuslopinti civili-
nes komunikacijos linijas, tuo pačiu palikdamos kariuomenę be komunikacijų, įveliant
sumaišties bei neorganizuotumo joje.
Beveik visos valstybės, tai pat ir Jungtinės Amerikos Valstijos, daugumą savoms
sistemoms skirtų mikroschemų perka iš kitų šalių įmonių, su kuriomis potencialiai atei-
tyje yra įmanomas ir karinis konfliktas. Tokios mikroschemos valdo pačią moderniau-
sią karinę techniką ir pačius galingiausius ginklus, todėl iškyla labai didelė grėsmė,
kad tos mikroschemos kritiniu momentu gali suveikti ne taip, kaip tikimasi, ar net visai
nesuveikti. Tiekimas iš sąjunginių šalių taip pat negali garantuoti patikimumo.
Pati moderniausia karinė technika, tokia kaip B-2 bombonešis, F-22 ir F-35 nai-
kintuvai, buvo suprojektuoti naudojant kompiuterinę techniką ir visa informacija apie
šiuos projektus yra saugoma tam tikruose kompiuteriuose ar darbo stotyse, sujungtose
tam tikrais kompiuterių tinklais. Tai yra labai patogu norint pasidalinti informacija su
kitomis gamyklomis apie jau sukurtas detales, kurias galima panaudoti ir kitose kons-
trukcijose, tačiau tuo pačiu atsiranda galimybė prieiti prie šios informacijos asmenims,
kuriems neturėtų būti leista tai daryti. Be to išlieka galimybė tokį tinklą sutrikdyti ir
padaryti didelių nuostolių karinę techniką gaminančioms kompanijoms, ypač atsižvel-
giant į tai, jog karinės įrangos gamyba užsiima komercinės kompanijos, taikančios skir-
tingus informacijos saugos standartus.
Šiuolaikiniai protingieji ginklai savo taikinį sugeba susirasti patys pagal gautą
taip vadinamąjį duomenų komponentą, kuris nurodo, kokio taikinio reikia ieškoti: ar tai
būtų intensyvus infraraudonųjų spindulių šaltinis (lėktuvo ar tanko išmetamojo vamz-
džio spinduliuojama šiluma), ar tam tikros taikinio koordinatės. Pakeitus tokį duomenų
elementą arba jį visai ištrynus, net ir pats protingiausias ginklas tampa visiškai „kvailu“
ir nevaldomu.
Persų įlankos karai akivaizdžiai parodė, jog stoti į atvirą karinį konfliktą su išsi-
vysčiusiomis pasaulio valstybėmis nėra perspektyvu. Kur kas patrauklesnė alternatyva
yra asimetrinių metodų, prie kurių priskiriamas ir informacinis karas, taikymas.
Informacinis karas pritraukia vis daugiau dėmesio dėl dviejų esminių priežasčių.
Pirmoji – kompiuterių sistemų puolimas yra kur kas paprastesnis, lengvesnis, pigesnis
ir, svarbiausia, mažiau rizikingas nei sabotažas, nužudymas, įkaitų ėmimas bei lėktuvų
12
grobimas. Todėl informacinis karas gali tapti prioritetine strategija, ypač taikos periodu.
Antroji priežastis – informacinis karas yra ne tik galima grėsmė, bet ir galimybė. Nau-
jos karo strategijos remiasi informacinėmis technologijomis (pvz., tinklocentrinis karo
modelis). Informacinės technologijos – išsivysčiusių šalių stiprioji pusė, todėl karinės
pajėgos gali kuo puikiausiai pasinaudoti IT suteikiamomis galimybėmis ir sustiprinti
gynybines sistemas prieš priešiškas atakas. Todėl informacinį karą galima apibrėžti
taip: informacinis karas – veiksmų visuma, siekiant apsaugoti savas informacines sis-
temas nuo neteisėto panaudojimo, duomenų iškraipymo arba visiško sunaikinimo, tuo
pačiu siekiant informacinio pranašumo pasinaudojant, iškraipant arba sunaikinant opo-
nento informacines sistemas.
Informacinio karo tipai ir strategijos:
▬▬ C2 karas (angl. Command and control warfare), kurio pagrindinė idėja – atkirsti
priešininko karinių pajėgų „galvą“ nuo viso „kūno“ – paremta karinių komunikaci-
nių tinklų nutraukimu arba perduodamos informacijos iškraipymu.
▬▬ Elektroninis karas (angl. electronic warfare), kurį sudaro trys pagrindinės dalys:
―― elektroninės atakos – elektromagnetinio spektro panaudojimas, siekiant
pakenkti, suklaidinti ar visai sunaikinti priešo elektronines sistemas (pvz.,
elektromagnetinis impulsas, trikdžiai ir t. t.);
―― elektroninės apsaugos – visos įmanomos priemonės, siekiant apsaugoti savo ir
sąjungininkų elektroniką nuo priešininko elektroninės atakos;
―― elektroninis palaikymas – pasyvus elektromagnetinio spektro panaudojimas,
siekiant išžvalgyti priešininko pozicijas, surasti potencialius taikinius.
▬▬ Psichologinis karas (angl. Psychological warfare) naudojamas psichologiškai
paveikti priešininką, priešiškos valstybės visuomenę ar atskirus individualius
asmenis, naudojant politinį spaudimą, dezinformaciją, propagandą ar psicholo-
ginio teroro priemones.
▬▬ Programišių karas (angl. Hacker warfare) – informacinio karo rūšis, kai pavie-
niai individai atakuoja sistemas ir bando į jas įsilaužti.
▬▬ Kibernetinis karas (angl. Cyber warfare) – gerai organizuotų tinklo įsilaužėlių
grupuočių atakos prieš informacines sistemas, siekiant į jas įsilaužti, perimti ar
sunaikinti ten esančią informaciją arba sutrikdyti visą sistemą.
▬▬ Tinklinis karas (angl. Net warfare) – informacinio karo strategija, apimanti itin
plataus mąsto tinklo įsilaužėlių atakas prieš informacines sistemas, pasižyminti
tuo, kad yra beveik nepastebima ir yra nepaprastai sudėtinga nuo tokios atakos
apsisaugoti (nukenksminti visus atakuojančius dėl labai didelio jų kiekio).
▬▬ Ekonominis informacinis karas (angl. Economic information warfare) –infor-
macinio karo tipas, kai siekiama perimti informaciją ar pakenkti savo konkuren-
tams, siekiant pranašumo rinkoje, arba siekiama žlugdyti priešiškos valstybės
ekonomiką.
Informacinio karo pagrindinės savybės:
▬▬ Mažos išlaidos. Lyginant su klasikiniu karu, informacinis karas reikalauja daug
kartų mažesnių išlaidų – nereikia investuoti milijardinių lėšų į nepaprastai bran-
13
giai kainuojančią karinę techniką.
▬▬ Atstumas informaciniame kare tapo visai nebereikšmingas, informaciniame kare
išnyksta ir valstybių sienos, nes pasiekti bet kokią informacinę sistemą, prijungtą
prie interneto, galima iš bet kurio pasaulio krašto, turint kompiuterį, interneto
prievadą ir reikiamų žinių.
▬▬ Informacinis karas yra pakankamai anonimiškas. Gerai įgudusius tinklo įsilau-
žėlius praktiškai neįmanoma sugauti ir identifikuoti.
▬▬ Pakankamai didelis informacinių sistemų pažeidžiamumas.
Šiame vadovėlyje nenagrinėjamos specifinės informacinio karo įvykių tyrimų
metodikos. Dauguma jų techniškai nesiskiria nuo smulkių NEE tyrimų, tačiau pasižy-
mi ypatingai dideliu darbų mastu, sudėtingumu, daugybe politinių niuansų, kurie yra
už šios knygos ribų.
1.3. Kontroliniai klausimai
1. Pateikite bent tris NEE apibrėžimus.

2. Į kokias kategorijas siūloma skirstyti NEE? Pateikite bent du pavyzdžius.
3. Kokios NEE savybės, Jūsų nuomone, leidžia jas atskirti nuo kitų nusikalti-
mų tyrimo?
4. Apibrėžkite informacinio karo sąvoką.
5. Išvardykite kelias informacinio karo savybes.
14
2.
NEE TEISINIAI ASPEKTAI
Nusikaltimai elektroninėje erdvėje – sąlyginai nauja sritis daugelio šalių teisi-
nėje praktikoje. Šių tipų nusikaltimų terminai nėra galutinai nusistovėję teisėsaugoje,
o galiojantys įstatymai yra nuolat tobulinami. IT specialistas, būdamas elektroninio
nusikaltimo liudininkas ar atlikdamas elektroninių nusikaltimų tyrimą, privalo veikti
nenusižengdamas galiojantiems įstatymams ir teisės aktams, todėl dažnai susiduria su
esminiais klausimais:
▬▬ ar nepažeidžiami įstatymai renkant ir tikrinant naudotojų duomenis, stebint nau-
dotojų veiksmus kompiuterių tinkle, analizuojant failų saugyklų turinį;
▬▬ ar naudojami tinkami, nenusižengiantys įstatymams incidento įrodymų rinkimo
metodai.
Specializuotos teisinės žinios yra būtinos kiekvienam IT administratoriui ar in-
formacijos saugos specialistui, vykdančiam kasdienę veiklą. Ypač svarbu būti susipa-
žinus su svarbiausiais šią sritį reglamentuojančiais teisiniais aktais: Europos Tarybos
konvencija dėl elektroninių nusikaltimų, Lietuvos Respublikos baudžiamojo kodekso
30 skyriumi, LR elektroninių ryšių įstatymu ir Europos žmogaus teisių ir pagrindinių
laisvių apsaugos konvencija. Žymiai palankiau vertinamas toks IT darbuotojas, kuris
sugeba ne tik užtikrinti tinkamą informacijos ir IT infrastruktūros saugą organizacijoje,
bet turi ir pakankamai teisinių žinių, todėl galinčio tinkamai elgtis įvykus elektroniniam
nusikaltimui.
Šiame skyriuje apžvelgsime Lietuvoje bei Europoje galiojančius teisės aktus ir
įstatymus, apibrėšime elektroninių nusikaltimų rūšis teisiniu aspektu, tokių nusikaltimų
daromą žalą, panagrinėsime bausmes, taikomas įvykdžius nusikaltimus elektroninėje
erdvėje.
2.1. Teisinė nusikaltimų elektroninėje erdvėje samprata
Nors jau keletą dešimtmečių susiduriama su nusikaltimais elektroninėje erdvėje,

tačiau bendros teisinės sampratos, kas yra elektroninis ar kompiuterinis nusikaltimas,
taip ir nėra suformuluota. Apibūdinant nusikaltimus elektroninėje erdvėje dažnai re-
miamasi JAV įstatymine baze, kur naudojami tokie terminai kaip cyber crime (liet.
elektroniniai nusikaltimai), computer crime (liet. kompiuteriniai nusikaltimai), com-
puter-related crime (liet. su kompiuteriais susiję nusikaltimai), internet-related crimes
(liet. su internetu susiję nusikaltimai). 2001 m. priėmus Europos Tarybos konvenciją
dėl elektroninių nusikaltimų (angl. Convention on Cybercrime), teisminėje praktikoje
pradėtas vartoti elektroninio nusikaltimo terminas, nors iki tol aktyviai buvo naudoja-
ma kompiuterinio nusikaltimo sąvoka. Elektroninio nusikaltimo sąvoka yra pakanka-
15
mai plati ir siejama su skaitmenine informacija, duomenimis, internetu, programine
ir kompiuterine įranga. Teisiniu požiūriu elektroniniai nusikaltimai apima neteisėtus
veiksmus, susijusius su prieiga prie kompiuterinės sistemos ir joje esančio turinio, jo
keitimo ar modifikavimo bet kokia forma. Šio tipo nusikaltimas apima ir neteisėto ar
žalingo turinio skaitmeninės informacijos laikymą, platinimą ir naudojimą.
Elektroniniams nusikaltimams priskiriamos veikos, padarytos naudojant kom-
piuterius ar išmaniuosius elektroninius įrenginius, siekiant neteisėtai perimti, sugadin-
ti, sunaikinti pašalinti duomenis, sutrikdyti ar nutraukti informacinės sistemos darbą.
Kaip pažymi teisės specialistai, šiais laikais elektroniniai nusikaltimai jau neatsiejami
ir nuo interneto kaip terpės, kurioje vykdoma neteisėta veika.
Apibendrinant galima teigti, kad teisiniu požiūriu elektroniniams nusikaltimams
priskiriamos tokios neteisėtos veikos, kuriose kompiuterinė ar programinė įranga yra
nusikaltimo objektas arba įrankis, ir kitos neteisėtos veikos, susijusios su skaitmenine
informacija ir jos apdorojimu. Pavyzdžiui, kompiuteris ar kitas elektroninis įrenginys
gali būti ir nusikaltimo objektas, t. y. jis gali būti pavogtas ar piktybiškai sugadintas,
ir juo gali būti vykdoma DoS ataka, įsilaužimas į informacinę sistemą ar internetinį
portalą, ištrinami ar sugadinami naudotojų duomenys.
Reikėtų pažymėti, kad tokia elektroninio nusikaltimo samprata galioja daugelyje
šalių ir neprieštarauja Konvencijai dėl elektroninių nusikaltimų, kurioje nors ir nėra pa-
teiktas elektroninio nusikaltimo apibrėžimas, bet iš joje išdėstytų kriminalizuotų veikų,
apimančių tokio tipo nusikaltimus, galima daryti analogiškas išvadas.
Elektroninio nusikaltimo apibrėžimas Lietuvos teisiniuose dokumentuose
Nusikaltimai elektroninėje erdvėje pripažįstami kaip neteisėta veika ir Lietu-

voje. Panagrinėkime, kaip tokie nusikaltimai apibrėžiami Lietuvos Respublikos bau-
džiamajame kodekse (toliau BK). Senajame 1961 m. BK bausmės už elektroninius
nusikaltimus buvo skiriamos pagal 274 straipsnį, kurio pirmoji dalis apibrėžė sukčiavi-
mo sąvoką, kai naudojama kompiuterinė įranga, o antroji dalis – sukčiavimą, padarytą
sudarant žinomai neteisingą kompiuterinę programą. Tokio tipo sukčiavimai iš esmės
nesiskyrė nuo įprastinio sukčiavimo, skyrėsi tik nusikaltimo įrankis, kuris nebuvo deta-
liai įvardintas, todėl šio tipo nusikalstamos veikos sąvoka nebuvo apibrėžta.
2000 m. išleistame naujajame BK elektroniniams nusikaltimams yra skirtas 30
skyrius „Nusikaltimai informatikai“. Skyriaus pavadinime pavartotas žodis „informa-
tika“, kurio samprata pakankamai plati, nes informatika – tai mokslo šaka, nagrinė-
janti informacijos apdorojimą, panaudojant kompiuterinę įrangą. Informatika apima
abstrakčių algoritmų, formalių gramatikų tyrimus, programavimo kalbas, programinę
ir techninę įrangą. Taigi skaitmeninė informacija ir jos apdorojimas, šiuo atveju, tampa
nusikaltimo objektu, nors informatikos specialistai labiau linkę vartoti konkretesnius
terminus, tokius kaip duomenys, informacinė sistema, kompiuterių tinklai, programinė
įranga – tai tiksliau apibrėžia patį nusikaltimo objektą. Todėl 2007 m. BK 30 skyrius
buvo atnaujintas pakeičiant ne tik jo pavadinimą į „Nusikaltimai elektroninių duomenų
ir informacinių sistemų saugumui“, bet ir 196, 198 ir 198 straipsnius. Įvesti pakeitimai
16
atitiko Europos Tarybos rekomendacijas ir tiksliau apibrėžė nusikaltimų rūšis ir jiems
taikomas bausmes.
Nagrinėjant nusikaltimus elektroninėje erdvėje baudžiamosios teisės atžvilgiu,
elektroninis nusikaltimas suprantamas kaip bet koks baudžiamosios ar administracinės
teisės pažeidimas, kuriame kompiuterių sistema, duomenų perdavimo tinklai ar skai-
tmeninė informacija yra nusikaltimo objektas arba įrankis. 2004 m. Lietuvai ratifikavus
Budapešto Konvenciją dėl elektroninių nusikaltimų, elektroninio nusikaltimo terminas
buvo de jure įteisintas Lietuvos teisėsaugos dokumentuose, todėl tolesniuose skyriuose
šie nusikaltimai bus nagrinėjami konvencijoje patiektos sampratos kontekste.
Apibendrinant galima teigti, kad teisinėje praktikoje nėra universalios ir vie-
ningos elektroninio nusikaltimo sampratos dėl veikų skirtumo, siejamų su tokio tipo
nusikaltimais. Taip pat reikia pažymėti, kad daugelio šalių įstatymuose elektroniniai
nusikaltimai interpretuojami panašiai; tai leidžia teisėsaugos institucijoms užtikrinti
tarptautinį bendradarbiavimą, užkertant kelią nusikaltimams elektroninėje erdvėje.
2.2. Elektroninių nusikaltimų kategorijos
Prof. U. Sieber savo ataskaitoje „Legal Aspects of Computer-Related Crimes

in Information Society“ išskiria tokius saugomus interesus: ekonominį, privatumo ir
kitus. Šiuos interesus saugo daugelis tarptautinių ir Lietuvos teisės aktų, kuriuos galima
būtų suskirstyti į:
▬▬ ekonominių interesų apsaugos (Konvencija dėl elektroninių nusikaltimų, Lietu-
vos BK 196–198 str.);
▬▬ privatumo apsaugos (Lietuvos Respublikos asmens duomenų teisinės apsaugos
įstatymas, Lietuvos BK 166–168 str., Strasbūro Konvencija dėl asmenų apsau-
gos ryšių su asmens duomenų automatizuotu tvarkymu);
▬▬ intelektinės nuosavybės teisių apsaugos (Konvencija dėl elektroninių nusikal-
timų, Lietuvos Respublikos autorių ir gretutinių teisių įstatymas, Lietuvos BK
191–194 str.);
▬▬ apsaugos nuo žalingo ir žeidžiančio turinio informacijos (Konvencijos dėl elek-
troninių nusikaltimų papildomas 2003 m. protokolas, Lietuvos BK 162, 309 str.).
Reikia paminėti, kad elektroninių nusikaltimų klasifikacija pateikiama ir Kon-
vencijoje dėl elektroninių nusikaltimų, kurioje 2 skyriaus 1 skirsnyje „Materialioji bau-
džiamoji teisė“ nusikaltimai klasifikuojami pagal nusikalstamos veikos pobūdį:
▬▬ nusikaltimai, pažeidžiantys kompiuterinės informacijos ir kompiuterių sistemų
konfidencialumą, vientisumą ir prieinamumą;
▬▬ su kompiuterių naudojimu susiję nusikaltimai;
▬▬ turinio nusikaltimai;
▬▬ pažeidimai, susiję su autorių ir gretutinėmis teisėmis.
Nusikaltimams, pažeidžiantiems kompiuterinės informacijos ir kompiuterių sis-
temų konfidencialumą, vientisumą ir prieinamumą, priskiriami tokie veiksmai: neteisė-
ta prieiga prie visos kompiuterinės sistemos arba jos dalies; neteisėta neviešo kompiu-
17
terinių duomenų perdavimo į kompiuterinę sistemą perimtis; kompiuterinių duomenų
sugadinimas, sunaikinimas, apgadinimas, neteisėtas kompiuterinės sistemos darbo
trukdymas įvedant, perduodant, sugadinant ar sunaikinant kompiuterinius duomenis;
elektroninių įtaisų, kompiuterinių programų, prisijungimo kodų, slaptažodžių gamini-
mas, pardavimas, įsigijimas naudoti, įvežimąas platinimas aukščiau išvardintiems nu-
sikaltimams daryti. Su kompiuterių naudojimu susijusiems nusikaltimams priskiriami
kompiuterinės klastotės ir sukčiavimas, ketinant gauti neteisėtos ekonominės naudos
sau arba kitam asmeniui.
Turinio nusikaltimams priskiriamos tokios nusikalstamos veikos kaip pornogra-
finio turinio produkcijos, kurioje atvaizduotas vaikas, gaminimas, siūlymas, platinimas,
įsigijimas ir laikymas. Pažeidimai, susiję su autorių teisėmis ir gretutinėmis teisėmis,
apima literatūros ir meno kūrinių apsaugos pažeidimus, atlikėjų, fonogramų gamintojų
ir transliuojančiųjų organizacijų apsaugos pažeidimus.
2.3. Tarptautiniai teisės aktai ir Konvencija dėl elektroninių

nusikaltimų
Šiuolaikinės visuomenės gyvenimas neatsiejamas nuo kompiuterinės ir progra-

minės įrangos, informacinių sistemų bei interneto. Kompiuterizuotos sistemos nau-
dojamos praktiškai visoms žmogaus veikloms, todėl korektiškas sistemų ir jų tinklų
funkcionavimas būtinas, siekiant užtikrinti stabilią veiklą. Natūralu, kad netgi nedidelis
sistemų sutrikimas gali sukelti sumaištį, destrukciją ar netgi pavojų žmogaus sveikatai
ir gyvybei. Atsižvelgiant į tai, kad šiais laikais kompiuteriai yra įjungti į globalų kom-
piuterių tinklą, o elektroninių nusikaltimų įvykdymo bei nusikaltėlio fizinio buvimo
vietos paprastai nesutampa, tokio tipo nusikaltimų teisinis reglamentavimas dėl skir-
tingų požiūrių ir nacionalinių ypatumų įvairiose šalyse yra skirtingas bei dažnai nepa-
kankamas. Todėl natūraliai kyla poreikis nusikaltimus elektroninėje erdvėje persekioti
ir bausti tarptautiniu mastu.
Pirmieji tarptautinio bendradarbiavimo žingsniai buvo padaryti 1983 m., kai
Ekonominio bendradarbiavimo ir plėtros organizacijos (EBPO) kompiuterinių nusikal-
timų komitetas išleido ataskaitą „Su kompiuteriais susijęs nusikalstamumas: teisinės
politikos analizė“ („Computer-Related Crimes: Analysis of Legal Policy“) ir rekomen-
davo šios organizacijos narėms kriminalizuoti konkrečias veikas, siejamas su elektro-
niniais nusikaltimais. 1992 m. EBPO paruošė kitą rekomendaciją „Dėl informacinių
sistemų apsaugos gairių“ („Concerning Guidelines for the Security of Information Sys-
tems“), kurioje suformulavo reikalavimus informacinių sistemų saugai užtikrinti.
1989 m. Europos Tarybos su kompiuteriais susijusių nusikaltimų ekspertų komi-
tetas paruošė rekomendaciją Nr. R (89) 9 „Dėl su kompiuteriais susijusių nusikaltimų“
(„Recommendation Nr. R (89) 9 on Computer-Related Crimes“). Rekomendacijoje
aprašoma su kompiuteriais susijusio nusikaltimo samprata, nustatytas minimalus (8
punktų) ir pasirinktinis (4 punktų) kriminalizuotų veikų sąrašas, procesinės normos
(kompiuterinių įrodymų rinkimo leistinumas, įrodymo rinkimo būdai ir metodai), su
18
kompiuteriais susijusių nusikaltimų prevencija bei latentiškumo mažinimas. Europos
Tarybos parengtos rekomendacija tikslas – suvienodinti Europos Sąjungos šalių teisi-
nes sistemas dėl su kompiuteriais siejamų nusikaltimų vertinimo ir užtikrinti tarptautinį
bendradarbiavimą. Rekomendacijoje pasiūlytas minimalus su kompiuteriais susijusių
nusikaltimų sąrašas:
▬▬ sukčiavimas, susijęs su kompiuteriais;
▬▬ klastojimas naudojant kompiuterį;
▬▬ kompiuterinių duomenų ir programų sunaikinimas arba sugadinimas;
▬▬ sabotažas naudojant kompiuterį, kompiuterinių duomenų ar kompiuterių progra-
mų įvedimas, ištrynimas, pakeitimas, paslėpimas ar kitoks įsikišimas į duomenų
apdorojimo procesą, siekiant sutrikdyti kompiuterio ar telekomunikacijų siste-
mos darbą;
▬▬ neteisėta prieiga prie kompiuterių sistemos;
▬▬ neteisėtas informacijos perėmimas kompiuterių sistemoje;
▬▬ neteisėtas apsaugotų kompiuterio programų dauginimas ir platinimas;
▬▬ neteisėtas kompiuterių lustų topografijų dauginimas ir platinimas.
Europos Tarybos valstybėms narėms pasiūlyta naudoti ir neprivalomų veikų,
traktuotinų kaip elektroniniai nusikaltimai, sąrašas, t. y. kompiuterių duomenų ir pro-
gramų pakeitimas, kompiuterinis šnipinėjimas, neteisėtas kompiuterio naudojimas, ne-
teisėtas apsaugotų programų naudojimas.
Kitas Europos Tarybos žingsnis, kovojant su nusikaltimais elektroninėje erdvė-
je, buvo 1995 m. išleista rekomendacija Nr. R (95) 13, susijusi su baudžiamojo proceso
teisės reglamentavimu nacionaliniu mastu. Valstybėms narėms rekomenduojama bau-
džiamojoje teisėje naudoti tokius procedūrinius principus:
▬▬ krata ir poėmis turi būti leistinos procedūros, tiriant elektroninius nusikaltimus;
▬▬ sekimo procedūros turi užtikrinti galimybę sekti telekomunikacinių srautų duo-
menis, tiriant nusikaltimus;
▬▬ bendradarbiavimas su teisėsaugos institucijomis yra privalomas asmenims ir
institucijoms pateikiant duomenis, reikalingus nusikaltimo tyrimui;
▬▬ elektroniniai įrodymai, jų procedūriniai ir techniniai išgavimo metodai turi būti
apibrėžti teisės aktuose ir vienodai galiojantys kaip ir kitos įrodymų formos;
▬▬ šifravimas tiriant nusikaltimus turi būti naudojimas tik būtinais atvejais, siekiant
nenusižengti įstatymams;
▬▬ tyrimas, statistika ir mokymai – turi būti įsteigti specialūs kompetentingi padali-
niai, tiriantys nusikaltimus elektroninėje erdvėje;
▬▬ tarptautinis bendradarbiavimas turi užtikrinti sklandų nusikaltimo tyrimą ir leis-
ti atlikti tokias procedūras kaip kratą ir poėmį kitoje valstybėje, nepažeidžiant
suverenumo principo.
19
Konvencija dėl elektroninių nusikaltimų
Vienas iš svarbiausių tarptautinių norminių dokumentų, skirtų nusikaltimams

elektroninėje erdvėje reglamentuoti, yra Europos Tarybos 2001 m. rudenį Budapeš-
te pasirašyta Konvencija dėl elektroninių nusikaltimų („Convention on Cybercrime“).
Konvencijos projektą parengė Europos Taryba kartu su JAV, Kanada, Japonija ir kito-
mis valstybėmis, kurios nėra šios organizacijos narės. 2010 m. konvenciją buvo pasira-
šiusios 46 valstybės, o ratifikavusios – 26. Lietuva konveciją pasirašė 2003 m. birželio
23 d., o 2004 m. kovo 18 d. LR Seimas konvenciją ratifikavo. Konvencija įsigaliojo
2004 m. liepos 1 d. Reikia atkreipti dėmesį, kad šios konvencijos kol kas neratifikavo
tokios šalys kaip Rusija, Indija ir Kinija, kurios yra vienos iš pavojingiausių šalių elek-
troninių nusikaltimų srityje. Konvenciją pasirašiusios šalys įsipareigojo nacionaliniais
teisės aktais pripažinti nusikalstamomis veikomis joje numatytus veiksmus, taip pat nu-
statyti juridinių asmenų atsakomybę už šių veikų padarymą. Tačiau šiame dokumente
nereikalaujama nustatyti konkretaus lygio baudžiamųjų sankcijų, o tik nurodoma, kad
už padarytus nusikaltimus turi būti taikomos veiksmingos, proporcingos ir atgrasančios
sankcijos, įskaitant laisvės atėmimą. Konkrečius bausmių lygius turi nustatyti kiekvie-
nos valstybės įstatymų leidėjai individualiai. Konvencija taip pat nustato reikalavimus
procedūrinėms teisės normoms bei įpareigoja imtis priemonių, būtinų operatyviai iš-
saugoti ir pateikti elektroninius duomenis, nusikaltėlių prisijungimų prie sistemų įra-
šus, tinklo srauto duomenis ir kitą svarbią informaciją. Dalis procedūrinių veiksmų,
tiriant nusikaltimą, susiję su pagrindinėmis žmogaus teisėmis ir laisvėmis bei jų ap-
sauga, kuri Lietuvoje garantuojama LR Konstitucijos 22 straipsniu (citata: „Žmogaus
privatus gyvenimas neliečiamas. Asmens susirašinėjimas, pokalbiai telefonu, telegrafo
pranešimai ir kitoks susižinojimas neliečiami. Informacija apie privatų asmens gyveni-
mą gali būti renkama tik motyvuotu teismo sprendimu ir tik pagal įstatymą. Įstatymas
ir teismas saugo, kad niekas nepatirtų savavališko ar neteisėto kišimosi į jo asmeninį ir
šeimyninį gyvenimą, kėsinimosi į jo garbę ir orumą“). Taigi nusikaltimo tyrimas turi
būti atliekamas nepažeidžiant galiojančių teisinių dokumentų.
2003 m. Strasbūre buvo priimtas Konvencijos dėl elektroninių nusikaltimų kon-
vencijos papildomas protokolas dėl rasistinio ir ksenofobinio pobūdžio veikų, padarytų
naudojantis kompiuterinėmis sistemomis, kriminalizavimo. Protokolą ratifikavusios
valstybės narės įsipareigojo nacionalinio lygio įstatymuose nustatyti rasistinio ir kse-
nofobinio pobūdžio veikas kaip nusikalstamas ir užtikrinti tarptautinį bendradarbiavi-
mą tiriant tokius nusikaltimus. Lietuva šį protokolą pasirašė 2005 m. balandžio 7 d., o
ratifikavo 2006 m. spalio 12 d.
Konvencijos dėl elektroninių nusikaltimų nuostatų apžvalga
Konvenciją dėl elektroninių nusikaltimų sudaro preambulė ir trys skyriai:

1. Sąvokos.
2. Priemonės, kurių reikia imtis nacionaliniu lygiu.
3. Tarptautinis bendradarbiavimas.
20
I skyriuje apibrėžiamos tokios sąvokos kaip kompiuterinė sistema, kompiuteri-
niai duomenys, paslaugų tiekėjai ir srauto duomenys, kurios vėliau naudojamos apibrė-
žiant nusikaltimo objektą, priemones, nusikaltimo tyrimo procedūras.
II skyrių sudaro trys skirsniai, t. y. materialioji baudžiamoji teisė, procesinė teisė
ir jurisdikcija. 1 skirsnį sudaro penkios dalys. Keturiose dalyse apibrėžiamos nusikals-
tamos veikos elektroninėje erdvėje, kurias įsipareigoja kriminalizuoti konvenciją pasi-
rašiusios šalys (šios veikos buvo aptartos ankstesniame vadovėlio skyriuje). Penktojoje
dalyje nustatoma atsakomybė už padarytas nusikalstamas veikas, įskaitant ir juridinio
asmens, bei rekomenduojama taikyti veiksmingas, proporcingas ir atgrasančias sankci-
jas, įskaitant laisvės atėmimą.
II skyriaus 2 skirsnis skirtas baudžiamojo proceso teisei. Juo siekiama suvieno-
dinti valstybių nacionalinių įstatymų proceso normas ir tokias procesines priemones
kaip krata ir poėmis pritaikyti elektroniniams nusikaltimams. Trijuose šiuose skirsniuo-
se išskiriamos tokios nuostatos dėl procesinių priemonių:
▬▬ operatyvus laikomųjų kompiuterinių duomenų išsaugojimas;
▬▬ laikomųjų kompiuterinių duomenų paieška ir poėmis;
▬▬ kompiuterinių duomenų surinkimas realiuoju laiku.
Operatyvus laikomųjų kompiuterinių duomenų išsaugojimas. Konvencijos 16
str. įpareigoja valstybes apibrėžti teisės aktus ir priemones, kurių gali prireikti
paskiriant kompetentingas institucijas nurodyti arba pasirūpinti operatyviu kon-
krečių kompiuterių duomenų, įskaitant ir duomenų srauto laikomų kompiuterių
sistemoje, išsaugojimu, ypač jei tie kompiuteriniai duomenys gali būti nesun-
kiai prarasti arba pakeisti. 17 str. įpareigoja užtikrinti, kad operatyvus srauto
duomenų išsaugojimas yra galimas ir kompetentingai šalies institucijai arba jos
paskirtam asmeniui būtų operatyviai atskleista pakankamai srauto duomenų, lei-
džiančių šaliai nustatyti paslaugos teikėjus ir tos informacijos perdavimo kelią.
18 str. apibrėžia nurodymus dėl duomenų pateikimo kompetentingai šalies insti-
tucijai. Poreikis operatyviai išsaugoti ir pateikti kompiuterių duomenis gali kilti
tais atvejais, kai per trumpą laiką duomenys gali būti ištrinti arba modifikuoti.
Pavyzdžiui, vykdant transakcijas duomenų bazės įrašai gali būti modifikuojami
arba trinami, rezervinės kopijos gali būti saugomos tik tam tikrą įmonės politi-
koje nustatytą laiką, po kurio jos yra trinamos. Įpareigojimas operatyviai išsau-
goti kompiuterinius duomenis svarbus ir tarptautiniu lygiu, nes gali užtikrinti
šalių bendradarbiavimą, tiriant elektroninius nusikaltimus.
Laikomųjų kompiuterinių duomenų paieška ir poėmis. Konvencijos 19 str. 1 dalis
įpareigoja priimti tokius teisės aktus ir kitas priemones, kurių gali prireikti, įga-
linant jos kompetentingas institucijas apieškoti ar panašiai ištirti kompiuterinę
sistemą arba jos dalį ir joje laikomus kompiuterinius duomenis, kompiuterinių
duomenų atmeniąją terpę, kurioje tos šalies teritorijoje gali būti laikomi kom-
piuteriniai duomenys. 2 dalyje nurodoma, kad šalis priima tokius teisės aktus
ir kitas priemones, kurių gali prireikti užtikrinti, kad jos institucijoms pagal šio
straipsnio 1 dalies a punktą apieškant ar panašiai tiriant konkrečią kompiuterinę
21
sistemą arba jos dalį ir turint priežasčių manyti, kad ieškomi duomenys laikomi
tos šalies teritorijoje esančioje kitoje kompiuterinėje sistemoje arba jos dalyje,
ir kad tokie duomenys yra teisėtai prieinami naudojant pirmąją sistemą, tokios
institucijos galėtų operatyviai išplėsti paiešką ar panašų tyrimą į kitą sistemą. 19
str. tikslas – užtikrinti, kad nebūtų diskriminuojama duomenų paieška ir poėmis
ne tik lokalioje sistemoje, bet esant reikalui galėtų būti atliekama ir kitoje, susi-
jusioje su nusikaltimu, kompiuterių sistemoje.
Kompiuterinių duomenų surinkimas realiuoju laiku. Konvencijos 19 str. 1 dalis
įpareigoja priimti tokius teisės aktus ir kitas priemones, kurių gali prireikti, įga-
linant jos kompetentingas institucijas:
▬▬ tos šalies teritorijoje surinkti arba techninėmis priemonėmis įrašyti;
▬▬ priversti paslaugos teikėją pagal jo technines galimybes:
―― tos šalies teritorijoje surinkti arba techninėmis priemonėmis įrašyti arba
―― bendradarbiauti su kompetentinga institucija ir padėti jai surinkti arba įrašyti
realiuoju laiku srauto duomenis, susijusius su konkrečia jos teritorijoje
perduodama informacija, naudojantis kompiuterine sistema.
20 str. įpareigoja atlikti tuos pačius veiksmus su realaus laiko turinio duomenis, su-
sijusiais su konkrečia informacija, perduodama naudojantis kompiuterine sistema.
Kaip matyti, konvencija įpareigoja nustatyti teisės aktus srauto ir turinio duomenims
rinkti. Abu šie duomenų tipai yra svarbūs, kadangi srauto duomenys užfiksuoja įvykį, o
turinio duomenys gali apibrėžti nusikaltimo objektą, pvz., pornografinį siunčiamų failų
turinį. Tačiau turinio duomenų rinkimas yra šiek tiek komplikuotas, nes atliekant šiuos
veiksmus neturi būti pažeidžiami asmens privatumo principai.
Konvencijos III skyrius skirtas tarptautinių bendradarbiavimo principų, ekstradi-
cijos, savitarpio pagalbos, savanoriško bendradarbiavimo, konfidencialumo ir informa-
cijos panaudojimo apribojimo principams nustatyti tiriant elektroninius nusikaltimus.
III skyriaus 1 dalyje šalys įpareigojamos kuo didesniu mastu bendradarbiauti
tarpusavyje, taikydamos atitinkamus tarptautinius dokumentus dėl tarptautinio ben-
dradarbiavimo baudžiamosiose bylose, susitarimus, pagrįstus vienodais ar abipusiais
teisės aktais.
2 dalyje nustatomi ekstradicijos principai tarp šalių, taip pat rekomenduojama
vadovautis Europos konvencija dėl ekstradicijos.
III skyriaus 3 dalyje nustatomi bendrieji savitarpio pagalbos principai, pagal ku-
riuos šalys įpareigojamos teikti didžiausią įmanomą pagalbą operatyviomis ryšio prie-
monėmis. Taip pat rekomenduojama, kad kiekviena šalis, kiek tai leidžia jos vidaus
teisė, be ankstesnio prašymo perduoti kitai šaliai informaciją, gautą per savo pačios
atliekamus tyrimus, jeigu ji mano, kad tokios informacijos atskleidimas padėtų ją ga-
vusiai šaliai pradėti arba atlikti tyrimą ar nagrinėti bylas dėl pagal šią konvenciją nusta-
tytų nusikaltimų. III skyriaus paskutinioji 4 dalis nustato savitarpio pagalbos prašymų
pateikimo tvarką, kai nėra taikytinų tarptautinių susitarimų.
22
2.4. Nusikaltimų elektroninėje erdvėje reglamentavimas Lietuvoje
Lietuvos BK prieš Konvenciją dėl elektroninių nusikaltimų
Nusikaltimai elektroninėje erdvėje, nors ir vėliau nei pažangiose vakarų šalyse,

tapo realybe ir Lietuvoje. Realios galimybės kovoti su tokio tipo nusikaltimais atsira-
do tik 1994 m., kai buvo patvirtinti senojo, dar iš sovietinių laikų paveldėto, 1961 m.
BK pakeitimai. Senasis BK ir jo pakeitimai galiojo iki 2003 m. gegužės 1 d. 1994 m.
BK įvestuose pakeitimuose nebuvo išskirtas atskiras skyrius elektroniniams nusikalti-
mams, taip pat nebuvo suformuluoti nauji BK straipsniai. Buvo apsiribota tik dviejų
praktikoje dažnai pasitaikančių nusikaltimų nuosavybei – sukčiavimo (BK 274 str.)
ir turtinės žalos padarymo apgaule arba piktnaudžiaujant pasitikėjimu (BK 274 str.)
– išplėtimu, suformuluojant nusikaltimų sudėtis, panaudojant kompiuterinę įrangą. Iš
esmės šie pakeitimai nustatė baudžiamąją atsakomybę už sukčiavimus ir turtinės žalos
padarymą, pavyzdžiui, įvedant klaidingus duomenis informacinėje sistemoje sukčiavi-
mo tikslu. Kaip matyti, BK pakeitimai tiesiogiai neapėmė tokių su kompiuteriais sieja-
mų nusikalstamų veikų kaip pažeidimai, susiję su autorinėmis ir gretutinėmis teisėmis,
nusikaltimai, susiję su žalingo turinio medžiagos platinimu, sabotažu, šnipinėjimu ir t.
t. Išvardyti nusikaltimai galėjo būti baudžiami pagal kitus BK straipsnius, kurie apibrė-
žė panašius nusikaltimus ir netiesiogiai galėjo būti taikomi baudžiamajame procese.
2000 m. Lietuvos Respublikos Seimas patvirtino naują BK, kuris įsigaliojo 2003
m. gegužės 1 d. Jame BK rengėjai išskyrė atskirą 30 skyrių „Nusikaltimai informati-
kai“ bei suformulavo tris straipsnius: 196, 197 ir 198. Skyriaus pavadinimas buvo kri-
tikuojamas, nes žodis „informatika“ yra pakankamai platus ir pirmiausiai suprantamas
kaip mokslo šaka, o nusikaltėliai vargu ar kėsinasi kenkti mokslui. Greičiau atvirkščiai,
darant nusikaltimus, naudojamos informatikos mokslo žinios kaip nusikaltimo priemo-
nė. Šiame BK nusikaltimų sudėtys yra tik materialinės, t. y. reikalaujama, kad elektro-
niniais nusikaltimais būtų sukeliama didelė žala, išskyrus kompiuterinės informacijos
pasisavinimo ir skleidimo sudėtį (BK 198 str.).
2000 m. BK 30 skyriuje buvo nustatytos trys nusikalstamos veikos: kompiu-
terinės informacijos sunaikinimas arba pakeitimas (196 str.), kompiuterio programos
sunaikinimas ar sugadinimas, kompiuterių tinklo ar informacinės sistemos sutrikdy-
mas (197 str.), kompiuterinės informacijos pasisavinimas ir skleidimas (198 str.). Pagal
šiuos straipsnius buvo nustatytos tokios bausmės: laisvės atėmimas iki trijų arba ketve-
rių metų, bauda, areštas arba viešieji darbai. Remiantis BK 11 str. 3 dalimi, nusikaltimai
elektroninėje erdvėje buvo traktuojami kaip nesunkūs, nes įstatymas numato bausmę,
neviršijančią 3 metų laisvės atėmimo. Vienas iš 2000 m. BK privalumų tas, kad čia de-
taliai neaprašomi nusikalstamos veikos padarymo būdai, nes neįmanoma pateikti visų
būdų, kuriais galima paveikti kompiuterinę informaciją. Taip pat šiame kodekse buvo
įvardyta, kad elektroninio nusikaltimo subjektas gali būti ne tik fizinis, bet ir juridinis
asmuo.
23
Nežiūrint teigiamų 2000 m. BK savybių kovojant su nusikaltimais elektroninėje
erdvėje, buvo pastebėta ir nemažai trūkumų. Įstatymų leidėjas naudojo netikslią ter-
minologiją (nebuvo atskirtos sąvokos duomenys ir informacija), neįvertino kai kurių
galimų elektroninių nusikaltimų atvejų (pvz., įsibrovimas į kompiuterinę sistemą, bet
nepasisavinant ar nekeičiant informacijos, arba neteisėtas disponavimas licenzijuotų
programų kodais, „nulaužimo“ programomis, slaptažodžiais ir t. t), 196 str. ir 197 str.
iš dalies dubliavo vienas kitą, nes viename buvo kriminalizuojamas kompiuterinės in-
formacijos, o kitame – kompiuterinės programos sunaikinimas ar sugadinimas. Skir-
tumas tarp šių nusikaltimų subjektų yra neesminis, nes teisiniu požiūriu kompiuterinė
programa gali būti laikoma kaip kompiuterinės informacijos dalis. Taip pat kaip vienas
iš didesnių BK 30 skyriaus trūkumų išryškėjo praėjus vos keliems mėnesiams po BK
įsigaliojimo, kai po Konvencijos dėl elektroninių nusikaltimų ratifikavimo buvo nusta-
tyti BK neatitikimai šiai konvencijai.
Elektroninių nusikaltimų kriminalizavimas po konvencijos ratifikavimo
Ratifikavus Konvenciją dėl elektroninių nusikaltimų, įstatymų leidėjai atliko

esminius 2000 m. BK 30 skyriaus pakeitimus, kurie buvo patvirtinti LR Seime 2007
m. birželio mėn. 28 d. įstatymu Nr. X-1233. Pirmiausiai buvo pakeistas skyriaus pa-
vadinimas į „Nusikaltimai elektroninių duomenų ir informacinių sistemų saugumui“,
taip pat modifikuoti visi skyriaus straipsniai. Reikia pastebėti, kad skyriaus pavadi-
nime pateikiamos dvi sąvokos, t. y. elektroniniai duomenys ir informacinės sistemos,
kas daug konkrečiau identifikuoja nusikaltimo objektus nei ankstesnėje BK redakcijo-
je. Elektroniniai duomenys suprantami kaip failai, katalogai, failų sistemos atributai,
duomenų bazės, o informacinė sistema – kaip informacijos apdorojimo sistema, skirta
informacijai apdoroti, formuoti, skleisti. Daugiausiai pakeitimų buvo atlikta 198 BK
straipsnyje, kuris papildytas dvejais naujais postraipsniais, kurie apibrėžė naujus iki tol
iš viso nekriminalizuotus elektroninių nusikaltimo tipus. Reikia pastebėti, kad naujoje
redakcijoje bausmės už nusikaltimus buvo sugriežtintos, o patys nusikaltimai perkvali-
fikuoti iš lengvų į apysunkius. Visų 30 skyriaus straipsnių antrosiose dalyse akcentuo-
jama, kad jei nusikalstama veika padarė strateginę reikšmę nacionaliniam saugumui
ar didelę reikšmę valstybės valdymui, ūkiui ar finansų sistemai turinčios informacinės
sistemos elektroniniams duomenims, tai bausmė gali siekti iki 6 metų laisvės atėmimo.
Šia dalimi įstatymų leidėjai siekė parodyti, kad kompiuterinių ir informacinių sistemų
stabili veikla yra kritinė šiuolaikinės visuomenės gyvenimui. Panagrinėkime atnaujinto
2000 m. BK 30 skyriaus straipsnius detaliau.
BK 196 straipsnio „Neteisėtas poveikis elektroniniams duomenims“ pirmoji
dalis nustato:
Tas, kas neteisėtai sunaikino, sugadino, pašalino ar pakeitė elektroninius duo-
menis arba technine įranga, programine įranga ar kitais būdais apribojo naudojimąsi
tokiais duomenimis padarydamas didelės žalos, baudžiamas viešaisiais darbais arba
bauda, arba laisvės atėmimu iki ketverių metų.
24
Remiantis šiuo straipsniu, nusikalstama veika elektroniniams duomenims nusta-
toma juos sunaikinant, sugadinant, pašalinant arba pakeičiant. Sunaikinimas supran-
tamas kaip visiškas duomenų ištrynimas, pvz., failo, katalogo ar duomenų bazės įrašo
ištrynimas. Sugadinimas – tai toks poveikis duomenims, kai jų turinys tampa nesupran-
tamas naudotojui ar duomenis apdorojančiai sistemai, o duomenų atstatymas reikalauja
specialių informatikos žinių. Duomenų pašalinimu laikomas veiksmas, kai duomenys
perkeliami į kitą vietą, kitą kompiuterinę sistemą ar laikmeną. Duomenų pakeitimas
– tai duomenų turinio pakeitimas ar kitoks poveikis turiniui, modifikuojant originalą.
Už neteisėtą poveikį elektroniniams duomenims, kai tokia veika sukelia didelę žalą,
nustatoma maksimali bauda – laisvės atėmimas iki 6 metų. Šis straipsnis yra suderintas
su Konvencijos dėl elektroninių nusikaltimų 4 straipsniu „Poveikis duomenims“.
BK 197 straipsnio „Neteisėtas poveikis informacinei sistemai“ pirmoji dalis
nustato:
Tas, kas neteisėtai sutrikdė ar nutraukė informacinės sistemos darbą padaryda-
mas didelės žalos, baudžiamas bauda arba areštu, arba laisvės atėmimu iki ketverių
metų.
Informacinė sistema informatikoje suprantama kaip informacijos apdorojimo
sistemos ir organizacijos išteklių visuma, skirta informacijai apdoroti, formuoti, skleis-
ti. Kitaip tariant, tai struktūrizuotas procesų ir procedūrų rinkinys, kuriame yra kaupia-
mi ir apdorojami duomenys bei perduodami naudotojui. Todėl informacinės sistemos
sutrikdymas yra siejamas su duomenų apdorojimo proceso neteisingu veikimu arba
kaupiamų duomenų sugadinimu. Informacinės sistemos darbo nutraukimas supranta-
mas kaip sistemos neveiksnumas dėl sugadintų apdorojimo procedūrų ar pačių duome-
nų. Tačiau įvertinant tai, kad informacinė sistema yra tik vienas IT paslaugos tiekimo
lygmuo, kuriam būtina ir fizinė infrastruktūra, todėl informacinės sistemos sutrikdymas
ar darbo nutraukimas gali būti siejamas ir su kompiuterių tinklų, serverių, jų operacinių
sistemų, sistemų apsaugos priemonių sutrikdymu ar sugadinimu, kitaip tariant, kom-
piuterių sistemų ir tinklų sutrikdymu ar sugadinimu. Įstatymų leidėjas šiame straips-
nyje numato analogiškas bausmes kaip ir 196 str. Šis BK 197 str. yra suderintas su
Konvencijos dėl elektroninių nusikaltimų 5 straipsniu „Poveikis sistemai“.
Kaip jau buvo minėta, didžiausi pakeitimai buvo atlikti 198 str., t. y. ne tik mo-
difikuotas straipsnio turinys, bet jis papildytas dviem naujais postraipsniais, kurie kri-
minalizavo naujas nusikalstamas veikas.
BK 198 straipsnio „Neteisėtas elektroninių duomenų perėmimas ir panaudo-
jimas“ pirmoji dalis nustato:
Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė, pasisavino, paskleidė
ar kitaip panaudojo neviešus elektroninius duomenis, baudžiamas bauda arba laisvės
atėmimu iki ketverių metų.
Šis BK straipsnis skirtas apsaugoti fizinio ir juridinio asmens privatumą elektro-
ninėje erdvėje, todėl neteisėta veika su neviešais duomenimis yra baudžiama. Priklau-
somai nuo konteksto sąvoka nevieši elektroniniai duomenys gali būti suprantama skir-
25
tingai. Pavyzdžiui, privataus asmens elektroniniai laiškai, naršymas internete, atsisiun-
čiami failai, asmeniniai katalogai yra nevieši duomenys, jei jis to savo noru neviešina.
Organizacijoje nevieši duomenys gali būti siejami su įmonės veiklos ir finansiniais
duomenimis informacinėje sistemoje, el. komunikacija tarp verslo partnerių, techninė
dokumentacija, gamybos technologija ir t. t. Jei informacija paskleista tik uždarame
asmenų rate ir nesukėlė jokių neigiamų padarinių fiziniam ar juridiniam asmeniui, tuo-
met ši veika nelaikoma nusikalstama. Reikia manyti, kad straipsnyje numatytos veikos
gali būti baudžiamos tik tuo atveju, jei nusikaltimo sudėtyje yra tam tikrų nusikalstamų
padarinių. Šis straipsnis yra suderintas su Konvencijos dėl elektroninių nusikaltimų 3
straipsniu „Neteisėta perimtis“.
BK 198(1) straipsnio „Neteisėtas prisijungimas prie informacinės sistemos“
pirmoji dalis nustato:
Tas, kas neteisėtai prisijungė prie informacinės sistemos pažeisdamas informa-
cinės sistemos apsaugos priemones, baudžiamas viešaisiais darbais arba bauda, arba
areštu, arba laisvės atėmimu iki vienerių metų.
Šis straipsnio papildymas baudžiamajame kodekse buvo priimtas 2007 m. re-
miantis Konvencijos dėl elektroninių nusikaltimų 2 straipsniu „Neteisėta prieiga“, ir
kriminalizuoja sąmoningą ir neteisėtą prieigą prie visos informacinės sistemos arba jos
dalies. Šis straipsnis numato baudžiamąją atsakomybę už tokias veikas, kai pažeidžiant
(„nulaužiant“) apsaugos priemones prisijungiama prie informacinės sistemos ketinant
gauti ar pakeisti kompiuterinius duomenis arba pademonstruoti, kad nusikaltėlis pajė-
gus įveikti apsaugos priemones. Tokio nusikaltimo pavyzdys gali būti 2008 m. vasarą
įvykęs incidentas, kai buvo įsibrauta į vieną iš Lietuvoje esančio interneto paslaugų
tiekėjo fizinį žiniatinklio serverį ir visų joje buvusių žiniatinklio svetainių index.* failai
buvo pakeisti tinklalapiu su Sovietų Sąjungos simbolika.
BK 198(2) straipsnio „Neteisėtas disponavimas įrenginiais, programine įranga,
slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis“ pirmoji dalis nustato:
Tas, kas neteisėtai gamino, gabeno, pardavė ar kitaip platino įrenginius ar pro-
graminę įrangą, taip pat slaptažodžius, prisijungimo kodus ar kitokius panašius duo-
menis, tiesiogiai skirtus daryti nusikalstamas veikas, arba tuo pačiu tikslu juos įgijo ar
laikė, baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu
iki trejų metų.
Šis papildymas buvo priimtas 2007 m. remiantis Konvencijos dėl elektroninių
nusikaltimų 6 straipsniu „Netinkamas įtaisų naudojimas“. Straipsnis numato bausmes
už neteisėtą disponavimą įrengimų ar programinės įrangos, skirtos legalioms, licen-
ciniais raktais apsaugotoms programoms, kompiuterinėms sistemoms nulaužti ar ne-
teisėtai įsibrauti. Uždraudžiant tokių hakeriškų programų, slaptažodžių, prisijungimo
kodų platinimą, kovojama su juodąja internetine rinka, per kurią dažniausiai ir plinta
šie nusikaltimo įrankiai.
26
Kitų elektroninių nusikaltimų kriminalizavimas
Kompiuterinis sukčiavimas
Tai viena iš seniausiai žinomų nusikalstamų veikų elektroninėje erdvėje. Kon-
vencijos 7 ir 8 straipsniai rekomenduoja kovoti su kompiuteriniu sukčiavimu ir klasto-
tėmis. Ši veika Lietuvoje buvo kriminalizuota dar senajame 1961 m. BK 274 straipsny-
je. 2000 m. BK tokio straipsnio nebeliko, o kompiuterinis sukčiavimas yra baudžiamas
kaip ir bet kuri kita su sukčiavimu siejama veika pagal 182 str., kurio pirmojoje dalyje
nurodoma:
Tas, kas apgaule savo ar kitų naudai įgijo svetimą turtą ar turtinę teisę, išvengė
turtinės prievolės arba ją panaikino, baudžiamas viešaisiais darbais arba bauda, arba
laisvės apribojimu, arba areštu, arba laisvės atėmimu iki trejų metų.
Kaip matyti, straipsnyje nėra užsimenama apie su kompiuteriais siejamą sukčia-
vimą, todėl tam tikrais atvejais gali iškilti problemų pritaikant šį straipsnį nusikalstamai
veikai.
Vaikų pornografija
2000 m. BK 162 ir 309 straipsniuose numatoma baudžiamoji atsakomybė už
veikas, susijusias su vaikų pornografija. Šio tipo nusikalstamas veikas rekomenduoja-
ma kriminalizuoti pagal Konvencijos dėl elektroninių nusikaltimų 9 straipsnį „Nusi-
kaltimai, susiję su vaikų pornografija“. BK 162 str. numato baudžiamąją atsakomybę
už vaiko išnaudojimą pornografinei produkcijai gaminti ir pelnymosi iš tokios vaiko
veiklos. Pagal šį straipsnį atsakomybė kyla pornografinės produkcijos gamintojams,
dalyvavusiems šiame procese. BK 309 str. 2 dalis nustato baudžiamąją atsakomybę
tiems, kas įsigijo, laikė, demonstravo, reklamavo arba platino pornografinio turinio da-
lykus, kuriuose vaizduojamas vaikas arba asmuo, pateikiamas kaip vaikas. Kaip matyti,
baudžiamajame kodekse nėra palikta kokių nors spragų, leidžiančių asmenims išvengti
baudžiamosios atsakomybės už tokio pobūdžio nusikalstamą veiką. Už šiuos nusikalti-
mus numatoma atsakomybė tiek fiziniams, tiek ir juridiniams asmenims.
1. Kokie tarptautiniai ir Lietuvos teisiniai dokumentai reglamentuoja elektro-

ninius nusikaltimus ir juos kriminalizuoja?
2. Kaip klasifikuojami elektroniniai nusikaltimai Konvencijoje dėl elektroni-
nių nusikaltimų?
3. Kokias procesines priemones Konvencija dėl elektroninių nusikaltimų reko-
menduoja naudoti kovojant su nusikaltimais elektroninėje erdvėje?
4. Kokias nusikalstamas veikas kriminalizuoja 2000 m. LR baudžiamojo ko-
dekso 30 skyriaus straipsniai pagal 2007 m. birželio 28 d. patvirtintus pa-
keitimus?
27
5. Ar atitinka 2000 m. LR baudžiamojo kodekso aktualioji redakcija Konven-
cijos dėl elektroninių nusikaltimų rekomendacijas?
6. Kokia baudžiamoji atsakomybė numatyta Lietuvoje už:
a) neteisėtą programinės įrangos platinimą ir atsisiuntimą P2P tinklais;
b) neteisėtą prisijungimo kodų prie finansinės informacinės sistemos išga-
vimą (phishing‘ą);
c) neteisėtą kompiuterio prievadų skenavimą?
28
3.
TYRIMŲ POREIKIS, TYRIMŲ TIPAI
Kaip jau buvo minėta, NEE tampa kasdienybe. Europos Sąjungos (ES) Tarybos
duomenimis, 85 proc. verslo organizacijų ir vyriausybinių institucijų patyrė vienokį
ar kitokį informacijos saugos incidentą (Kleiman et al. 2007). Augant NEE skaičiui
lygiagrečiai vystėsi jų tyrimo metodai, kurie jau tapo atskira kompiuterijos bei krimino-
logijos šaka – NEE tyrimų metodais (angl. Computer forensics). NEE tyrimo procesas
dažniausiai apibrėžiamas kaip „kompiuterinių įkalčių išsaugojimas, identifikavimas,
išgryninimas, vertinimas ir dokumentavimas“. NEE tyrimas apima teisės bei kompiute-
rių mokslų elementus, t. y. tyrėjas privalo būti pakankamai plataus spektro specialistas,
kad galėtų atlikti ir įkalčių paiešką techniškai sudėtingoje aplinkoje, ir imtis reikiamų
teisinių priemonių, jog surinkti įkalčiai būtų pripažinti tinkamais bei būtų išvengta tei-
sinio persekiojimo iš nusikaltėlio ar trečiųjų asmenų pusės, jei tyrimų metu būtų pa-
žeistos jų teisės.
Įkalčių rinkimo, išsaugojimo ir analizės procesas kartais vadinamas teismo kom-
piuterija (Middleton 2001) pagal analogiją su teismo medicina. Tuo pačiu pabrėžiama,
kad aprašytas procesas gali būti taikomas ne tik kompiuteriniams nusikaltimams išaiš-
kinti ir tinkamoms priemonėms parinkti (kaip dažniausiai šiuo metu elgiasi dauguma
informacinį saugumą siekiančių užtikrinti organizacijų), bet ir nusikaltėlio kaltei teis-
me įrodyti.
Kai kurie autoriai NEE tyrimo procesą apibrėžia kaip vieną iš skaitmeninės er-
dvės tyrimo proceso (angl. digital forensics) atmainų, kuris apima bet kokių įkalčių,
perduodamų bet kokiais elektroniniais prietaisais, rinkimą ir analizę (nebūtinai kom-
piuteriais, pvz., radijo ryšio linijomis).
Šiuo metu NEE tyrimas vis dar yra aktyviai tobulinamas ir plėtojamas, ne iki
galo yra suformuoti tyrimų metodai, kriterijai, kuriami nauji tyrimų metodai, o jų po-
reikis vis didėja. Galima teigti, kad tokios tendencijos turėtų išsilaikyti dar pakanka-
mai ilgai, atsižvelgiant į nuolat tobulėjančias technologijas bei nusikaltėlių taikomus
metodus, nenusistovėjusią teismų praktiką NEE atžvilgiu bei vis didėjantį tokio tipo
nusikaltimų skaičių bei poveikį.
NEE tyrimus tradiciškai priimta skirstyti į dvi pagrindines kategorijas: formalųjį
ir neformalųjį, priklausomai nuo to, ar surinktus įkalčius vėliau planuojama naudoti
teisme ar ne (detaliau apžvelgiami žemiau). Tačiau dominuoja nuomonė, jog pradedant
tyrimą visada geriau vadovautis formaliojo tyrimo metodais, nes sprendimas dėl bylos
perdavimo teismui gali būti priimtas ne tik tyrimo pradžioje, bet ir vėliau.
Dar viena naudojama NEE tyrimų klasifikacija remiasi nagrinėjamų kompiute-
rių sistemų būsena jų funkcionavimo įkalčių rinkimo metu: „gyvos“ arba neišjungtos
kompiuterių sistemos (angl. live) ir „mirusios“ arba išjungtos kompiuterių sistemos
(angl. post-mortal). Gan ilgai vyravo nuomonė, kad tik tinkamai išjungtų ir apsaugo-
tų sistemų nagrinėjimas turi teisę egzistuoti, ypač taikant formaliojo tyrimo metodus,
29
tačiau tobulėjančios technologijos ir poreikiai nagrinėjamų sistemų nepertraukiamo
funkcionavimo užtikrinimui bei nusikaltėlių taikomi apsaugos prieš išjungtų sistemų
nagrinėjimo metodai (pvz., pilnas disko šifravimas) skatina peržiūrėti tokią nuostatą.
Šios klasifikacijos ypatumai taip pat nagrinėjama detaliau.
3.1. Formalusis ir neformalusis metodai
Kai NEE tyrėjas gauna nurodymą iš vadovybės pradėti tyrimą, vienas iš pirmųjų
klausimų, kuris turi būti išspręstas, yra tyrimo būdo pasirinkimas. Kaip jau buvo mi-
nėta, formaliojo tyrimo metu surinktus įkalčius yra planuojama perduoti teismui nagri-
nėti, o neformaliojo atveju – ne. Nepriklausomai nuo to, koks metodas bus taikomas,
kartojami tie patys įkalčių rinkimo, identifikavimo, išgryninimo ir analizės etapai, ta-
čiau formaliojo tyrimo atveju yra keliami papildomi reikalavimai įkalčių vientisumui
užtikrinti, todėl tyrimas paprastai trunka ilgiau ir kainuoja brangiau.
Yra daugybė klausimų, į kuriuos kompanija turi atsakyti, priidama sprendimą
dėl tyrimo metodo pasirinkimo:
▬▬ Ar tyrimas reikalingas tik nusikaltimo priežasčiai nustatyti ir atsako priemonėms
parinkti, ar nusikaltimo kaltininkui surasti bei patraukti baudžiamojon atsako-
mybėn?
▬▬ Ar kompanija privalo (remiantis teisės aktais, sutartimis, tarptautinių standartų
reikalavimais ir kt.) vykdyti formalųjį tyrimo procesą, ar kompanija turi teisę
pasirinkti (pvz., nuspręsti kompensuoti nuostolius klientams)?
▬▬ Kokią žalą kompanija patyrė? Ar formaliojo tyrimo kaina nenusvers žalos dy-
džio?
▬▬ Kokia yra perspektyva, kad pateikus įkalčius teismui byla bus išnagrinėta kom-
panijai palankia linkme?
▬▬ Ar egzistuoja tikimybė, kad tiriant iš pirmo žvilgsnio nesudėtingą nusikaltimą,
atnešusį organizacijai nedidelį nuostolį, išaiškės didesni nusikaltimo mastai?
▬▬ Ar reputaciniai nuostoliai, kuriuos patirs organizacija, dėl to, jog viešai pripažins
savo sistemų pažeidžiamumą, neviršys potencialios formaliojo tyrimo naudos
(nusikaltėlio radimas, kompensacijų priteisimas ir t. t.)?
▬▬ Ar organizacija turi reikiamos teisinės ir techninės kompetencijos, kad galėtų
vykdyti formalųjį tyrimą?
Jei nei į vieną iš išvardytų klausimų nėra gautas teigiamas atsakymas, kompanija
turėtų rinktis neformaliojo tyrimo būdą, nors paskutiniu metu ekspertai laikosi nuomo-
nės, kad nepriklausomai nuo pradinio organizacijos sprendimo, organizacija turi vyk-
dyti tyrimą taip, lyg tai būtų formalusis tyrimas ir imtis reikiamų veiksmų įkalčių vien-
tisumui išsaugoti (įkalčių vientisumo išsaugojimo klausimai nagrinėjami 12 skyriuje).
Tokiais argumentais paremta praktika, jog dažnai sprendimas perduoti įkalčius
teismui yra priimamas jau tyrimo eigoje, kai paaiškėja didesni nei tikėtasi nusikaltimo
mąstai.Jei nuo pat pradžių formaliojo tyrimo metodai naudojami nebuvo, surinkti įkal-
čiai praranda savo vertę ir greičiausiai negalės būti panaudoti teisme. Taip pat formalio-
30
jo tyrimo metodai leidžia griežčiau kontroliuoti visus tyrimo etapus bei išvengti įkalčių
praradimo ir modifikavimo, net jei kreiptis į teismą nėra planuojama.
3.2. „Gyvų“ ir „negyvų“ sistemų tyrimo metodai
Ilgą laiką vienintelė pripažinta NEE tyrimo metodika buvo paremta „negyvų“
sistemų analize, t. y. sistema, kurioje potencialiai buvo palikti įkalčiai, turėjo būt izo-
liuota nuo kitų sistemų (pvz., ištraukiant tinklo kabelį), fiksuojama jos būsena tyrimo
pradžios metu (pvz., fiziškai išjungiamas maitinimo kabelis, kad sistemą išjungiant
klasikiniu būdu nebūtų sunaikinti įkalčiai), tada daroma failinės sistemos tiksli kopija
(angl. bit-to-bit), kopija pasirašoma skaitmeniniu parašu, kad tyrėjas galėtų atsekti
kopijos pakeitimą (įkalčių vientisumo išsaugojimo klausimai nagrinėjami 12 skyriuje)
ir tolesni analizės veiksmai atliekami tik su kopija (-omis). Toks tyrimų būdas leidžia
pasiekti tokius tyrimo tikslus:
▬▬ išvengiama kai kurių nusikaltėlių apsaugos priemonių, tokių kaip automatinis
įkalčių trynimas išjungiant sistemą įprasta tvarka;
▬▬ kompiuterių sistemos būsena yra nuolat kintančioje būsenoje (atliekami ope-
ratyviosios atminties ir disko skaitymo ir (arba) rašymo darbai, startuoja ir yra
stabdomi skirtingi servisai, kuriami laikini / pagalbiniai failai); dalis tarnybinės
informacijos tvarkingo sistemos išjungimo metu yra automatiškai šalinama pa-
čios operacinės sistemos (pvz., laikini failai), nors juose gali būti įkalčių (pvz.,
atminties išklojos (angl. memory dump) failuose galima rasti raktažodžius, ku-
riuos naudojo nusikaltėlis, ieškodamas draudžiamos informacijos internete); to-
dėl sistemos išjungimas leidžia išvengti tokių įkalčių praradimo;
▬▬ išvengiama kaltinimų iš nusikaltėlio pusės, kad įkalčiai (pvz., įvykio registraci-
jos įrašai) buvo modifikuoti / suklastoti tyrimo metu;
▬▬ sugadinus vieną kopiją, visuomet galima gauti analogišką iš originalo; o dirbant
su originalia laikmena jos praradimo / sugadinimo atveju tokios galimybės nėra.
Toks priėjimas yra daugeliu atvejų ir paprastesnis pačiam tyrėjui (kaip analogiją
galima paminėti veikiančio ir išjungto automobilio remontą), ir idėjiškai artimas bet
kokiam kriminalistiniam tyrimo metodui (užtenka prisiminti nusikaltimo vietoje renka-
mus įkalčius, kuriuos policininkai vėliau pakuoja į maišelius, kad nebūtų nutrinti pirštų
atspaudai arba ant jų nebūtų pašalinių atspaudų). Iš kitos pusės, tiesioginė analogija
nėra įmanoma. Juk ir tiriant, tarkime, nužudymą ar apiplėšimą, įvykio vieta dažniausiai
nėra izoliuojama visam tyrimo laikotarpiui, o daromi jos aprašymai, nuotraukos ir t. t.,
kurie vėliau naudojami kaip įkalTačiau kompiuterių pasaulis, kaip ir visas dabartinis
pasaulis, tendencingai sudėtingėja, ne visus jo reiškinius galima „sudėti į maišelį“. Vis
dažniau NEE tyrėjai susiduria su situacijomis, kai „negyvų“ sistemų nagrinėjimas gali
turėti daugiau neigiamos įtakos organizacijai nei pats nusikaltimas. Todėl „gyvų“ arba
funkcionuojančių sistemų analizė tampa vienintele, kad ir keliančia daugybę diskusi-
jų, alternatyva, nors jos vykdymo metu gali keistis nagrinėjamų failų laiko antspaudai
(angl. time-stamp), kontrolinės sumos ir registrų reikšmės. Galima spėti, kad ateityje
31
šio metodo taikymo dažnis didės. Norėtume atkreipti dėmesį į kelias priežastis, kurios
verčia atsigręžti į šį metodą bei daro „negyvų“ sistemų analizę neveiksminga. Pagrin-
dinėmis galima būtų pavadinti šias:
▬▬ Globali ekonomika ir paskirstytos sistemos. Tarptautinės korporacijos valdo di-
džiules paskirstytas kompiuterių sistemas, kurių valdymo modeliai labai skiriasi.
Esant dideliam sudėtingų sistemų skaičiui bei skirtingo žinių ir patirties lygio
aptarnaujančiam personalui, ypač padažnėja klaidingų pranešimų (angl. false-
positive) apie neva ataka paveiktus / kompromituotus kompiuterius, o tyrėjų ko-
manda dažniausiai turi ribotus žmonių ir laiko išteklius bei negali būti prieinama
visiems padaliniams tuo pačiu metu. Jei kiekvienas pranešimas bus traktuojamas
kaip potencialus NEE ir kaskart bus „plėšiamas“ tinklo kabelis, tai gali tiesiog
paralyžiuoti kompanijos darbą, atsižvelgiant į NEE tyrėjų grupės galimą reak-
cijos lygį, prarastus komunikacijos kanalus bei nuostolius dėl sistemų neveiki-
mo. Todėl bent pradiniu etapu tyrėjai turi turėti galimybę preliminariai įvertinti
pranešimo apie potencialų NEE svarbą atlikdami, pavyzdžiui, nuotolinę analizę.
Svarbus yra tinkamų instrukcijų incidentams klasifikuoti parengimas pagal tam
tikrus kriterijus, kas personalui leistų vietoje vertinti, kiek pavojingas yra inci-
dentas ir kokių veiksmų reikia imtis vienokiu ar kitokiu atveju.
▬▬ Poreikis nepertraukiamai veikiančioms sistemoms. Daugelis šiuolaikinio gyve-
nimo sferų tapo visiškai priklausomos nuo kompiuterių sistemų ir grįžimas į
„ikikompiuterinę erą“ faktiškai yra neįmanomas. Pavyzdžiais galėtų būti ban-
kinis sektorius, kurio transakcijos kiekvieną sekundę sudaro milžiniškas sumas,
telekomunikacijos sektorius, pramoninių procesų valdymas. Tokių sistemų iš-
jungimas tyrimui gali turėti nenumatomų pasekmių ir gerokai viršyti NEE pase-
kmes (pvz., didžiuliais nuostoliais ir veiklos paralyžiavimu banko ir telekomuni-
kacijos atveju ir technogenine katastrofa, jei būtų sustabdytos, tarkime, atominės
elektrinės valdymo sistemos). Šiuo atveju labai sunku įvertinti, koks tyrimo me-
todas („gyvų“ ar „mirusių“ sistemų) turėtų būti taikomas, o galutinį sprendimą,
įvertinusi visas rizikas, turi priimti kompanijos vadovybė.
▬▬ Auganti duomenų saugojimo laikmenų talpa. Kaip buvo minėta, išjungtų kom-
piuterių formalusis analizės metodas reikalauja, kad būtų daroma tiksli analizuo-
jamos laikmenos kopija. Tai buvo įmanoma, kai diskinė vieta analizuojamuose
kompiuteriuose/serveriuose buvo matuojama gigabaitais. Tačiau, didėjant lai-
kmenų talpoms, pereinant prie duomenų masyvų bei taikant virtualizacijos ir
skaičiavimo debesyse technologijas (angl. Cloud computing), toks reikalavimas
tampa sunkiai įgyvendinamas. Sunku įsivaizduoti, kad nagrinėjant vienos duo-
menų masyve (kurio dydis jau šiuo metu gali siekti šimtus terabaitų) aptarnau-
jamos sistemos pažeidimą bus stabdomas masyvo darbas, tuo pačiu paveikiant
ir visų kitų naudojančių jo resursus sistemų funkcionavimą, bei perkamas analo-
giško dydžio masyvas tiksliai kopijai kurti.
▬▬ PilnoVisiško disko šifravimo technologijos. Šios technologijos, pirmiausia, su-
kurtos duomenų apsaugai nešiojamose laikmenose (nešiojamuose kompiute-
32
riuose, atmintinės kortelėse ir t. t.) tapo plačiai naudojamos ir nusikaltėlių, kurie
bando paslėpti savo veiksmus tyrimo atveju nuo teisėsaugos organų. Jei kom-
piuteris, kuriame yra įdiegta pilna disko šifravimo sistema, paimamas analizei
išjungtas, o nusikaltėlio taikomas slaptažodis yra ganėtinai sunkus ir laužimui
naudojama grubi jėga, tai labai tikėtina, kad disko analizė bus bevertė, nes ty-
rėjas matys tik beprasmę simbolių seką. „Gyvos“ sistemos analizė, kai sistema
automatiškai dekoduoja kietojo disko ir operatyviosios atminties turinį, leidžia
tyrėjui susipažinti su saugomu turiniu, padaryti operatyviosios atminties kopiją
ir ekstraguoti šifravimo raktą tam atvejui, jei vėliau kompiuterį reikėtų išjungti.
Be abejo, čia paminėtos tik kelios pagrindinės „gyvų“ sistemų analizės pusės, o
pats metodas yra savotiškas kompromisas tarp reikalavimo išsiaiškinti nusikaltimą ir
nepažeisti įkalčių vientisumo. Taip pat negalima neatkreipti dėmesio į tai, kad „gyvi“
metodai kelia labai daug teisinių klausimų, tačiau tai tik dar kartą parodo teisinės bazės
atsilikimą nuo šiuolaikinių realijų NEE apibrėžimo ir tyrimo srityje.
1. Kokias formaliojo NEE tyrimo būdo pasirinkimo priežastis galite išvardyti?

2. Kodėl rekomenduojama visada vykdyti formaliojo tyrimo procedūras, ne-
priklausomai nuo to, ar vėliau bus kreipiamasi į teismą, ar ne?
3. Išvardykite pagrindinius NEE tyrimo žingsnius, kai taikoma „negyvos“ sis-
temos analizės metodika.
4. Kokius argumentus galite pateikti „už“ ir „prieš“ metodą, kai nagrinėjamos
neišjungtos kompiuterių sistemos?
5. Kokie pagrindiniai veiksniai lėmė „gyvų“ sistemų analizės metodų atsira-
dimą?
33
4.
PIRMINĖ REAKCIJA Į NEE
Dauguma kompiuterinio saugumo specialistų pripažįsta, kad didžioji dalis kom-
piuterinių nusikaltimų, kuriuose kompiuterių sistema yra nusikaltimo tikslas, lieka
nenustatyti (Marcela ir Greenfield 2002). Kai nėra žinoma, kad įvyko įsilaužimas ar
kitoks veiksmas, nukreiptas prieš kompiuterį, vėliau būna sunku, o kartais net neįmano-
ma, nustatyti, jog sistemos saugumas buvo pažeistas. Todėl svarbu pastebėti vykstančio
NEE požymius.
Dažniausiai organizacijos veikloje reakcija į NEE nėra išskiriama į atskirą gru-
pę, o tampa platesnės kategorijos – incidentų – dalimi. Kalbant apie incidento sąvoką,
galima paminėti, kad ir ITIL, ir ISO 20000 incidentą traktuoja gan panašiai. Jis apibrė-
žiamas kaip „bet koks įvykis, kuris nėra standartinio paslaugos funkcionavimo dalis,
kuris sukelia arba gali sukelti paslaugos teikimo nutraukimą arba sąlygoti paslaugos
kokybės teikimo sumažėjimą.“ Neabejotina, kad bet koks NEE, net neturintis tiesiogi-
nio tikslo pakenkti paslaugai, o, tarkime, duomenims pavogti iš organizacijos, anksčiau
ar vėliau neigiamai atsilieps organizacijos veiklai.
Reakcijos į incidentus planavimas ir incidentų valdymas plačiau nagrinėjamas
VGTU „Informacijos saugos vadybos“ kurse, o šiame skyriuje pateikiami tik pagrindi-
niai reagavimo į incidentus žingsniai, akcentuojant tuos, kurie būtini NEE tyrimui, bei
apibrėžiant pagrindinius incidentų tipus, kurie vienareikšmiškai priskiriami ne NEE, o
techninių sutrikimų kategorijai.
4.1. Reagavimas į incidentus, jų sulaikymas bei incidentų valdymo

apibrėžimas
Reagavimo į incidentus, incidentų pasekmių sumažinimo ir incidentų valdymo

sąvokos yra labai susijusios:
▬▬ Reagavimas į incidentus yra apibrėžiamas kaip priemonės problemai aptikti,
priežasčiai nustatyti, problemai spręsti ir kiekvienam iš žingsnių dokumentuoti
vėlesnei analizei.
▬▬ Incidentų sulaikyme (angl. handling) pagrindinis dėmesys yra skiriamas priemo-
nėms, leidžiančioms nepasireikšti incidento pasekmėms pilna jėga, ir incidentų
pasekmėms sumažinti / šalinti.
▬▬ Incidentų valdymas (angl. incident management) – tai procesas, apimantis visus
žingsnius nuo incidento paskelbimo iki dokumentavimo ir incidentų analizės
fazės jam pasibaigus.
34
4.2. Reagavimo į incidentus etapai
Kiekviena organizacija privalo pasirinkti, kokią reagavimo į incidentus politiką

jį taikys, atsižvelgdama į rizikos analizės rezultatus, turimus išteklius, kompetenciją bei
kitus faktorius. Kai kurios organizacijos pasirenka atiduoti reagavimo funkciją kitoms
specializuotoms organizacijoms (angl. outsource).
Kita vertus, bet kokios veiklos perdavimas tiekėjams reiškia kompetencijos
praradimą bei sukelia daug tipinių klausimų (paslaugos kokybė, priklausomybė nuo
tiekėjo, reakcijos laikas, atskaitomybė ir t. t.). Tokių paslaugų tiekėjai dažnai turi ma-
žiau informacijos apie tai, kaip funkcionuoja užsakovo sistemos, jų architektūra, todėl
dauguma organizacijų linkusios turėti savo vidines reagavimo į kompiuterių saugos
incidentus komandas (angl. CSIRT – Computer Security Incident Response Team).
Pagrindinė problema, susijusi su vidinės komandos formavimu, yra potencialus
interesų konfliktas, jei vienas iš narių yra įtariamasis. Detalesnė kiekvieno iš modelio
privalumų ir trūkumų analizė yra pateikiama 4.1 lentelėje.
4.1 lentelė. Skirtingų CSIRT grupių tipų lyginamoji analizė

CSIRT/CERT grupės tipas Privalumai Trūkumai
Vidinė grupė (suformuota iš Sistemų architektūros ir organizacijos Interesų konfliktas.
kompanijos darbuotojų). veiklos niuansų supratimas. Įtariamasis gali būti grupės sudėtyje.
Išoriniai konsultantai (angl. Interesų konfliktų išvengimas. Aukšta kaina.
outsource) Kvalifikacijos klausimai.
Ilgas laiko tarpas, reikalingas
organizacijos sistemoms suvokti.
Teisėsaugos organai, Interesų konfliktų išvengimas. Kvalifikacijos klausimai.
vyriausybės įgaliotos Žema kaina. Ilgas laiko tarpas, reikalingas
organizacijos organizacijos sistemoms suvokiti.
Maža tyrimo eigos kontrolė.
Nepriklausomai nuo to, koks modelis (vidinė ar trečiųjų šalių komanda) taiko-
mas nagrinėjant incidentą, veiksmų etapai yra analogiški (4.1 pav.).
4.1 pav. Reagavimo į incidentus etapai (Kleiman et al. 2007)

4.1 pav. Reagavimo į incidentus etapai (Kleiman et al. 2007)
Aptarsime šiuos bei kitus svarbius etapus, tokius kaip pasiruošimą incidentams, rizikos analizę,
grupės formavimą ir mokymus. 35
Pasiruošimas
Aptarsime šiuos bei kitus svarbius etapus, tokius kaip pasiruošimą incidentams,
rizikos analizę, grupės formavimą ir mokymus.
Pasiruošimas
Norint sėkmingai reaguoti į incidentus, būtina jiems tinkamai iš anksto pasi-

ruošti, t. y. turėti veikiančias struktūras kompanijoje, suformuoti komandą, politiką,
struktūras detalizuojančias procedūras ir t. t. Pasiruošimo poreikis atsiranda dėl pačios
incidentų prigimties, reikalaujančios momentinės reakcijos į juos, norint sumažinti pa-
sekmes bei nepaliekant laiko sprendimų priėmimui incidentui vykstant (galimi sprendi-
mų scenarijai turi būti aprašyti iš anksto atsako į incidentus plane). Reakcija reikalauja
išankstinio pasiruošimo ir aukšto žinių lygio, kadangi įsilaužimas ar incidentas trunka
trumpiau nei reakcija į jį (Marcela ir Greenfield 2001). Nesiruošiant potencialiems in-
cidentams, reakcija gali būti pavėluota, o padaryti nuostoliai – pernelyg dideli.
Kaip vienas iš galimų sprendimų variantų gali būti naudojami taip vadinamieji
kontroliniai sąrašai (angl. checklists), kurie leidžia nepraleisti svarbių žingsnių, vyk-
dant NEE tyrimą. Pavyzdžiui, JAV Naciolinis teisingumo institutas (angl. National Ins-
titute of Justice) yra parengęs iliustruotą vadovą „First Responder Guide“, įvardijantį
visas įmanomas įkalčių paieškos vietas, net nurodant, kaip jos gali atrodyti realybėje
(4.2 pav.).
4.2 pav.4.2
Įkalčių paieškos
pav. Įkalčių kontrolinio
paieškos sąrašo sąrašo
kontrolinio grafiniu pavidalu
grafiniu pavyzdys
pavidalu (Ashcroft
pavyzdys ir General
(Ashcroft 2001)2001)
ir General
Galbūt daugeliui informacijos saugumo specialistų toks vaizdavimo būdas ir detalumas gali
Galbūt daugeliui informacijos saugumo specialistų toks vaizdavimo būdas ir de-
atrodyti juokingas ir perteklinis, tačiau taip užsitikrinama, kad nei viena vieta, kurioje potencialiai gali
talumas gali atrodyti
būti įkalčių, nebus juokingas ir perteklinis,
pražiopsota. tačiau taip
Pilną dokumento užsitikrinama,
versiją galima rastikadinternete
nei vienaadresu
vieta,www.ncjrs.gov/pdffiles1/nij/187736.pdf
kurioje potencialiai gali būti įkalčių, nebuspaiešką
arba atliekant pražiopsota. Pilną dokumento
pagal pavadinimo ver-
raktinius žodžius.
Rizikos analizė
36
Atsakas į incidentus yra incidento valdymo proceso dalis, kurio sprendimai savo ruožtu yra
paremti rizikos analizės išvadomis. Rizikos analizės procesas plačiau nagrinėjamas kituose kursuose
(pvz., „Informacijos saugos vadyba“).
Pagrindinis rizikos analizės tikslas yra klasifikuoti egzistuojančias rizikas pagal tam tikrus
siją galima rasti internete adresu www.ncjrs.gov/pdffiles1/nij/187736.pdf arba atliekant
paiešką pagal pavadinimo raktinius žodžius.
Rizikos analizė
Atsakas į incidentus yra incidento valdymo proceso dalis, kurio sprendimai savo
ruožtu yra paremti rizikos analizės išvadomis. Rizikos analizės procesas plačiau nagri-
nėjamas kituose kursuose (pvz., „Informacijos saugos vadyba“).
Pagrindinis rizikos analizės tikslas yra klasifikuoti egzistuojančias rizikas pagal
tam tikrus kriterijus (dažniausiai pagal pasireiškimo tikimybę ir poveikio lygį organi-
zacijai) į tam tikras kategorijas (pvz., žema, vidutinė, didelė), taip suteikiant pagrindą
sprendimams priimti incidento valdymo (pvz., į kokius incidentus reaguoti nedelsiant,
o kurių nagrinėjimas gali būti atidėtas tam tikram laikui) ir kitose informacijos saugos
valdymo srityse.
CSIRT grupės formavimas
Incidento sprendimas gali pareikalauti skirtingo lygio žinių: nuo verslo sprendi-
mo priėmimo ir teisinio vertinimo iki tinklo konfigūravimo bei mokėjimo daryti kom-
promituotų sistemų diskų atvaizdus, juos analizuoti. Nei vienas žmogus neturi pakan-
kamai kompetencijos ir įgaliojimų vienas savarankiškai atlikti visus šiuo veiksmus.
Būtent todėl atsiranda poreikis CSIRT grupei suformuoti. Pageidautina, kad CSIRT
grupės narių, kurie turės atsakyti į incidentus, kompetencija skirtųsi. Dažniausiai išski-
riamos tokios grupės narių pareigos:
▬▬ Vadovaujantysis tyrėjas. Valdo visos grupės veiksmus. Turi užtikrinti, kad at-
sako į incidentą procesai vyktų sklandžiai, greitai ir efektyviai. Į jo pareigas
taip pat įeina įtariamųjų ir liudininkų apklausa. Be to, vadovaujantysis tyrėjas
dažniausiai būna įtrauktas į atsako į incidentus plano (angl. incident response
plan) kūrimą.
▬▬ Informacijos saugos specialisto pagrindinė pareiga yra suteikti grupei techninių
žinių, reikalingų atsakyti į incidentą ir vykdyti tyrimą, pvz., jis turi nustatyti
žingsnius, kurie neleistų incidentui plisti, taip pat įvertinti, kokie veiksniai gali
sutrikdyti tyrimą (pvz., įtariamojo kompiuterio kietojo disko šifravimas). Jis taip
pat turi teikti informaciją apie sistemos konfigūraciją ir dokumentuoti incidento
įvykio vietą.
▬▬ Verslo / vadovybės atstovas (-ai). Jų pagrindinė pareiga yra įvertinti incidento
verslo pasekmes ir priimti jų kompetenciją atitinkančius sprendimus: kokius re-
sursus skirti tyrimui ir pasekmėms sumažinti; koks tyrimo tipas bus atliekamas;
ar apie incidentą bus informuojama žiniasklaida ir kt.
▬▬ Teisininkas turi užtikrinti, kad atsako į incidentą ir tyrimo procesai nepažeidžia
jokių teisinių reikalavimų.
▬▬ Techniniai specialistai. Dažniausiai kiekvienu konkrečiu atveju į komisijos dar-
bą įtraukiamas skirtingas specialistų skaičius. Jų pareiga padaryti sistemų kopi-
37
jas-atvaizdus, teikti komisijai specifinę informaciją apie sistemų konfigūraciją,
atlikti kitus techninius darbus, reikalaujančius specifinės kvalifikacijos.
▬▬ Personalo skyriaus atstovai įtraukiami į grupės sudėtį tam, kad būtų užtikrintas
organizacijos reikalavimų vykdymas tarp personalo incidento vykdymo metu,
taip pat riboja prieigą prie tiriamų ir kitų resursų įtariamiesiems. Personalo atsto-
vai turi ypač glaudžiai bendradarbiauti su teisės skyriaus atstovais.
Mokymai
Bet kokie paruošiamieji darbai turės mažai prasmės, jei organizacijoje nebus
vykdomi mokymai, imituojantys atsako į incidentus procesą. Pagrindiniai tokių moky-
mų tikslai yra šie:
▬▬ Plano patikrinimas. Ar tikrai plane numatyti visi reikalingi etapai? Ar numatyti
veiksmai yra adekvatūs incidentui? Ar visi numatyti ištekliai yra išskirti?
▬▬ Komunikacijos kanalų patikrinimas. Ar užtenka numatytų komunikacijos ka-
nalų? Ar jie veikia įvykus incidentui? Kokius rezervinius ryšio kanalus reikia
numatyti?
▬▬ Grupės narių reakcijos patikrinimas. Kaip grupės nariai reaguoja į pranešimą
apie incidentą? Ar reakcijos laikas atitinka nustatytas normas? Ar nariai vado-
vaujasi parengtomis instrukcijomis? Ar tinkamai organizuotas narių funkcijų
dubliavimas?
Tenka pripažinti, kad dalis organizacijų ignoruoja mokymų etapą, apsiriboda-
mos vien tik planų parengimu. Tai pateisinama laiko ir pinigų stoka, o jei mokymai yra
organizuojami, jie dažnai būna formalūs. Būtent pinigų skyrimas planų rengimams be
mokymų gali būti pripažintas tiesioginiu pinigų švaistymu. Įvykus realiam incidentui
paaiškėja, kad surinkti CSIRT narių neįmanoma, numatyti resursai nepasiekiami arba
veikia ne taip, kaip buvo numatyta, prarandama brangaus laiko. Tik mokymai (dėl ku-
rių formos turi apsispręsti organizacija) gali atskleisti silpnąsias proceso vietas bei jas
pašalinti iki tikro incidento atsiradimo. Pagrindiniai punktai, kuriuos organizacija turi
numatyti, planuojant mokymus, yra šie:
▬▬ mokymų periodiškumas;
▬▬ išteklių skyrimas mokymams (žmogiškųjų, laiko, techninių, finansinių bei kitų);
▬▬ mokymo prioriteto ir svarbos išaiškinimas visiems mokymų dalyviams;
▬▬ tinkamas mokymų planavimas ir eigos dokumentavimas;
▬▬ mokymo rezultatų analizė.
Incidento nustatymas
Nėra vienintelio būdo, kaip identifikuoti incidentą. Tai gali būti ir atsitiktinis
įvykis, ir incidentų identifikavimo procedūrų taikymo pasekmė. Būtina užtikrinti, kad
darbuotojas, pastebėjęs incidentą, žinotų savo atsakomybę dėl būtinybės informuoti
apie incidentą bei informavimo apie incidentus tvarką (Kam? Kokiu greičiu? Kokius
incidento parametrus reikia pranešti?). Gan dažnai incidentai identifikuojami gavus
38
skundą, atliekant įrenginių ir sistemų (ugniasienių, maršrutizatorių, duomenų bazių
valdymo sistemų, įsiskverbimo detektavimo sistemų (IDS)) įvykių registracijos įrašų
peržiūrą. Paskutiniu metu vis plačiau taikomos SIM sistemos (angl. Security Incident
Management), kurios agreguoja įvykių registracijos įrašus iš skirtingų šaltinių ir ieško
juose neatitikimo ar įsiskverbimo šablonų, atvaizduoja įsiskverbimo vykdymo eigą.
Nepaisant labai didelės kainos, jie gali būti traktuojami kaip viena iš efektyviausių prie-
monių incidentui aptikti. Informacija apie incidentą gali ateiti ir netiesiogiai iš įvairių
našumo stebėjimo įrenginių, kurie signalizuoja apie pakitusį paslaugos teikimo lygį.
Esant įtarimui dėl incidento, atliekamas jo pirminis tyrimas, kurio pagrindinis
tikslas – įsitikinti, kad incidentas tikrai įvyko. Tai yra būtina siekiant taupyti resursus ir
neinicijuoti pilno tyrimo, jei įtarimai dėl incidento nepasiteisina.Kita vertus, atsiranda
prieštaravimas įkalčių būsenos išsaugojimui, jei įtarimai pasiteisintų. Todėl būtina im-
tis priemonių tokiai tikimybeisumažinti. Preliminarų tyrimą sudaro tokie etapai:
▬▬ Skundo ir (ar) informacijos peržiūra. Patikrinama, ar tikrai buvo sutrikimas ar
neleidžiamas veiksmas, kad tai nėra klaidingas pranešimas („false-positive“
tipo).
▬▬ Žalos įvertinimas. Siekiama įvertinti, kiek kritiškas incidentas buvo arba gali
būti organizacijai. Vertinime turėtų dalyvauti ir technikos specialistai, ir verslo
atstovai.
▬▬ Liudininkų apklausa. Siekiama surinkti kuo daugiau informacijos iš skirtingų
šaltinių.
▬▬ Įvykių registracijos įrašų analizė. Siekiama surasti dokumentinių incidento pa-
tvirtinimų.
▬▬ Tyrimo reikalavimų nustatymas. Nustatomas tyrimo tipas, terminai. Esant stam-
biam arba rezonansiniam incidentui, sprendimą greičiausiai turės priimti aukš-
čiausia organizacijos vadovybė.
Pasitvirtinus įtarimams dėl incidento, NEE tyrimas pereina į informavimo apie
incidentą etapą. Žemiau pateikiamas pavyzdinis veiksmų scenarijus, leidžiantis nusta-
tyti „Windows“ (2000/XP šeimos) operacinės sistemos saugumo pažeidimą (Marcela
ir Greenfield 2002):
▬▬ Peržiūrėti keistus arba nežinomus vartotojų vardus ir grupes.
▬▬ Peržiūrėti, ar visi vartotojai teisėtai priklauso priskirtoms grupėms.
▬▬ Peržiūrėti keistos arba neįprastos bet kokio tipo veiklos žymes žurnalinėse rin-
kmenose.
▬▬ Peržiūrėti visų vartotojų teises.
▬▬ Patikrinti, ar nėra vykdoma neautorizuota programinė įranga („Windows Regis-
try“, „System Services“, „Startup“ katalogai).
▬▬ Patikrinti, ar nebuvo pakeistos sisteminių vykdomųjų rinkmenų versijos.
▬▬ Patikrinti, ar kompiuteris neklauso nestandartinių tinko prieigų, naudojant ko-
mandą „netstat – an“.
Taip pat pateiksime keletą rekomendacijų, pagal kurias galima identifikuoti
kenksmingą programinį kodą arba įsilaužimą.
39
Identifikuojant įtartinus procesus būtina atkreipti dėmesį į procesų vardus ir pra-
džios laiką; proceso statusą; vartotoją, kuris vykdo procesą; proceso naudojamus ište-
klius (CPU, RAM, kietasis diskas ir t. t.); teises, suteiktas procesui; proceso naudojamą
aparatinę įrangą; proceso atidarytas rinkmenas.
Analizuojant operacinės sistemos arba tinklo žurnalines rinkmenas reikia išsi-
aiškinti, kokie procesai naudoja daugiausiai resursų; kokie procesai prasideda neįprastu
laiku; kurie iš jų netikėtai nutraukia savo darbą; kurie vartotojai, anksčiau buvę neak-
tyvūs, staiga pradėjo intensyvią veiklą; kurios paslaugos, buvusios užblokuotos, staiga
pradėjo veikti; kurie kompiuteriai formuoja anomaliai didelį tinklo srautą; procesus
su tais pačiais vardais, imituojančius leidžiamus procesus; neįprastai didelį procesų
skaičių.
Informavimas apie incidentą
Informacijos saugos specialisto pareiga yra informuoti vadovybę apie informa-

cijos saugos įvykius bei įvykius, tapusius / galinčiais tapti incidentais. Organizacijos
vadovybė, dažniausiai padedama teisės skyriaus, sprendžia, ar apie įvykį turi būti infor-
muojama žiniasklaida, teisėsaugos institucijos, verslo partneriai ir klientai.
Dalis organizacijų vengia pranešti apie incidentą teisėsaugos institucijoms dėl
įvairių priežasčių. Viena iš pagrindinių – nuostoliai, kuriuos organizacija patirs, jei ži-
nia apie incidentą bus paskelbta. Nuostoliai gali susidaryti iš baudų už netinkamą in-
formacijos saugos organizavimą, reputacijos praradimo, galinčio paveikti akcijų kursą,
klientų nepasitikėjimo, pardavimo mažėjimo ir t. t.
Anksčiau organizacijos neprivalėjo apie incidentus informuoti teisėsaugos or-
ganus. Šiuo metu situacija šiek tiek pasikeitė, ypač JAV, kai buvo priimti teisės aktai,
įpareigojantys organizacijas tai daryti („Gramm-Leach-Bliley Act“ (GLBA) ir „Health
Information Portability and Accountability Act“ (HIPAA)). Teisės aktais yra siekiama
padidinti kompanijų atsakomybę už informacijos saugos užtikrinimą, kai privalomas
viešinimas apie incidentus yra tam tikras baudimo būdas. Kompanijos, veikiančios ki-
tose šalyse, taip pat vis dažniau yra priverstos elgtis analogiškai, pvz., organizacijos,
privalančios atitikti tarptautinio saugos standarto PCI DSS (angl. Payment Card Indus-
try Data Security Standard), reglamentuojantį veiksmus su bankinių kortelių nume-
riais, reikalavimams, turi informuoti bankinių kortelių asociacijas (VISA, MasterCard,
Amex) apie įvykusias bankinių kortelių numerių vagystes. Nepaisant to, kompanijos
stengiasi vengti atskleidimo apie incidentus, ieškodamos „landų“ teisės aktuose.
Įkalčių išsaugojimas ir incidento sulaikymas
NEE tyrėjas naudojasi trapiu ir nestabiliu turiniu (atidaryti susijungimai, opera-

tyviosios atminties duomenys ir t. t.), kuris gali būti lengvai sunaikintas arba pakeistas,
elgiantis su juo neatsargiai. Todėl turi imtis visų įmanomų atsargos priemonių, kad kuo
daugiau nesugadintų įkalčių būtų išsaugota. Šis procesas dažnai vadinamas „scenos
40
užšaldymu“ (angl. freezing the scene). Techniniai šio etapo aspektai nagrinėjami 12
skyriuje.
Lygiagrečiai turi būti vykdomi incidento sulaikymo darbai, t. y. veiksmai, nelei-
džiantys incidentui paveikti didesniam sistemų kiekiui tinkle. Prie incidento sulaikymo
darbų gali būti priskirtas pažeistos sistemos išjungimas iš tinklo arba jos prieigos prie
kitų sistemų apribojimas kitais metodais. Kalbant apie incidento sulaikymą, organiza-
cijos gali taikyti skirtingą priėjimą, t. y. tai gali būti ir CSIRT pareiga, ir atskiros grupės
funkcija. Bet kokiu atveju, incidentas turi būti sustabdytas ir imtasi priemonių, kad jis
nepasikartotų ateityje.
Analizės fazė
Analizės metu įvykio vieta yra aprašoma ir (arba) dokumentuojama įranga, ku-
rioje potencialiai gali būti įkalčių, perduodama NEE tyrimo kvalifikaciją turintiems
specialistams, kurie atlieka analizės darbus. NEE tyrimo metodų, kaip ir kompiuterinių
nusikaltimų, įvairovė – didelė, pvz., rinkmenų analizė, ištrintos ar užkoduotos infor-
macijos atkūrimas, vizuali įrangos apžiūra ar įtariamųjų ir liudininkų apklausos, asme-
ninių atakuotojo savybių įvertinimas ir tikslų nustatymas. Detaliau šio etapo veiksmai
nagrinėjami 13 skyriuje.
Pristatymas
Pristatymo metu perduodama visą incidento metu surinktą informaciją kartu su

dokumentacija ir įkalčiais NEE tyrėjų komandai, t. y. vykdomas perėjimas iš įkalčių
išsaugojimo ir incidento sulaikymo į analizės fazę.
Jei organizacija yra sąlyginai maža, visai tikėtina, kad tokio grupių atskyrimo
nėra, o tyrimą vykdys tos pačios grupės. Tokiu atveju kalbama tik apie tarpinį pristaty-
mą apie tyrimo eigą organizacijos vadovybei.
Peržiūra pasibaigus incidentui
Peržiūra pasibaigus incidentui (angl. post mortem review) yra atliekama tam,
kad pasibaigus tyrimui ir gavus tyrimo išvadas būtų imtasi veiksmų incidento atsako
procesui gerinti kitą kartą. Tipinės proceso tobulinimo vietos yra:
▬▬ Atsako į incidentus planas. Tobulinami tie plano punktai, kurie pasirodė esą ne-
pakankamai efektyvūs arba visai nesuveikė incidento metu.
▬▬ Informacijos skleidimo politika. Jei informacija apie incidentą buvo nutekinta
tyrimo metu, reikia išsiaiškinti, kas ir kokiais būdais tai padarė, ateityje griežtinti
kontrolę.
▬▬ Informavimo apie incidentą politika. Ar darbuotojas, kuris atskleidė incidentą,
tinkamai vykdė informavimo procedūras?
41
▬▬ Įvykių registracijos įrašų politika. Ar tikrai visa reikiama informacija buvo rasta
įvykių registracijos įrašuose? Ar galiojanti įvykių registracijos įrašų politika rei-
kalauja saugoti būtinus tyrimui duomenis?
▬▬ Kiti saugos tobulinimo klausimai. Bet kokie taikomi informacijos saugos meto-
dai, tyrimo metu išaiškėję kaip nepakankami.
Plano peržiūra
Pasibaigus incidentui, peržiūros etapo rezultatai turi tapti pagrindu planui atnau-
jinti. Vertinti reikia ne tik plano veiksmingumą konkretaus įvykusio incidento atveju,
bet bandyti modeliuoti, ar planas būtų toks pat efektyvus, jei incidentas būtų kitokio
tipo.
4.3. Incidentų tipai
Vienas iš didžiausių atsako į incidentus procesų iššūkių yra būtinybė reaguoti į

skirtingus incidentų tipus. Kiekvienas incidentų tipas turi unikalių savybių. Tai reiškia,
kad kiekvienas incidento tipas reikalauja atskirų procedūrų, norint užtikrinti adekvatų
atsakymą.
Atsisakymo aptarnauti ataka
Atsisakymo aptarnauti atakos (angl. Denial-of-service (DoS)) tikslas yra neleisti

teisėtiems vartotojams prieiti prie reikiamų resursų. Yra keli DoS atakų porūšiai, kurie
gali remtis buferio perpildymo atakomis, kompiuterių resursų (CPU, tinklo pralaidu-
mo, operatyviosios atminties) fizinio išnaudojimo atakomis, realizacijos klaidų išnau-
dojimo atakomis, masinių teisėtų vartotojų prisijungimo imitavimo atakomis (angl.
Distributed DoS arba DDoS).
Pagrindinė užduotis, kovojant su DoS atakomis, yra verslui kritinių paslaugų
funkcionalumo atstatymas. Tai gali būti traktuojama kaip viena iš pavojingiausių ata-
kų, ypač kai kalbama apie DDoS tipą, kadangi puolimą dažniausiai vykdo tūkstančiai
užkrėstų „zombių“ kompiuterių ir prieigos blokavimas iš tam tikrų tinklo adresų arba
segmentų dažniausiai yra neveiksmingas.
Kenksmingas programinis kodas
Tai viena iš dažniausių incidentų atmainų, kai kompiuterių sistemos yra pažei-
džiamos kenksmingo programinio kodo (KPK, angl. malware). Tai bendrinis terminas,
apimantis kompiuterių virusus, kirminus, bot’us ir kitą kodą, sukurtą su tikslu pakenkti
teisėtam vartotojui. Priklausomai nuo KPK tipo ir funkcionalumo, incidentas organi-
zacijai gali turėti ir nykstamai mažas pasekmes, ir visiškai sutrikdyti jos darbą, todėl
42
nepaisant šio incidento dažnumo ir psichologinio susitaikymo su juo, kiekvienas toks
įvykis turi būti detaliai nagrinėjamas.
Pagrindinė užduotis kovojant su tokio incidento tipu yra tolimesnio KPK plitimo
sistemose sulaikymas.
Neteisėtas naudojimas
Šis incidentų tipas yra pats tipiškiausias, kai kalbama apie NEE siaurąja prasme.
Esant tokiai situacijai, vidinis ar išorinis nusikaltėlis gauna prieigą prie resurso, į kurio
teises jis neturėtų turėti. Taip pat reikia pabrėžti, kad tai yra jo sąmoningų veiksmų
pasekmė.
Esant tokiam incidento tipui, CSIRT komanda turi koncentruotis ties tolimesnių
nusikaltėlio veiksmų blokavimu ir įkalčių išsaugojimu. Būtent esant šiam incidento
tipui greičiausiai gali būti priimtas sprendimas kreiptis į teisėsaugos organus.
Netinkamas naudojimas
Prie netinkamo naudojimo priskiriami veiksmai, kai kompiuterio vartotojas jį

naudoja neteisėtai veiklai (skleidžia draudžiamą turinį, naudoja kompiuterį kaip smurto
ir (ar) priekabiavimo priemonę, renka informaciją tradiciniam nusikaltimui vykdyti)
arba naudojant kompiuterį pažeidžia teisės aktus, organizacijos vidinius reikalavimus
(diegia piratinę programinę įrangą, darbo metu naudoja kompiuterį asmeniniams tiks-
lams).
Priklausomai nuo to, ar tyrimas atliekamas organizacijos darbuotojo, ar priva-
taus asmens atžvilgiu, gali būti akcentuojami skirtingi vidinės grupės ir (ar) teisėsau-
gos institucijos veiksmai. Pavyzdžiui, pirmuoju atveju gali būti svarbesnis tolimesnių
veiksmų blokavimas, antruoju – tinkamas įkalčių išsaugojimas.
4.4. Kontroliniai klausimai ir praktiniai darbai
Kontroliniai klausimai
1. Kuo skiriasi reagavimas į incidentus, incidentų sulaikymas ir incidentų val-

dymas?
2. Išvardykite reagavimo į incidentus proceso etapus.
3. Kuriame reagavimo į incidentus proceso etape yra priimamas sprendimas,
kad nagrinėjamas įvykis turi būti traktuojamas kaip incidentas?
4. Pagrįskite mokymo etapo svarbą ruošiant atsaką į galimus incidentus.
5. Išvardykite keturis incidentų tipus ir jų pagrindinius bruožus CSIRT grupės
požiūriu.
43
Praktiniai darbai
Susiskirstykite į grupes po 6–8 žmones (esant mažoms akademinėms grupėms,

po 3–4 žmones). Grupės tikslas – imituoti CSIRT grupės veiklą.
1. Grupės nariai savarankiškai pasidalina roles imituojamos CSIRT grupės vi-
duje (esant mažoms akademinėms grupėms, vienas žmogus gali prisiimti po
1–2 roles).
2. SCIRT grupė parengia reagavimo į incidentus planą.
3. Pratybas vedantis dėstytojas pateikia kiekvienai grupei individualų inciden-
to modelį, jame nurodydamas:
a) laiką, kada incidentas buvo pastebėtas;
b) kas ir kokiomis aplinkybėmis pastebėjo incidentą;
c) kitas reagavimui būtinas incidento detales.
4. Gavę incidento aprašymą, grupės nariai:
a) pradeda veikti pagal paruoštą reagavimo į incidentus planą;
b) nustato incidento tipą ir kategoriją;
c) protokole fiksuoja, kokiu laiku ir koks sprendimas buvo priimtas, ar
vyko sėkminga narių komunikacija, kada incidentas buvo sustabdytas
ir pašalintos jo pasekmės.
5. Rengiamas viešas aptarimas, kurio metu grupės nariai, dėstytojas ir kiti stu-
dentai vertina:
a) ar incidentas buvo tiksliai identifikuotas ir kategorizuotas;
b) kiek adekvatus buvo parengtas planas imituojamam incidento tipui;
c) kiek laiko prireikė sprendimams priimti.
d) ar pakankama buvo grupės narių kvalifikacija pareigoms atlikti;
e) ar priimti sprendimai atitinka geriausioms praktikoms ir tinka konkre-
taus incidento atvejui;
f) kokie pakeitimai turi būti atlikti incidentų valdymo plane.
6. Esant galimybei, pakartokite reagavimo į incidento mokymus su kitu inci-
dento tipu po reagavimo į incidentus plano koregavimo.
44
5.
NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA
Vykdydamas NEE tyrimą tyrėjas atlieka tam tikrą žingsnių ir procedūrų seką.
Pirmiausia, identifikuojamas nusikaltimas. Vėliau surenkami įkalčiai ir formuojama
įrodymų grandinė (angl. chain of custody). Tyrėjas šias procedūras turi vykdyti kiek
įmanoma tiksliau bei laikytis tam tikrų tyrimo principų. Po to, kai įkalčiai būna išanali-
zuoti, tyrėjas turi elgtis kaip liudininkas ekspertas bei mokėti pristatyti įkalčius teisme.
Tyrėjas tampa kibernetinių nusikaltimų persekiojimo mechanizmo dalimi.
Šiame skyriuje trumpai apžvelgiami pagrindiniai NEE tyrimų principai ir etapai.
Svarbiausi tyrimo etapai detalizuojami kituose skyriuose.
5.1. Bendrieji NEE tyrimo principai ir etapai
Kai įvykis yra perkvalifikuojamas į incidentą, organizacija susiduria su būtinybe

atlikti NEE tyrimą, kurio metu dažnai atliekami šie veiksmai:
1. Vadovybė kreipiasi į teisininką konsultacijos.
2. Tyrėjas parengia pirminio atsako procedūras (angl. First Response Proce-
dures (FRP)).
3. Tyrėjas surenka įkalčius įvykio vietoje ir perduoda juos tyrimo laboratorijai.
Vykdant šį etapą laikomasi tam tikros tvarkos:
a) Identifikuojami įkalčiai. Nustatoma, kur sistemoje įkalčiai gali būti sau-
gomi.
b) Nustatomas duomenų tinkamumas, t. y. kiek rasti duomenys gali įro-
dyti incidento faktą. Šito žingsnio metu svarbu neatmesti reikšmingų
duomenų.
c) Nustatoma rinkimo tvarka. Pagrindinis tvarkos nustatymo kriterijus –
spėjamas įkalčių gyvavimo laikas, t. y. tikimybė prarasti įkalčius dėl jų
gedimo. Tie įkalčiai, kurių gyvavimo trukmė yra mažesnė, pvz., įrašai
diskeliuose, turi būti surenkami ir paruošiami apdoroti pirmiausiai.
d) Pašalinami išorinio poveikio veiksniai. Renkant duomenis reikia iš-
vengti jų modifikavimo, kadangi tik nemodifikuoti duomenys gali būti
laikomi įkalčiu. Nusikaltėliai dažnai savo kompiuteriuose įdiegia pro-
graminę įrangą, tam tikromis sąlygomis (kompiuterio atjungimas nuo
interneto, klavišų derinio paspaudimas arba tam tikrų veiksmų neatliki-
mas per nustatytą laiką nuo kompiuterio įjungimo) ištrinančią visą jame
saugomą informaciją.
4. Daromos surinktų duomenų laikmenų atvaizdo kopijos, siekiant užfiksuoti
jų būseną. Taip pat fiksuojama nusikaltimo įvykio vieta (nuotraukos, apra-
šymai).
45
5. Tyrėjas išanalizuoja įkalčius nusikaltimui įrodyti ir paruošia negalutinę ty-
rimo ataskaitą.
6. Tyrėjas perduoda užsakovui ataskaitą, o klientas įvertina, ar sieks iš nusikal-
tėlio kompensacijos teismo tvarka.
7. Tyrėjas sunaikina bet kokius saugomus konfidencialius arba jautrius kliento
duomenis, kurie neturi tiesioginės įtakos tyrimui.
Vykdydamas tyrimą, tyrėjas turi stengtis vadovautis tokiais principais, kurie lei-
džia maksimaliai padidinti bylos sėkmę teisme:
▬▬ Analizuoti originalius įkalčius kiek įmanoma mažiau. Stengtis pagal galimybę
analizuoti įkalčių dublikatus.
▬▬ Nemodifikuoti įkalčių. Jeigu tai nėra įmanoma – dokumentuoti bet kokius, net
pačius nereikšmingiausius įkalčių keitimus.
▬▬ Formuoti pagrįstas nusikaltimo įrodymo grandines, atsargiai ir atsakingai elgtis su
įkalčiais. Formuoti tik tas išvadas, kurios tiesiogiai pagrįstos surinktais įkalčiais.
▬▬ Jausti atsakomybę už atliekamą darbą bei suprasti, kad klaidingai suformuluotos
bei pateiktos išvados gali lemti teismo klaidą, suluošinti žmonių likimą arba
neigiamai atsiliepti pačiam tyrėjui teisinio persekiojimo forma.
▬▬ Naudoti tyrimo metu surinktus duomenis tik tyrimo tikslais, neperduoti jų tre-
čiosioms šalims, nenaudoti šantažui ar asmeninei naudai.
Reikėtų pabrėžti, kad įvairių vadovėlių ir mokymo kursų, skirtų NEE tematikai,
autoriai skirtingai vadina ir interpretuoja NEE tyrimo etapus, t. y. gali skirtis etapų
pavadinimai, tiems patiems etapams gali būti priskiriami skirtingi uždaviniai (pvz.,
įkalčių apsaugojimas nuo modifikavimo gali būti priskirtas ir įkalčių rinkimo, ir atskirai
fazei). Tai parodo, kad pats procesas dar nėra visiškai susistemintas ir dar nėra tvarkos,
kuri tenkintų visus autorius. Todėl šiame vadovėlyje autoriai neakcentuoja konkrečių
etapų pavadinimų, o labiau vardija veiksmus, kurie yra būdingi atliekant tyrimą.
Kita vertus, įvardyti tyrimo principai yra ganėtinai nusistovėję, ypač kalbant
apie jų etinę ir atsakomybės dalį. Taip pat, nepaisant aiškiai matomos tendencijos anali-
zuoti „gyvas“ sistemas, vis dar aktualus išlieka įkalčių dublikavimo ir nemodifikavimo
principas.
5.2. Klausimai tyrėjui ir užsakovui tyrimo eigoje
Bet kokį tyrimą ar detektyvinį romaną, atmetus tam tikrus meninius ir psicholo-
ginius vaizdavimo aspektus, galima pateikti kaip tam tikrą seką klausimų, į kuriuos turi
atsakyti tyrėjas ir (arba) detektyvas, siekdamas išsiaiškinti nusikaltimą. Tuos klausimus
tyrėjas formuluoja sau, tyrimo užsakovui, įtariamajam, liudininkams. Jis turi išsiaiš-
kinti, su kokio nusikaltimo tipu jis turi reikalų, kokie yra nusikaltimo motyvai, kaip
jis buvo įvykdytas bei kaip gali būti įrodytas. Tinkamai suformuluoti klausimai yra
pagrindas sėkmingam tyrimui, nes leidžia nustatyti visą logišką įvykių seką.
Šiame poskyryje yra pateikiami (Middleton 2001) siūlomos metodikos pagrindu
parengti klausimai, kurie skirtingais tyrimo etapais gali būti traktuojami kaip tyrėjo
kontroliniai sąrašai.
46
Klausimai, pateikiami užsakovui pirmojo kontakto metu
Pageidautina, kad į šiuos klausimus tyrėjas gautų atsakymus iškart arba dar iki
atvykdamas į tyrimo vietą. Išankstinis atsakymas yra pageidaujamas, kadangi tyrėjas
gali geriau pasiruošti darbui įvykio vietoje bei pateikti pirmines FRP rekomendacijas.
1. Apie kokį nusikaltimo tipą kalbama? Nusikaltimo tipo apibrėžimas leidžia
tyrėjui atlikti konsultacijas su konkrečios srities specialistais. Sąrašas api-
ma, bet neapsiriboja, tokia informacija:
a) puslapio turinio keitimas;
b) asmeninių duomenų vagystė;
c) intelektinės nuosavybės vagystė / pramoninis šnipinėjimas;
d) nužudymas / vagystė / kitas kriminalinis įvykis;
e) sabotažas / diversija;
f) kompiuterinės sistemos panaudojimas kaip tarpinės grandies atakai
vykdyti;
g) verslo informacijos vagystė / nutekinimas;
h) gynybos sistemų pažeidimas.
2. Ar kompanijoje naudojama IDS? Kas yra IDS tiekėjas?
3. Kas pirmasis pastebėjo nusikaltimą? Kada apie jį buvo pranešta?
4. Ar nusikaltėlis vis dar vykdo savo veiksmus? Ar gali įtarti, kad jo veiksmai
yra susekti?
5. Ar yra įtariamieji? Ar tai organizacijos darbuotojai?
6. Ar apie incidentą informuotos teisėsaugos institucijos? Jei taip, kokių veiks-
mų jie jau ėmėsi?
7. Ar gali būti užtikrintas nuotolinis priėjimas prie sistemos arba pažeistos sis-
temos kopijos?
8. Kokio tipo įranga (aparatinė ir programinė) yra naudojama? Kokie yra spe-
cifiniai jos nustatymai (pvz., failinės sistemos tipas)?
9. Ar sistemose su įkalčiais yra išorinių laikmenų skaitymo įrenginių (CD /
DVD-ROM)?
10. Ar pažeista sistema yra padidinto saugumo zonoje? Kas atsakingas už leidi-
mo išdavimą tyrėjui prieigai?
11. Kokie duomenys potencialiai saugomi nagrinėjamoje sistemoje?
12. Kokios talpos kietieji diskai nagrinėjamose sistemose?
13. Kas legaliai turėjo prieigos teises prie nagrinėjamos sistemos? Kas turėjo
prieigą prie sistemos anksčiau arba buvo įtrauktas į sistemo kūrimą, diegimą
ir palaikymą?
14. Sąrašas užsakovo atstovų, su kuriais reikės susitikti vizito metu.
15. Ar įvykio vieta yra fiziškai apsaugota?
16. Kokiu periodiškumu naikinamos pasenusios sistemų atsarginės kopijos? Ar
įvykus incidentui šis procesas buvo sustabdytas?
47
17. Kokia yra taikoma įvykių registracijos įrašų saugojimo ir analizės politika?
Ar išsaugoti įvykių registracijos įrašai potencialiu nusikaltimo įvykdymo
laikotarpiu?
18. Kas žino apie įvykį?
19. Koks yra priimtas sprendimas nusikaltimo tyrimo požiūriu? Ar bus kreiptasi
į teismą?
Klausimai, pateikiami užsakovui įvykio vietoje
Reikia pabrėžti, kad čia yra pateikiami tik pavyzdiniai klausimai. Kiekvienu kon-
krečiu atveju gali būti formuluojami papildomi klausimai, o dalies iš jų – visiškai atsi-
sakoma. Gauti atsakymai taip pat gali tapti pagrindu naujiems klausimams formuluoti.
1. Kokiu laiku įvyko incidentas?
2. Kokie pakeitimai įvykio vietoje buvo padaryti?
3. Ar žmonės, buvę įvykio vietoje, turėjo ten būti pagal savo pareigas / darbo
grafiką?
4. Kas buvo paskutinis, naudojęsis sistema?
5. Kas iš darbuotojų mėgsta ateiti į darbą labai anksti arba pasilikti po darbo /
savaitgaliais?
6. Kiek ilgai įtariamieji dirba organizacijoje?
7. Kas buvo matyti kompiuterio ekrane įvykio metu?
8. Kokios yra įtariamųjų elgesio ypatybės? Su kuo iš kitų darbuotojų jie
bendrauja?
9. Ar paskutiniu metu organizacijoje buvo keistų arba netipinių įvykių, kurie
nebuvo klasifikuoti kaip incidentai?
10. Ar įtariamieji palaiko ryšius su kitomis kompanijomis / šalimis?
11. Ar yra įvykio vietos vaizdo / garso įrašų?
12. Ar naudojami bendriniai vartotojų vardai / slaptažodžiai?
13. Ar kompanija turi finansinių ar kitokių problemų?
14. Ar niekas iš darbuotojų nepiknaudžiavo neįprastomis išlaidomis / pirkimais
paskutiniu metu?
15. Kam iš darbuotojų buvo taikomos administracinės priemonės arba užsime-
nama apie atleidimą; išreiškiamas nepasitenkinimas darbo rezultatais?
16. Kas iš darbuotojų turėjo finansinių sunkumų?
17. Ar yra organizacijoje laikinų arba nepilną darbo dieną dirbančių darbuotojų?
18. Kas buvo atleistas iš organizacijos paskutiniu metu? Ar atleidimas buvo
konfliktiškas?
19. Kada paskutinį kartą buvo atliekami sistemos atnaujinimai / diegiamos nau-
jos programos? Kas atliko šiuos veiksmus?
20. Ar įmanomą gauti tinklų topologijos diagramą?
Visi šiame skyriuje pateikti klausimai yra adaptuoti atvejui, kai tyrimo užsako-
vas yra organizacija, o potencialus nusikaltėlis yra organizacijos viduje ir (arba) po-
tencialiai su ja susijęs, kadangi beveik 60–70 proc. visų nusikaltimų atliekami pačios
48
organizacijos darbuotojų. Tačiau šis klausimynas gali būti nesunkiai adaptuotas ir tuo
atveju, jei vykdomas kriminalinio nusikaltimo tyrimas arba nusikaltėlis yra už organi-
zacijos ribų.
1. Įvardykite pagrindinius NEE tyrimo principus. Apginkite kiekvieno iš prin-

cipų pagrįstumą.
2. Įvardykite pagrindinius NEE tyrimo veiksmus / etapus.
3. Pateikto klausimyno pagrindo sukurkite klausimynus tokioms situacijoms:
a) tyrimo užsakovas – organizacija, o potencialus nusikaltėlis yra už kom-
panijos ribų;
b) tyrimo užsakovas – teisėsaugos institucija, tiriamas nusikaltimas – kri-
minalinis, kuriam įvykdyti kompiuteris buvo naudojamas kaip pagalbi-
nė priemonė informacijai rinkti, todėl gali būti panaudotas kaip netie-
sioginis įkaltis.
4. Nesinaudodami tolesnių vadovėlio skyrių medžiaga pabandykite suformuo-
ti klausimyną NEE tyrimo analizės fazei, kai tyrėjas jau surinko visus įkal-
čius ir gavo atsakymus į šiuose klausimynuose suformuluotus klausimus.
49
6.
ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS
Elektroniniais arba skaitmeniniais įkalčiais gali būti traktuojama bet kokia
kompiuterių sistemomis perduodama arba saugoma informacija, kuri patvirtina tyri-
mo metu suformuluotą hipotezę ir, pagal poreikį bei tenkinant tam tikras sąlygas, gali
būti panaudota teismo proceso metu. Ar įkaltis gali būti naudojamas teismo procese
priklauso nuo to, ar teisėtai jis buvo gautas ir kiek atitinka kitiems įkalčiams keliamus
reikalavimus.
Paskutiniu dešimtmečiu elektroninių įkalčių taikymas teismo procesuose tapo
gan dažnu reiškiniu, o skaitmeninės nuotraukos, įvykių registracijos įrašai, elektroni-
nių dokumentų kopijos, susirašinėjimo pokalbių programose kopijos – pilnateise bylų
dalimi. Precedentinės teisės valstybėse, tokiose kaip JAV, dalis teismų traktuoja elek-
troninius įkalčius analogiškai tradiciniams dokumentams, kiti – pabrėžia jų prigimties
skirtumą.
Dažnai elektroninių įkalčių atmetimo priežastimi būna įkalčių gavimas be teis-
mo leidimo. Daugumoje teisinių sistemų keliamas reikalavimas, kad įrenginiai, iš ku-
rių nuskaitomi elektroniniai įkalčiai, būtų areštuojami prieš pradedant vykdyti tyrimą.
NEE tyrime tai gali sukelti tam tikrų sunkumų.
Tyrėjai, vykdydami NEE tyrimą, turi vertinti du įkalčių tinkamumo kriterijus:
▬▬ autentiškumą – arba įkalčio atsiradimo šaltinį;
▬▬ patikimumą – kiek šaltinis yra patikimas ir (arba) nešališkas bei apsaugotas nuo
galimų pažeidimų.
Duomenų objektas arba kompiuterinis įrenginys gali tapti įkalčiu, kai jo naudo-
jimą tokia tvarka reglamentuoja įstatymas (Marcela ir Greenfield 2002). JAV Federali-
nis tyrimų biuras išskiria tokius įkalčių tipus, kurie gali būti naudojami atliekant NEE
tyrimą:
▬▬ Duomenų objektai. Galimi informacijos šaltiniai su tam tikra tikimybine verte,
susieti su fiziniais objektais. Gali pasitaikyti įvairių formatų duomenų objektų.
▬▬ Skaitmeniniai įkalčiai (angl. digital evidence). Tam tikros tikimybinės vertės in-
formacija, saugoma arba perduodama skaitmeniniu formatu.
▬▬ Fiziniai objektai. Įrenginiai, kuriuose duomenų objektai arba informacija yra
saugomi arba per kuriuos duomenų objektai yra perduodami.
▬▬ Originalūs skaitmeniniai įkalčiai. Fiziniai objektai ir su jais susiję duomenų
objektai konfiskacijos metu.
▬▬ Skaitmeninių įkalčių dublikatai. Tiksli skaitmeninė visų duomenų objektų, sau-
gomų originaliame fiziniame objekte, kopija.
Įkalčiai dar gali būti skirstomi pagal jų vėlesnio pritaikymo tikslą:
▬▬ įkalčiai, renkami tolesniam teisminiam persekiojimui;
▬▬ įkalčiai, kurių tikslas – tiesiog nustatyti NEE faktą bei išsiaiškinti priežastis, jo
neperduodant teismui.
Paskutiniu atveju taikomos ne tokios griežtos rinkimo ir analizės procedūros.
50
6.1. Įkalčių savybės
Jei žvelgtume į fizinį elektroninių įkalčių lygį, tai turėtume naudotis elektro-
magnetiniais impulsais laiduose bei diskiniuose kaupikliuose, radijo signalais ir t. t.
Tačiau užsitikrindami priėjimą prie duomenų NEE tyrėjai naudojasi kompiuterių siste-
mų suteikiama duomenų vaizdavimo sistema, perteikiančia fiziniu pavidalu saugomus
duomenis žmogui suprantama forma (pvz., žmogus retai tiesiogiai analizuoja kietojo
disko bitus ar sektorius, o naudojasi katalogais ir failais). Tai reiškia, kad tyrėjai retai
tiesiogiai mato duomenis, o naudoja tam tikrą jų atvaizdavimą. Tačiau reikia turėti
omenyje, kad kiekvienas abstrakcijos lygis gali įvesti tam tikrų klaidų arba informaci-
jos praradimų. Dar vienas abstrakcijos lygis – specializuoti NEE tyrimo įrankiai, kurie,
kaip ir bet kokia programinė įranga, gali turėti klaidų – tiek techninių, tiek atsiradusių
dėl netinkamos probleminės srities suvokimo. Viena iš didžiausių pasitaikančių įrankių
problemų – netinkamas failinių sistemų interpretavimas. Abstrakcijos lygių įvedimas
iš tyrėjų reikalauja taikyti kelis įrankius bei vertinti, kad gauti rezultatai yra analogiški.
Tiriant ypatingai svarbius atvejus, būtina atlikti ir tiesioginę fizinio lygio analizę, kad
būtų išvengta galimų duomenų iškraipymo. Kita vertus, skirtingų abstrakcijos lygių
nagrinėjimas gali suteikti papildomos svarbios informacijos.
Kita išskirtine elektroninių įkalčių savybe gali būti pripažinta jų dinamika, kuri
taip pat įveda nemažai netikslumų vykdant tyrimą. Įkalčių dinamika – tai bet koks
veiksnys, kuris keičia įkalčio turinį, dislokaciją arba jį sunaikina, nepriklausomai nuo
to, ar poveikis yra tyčinis ar netyčinis. Žemiau įvardyti keli iš galimų įkalčių dinamikos
pavyzdžių:
▬▬ Sistemų administratorius. Stengdamasis padėti tyrimui atlieka veiksmus su na-
grinėjama sistema, modifikuodamas įkalčius.
▬▬ NEE tyrėjas. Keičia įkalčius netyčia arba neturėdamas kitos išeities, kaip ištirti
nusikaltimą.
▬▬ Įtariamasis. Pašalina įkalčius iš kietojo disko, jei prieiga laiku neužblokuojama.
▬▬ Kompiuterio netyčinis panaudojimas. Kompiuteris su įkalčiais netyčia panaudo-
jamas kažkokiam veiksmui, nesusijusiam su NEE tyrimu, atlikti.
▬▬ Liudininkas. Sistemų administratorius, mažindamas incidento pasekmes, ištrina
nusikaltėlio sukurtas vartotojo paskyras.
▬▬ Gamtos / laiko veiksniai.
Įkalčių dinamika sukuria tyrimo ir teisinių iššūkių, apsunkina tikslios tyrimo
eigos atstatymą ir labiausiai kenkia įkalčių autentiškumo ir patikimumo savybėms. Taip
pat, jei tyrėjas nežino, kokie įkalčių pasikeitimai buvo įvykę, tai gali tapti surinktų įkal-
čių kritikos pagrindu teisme arba lemti klaidingų išvadų formulavimą.
Prie elektroninių įkalčių savybių galima priskirti ir tai, jog teismuose jos yra
dažnai atakuojamos nusikaltėlio gynimo pusės dėl jų tariamai lengvo modifikavimo.
Tačiau 2002 m. JAV Aukščiausiasis teismas nustatė, kad „faktas savaime, jog yra ga-
limybė modifikuoti kompiuteryje esančius duomenis yra nepakankamas tam, kad įkal-
čiai būtų pripažinti nepatikimais“ (http://ftp.resource.org/courts.gov/c/F2/858/858.
F2d.1427.87-3085.html). Siekiant išvengti tokių atakų, autoritetingas žurnalas „Ame-
51
rican Law Reports“ (4th, 8, 2b) rekomenduoja, kad renkant įkalčius bei juos ruošiant
teismo procesui būtų:
▬▬ patvirtintas kompiuterinės įrangos patikimumas;
▬▬ aprašyta, kokiu būdu buvo paveikti duomenys;
▬▬ aprašyta, kokių priemonių buvo imtasi, kad būtų išvengta duomenų modifikavi-
mo ir praradimo;
▬▬ patvirtintas programų, naudojamų įkalčių analizei, patikimumas.
Dar vienas taikomas atakos būdas prieš elektroninius įkalčius yra jų traktavimas
kaip parodymus, paremtus kitų žodžiais. Šios atakos gali būti paneigtos tokiais argu-
mentais:
▬▬ Parodymai, paremti kitų žodžiais, yra apibrėžiami būtent kaip žmogaus parody-
mai, o kompiuterių sistemos sugeneruoti pranešimai šiai kategorijai nepriklauso.
▬▬ Parodymai, paremti kitų žodžiais, turi tam tikrų išimčių (pvz., verslo įrašų išim-
tis, viešųjų įrašų išimtis pagal JAV teisinę bazę), prie kurių tam tikrais atvejais
gali būti priskirti ir elektroniniai įkalčiai.
Dauguma pateiktų teisinių elektroninių įkalčių savybių remiasi JAV patirtimi ir,
be abejo, atspindi šitos šalies specifiką. Kita vertus, būtent JAV yra sukaupta didžiausia
NEE tyrimo srities patirtis ir tikėtina, kad padažnėjus NEE tyrimo atvejų ES šalyse, bus
susidurta su panašiais sunkumais.
Viena iš elektroninių įkalčių savybių yra ta, kad kaip ir bet kuris kitas elektroni-
nis objektas, jis, skirtingai nuo realaus pasaulio objektų, yra nesunkiai kopijuojamas,
t. y. lengva padaryti identišką failą, ir beveik neįmanoma – identišką piršto atspaudą.
Norint išsiaiškinti, kiek viena elektroninių duomenų kopija skiriasi nuo kitos, įvedama
esminio skirtumo sąvoka, t. y. turi būti nustatyti tokie lyginamų duomenų parametrai,
kurie leidžia juos vienareikšmiškai atskirti. Tokiais kriterijais gali būti laiko žymė, skir-
tingas įrašymas fiziniame lygyje ir kiti.
6.2. Įkalčių kategorijos ir šaltiniai
Kaip jau buvo minėta, elektroniniai įkalčiai – tai duomenų objektai, kurie vėliau
vienaip ar kitaip panaudojami NEE tyrimo metu. Duomenų objektai (failai, duomenų
bazės, kiti objektai) yra saugomi skirtingose kompiuterių sistemų vietose ir gali būti
analizuojami NEE tyrimo metu, siekiant nustatyti vykdytus veiksmus (pvz., prisijungi-
mų prie sistemų faktus), įtariamojo motyvus (pvz., kokiose saituose, kokios informa-
cijos ieškojo) ir t. t. NEE tyrimo požiūriu, kuriam įdomu, kur galima ieškoti įkalčių,
duomenų objektai gali būti suskirstyti į keturias kategorijas (Ashcroft ir General 2001),
pateiktas 6.1 lentelėje.
52
6.1 lentelė. Elektroninių įkalčių kategorijos
Elektroninių įkalčių kategorija Į kategoriją patenkantys duomenų objektai
Vartotojų sukurti objektai – įprasto formato duomenų Adresų knygos.
objektai, kurie gali būti nesunkiai išanalizuoti tyrimo El. pašto pranešimai.
metu. Garso / vaizdo / grafiniai failai.
Dokumentai ir užrašai / skaičiuoklių failai.
Kalendoriai.
Duomenų bazės.
Išsaugotos nuorodos.
Vartotojų sukurti ir apsaugoti objektai – duomenų Suspausti failai.
objektai, kuriems dėl vienų ar kitų priežasčių jų Nekorektiškai pavadinti failai.
kūrėjas pritaikė apsaugos priemones. Taikomas Šifruoti failai.
apsaugos tipas gali vienaip ar kitaip apsunkinti įkalčių Slaptažodžiais apsaugoti failai.
identifikavimą ir analizę. Paslėpti failai.
Steganografijos metodų taikymas.
Kompiuterių sistemų sukurti objektai – objektai, Atsarginės kopijos.
atsiradę kompiuterių sistemose kaip jų funkcionavimo Įvykių registracijos įrašai.
pasekmė. Dažniausiai gali suteikti pakankamai daug Konfigūraciniai failai.
naudingos informacijos tyrimui. Eilės (angl. spool) failai įrenginiuose.
Sukeitimų (angl. swap) failai.
„Saldainiukai“ (angl. Cookies).
Sisteminiai failai.
Laikinieji (angl. temp) failai.
Kiti duomenų objektai – objektai, kurie paprastai Sugadinti klasteriai.
nėra prieinami naudojant įprastas OS suteikiamas Ištrinti failai.
priemones, atsiradę dėl netinkamo sistemų Laisva vieta diske (kurioje anksčiau potencialiai buvo
funkcionavimo, tačiau galintys turėti svarbių įkalčių. svarbūs duomenys).
Paslėpti disko skaidiniai (angl. partitions).
Failinės sistemos metaduomenys.
Sisteminės sritys.
Nepriskirta vieta diske.
Objektas, kuris generuoja arba turi įtakos įkalčiui, gali būti pavadintas jo šal-
tiniu. Įkalčiai gali būti susieti su jų šaltiniais daugybe ryšių, nurodančių jų tarpusavio
santykius. Žemiau pateikiami keli galimi ryšių tipai:
▬▬ Gamybinis ryšys. Šaltinis pagamino įkaltį, t. y. galima vienareikšmiškai atsekti,
kad konkretus įrenginys buvo panaudotas vienokio ar kitokio įkalčio gamybai.
Tai gali būti svarbu, jei, pvz., žinoma, kad įrenginys tikrai priklauso įtariamajam.
Tokį ryšį užtikrinančiais įkalčiais gali būti į duomenis įrašomi įrangos serijiniai
numeriai (pagrindinės plokštės, CPU ir kt.).
▬▬ Segmentavimo ryšys. Šaltinis padalintas į dalis, o dalys yra išsklaidytos. Jei tyri-
mo metu įvykio vietoje yra randama viena dalis, pagal ją galima nustatyti gali-
mus šaltinio ir įkalčio ryšius.
▬▬ Keitimo ryšys. Šaltinis keičia arba modifikuoja įkaltį, pvz., įsilaužėlio naudojamas
įsilaužimo įrankis (angl. exploit) palieka žymes laužomoje programoje.
▬▬ Vietos ryšys. Nustatymas, iš kurios vietos atkeliavo duomenys, galintys tapti
įkalčiais, gali turėti didžiulės reikšmės NEE tyrimui. Tai ypač svarbus uždavi-
nys, kai tiriama ne izoliuota, o tinklinė kompiuterių sistema. Tokio uždavinio
sprendimo pavyzdžiu gali tapti atakuojančiojo IP adreso nustatymas, įsitikinant,
kad IP adresas nebuvo modifikuotas ir kad nustatytas IP adresas nepriklauso tar-
pinei stočiai, kuri yra naudojama nusikaltėlio pėdsakams paslėpti.
53
Kita dažnai naudojama elektroninių įkalčių klasifikacija remiasi jų skirstymu
pagal įrenginio tipą, kuriame jie saugomi arba generuojami. Ši klasifikacija patogi tuo,
kad ji gali būti naudojama kaip kontrolinis sąrašas tyrimo metu nustatant, kokių įkalčių
kokiame įrenginyje galima ieškoti. 6.2 lentelėje pateikiamas šaltinių ir juose tikėtinų
įkalčių sąrašas, parengtas pagal (Ashcroft ir General 2001).
6.2 lentelė. Elektroniniai įkalčių šaltiniai ir juose aptinkami įkalčiai

Įkalčių šaltinis Galimi įkalčiai
Procesorius (CPU) Fizinis įkaltis (minimas atskirai tik jei įrenginiui nėra būdingi kiti įkalčiai).
Greičiausiai turi unikalų identifikacijos numerį. Gali būti atliekama CPU
registrų analizė.
Operatyvioji atmintis Fizinis įkaltis. Gali būti aptikta informacija, kuri nėra rašoma į išorines
laikmenas (vartotojo vedami, bet neišsaugomi, duomenys (tokie kaip
paieškos raktažodžiai), procesų aktyvumas, maršrutizavimo lentelės ir kt.).
Esant galimybei – atlikti atminties kopiją (angl. dump). Operatyviosios
atminties liekanų galima rasti kietojo disko išklojos kopijos (angl. disc
dump) failuose, net jei atminties kopija specialiai nėra daroma.
Praėjimo žetonai ir kortelės Identifikacinė informacija apie prieigos lygį. Dažniausiai turi sunkiai
(angl. smart-cards) modifikuojamą identifikacinį numerį. Kartu su įvykių registracijos įrašais
iš prieigos kontrolės sistemų gali būti naudojami prieigos prie sistemos /
patalpos faktui nustatyti.
Autoatsakikliai / fakso aparatai Paskutiniai rinkti numeriai, palikti pranešimai (jei naudojamos magnetinės
kasetės, tai galima atstatyti ir ankstesnius įrašus, kurie jau buvo ištrinti arba
perrašyti), vidinė atmintis.
Skaitmeninės kameros Įvykio vietos nuotraukos. Įvykio laiko informacija.
Portatyvieji įrenginiai (išmanieji Adresai, failai, elektroniniai laiškai, susirašinėjimo informacija, nuotraukos,
telefonai, grotuvai, planšetiniai naršymo istorija.
įrenginiai, portatyvieji
asistentai)
Kietieji diskai Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės
sistemos priemonėmis matomų failų, ir tarp pašalintų failų, sugadintuose bei
perrašytuose sektoriuose.
Atmintinės kortelės Bet kokia įrašyta informacija.
Modemai Fizinis įkaltis. Gali būti rasta informacijos apie prisijungimus, rinktus
numerius.
Tinklo kortos Fizinis įkaltis. Unikalus identifikatorius – MAC (angl. media access control)
adresas.
Tinklo įrenginiai Fizinis įkaltis. Konfigūraciniai nustatymai. Administracinių bei kitų veiksmų
įvykių registracijos įrašai. Maršrutizavimo lentelės.
Spausdintuvai Vidinė atmintis. Naudojimo istorija.
Išorinės duomenų laikmenos Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės
(diskeliai, CD, DVD diskai, sistemos priemonėmis matomų failų, ir tarp pašalintų failų, sugadintuose bei
USB raktai). perrašytuose sektoriuose.
Skeneriai, kopijavimo aparatai Vidinė atmintis. Naudojimo istorija.
Telefonai Adresai, rinkti numeriai.
Į šį sąrašą nebuvo įtraukti kompiuteriniai įrenginiai, kurie gali būti įdomūs tik
kaip fiziniai įkalčiai, tokie kaip tinklo kabeliai, kompiuterių pelės, monitoriai ir kiti,
kurie patys savaime neturi skaitmeninės informacijos. Fizinių įkalčių analizės metodai
yra nagrinėjami klasikiniuose kriminologijos vadovėliuose.
54
Vienas svarbus niuansas, kurį būtina paminėti kalbant apie NEE tyrimus, yra tas,
kad tyrimo metu nereikia apsiriboti vien tik kompiuterio duomenų analize. Įtariamasis,
žinodamas apie potencialų persekiojimą, gali stengtis pašalinti jame esančius įkalčius.
Tačiau gali pamiršti arba nesugebėti tinkamai pašalinti įkalčius iš kitų 6.2 lentelėje mi-
nimų įrenginių. Juose surinktų įkalčių gali visiškai pakakti kaltei įrodyti.
1. Pateikite elektroninio įkalčio apibrėžimą.

2. Kokiais kriterijais vertinamas elektroninio įkalčio tinkamumas? Pagrįskite,
kodėl svarbus kiekvienas iš kriterijų.
3. Pateikite bent kelias elektroninių įkalčių savybes. Kokie elektroninių įkalčių
pagrindiniai skirtumai nuo kitokių įkalčių tipų?
4. Kokiu atveju NEE tyrimo metu gali būti naudingas segmentavimo ryšio nu-
statymas tarp šaltinio ir įkalčio? Sugalvokite pavyzdžių.
5. Prisiminkite, kokių įkalčių galima tikėtis surasti:
a) mobiliajame telefone;
b) spausdintuve;
c) operatyviojoje atmintyje?
55
7.
ĮKALČIŲ IŠĖMIMO PROCESAS
Šioje knygoje naudojamas terminas įkalčių išėmimas (angl. seizure) yra apibrė-
žiamas kaip procesų visuma, užtikrinanti įkalčių identifikavimą ir apsaugą nuo modifi-
kavimo įvykio vietoje, jų paėmimą, pakavimą ir transportavimą iki tyrimo laboratori-
jos. Kiti autoriai šiam procesui aprašyti naudoja dar ir tokius terminus kaip konfiskacija
ir areštas. Šioje knygoje šitų terminų yra atsisakoma, siekiant išvengti dviprasmybių,
kadangi terminas konfiskacija dažniausiai traktuojamas kaip baudžiamoji priemonė, o
areštas – kardomoji ir baudžiamoji priemonė, o fiziniai įkalčiai, kuriuose vėliau ieš-
koma elektroninių įkalčių, gali priklausyti ir nusikaltėliui (vėliau gali būti konfiskuoti
arba apribota teisė jais disponuoti), ir nukentėjusiai pusei.
Asmeninių kompiuterių paplitimas kasdieninėje veikloje reikšmingai pakeitė
jų kaip įkalčių rolę tirant nusikaltimus. Anksčiau kompiuteris dažniausiai galėjo tapti
įkalčiu tik jei buvo naudojamas kaip atakos priemonė prieš kitą kompiuterių sistemą
arba tapdavo tokios atakos auka. Dabar kompiuteris gali būti įkalčiu arba informacijos
šaltiniu beveik bet kokio tipo byloje: neleistinos informacijos platinimo, psichologinio
smurto, teroristinės veiklos organizavimo ir t. t., kadangi nusikaltėliai irgi plačiai nau-
doja kompiuterius kaip darbo organizavimo ir komunikacijos priemones. Vis dažniau
kompiuteriai turi būti išimami įvykio vietoje ir analizuojami tyrimo metu, o tai lemia
padidėjusį NEE tyrėjų darbo krūvį.
Tais laikais, kai kompiuterių analizė tyrimui buvo gan retas dalykas, įkalčių iš-
ėmimo veiksmus kiekvieną kartą galėjo spėti atlikti kvalifikuoti NEE tyrimo specia-
listai, tačiau dabar toks įkalčių išėmimo būdas laikytinas nepraktišku arba net neįma-
nomu, o išėmimo procesą dažniausiai atlieka žemesnę kvalifikaciją turintys žmonės,
kurie mažai supranta apie kompiuterius ir NEE tyrimo metodus. Dėl išėmimo procesą
vykdančio personalo kvalifikacijos pasikeitimo atsirado poreikis įkalčių išėmimo pro-
cesui aprašyti ir detalioms instrukcijoms parengti.
7.1. Įkalčių išėmimo proceso etapai
Šiuolaikiniai išėmimo procesą reglamentuojantys protokolai yra pritaikyti fizi-

nių įkalčių išėmimui aprašyti, o tai turėjo įtakos ir elektroninių įkalčių orientavimui į
fizinių objektų, tokių kaip kompiuterio sisteminis blokas, klaviatūra, duomenų laikme-
nos, išėmimą ir pristatymą į laboratoriją.
Dabartinėse fizinių elektroninių įkalčių išėmimo instrukcijose daroma prielai-
da, kad išėmimą vykdantis personalas turi bent minimalų supratimą apie kompiuterį
(pvz., žino kas yra pelė, kaip atrodo sisteminis blokas bei kaip atrodo išorinės atminties
laikmenos). Atvykęs į įvykio vietą toks specialistas turi pirmiausia imtis priemonių
56
fizinei įvykio vietos apsaugai užtikrinti, kad įkalčių išdėstymas nebūtų pakeistas. Tada
pradedamas įvertinimas, kiek ir kaip elektroniniai įkalčiai gali būti įtraukti į tiriamą
nusikaltimą. Tyrėjas, dirbantis įvykio vietoje, taip pat turi imtis priemonių, kad nebūtų
pažeisti elektroniniuose įrenginiuose saugomi duomenys: įsitikinti, kad įrenginiuose
nėra sumontuoti spąstai, galintys pažeisti įrenginį jį perkeliant arba ardant; izoliuoti
įrenginius nuo tinklo. Vėliau pereinama prie išorinių duomenų laikmenų (CD, DVD,
USB raktų ir t. t.) išėmimo. Išėmimo procesas numato, kad visi įkalčiai yra paženklina-
mi (įskaitant laidus ir jų tarpusavio sujungimus), įvykio vieta nuodugniai fotografuoja-
ma. Išimti fiziniai elektroniniai įkalčiai pristatomi į tyrimo laboratoriją, priklausančią
policijai, kitai teisėsaugos struktūrai, teikiančiai elektroninių įkalčių tyrimo paslaugas
kitoms organizacijoms, arba organizacijos / kompanijos vidinę laboratoriją, jei atlieka-
policijai,maskitai
tik teisėsaugos struktūrai,
vidinis incidento tyrimas.teikiančiai elektroninių
Laboratorijoje įkalčių
išimtuose tyrimo ieškoma
įkalčiuose paslaugas kitoms
objektų
organizacijoms, arba organizacijos / kompanijos vidinę laboratoriją, jei atliekamas tik vidinis incidento
duomenų, kurie gali turėti naudos nusikaltimo tyrimui. Jei tokie objektai randami, jie
tyrimas. Laboratorijoje išimtuose įkalčiuose ieškoma objektų duomenų, kurie gali turėti naudos Comment [n
įtraukiami
nusikaltimo tyrimui.į Jei
tyrimo
tokie ataskaitą ir kopijos
objektai randami, jiepavidalu
įtraukiamiperduodami tyrėjams
į tyrimo ataskaitą arba teismui.
ir kopijos pavidalu keitimas visišk
Turi likti ”duom
perduodamiPagrindiniai įkalčių
tyrėjams arba išėmimo
teismui. procesoįkalčių
Pagrindiniai etapaiišėmimo
pavaizduoti
proceso7.1etapai
pav. pavaizduoti 7.1 pav.
7.1 pav. Įkalčių išėmimo proceso etapai (Reyes et al. 2007)

7.1 pav. Įkalčių išėmimo proceso etapai (Reyes et al. 2007)
Įkalčių išėmimo proceso detalizavimas

Įkalčių išėmimo proceso detalizavimas
7.1 pav. pateikta įkalčių išėmimo schema tinka tuo atveju, kai išimamas sąlyginai nedidelis
įkalčių kiekis (nuo
7.1 vieno iki keliųįkalčių
pav. pateikta kompiuterių).
išėmimoJeischema
susiduriama
tinka su
tuopažeista
atveju, sistema, kurią sudaro
kai išimamas bent
sąlyginai
keliasdešimt kompiuterių ir tūkstančiai diskų ar kitų laikmenų, tai visų kompiuterių ir laikmenų
nedidelis įkalčių kiekis (nuo vieno iki kelių kompiuterių). Jei susiduriama su pažeista
išėmimas tampa problematiškas, o patį žingsnį siūloma suskaidyti į tris smulkesnius (parodyta 7.2
sistema,
pav.), kurie kurią
leidžia sudaro
atrinkti tikbent
tuoskeliasdešimt kompiuterių
įrenginius bei laikmenas,ir kuriose
tūkstančiai diskų artikimybė
didžiausia kitų laikme-
surasti
nų, tai visų
dominančius įkalčius. kompiuterių ir laikmenų išėmimas tampa problematiškas, o patį žingsnį
siūloma suskaidyti į tris smulkesnius (parodyta 7.2 pav.), kurie leidžia atrinkti tik tuos
įrenginius bei laikmenas, kuriose didžiausia tikimybė surasti dominančius įkalčius.
57
įkalčių kiekis (nuo vieno iki kelių kompiuterių). Jei susiduriama su pažeista sistema, kurią sudaro bent
keliasdešimt kompiuterių ir tūkstančiai diskų ar kitų laikmenų, tai visų kompiuterių ir laikmenų
išėmimas tampa problematiškas, o patį žingsnį siūloma suskaidyti į tris smulkesnius (parodyta 7.2
pav.), kurie leidžia atrinkti tik tuos įrenginius bei laikmenas, kuriose didžiausia tikimybė surasti
dominančius įkalčius.
7.2 pav. Optimizuota

7.2 pav. Optimizuota įkalčių
įkalčių išėmimo išėmimo
proceso proceso
schema (Reyesschema (Reyes et al. 2007)
et al. 2007)
Tokiu būdu optimizuoto proceso metu 52 sumažinamas bendras išimamų įkalčių

skaičius ir sutaupoma laiko įkalčių analizei. Žemiau pateikiamas trumpas kiekvieno
optimizuoto įkalčių išėmimo proceso shemos žingsnio apibūdinimas (pastaba: kiekvie-
name žingsnyje būtina taikyti atliekamų veiksmų dokumentavimą):
• Skaitmeninių duomenų nešiklių identifikavimas. Įvykio vietoje stengiamasi
nustatyti tas sistemas ir duomenų laikmenas, kuriose galima rasti įkalčių.
Nėra vieno recepto, pagal kurį būtų galima vienareikšmiškai identifikuoti
tokius objektus ir nepraleisti ko nors svarbaus. Kiekvienas tyrėjas turi va-
dovautis savo nuojauta ir patirtimi. Rekomenduojama atkreipti dėmesį į iš
vaizdo dažniau naudojamą įrangą (didesnė tikimybė, kad joje bus daugiau
duomenų nei toje, kuri niekada arba retai naudojama), atsargines kopijas (jei
žmogus kažką saugo, tai tikėtina, kad ta informacija yra svarbi). Identifika-
vimo sėkmei gali turėti įtakos ir tai, kokios informacijos arba įkalčių tikima-
si surasti (pvz., jei tiriama pornografinio turinio medžiagos platinimo byla,
tai tikėtina, jog įtariamasis gali saugoti fotografuotą, vaizdinę medžiagą pa-
kankamai didelės talpos laikmenuose, o siekiant įrodyti banko nulaužimo
faktą, gali tekti analizuoti kompiuterio ir tinklo įrangos įvykių registracijos
įrašus).
• Apimties minimizavimas naudojant įkalčių prioritezavimą. Po to, kai lai-
kmenos yra identifikuotos, turi būti imtasi jau atrinktų laikmenų klasifika-
vimo pagal įkalčių radimo jose tikimybę. Šis žingsnis atsiranda todėl, kad
šiuolaikinėse sistemose net atlikus pradinį identifikavimą, o ne išimant visas
iš eilės kompiuterių sistemas, jų skaičius analizei gali būti pernelyg didelis
. Siekiant nepraleisti įkalčių, šiame žingsnyjegali būti taikomi preliminarūs
įkalčių analizės metodai įvykio vietoje.
58
• Atrinktų duomenų laikmenų išėmimas. Šis žingsnis iš esmės nesiskiria nuo
įkalčių išėmimo, kai tai daroma visos įrangos išėmimo metu. Pagrindinis
šio žingsnio akcentas – ypatingas dėmesys visų veiksmų dokumentavimui.
Reikia atkreipti dėmesį, kad skirtingos laboratorijos ar tyrimus vykdančios agen-
tūros gali turėti savo specifinių reikalavimų įkalčių išėmimo ir transportavimo procesui.
Aprašytasis įkalčių išėmimo scenarijus yra, be abejo, pritaikytas „negyvų“ siste-
mų analizės metodikai. Vis didėjantis poreikis „gyvų“ sistemų analizei įvykio vietoje,
kuris buvo aprašytas auksčiau šioje knygoje, vienareikšmiškai lems, kad didžioji ana-
lizės dalis turės būti atliekama įvykio vietoje, o ne laboratorijoje. Aiškiai suformuluotų
reikalavimų įkalčių analizei įvykio vietoje NEE tyrimams skirtoje literatūroje beveik
nėra, o šios srities tyrimai koncentruojami tik ties techninėmis tokių įkalčių analizės
metodikomis. Galima tikėtis, kad susidarius kritinei masei reikiamų tyrimų metodikų,
jos bus susistemintos ir pateiktos metodinės jų taikymo rekomendacijos.
Įkalčių išėmimo procesas ir asmens privatumo aspektas
Įkalčių išėmimo metu tyrėjas gali susidurti su situacija, kai išvežamoje įrangoje
be potencialių įkalčių gali būti įtariamojo asmeninės informacijos, kuri tiesiogiai nėra
susijusi su tiriamu nusikaltimu, arba kitų asmens duomenų (pvz., jei be įtariamojo kom-
piuteriu naudojosi ir kiti jo šeimos nariai).
Šiuo atveju taikomas bendras principas, kad duomenys, neturintys tiesioginio
ryšio su tiriamu nusikaltimu, nepriklausomai kas būtų jų šeimininkas (įtariamasis ar
trečiasis asmuo), turi būti saugomi pagal galiojančius asmens duomenų apsaugą re-
glamentuojančius reikalavimus, jie negali būti viešinami teisme. Ypač daug problemų
tyrėjams gali kilti dėl trečiųjų asmenų asmeninių duomenų gavimo, nes galima tikė-
tis teisminių ieškinių dėl privatumo pažeidimo. Atsižvelgiant į daugelio šalių teisinių
sistemų nebrandumą, NEE tyrimo ir teisminio persekiojimo srityje negali būti vieno
atsakymo, kaip turėtų elgtis NEE tyrėjai tokiu atveju ir kokius įkalčių išėmimo metodus
taikyti, tačiau rizika turėtų būti įvertinta prieš pradedant išėmimo procesą.
7.2. Alternatyvūs įkalčių išėmimo metodai
Kaip jau buvo minėta dominuojantis šiuo metu įkalčių išėmimo metodas reika-
lauja duomenų objektų laikmenų išvežimo iš įvykio vietojos į specializuotas laborato-
rijas. Toks metodas yra brangus (įkalčių pakavimasir (arba) paruošimas persiuntimui,
saugumo užtikrinimas transportuojant, transporto išlaidos) bei reikalaujantis daug lai-
ko, o galutiniame etape vis vien tenka nagrinėti duomenų objektus. Todėl paskutiniu
metu, kol kas ypač neformalių tyrimų metu, matoma aiški tendencija išimti ne fizinius
objektus, o jų tik tyrimui svarbius duomenis, kurie identifikuojami įvykio vietoje. Ypač
toks metodas gali pasiteisinti, kai tyrimą užsako kompanija, nukentėjusi nuo išorinio
įsilaužimo. Tokiu atveju kompanijos techninis personalas gali padėti tyrėjui greitai
59
identifikuoti svarbius įkalčius. Pavyzdžiui, siūlomas toks duomenų objektų išėmimo
procesas:
1. Atvykęs į įvykio vietą tyrėjas susisiekia su kompromituotos sistemos admi-
nistratoriumi arba kitu techniniu personalu, galinčiu ir norinčiu padėti iden-
tifikuojant duomenų objektus bei juos kopijuojant.
2. Jei kompanija negali suteikti techninio eksperto, jis samdomas iš trečiosios
šalies ir padeda identifikuoti orderyje nurodytus failus ir kitus duomenų
objektus. Už pačių identifikuotų duomenų objektų išsaugojimą atsakomybė
tenka tyrėjui.
3. Jei atskirų failų ar duomenų objektų išėmimas dėl techninių priežasčių yra
neįmanomas, sukurti laikmenos tikslią (atvaizdo) atsarginę kopiją.
4. Jei ir atvaizdo kūrimas yra neįmanomas, išimamas fizinis įkaltis ir pristato-
mas į specializuotą laboratoriją, turinčią specializuotą duomenų atstatymo
įrangą.
Pagrindiniu tokio metodo privalumu galima įvardyti tai, kad taupomas analizę
atliekančios laboratorijos laikas duomenų objektams identifikuoti.
Kai kuriais atvejais, tik išgirdusios apie galimą kompiuterių sistemų įtraukimą
į tyrimo procesą, teisėsaugos institucijos atsisako inicijuoti nusikaltimų tyrimų bylas,
motyvuodamos tai kompetencijos arba resursų nebuvimu. Tačiau dažnas nusikaltimo
atvejis, tiesiogiai nesusijęs su kompiuterių sistemų pažeidimu (pvz., priekabiavimas,
grasinimai el. paštu ir kiti), gali būti įrodytas naudojantis vien tradiciniais kriminolo-
gijos metodais.
Taip pat reikia įvertinti tai, kad didėjant kompiuterių naudojimui visi detektyvo
darbą atliekantys darbuotojai turėtų stengtis įgyti bent minimalių NEE tyrimo srities
žinių, kadangi specializuotos NEE tyrimo laboratorijos, turinčios ribotą aukštos kvali-
fikacijos specialistų skaičių, nesugebės apdoroti visų ateinančių užklausų.
1. Pateikite įkalčių išėmimo proceso apibrėžimą.

2. Įvardykite įkalčių išėmimo etapus tradicinio ir optimizuoto tradicinio meto-
dų taikymo atvejais?
3. Kokia pagrindinė grėsmė, Jūsų nuomone, atsiranda taikant optimizuotą
įkalčių išėmimo metodą? Motyvuokite.
4. Kodėl, Jūsų nuomone, alternatyvūs įkalčių išėmimo procesai išpopuliarėjo
tik neformalių tyrimo metu?
5. Sugalvokite tariamą nusikaltimo atvejį, kuriame naudojamas kompiuteris
ar jų sistema, ir aprašykite Jūsų siūlomą įkalčių išėmimo procesą šiam kon-
krečiam atvejui.
60
8.
ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI
Įvykus elektroniniam nusikaltimui, iš įvairių elektroninių laikmenų pradedama
rinkti informacija ir duomenys, kurie vėliau gali būti pateikiami teisme kaip nusikaltimo
įrodymai. Tradiciškai nusikaltimo tyrimas pradedamas padarant veikiančio kompiute-
rio operatyviosios atminties atvaizdo kopiją, siekiant išsaugoti nestabilius duomenis,
po to konfiskuojamas pats kompiuteris bei informacijos saugojimo laikmenos, kuriose
gali būti rasta nusikaltimo įkalčių, pavyzdžiui, rezervinės duomenų kopijos, kompakti-
nės ir DVD plokštelės, atminukai (angl. flash memory). Kitame etape surenkami tinklo
įrenginių, autentifikacijos ir autorizacijos serverių įvykių registracijos žurnalai.
Remiantis elektroninių nusikaltimų tyrimų gerąja praktika, rekomenduojama
jokiais būdais nekeisti informacijos originalioje, iš nusikaltimo vietos paimtoje, lai-
kmenoje, bet dirbti su jų kopijomis, todėl, pavyzdžiui, konfiskavus kompiuterį būtinai
daroma kietojo disko bitų lygmens kopija. Toliau, panaudojant informacijos atstatymo
ir paieškos priemones, atliekama informacijos analizė ir ieškoma nusikaltimo įrodymų.
Tam tikslui naudojami įvairūs programiniai įrankiai arba aparatūrinės priemonės, ku-
rios automatizuoja ir palengvina techninį tyrėjo darbą, pavyzdžiui, atlikti šešioliktainio
kodo analizę. Šiame knygos skyriuje plačiau panagrinėsime programinę įrangą ir įran-
kius, skirtus elektroniniams nusikaltimams tirti.
8.1. Nestabilių įkalčių surinkimas
Su nusikaltimu susijusios informacijos surinkimo eiliškumas nustatomas pagal

jos galimo praradimo lygį. Pirmiausiai surenkami duomenys iš kompiuterio operaty-
viosios ir virtualios atminties bei tinklo įrenginių operatyviosios atminties. Kitame eta-
pe renkama iš fizinių diskų ir rezervinių kopijų.
Nors dauguma elektroninių nusikaltimų įkalčių aptinkama kietuosiuose diskuo-
se, tačiau kompiuterio operatyviojoje atmintyje esanti informacija taip pat gali būti
nusikaltimo įkaltis ir panaudota atliekant tyrimus. Pavyzdžiui, kompiuteriniai kirminai,
tokie kaip „Code Red“ ar „SQL Slammer“, buvo aptinkami tik operatyviojoje atmin-
tyje. Jie niekada nieko nerašė į kietąjį diską, todėl, analizuojant tik kietajame diske
esančią informaciją, neįmanoma aptikti jokių įkalčių.
Kompiuterio operatyviojoje atmintyje galima rasti naudingos informacijos, to-
kios kaip prisijungę vartotojai, aktyvūs ar neaktyvūs procesai, IP adresai, slaptažodžiai,
nekoduoti naudotojų duomenys. Kompiuterio atmintyje esantys procesai gali būti pa-
leidžiami kaip Trojos arkliai arba antivirusinės programos išjungikliai, taip atidaryda-
mi nusikaltėliui prieigą prie kompiuterio.
61
Informacija, saugoma operatyviojoje atmintyje, gali būti greitai keičiama arba
prarasta išjungus kompiuterį, todėl tyrėjui svarbu turėti veikiančios sistemos atminties
atvaizdo kopiją dar prieš konfiskuojant kompiuterį. Pagrindiniai reikalavimai, kelia-
mi operatyviosios atminties atvaizdą darančiam įrankiui – gebėjimas nuskaityti visą
informaciją iš atminties jos nepakeičiant ir žinomu formatu įrašyti į kitą laikmeną, pa-
vyzdžiui, išorinį kietąjį diską, CD, DVD ir t. t., kurioje informacijos saugojimo būdas
nepriklauso nuo elektros šaltinio.
UNIX operacinės sistemos įrankiai
Kompiuterio operacinė sistema paprastai pateikia tam tikrą būdą, kaip prieiti
prie operatyviosios atminties duomenų. „Unix“ operacinėse sistemose tam tikslui skirti
įrenginių failai /dev/mem ir /dev/kmem. Pirmasis failas siejamas su fizine operatyviąja
atmintimi, o antrasis – su virtualiąja atmintimi. Naudojant „Unix“ komandą dd gali-
ma nuskaityti informaciją, esančią atmintyje, ir ją perkelti į kitą laikmeną. Pavyzdžiui,
norint padaryti operatyviosios atminties atvaizdą į failą mem.bin, naudojama tokia dd
komandos sintaksė:
dd if=/dev/mem of=/home/forensics/mem.bin bs=1024
Joje argumentas if apibrėžia įvedimo failą, of – išvedimo failai, bs – bloko

dydis baitais.
Tačiau naujose „Linux“ branduolio versijose /dev/kmem failo jau nebėra, o pri-
eiga prie operatyviosios atminties per /dev/mem failą ribojama. Todėl „Red Hat“ ir su
ja suderintose „Linux“ distribucijose, pvz., CentOS, gali būti panaudoja crash tvar-
kyklė pseudo įrenginiui sukurti, per kurį galima prieiti prie atminties (pvz., modprobe
crash).
JAV Gynybos departamente dd komanda buvo patobulinta ir labiau pritaiky-
ta nusikaltimams tirti. Taip atsirado specializuotas įrankis dcfldd, kurio svarbiausios
savybės: siunčiamų duomenų kodavimas realiu laiku, disko valymas pagal vartotojo
nurodytą šabloną, sukurto atminties atvaizdo tikrinimas, galimybė atlikti išvedimą į
keletą įrenginių vienu metu ir išvedamos informacijos skaidymas į keletą failų. dcfldd
įrankis platinamas pagal GNU licenziją. Komandos dcfldd pavyzdys:
dcfldd if=/dev/mem hash=md5,sha256 md5log=md5.txt sha256log=sha256.txt \
hashconv=after bs=512 conv=noerror of= /home/forensics/mem.bin
Pateiktame pavyzdyje kopijuojamas /dev/mem failas į /home/forensics/mem.

bin failą jį koduojant md5 ir sha256 raktais, kurie bus įrašyti md5.txt ir sha256.txt
failuose. Argumentas bs nurodo, kad atminties kopija bus daroma 512 baitų blokais.
Vykdant dd ar dcfldd komandas, atminties atvaizdas sukuriamas binariniu formatu.
Kadangi „Unix“ operacinėse sistemose darbas su operatyviąja atmintimi yra vykdomas
per failus, čia paminėti programiniai įrankiai ir komandos naudojamos ir reguliariems
failams, katalogams ar failų sistemoms.
62
Suformavus atminties atvaizdą ir jį nukopijavus į saugią išorinę laikmeną, gali-
ma pradėti jį analizuoti, ieškant nusikaltimo įkalčių. Nors komanda dd atminties atvaiz-
dą sukuria binariniu pavidalu, jame visgi dažniausiai būna ir ASCII teksto fragmentų,
pavyzdžiui, slaptažodžiai. Teksto eilutes galima filtruoti ir išvesti į ekraną, panaudojant
komandą strings. Pavyzdžiui:
strings /home/forensics/mem.bin
C programavimo kalbos stdio.h faile yra funkcijos fgets() ir fread(), kurias

naudojant galima ir pačiam nesunkiai pasirašyti programą, kuri nuskaitytų kiekvie-
ną atminties atvaizdo failo simbolį, jį išvestų į ekraną. „Linux“ operacinėse sistemose
operatyviosios atminties atvaizdui suformuoti galima naudoti ir komercinius įrankius,
pvz., „Second Look: Linux Memory Forensics“ (www.pikeweks.com). Šis įrankis iš-
saugo veikiančios sistemos atminties atvaizdą nenaudodamas „Unix“ komandų. At-
mintis pasiekiama per tvarkyklę, nenaudojant tiesioginės fizinės atminties sąsajos.
Įrankiu galima atlikti ir išsamią veikiančios sistemos atminties arba atminties atvaizdo
failo analizę. „SecondLook“ išskiria ir pažymi įtartinus objektus, esančius atmintyje
(8.1 pav.).
Comment [P
lietuviškas term
8.1 pav.
8.1 „SecondLook“
pav. įrankio
„SecondLook“ langas,
įrankio vaizduojantis
langas, aptiktą
vaizduojantis backdoors
aptiktą objektą,
backdoors paliktą
objektą, popo
paliktą įsilaužimo
įsilaužimo būtų galima ang
palikti skliaustu
Comment [n
“užpakalinės du
„SecondLook“ palaiko x86 architektūros 32/64bit „Linux“ operacines sistemas, kuriose labia keistai ska
naudojamos 2.6.x „Linux“ branduolio versijos. Pavydžiui: „Debian GNU/Linux 4 – 6“, „Red Hat palikite anglišką
Enterprise Linux 4 – 6“, „Ubuntu 4.10 - 11.04“ ir kitos „Linux“ operacinės sistemos.
Kai kurie kompiuterinės įrangos gamintojai, pavyzdžiui, „Oracle“, SUN, serverių užkrovimo
63 galima prieš užkraunant operacinę sistemą atlikti
luste naudoja programinę įrangą „OpenBoot“, kuria
jos branduolio derinimą ir padaryti operatyviosios atminties atvaizdą bei jį nukopijuoti į pasirinktą
laikmeną. „OpenBoot“ programa pasiekiama spaudžiant du klavišus: L1->A arba STOP->A. Tuo metu
operacinė sistema suspenduojama ir naudotojui patiekiamas „OpenBoot“ pultas. Taigi, jei kompiuteris
buvo atakuojamas, galima sustabdyti operacinę sistemą ir pasidaryti atminties atvaizdo kopiją. Tam
„SecondLook“ palaiko x86 architektūros 32/64bit „Linux“ operacines sistemas,
kuriose naudojamos 2.6.x „Linux“ branduolio versijos. Pavydžiui: „Debian GNU/Li-
nux 4 – 6“, „Red Hat Enterprise Linux 4 – 6“, „Ubuntu 4.10 - 11.04“ ir kitos „Linux“
operacinės sistemos.
Kai kurie kompiuterinės įrangos gamintojai, pavyzdžiui, „Oracle“, SUN, ser-
verių užkrovimo luste naudoja programinę įrangą „OpenBoot“, kuria galima prieš už-
kraunant operacinę sistemą atlikti jos branduolio derinimą ir padaryti operatyviosios
atminties atvaizdą bei jį nukopijuoti į pasirinktą laikmeną. „OpenBoot“ programa pa-
siekiama spaudžiant du klavišus: L1->A arba STOP->A. Tuo metu operacinė sistema
suspenduojama ir naudotojui patiekiamas „OpenBoot“ pultas. Taigi, jei kompiuteris
buvo atakuojamas, galima sustabdyti operacinę sistemą ir pasidaryti atminties atvaizdo
kopiją. Tam naudojama sync komanda. Po to, kai padaromas atminties atvaizdas, kom-
piuteris perkraunamas ir, panaudojus komandą savecore, galima nukopijuoti atvaizdo
failą į reikiamą failų sistemą ar išorinę laikmeną.
Norint gauti informacijos apie veikiančios sistemos branduolį ir procesus, gali-
ma analizuoti informaciją, prieinamą per pseudofailinę sistemą, esančią /proc katalo-
ge. Konkreti katalogo struktūra ir jame esantys failai priklauso nuo „Unix“ versijos ar
„Linux“ operacinei sistemai, bet principiniai dalykai yra bendri. Šiame kataloge saugo-
mi failai, kurie teikia informaciją apie visus atmintyje esančius procesus. Pavyzdžiui,
failas /proc/kcore yra tiesiogiai susijęs su visa fizine atmintimi (panašiai kaip /dev/
mem). Šio failo dydis atitinka kompiuterio operatyviosios atminties dydį su nedideliu
pertekliumi. Analizuojant /proc katalogo failus, galima rasti informacijos apie kom-
piuterio aparatūrinę dalį: procesorių (/proc/cpuinfo), atmintį (/proc/meminfo), failų
sistemas (/proc/filesystems), branduolio modulius (/proc/modules), sistemos būseną
(/proc/stat) ir t. t. Kiekvieną paleistą procesą šiame kataloge atitinka antrinis katalogas,
kurio pavadinimas sutampa su proceso ID. Visų failų turinį galima peržiūrėti naudojant
komandą cat, o panaudojus komandą hexdump galima išvedamą informaciją pateikti
ir šešioliktainėje sistemoje. Pavyzdžiui:
dd if=/proc/filesystems | hexdump -C | less Sukurtų failų sistemų peržiūra
dd if=/proc/meminfo | hexdump -C | less Atminties būsena
dd if=/proc/interrupts | hexdump -C | less Pertraukčių lentelė
dd if=/proc/kallsyms | hexdump -C | less Branduolio išeksportuotų
simbolių apibrėžimai
„Windows“ operacinės sistemos įrankiai
„Microsoft Windows“ operacinės sistemos turi \\.\PhysicalMemory objektinį

įrenginį, per kurį realizuojama prieiga prie kompiuterio fizinės atminties. Plačiau pa-
nagrinėsime keletą programinių įrankių, kurie sukurti pasinaudojus minėtąja prieigos
galimybe.
„LiveKd“ – tai nemokamas, laisvai platinamas įrankis, naudojamas veikiančio
kompiuterio atminties atvaizdui sukurtigriūties išklojos (angl. crash dump) formatu.
64
Šis įrankis yra programų paketo „Sysinternals Suite“ (www.sysinternals.com arba tech-
net.microsoft.com) dalis, kuriuo galima spręsti problemas, susijusias su operatyviąja
atmintimi, procesais, diskais ir tinklų sprendimu. Programų paketo autorius – Mark
Russinovich, sukūręs beveik 70 skirtingų įrankių, kurių dalis gali būti naudojami tiek
kasdieniame sistemų administratoriaus darbe, tiek elektroninių nusikaltimų tyrėjo.
Įrankiai gali būti paleidžiami ne tik juos parsisiuntus į lokalųjį kompiuterį, bet ir tie-
siai iš svetainės http://live.sysinternals.com, taip išvengiant informacijos modifikavimo
kompiuterio diske. Paleidus „LiveKD“ įrankį, atminties atvaizdas sukuriamas pasinau-
dojus komanda
dump –f c:\tmp\memory.dmp
Po rakto –f nurodomas kelias iki atvaizdo failo. Nenurodžius kelio, atvaizdas

padaromas į failą, kuris apibrėžtas System Properties lango Startup and recovery
lange (8.2 pav.).
8.2 pav. Atminties atvaizdo failo nustatymai

8.2 pav. Atminties atvaizdo failo nustatymai
Pasinaudojant „LiveKD“ įrankiu galima paleisti „Windows“ branduolio derinimo komandas Kd

Pasinaudojant
(įrankis, „LiveKD“
veikiantis komandiniu įrankiu
režimu) galima(įrankis
ir Windbg paleisti „Windows“
su grafine vartotojobranduolio deri-
sąsaja), kurios
nimo komandas
priklauso Kd (įrankis,
paketui „Debugging Toolsveikiantis komandiniu
for Windows“. režimu)
Minėtą derinimo ir Windbg
paketą (įrankisiš su
galima suinstaliuoti
„Windows
grafine SDK“ programų
vartotojo sąsaja),rinkinio
kurios(www.msdn.microsoft.com).
priklauso paketui „Debugging Tools for Windows“.
Kitas įrankis, padėsiantis sukurti atminties atvaizdo failą, yra Notmyfault.exe. Jis taip pat
Minėtą derinimo paketą galima suinstaliuoti iš „Windows
priklauso „Sysinternals“ paketui. Administratoriaus teisėmis SDK“ programų rinkinio
paleidus komandą
(www.msdn.microsoft.com).
NotMyfault.exe /crash
Kitas įrankis, padėsiantis sukurti atminties atvaizdo failą, yra Notmyfault.exe.
Jisbus
taipperkrautas
pat priklauso „Sysinternals“
kompiuteris paketui.
ir sukurtas atminties Administratoriaus
atvaizdo teisėmis
failas. „Windows“ paleidus
operacinės sistemosko-
mandą
aktyvių procesų analizei galima naudoti „Sysinternals“ paketo įrankį autoruns.exe. Juo galima matyti
ir proceso metaduomenis, pavyzdžiui, kūrėją, analizuoti procesų medį, operacinės sistemos startavimo
metu paleidžiamų procesų
NotMyfault.exe /crashsąrašą ir kitą naudingą informaciją (8.3 pav.).
65
bus perkrautas kompiuteris ir sukurtas atminties atvaizdo failas. „Windows“ operacinės
sistemos aktyvių procesų analizei galima naudoti „Sysinternals“ paketo įrankį auto-
runs.exe. Juo galima matyti ir proceso metaduomenis, pavyzdžiui, kūrėją, analizuoti
procesų medį, operacinės sistemos startavimo metu paleidžiamų procesų sąrašą ir kitą
naudingą informaciją (8.3 pav.).
8.3 pav. Įrankio Autoruns.exe langas
„Volatility Frameworks“ – tai dar vienas nemokamas, atvirojo kodo įrankių

8.3 pav. Įrankio Autoruns.exe langas
rinkinys, parašytas Python kalba ir platinamas pagal „GNU General Public“ licenciją
(www.volatilesystems.com). Įrankiais galima surinkti skaitmeninius artifaktus, priei-
namus „Volatility
atliekantFrameworks“
operatyviosios– tai atminties
dar vienas nemokamas, atvirojo kodo
analizę. Atminties įrankiųkuriamas
atvaizdas rinkinys, parašytas
nepri-
Python kalba ir platinamas pagal „GNU General Public“ licenciją (www.volatilesystems.com).
klausomai nuo analizuojamos sistemos. Įrankiais iš atminties į išorinę laikmeną
Įrankiais galima surinkti skaitmeninius artifaktus, prieinamus atliekant operatyviosios atminties galima
įrašyti Atminties
analizę. kompiuterio aktyviuosius
atvaizdas kuriamasprocesus, atviruosius
nepriklausomai tinklo lizdus, sistemos.
nuo analizuojamos DDL failus, kurieiš
Įrankiais
atidaromi
atminties startuojant
į išorinę laikmenąprocesui, registro
galima įrašyti įrašus,aktyviuosius
kompiuterio kuriais valdomas
procesus,procesas,
atviruosiusoperacinės
tinklo lizdus,
DDL failus, kurie
sistemos atidaromi
branduolio startuojant procesui,
naudojamus modulius,registro įrašus,adresuojamą
proceso kuriais valdomas procesas,
atmintį ir t.operacinės
t (8.4
sistemos branduolio naudojamus modulius, proceso adresuojamą atmintį ir t. t (8.4 pav.). „Volatility
pav.). „Volatility Framewoks“ tinkamas šioms „Windows“ operacinėms
Framewoks“ tinkamas šioms „Windows“ operacinėms sistemoms: „Windows XP“, „Vista“, 7, sistemoms:
„Windows
„Windows 2003XP“, „Vista“,
Server“, 7, „Windows
„Windows 2003 Server“, „Windows 2008 Server“.
2008 Server“.
8.4 pav. „Volatility Frameworks“ komandos vykdymo pavyzdys

8.4 pav. „Volatility Frameworks“ komandos vykdymo pavyzdys
Operatyviosios atminties atvaizdą ir jo analizę galima atlikti pasinaudojus kompanijos
„Wetstone Technologies“ komerciniu produktu „US-LATT“ (www.wetstonetech.com). Jo paskirtis –
66į išorinę laikmeną. Programinė įranga pateikiama
sukaupti aktualią veikiančios sistemos informaciją
įrašyta į USB raktą, kurio talpa – nuo 4 GB iki 2 TB, ir yra skirtas išsaugoti aktualią informaciją (8.5
pav.).
Operatyviosios atminties atvaizdą ir jo analizę galima atlikti pasinaudojus kom-
panijos „Wetstone Technologies“ komerciniu produktu „US-LATT“ (www.wetstone-
tech.com). Jo paskirtis – sukaupti aktualią veikiančios sistemos informaciją į išorinę
laikmeną. Programinė įranga pateikiama įrašyta į USB raktą, kurio talpa – nuo 4 GB
iki 2 TB, ir yra skirtas išsaugoti aktualią informaciją (8.5 pav.).
8.5 pav. „US-LATT“ programinės įrangos konfigūravimo langas
Kaip ir „Unix“ operacinėse sistemose, taip ir „Windows“ naudoja virtualią at-

mintį duomenims, kurie netelpa į fizinę operatyviąją atmintį. Tam tikslui operacinės
sistemos instaliavimo metu sukuriamas failas (dažniausiai 1,5 karto didesnis nei ope-
ratyvioji atmintis) pavadinimu pagefile.sys. Šio failo dydžio nustatymus galima keisti
registrų skiltyje:
SYSTEM\<ControlSet###>\Control\Session Manager\Memory Management.
67
Šiame faile teoriškai galėtų būti saugomi duomenys, kurie buvo atmintyje prieš
išjungiant kompiuterį. Čia gali būti tokia informacija kaip nekoduoti slaptažodžiai, rak-
tai, susirašinėjimo žinutės ir t. t. Tačiau sudėtingiausia vieta atliekant tyrimą – perskai-
tyti šio failo turinį. Vienas iš variantų – naudoti įrankį strings.exe iš jau minėto paketo
„Systinternals“. Nors šis įrankis ir nufiltruoja binarinius kodus, tačiau pateikiamas teks-
tas yra nestruktūrizuotas ir sunkiai analizuojamas. Kitas pagefile.sys failo analizės bū-
das – tai iš anksto žinomos eilutės paieška, pavyzdžiui, ieškomas URL prefiksas http://
arba www. Apibendrinant galima teigti, kad nėra vienos taisyklės, kaip ieškoti įkalčių
pagefile.sys faile. Kiekvienas paieškos atvejis turi būti analizuojamas individualiai.
Dar vienas būdas, kaip išsaugoti operatyviosios atminties atvaizdą faile, tai „už-
migdyti“ kompiuterį (angl. hibernate). Prieš „užmiegant“, operatyviosios atminties
turinys kopijuojamas į hiberfil.sys failą. Kompiuteriui „prisikeliant“, skaitoma infor-
macija iš minėto failo ir atstatoma sistemos būsena, buvusi prieš „užmiegant“. Norint
perskaityti hiberfil.sys failą galima naudoti kompanijos „Sandman“ komercinį paketą
„Windows Memory Toolkit“ (www.moonsols.com/windows-memory-toolkit). Šiuo
paketu taip pat galima analizuoti „Windows“ griūties išklojos (angl. crash dump) failus
bei VMware atminties būsenos kopijas (angl. snapshot).
Virtualių mašinų įrankiai
Jau tapo įprasta, kad duomenų centruose naudojamos resursų virtualizacijos

technologijos ir konsoliduojama IT infrastruktūra. Virtualizacijai naudojami įvairių ga-
mintojų, tokių kaip XEN, KVM, QEMU, „VMware“, virtualizacijos sprendimai. Fiziš-
kai virtuali mašina ir jos konfigūracijos duomenys saugomi keliuose failuose, iš kurių
vienas skirtas mašinos virtualiajai atminčiai. Pavyzdžiui, „VMware“ atveju tai failas su
plėtiniu .vmem, kuris sukuriamas virtualios mašinos paleidimo metu ir egzistuoja tol,
kol mašina išjungiama. Norint pasidaryti virtualios mašinos atminties atvaizdo kopiją
galimi du būdai. Pirmasis – tai sustabdyti (angl. suspend) virtualią mašiną ir nukopi-
juoti atminties failą į saugią išorinę laikmeną. Šio būdo trūkumas tas, kad sustabdžius
virtualią mašiną realiai ji tampa neveiksni. Antrasis būdas – tai suformuoti virtualios
mašinos operatyviosios atminties atvaizdą, panaudojant veikiančios sistemos būsenos
kopiją. Tam tikslui, pavyzdžiui, QEMU naudoja pmemsave funkciją, o XEN turi xm
dump-core komandą. „VMware“ taip pat turi analogišką galimybę fiksuoti sistemos
būseną, tik tai atliekama per virtualios mašinos valdymo kliento dalies grafinę sąsają,
kur darant mašinos būsenos kopiją nurodoma, ar tuo pačiu sukurti ir atminties kopiją.
Kuriant atminties kopiją, sukuriamas *.vmem failas, kurį galima persikopijuoti į kitą
laikmeną. Failo turinio analizei tinka anksčiau minėtas įrankis „Volatility Frameworks“
arba galima panaudoti komandiniu režimu veikiančią atviro kodo programą „Mem-
parser“, parašytą C programavimo kalba(sourceforge.net/projects/memparser). Žemiau
pateiktas memparser pavyzdys:
C:\Forensic\memparser.exe Snapshot_1.vmem
68
Ekrane matoma komandos išvedama informacija su atmintyje paleistais procesais:
Searching for processes in memory dump --100%
Enumerating process structures.
Sorting processes by PID
Checking for processes hidden by detachment from process
link-list or processes no longer active
Searching for all threads.
MemParser v1.3 Chris Betz, (c) 2005
Process List:
Proc# PPID PID InProcList Name: Threads:
0 0 0 Yes Idle
1 5 8 Yes System
2 9 120 Yes Evil_Notepad.EXE
3 110 134 Yes CSRSS.EXE
8.2. Stabilių įkalčių surinkimas
Didžiausia dalis elektroninių nusikaltimų įrodymų surenkama iš kompiuterio

kietojo disko. Šis faktas nieko neturėtų stebinti, nes informacija elektroninėje erdvėje
saugoma failų pavidalu, kuriuos patogiausia laikyti pastovioje laikmenoje, pavyzdžiui,
kietajame diske. Informaciją į žurnalinius failus rašo ir dauguma sisteminių procesų
taip fiksuodami visus atliekamus veiksmus, todėl analizuojant žurnalus galima gauti
naudingos informacijos apie nusikalstamos veiklos istoriją.
Pirmasis žingsnis, kuris atliekamas prieš pradedant kompiuterio kietojo disko
tyrimą, tai jo atvaizdo (angl. disk image), dar vadinamojo klono, sukūrimas. Atvaizdas
formuojamas kopijuojant disko informaciją bitų lygmeniu į taip vadinamąjį atvaizdo
failą. Atvaizdas yra identiškas originalui tiek fizine, tiek ir logine prasme. Ši procedūra
daroma siekiant išsaugoti disko veidrodinę kopiją tyrimams atlikti, paliekant originalų
diską tokį, koks jis buvo nusikaltimo įvykdymo metu. Žemiau pateikti keli programi-
niai ir aparatūriniai įrankiai disko atvaizdui sukurti.
„Encase Forensic“ – tai „Guidance Software“ (www.guidancesoftware.com)
kompanijos produktas, formuojantis disko atvaizdą bitų lygmeniu (8.6 pav.). Atvaiz-
das pateikiamas LEF arba E01 formatu, pripažįstamu bet kurios šalies teismuose. At-
liekant duomenų kopijavimą, atvaizdo failas yra nuolat tikrinamas naudojant CRC
blokus. Pabaigus formuoti atvaizdą, papildomas tikrinimas atliekamas suformuojant
kopijos MD5 raktą, kuriuo vėlesniuose žingsniuose galima patikrinti atvaizdo teisin-
gumą. Panaudojant „EnCase Forensics“ galima atlikti ir duomenų paiešką formuojant
įvairias užklausas ar naudojant filtrus. Programa tinka visoms „Windows“ operacinėms
sistemoms, taip pat „Linux“ (2.4 ir aukštesnė branduolio versija), „Solaris“, AIX ir
OSX. Tinkamos tokios failų sistemos: FAT12/16/32, NTFS, EXT2/3 („Linux“), „Rei-
ser“ („Linux“), UFS („Sun Solaris“), „AIX Journaling File System“ (JFS), LVM8, FFS
(„OpenBSD“, „NetBSD“, „FreeBSD“), „Palm“, HFS, „HFS+“ („Macintosh“), CDFS,
ISO 9660, UDF, DVD, „TiVo 1“ ir „TiVo 2“. „Encase Forensics“ palaiko RAID ma-
syvus (programinius ir aparatūrinius). „Encase Forensic“ paketas yra testuotas JAV
teisingumo departamento Nacionaliniame teisės institute ir gavęs teigiamą vertinimą.
69
8.6 pav. „Encase Forensic“ programos langas
„ProDiscover Forensics“ – tai „Technology Path“ (www.techpathways.com)

kompanijos produktas, veikiantis daugumoje „Windows“ operacinių sistemų ir skir-
tas bitų lygmens disko atvaizdui sukurti, įskaitant ir HPA zonas (8.7 pav.). Programa
leidžia atlikti sudėtingą paiešką, peržiūrėti paslėptus, ištrintus failus, įskaitant ir fai-
lų metaduomenis. Disko atvaizdas kuriamas E01 arba „Unix“ operacinėje sistemoje
naudojamu dd formatu. Darant disko atvaizdą, automatiškai kuriamas MD5, SHA1
arba SHA256 raktas, taip užtikrinant atvaizdo tinkamumą. Tinkamos failų sistemos:
FAT12/16/32, NTFS, EXT2/3 („Linux“), UFS („Sun Solaris“). Programoje integruotos
registrų, žurnalų, naršyklės istorijos peržiūros galimybės. Galima atlikti „MS Outlo-
ok“, „Outlook Expres“s ir „MS Mail“ el. laiškų peržiūrą. Programa turi automatinį
ataskaitų generatorių, taupantį tyrėjo darbo laiką ruošiant ataskaitas.
70
8.7 pav. „ProDiscover Forensics“ programos langas
8.7 pav. „ProDiscover Forensics“ programos langas
„Unix“ operacinėse sistemose disko atvaizdą galima suformuoti naudojant komandą dd. Ji jau
„Unix“ operacinėse sistemose disko atvaizdą galima suformuoti naudojant ko-
buvo minėta ankstesniame skyriuje. Pateiksime pavyzdį, kaip padaryti kietojo disko atvaizdą „Linux“
mandą dd. Jisistemoje.
operacinėje jau buvoTarkime,
minėta kadankstesniame
LVM („Logicalskyriuje.
VolumePateiksime
Managment“)pavyzdį, kaip padaryti
nenaudojamas. Darbui
reikalingas išorinis diskas ar kita laikmena, kurioje bus išsaugotas atvaizdas
kietojo disko atvaizdą „Linux“ operacinėje sistemoje. Tarkime, kad LVM („Logical bei kompaktinė plokštelė
su „Linux“ operacine sistema. Paprastai tokios plokštelės vadinamos „Linux LiveCD“, o jų sąrašas
Volume Managment“)
pateiktas nenaudojamas.
www.livecdlist.com. Galima naudotiDarbui reikalingas
praktiškai bet kurią išorinis diskaskad
versiją, svarbu, ar kita
joje laikme-
veiktų
na,komandos
kurioje gzip,
bus dd
išsaugotas
ir swapoff. atvaizdas bei kompaktinė
Taigi, užkrauname kompiuterį iš plokštelė
kompaktinėssu „Linux“
plokštelės, operacine
prijungiame Comment [P24]: Ar ši
laikmena tikrai montuojama
išorinę laikmeną,
sistema. Paprastaikurioje
tokiosbusplokštelės
saugomas vadinamos
atvaizdas, kataloge /mnt,
„Linux išjungiameo virtualios
LiveCD“, jų sąrašas atminties
pateik- kompiuterio? Gal tiktų žodi
sektorių ir kuriame atvaizdą. Šiuos žingsnius atitinka tokios komandos: prijungiame?
tas www.livecdlist.com. Galima naudoti praktiškai bet kurią versiją, svarbu, kad joje Comment [n25]: Tai yr
veiktų swapoff -agzip, dd ir swapoff. Taigi, užkrauname kompiuterį iš kompaktinės
sudo komandos angliško žodžio “mount” ve
kuris reiškia ne fizinį, o log
sudo dd if=/dev/hda | gzip > /mnt/hdd_image.dd.gz
plokštelės, prijungiame išorinę laikmeną, kurioje bus saugomas atvaizdas, kataloge / pajungimą. Sutinku naudoti
prijungiame.
mnt, išjungiame
Atvaizdui atstatyti virtualios atminties
į kitą diską vykdomos sektorių
tokios ir kuriame atvaizdą. Šiuos žingsnius ati-
komandos:
tinka tokios
sudo komandos:
swapoff -a
sudo gzip -dc /mnt/hdd_image.dd.gz | dd of=/dev/hda
sudo swapoff -a
sudo dd if=/dev/hda | gzip > /mnt/hdd_image.dd.gz
Atvaizdui atstatyti į kitą diską vykdomos tokios komandos:

sudo swapoff -a 66
sudo gzip -dc /mnt/hdd_image.dd.gz | dd of=/dev/hda
71
„Windows“ operacinės sistemos įrankiai
„Microsoft Windows“ operacinei sistemai yra sukurta nemažai komercinių pro-

graminių paketų, skirtų kompiuterio kietojo disko duomenims kopijuoti ir analizei at-
likti. Dažniausiai gamintojai, siekdami pateikti kuo didesnį paslaugų spektrą tyrėjui,
įrankius grupuoja į programų paketus, kurie apima kietojo disko, atminties, tinklo duo-
menų surinkimą ir analizę. Tokiu būdu yra padidinamas paketo funkcionalumas ir iš
dalies palengvinamas tyrėjo darbas, nes naudodamas tą patį paketą jis atlieka daugumą
nusikaltimo įkalčių surinkimo ir analizės veiksmų. Reikia paminėti, kad gamintojai
dažnai akcentuoja atskirus paketų funkcionalumus, pavyzdžiui, elektroninių laiškų
paiešką ir analizę kompiuterio lokaliajame diske arba pornografinio turinio nuotrau-
kų paiešką, koduotos informacijos dekodavimą. Apžvelgsime tik pačius žinomiausius
paketus.
„Forensics Toolkit“ (FTK) – tai vienas iš žinomiausių programinių paketų, skir-
tų elektroninių nusikaltimų tyrėjams. Paketą sukūrė kompanija „AccessData Group“
(www.accessdata.com), dirbanti elektroninių nusikaltimų srityje jau daugiau nei 20
metų bei turinti daugiau nei 100 000 naudotojų. FTK paketas gali atlikti visišką kom-
piuterio skenavimą, ieškodamas reikiamos informacijos, galimi įvairūs paieškos filtrai,
palengvinantys paiešką. Šiuo įrankių paketu galima ieškoti ištrintų laiškų, atstatyti slap-
tažodžius, dekoduoti šifruotą informaciją, pavyzdžiui, failus, saugomus EFS sistemoje
(angl. Encrypted File System). Paketas turi atskirą įrankį „FTK Imager“, kuriuo pada-
romos viso kietojo disko arba atskiro segmento atvaizdas. Kopijuojant failus realiame
laike vyksta MD5 rakto reikšmių skaičiavimas, o tai garantuoja teisingą perrašymo
procedūrą. FTK paketas taip pat turi tyrimų ataskaitų generatorių. Ataskaitose patei-
kiama bendroji statistika apie rastus įkalčius bei tyrimo metu tyrėjo surasti ir specialiai
pažymėti įkalčiai.
„Forensic Dossier“ – tai „Logicube“ (www.logicubeforensics.com) kompanijo-
je sukurtas aparatūrinis įrenginys, skirtas kietojo disko atvaizdui daryti ir duomenims
kopijuoti. Kompanija laikosi pozicijos, kad tyrėjui duomenų kopijoms daryti patogiau
naudoti specializuotą įrenginį, o ne programinį sprendimą. „Forensic Dossier“ įrenginį
siūloma komplektuoti kaip vieną iš globalios sistemos, skirtos elektroninių nusikaltimų
tyrėjui, modulių. Šią sistemą sudaro „Forensic Dossier“ duomenų surinkimo įrenginys,
didelės talpos nešiojama duomenų saugykla ir „NetConnect“ tinklo modulis. Tokia sis-
tema gali kopijuoti didelės apimties duomenis, pavyzdžiui, iš duomenų saugyklų, taip
pat yra galimybė juos iš karto siųsti į tyrimo kompanijos saugyklas.
„Paraben P2 Commander“ – tai „Paraben Inc.“ kompanijos (www.paraben.
com) įrankis, skirtas įvairių formatų elektroninių laiškų, susirašinėjimo žurnalų, inter-
neto naršyklių istorijos analizei, filtravimui, rūšiavimui ir informacijos paieškai. Šiuo
įrankiu galima atstatyti ištrintus laiškus. Kompanija taip pat yra išleidusi kietojo disko
duomenų nuskaitymo programinę įrangą „Enterprise Drive Acquisition“, kuria visi dis-
ko duomenys kopijuojami į tinklinį failų serverį. Programa turi galimybę kopijuoti ir
paslėptą (apsaugotą) disko erdvę (HPA), prieinamą tik operacinei sistemai.
72
8.8 pav.
8.8 pav. FTK paketo „Imager“ FTK paketo
programos „Imager“ programos langas
langas
Toliau
Toliau panagrinėsime
panagrinėsime tipinius
tipinius atvejus,
atvejus, į kuriuos
į kuriuos reikiareikia atkreipti
atkreipti dėmesįdėmesį atliekant
atliekant tyrimą su
„Windows“
tyrimą suoperacine
„Windows“sistema. Parodysime,
operacine sistema. kokiais įrankiais
Parodysime, galima
kokiais surinkti
įrankiais įkalčius
galima tokiose
surinkti
situacijose.
įkalčius tokiose situacijose.
„Windows“ įvykių žurnalas „Windows“ įvykių žurnalas
NorintNorint sužinoti
sužinoti naudotojo
naudotojo veiksmų
veiksmų istoriją,
istoriją, informacijos
informacijos reikiareikia ieškoti
ieškoti įvykių
įvykių žurnale.
žurnale.kad
Numatyta, Numatyta,
„Windows kad XP/2003“
„Windows įvykių
XP/2003“ įvykių registracijos
registracijos žurnalo failaižurnalo failai sau-
saugomi kataloge Commen
terminą “p
c:\windows\system32\config. Ten rasime tris pagrindinius
gomi kataloge c:\windows\system32\config. žurnalinius
Ten rasime AppEvent.evt,
failus, t. y.žurnalinius
tris pagrindinius nusistovėj
SecEvent.evt, SysEvent.evt.
failus, t. y. AppEvent.evt, SecEvent.evt, SysEvent.evt. Tačiau naujesnėse „Windows“ pvz.,
Tačiau naujesnėse „Windows“ versijose „Microsoft“ programos, Commen
„Microsoft Office 2007“ ir „Internet Explorer 7/8“, susikuria papildomus žurnalinius failus dviem žod
versijose „Microsoft“ programos, pvz., „Microsoft Office 2007“ ir „Internet Explorer
Osession.evt ir Internet.evt. Taip pat reikia nepamiršti, kad savo atskirus žurnalus veda tokios
7/8“, susikuria
programos kaip DNSpapildomus žurnalinius
serveris, domeno failus Osession.evt
kontroleris. Įvykių žurnalus ir Internet.evt.
galima peržiūrėtiTaipnaudojant
pat
reikia nepamiršti,
„Microsoft Managementkad savo atskirus
Console Event“ žurnalus veda tokios
įskiepį „Viewer“ programos
arba išsikviestikaip
iš DNS serveris,
komandinės eilutės
domeno kontroleris. Įvykių žurnalus
c:\windows\system32\eventvwr.exe. galima
Kiekvienas peržiūrėti
įvykis turi savonaudojant
EventID,„Microsoft Manage-
pagal kurį galima sužinoti
problemos priežastisEvent“
ment Console ir trumpą aprašymą.
įskiepį „Viewer“Tam arbapatogu naudotis
išsikviesti nemokama eilutės
iš komandinės „Microsoft“
c:\win-įvykių
duomenų baze (www.eventid.net).
dows\system32\eventvwr.exe. Kiekvienas įvykis turi savo EventID, pagal kurį gali-
ma sužinoti problemos priežastis ir trumpą aprašymą. Tam patogu naudotis nemokama
Ryšio„Microsoft“
failai įvykių duomenų baze (www.eventid.net).
Ryšio failai yra nuorodos į kitą failą ar katalogą. Ryšio failo pavadinime naudojamas plėtinys
.lnk. Naudotojas juos kuria, norėdamas greitai patekti į katalogą ar atidaryti failą, kurį jis dažnai
naudoja arba jam jis yra svarbus. Todėl ryšio failai gali būti naudingi ir nurodyti tyrėjui įkalčių
68
73
Ryšio failai
Ryšio failai yra nuorodos į kitą failą ar katalogą. Ryšio failo pavadinime nau-
dojamas plėtinys .lnk. Naudotojas juos kuria, norėdamas greitai patekti į katalogą ar
atidaryti failą, kurį jis dažnai naudoja arba jam jis yra svarbus. Todėl ryšio failai gali
būti naudingi ir nurodyti tyrėjui įkalčių paieškos vietą. Ryšio faile taip pat išsaugomos
laiko žymės (data ir laikas), kada tikrasis failas buvo sukurtas, paskutinį kartą atida-
rytas ar modifikuotas. Ryšio failus peržiūrėti galima su nemokamu įrankiu „Windows
File Analyzer“ (http://www.mitec.cz/wfa.html).
Thumbnail buferiniai failai
Thumbs.db – tai sudurtinis failas, kuriame saugomi sumažintos apimties failų

atvaizdai, kurie buvo peržiūrėti „Windows Explorer“ programa. Šis failas automatiškai
sukuriamas, kai katalogo failai peržiūrimi „Thumbnails“ režimu, ir modifikuojamas, jei
kataloge atsiranda naujų failų. Thumbs.db failo vieta priklauso nuo „Windows“ versi-
jos. „Windows Vista“, „Windows 7“ šis failas būna kataloge AppData\Local\Micro-
soft\Windows\Explorer, o ankstesnėse „Windows“ versijose jis būdavo tame pačiame
kataloge.Thumbs.db failus galima atsidaryti ir peržiūrėti, kokie failai buvo kataloge,
naudojant anksčiau minėtus „EnCase“, FTK, „Windows File Analyzer“ įrankius.
Laiko ir datos žymės
„Windows“ operacinių sistemų failai turi tris laiko ir datos žymes: sukūrimo,
paskutinio modifikavimo (perrašymo) ir paskutinio atidarymo (naudojimo). NTFS ir
FAT failinėse sistemose esančių failų laiko ir datos žymės skiriasi. Failo metaduome-
nyse minėtos žymės yra išsaugomos skirtingose vietose, NTFS laiko ir datos žymės
saugomos UTC pavidalu, o FAT – lokalios laiko juostos pavidalu. Dar vienas skirtumas
– NTFS laikas matuojamas 100 nanosekundžių periodu nuo 1601-01-01, o FAT faili-
nėje sistemoje laiko periodas yra 10 milisekundžių ir skaičiuojamas nuo 1980-01-01.
Failo įrašymo laikas FAT sistemoje skaičiuojamas kas 2 sekundes, o failo paskutinio
atidarymo laikas skaičiuojamas dienomis. Be to, reikia žinoti, kad pakeitus registro
įrašo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSys-
tem\NtfsDisablelastAccessUptime reikšmę į 1, „Windows XP“ nebekeis paskutinio
prieigos laiko ir datos reikšmių. Toks yra numatytasis „Windows Vista“ nustatymas.
Programų instaliavimas
Nelegalios programinės įrangos instaliavimas ir naudojimas yra nusikalstama

veikla ir baudžiama pagal LR BK 198 straipsnį. Įrodymai, kad naudotojas turėjo suins-
taliuotą nelegalią programinę įrangą, turi būti svarūs ir neginčijami, todėl pabandysime
plačiau panagrinėti šią temą. Jei kompiuterio naudotas turi teisę instaliuoti programas,
74
numatyta, kad jos saugomos kataloge c:\Program Files. Kitos vietos, kuriose gali būti
instaliuojama programa, yra šios:
c:\Documents and Settings\<user folder>\Application Data (Windows XP)
c:\Documents and Settings\<user folder>\Local Settings\Application Data
(Windows XP)
c:\Users\<user folder>\AppData (Windows Vista and 7)
c:\ProgramData (Windows Vista and 7)
Kiekvieno naudotojo asmeniniame šakniniame kataloge yra failas NTUSER.

DAT, kuriame yra specifinė su instaliuotomis programomis susijusi informacija, kuri
nurodo, kad programa buvo ne tik suinstaliuota, bet ir naudojama. „Windows“ registre
taip pat yra informacija apie instaliuotas ir išinstaliuotas programas. Registro „Soft-
ware\Classes“ šakoje galima matyti visų failų, kurie yra ir buvo naudojami, plėtinius.
Radus nelegalios programos failo plėtinį, galima teigti, kad turėjo būti programa, kuri
dirbo su tokio tipo failais. Šiuo metu kompiuteryje suinstaliuotų ir išinstaliuotų progra-
mų sąrašą galima rasti registro šakose:
SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Analizuojant „Windows“ registro ir failo NTUSER.DAT informaciją, dažniau-

siai surandami įrodymai apie nelegalios įrangos naudojimą kompiuteryje.
„Unix“ operacinių sistemų įrankiai
Skyriaus pradžioje jau buvo minėta komanda dd, kuri naudojama tiek kietojo
disko, tiek ir operatyviosios atminties atvaizdams sukurti. Ši komanda tapo standartu
de facto darant kopijas „Unix“ operacinėse sistemose. Ši komanda naudojama speci-
alizuotuose įrankiuose, tokiuose kaip dcfldd ir ddrescue. dcfldd suteikia papildomų
galimybių, tokių kaip siunčiamų duomenų kodavimas realiu laiku, disko valymas pagal
tyrėjo nurodytą šabloną ir t. t. (žr. ankstesnį skyrių), o naudojant ddrescue galima kurti
kietojo disko atvaizdą, kuriame sugadinta failų struktūra ar yra fizinių klaidų.
Jei kopijuojant pasitaiko skaitymo klaidų, bandoma iš karto jas taisyti. Šis įran-
kis sukurtas kaip GNU projekto dalis, todėl naudojamas nemokamai. Žemiau pateiktas
ddrescue pavyzdys, kuriame raktas max-retries nurodo, kad bus 3 kartus bandoma
nuskaityti klaidingą įrašą:
ddrescue --direct --max-retries=3 /dev/sda /home/forensics/disk.image/
logfile.txt
Sukurti kompiuterio disko, kuriame veikia „Unix“ operacinė sistema, atvaizdą

galima naudojant ir anksčiau minėtus įrankius: „EnCase“, „Forensic Toolkit“, „X-Wa-
ys“ ir kitus. Jei tiriamame kompiuteryje, naudojant LVM technologiją, suformuotos
kintamojo dydžio kietojo disko skiltys, tai sukelia problemų darant atvaizdus. Elektro-
ninių nusikaltimų tyrimų įrankiai nepalaiko LVM, todėl tokiu atveju rekomenduojama
kurti ne disko, o kiekvieno skirsnio atvaizdą atskirai.
75
Failų ir failų sistemų analizė
Atliekant tyrimus su „Unix“ failų sistema reikia atkreipti dėmesį į failų laiko
ir datos žymes. „Unix“ operacinės sistemos naudojama iki 4 laiko žymių, t. y. modi-
fikavimo, pakeitimo, prieigos ir ištrynimo žymės. Laiko ir datos žymė saugoma failo
metaduomenyse. Tam naudojamas 32 bitų laukas, kuriame fiksuojamas laikas sekundė-
mis, prabėgusiomis nuo 1970 m. sausio 1 d. vidurnakčio. Laikas saugomas UTC laiko
juostoje, todėl norint sužinoti tikrąjį laiką reikia žinoti, kokia laiko juosta nustatyta
kompiuteryje. Laiko juostos nustatymai apibrėžti faile /etc/localtime.
Atliekant failų analizę reikia atkreipti dėmesį ir į failų teises, nes pagal teisių
priskyrimą vartotojui galima nustatyti, ar jis galėjo atlikti tam tikrus veiksmus: modifi-
kuoti ar ištrinti failą, užmontuoti failų sistemą ir t. t. Kokios failų sistemos ir kokiuose
kataloguose užmontuojamos, galima sužinoti perskaičius failą /etc/fstab. Ši informa-
cija yra svarbi, nes užmontuojant failų sistemas iš nutolusių serverių dalis duomenų
saugomi ne lokaliame diske, o tai reiškia, jog būtina pasidaryti ir nutolusių duomenų
kopijas.
Norint atstatyti ištrintus failus, geriausia patikrinti ištrintų failų metaduomenis
(angl. inode) metaduomenų lentelėje. Nors metaduomenyse nesaugomi failų pavadi-
nimai, tačiau lieka tokia informacija kaip datos, teisės, failo vieta. Mažesnių failų me-
taduomenyse yra saugomi netgi atskiri duomenų blokai. Ištrintiems failams atstatyti
galima naudoti „The Sleuth Kit“ (TSK), www.sleuthkit.org rinkinio fls komandą:
fls -f linux-ext2 -r -p -d ext2-atstatytas.dd
r/- * 0: file2.jpg
r/- * 0: handle.pdf
r/- * 0: .file3.txt
Kaip matyti, atstatant failus neatkuriamos laiko ir datos žymės, nes neaišku, su
kokio failo metaduomenimis jie susiję. Naudojant kitą to paties paketo komandą ils,
galima detaliau analizuoti susijusius metaduomenis:
ils -f linux-ext2 ext2-atstatytas.dd
Gautuose rezultatuose galima surasti ryšius tarp metaduomenų ir failų bei tokiu
būdu atstatyti duomenis.
Norint sužinoti, kokie failai ar tinklo prievadai sistemoje yra atidaryti, verta nau-
doti įrankį lsof. Šis įrankis taip pat padeda identifikuoti ryšį tarp proceso ir prievado.
lsof įrankis yra įtrauktas į daugelį „Linux“ distribucijų, todėl jo nereikia atskirai insta-
liuoti. Komandos naudojimo pavyzdys, kurią įvykdžius sužinomi visi atvirieji interneto
lizdai:
lsof −i +M
Jei reikia surasti ryšį tarp atidaryto prievado ir sisteminio proceso,

lsof –i –n –P
76
„Unix“ įvykių registracijos žurnalas
Vartotojų prisijungimų žurnalas „Unix“ operacinėse sistemose yra saugomas /

var/log/wtmp ir /var/run/utmp failuose. Kiekvieną įrašą sudaro tokie laukai: varto-
tojo prisijungimo vardas, įrenginio pavadinimas, kompiuterio vardas arba IP adresas,
prisijungimo laikas, data ir trukmė. Prisijungimų žurnalo peržiūrai naudojama koman-
das last. Norinti atlikti paiešką, papildomai galima naudoti komandą grep. Pavyzdžiui,
norint sužinoti, kada buvo prisijungta prisijungimo vardu root, vedama komanda:
last | grep root | more
Norint vartotojų įvykių žurnalą skaityti per grafinę sąsają, galima pasinaudoti
jau minėtu „EnCase“ įrankiu.
Sisteminiams įvykiams registruoti „Unix“ operacinėse sistemose naudojamas
žurnalas syslog. Čia saugoma informacija apie kritinius ir paprastuosius įvykius, at-
sirandančius veikiant sisteminiams ir taikomiesiems procesams. Įvykių įrašą sudaro
du laukai: proceso pavadinimas ir įvykio sunkumo lygis. Numatyta, kad „Linux“ ope-
racinėse sistemose įvykių žurnalas saugomas faile /var/log/messages, nors kai kurie
procesai, pvz., „Apache“, gali turėti ir savo atskirus žurnalo katalogus, pvz., /var/log/
httpd. Žurnalas gali būti saugomas ne tik lokaliajame diske, bet ir siunčiamas į nutolusį
kompiuterį, pvz., duomenų centro konsoliduotą įvykių žurnalų serverį. Įvykių registra-
vimo žurnalo nustatymai atliekami faile /etc/syslog.conf (pavadinimas gali keistis pri-
klausomai nuo „Linux“ versijos). Žurnalo failas yra tekstinis, todėl failo analizę galima
atlikti grep, tail, more ir kitomis „Unix“ komandomis. Pavyzdžiui:
tail -f /var/log/messages
arba
grep string /var/log/messages | more
Nusikaltimo tyrimui gali būti naudinga ir vartotojo vykdytų veiksmų istorija.

Kiekvieno vartotojo namų kataloge yra tekstinis failas, kuriame saugoma vartotojo
vykdytų komandų istorija. Failo pavadinimas priklauso nuo naudojamo komandinio
interpretatoriaus ir gali būti toks: .bash_history (bash), .history.csh (csh) ir t. t. Failą
peržiūrėti galima bet kuriuo teksto redaktoriumi ar komandomis: cat, more, pg ir t. t.
8.3. Įrankai ir priemonės NEE įkalčių paieškai kompiuterių tinkle
Šiuolaikinis kompiuteris – tai lokalaus ar globalaus kompiuterių tinklo elemen-

tas, todėl elektroninių nusikaltimų tyrėjas privalo žinoti kompiuterių tinklų pagrindus,
TCP/IP paketo struktūrą, Ethernet kadro sudėtį, tinklo apsaugos technologijas, suprasti
vartotojų autorizacijos ir autentifikacijos principus. Maršrutizatorių, ugniasienių ar IDS
įrenginių, autentifikacijos serverių žurnalų analizė gali būti naudinga atliekant įsilauži-
mų tyrimus ar siekiant užkirsti kelią galimam nusikaltimui. Apžvelgsime populiariau-
sius įrankius tinklo analizei ir tyrimams atlikti.
77
„Wireshark“ – tai vienas iš žinomiausių, atvirojo kodo paketų, skirtų tinklo
protokolų analizei (www.wireshark.org). Juo galima perimti ir interaktyviai analizuoti
tinklo srautą, analizuoti TPC/IP ir Ethernet paketus (8.9 pav.). „Wireshark“ turi grafinę
sąsają ir gali būti instaliuojamas tiek „Windows“, tiek „Unix“ operacinėse sistemose.
Paketas turi integruotas rūšiavimo ir filtravimo galimybes. Tinklo analizė vykdoma
per nurodytas tinklo sąsajas, įskaitant ir bevielio tinklo arba iš failo. „Wireshark“ – tai
tarptautinis savanorių projektas, vykdomas nuo 1998 m. ir tinklo protokolų analizatorių
laikomas kaip standard de facto. Žemiau pateikiamos pagrindinės „Wireshark“ paketo
savybės:
▬▬ Įvairių tinklo tipų palaikymas, įskaitant Ethernet, IEEE 802.11, PPP, „loopback“.
USB srauto skaitymas.
▬▬ Įvairių protokolų palaikymas, todėl galima analizuoti inkapsuliuotus duomenis
skirtingų protokolų atžvilgiu.
▬▬ „VoIP“ palaikymas. Jei garsas koduojamas vienu iš paketo palaikomų kodavimo
technologijų, galimas pokalbio klausymas.
▬▬ Skaitymas ir (arba) rašymas skirtingais failų formatais: „tcpdump“ („libpcap“),
„Pcap NG“, „Catapult DCT2000“, „Cisco Secure IDS iplog“, „Microsoft Ne-
twork Monitor“, „Network General Sniffer“, „Sniffer Pro“, „NetXray“, „Net-
work Instruments Observer“, „NetScreen snoop“, „Novell LANalyzer“, „RAD-
COM WAN/LAN Analyzer“, „Shomiti/Finisar Surveyor“, „Tektronix K12xx“,
„Visual Networks Visual UpTime“, „WildPackets EtherPeek/TokenPeek/Airo-
Peek“ ir kitais.
▬▬ Įvairių protokolų dešifravimas, įskaitant „Ipsec“, ISAKMP, „Kerberos“, SNM-
Pv3, SSL/TLS, WEP, WPA/WPA2.
▬▬ Rezultatų eksportas XML, „PostScript“, CSV formatais.
8.9 pav. „Wireshark“ programos langas

8.9 pav. „Wireshark“ programos langas
„Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libpcap biblioteką.
Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui perimti ir ekrane pavaizduoti
TCP/IP ir kitų tinklo paketų (ICMP ir UDP) 78 turinį. Šis paketas gali būti naudojamas ir kaip tinklo
infrastruktūros analizatorius, kuris nustato, ar visi reikalingi maršrutai veikia teisingai, ir esant reikalui
leidžia izoliuoti problemą. „Tcpdump“ gali pateikti nešifruotus paketuose esančius duomenis,
pavyzdžiui, prisijungimo vardus, slaptažodžius ir t. t. Paketams filtruoti vartotojas gali naudoti
„Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libp-
cap biblioteką. Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui
perimti ir ekrane pavaizduoti TCP/IP ir kitų tinklo paketų (ICMP ir UDP) turinį. Šis
paketas gali būti naudojamas ir kaip tinklo infrastruktūros analizatorius, kuris nustato,
ar visi reikalingi maršrutai veikia teisingai, ir esant reikalui leidžia izoliuoti problemą.
„Tcpdump“ gali pateikti nešifruotus paketuose esančius duomenis, pavyzdžiui, prisi-
jungimo vardus, slaptažodžius ir t. t. Paketams filtruoti vartotojas gali naudoti „Ber-
keley Packet Filter“ tipo filtrus, leidžiančius parodyti tik reikalingą informaciją. „Tcp-
dump“ veikia „Unix“ operacinėse sistemose. Šio analizatoriaus įvykių žurnalo analizei
naudojamas kitas atvirojo kodo įrankis tcptrace. Komandos pavyzdys, kai surenkami
ir išvedami visi IP paketai, siunčiami tarp kompiuterių pavadinimais pirmas ir antras:
tcpdump ip host pirmas and antras
Kitas „Tcpdump“ pavyzdys demonstruoja duomenų nuskaitymą iš traffic.cap

failo, o ne iš tinklo sąsajos:
tcpdump –n –r traffic.cap
Tinklo stebėjimas – tai vienas iš elektroninių nusikaltimų tyrimo metodų. Jis api-
brėžiamas kaip gebėjimas kaupti ir analizuoti duomenis apie tinklo srautus. Egzistuoja
du pagrindiniai stebėjimo principai: aktyvusis ir pasyvusis. Aktyvieji metodai dažniau-
siai naudojami kokybinėms tinklo charakteristikoms nustatyti, pavyzdžiui, vėlinimui,
pralaidumui, anomalijoms aptikti. Tačiau matavimo metu siunčiami šalutiniai duome-
nys patys trikdo normalų tinklo darbą ir gali būti anomalijų priežastimi. Šio metodo
privalumas tas, kad nereikalinga specializuota techninė įranga, o programinė įranga yra
nesudėtinga. Pasyvieji metodai tinklo srautų stebėjimui naudoja specializuotą techni-
nę įrangą. Tokią funkciją gali atlikti srautus persiunčiantis maršrutizatorius arba prie
tinklo prijungtas klausymosi įrenginys, perduodamus srautus nukreipiantis į stebėjimo
stotį. Panagrinėkime keletą aktyviųjų tinklo stebėjimo įrankių.
„Nmap“ (Network Mapper) – tai atvirojo kodo įrankis (www.nmap.org), skirtas
kompiuterio saugumui patikrinti, identifikuojant tinklo sujungimus, atviruosius prie-
vadus. Naudojant „Nmap“ galima atlikti tinklo įrenginių inventorizaciją ir auditavimą
skenuojant tinklą. „Nman“ siunčia specialius paketus į tiriamą įrenginį ir analizuoja at-
saką. Siunčiant paketus yra įvertinamos tinklo charakteristikos, tokios taip uždelsimas,
fluktuacijos, tinklo apkrovimas. Įrankiu nustatoma analizuojamo kompiuterio opera-
cinė sistema, veikiantys servisai, ar yra ugniasienė. „Nmap“ veikia tiek „Windows“,
tiek ir „Unix“ operacinėse sistemose. Įrankis turi grafinę sąsają, vadinamą „Zenmap“.
„Nmap“ įrankio skenavimo rezultatai gali būti išsaugoti 4 skirtingais formatais teksti-
niame faile, kurį galima analizuoti awk, sed, grep ir kitais įrankiais.
„Netcat“ – tai dar vienas atvirojo kodo įrankis (nc110.sourceforge.net), skir-
tas sukurti TCP arba UDP sujungimą tarp dviejų įrenginių, siekiant skaityti ir (arba)
rašyti duomenis. Sujungimai gali būti padaromi tarp bet kurių prievadų lokalioje ir
nutolusioje mašinoje. Šis įrankis gali būti naudojamas kaip priemonė sudaryti patikimą
79
sujungimą tarp dviejų kompiuterių, kuriuo gali naudotis kitos programos ar servisai.
Šiuo įrankiu galima atlikti ir prievadų skenavimą, suformuoti siunčiamos informacijos
atvaizdą (angl. hex dump).
„Windows“ operacinėje sistemoje tinklo srautų analizei galima naudoti „Win-
dows Support Tools“ rinkinio įrankius (technet.microsoft.com). Daugeliu šių įrankių
galima atlikti tinklo diagnostiką, monitoringą ir analizę. Komandiniu režimu veikiantis
įrankis, kuriuo galima stebėti tinklo paketus ir įrašyti juos į žurnalo failą, yra netcap.
exe. Šis įrankis perima tinklo paketus tiesiai iš tinklo srauto ir nukreipia jį analizei.
Kiekvienas perimtas paketas turi tokią informaciją: siuntėjo, gavėjo adresus, protokolo
pavadinimą, klaidų tikrinimo žymę ir kitus duomenis. Pavyzdys, kuriame kompiuterio
tinklo prievadai stebimi 3 minutes ir visa informacija surašoma į c:\temp katalogą.
netcap /c:c:/ temp /l:00:03:00
Tinklo aktyviam stebėjimui taip pat tinka ir gerai žinomi įrankiai: ping, trace-
route, iperf, netperf ir kiti.
Dalis informacijos, siejamos su tinkliniais ryšiais, saugoma kompiuterio ope-
ratyviojoje atmintyje, pavyzdžiui, tinklinės sesijos, aktyvūs susijungimai, dinaminiai
IP adresai, kaukės, DNS adresai, ARP lentelė, maršrutizavimo lentelė ir kita informa-
cija, kuri dingsta išjungus arba perkraunant kompiuterį. Todėl, atliekant nusikaltimo
tyrimą, reikia būtinai išsaugoti šią veikiančios sistemos informaciją. Tai galima atlikti
komandomis: netstat (veikia „Windows“ ir „Unix“ operacinėse sistemose) ir nbtstat
(„Windows OS“), kurios parodo TCP/IP (NetBIOS) protokolo statistiką ir aktyvius tin-
klinius susijungimus. Naudojant arp komandą, galima sužinoti, kokie IP adresai yra
arp lentelės buferyje. Iš komandų ipconfig („Windows OS“) ar ifconfig („Unix OS“)
sužinosite tinklo sąsajų konfigūraciją ir būsenas. Pageidautina šias komandas leisti iš
atskiro kompaktinio disko ar kitos išorinės laikmenos tam, kad nereikėtų paleisti jokios
papildomos bibliotekos ar programos iš inspektuojamo kompiuterio kietojo disko ir
nebūtų pakeičiama jokia informacija arba duomenys.
Tinklo maršrutizatorių žurnalas „NetFlow“. Tinklo maršrutizatorių žurnalai
dažnai suteikia neįkainuojamos informacijos atliekant nusikaltimo tyrimą. Didieji tin-
klo įrangos gamintojai „Cisco“, „Juniper“, „Extreme Networks“ pildo įvykių žurnalus
naudodami duomenų struktūrą, vadinamą „NetFlow“. Žurnalų analizė priskiriama prie
pasyviųjų tinklo stebėjimo priemonių, nes ji nekeičia tinklo parametrų bei neįveda jo-
kių papildomų stebėjimo komponentų. „NetFlow“ srautas – tai vienkrypčių iš siuntėjo
gavėjui siunčiamų paketų aibė. Srautą identifikuoja raktiniai paketo laukai: siuntėjo ir
gavėjo IP adresai, siuntėjo ir gavėjo prievado numeriai, paketų skaičius sraute, prii-
mančios sąsajos SNMP indeksas. Iš viso pakete yra 20 laukų. „NetFlow“ srautas suku-
riamas, kai maršrutizatorius aptinka pirmąjį paketą. Tie paketai, kurių raktiniai laukai
sutampa, bus priskirti tam pačiam srautui. Jei nesutampa nors vienas raktinis laukas,
paketas priskiriamas naujam srautui. Maksimali „NetFlow“ įrašo trukmė – 30 minučių.
Jei ši riba viršijama, kuriamas naujas įrašas. Analizuojant „NetFlow“ žurnalo įrašus,
galima nustatyti nusikaltėlio kompiuterio IP adresą, protokolą ir tinklo prievadą, per
80
kurį nusikaltėlis įsibrovė, datą ir laiką, kada buvo įvykdytas nusikaltimas, bei persiųstą
duomenų kiekį.
„NetFlow“ žurnalo analizei reikia naudoti specializuotus įrankius, nes paprastai
žurnale saugomi didžiuliai įrašų kiekiai, kuriuos analizuoti be specialių įrankių sudėtin-
ga. Šiuo metu rinkoje yra nemažai tiek komercinių, tiek ir atvirojo kodo įrankių, skirtų
„NetFlow“ analizei. Štai keletas iš jų: „NfSen“ (http://nfsen.sourceforge.net), „Flow
tools“ (www.splintered.net/sw/flow-tools), „SiLK“ (tools.netsa.cert.org/silk), „Orion
NetFlow Traffic Analyzer“ (NTA) (www.solarwinds.com/products/orion/nta). Plačiau
aptarsime „NfSen“ įrankį.
„Nfsen“ – tai atvirojo kodo paketas, skirtas „NetFlows“ paketams analizuoti,
filtruoti, statistiniams rodikliams skaičiuoti. Paketas yra parašytas kaip grafinė sąsaja
įrankiui nfdump. Papildomai ji apdoroja duomenis užsibrėžtu laiko intervalu, kaupia
istorinius duomenis, pagal nurodytas sąlygas siunčia perspėjimus, leidžia programuoti
ir įdiegti įskiepius.
1. Kokiu eiliškumu atliekamas informacijos kopijavimas iš kompiuterių ir tin-

klo įrenginių?
2. Kaip atlikti operatyviosios atminties duomenų kopiją „Unix“ operacinėse
sistemose nenaudojant papildomų įrankių?
3. Kaip atlikti „Vmware“ virtualiosios mašinos atminties kopiją jos nestabdant?
4. Kur nustatoma atminties atvaizdo kopijos saugojimo vieta „Windows“ ope-
racinėje sistemoje?
5. Ar skiriasi kietojo disko atvaizdų darymo procedūros „Windows“ ir „Linux“
operacinėse sistemose?
6. Kam reikalingas disko atvaizdo kopijos MD5 raktas?
7. Kokį įrankį naudotumėte ištrintų el. laiškų peržiūrai, atstatymui, įkalčių
paieškai?
8. Kur saugomi „Windows“ operacinių sistemų įvykių žurnalai? Kokią infor-
maciją galima iš jų gauti?
9. Kokiu formatu saugomos failų laiko ir datos žymės NTFS, FAT, EXT3 failų
sistemose?
10. Kaip reikia atstatyti ištrintus failus NTFS, FAT, EXT3 failų sistemose?
11. Kaip sužinoti, kokie vartotojai buvo prisijungę prie „Linux“ operacinės sis-
temos per paskutinę savaitę?
12. Kas yra „NetFlow“ ir kokią informaciją galima gauti atlikus jo analizę?
81
Praktiniai darbai
Dėstytojas praktinei užduočiai pateikia kietąjį diską iš tariamai nusikalstamą

veiklą įvykdžiusio asmens kompiuterio bei apibūdina įvykdytą nusikalstamą veiklą.
Darbo tikslas – surasti nusikaltimų įkalčių kietajame diske. Pasirinkite tinkamus atvi-
rojo kodo programinius įrankius ir atlikite tokius veiksmus:
1. Padarykite kietojo disko atvaizdą. Tolimesnį tyrimą atlikite naudodami at-
vaizdo kopiją.
2. Atstatykite ištrintus failus ir katalogus.
3. Nustatykite, ar nebuvo naudojama nelegali programinė įranga.
4. Nustatykite vartotojo veiksmų istoriją per paskutinę savaitę.
5. Atlikite nusikalstamą veiklą įrodančių el. laiškų paiešką.
6. Tyrimo rezultatus dokumentuokite, pateikite tyrimo išvadas.
82
9.
SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS
Failai ar kiti duomenų objektai, potencialiai turintys svarbios informacijos NEE
tyrimui, gali būti sunaikinti atsitiktinai (netyčinis klavišų paspaudimas, netinkamas
programinės ar aparatinės įrangos funkcionavimas), tyčia (naikinant nusikaltimo pėd-
sakus), kaip standartinio operacinės sistemos ar programinės įrangos veikimo pasekmė
(trinant laikinus failus) arba kaip nusikaltimo pasekmė (kai nusikaltimo tikslas buvo
duomenų sunaikinimas, KPK veikimo pasekmė ir t. t.). Gali skirtis ir duomenų prara-
dimo lygis (nuo kelių įrašų faile iki ištiso skaidinio kietajame diske), ir tokių duomenų
atstatymo sudėtingumas.
Sunaikintų įkalčių atstatymas gali turėti lemiamos įtakos NEE tyrimo sėkmei,
kadangi juose galima tikėtis rasti duomenų, kurie buvo pašalinti iš failų, matomų įpras-
tinėmis OS priemonėmis, arba niekad neegzistavusių tokiu pavidalu. Iš esmės sunai-
kintų įkalčių atstatymas nesiskiria nuo įprasto duomenų atstatymo, kai sunaikinti duo-
menys atstatomi dėl kitų priežasčių (neatsargūs vartotojų veiksmai), o pats procesas
susiveda į specializuotų įrankių taikymą. Šiame skyriuje trumpai aprašomi duomenų
naikinimo būdai, siekiant suteikti žinių apie jų veikimo bei duomenų atstatymo mecha-
nizmus. Taip pat pateikiami įvairių duomenų atstatymo įrankių sąrašai.
9.1. Saugomų duomenų naikinimo būdai
Kiekviena operacinė sistema pateikia priemonių seniems, nereikalingiems arba

laikiniems failams šalinti iš laikmenų ir toms laikmenoms paruošti darbui (formatavi-
mo, loginių disko skaidinių formavimo). Taip operacinė sistema apsaugoma nuo diski-
nės talpos perpildymo neaktualiais failais, o vartotojas gali tvarkyti savo sukurtas bylas.
Kalbant apie duomenų šalinimą iš laikmenos, dažnai galvojama, kad po duo-
menų trynimo jie ir dingsta, tačiau dažniausiai taip nėra: trinami tik tam tikri meta-
duomenys, aprašantys pačių duomenų buvimo vietą laikmenoje, o patys duomenys
fiziškai lieka nepažeisti, kol nėra perrašyti. Taip pat dauguma operacinių sistemų turi
mechanizmus netyčia ištrintiems duomenims atstatyti. Žemiau pateikiama pagrindinių
duomenų naikinimo būdų analizė.
Failų trynimas komandinės eilutės ir operacinės sistemos grafinėmis

priemonėmis
Failų trynimas komandinės eilutės priemonėmis „Windows“ šeimos operacinėse

sistemose (9.1 pav.) yra realizuojamas dviem komandomis: del ir erase, užtikrinan-
čiomis vienodą funkcionalumą. Šioje operacinėje sistemoje jos gali būti traktuojamos
83
kaip savotiškas DOS operacinės šeimos reliktas, kurioje tai buvo pagrindinis failų try-
nimo būdas, taip pat kaip galimybė automatizuoti administracinius veiksmus *.BAT
tipo skriptų priemonėmis. Komandos nesuteikia administratoriui galimybių daugiau
nei grafinė vartotojo aplinka.
9.1 pav. Failų trynimas9.1 pav. Failų

naudojant trynimas
komandinę naudojant komandinę eilutę
eilutę
9.1 pav. Failų trynimas naudojant komandinę eilutę

„Unix“
„Unix“ tipo operacinėse
tipo operacinėse sistemose
sistemose naudojamos
naudojamos komandos rm ir delrm
komandos ir delOS
suteikia suteikia
naudotojui
OSpasirinkimų
platesnį naudotojuispektrą
platesnįneipasirinkimų spektrą
šitų OS grafinės nei šitų
aplinkos. OS grafinės
Ir vienu, aplinkos.
ir kitu atveju reikiaIrturėti
vienu, ir
omenyje,
kad kitu
komandinės
atvejutipo
„Unix“ eilutės
reikia priemonėmis
turėti
operacinėse omenyje,
sistemosetrinami
kad failai komandos
komandinės
naudojamos dažniausiai
eilutės rm neperimami
priemonėmis automatizuotų
ir del suteikia
trinami failai OS
OS naudotojui
priemonių,
platesnį skirtų apsaugai
pasirinkimų
dažniausiai spektrąnuo
neperimami neinetyčinio ištrynimo,
šitų OS grafinės
automatizuotų OS tokių
aplinkos.kaip Recycle
Ir vienu,
priemonių, Bin.
ir kitu
skirtų atveju reikia
apsaugai nuo turėti omenyje,
netyčinio
Failų trynimas
kad ištrynimo,
komandinės operacinės
eilutės sistemostrinami
priemonėmis grafinėmis priemonėmis
failai dažniausiaidažniausiai
neperimami pasireiškia panaudojant
automatizuotų OS
tam tikro tipo
tokių
kontekstinį
kaip Recycle Bin.
priemonių, skirtų apsaugaimeniu (9.2 pav.).
nuo netyčinio ištrynimo, tokių kaip Recycle Bin.
Failų trynimas operacinės sistemos grafinėmis priemonėmis dažniausiai pasi-
Failų trynimas operacinės sistemos grafinėmis priemonėmis dažniausiai pasireiškia panaudojant
tam tikro tipopanaudojant
reiškia tam tikro
kontekstinį meniu tipo kontekstinį meniu (9.2 pav.).
(9.2 pav.).
9.2 pav. Kontekstinis failų trynimo meniu „Windows“ šeimos operacinėje sistemoje
9.2 Kontekstinis
pav. Kontekstinis
9.2Trinant
pav. failų trynimo meniu „Windows“ šeimos operacinėje
sistemoje sistemoje
failus perfailų trynimo
kontekstinį meniu „Windows“
meniu, ištrintas šeimos
failas operacinėje
patenka „Windows“ OS į šiukšliadėžę
(angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadinimai gali skirtis
84 failas patenka „Windows“ OS į šiukšliadėžę
Trinant failus per kontekstinį meniu, ištrintas
(angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadinimai gali skirtis
78
Trinant failus per kontekstinį meniu, ištrintas failas patenka „Windows“ OS į
šiukšliadėžę (angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadi-
nimai gali skirtis priklausomai nuo naudojamos grafinės aplinkos), iš kurios, vartotojui
priklausomai nuo naudojamos grafinės aplinkos), iš kurios, vartotojui panorus, gali būti atstatyti (9.3
pav.).panorus, gali būti atstatyti (9.3 pav.).
9.3 Pav.išIštrintų
9.3 pav. Ištrintų failų atstatymas failų atstatymas iš šiukšliadėžės
šiukšliadėžės
Į operacinės
Į operacinės sistemossistemos šiukšliadėžę
šiukšliadėžę taip pattaippatenka
pat patenka
failai, failai, kurie
kurie yra yra pažymimi
pažymimi ir ištrinami
spaudžiant Del klavišą
ir ištrinami spaudžiantklaviatūroje. O failai,
Del klavišą ištrinti naudojant
klaviatūroje. Shiftir naudojant
O failai, ištrinti Del klavišųShiftir
kombinaciją,
Del į
šiukšliadėžę
klavišųnepatenka.
kombinaciją,Taipįpat į ją nepatenka
šiukšliadėžę failai, esantys
nepatenka. Taip trynimo
pat į ją metu išorinėse
nepatenka laikmenose
failai, esantys(USB
raktuose, diskeliuose
trynimo ir t. t.). laikmenose (USB raktuose, diskeliuose ir t. t.).
metu išorinėse
Nepriklausomai nuo čia aprašyto failo trynimo būdo, diske informacija yra modifikuojama tik
failų sistemos Nepriklausomai
lentelėje (FAT, nuo MFT,čia aprašyto
EXT, failo trynimo
„ReiserFS“ būdo,
ir kt.), kur diske informacija
pažymima, kad atitinkama yravieta
mo-diske
difikuojama tik failų sistemos lentelėje (FAT, MFT, EXT, „ReiserFS“
yra neužimta, o failo duomenys lieka fiziškai toje pačioje vietoje, kur ir buvo, kol nėra perrašomiir kt.), kur pa-kitais
žymima, kad atitinkama vieta diske yra neužimta, o failo duomenys lieka
duomenimis, t. y. atsiranda galimybė, naudojant specializuotus įrankius, tuos duomenis atstatyti. fiziškai toje
pačioje vietoje, kur ir buvo, kol nėra perrašomi kitais duomenimis, t. y. atsiranda gali-
mybė, naudojant specializuotus įrankius, tuos duomenis atstatyti.
Failų perkėlimas
Failų perkėlimo proceso (angl. move) Failų pėdsakų

perkėlimas analizė gali irgi duoti naudos NEE tyrimo
procesui. Kai failas yra perkeliamas vieno disko skaidinio ribose, failas fiziškai lieka toje pačioje
Failų
vietoje, o, kaip perkėlimo
ir trynimo proceso
atveju, (angl. move)
modifikuojami įrašaipėdsakų analizėTačiau,
failų lentelėje. gali irgi duoti perkeliamas
jei failas naudos į
NEE ar
kitą diską tyrimo procesui.
kitą disko Kai procesas
skaidinį, failas yrašiek
perkeliamas vieno
tiek pailgėja. disko skaidinio
Pirmiausia, failas yraribose, failas
nukopijuojamas į
naująfiziškai
vietą, olieka
paskuitojeatliekamas failo trynimas,
pačioje vietoje, o, kaip irkurio metu,atveju,
trynimo vėlgi, modifikuojami
fiziškai failas nėra pašalinamas.
įrašai failų
Tokiulentelėje.
būdu tyrėjas
Tačiau,potencialiai
jei failasgali gauti priėjimą
perkeliamas į kitąprie failo
diską ar duomenų
kitą diskodvejose
skaidinį,vietose, susipažinti
procesas šiek su
senesne versija, jei failas naujoje vietoje buvo modifikuotas.
tiek pailgėja. Pirmiausia, failas yra nukopijuojamas į naują vietą, o paskui atliekamas
failo trynimas, kurio metu, vėlgi, fiziškai failas nėra pašalinamas. Tokiu būdu tyrėjas
Diskopotencialiai
valymas gali gauti priėjimą prie failo duomenų dvejose vietose, susipažinti su se-
nesne versija, jei failas naujoje vietoje buvo modifikuotas.
Operacinės sistemos ir programų funkcionavimo metu susidaro nemažai tarnybinės
informacijos, kuri gali būti neįdomi vartotojui, tačiau naudinga NEE tyrėjui. Tai įvairūs laikinieji Commen
lietuviška
diegimo failai, iš įvairių tinklalapių atsisiųstos programos (applet’ai) ir skriptai, laikinieji internetinių
Commen
naršyklių failai, naršymui be interneto išsaugoti puslapiai, failų indeksavimo failai ir kiti. Dalis tokio ištrinti žod
paaiškinam
85
79
Disko valymas
Operacinės sistemos ir programų funkcionavimo metu susidaro nemažai tarny-

binės informacijos, kuri gali būti neįdomi vartotojui, tačiau naudinga NEE tyrėjui. Tai
įvairūs laikinieji diegimo failai, iš įvairių tinklalapių atsisiųstos programos (applet’ai)
ir skriptai, laikinieji internetinių naršyklių failai, naršymui be interneto išsaugoti pus-
lapiai, failų indeksavimo failai ir kiti. Dalis tokio tipo failų yra pašalinama automatiš-
kai, užsilikusiems ir nepašalintiems operacinėje sistemoje gali būti numatytas atskiras
pusiau automatinis procesas („Windows“ OS jis vadinamas Disk Cleanup). Juo galima
nustatyti, kokie automatiškai,
tipo failų yra pašalinama failai ir kokiuužsilikusiems
reguliarumuirturėtų būti šalinami.
nepašalintiems Jo taikymo
operacinėje metugali
sistemoje failų
būti
šalinimas iš laikmenų nesiskiria nuo paprasto trynimo, todėl galima tuos failus
numatytas atskiras pusiau automatinis procesas („Windows“ OS jis vadinamas Disk Cleanup). Juo atstatyti.
galima nustatyti, kokie failai ir kokiu reguliarumu turėtų būti šalinami. Jo taikymo metu failų šalinimas
iš laikmenų nesiskiria nuo paprasto trynimo, todėl galima tuos failus atstatyti.
Neatstatomas failų trynimas
Neatstatomas failų trynimas (angl. wipe) skirtas būtent tam atvejui, kai kompiu-
Neatstatomas failų trynimas
terio vartotojas nori būti tikras, kad ištrinti failai nebus atstatyti. Metodas paremtas tuo,
kad atliekantfailų
Neatstatomas trynimą ne tik
trynimas pašalinamas
(angl. įrašas
wipe) skirtas failų
būtent tamlentelėje, bet kompiuterio
atvejui, kai ir į fizinę duomenų
vartotojas
nori būti įrašymo vietą
tikras, kad įrašomi
ištrinti failaiatsitiktiniai duomenys.
nebus atstatyti. Metodas Tiesa, naudojant
paremtas ypatingai
tuo, kad atliekantjautrią
trynimąir bran-
ne tik
pašalinamas įrašas failų galima
gią aparatūrą, lentelėje, bet ir į fizinę
nustatyti duomenų
likutinį įrašymo iš
įmagnetinimą, vietą įrašomi
kurio atsitiktiniai
atstatyti prieš taiduomenys.
įrašytus
Tiesa, naudojant
duomenis. ypatingai
Todėl jautrią ir brangią aparatūrą,
rekomenduojama duomenų galima nustatyti
trynimo likutinįprocesą
ir rašymo įmagnetinimą,
kartotiiškelis
kurio
atstatyti prieš tai įrašytus duomenis. Todėl rekomenduojama duomenų trynimo ir rašymo procesą
kartus, kad neliktų jokių likutinio įmagnetinimo žymių. Rekomenduojamas rašymų ir
kartoti kelis kartus, kad neliktų jokių likutinio įmagnetinimo žymių. Rekomenduojamas rašymų ir
trynimų–skaičius
trynimų skaičius ne mažiau – ne
kaipmažiau
7 kartaikaip
(9.47pav.).
kartai (9.4 pav.).
9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja
9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja
„Linux“ sistemose tokios funkcijos atliekamos naudojant shred komandą.

„Linux“
„Windows“ sistemose tokiosdominuoja
sistemose funkcijos trečiųjų
atliekamos
šaliųnaudojant shred tačiau
sukurti įrankiai, komandą. „Windows“
su „Windows
sistemoseXP“
dominuoja
versija trečiųjų šalių sukurti
yra atsiradęs įrankiai, tačiau
per komandinę eilutę su „Windowsįrankis
prieinamas XP“ versija
cipher,yranaudojamas
atsiradęs per
komandinęsu eilutę prieinamas
/W raktu, įrankis cipher,
užtikrinančiu, naudojamas
kad būtų /W raktu,disko
saugiaisuišvalytos užtikrinančiu, kad būtų saugiai
vietos, pažymėtos kaip
išvalytos disko vietos, pažymėtos kaip tuščios, tačiau neleidžia trinti konkrečių failų ar katalogų.
tuščios, tačiau neleidžia trinti konkrečių failų ar katalogų.
Jei neatstatomas failų trynimas yra taikomas tinkamai, tokiu būdu sunaikintų duomenų ar
įkalčių atstatyti faktiškai neįmanoma ir tenka jų ieškoti alternatyviose saugojimo vietose (atsarginėse
kopijose, išorinėse laikmenose) arba taikyti tyrimų metodus, nepagrįstus elektroninių įkalčių analize.
86
Disko skaidinių trynimas, modifikavimas ir formatavimas
Jei neatstatomas failų trynimas yra taikomas tinkamai, tokiu būdu sunaikintų
duomenų ar įkalčių atstatyti faktiškai neįmanoma ir tenka jų ieškoti alternatyviose sau-
gojimo vietose (atsarginėse kopijose, išorinėse laikmenose) arba taikyti tyrimų meto-
dus, nepagrįstus elektroninių įkalčių analize.
Disko skaidinių trynimas, modifikavimas ir formatavimas
Disko skaidinių trynimas ar modifikavimas taip pat gali pažeisti saugomus duo-
menis arba apsunkinti prieigą prie jų. Realiai, kaip ir taikant įprastus failų trynimo
metodus, duomenys iš disko nėra prarandami, net jei apie tai vartotojui pateikiami
įspėjamieji pranešimai, o modifikuojami įkrovos sektoriai, perrašomos failų lentelės.
Taip pat nepažeidžiamas fizinio duomenų saugojimas ir formatavimas, atliekamas
operacinės sistemos priemonėmis. Vienintelis programinis disko modifikavimo būdas,
vienareikšmiškai sunaikinantis visus jame esančius duomenis, yra žemo lygio forma-
tavimas (angl. low level format), kuris šiuo metu dažnai kompiuterių vartotojams net
nėra prieinamas.
9.2. Sunaikintų ir sugadintų duomenų atstatymas
NEE tyrimo metu sunaikintų įkalčių atstatymas yra gan dažnas uždavinys. Tyrė-
jas, be abejo, gali pasinaudoti operacinių sistemų suteikiamų įrankių duomenų atstaty-
mo galimybėmis, pvz., jau minėta šiukšliadėže arba bandyti ją atstatyti, jei ji sugadinta.
Tačiau operacinių sistemų suteikiamos galimybės yra gan ribotos ir tinka ne-
bent tuo atveju, jei nagrinėjama nepatyrusio arba žioplo nusikaltėlio sistema. Priešingu
atveju gali padėti specializuoti duomenų atstatymo įrankiai. Atsižvelgiant į platų tokių
įrankių spektrą, greitai besikeičiantį jų dizainą ir funkcionalumą bei ribotą vadovėlio
apimtį, autoriai nesiekia pateikti detalaus aprašymo, kaip naudotis kiekvienu iš jų. Tai
rekomenduojama atlikti savarankiškai arba per pratybas. Žemiau pateiktoje 9.1 lente-
lėje įvardijamos pagrindinės duomenų atstatymo įrankių kategorijos ir į jas patenkanti
programinė įranga.
87
9.1 lentelė. Sunaikintų duomenų atstatymo įrankiai
Įrankių kategorija ir jos apibūdinimas Įrankiai
Ištrintų failų atstatymo įrankiai – naudojami, kai • „Undelete“
trinant failą buvo pašalinta tik informacija apie jį • „Active@ Data Recovery Software“
failų lentelėje, o failo duomenys nebuvo perrašyti. • „R-Undelete“
Gali skirtis palaikomų laikmenų ir failinių sistemų • „Easy-Undelete“
atžvilgiu. • „WinUndelete“
• „Restoration“
• „Mycroft V3“
• „Recover My Files“
• „eData Unerase“
• „Recover4all Professional“
• „File Scavenger“
• „VirtualLab“
• „File Recover“
• „Badcopy Pro“
• „Zero Assumption Recovery“
• „SUPERFileRecover“
• „DiskInternals Uneraser and NTFS Recovery“
• „PC Inspector File Inspector“
• „Search and Recover“
• „O&O Unerase“
• „Filesaver“
• „Stellar Phoenix“
• „Restorer 2000“
• „R-Linux“
• „PC ParaChute“
Duomenų atstatymas iš CD / DVD diskų – taikomas, • „CDRoller“
jei atstatomi ištrinti duomenys iš daugkartinių diskų • „IsoBuster“
arba diskai turi įbrėžimų ar kitų pažeidimų. • „CD Data Rescue“
• „InDisk Recovery“
„MS Office“ dokumentų atstatymo įrankiai taikomi, • „OfficeFIX“
kai „MS Office“ priemonėmis sukurti failai yra • „Repair My Excel“
pažeisti. • „Repair My Word“
Suspaustų failų atstatymo įrankiai – dėl duomenų • „Zip Repair“
suspaudimo archyvų failai yra ypač jautrūs • „RAR Repair“
sugadinimui. Gali skirtis palaikomų suspaudimo • „WinZIP fix“
algoritmų skaičiumi. • „Zip2Fix“
Paveikslėlių atstatymas – atstato pažeistus • „eIMAGE Recovery“
paveikslėlius. • „Canon RAW File Recovery Software“
• „ImageRecall“
• „RecoverPlus Pro“
• „Nero Assumption Digital Image Recovery“
• „DiskInternals Flash Recovery“
• „PC Inspector Smart Recovery“
Ištrintų disko skaidinių atstatymas – naudojamas, kai • „Active@ Partition Recovery“
keliamas tikslas – atstatyti visą sugadintą ar ištrintą • „Active@ Disk Image“
disko skaidinį, o ne atskirus failus laikmenoje. • „DiskInternals Partition Recovery“
• „GetDataBack“
• „NTFS Deleted Partition Recovery“
• „Handy Recovery“
• „Acronis Recovery Expert“
• „TestDisk“
• „Scaven“
• „Recover It All!“
• „Partition Table Doctor“
88
Paskutiniu metu populiarėja įvairūs nemokamos programinės įrangos pagrindu
surinkti paketai, paruošti kaip diegimo nereikalaujanti operacinė sistema, paleidžiama
iš optinio disko arba USB rakto. Pelnytą populiarumą užsitarnavo „Hirens Boot CD“
ir „BackTrack“ įrankiai, naudojami dažno sistemų administratoriaus, informacijos sau-
gos specialisto ar NEE tyrėjo. Juose taip pat galima rasti paruoštų darbui ir duomenų
atstatymo įrankių, kurių sąrašas nuolat atnaujinamas.
Reikėtų pabrėžti, kad pateiktas programinės įrangos sąrašas nėra pilnas. Konkre-
taus įrankio pasirinkimas priklauso nuo NEE tyrėjo sprendžiamų uždavinių, naudojimo
patirties, turimo biudžeto ir asmeninių pomėgių. Taip pat, atsižvelgiant į patikimumo
reikalavimą įkalčiams, tyrimo metu dažniausiai negalima apsiriboti vienu įrankiu – ten-
ka taikyti jų kombinacijas bei lyginti gautus rezultatus.
1. Kodėl yra įmanoma atstatyti ištrintą failą, net jei jis pašalintas iš šiukšliadė-
žės, jei jam ištrinti buvo naudojami standartiniai trynimo metodai?
2. Koks yra neatstatomo disko trynimo principas?
3. Kuo gali būti naudinga NEE tyrimo metu perkeltų failų analizė?
Praktiniai darbai
1. Išbandykite skirtingus nereikšmingo failo trynimo testiniame kompiuteryje

būdus:
a) komandinę eilutę;
b) trynimą operacinės sistemos grafinėmis priemonėmis;
c) saugų (wipe) trynimą.
Pabandykite po kiekvieno būdo pritaikymo atstatyti ištrintą failą pa-
sirinktu arba dėstytojo nurodytu įrankiu. Pakomentuokite gautus rezultatus
ir paaiškinkite naudotų įrankių veikimo principus.
2. Susiskirstykite į grupes po 2–3 žmones.
a) Įdiekite savo kompiuteryje po dvi–tris programas iš įrankių kategorijos
(9.1 lentelė), kurią nurodys pratybas vedantis dėstytojas.
b) Išbandykite programos funkcionalumą, pritaikant jį pagal dėstytojo nu-
rodymus mokomiesiems duomenų rinkiniams.
c) Ar abiejų programų gauti rezultatai sutampa?
d) Viešai aptarkite gautus rezultatus.
89
10.
ĮKALČIŲ RINKIMAS VIEŠOJOJE ERDVĖJE
Kompiuterio vartotojo, taip pat ir nusikaltėlio veiksmai, retai apsiriboja vien
tik jo asmeninio kompiuterio ribomis. Kompiuterių tinklams ir internetui skverbiantis
į kasdienį gyvenimą, vis plačiau yra išnaudojami nutolusių sistemų (paslaugų serve-
rių, interneto svetainių ir t. t.) resursai. Vykdant tyrimą nutolusiose sistemose palikti
pėdsakai gali turėti lemiamos įtakos tyrimo sėkmei, tačiau dažnai yra už tyrėjo ana-
lizės galimybių ribų (nėra galimybės išimti sistemos analizei; sistema yra kitos šalies
jurisdikcijoje, o teisinės pagalbos sutartis nėra pasirašyta). Įtariamojo palikti įkalčiai
gali būti matomi ir viešai (pvz., įrašai palikti socialinių tinklų svetainėse), ir matomi
tik riboto skaičiaus specialistų bei pateikiami tyrimui pagal užklausą (pvz., interneto
paslaugų tiekėjų sistemose esantys įvykių registracijos įrašai). Jei įtariamasis ėmėsi pa-
kankamų priemonių apsaugai nuo potencialaus tyrimo savo kompiuteryje (pvz., visiško
šifravimo, įkalčių sunaikinimo saugiais metodais), tai tik viešojoje erdvėje likę įkalčiai
gali būti panaudoti kaltei įrodyti.
Šiame skyriuje viešoji erdvė suprantama plačiąja prasme, kaip bet kokios kom-
piuterių sistemos ar duomenys, tiesiogiai nesantys įvykio vietoje ir kurių nėra gali-
mybės išimti formaliam tyrimui. Patogumo dėlei įkalčių rinkimas viešoje erdvėje yra
išskaidytas į dvi kategorijas: paiešką interneto svetainėse ir paiešką kitose įtariamajam
neprieinamose sistemose. Be abejo, dėl ne visai formalių tokio tipo įkalčių gavimo
būdų atsiranda daugybė niuansų, susijusių su įkalčių pripažinimu teismo proceso metu,
o pagrindiniu uždaviniu juos renkant tampa visų įkalčių rinkimo žingsnių dokumenta-
cija ir susiejimas su laiko žymėmis. Pavyzdžiui, jei daroma interneto tinklapio, kuriame
yra įtariamąjį demaskuojantys komentarai, kopija ir (arba) nuotrauka, tai būtinai turi
būti nurodoma, kokiu laiku buvo fiksuojama svetainės būsena, kadangi interneto sve-
tainės pasižymi dinamika ir po kurio laiko ji gali atrodyti visai kitaip.
10.1. Įkalčių paieška interneto svetainėse
Internetas ir kompiuterių mainai jau yra tapę viena iš populiariausių bendravimo

ir informacijos mainų priemone. Žmonės rašo elektroninius laiškus, kalba ir susiraši-
nėja tiesioginio bendravimo programose (angl. Instant Messaging), ieško informacijos
internete, skelbia informaciją apie save ir buriasi į interesų grupes socialiniuose tin-
kluose.
Tačiau šiuolaikinių ryšių infrastruktūros privalumus suprato ir nusikaltėliai – jie
taip pat formuoja uždaras grupes, kuriose vyksta duomenų mainai (pvz., draudžiamo
turinio informacijos platinimas), koordinuojami veiksmai (pvz., teroristinių išpuolių
planavimai). Daugeliui interneto vartotojų susidaro klaidingas anonimiškumo jausmas,
todėl jie ima rašyti nekorektiškus komentarus, tyčiotis arba priekabiauti prie kitų žmo-
nių, skleisti ekstremistines idėjas.
90
Kita vertus, internete esančios informacijos analizė leidžia tyrėjui surinkti per
trumpą laiką labai daug naudingos informacijos, tokios kaip įtariamojo nuotrauka,
draugų ratas, kontaktai, paskutinių apsilankymų tinkle datos, pažiūros ir pasakymai,
pomėgiai ir interesai. Didelė dalis nusikaltėlių, neturinčių specifinių kompiuterijos ži-
nių , net nesusimąsto, kiek daug naudingos informacijos jie patys pateikia tyrėjams.
10.1 lentelėje pateikiami skirtingi viešai prieinami resursai, kuriuose galima ras-
ti vienokių ar kitokių tyrimui naudingų duomenų.
10.1 lentelė. Interneto svetainėse randami įkalčiai

Svetainės / resurso tipas Duomenų objektas / įkaltis Įkalčio panaudojimas tyrimo procese
Naujienų svetainės Komentarai, skaitytos publikacijos Įtariamojo interesų sritims išsiaiškinti,
pažiūroms patvirtinti.
Forumai Komentarai, pasakymai, pradėtos ir Įtariamojo interesų sritims išsiaiškinti,
stebimos temos pažiūroms patvirtinti, bendravimo ratams
nustatyti (dažnai forumų dalyviai būna
pažįstami asmeniškai).
Socialiniai tinklai Vartotojo vardas Nustatytas vartotojo vardas, pats savaime
neturintis tiesioginės informacijos
apie vartotoją (pvz., „jgjj451“, o ne
„V. Pavardenis“), gali būti pritaikytas
vartotojui identifikuoti kitose sistemose.
Socialiniai tinklai Darbo patirtis / CV Darbo ir profesinei patirčiai nustatyti,
atsiliepimams ir charakteristikoms,
atleidimo priežastims išsiaiškinti iš
buvusių darbdavių (pvz., „LinkedIn“).
Socialiniai tinklai Grupės / draugai Ryšiams ir interesams, grupės hierarchijai
nustatyti.
Socialiniai tinklai Pasakymai Įtariamojo interesų sritims išsiaiškinti,
pažiūroms patvirtinti.
Socialiniai tinklai Fotografuota ir vaizdo medžiaga Asmenų, su kuriais bendraujama, tačiau
kurie patys nesinaudoja socialiniais
tinklais, asmenybėms nustatyti.
Asmeninis, oficialus Pasakymai, asmeniniai duomenys, Įtariamojo interesų sritims išsiaiškinti,
puslapis, tinklaraščio tipo nuotraukos, gyvenimo aprašymai, pažiūroms patvirtinti gyvenamajai arba
arba kitaip kontroliuojami kontaktai buvimo vietai nustatyti.
puslapiai
Interneto archyvas Senos svetainių versijos Jei sena informacija, kompromituojanti
įtariamąjį, buvo pašalinta iš jo
kontroliuojamos svetainės, ji gali būti
atstatyta iš interneto archyvo sistemų,
tokių kaip http://www.archive.org/.
Paieškos sistemų podėlio Senos svetainių versijos Kitas būdas rasti pašalintas svetaines arba
(angl. cache) informacija jų senas versijas.
Pornografinio, ekstremistinio Lankymosi arba medžiagos Draudžiamos medžiagos naudojimo,
ar kitokio draudžiamo peržiūros /paskelbimo pėdsakai; platinimo įrodymui, pažiūroms patvirtinti.
turinio platinimo saitai komentarai
DNS įrašai Įtariamojo kontroliuojami adresai, Žmogaus kontroliuojamų svetainių
svetainės; kontaktinė informacija, nuosavybei patvirtinti.
svetainių paskelbimo informacija
Warez ir torrent svetainės Duomenų siuntimo ir platinimo Autorinėmis teisėmis apsaugotos
istorija informacijos neteisėtam platinimui arba
naudojimui patvirtinti.
91
Kaip matyti lentelėje, daugiausia informacijos tyrėjui gali suteikti socialiniuose
tinkluose esanti informacija. Taip pat reikia pabrėžti, kad galimi įkalčių panaudojimai
tyrimo procese neapsiriboja įvardytais lentelėje. Kiekvienu konkrečiu atveju surinkta
informacija gali būti panaudota priklausomai nuo tyrėjo kvalifikacijos ir sprendžiamo
uždavinio.
Kita viešojoje erdvėje skleidžiamos asmeninės informacijos pusė yra ta, kad ja
neteisėtai arba ne visai korektiškai gali pasinaudoti nusikaltėliai arba tretieji asmenys.
Taip pat ir dalis darbdavių pripažįsta, jog tikrina kandidatų į darbą asmenines svetaines
ir puslapius socialiniuose tinkluose, o nusikaltėliai gali panaudoti viešai prieinamus
duomenis žmogaus identiteto vagystei (pvz., sužinoti asmens duomenis ir jo vardu pa-
imti kreditą) arba įsilaužimui į asmens valdomas sistemas (pvz., dalis sistemų, tokių
kaip el. pašto, gali priminti slaptažodį, jei teisingai atsakoma į slaptą klausimą, daž-
niausiai paremtą asmenine informacija, kuri, savo ruožtu, matoma nusikaltėliui aukos
svetainėje). Tokiu atveju pati socialinio tinklo sistema gali tapti tyrimo objektu, siekiant
išsiaiškinti, kada ir kas galėjo įvykdyti asmeninių duomenų peržiūrą / vagystę.
10.2. Įkalčių paieška kitose įtariamajam neprieinamose sistemose
Kitoms viešoms įtariamajam neprieinamoms sistemoms šio vadovėlio autoriai

priskiria ryšio veikimą užtikrinančias sistemas, tokias kaip interneto paslaugų tiekėjų
(angl. Internet Service Provider arba ISP) maršrutizatorius, DNS serverius, ugniasienes
ir t. t.
Įtariamasis, tikėdamasis nusikaltimo tyrimo, gali pašalinti nusikaltimo pėdsakus
savo kompiuteryje arba net pažeistoje aukos sistemoje (-ose). Tačiau jo įtaka ryšio pas-
laugų tiekėjų įrangai dažnai būna ribota. Daugelyje valstybių (taip pat ir Europos Są-
jungoje) ISP yra įpareigoti saugoti informaciją apie vartotojų inicijuotus susijungimus.
Todėl ISP pateikus tyrėjui tokio tipo informaciją, gali būti patvirtinta, jog įtariamasis
kreipėsi į tam tikrą resursą. Jei ISP naudoja tarpinę tarnybinę stotį (angl. proxy ser-
ver), galima tikėtis, kad bus nustatytas ir tikslus siųstos informacijos turinys. Kai kurių
paslaugų atveju (pvz., IRC, kitos tiesioginio bendravimo programos), paslaugų tiekėjo
serveriuose gali išlikti tokių pokalbių turinys ir jų dalyvių sąrašas. Taip pat nėra paslap-
tis, kad paieškos sistemos kaupia ir analizuoja vartotojų užklausas, jas sieja su kreipi-
mosi adresais, kitų savo teikiamų paslaugų (pvz., el. pašto) duomenimis. Portatyviniai
įrenginiai, tokie kaip išmanieji telefonai, turintys pozicionavimo (GPS) funkciją, gali
perduoti informaciją apie asmens buvimo vietą telefono gamintojui. Mobiliųjų tinklų
operatoriai taip pat gali gan tiksliai nustatyti abonento buvimo vietą, naudodami GSM
pozicionavimo sistemas.
Tačiau visais šiais atvejais NEE tyrėjui, norint gauti įkalčius, būtinas bendradar-
biavimas su trečiųjų šalių pusėmis. Šį bendradarbiavimą gali apsunkinti tokie veiksniai:
▬▬ trečioji šalis yra nepavaldi NEE tyrėjo šalies teisinei sistemai, t. y. tyrėjas neturi
jokių teisinių galių priversti pateikti tyrimui reikiamus duomenis;
▬▬ duomenys yra priešiškos arba silpnai kontroliuojamos valstybės teritorijoje;
92
▬▬ lėtas trečiosios šalies reagavimas arba įkalčių teikimo vilkinimas, galintis sąly-
goti jų praradimą anksčiau, nei įkalčiai yra pateikti;
▬▬ tyrimo vilkinimas iš trečiosios šalies pusės, siekiant apsaugoti savo klientų pri-
vatumą;
▬▬ techninės problemos, susijusios su didžiuliais trečiosios šalies apdorojamais
duomenų kiekiais;
▬▬ įkalčių praradimas arba netinkamas apdorojimas;
▬▬ problemos įrodant, kad sujungimai ar kiti veiksmai tinkle buvo inicijuoti įtaria-
mojo, o ne, pavyzdžiui, jo kompiuteryje įdiegtu kenksmingu programiniu kodu.
Tikėtina, kad griežtinant įstatymus ir gilinant tarptautinį NEE tyrimo srities ben-
dradarbiavimą, ateityje daugelį šitų problemų bus galima išspręsti.
1. Kokiu atveju pasiteisina įkalčių paieška viešojoje erdvėje?

2. Kokie įkalčiai gali būti rasti socialinių tinklų svetainėse ir kokių nusikaltimų
įrodymui gali būti panaudoti?
3. Ar galite prisiminti atvejų, kad Lietuvoje būtų nuteista už neleistinos infor-
macijos platinimą arba ekstremistinius išpuolius internete?
4. Pasinaudodami http://www.archive.org/ galimybėmis, atlikite pasirinktos
interneto svetainės keitimo istorijos analizę. Ar pavyko surasti atvejų, kai
duomenys buvo pašalinti? Pakartokite eksperimentą naudodamiesi „Goo-
gle“ ar analogiškos paieškos sistemos podėlio informacijos (angl. cache)
galimybėmis. Kokius privalumus ir trūkumus galite įvardyti abiem atvejais.
5. Viešai aptarkite, kokias grėsmes kelia asmeninių duomenų saugumui jų ne-
kontroliuojamas platinimas internete.
6. Su kokiais iššūkiais gali susidurti NEE tyrėjas, jei tyrimui reikalingi įkalčiai
yra saugomi trečiosios šalies?
93
11.
NEE TYRIMO SKIRTINGOSE OPERACINĖSE
SISTEMOSE YPATUMAI
Kompiuterių sistemose NEE tyrėjas gali susidurti su pačiomis įvairiausiomis
operacinėmis sistemomis, pradedant atgyvenančiomis DOS ir baigiant SCADA (angl.
supervisory control and data acquisition). Naudojamų operacinių sistemų ypač padau-
gėjo plačiai paplitus išmaniesiems telefonams ir kitiems mobiliems įrenginiams, kai
rinkoje pasirodė naujų operacinių sistemų gamintojų, tokių kaip „Google“ („Android“
platforma), „Nokia“ („Symbian“ OS), „Samsung“ („Bada“ OS) ir kitų, produkcija.
Pastebima mobilių OS perkėlimo tendencija į stacionariuosius kompiuterius. Tačiau
pagrindinį vaidmenį rinkoje vis dar išlaiko „Microsoft“ korporacija su „Windows“ ope-
racinių sistemų šeima, „Apple“ ir atvirojo kodo pagrindu kuriamos „Unix“ tipo ope-
racinės sistemos (įvairios „Linux“ versijos). Lietuvoje labiausiai paplito „Microsoft“
ir atvirojo kodo produktai, o „Apple“ operacinės sistemos didesnę rinkos dalį užima
JAV. Šiame skyriuje yra akcentuojami NEE tyrimo aspektai „Windows“ ir „Linux“ tipo
operacinėse sistemose.
Bendrieji tyrimo metodai ir žingsniai nepriklauso nuo konkrečios operacinės sis-
temos, tačiau gali skirtis tam tikri techniniai įkalčių identifikavimo ir analizės niuansai,
kuriuos lemia operacinės sistemos architektūriniai sprendimai.
11.1. NEE tyrimo „Windows“ OS ypatumai
„Microsoft Windows“ – grupė komercinių operacinių sistemų, skirtų asmeni-

niams kompiuteriams. Operacinės sistemos duomenų mainai su vartotoju vyksta per
grafines vartotojo sąsajas. Kartu su operacine sistema pateikiamos ir kai kurios progra-
mos, pvz., „Windows Media Player“, „Internet Explorer“. OS pasižymi plačiu prieina-
mų taikomųjų programų spektru, kuriuos tiekia ir pati „Microsoft“ korporacija, ir kiti
programinės įrangos gamintojai. Tai, o taip pat patogios vartotojo sąsajos, leido šiai
sistemai užimti didelę rinkos dalį. Žemiau esančioje 11.1 lentelėje pateikti specifiniai
„Windows“ OS objektai ir galimi jų panaudojimai NEE tyrimui.
94
11.1 lentelė. „Windows“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu
Duomenų objektas Tyrimui naudinga informacija
1 2
Failas boot.ini versijose Windows NT / Įdiegtų operacinių sistemų versijoms nustatyti ir joms surišti su
2000 / XP / 2k3 / Vista / 7 kietojo disko skaidiniais.
Vidiniai NTFS failai (jei diegimui $MFT – įvairios funkcijos, tokios kaip saugomų objektų sąrašas.
naudojama NTFS failinė sistema) $MFTMirr – naudojamas sistemos atstatymui po avarijos
užtikrinti.
$LogFile – naudojamas sistemos atstatymui po avarijos
užtikrinti.
$Volume – saugoma informacija apie formatuotą disko tūrį
(angl. volume).
$AttrDef – nurodo atributus, palaikomus formatuoto disko tūrio.
$Bitmap – stebimas klasterių išnaudojimas disko tūryje.
$Boot – nurodo į disko įkrovos sektorių.
$BadClus – stebi blogų klasterių buvimo vietas diske.
$Secure – saugo saugumo atributus.
Registrai Prisijungimų prie sistemos nustatymai.
Įvykių registracijos įrašų valdymo nustatymai.
Sistemos konfigūraciniai nustatymai.
NTUSER.DAT Vartotojo sukūrimo laikas.
Paskutinio sistemos išjungimo laikas.
Katalogas Įvairių tipų įvykių registracijos įrašai.

c:\windows\system32
\config
Failai:
AppEvent.evt, SecEvent.evt, SysEvent.
evt, Osession.evt, Internet.evt
Arba katalogas
c:\windows\system32\
winevt\logs
Nuorodų failai (*.lnk) Gali išlikti, net jei ištrinti failai, kuriuos jie nurodė. Gali būti kaip
įrodymas, kad tam tikri failai sistemoje atsirado ne be vartotojo
žinios, nes jis buvo sukūręs jų nuorodą.
Thumbs.db, thumbcache_32.db, Faile saugomi paveiksliukų išankstinės peržiūros (angl. preview)
thumbcache_96.db, thumbcache_256.db, atvaizdai. Failas sukuriamas, jei įjungiamas „Thumbnails“
thumbcache_1024.db režimas. Iš failo, jei jis išliko, galima sužinoti apie kataloge
saugotų paveikslėlių turinį, net jei patys paveiksliukai buvo
sunaikinti.
c:\windows\ Spausdintuvo eilės failo informacija.
system32\spool\printers
*.SHD
*.SPL
Recycler, Recycled, $Recycle.Bin Šiukšliadėžės informacija. Gali būti panaudota, jei pati
šiukšliadėžė yra sugadinta ir neatsidaro standartinėmis
priemonėmis.
Pagefile.sys Naudojami atminties atvaizdo analizei, atmintyje vykdomai
Hiberfil.sys dvejetainio kodo analizei, šifravimo slaptažodžių paieškai.
95
11.1 lentelės tęsinys
1 2
Atstatymo taškai ir „šešėlinės“ kopijos Sistemos būsenos nustatymas tam tikru laiku (priklauso nuo
(angl. Rektore points ir Shadow copies) atstatymo taškų kūrimo dažnio).
SYSTEM\<ControlSet###>\
Control\BackupRestore
SOFTWARE\Microsoft\
Windows NT\CurrentVersion\
SystemRestore
C:\Documents and Settings\<username>\ Vartotojo naršymo istorija, atsisiųsti laikini failai, lankytų
Cookies interneto svetainių „saldainiukai“. Pastaba: tinka, jei vartotojas
naudojasi integruota „Internet Explorer“ naršykle, priešingu
C:\Users\<username>\AppData\ atveju reikia nagrinėti konkrečios naršyklės realizaciją.
Roaming\Microsoft\
Windows\Cookies
C:\Documents and
Settings\<username>\
Local Settings\History
\History.IE
C:\Documents and Settings\<username>\

Local Settings\
Temporary Internet Files\Content.IE5
Failai su plėtiniais: *.PST ir *.OST. „MS Outlook“ el. pašto kliento archyvai, laiškai, kontaktai. Gali
būti panaudoti susirašinėjimo analizei.
Aprašytieji duomenų objektai gali priklausyti nuo konkrečios instaliacijos nu-

statymų (pvz., būti kitame loginiame diske) ir keistis evoliucionuojant operacinėms
sistemoms arba išeinant jų atnaujinimo paketams.
11.2. NEE tyrimo „Linux“ OS ypatumai
„Linux“ – tai atvirojo kodo operacinės sistemos branduolio (angl. kernel) pa-
vadinimas. Dažnai taip sutrumpintai vadinama ir bendrai visa „Unix“ tipo operacinė
sistema, naudojanti „Linux“ branduolį kartu su sisteminėmis programomis bei biblio-
tekomis. „Linux“ OS šeimos populiarumą lėmė jų kaina (nemokama), platus įrankių ir
programinių paketų pasirinkimas, stabilumas ir galimybė pritaikyti operacinę sistemą
savo poreikiams. 11.2 lentelėje pateikti specifiniai „Linux“ OS objektai ir galimi jų
panaudojimai NEE tyrimui.
96
11.2 lentelė. „Linux“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu
Duomenų objektas Tyrimui naudinga informacija
/boot Naudojamo OS branduolio versija, sukompiliuoti ir naudojami
branduolio moduliai.
/etc Šiame kataloge gali būti rasta didžioji dalis operacinės sistemos
konfigūracinių nustatymų. Tyrimo metu reikėtų ieškoti nukrypimų nuo
tipinių nustatymų.
/etc/passwd Informacija apie sistemoje registruotus vartotojus, jų ID.
/var/spool/cron Informacija apie sistemoje reguliariai atliekamus veiksmus. Gali būti
/etc/crontab naudinga, jei tam tikro veiksmo reguliarumą sukonfigūravo nusikaltėlis.
lastlog Vartotojų prisijungimo (laiko, iš kur jungtasi ir t. t.) informacija.
/var/run/utmp
/etc/syslog.conf Įvykių registracijos įrašų nustatymai, taip pat įvairūs įvykių registracijos
/var/log įrašai.
.bash_history Vartotojo vykdytos komandos.
.history
.sh_history
.recently-used.xbel (Gnome) Įvairių programų paskutiniai atidaryti failai.
.recently-used.xbel (GIMP)
.wireshark/recent (Wireshark)
…
/var/spool/cups Spausdintuvo nustatymai ir jo eilės failo informacija.
/etc/printcap
known_hosts Nuotolinės mašinos, prie kurių buvo jungtasi iš analizuojamos mašinos
per SSH protokolą.
.mozilla/firefox Interneto naršyklės „Mozilla Firefox“ (šiuo metu populiariausia „Linux“
OS) naršymo istorija.
Cookies.sqlite
Downloads.sqlite
Formhistory.sqlite
Places.sqlite
sessionstore.js
_CACHE_MAP_;_CACHE_001_;
_CACHE_002_; _CACHE_003_
mbox Susirašinėjimo el. paštu analizė.

Maildir
.mozilla/thunderbird
Sukeitimų vieta (angl. swap space). Naudojama atminties atvaizdo analizei, atmintyje vykdomai dvejetainio
kodo analizei, šifravimo slaptažodžių paieškai.
11.2 lentelėje pateikti duomenys gali neženkliai skirtis priklausomai nuo „Li-
nux“ distribucijos, naudojamos versijos. Taip pat reikia atkreipti dėmesį, kad „Linux“
operacinėje sistemoje skirtingi vartotojai gali naudotis daugybe įrankių, kurie nėra ap-
rašyti šioje lentelėje, tačiau gali suteikti naudingos informacijos tyrimui.
Kaip matome iš pateiktų lentelių (11.1, 11.2), kiekviena operacinė sistema in-
formacijos ir konfigūracinių nustatymų saugojimui naudoja savitą struktūrą ir architek-
tūrą, todėl NEE tyrėjas, siekdamas tyrimo metu nepražiopsoti svarbių įkalčių arba jų
netyčia nesunaikinti, turi gerai susipažinti su analizuojamos operacinės sistemos archi-
tektūra ir veikimo principais.
97
1. Priklausomai nuo to, kokią operacinę sistemą naudojate, pasistenkite savo

kompiuteryje surasti failus, nurodytus Jūsų operacinę sistemą atitinkančioje
lentelėje, peržiūrėkite jų turinį.
2. Pasidalinę į grupes po 4–5 žmones, parenkite pristatymus apie kitų operaci-
nių sistemų NEE tyrimo ypatumus.
3. Atlikite savarankišką analizę ir pasiūlykite, kokius tyrimo įrankius Jūs reko-
menduotumėte „Windows“ ir „Linux“ operacinių sistemų analizei? Kodėl?
98
12.
ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS
Viena iš svarbiausių rekomendacijų, kuria būtina vadovautis renkant įkalčius, ne-
priklausomai, ar tai būtų asmeninis kompiuteris, serveris ar tinklo sistema, yra duome-
nų vientisumo (angl. integrity) išsaugojimas. Tai reiškia griežtų procedūrų, leidžiančių
neužteršti tiriamų duomenų bei formuojančių teisinius reikalavimus vykdančią įkalčių
grandinę, vykdymą. Reikia turėti omenyje, kad net neturint tikslo tyrimo pradžioje per-
duoti bylą teismui, vientisumo išsaugojimas turi būti užtikrintas, atsižvelgiant į tokio
scenarijaus perspektyvą ateityje. Net jei byla niekada nebus perduota teismui, patys
įtariamieji, pasinaudodami spragomis tyrėjo veiksmuose, galės vėliau iškelti prieš jį
bylą, tarkime, už privatumo pažeidimą ar duomenų sunaikinimą. Todėl tinkamai išsau-
goti įkalčiai gali tapti ne tik įtariamojo kaltės įrodymo priemone, bet ir tyrėjo gynybos
argumentu.
Duomenų ar aparatūros, naudojamos kaip įkalčiai, išsaugojimas, apima įvairias
procedūras, kurios apsaugo įkalčius nuo žalos ir užtikrina, kad įkalčių būsena nepakinta
arba pakinta nereikšmingai nuo to momento, kai įkalčiai yra išimami. Jei duomenys ar
jų dalis yra prarandami, pakeičiami arba pažeidžiami, jie negali būti panaudoti teisme.
Dar blogiau, metodų rinkimo patikimumas, kai dalis duomenų prarasta ar sugadinta,
gali teisme pažeisti pasitikėjimą kitais surinktais įkalčiais ir sugriauti visą bylą.
Šiame skyriuje apžvelgiami esminiai veiksmai ir procedūros, kurias turi taiky-
ti NEE tyrėjas visuose tyrimo etapuose, siekdamas neprarasti įkalčių bei išsaugoti jų
vientisumą. Vientisumo sąvoka šiame vadovėlyje yra suprantama kaip negalėjimas mo-
difikuoti saugomus duomenis neturint tam reikiamų teisių, taip pat negalėjimas modifi-
kuoti duomenų, nepaliekant tų veiksmų pėdsakų.
12.1. Įkalčių vientisumo išsaugojimo metodai
Įkalčių vientisumas turi būti užtikrintas visų NEE tyrimo etapų metu. Įkalčių
išsaugojimo procesas prasideda nuo momento, kai atsiranda įtarimas dėl nusikaltimo
įvykdymo, ir tęsiasi tol, kol tyrimas pasibaigia. Net pasibaigus teismo procesui, įkalčiai
turi išlikti saugūs ir nemodifikuoti tam atvejui, jei būtų pateiktas apeliacinis skundas.
Pavyzdžiui, policija turi saugoti surinktus įkalčius daugybę metų net įsiteisėjus teis-
mo sprendimui, o nusikaltėliui – atlikus bausmę. Analogiškai, jei , pvz., buvo atleistas
darbuotojas ir tyrimą vykdė organizacijos vidinis tyrimų skyrius, jis irgi bus priverstas
saugoti įkalčius daugelį metų, siekiant apsisaugoti nuo teisminio persekiojimo dėl ne-
motyvuoto atleidimo.
Įkalčių saugojimo terminas dažniausiai priklauso nuo šalyje galiojančios teisi-
nės sistemos, apibrėžiančios senaties terminus kiekvienam nusikaltimo tipui. Siekiant
nustatyti įkalčių saugojimo terminus, kiekvieną kartą rekomenduojama konsultuotis su
teisininkais.
99
Įkalčių fizinės apsaugos įvykio vietoje užtikrinimas
Žmogus, organizacijoje atsakingas už pirminę reakciją į incidentus, taip pat turi

būti atsakingas ir už tai, kad būtų apsaugota įvykio vieta iki tyrėjo atvykimo. Svarbu
užtikrinti, kad po to, kai įtartinos sistemos yra identifikuotos, žmonės negalėtų prie jų
prieiti ir sugadinti įkalčių. Kartais tai gali būti gan paprastas uždavinys, pavyzdžiui,
tiesiog užrakinant ir plombuojant serverinę ar kitokią patalpą, kartais – žymiai sudė-
tingesnis, kai, pavyzdžiui, susiduriama su geografiškai paskirstyta sistema. Jei fizinės
prieigos ribojimas nėra techniškai įmanomas, galima taikyti įvykio vietos žymėjimą
įspėjamaisiais ženklais, nes dauguma žmonių vengs patekimo į pažymėtą ir aptvertą
teritoriją, bijodami būti įtrauktais į teismo procesą (jei būtų nustatytas jų buvimo faktas
įvykio vietoje) kaip liudininkai ar net įtariamieji. Kaip atskira įvykio vietos apsaugos
priemonių dalis turi būti traktuojamas sąrašas žmonių, bandžiusių patekti ir patekusių
į įvykio vietą (sąraše reikia nurodyti asmeninę informaciją, buvimo arba bandymo pa-
tekti laiką, tikslą ir parašą).
Nestabilių įkalčių vientisumo išsaugojimas
Atlikus šiuos veiksmus, būtina imtis priemonių nestabiliems įkalčiams išsau-

goti, t. y. tokiems, kurie išnyksta dingus elektros tiekimui (operatyviosios atminties
duomenys, įvairių įrenginių atmintis, ekrano vaizdai ir kiti). Jų apsaugos imamasi prio-
ritetine tvarka, kadangi jie yra labiausiai pažeidžiami ir pakankamai lengvai praranda-
mi. Įrangai, kuriai dėl techninių priežasčių neįmanoma atlikti nestabilių įkalčių kopijos
(pvz., paskutiniai telefonu rinkti numeriai) galima taikyti dokumentavimo procesus,
pasitelkus į pagalbą nešališkus liudininkus.
Nestabilių įkalčių rinkimą ar dokumentavimą rekomenduojama atlikti tokia
tvarka (jų praradimo grėsmės mažėjimo tvarka):
1. Registrai ir paieškos sitemų podėlio informacijos (angl. cache) atmintis.
2. Maršrutizavimo lentelės, ARP paieškos sistemų podėlio informacija, proce-
sų sąrašas, OS branduolio statistika.
3. Operatyvioji atmintis.
4. Laikinieji failai failinėje sistemoje (nebūtina, jei yra galimybė fiziškai iš-
jungti sistemą; tada taikomi stabilių įkalčių rinkimo metodai).
Didžiąją šių veiksmų dalį galima atlikti pasinaudojant standartinėmis operacinių
sistemų komandomis (12.1 lentelė).
12.1 lentelė. Komandos ir įrankiai nestabiliems įkalčiams išsaugoti

Nestabilių įkalčių tipas ir panaudojimas Komanda arba įrankis
1 2
Atidaryti tinklo sujungimai – gali parodyti, su netstat („Windows“ / “Unix“); nbstat („Windows“).
kuriomis sistemomis vyksta duomenų mainai.
ARP cache – gali parodyti, su kuriomis arp („Windows“ / “Unix“).
sistemomis buvo užmezgamas ryšys.
Veikiantys procesai – įtartiniems procesams ps („Unix“); pslist, TaskManager („Windows“).
identifikuoti.
100
12.1 lentelės tęsinys
1 2
Tinklo nustatymai – galimoms klaidoms ar ipconfig („Windows“); ifconfig („Unix“).
pažeidimams konfigūracijoje nustatyti.
Operatyviosios atminties kopijavimas (dump) dd („Unix“); trečiųjų šalių įrankiai, tokie kaip WinHEX
– atmintyje saugotų duomenų analizei, („Windows“).
tarnybinės informacijos analizei.
Monitoriaus rodomos informacijos fiksavimas Fotoaparatas, turintis unikalų identifikatorių bei galintis
– anomalijoms, paleistoms programoms, fiksuoti laiko žymę. Kadangi šiuolaikinės operacinės
stebimai informacijai fiksuoti. sistemos sugeba „ištempti“ vaizdą per kelis monitorius, reikia
nufotografuoti visų monitorių rodomą vaizdą, įsitikinti, kad
visi jie yra įjungti.
Stabilių įkalčių vientisumo išsaugojimas
Apsaugojus labiausiai pažeidžiamus duomenis įjungti. yra pereinama prie stabilių duo-
menų, t. y. tokių, kurie išlieka ir išjungus elektros tiekimą, išsaugojimo (informacija
kietajame
Stabilių diske, atmintuko
įkalčių vientisumo tipo atmintyje ir kt.). Tačiau dirbant net ir su tokio tipo
išsaugojimas
įranga reikia imtis saugumo priemonių. Egzistuoja dvi nuomonės, kaip turi būti ap-
Apsaugojus
doroti stabiliejilabiausiai
įkalčiai,pažeidžiamus duomenis įyra
jei tyrėjo atvykimo pereinama
įvykio vietą prie
metustabilių duomenų,
įtartina sistemat. yra
y. tokių,
kurieįjungta.
išlieka irVieni
išjungus
specialistai ragina daryti tikslią disko kopiją neišjungiant kompiuterio ir tipo
elektros tiekimą, išsaugojimo (informacija kietajame diske, atmintuko
atmintyje ir kt.). Tačiau dirbant net ir su tokio tipo įranga reikia imtis saugumo priemonių. Egzistuoja
tokiu būdu išsaugoti dalį informacijos, kuri galėtų būti prarasta sistemą išjungiant. Šis
dvi nuomonės, kaip turi būti apdoroti stabilieji įkalčiai, jei tyrėjo atvykimo į įvykio vietą metu įtartina
metodas
sistema yra vienintelis
yra įjungta. įmanomas,
Vieni specialistai jei daryti
ragina sistema apsaugota
tikslią „full disk
disko kopiją encryption“
neišjungiant tipo ir
kompiuterio
apsauga, tačiau yra dažnai kritikuojamas dėl savo potencialaus poveikio įkalčiams.
tokiu būdu išsaugoti dalį informacijos, kuri galėtų būti prarasta sistemą išjungiant. Šis metodas yra Kiti
specialistai
vienintelis raginajeiišjungti
įmanomas, sistemakompiuterį atjungiant
apsaugota „full tinklo kabelį,
disk encryption“ tipoo apsauga,
ne naudojant
tačiauopera-
yra dažnai
kritikuojamas dėl savo
cinės sistemos potencialaus
siūlomą išjungimopoveikio
kelią,įkalčiams.
nes tokiuKitibūduspecialistai
išvengiama ragina išjungti
galimų kompiuterį
duomenų
atjungiant tinklo tvarkingai
praradimo kabelį, o neišjungiant,
naudojant iroperacinės sistemos
vėliau sukurti diskosiūlomą
tiksliąišjungimo kelią, nesspecia-
kopiją naudojant tokiu būdu
išvengiama galimų duomenų praradimo tvarkingai išjungiant, ir vėliau sukurti disko tikslią kopiją
lizuotą aparatinę (12.1 pav.) arba programinę įrangą, tokią kaip „Norton Ghost“ (12.2
naudojant specializuotą aparatinę (12.1 pav.) arba programinę įrangą, tokią kaip „Norton Ghost“ (12.2
pav.) pav.) arbaanalogišką.
arba kitą kitą analogišką.
12.1 pav. Portatyvinis diskų kopijavimo įrenginys

101
12.2 pav.
12.2 pav. „Norton Ghost“ vartotojo „Norton Ghost“ vartotojo sąsaja
sąsaja
Aptikus neįjungtą kompiuterių sistemą, 96 vienareikšmiškai nurodoma, kad jos ne-

galima įjungti, o iškart reikia pereiti prie tikslios kopijos kūrimo.
Įkalčių būsenos fiksavimas ir sterilumo užtikrinimas
Kai padaroma tiksli laikmenos kopija, būtina įrodyti, kad ji visiškai atitinka ori-
ginalo duomenis. Dažniausiai tai daroma pasirinktu metodu suskaičiuojant originalo
ir kopijos duomenų kontrolinę sumą, remiantis CRC (angl. cyclic redundancy check)
arba vienakrypčių funkcijų algoritmais. Dauguma NEE tyrimams skirtų dublikavimo
įrankių turi tokią funkciją.
Tyrėjas turi būti tikras, kad laikmena, į kurią bus įrašoma tiksli kopija, yra sterili
(angl. forensically sterile), t. y. joje nėra jokių kitų duomenų, KPK arba defektų. Tai lei-
džia išvengti duomenų dubliavimosi ir praradimo. Sterilumo reikalavimas taip pat ga-
lioja, kai papildomos kopijos yra daromos ir perduodamos kitoms tyrimą vykdančioms
šalims. Rekomenduojama pagal galimybę kiekvieną kartą rašyti duomenis į absoliučiai
naują laikmeną, prieš tai įsitikinus, kad joje nėra gamykloje įrašytų duomenų.
Įkalčių saugos užtikrinimas saugojimo metu
Bet kada, kai išimti įkalčiai (kompiuterinė įranga) nėra analizuojami, jie turi būti
tinkamai apsaugotoje aplinkoje, tokioje kaip seifas arba ribotos prieigos kambarys, ne-
priklausomai, ar tai yra teisėsaugos institucijų, ar kompanijos tyrimo grupės vykdomas
tyrimas. Tokioms patalpoms ar saugykloms turi būti vedamas į jas patenkančių asmenų
registracijos žurnalas, analogiškas vedamam įvykio vietoje. Bet koks įkalčių įnešimas ar
išnešimas turi būti registruojamas ir patvirtintas atitinkamus įgaliojimus turinčių asmenų.
102
Taip pat, jei padarytos duomenų kopijos yra išsaugotos serveryje, turi būti užti-
krinta to serverio prieigos kontrolė. Taigi bendriausias taikomas principas turėtų būti
toks – prieiga prie įkalčių turi būti užtikrinta tik ribotam, tam motyvuotą ir teisėtą pa-
grindą turintiems žmonėms.
12.2. Įkalčių grandinė
Šiame trumpame poskyryje nagrinėjama labai svarbi įkalčių grandinės sąvoka.

Įkalčių grandinė (angl. chain of evidence arba chain of custody) yra apibrėžiama kaip
veiksmų seka, leidžianti kontroliuoti įkalčio buvimo vietą bet kuriuo momentu nuo
išėmimo iki pateikimo į teismo salę. Tie veiksmai apima, bet neapsiriboja, tinkamą
įkalčių pakavimą, nuotraukas iš įvykio vietos, su įkalčiais atliekamą operacijų doku-
mentavimą, galimus liudininkų parodymus ir t. t. Tinkamai paruošta įkalčių grandinė
yra pagrindas įrodymui, kad įkalčių vientisumas nėra pažeistas. Jei įkalčių grandinė
nėra patikima arba prarasta viena jos grandis, arba, kitaip tariant, įkalčio buvimo vietos
nėra įmanoma atsekti kažkokiu laiko momentu, tai gali reikšti, kad įkalčiai buvo modi-
fikuoti, o vėliau jų pagrindu padaryti sprendimai – klaidingi.
Įkalčių grandinės valdymas prasideda įvykio vietoje, kur įkaltis įpakuojamas
ir (arba) pažymimas. Sudaromas visų išimamų įkalčių sąrašas. Įkalčiams pakuoti turi
būti naudojami specialūs maišeliai, kurių po užklijavimo negalima atidaryti nepažeidus
pakuotės. Po to pakeliai yra pažymimi nurodant, kas atliko jų pakavimą. Taip pat reko-
menduojama užrašyti unikalų įkalčio identifikatorių ir tiriamos bylos numerį. Įstatymai
ir konkrečios šalies tyrimų procedūros gali reikalauti papildomos informacijos žymint
įkalčius.
Įvykio vietoje sudarytas įkalčių sąrašas naudojamas kaip pagrindas išimtų įkal-
čių kontrolei. Jame fiksuojama, kam, kuriam laikui ir kokiu tikslu įkaltis buvo perduo-
tmas, taip pat fiksuojamas įkalčių grąžinimo faktas.
1. Kaip galima apriboti fizinę prieigą prie įvykio vietos, jei patalpų rakinimas
arba kitos prevencinės patekimo priemonės nėra įmanomos?
2. Kokia tvarka rekomenduojama atlikti nestabilių įkalčių išsaugojimą? Ko-
kiais įrankiais galima surinkti nestabilius įkalčius?
3. Suformuluokite sterilumo apibrėžimą NEE tyrimo prasme. Kodėl sterilu-
mas yra svarbus ir kaip gali būti pasiektas?
4. Kaip gali būti įrodyta, kad NEE tyrimo metu padaryta disko kopija atitinka
originalą?
5. Kokia yra įkalčių grandinės sąvokos prasmė ir kuo ji svarbi teismo procesui?
103
Praktiniai darbai
1. Išbandykite 12.1 lentelėje pateiktų įrankių ir komandų funkcionalumą. Kaip

galėtumėte interpretuoti gautus rezultatus vykdant tyrimą?
2. Pasirinktu arba dėstytojo nurodytu įrankiu sukurkite duoto lankstaus diske-
lio arba kompaktinio disko atvaizdą, suskaičiuokite ir užrašykite atvaizdo
kontrolinę sumą.
3. Pabandykite įsivaizduoti ir aprašyti tariamo įkalčio grandinę. Aptarkite
grandinę su kolegomis ir dėstytoju.
104
13.
ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI
Įkalčių analizė yra sunkus ir daug laiko reikalaujantis procesas. Analizės pro-
cesas numato daug metodų – pradedant labai paprastais, tokiais kaip reikšminių žo-
džių paieška įtartinose rinkmenose, ir baigiant sudėtingais, pavyzdžiui, kompiuterio
operatyviojoje atmintyje iki išjungimo saugotos informacijos atkūrimu pagal likutinį
įmagnetinimą. Šiame skyriuje aprašyti keli bendrieji įkalčių analizės metodai ir laisvai
platinami bei komerciniai įrankiai.
13.1. Įkalčių analizės būdai
Pagrindinė įkalčių analizės etapo užduotis yra surasti visoje įvykio vietoje su-
rinktoje informacijoje duomenis, kurie gali patvirtinti arba paneigti tyrimo hipotezę ir
atstatyti įvykio eigą. Didėjantys informacijos kiekiai ir laikmenų talpos daro praktiškai
nepritaikomais rankinius analizės metodus, o tyrėjai vis dažniau naudojasi automati-
zuotais metodais. Žemiau aprašomi įvairūs įkalčių analizės būdai, galintys padėti su-
rasti išimtuose fiziniuose įkalčiuose arba jų dublikatuose tyrimui reikšmingų duomenų.
▬▬ Įkalčių paieška pagal reikšminius žodžius. Tai vienas iš plačiausiai taikomų ana-
lizės metodų. Šiuo metu saugomos kietuosiuose diskuose informacijos apimtys
yra labai didelės ir atlikti visos informacijos vizualinę analizę tampa nebeįma-
noma, todėl pasitelkiama specializuota programinė įranga, ieškanti reikšminių
žodžių ne tik rinkmenų pavadinimuose, bet ir rinkmenų viduje. Taip pat reikš-
minių žodžių gali būti ieškoma ir atkurtuose failuose.
▬▬ Įvykių registracijos įrašų analizė ir koreliacija. Vienas iš svarbiausių taikomų
analizės būdų. Pagrindinis metodo privalumas prieš bendrą paiešką pagal reikš-
minius žodžius yra tas, kad skirtingai nuo paieškos skirtingo formato failuose ar
duomenyse, įvykių registracijos įrašai yra griežtai struktūrizuoti, į juos beveik
visada yra įrašoma informacija apie įvykio laiką ir įvykio šaltinį. Įvykių regis-
tracijos įrašuose dažnai naudojama įvykių rangavimo sistema, todėl atsiranda
galimybė rūšiuoti įvykius pagal jų kategoriją ir didžiausią dėmesį skirti aukštą
pavojingumo reitingą turintiems įrašams, o ne gaišti laiką analizuojant informa-
cinį „triukšmą“. Jei organizacijoje yra taikomas centralizuotas įvykių registra-
cijos įrašų saugojimas ir yra pakankamos įvykių registracijos įrašų apsaugos
nuo modifikavimo, jie tampa dar svarbesni tyrimui, nes leidžia būti tikriems dėl
įvykių laikų. Įvykių registracijos įrašų koreliavimo įrankiais galima susieti skir-
tingose sistemose vykusius įvykius pagal laiko žymes, o taikant šį ir kitus duo-
menų gavybos metodus – nustatyti, kaip sistemos buvo susietos įvykio metu bei
kaip vystėsi incidentas.
105
▬▬ Sukeitimų rinkmenos arba disko skaidmenos analizė. Sukeitimų (angl. swap) rin-
kmeną („Windows“ OS) arba disko skaidmeną („Unix“ sistemos) operacinė siste-
ma naudoja, kai pritrūksta operatyviosios atminties: seniausiai RAM (operatyvio-
joje atmintyje) saugomi informacijos blokai įrašomi į sukeitimų rinkmeną, turint
galimybę juos atstatyti. Sukeitimų rinkmenos analizė naudinga nusikaltimams
tirti, nes jame gali būti išsaugotas operatyviosios atminties atvaizdas, t. y. atlie-
kant sukeitimų rinkmenos analizę galima atstatyti kompiuterio vartotojo veiks-
mus, net jei visa kita informacija yra ištrinta iš kietojo disko. Didžiausias metodo
iššūkis tas, kad informacija yra nestruktūrizuota, dažnai neišsami ir prieinama
binariniu formatu, todėl analizei reikalinga specializuota programinė įranga. Su-
keitimų rinkmenos analizė naudinga tada, jei analizuojamas kompiuteris buvo
konfiskuotas nusikaltėliui nespėjus jo perkrauti ir aktyvuoti sukeitimų valymo
programų arba tinkamai išjungus kompiuterį, nustačius įsilaužimą.
▬▬ Kontaktų analizė. Kontaktų analize galima nustatyti įtariamojo bendravimo ratą,
tačiau ji turi būti atliekama nepažeidžiant privatumo įstatymų. Turi būti tiriami
analizuojamo kompiuterio kietajame diske esantys elektroniniai laiškai, susira-
šinėjimo per pokalbių programas (IRC, ICQ, Skype ir kt.) žurnalinės rinkmenos,
interneto skambučių išklotinė ir t. t. Naudojant kontaktų analizę galima nustatyti
bendravimo temas, išsiaiškinti nusikaltėlio tikslus ir jį dominančią informaci-
ją arba įrodyti nusikalstamos veiklos organizavimą, išsiaiškinti organizacijos
struktūrą. Jei reikiamos informacijos nepavyksta rasti įtariamojo kompiuteryje,
ji gali būti aptikta komunikacijai naudotų tarnybinių stočių įrašuose arba kitų
asmenų, su kuriais įtariamasis keitėsi informacija, kompiuteriuose.
▬▬ Grafinės ir vaizdinės informacijos analizė. Peržiūrint fotografuotus ir vaizdo įra-
šus galima nustatyti asmenis, su kuriais buvo bendraujama, gali būti užfiksuoti
nusikaltimo įvykiai (pvz., nusikaltėlis pats fiksavo įvykio vietą) ar patys įrašai gali
būti nusikaltimo įrodymu (pvz., tiriant vaikų pornografijos platinimo atvejus).
▬▬ Atminties atvaizdo (angl. dump) analizė. Jei yra galimybė gauti kompiuterio at-
minties atvaizdą, tai naudojant specializuotus įrankius galima gauti informacijos
apie veikiančius ir paslėptus procesus, kviečiamas bibliotekas, perimti slaptažo-
džius, kuriais užšifruoti duomenys diske ir t. t.
▬▬ Žiniatinklio naršyklės podėlio (angl. cache) analizė. Šiuo metodu galima nusta-
tyti, kokia informacija buvo renkama, nusikaltėlio tikslus ir charakterį, naršymo
internete įpročius ir daug kitos pagalbinės informacijos, pvz., nustačius, kokiose
interneto puslapiuose nusikaltėlis lankėsi, galima išsiaiškinti, kokios priemonės
buvo naudojamos įsilaužimui įvykdyti.
▬▬ Spausdintuvo kaupiklio analizė. Spausdintuvo kaupiklyje arba eilės faile (angl.
spooler), t. y. faktiškai specialiai spausdinti paruoštose rinkmenose, taip pat ir
sukeitimų rinkmenoje, gali netyčia užsilikti svarbių įkalčių.
▬▬ Tinklo srauto analizė. Galima sužinoti apie atidarytus sujungimus tinklo lygiu,
naudojamus duomenų protokolus, perimti nešifruotu pavidalu perduodamus
slaptažodžius (pvz., FTP, SMTP), analizuoti siunčiamų paketų turinį.
▬▬ Failų keitimo istorijos analizė. Pagrįsta dažniausiai analizuojamų failų hash
reikšmių arba laiko žymių analize. Leidžia nustatyti, ar failas buvo modifikuotas
ir (arba) modifikavimo laiką.
106
Galima pastebėti, kad daugumos analizės metodų pagrindą sudaro duomenų
paieška pagal tam tikrus kriterijus (raktiniai žodžiai, įvykio rangas, laiko intervalas,
tam tikra vaizdinė informacija ir t. t.). Neabejotinai, didesnės reikšmės ateityje turės
šiuo metu labai brangios įvykių žurnalo įrašų koreliacijos technologijos ir kitos duo-
menų gavybos technologijos, kuriomis nustatomi įprastiniais metodais nematomi ryšiai
tarp atskirų surinktų duomenų blokų.
13.2. Įkalčių analizės įrankiai
NEE tyrėjui šiuo metu retai kada tenka tiesiogiai peržiūrėti įvykio vietoje su-
13.2.rinktą
Įkalčių analizės
informaciją įrankiai
– rankinė paieška truktų pernelyg ilgai ir sąlygotų žemą tyrėjo pro-
duktyvumą. Pagrindiniu tyrėjo darbo įrankiu tampa specializuotos analizės programos
arba net integruotieji paketai, skirti įvairiems analizės uždaviniams spręsti. Šiame pos-
NEE tyrėjui šiuo metu retai kada tenka tiesiogiai peržiūrėti įvykio vietoje surinktą informaciją –
kyryje,
rankinė atsižvelgiant
paieška į vadovėlio
truktų pernelyg tikslinę auditoriją,
ilgai ir sąlygotų žemą tyrėjotrumpai supažindinama
produktyvumą. Pagrindiniusu tyrėjo
keliaisdarbo
nemokamais
įrankiu arba pagal
tampa specializuotos GPL licenciją
analizės programosplatinamais įkalčių analizės
arba net integruotieji paketai,įrankių rinkiniais.
skirti įvairiems analizės
Taip pat pristatomi
uždaviniams populiariausi
spręsti. Šiame poskyryje,komerciniai produktai,
atsižvelgiant skirti įkalčių
į vadovėlio tikslinęanalizei.
auditoriją, trumpai
supažindinama su keliais nemokamais arba pagal GPL licenciją platinamais įkalčių analizės įrankių
rinkiniais. Taip pat pristatomi populiariausi komerciniai produktai, skirti įkalčių analizei.
Komerciniai įrankiai
„EnCase“ – plačios paskirties NEE tyrimo įrankių rinkinys, gaminamas „Gui-

Komerciniai įrankiai
dance Software“ kompanijos (www.guidancesoftware.com). Skirtas įkalčių tikslioms
kopijoms
„EnCase“sukurti, analizei
– plačios ir ataskaitoms
paskirties NEE tyrimo parengti.
įrankių Yra vienas
rinkinys, iš populiariausių
gaminamas „Guidance komer-
Software“
cinių įrankių,
kompanijos plačiai naudojamas teisėsaugos
(www.guidancesoftware.com). pareigūnų.
Skirtas įkalčių Dėl savo
tikslioms populiarumo
kopijoms sukurti,taip pat ir
analizei
ataskaitoms
dažnai parengti. Yra vienas
yra taikomos iš populiariausių
specialiai komercinių
prieš šį rinkinį nukreiptos įrankių,
atakos.plačiai naudojamas
Analitinės dalies teisėsaugos
funk-
pareigūnų. Dėl savo
cionalumas populiarumo
apima daugelio taip
failųpat dažnaiperžiūros
formatų yra taikomos specialiai
palaikymą, HEXprieš šį rinkinį
formato nukreiptos
analizės
atakos. Analitinės dalies funkcionalumas apima daugelio failų formatų peržiūros palaikymą, HEX
galimybes, įvykių registracijos įrašų analizę. Vienas iš pagrindinių privalumų – visam
formato analizės galimybes, įvykių registracijos įrašų analizę. Vienas iš pagrindinių privalumų – visam Commen
NEE NEE
tyrimotyrimo procesui
procesui reikalingų
reikalingų įrankių integravimas
įrankių integravimas į vieną
į vieną sąsają sąsają
(13.1 pav.).(13.1 pav.). buvo palik
13.1 pav. „EnCase“ vartotojo sąsaja

13.1 pav. „EnCase“ vartotojo sąsaja
„Forensic Toolkit®“ (FTK®) irgi yra priskiriamas plačios paskirties NEE tyrimo įrankių
107
kategorijai. Galima analizuoti operacinių sistemų registrus, atlikti paiešką pagal reikšminius žodžius
(13.2 pav.).
„Forensic Toolkit®“ (FTK®) irgi yra priskiriamas plačios paskirties NEE tyri-
mo įrankių kategorijai. Galima analizuoti operacinių sistemų registrus, atlikti paiešką
pagal reikšminius žodžius (13.2 pav.).
13.2 pav. FTK įrankio paieškos rezultatai

13.2 pav. FTK įrankio paieškos rezultatai
Prie pagrindinių privalumų galima priskirti tai, kad juo galima atlikti „gyvų“
sistemųprivalumų
Prie pagrindinių analizę. galima priskirti tai, kad juo galima atlikti „gyvų“ sistemų analizę.
„Computer Online Forensic Evidence Extractor“ (COFEE) yra sukurtas „Mi-
„Computer Online Forensic
crosoft“ korporacijos Evidence būtent
ir optimizuotas Extractor“ (COFEE)
„Windows“ yra sukurtas
šeimos operacinių„Microsoft“
sistemų
korporacijos ir optimizuotas būtent „Windows“ šeimos operacinių sistemų analizei. Įrankis gali būti
analizei. Įrankis gali būti paleistas iš USB rakto arba išorinio disko.
paleistas iš USB rakto arba išorinio disko.
Taip pat galima paminėti tokius komercinius įrankius, kaip „Paraben P2 Com-
mander“ (plačios
Taip pat galima paskirties
paminėti įrankių rinkinys),
tokius komercinius „Forensic
įrankius, Assistant“
kaip „Paraben (vartotojų veiks-
P2 Commander“ (plačios
paskirtiesmų analizės
įrankių įrankis „Forensic
rinkinys), – el. pašto,Assistant“
bendravimo programų,
(vartotojų dokumentų,
veiksmų analizėsnaršyklių
įrankis –duomenų
el. pašto,
bendravimo programų,
analizė), dokumentų,
„PeerLab“ naršyklių
(dalinimosi duomenų
failais analizė), „PeerLab“
ir bendravimo (dalinimosianalizė),
programų duomenų failais ir
bendravimo programų duomenų analizė), „ArcSight IdentityView“ ir „LogLogic
„ArcSight IdentityView“ ir „LogLogic LX“ (vartotojų veiksmų stebėjimas ir analizė LX“ (vartotojų
veiksmų stebėjimas ir analizė įvykių registracijos įrašų pagrindu), „LogLogic SEM“ (įvykių
įvykių registracijos įrašų pagrindu), „LogLogic SEM“ (įvykių registracijos įrašų ir in-
registracijos įrašų ir incidentų koreliacija), „WinHEX“ (atminties atvaizdo analizė).
cidentų koreliacija), „WinHEX“ (atminties atvaizdo analizė).
Nemokami arba atvirojo kodo įrankiai

Nemokami arba atvirojo kodo įrankiai
Šiuo metu Šiuoegzistuojantys nemokami
metu egzistuojantys NEE įkalčių
nemokami NEEanalizės įrankiai iš
įkalčių analizės esmės išgali
įrankiai užtikrinti
esmės gali
tyrėjui visą reikiamą funkcionalumą. Išimtį sudaro tik įvykių registracijos įrašų koreliacijos
užtikrinti tyrėjui visą reikiamą funkcionalumą. Išimtį sudaro tik įvykių registracijos įra- uždaviniai,
kuriems kokybiškų ir nemokamų įrankių dar faktiškai nėra sukurta (nereikia painioti paprastos įvykių
šų koreliacijos
registracijos įrašų analizėsuždaviniai, kuriems
ir koreliacijos kokybiškų
uždavinių, ir nemokamų
kadangi pastarieji įrankių darįrašų
susiję su faktiškai nėra
iš skirtingų
sukurta (nereikia painioti paprastos įvykių registracijos įrašų analizės
sistemų agregavimu ir automatizuotu įvykių tarpusavio ryšių nustatymu). Dauguma nemokamų įrankių ir koreliacijos
uždavinių,
gali nusileisti kadangi pastarieji
komerciniams produktams susiję
dėl su įrašų išsąsajos
vartotojo skirtingų sistemų (pvz.,
patogumo agregavimu ir automa-
gali būti reikalingi
komandinėstizuotu įvykių
eilutės tarpusavio
naudojimo ryšiųarba
įgūdžiai nustatymu).
gali tektiDauguma
persijungtinemokamų įrankių
tarp skirtingų gali Nemokamų
langų). nusileisti
produktųkomerciniams
naudai galimaproduktams
paminėti tai,dėljogvartotojo
jie dažnai kuriami
sąsajos specializuotų
patogumo (pvz., institutų
gali būti(pvz., SANS
reikalingi
Institute)komandinės
arba šios srities entuziastų, yra dažniau atnaujinami.
eilutės naudojimo įgūdžiai arba gali tekti persijungti tarp skirtingų langų).
Nemokamų produktų naudai galima paminėti tai, jog jie dažnai kuriami specializuotų
„SANS SIFT Workstation“ – SANS institute distribucijos pagrindu sukurta „Ubuntu Linux“
virtuali mašina, (pvz., SANS
institutųkurioje Institute)
yra įdiegti arba šios
skirtingi NEEsrities
tyrimoentuziastų, yra dažniauįrankiai
proceso užtikrinimo atnaujinami.
(neminimi
įrankiai, nesusiję su įkalčių analize):
• „The Sleuth Kit“ (failinės sistemos analizė);
108
• „log2timeline“ (įvykių registracijos įrašų susiejimo su laiko juosta įrankis);
102
„SANS SIFT Workstation“ – SANS institute distribucijos pagrindu sukurta
„Ubuntu Linux“ virtuali mašina, kurioje yra įdiegti skirtingi NEE tyrimo proceso užti-
krinimo įrankiai (neminimi įrankiai, nesusiję su įkalčių analize):
▬▬ „The Sleuth Kit“ (failinės sistemos analizė);
▬▬ „log2timeline“ (įvykių registracijos įrašų susiejimo su laiko juosta įrankis);
▬▬ „Foremost/Scalpel“ (failų analizė);
▬▬ „Wireshark“ (gali būti naudojamas tinklo paketų analizei);
▬▬ „Vinetto“ (thumbs.db failo analizė);
▬▬ „Pasco“ („Internet(failųExplorer“
analizė); naršyklės naršymo istorijos analizė);
▬▬
• „Foremost/Scalpel“
„Rifiuti“ (Recycle Bin analizė);
▬▬
• „Wireshark“ (gali būti naudojamas tinklo paketų analizei);
„Volatility
• „Vinetto“ Framework“
(thumbs.db (atminties analizė);
failo analizė);
▬▬
• „Pasco“„PyFLAG“
(„Internet(GUI Log/Disk
Explorer“ analizė).
naršyklės naršymo istorijos analizė);
• „Rifiuti“ (Recycle
Rinkinys Bin analizė);
suderinamas su „Expert Witness Format“ (E01), „Advanced Forensic
„Volatility
•Format“ (AFF)Framework“
ir raw (dd) (atminties
įkalčiųanalizė);
formatais. Kaip pagrindinį rinkinio privalumą ga-
„PyFLAG“
•lima (GUI Log/Disk analizė).
įvardyti jo virtualizaciją, kuri tampa labai populiari ir leidžia efektyviai išnaudoti
kompiuterių sistemų resursus.
Rinkinys suderinamas su „Expert Witness Format“ (E01), „Advanced Forensic Format“ (AFF) ir raw
„PTK Forensics“
(dd) įkalčių formatais. Kaip pagrindinį (PTK) platforma
rinkinio yragalima
privalumą kuriama „DFLabs
įvardyti Inc“ kompanijos
jo virtualizaciją, kuri tampa
„The Sleuth Kit“ įrankio pagrindu su papildomais analitiniais
labai populiari ir leidžia efektyviai išnaudoti kompiuterių sistemų resursus. moduliais. Platformai
įdiegti turi būti paruošta LAMP tipo (angl. Linux, Apache, MySQL, Perl/PHP/Python)
„PTK Forensics“
sistema, (PTK)
vartotojui platforma
suteikiama yra kuriama
patogi „DFLabsprieinama
grafinė aplinka, Inc“ kompanijos „The Sleuth
per naršyklę. Kit“
Dėl kli-
įrankio pagrindu su papildomais analitiniais moduliais. Platformai įdiegti turi būti paruošta
ento serverio architektūros realizacijos (13.3 pav.) vienu metu aplinka gali naudotis LAMP tipo
(angl. Linux, Apache, MySQL, Perl/PHP/Python) sistema, vartotojui suteikiama patogi grafinė aplinka,
keli tyrėjai.
prieinama per naršyklę. Dėl kliento serverio architektūros realizacijos (13.3 pav.) vienu metu aplinka
13.3 pav. PTK platformos architektūra

13.3 pav. PTK platformos architektūra
Indeksavimo mechanizmas
Indeksavimo yra naudojamas
mechanizmas preliminariai
yra naudojamas duomenų duomenų
preliminariai analizei iranalizei
vėlesnėms
ir
paieškoms pagreitinti. Naudojant modulinę architektūrą galima lengvai plėsti
vėlesnėms paieškoms pagreitinti. Naudojant modulinę architektūrą galima lengvai analitinių modulių
skaičių. Profesinė platformos
plėsti analitinių versijaskaičių.
modulių gali būtiProfesinė
pateikiama kaip virtuali
platformos arba aparatinė
versija sistema.
gali būti pateikiama kaip
Sistemoje automatiškai fiksuojami visi tyrėjų atlikti veiksmai (13.4 pav.), todėl galima
virtuali arba aparatinė sistema.
automatiškai fiksuoti ir galimus įkalčių pakeitimus, o vėliau juos įtraukti automatiškai generuojant
ataskaitą. Taip, jei tyrėjas neturi prieigos teisių prie PTK sistemos administravimo, išvengiama interesų
konflikto ir užkertamas kelias tyrėjų sukčiavimui,109 nes bet kokie jų veiksmai užfiksuojami jiems
nepavaldžioje sistemoje.
Sistemoje automatiškai fiksuojami visi tyrėjų atlikti veiksmai (13.4 pav.), todėl
galima automatiškai fiksuoti ir galimus įkalčių pakeitimus, o vėliau juos įtraukti auto-
matiškai generuojant ataskaitą. Taip, jei tyrėjas neturi prieigos teisių prie PTK sistemos
administravimo, išvengiama interesų konflikto ir užkertamas kelias tyrėjų sukčiavimui,
nes bet kokie jų veiksmai užfiksuojami jiems nepavaldžioje sistemoje.
13.4 pav. Tyrėjų veiksmų stebėjimas PTK platformoje

13.4 pav. Tyrėjų veiksmų stebėjimas PTK platformoje
Šiuo
Šiuometu
metu platformos suteikiamą
platformos analitinįanalitinį
suteikiamą funkcionalumą sudaro:
funkcionalumą sudaro:
▬▬ • Failų analizė: peržiūra „Ascii“, „Ascii String“, „Hexdump“ ir „Image preview“
Failų analizė: peržiūra „Ascii“, „Ascii String“, „Hexdump“
formatais; paieška pagal raktinius žodžius (indeksuota ir neideksuota); ir „Image
paieškapreview“
tam tikru
formatais; paieška pagal
laiko intervalu; raktiniusiržodžius
filtrai (tekstinis (indeksuota
kelių kriterijų ir neideksuota);
kombinuotasis); nesutapimųpaieška
failuose
nustatymas.
tam tikru 13.5 pav. filtrai
laiko intervalu; pateikiami kombinuotojo
(tekstinis ir kelių filtro (failųkombinuotasis);
kriterijų tipas ir laiko intervalo)
nesu-
taikymo rezultatai.
tapimų failuose nustatymas. 13.5 pav. pateikiami kombinuotojo filtro (failų tipas
ir laiko intervalo) taikymo rezultatai.
13.5 pav. Kombinuotojo filtro taikymo rezultatai PTK platformoje
• MACB (angl. Modification, Access, Creation, Birth) vizualizacija. MACB

vizualizacijos
13.5 pav. Kombinuotojo filtroįrankiu galima
taikymo nustatyti
rezultatai objektų kūrimo ir modifikavimo tendencijas
PTK platformoje
informacinėje sistemoje. Taip, pavyzdžiui, 13.6 pav. matyti, kad nagrinėjamu
110
104
▬▬ MACB (angl. Modification, Access, Creation, Birth) vizualizacija. MACB vizu-
alizacijos įrankiu galima nustatyti objektų kūrimo ir modifikavimo tendencijas
informacinėje sistemoje. Taip, pavyzdžiui, 13.6 pav. matyti, kad nagrinėjamu
laikotarpiu buvo trys šuoliai, kurių metu sistema buvo naudojama ypač aktyviai.
Todėl galima manyti,
laikotarpiu kadšuoliai,
buvo trys aktyvumas buvo
kurių metu sąlygotas
sistema kažkokios
buvo naudojama ypačneteisėtos vei-
aktyviai. Todėl
galima manyti, kad aktyvumas buvo sąlygotas kažkokios neteisėtos veiklos, ir tyrėjas
klos, ir tyrėjas gali skirti pagrindinį dėmesį būtent
gali skirti pagrindinį dėmesį būtent tiems periodams.
tiems periodams.
13.6 pav. MACB vizualizacijos

13.6 pav.įrankio
MACBveikimo rezultatai
vizualizacijos įrankio veikimo rezultatai
▬▬ Raktinių
• Raktinių žodžių paieška. Galimi paieškos variantai:
žodžių paieška. Galimi paieškos variantai:
o paieška „Extended“ tipo disko skaidmenose;
―― paieška „Extended“
o paieška FAT tipo diskosistemoje;
failinėje skaidmenose;
―― paieška FAT o paieška
failinėjeNTFS failinėje sistemoje;
sistemoje;
o paieška EXT3FS failinėje sistemoje;
―― paieška NTFSo „FAT failinėje sistemoje;
Daylight“ testas;
―― paieška EXT3FS
o „FAT failinėje
Undeleted“sistemoje;
testas;
o „NTFS
―― „FAT Daylight“ Undeleted“ testas;
testas;
o paieška „JPEG header“ failuose.
―― „FAT Undeleted“ testas;
―― „NTFS Undeleted“atminties
• Operatyviosios testas; analizė. Naudojant operatyviosios atminties atvaizdo platformą
galima:
―― paieška „JPEG header“ failuose.
▬▬ Operatyviosios
o nustatyti veikiančius / veikusius procesus;
atminties
o peržiūrėti analizė.
atidarytus tinkloNaudojant operatyviosios atminties atvaizdo
„soketus“ / sujungimus; Comment [P41]: Reik
lietuviško atitikmens
platformą galima:
o peržiūrėti užkrautas DLL bibliotekas ir jų ryšius su procesais;
Comment [n42]: Yra t
o peržiūrėti visų procesų atidarytus failus ir registro įrašus;
―― nustatyti veikiančius / veikusiusadresuojamą
o peržiūrėti procesoriaus procesus;atmintį; “prievadas”. Bet lygiai taip
siūlomą versti ir terminą “
―― peržiūrėtioatidarytus tinklo „soketus“
peržiūrėti operacinės / sujungimus;
sistemos naudojamus modulius; Dėl to gali būti dviprasmy
kadangi iš techninės pusės
―― peržiūrėtioužkrautas
susieti fizinius
DLLir bibliotekas
virtualius atminties
ir jų adresus;
ryšius su procesais; skirtingi dalykai. Siūlau ra
o ištraukti iš atminties vykdomąjį kodą; prievadus (angl. socket).
―― peržiūrėtiovisų procesų
atlikti paieškąatidarytus failus
pagal raktinius ir registro
žodžius įrašus;
(13.7 pav.).
―― peržiūrėti procesoriaus adresuojamą atmintį;
―― peržiūrėti operacinės sistemos naudojamus modulius;
―― susieti fizinius ir virtualius atminties adresus;
105
―― ištraukti iš atminties vykdomąjį kodą;
―― atlikti paiešką pagal raktinius žodžius (13.7 pav.).
111
13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius
13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius
• Disko ar kitos laikmenos įrašų peržiūra žemu lygmeniu.
▬▬ Disko
• Žymių
ar13.7sistema.
pav.
kitos Suteikiamarezultatai
Paieškos
laikmenos galimybė pažymėti
įrašų atmintyje
peržiūra (angl.
žemu bookmark)
pagal įkalčius.
raktinius
lygmeniu. žodžius
▬ ▬ Žymių
Atskirassistema. Suteikiama
įrankių rinkinys, galimybė
skirtas NEE įkalčių pažymėti
analizei, yra(angl.
• Disko ar kitos laikmenos įrašų peržiūra žemu lygmeniu.
bookmark)
integruotasis įkalčius.
ir „Linux“ distribucijos
Atskirasskirtas
„BackTrack“, įrankių rinkinys,
etinio skirtas
įsilaužimo NEEir įkalčių
imitavimo analizei,
NEE tyrimo yra integruotasis
uždaviniams ir „Li-
spręsti. Distribucija
Žymių„LiveCD“
•platinama sistema.forma,
Suteikiama galimybė
todėl gali pažymėti
būti naudojama (angl. bookmark)
ir „gyvų“ įkalčius.
sistemų analizei. Šiuo metu rinkinį
nux“ distribucijos „BackTrack“, skirtas etinio įsilaužimo imitavimo ir NEE tyrimo už-
sudaro:
daviniams
Atskiras spręsti.
• įrankių
„Autopsy“ Distribucija
rinkinys,
įrankis –skirtasplatinama
galima NEE „LiveCD“
atliktiįkalčių
„gyvų“ analizei,
ir „negyvų“ forma, todėl
yrasistemų
integruotasis galijose
analizę, irbūti naudojama
„Linux“
sudarant distribucijos
failų
ir „gyvų“ skirtas
„BackTrack“, sistemųetinio
sąrašus, analizei.
peržiūrėti Šiuo metu
failo
įsilaužimoturinį, rinkinįirsudaro:
rūšiuoti
imitavimo failus NEE tyrimo uždaviniams spręsti. atlikti
pagal tipą, stebėti failų keitimo istoriją, Distribucija
▬▬
platinama „LiveCD“ paiešką pagal reikšminius žodžius, analizuoti failų metaduomenis (13.8 pav.), analizuoti
„Autopsy“ forma,
duomenisįrankis
todėl gali
diskuose–irgalima
būtigrafinių
naudojama
nagrinėtiatlikti „gyvų“ ir ir„gyvų“
failų tarnybinę„negyvų“ sistemų analizei.
sistemų
informaciją.
Šiuojose
analizę, metusu-rinkinį
sudaro: darant failų sąrašus, peržiūrėti failo turinį, rūšiuoti failus pagal tipą, stebėti failų
• „Autopsy“ įrankis –atlikti
keitimo istoriją, galima atlikti pagal
paiešką „gyvų“reikšminius
ir „negyvų“ žodžius,
sistemų analizę,
analizuoti josefailų
sudarant
me- failų
sąrašus, peržiūrėti failo turinį, rūšiuoti failus pagal tipą, stebėti failų keitimo istoriją, atlikti
taduomenis (13.8 pav.), analizuoti duomenis diskuose ir nagrinėti grafinių failų
paiešką pagal reikšminius žodžius, analizuoti failų metaduomenis (13.8 pav.), analizuoti
tarnybinędiskuose
duomenis informaciją.
ir nagrinėti grafinių failų tarnybinę informaciją.
13.8 pav. Failų metaduomenų analizė naudojant „Autopsy“ įrankį
106
13.8 pav. Failų13.8 pav. Failųanalizė

metaduomenų metaduomenų
naudojantanalizė naudojant
„Autopsy“ įrankį „Autopsy“ įrankį
106
112
▬▬ „Scalpel“ – tai greitas failų analizatorius, kuris apdoroja failų header ir footer
informaciją.
▬▬ „Memdump“ – įrankis, galintis apdoroti ir operatyviosios atminties, ir PCI sude-
rinamų įrenginių atmintį.
Taip pat galima paminėti tokius nemokamus NEE įkalčių analizės įrankius ar jų
rinkinius, kaip „The Coroner’s Toolkit“ (įrankis, pritaikytas „Unix“ tipo sistemų ana-
lizei), „The Sleuth Kit“ (plačios paskirties įrankių rinkinys), „Categoriser 4 Pictures“
(grafinės informacijos analizės ir kategorizavimo įrankis), „OSForensics“ (įrankis,
skirtas failų, vaizdų, elektroninio pašto ir naršyklių naudojimo istorijos analizei).
1. Kokius NEE įkalčių analizės būdus galėtumėte įvardyti? Kokie yra šių me-
todų ypatumai?
2. Kokių reikšminių žodžių NEE tyrėjas gali ieškoti:
a) analizuodamas failinę sistemą;
b) analizuodamas atminties atvaizdą;
c) kuo gali būti motyvuoti ieškomų reikšminių žodžių skirtumai?
3. Kokią informaciją NEE tyrėjui gali suteikti interneto naršyklės naudojimo
istorijos analizė?
4. Kokius komercinius ir nemokamus NEE įkalčių analizės įrankius galite
įvardyti?
5. Kuo NEE tyrėjui gali būti naudinga MACB vizualizacija?
Praktiniai darbai
Mokomojoje aplinkoje „Tele-Lab – Virtual IT Security Laboratory“ arba, studi-

juodami savarankiškai, savo kompiuteryje paleiskite „SANS SIFT Workstation“ pro-
graminę įrangą. Susiskirstykite į grupes po 2–3 žmones. Dėstytojui pateikus mokomuo-
sius įkalčių rinkinius ir vykdydami jo instrukcijas, atlikite:
1. Lankstaus diskelio, kuriame yra ir ištrintų, ir neištrintų failų, failinės siste-
mos analizę.
2. Paiešką pagal raktinius žodžius pateiktame kietojo disko atvaizde. Kiekvie-
nai grupei dėstytojas aprašo tariamą situaciją, kurios pagrindu studentai nu-
sprendžia, kokių raktinių žodžių reikia ieškoti. Atlikite „Internet Explorer“
naršyklės naršymo istorijos analizę.
3. Dokumentuokite atliktus veiksmus ir tyrimo išvadas. Viešai aptarkite tyri-
mo rezultatus ir etaloninius (dėstytojui žinomus) tyrimo rezultatus.
113
14.
TYRIMO ATASKAITOS PARENGIMAS
Tyrimo ataskaitos parengimas atlikus įkalčių analizę yra labai svarbus tyrimo
etapas. Dokumentas yra parengiamas su tikslu pristatyti analizės išvadas suinteresuo-
tiems asmenims. Jei išvados negali būti suformuluotos, niekas negalės įvertinti tyrimo
rezultatų ir priimti reikiamų sprendimų.
Labai dažnai ataskaitai parengti ir atitinkamai kvalifikacijai suteikti nėra skiria-
ma pakankamai dėmesio. Gerai struktūrizuotos ir logiškai išdėstytos ataskaitos paren-
gimas padidina tikimybę, kad nusikaltėlis bus nubaustas, o surinkti įrodymai – pripa-
žinti tinkamais. Vykdant formalųjį kriminalinį tyrimą, ataskaita taip pat tampa privalo-
ma rezultatų pristatymo forma teismui. Ataskaita – pagrindinis atlikto darbo rezultatas,
todėl jai turi būti taikomi aukščiausi kokybės reikalavimai.
Pagrindinė tyrimo užduotis yra faktų ir įkalčių dokumentavimas. Labai dažnai
ataskaita yra pristatoma žmonėms, neturintiems specializuotų žinių, todėl dėstymo kal-
ba ir faktų pateikimas turi būti paprastas ir suprantamas. Vaizdumo dėlei ataskaita gali
būti papildoma išvadas detalizuojančiomis diagramomis ar iliustracijomis. Rekomen-
duojama, kad tyrėjo kvalifikacijai patvirtinti prie ataskaitos būtų prisegtas jo gyvenimo
aprašymas (CV) ir anksčiau vykdytų tyrimų sąrašas.
14.1. Tyrimo ataskaitų tipai
Pirmasis uždavinys, kurį turi išspręsti tyrėjas, rengiantis ataskaitą, yra ataskaitos
tikslo ir tikslinės auditorijos nustatymas. Ataskaita tūri būti rengiama ir struktūrizuota,
kad ją galėtų suprasti specifinių kompiuterijos žinių neturintys specialistai (teisėjai,
verslo atstovai, advokatai ir t. t.). Bendriausiu atveju ataskaitos yra skirstomos pagal
pateikimo formą:
▬▬ žodinės;
▬▬ rašytinės;
ir formalumą:
▬▬ formalios;
▬▬ neformalios.
Kai formali ataskaita yra pristatoma žodine forma, jos tikslinė auditorija daž-
niausiai yra direktorių taryba, kiti vadovai arba teismas. Tokiais atvejais dažniausiai
būna numatytas pristatymo formatas ir griežtas laiko limitas. Gali tekti ruošti ne tik
savo kalbą, bet ir numatyti galimus auditorijos klausimus (advokatų, prokurorų, verslo
atstovų) bei paruošti jiems aiškius ir argumentuotus atsakymus. Kartais tokie klausimai
gali būti pateikti tyrėjui iš anksto, pristatymo rengimo metu.
114
Neformalios žodinės ataskaitos forma dažniausiai nebūna griežtai apibrėžta, o
pati ataskaita pristatoma vienam arba keliems asmenims, dažniausiai prokurorui arba
advokatui. Tokios ataskaitos pagrindinė užduotis yra pateikti preliminarias išvadas. Pa-
grindinė šio ataskaitos tipo rizika yra galimas informacijos nutekėjimas trečiosioms ša-
lims, todėl būtina imtis priemonių tokiam scenarijui išvengti (informacijos pateikimas
tik tiems asmenims, kuriems priklauso ją turėti pagal pareigas; informacijos neteikimas
esant įtarimams; konfidencialumo sutarčių pasirašymas).
Neformali rašytinė ataskaita yra rengiama siekiant pristatyti tarpines ar prelimi-
narias tyrimo išvadas, kai nėra galimybės jas pateikti žodžiu arba prašomas būtent toks
rezultatų pateikimas. Ataskaitai iškyla tos pačios rizikos kaip ir žodinės neformalios
ataskaitos atveju. Neformali rašytinė ataskaita gali būti naudojama ir tada, kai būtina
dokumentuoti tyrimo rezultatus, tačiau jos nesiruošiama atiduoti teismui, t. y. užsako-
vas yra organizacija, atliekanti vidinį tyrimą. Neformali ataskaita yra traktuojama kaip
labai svarbus tyrimo dokumentas, atspindintis tyrimo eigą, todėl negali būti naikinamas
be atskiro užsakovo ar prokuroro nurodymo, nes tokie veiksmai gali būti prilyginti
įkalčių sunaikinimui.
Formali rašytinė ataskaita dažniausiai pateikiama su priesaika. Šiam ataskaitos
tipui keliami ypač griežti reikalavimai, turi būti naudojamos ištobulintos formuluo-
tės, gramatika, punktuacija ir stilius. Dažniausiai naudojamas informacijos perteikimas
kalbant pirmuoju asmeniu. Formalios ataskaitos naikinimas yra apibrėžiamas įstatymo
nustatyta tvarka.
14.2. Tyrimų ataskaitos reikalavimai
Atsižvelgiant į tyrimų ataskaitų svarbą, yra suformuoti tam tikri ataskaitų ren-
gimo reikalavimai ir rekomendacijos . Dalis iš jų yra privalomojo pobūdžio, o kita
dalis – rekomendacinio. Skirtingose šalyse gali būti taikomi šiek tiek kitokie ataskaitų
rengimo reikalavimai. Bendrojo pobūdžio reikalavimai, tokie kaip gramatikos klaidų
nebuvimas, poskyryje nėra detalizuojami.
▬▬ Tyrimo tikslo ir ataskaitos išvadų atitikimas. Ataskaita turi būti konkreti, o išva-
dos turi nurodyti, kiek ir kaip pavyko pasiekti tyrimo tikslo. Tikslas dažniausiai
apibrėžiamas pačioje tyrimo pradžioje tyrimo užsakovo. Ataskaitoje neturi būti
informacijos, tiesiogiai nesusijusios su tiriamu įvykiu. Siekiant konkretaus tikslo
pagreitinamas tyrimo procesas ir sumažinamos išlaidos. Ataskaita turi pateikti
atsakymus į klausimus: „Kas?“, „Kaip?“, „Kada?“, „Kur?“ ir „Kodėl?“, arba
nurodyti, į kokius klausimus nepavyko gauti atsakymo.
▬▬ Ataskaitos nuoseklumas ir logiškumas. Ataskaita turi atspindėti tyrimo eigą, turi
būti išvengta mėtymosi iš vieno etapo į kitą. Turi būti apibrėžti tyrimo tikslai, ap-
rašyta tyrimo eiga, pristatyti analizės rezultatai, tyrimo išvados ir rekomendaci-
jos. Priimami sprendimai turi būti paremti prieš tai įvykdytų veiksmų rezultatais.
Ataskaitos nuoseklumas gali būti pasiektas taikant ataskaitos ir jos struktūros
planavimą prieš pradedant ją rengti.
115
▬▬ Aiški ataskaitos struktūra. Kiekviename ataskaitos paragrafe turi būti pateikia-
ma tik viena ataskaitos mintis. Skyrių ir skyrelių pavadinimai turi atspindėti tuo-
se skyriuose dėstomą medžiagą. Esant didelei ataskaitai po skyriaus pavadinimo
gali būti skyriaus santrauka. Lentelės ir grafikai turi būti sunumeruoti ir pavadin-
ti. Grafikuose turi būti nurodyti naudojami matavimo vienetai. Ataskaitoje turi
būti tokios dalys:
―― santrauka – ataskaitos esmė ir esminiai tyrimo momentai, išvados;
―― turinys;
―― pagrindinė ataskaitos dalis;
―― išvados ir, pagal poreikį, rekomendacijos;
―― naudotų šaltinių sąrašas;
―― terminų ir santrumpų žodynas;
―― padėkos (jei taikoma);
―― priedai (pagal poreikį).
▬▬ Tyrimo medžiagos pilnumas. Ataskaitoje turi būti aprašyti:
―― metodai, įranga ir procedūros, taikytos vykdant tyrimą; panaudotai įrangai turi
būti pateiktos licencijos, įrodančios teisę šia įranga naudotis;
―― kada, kur ir kokie įkalčiai buvo surinkti;
―― surinkti duomenys;
―― bet kokie veiksmai, galėję modifikuoti duomenis, duomenys, dėl kurių yra
abejojama, taip pat priemonės, kurių buvo imtasi vientisumui užtikrinti ir
klaidoms sumažinti;
―― problemos ir kliūtys, su kuriomis buvo susidurta tyrimo metu.
▬▬ Orientaciją į tikslinę auditoriją. Dėl to, kad ataskaita yra skiriama verslo ar teisi-
nes žinias turintiems užsakovams, ji turi būti aiški ir suprantama ne tik NEE ty-
rimo specialistams. Kaip vienas iš būdų gali būti taikomas aiškinamasis terminų
žodynas ir santrumpų sąrašas, specifinių terminų ir žargono vengimas.
▬▬ Nešališkumas pateikiant duomenis. Ataskaitoje tūri būti vengiama vertinimų,
nesusijusių su tyrimo tikslu, epitetų ir emocijų.
▬▬ Išvadų pagrindimas. Kiekviena pateikiama ataskaitos išvada turi būti argumen-
tuota ir pagrįsta nustatytais faktais ir įkalčiais. Negalima remtis prielaidomis,
gandais arba spėjimais.
Paprastai rekomenduojama, kad NEE tyrėjas susikurtų ir naudotųsi paruoštu
ataskaitos šablonu, kuriame numatyti visi būtini skyriai, parašyta įžanginė ir bendro
pobūdžio informacija. Toks šablonas gali būti naudojamas kaip kontrolinis sąrašas ir
tuo pačiu taupyti laiką rengiant ataskaitas – kiekvieną kartą modifikuojami tik pasikeitę
duomenys, negaištamas laikas struktūrai sukurti ir nėra praleidžiami svarbūs punktai.
116
14.3. Ataskaitos struktūra
Nėra vienintelio visuotinai priimto tyrimo ataskaitos formato ar struktūros. Atas-

kaitos gali skirtis priklausomai nuo šalies ir organizacijos. Pagrindinis reikalavimas
yra 14.2 poskyryje išvardytų reikalavimų įvykdymas. Dažniausiai ataskaita gali būti
suskirstyta į keturias logines dalis:
▬▬ I dalyje aprašoma administracinė su tyrimu susijusi informacija, tokia kaip ty-
rimą vykdanti organizacija / specialistas, jų kontaktinė informacija ir ataskaitos
saugojimo vieta.
▬▬ II dalyje pateikiama esminė ataskaitos pateikimo priežastis ir tyrimo santrauka.
▬▬ III dalis – pagrindinė ataskaitos dalis, kurioje aprašomas tyrimo procesas, rasti
įkalčiai, formuluojamos tyrimo išvados ir t. t.
▬▬ IV dalyje pateikiami ataskaitos priedai, nuorodos į naudotą medžiagą, padėkos
ir t. t.
Dalis NEE tyrimui skirtų įrankių, tokių kaip „Forensic Toolkit“ (FTK), „DriveS-
py“, „Ilook“, „EnCase“ gali automatiškai generuoti ataskaitas, pasirenkant vaizdavimo
formatą (HTML, „MS Word“, PDF ir t. t.).
Ruošiant NEE tyrimo ataskaitos turinį dominuoja du formatai: dešimtainio nu-
meravimo ir nuosekliojo teisinio numeravimo. 14.1 lentelėje pateikiami pavyzdiniai
ataskaitos struktūros vaizdavimo variantai abiem formatais, siūlomi CHFI kursui.
Pastaba: tai nėra pilna ataskaitos struktūra, o tik struktūros pavaizdavimo būdai.
14.1 lentelė. Pavyzdinis NEE tyrimo ataskaitos turinys

Dešimtainis numeravimas Nuoseklusis teisinis numeravimas
1.0. Įvadas I. Įvadas
1.1. Incidento prigimtis 1. Incidento prigimtis
1.1.1. Aukos charakteristika 2. Auka
2.0. Pirmasis incidentas 3. Liudininkai
2.1. Pirmasis liudininkas 4. Įkalčių lokalizavimas
2.1.1. Liudininko parodymai – pirmasis liudininkas …
… II. Tyrimas
3.0. Įkalčių lokalizavimas 5. Įkalčių grandinė
3.1. Įkalčių išėmimas 6. Įkalčių identifikavimas
3.1.1. Įkalčių transportavimas 7. Įkalčių analizė
… …
4.0. Įkalčių analizė
4.1. Įkalčių grandinė
4.1.1. Duomenų išgryninimas
…
5.0. Išvados
5.1. Rezultatai
5.1.1. Eksperto nuomonė
…
Nuoseklusis teisinis numeravimas dažniau naudojamas pareiškimuose ir popu-

liarus tarp teisininkų. Romėniški skaičiai žymi esminius aspektus, o arabiški naudoja-
mi skyriams, detalizuojantiems esminę informaciją, žymėti. Dešimtainis numeravimas
gali užtikrinti „gilesnę“ skyrių hierarchiją. Konkretaus numeravimo pasirinkimas pri-
klauso nuo tyrimo užsakovo.
117
1. Kokius tyrimo ataskaitų tipus galite išvardyti?

2. Su kokia rizika susiduriama pristatant neformalias tyrimo ataskaitas?
3. Kuriam tyrimo ataskaitos tipui yra keliami griežčiausi reikalavimai? Kodėl?
4. Išvardykite, kokie reikalavimai yra taikomi NEE tyrimo ataskaitoms.
5. Kuo skiriasi dešimtainis ir nuoseklusis teisinis numeravimas? Pateikite kie-
kvieno iš numeravimo tipų pavyzdžių.
118
15.
PROFESINĖ KARJERA
Išaugęs NEE tyrimų poreikis ir vis didėjantys reikalavimai, keliami tyrėjų kva-
lifikacijai, lėmė tai, jog pradėjo formuotis tam tikras NEE tyrėjų, žinančių, kaip atlikti
įkalčių išėmimą, apsaugoti nestabilius įkalčius bei atlikti jų analizę, sluoksnis. Iš pra-
džių tokių tyrėjų pagrindą sudarė buvę kriminalinių nusikaltimų tyrėjai, turintys tam
tikrų kompiuterijos žinių ir išmanantys patį tyrimo procesą. Vis didėjantis kompiuterių
sistemų sudėtingumas bei pradėtos taikyti nusikaltėlių apsisaugojimo priemonės pri-
traukė į šią sritį jau gilių kompiuterių sistemų žinių turinčių specialistų, kuriems teko
mokytis teisinių tyrimų aspektų.
Nors NEE tyrėjo pareigos, profesinės karjeros galimybės ir poreikiai kvalifika-
cijai vis dar nėra galutinai susiformavę, šiame skyriuje apžvelgiami pagrindiniai NEE
tyrėjo profesinės karjeros aspektai, taip pat ir įvairių organizacijų siūlomos sertifikavi-
mo galimybės.
15.1. Rolės ir pareigos tyrimo metu
Rolės ir pareigos NEE tyrimo metu gali būti suskirstytos priklausomai nuo to,
kokiam organizacijos tipui tyrėjas priklauso. Poskyryje nenagrinėjamas techninės kva-
lifikacijos lygio klausimas, kadangi daroma prielaida, kad nepriklausomai nuo organi-
zacijos tipo kvalifikacija turi būti pakankama tyrimui vykdyti.
Organizacijos vidinis tyrėjas
Organizacijos įdarbina vidinius auditorius (arba samdo tam tikslui trečiųjų šalių
organizacijas) ir suteikia atitinkamas galias bei priemones, norėdami:
▬▬ greitai reaguoti į organizacijoje kylančius incidentus, juos tirti;
▬▬ stebėti įtarimus keliančių darbuotojų veiksmus;
▬▬ bendradarbiauti su teisėsaugos institucijomis, jei tyrimas pereina į formaliojo
tyrimo fazę.
Pagrindinės kompetencijos, kurių reikia vidinio auditoriaus darbą atliekančiam
auditoriui:
▬▬ Darbuotojų teisių į privatumą supratimas, vykdant tyrimą arba prevencinį veiks-
mų stebėjimą. Skirtingos teisinės sistemos skirtingai supranta, kiek gali būti pa-
žeistas darbuotojų privatumas tyrimo ir stebėjimo metu. JAV beveik 75 proc.
organizacijų vykdo visų savo darbuotojų veiksmų stebėjimą, net jei nekyla įta-
rimo, kad darbuotojas ketina atlikti neteisėtus veiksmus. Vienas iš pagrindinių
tokio masinio stebėjimo tikslų – darbo efektyvumo vertinimas, t. y. stebėjimas,
119
ar darbuotojas darbo vietoje neatlieka pašalinių veiksmų, nesusijusių su darbu,
o pašalinių veiksmų aptikimas gali būti nuobaudų taikymo ar atleidimo priežas-
timi. Nors JAV įstatymai ir konstitucija garantuoja teisę į privatumą, susifor-
mavusi teismų praktika daro išimtį būtent kompanijoms, traktuojant darbdavio
resursus kaip ne darbuotojo privačią erdvę. Nepaisant to, tyrėjas turi suprasti
galimas perteklinio stebėjimo rizikas. Europos Sąjungos teisės aktuose minima,
kad stebėjimas yra leidžiamas tik įtariant nusikalstamą veiklą, stebėjimas darbo
efektyvumui nustatyti yra draudžiamas, darbuotojas turi teisę į privatumą net
besinaudodamas darbdavio resursais.
▬▬ Bendravimo niuansų su teisėsaugos institucijomis supratimas. Neminint būtinų
žinių, tokių kaip mokėjimą pranešti teisėsaugos institucijoms apie įvykusį nusi-
kaltimą, bendrų ir saugių komunikacijos kanalų žinojimą bei gebėjimą atstovauti
organizacijos interesams teisme techniniais klausimais, NEE tyrėjas turi suprasti
tam tikras teisėsaugos institucijų bendravimo subtilybes. Dauguma iš jų, tokių
kaip informacijos apie tyrimo eigą nesuteikimas arba ribotos informacijos sutei-
kimas, tyčinis klaidinimas apie tyrimo eigą ir t. t., gali būti paaiškintos tuo, kad
teisėsaugos atstovai, pradėdami tyrimą, visus darbuotojus, taip pat ir vidinį ty-
rėją, traktuoja kaip potencialius įtariamuosius, o išsamesnę informaciją pradeda
teikti tik tada, kai įtarimai nebetaikomi.
▬▬ Mokėjimas pateikti pagrindžiančią informaciją. Kadangi NEE tyrėjas yra žmo-
gus, vienas iš geriausiai suprantančių organizacijos kompiuterių sistemų veiki-
mą po techninio personalo (tinklų ir sistemų administratorių, inžinierių ir kt.),
kurie dažniausiai retai įtraukiami į tyrimo eigą dėl potencialaus įtarimo (didžioji
dauguma duomenų vagysčių įvykdoma organizacijos darbuotojų, o ne išorinių
programišių), būtent tyrėjo pareiga yra perteikti teisėsaugos institucijoms infor-
maciją apie organizacijos sistemas, įdiegtas stebėjimo sistemas, renkamus įvy-
kių registracijos įrašus ir t. t.
Teisėsaugos organų NEE tyrėjai
Teisėsaugos organuose dirbančių NEE tyrėjų pareiga yra, be abejo, formaliojo

tipo NEE tyrimų vykdymas, tyrimo dokumentų perdavimas teismui, dalyvavimas teis-
mo procese kaip ekspertui ir liudininkui, nustatyta tvarka konsultuoti kitas valstybines
ir komercines organizacijas. Tokiam darbui būtina išmanyti tokius NEE tyrimo niuan-
sus:
▬▬ Organizacijos problemų supratimas. Organizacijos kartais gali neturėti pakan-
kamai resursų arba kvalifikacijos, kad galėtų padėti tyrėjui vykdyti tyrimą; gali
būti susiduriama su tyrimo eigos nesuvokimu arba priešišku nusistatymu. Ty-
rėjas turi mokėti taikyti skirtingus bendravimo būdus (nuo bandymo suprasti,
kodėl nėra efektyvios komunikacijos, iki administracinių priemonių taikymo, jei
nustatomas tyčinis nebendradarbiavimo atvejis).
▬▬ Gebėjimas įvertinti, kokio tipo sistemų tyrimą taikyti – „gyvų“ ar „negyvų“.
Tyrėjas turi suprasti, kad gydytojų pagrindinis principas „nepakenk“ galioja ir
tiriant NEE, t. y. reikia įvertinti, ar patogus „negyvų“ sistemų analizės metodas
nepridarys daugiau žalos nei naudos.
120
▬▬ Žiniasklaidos vengimas. Organizacijos vengia viešumo tais atvejais, kai jose
įvyksta incidentai, sąlygoti ir jų darbuotojų (pvz., darbuotojas darbo vietoje nau-
dodamas kompiuterį vykdė nelegalią veiklą), ir trečiųjų šalių (pvz., nuotoliniai
įsilaužimai su duomenų vagyste), kadangi atsiranda reputacijos praradimo rizi-
ka. NEE tyrėjams rekomenduotina, galbūt netaikant rezonansinių nusikaltimų
atvejams, neperduoti žiniasklaidai jokių duomenų, kurie gali turėti neigiamos
įtakos organizacijai, jei būtų paskelbti.
▬▬ Privataus ir valstybinio sektoriaus skirtumų suvokimas. Darbo organizavimo
schemos, taikomas dokumentų valdymas, duomenų mainai, sprendimo priėmi-
mo greičiai ir t. t. gali ženkliai skirtis. Taip pat daug gali priklausyti nuo organi-
zacijos dydžio ir turimų išteklių.
Kitos NEE tyrimo proceso šalys
Kitoms NEE tyrimo proceso šalims gali būti priskirti advokatai ir prokurorai,
kurie atitinkamai bando įrodyti arba įtariamojo nekaltumą, arba kaltę. Nors jų veiksmų
pagrindą turėtų sudaryti teisinės žinios, tačiau, siekdami kokybiškai atlikti savo darbą,
jie turi išmanyti ir techninius kompiuterių sistemų veikimo aspektus bei reikalavimus
NEE tyrimo procesui, kad galėtų formuoti gynybos ar kaltinimo strategiją. Kadangi
ši knyga yra orientuota į tyrimo procesą, gynimo ir kaltinimo proceso aspektai joje
nenagrinėjami.
15.2. NEE tyrėjo profesinė etika
NEE tyrėjo etika gali būti suprantama kaip tam tikras rekomendacijų ir drau-
dimų sąrašas, kuriuo NEE tyrėjas, nepriklausomai nuo to, valstybinėje ar privačioje
organizacijoje jis dirba, turi vadovautis, atlikdamas tyrimus. Etinių normų vykdymas
suteikia tyrėjui pasitikėjimo savo veiksmų teisingumu ir korektiškumu, taip pat išven-
giama potencialių kaltinimų. Pagrindiniai NEE tyrimo etiniai principai, minimi skirtin-
gų autorių:
▬▬ Atlikti darbą atsakingai, siekiant išsiaiškinti objektyvias nusikaltimo aplinkybes.
▬▬ Vykdyti tyrimą tik tuo atveju, jei turima pakankamai žinių konkrečiam tyrimui
vykdyti.
▬▬ Etinių principų laikymasis turi būti pastovus, o ne priklausyti nuo aplinkybių,
išorinio spaudimo ir t. t.
▬▬ Vykdant tyrimą organizacijoje, būtina atsižvelgti į tos kompanijos etikos kodek-
są, kad būtų išvengta jo pažeidimo.
▬▬ Negalima daryti išvadų apie tiriamą nusikaltimą iš kitų potencialiai kompromi-
tuojančių duomenų, rastų tyrimo metu.
▬▬ Reikia vengti juokų, patyčių ar nekorektiškų komentarų apie tyrimo metu suras-
tus duomenis.
121
▬▬ Būtinas atsiribojimas nuo emocinės įvykio pusės, objektyvumo išlaikymas bei
vadovavimasis įstatymais bei instrukcijomis.
▬▬ Tyrimo eigos konfidencialumo išlaikymas. Informacija neturi būti platinama ne
tik įtariamiesiems, bet ir nukentėjusiesiems, liudininkams, bendradarbiams, ku-
rie neatlieka konkrečiai šito NEE tyrimo, draugams ir giminėms. Informacija
tur būti suteikiama tik tiems, kas turi į ją teisę ir kam ji reikalinga pareigoms
vykdyti.
▬▬ Vengti interesų konflikto, t. y. nesiimti tyrimų, į kuriuos potencialiai gali būti
įtraukti draugai, giminės ir t. t.
▬▬ Nenaudoti gautos informacijos asmeniniais tikslais, šantažui ar kitokiai neteisė-
tai veiklai.
▬▬ Nuolat kelti savo profesinę kvalifikaciją.
▬▬ Pranešti žiniasklaidai informaciją apie tyrimą, tik jei tam yra gautas atitinkamas
leidimas ir neviršijant pranešimo spaudai ribų.
Atvejais, kurie nėra aprašyti šiame sąraše, tyrėjui reikia vadovautis teisine baze
ir bendraisiais moralės bei etikos principais.
15.3. Sertifikacija
Didelės konkurencijos erdvėje, kuriai priklauso ir darbo rinka, konkurencinį

pranašumą įgyja specialistai, turintys aukštą žinių lygį bei patirties. Vienas iš būdų
patvirtinti savo kvalifikacijos lygį yra sertifikacijos procesas, kurio metu nepriklauso-
ma trečioji šalis įvertina žinių atitikimą tam tikram reikalaujamam minimaliam žinių
lygiui, ir sėkmingai praėjusiems patikrinimą išduoda tai patvirtinantį sertifikatą. Darb-
davys, matydamas kandidato sertifikatą, gali būti tikras, kad jis turi pakankamą žinių
lygį pareigoms vykdyti.
Viena iš pagrindinių pasitikėjimo sertifikacijos programomis priežasčių – griež-
tos sertifikavimo procedūros ir vertinimo objektyvumas. Šiuo metu nemažai komer-
ciniais ir visuomeniniais pagrindais veikiančių kompanijų siūlo NEE tyrimo srities
profesinio sertifikavimo programų. Tarpusavyje jos skiriasi nagrinėjamomis temomis,
vertinimo sistemomis ir tiksline auditorija. Šiame poskyryje apžvelgiamos populiariau-
sios sertifikavimo programos.
Rengiant šį vadovėlį buvo, be abejo, atsižvelgta į komercines sertifikavimo pro-
gramas bei stengtasi, kad būtų parengtos daugumos kursų pagrindinės temos. Atsižvel-
gianti į vadovėlio apimtį, išimtis buvo daroma tik bendriesiems klausimams, tokiems
kaip failinių sistemų funkcionavimo principai ir panašiems, kadangi jie yra studijuoja-
mi kituose universitetiniuose kursuose.
„Computer Hacking Forensic Investigator“
CHFI (angl. Computer Hacking Forensic Investigator) yra viena iš populiariau-

sių sertifikavimo programų. Ją vykdo „International Council of E-Commerce Consul-
tants“ („EC-Council“). Pagrindinis dėmesys skiriamas tinkle vykstančių incidentų ty-
rimui. Klausytojams suteikiamos žinios bei įgūdžiai, reikalingi neteisėto įsibrovėlio ir
122
jo kaltės įrodymams identifikuoti, naudojamiems metodams ir technikai atpažinti. Šios
žinios ir įgūdžiai padeda surinkti kompiuterinio įsibrovėlio kaltės įrodymus, būtinus
patraukti asmenį teisinėn atsakomybėn. Pagrindinės kurso temos:
▬▬ NEE ir jų tyrimas šiuolaikiniame pasaulyje;
▬▬ sistemos, diskai ir laikmenos;
▬▬ NEE tyrimo procesas;
▬▬ duomenų gavimas, dublikavimas ir ištrintų duomenų atstatymas;
▬▬ „Windows“, „Linux“ ir „Machintosh“ įkrovos procesas;
▬▬ tyrimai „Windows“ ir „Linux“ terpėje;
▬▬ steganografija ir programinės įrangos nulaužimo technikos;
▬▬ atakos ir nusikaltimai, vykdomi kompiuteriu;
▬▬ tinklo srauto ir įvykių registracijos įrašų analizė;
▬▬ maršrutizatorių ir tinklo įrangos analizė;
▬▬ atakų bevielėje erdvėje tyrimas;
▬▬ portatyvinių įrenginių analizė;
▬▬ NEE tyrimo įrankiai;
▬▬ tyrimas naudojat „EnCase“ įrankius;
▬▬ atsakas į incidentus;
▬▬ tyrimų tipai.
Tikslinė auditorija – policijos ir kiti teisėsaugos pareigūnai, šalies gynybos mi-
nisterijos atstovai, el. verslo saugumo specialistai, sistemų administratoriai, NEE srities
teisininkai, draudimo kompanijų atstovai, kuriems tai gali būti naudinga nustatant suk-
čiavimo atvejus, IT vadovai.
Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems EC0 312-
49 egzaminą (testą). Egzaminui galima ruoštis savarankiškai arba akredituotuose mo-
kymo centruose. Sertifikatas galioja 3 metus, po kurių turi būti pakartotinai laikomas
egzaminas. Prieš egzamino laikymą rekomenduojama turėti CEH (angl. Ethical Hac-
king and Countermeasure) sertifikatą.
„Certified Computer Examiner“
CCE (angl. Certified Computer Examiner) yra vien tik NEE tyrimo srityje be-
sispecializuojančios kompanijos „International Society of Forensic Computer Exami-
ners“ sertifikavimo programa. Ji gali būti laikoma kaip viena iš sudėtingiausių. Sertifi-
kato siekiantis kandidatas turi išmanyti:
▬▬ NEE tyrimo etinius klausimus;
▬▬ NEE tyrimo teisinius klausimus;
▬▬ programinės įrangos licencijavimo klausimus;
▬▬ kompiuterinės įrangos veikimo principus;
▬▬ kompiuterių tinklų veikimo principus;
▬▬ operacinių sistemų veikimo principus;
▬▬ įkalčių išėmimo procesą;
▬▬ NEE tyrimo procesą;
123
▬▬ failinių sistemų ypatumus;
▬▬ laikmenų veikimo principus;
▬▬ informacijos vienetus ir adresaciją;
▬▬ sterilumo užtikrinimo klausimus;
▬▬ apie specializuotus įkrovos diskus;
▬▬ kitus naudingus įgūdžius;
▬▬ pratybas.
Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje; neribojama.
Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems egzami-
ną. Egzaminą leidžiama laikyti akredituotuose mokymo centruose CCE kursą išklau-
siusiems klausytojams arba specialistams, savarankiškai besiruošusiems egzaminui ir
turintiems ne mažesnę nei 18 mėnesių NEE tyrimo darbo patirtį arba vykdantiems NEE
srities tyrimus, jei ta patirtis yra pripažinta tinkama sertifikavimo komisijos. Kandidatai
negali būti teisti ir turi vadovautis CCE etikos kodeksu. Egzaminas susideda iš dviejų
dalių: testo (norint išlaikyti reikia teisingai atsakyti ne mažiau kaip 70 proc. klausimų)
ir praktinės dalies, kurią gali laikyti tik sėkmingai išlaikę testą. Praktinio testo metu
kiekvienas kandidatas gauna individualias užduotis ir yra kuruojamas jam paskirto va-
dovo. Sertifikacija atliekama kas 2 metus.
„Certified Computer Forensics Examiner“
CCFE (angl. Certified Computer Forensics Examiner) yra vykdomas „Informa-

tion Assurance Certification Review Board��
“��
organizacijos. Tikrinamos 9 sričių kandi-
datų žinios:
▬▬ teisiniai ir etiniai aspektai;
▬▬ tyrimo procesas;
▬▬ tyrimo įrankiai;
▬▬ įkalčių kietajame diske atstatymas ir vientisumas;
▬▬ kitų skaitmeninių įkalčių atstatymas ir vientisumas;
▬▬ failinių sistemų tyrimas;
▬▬ įkalčių analizė ir koreliacija;
▬▬ įkalčių atstatymas „Windows“ sistemose;
▬▬ darbas su tinklo ir nestabiliais įkalčiais;
▬▬ ataskaitų parengimas.
Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje; neribojama.
ną. Pasiruošimas egzaminui – savarankiškas. Testą sudaro teorinė ir praktinė dalis.
„CyberSecurity Forensic Analyst“
CSFA (angl. CyberSecurity Forensic Analyst) sertifikacija vykdoma „CyberSe-

curity Institute“ organizacijos, kurios specializacija – tik NEE tyrimai. Vertinama pagal
124
praktinių darbų atlikimą per nustatytą laiko intervalą ir ataskaitos parengimą. Testo
uždaviniai formuluojami iš tokių sričių:
▬▬ operaciniai, archyviniai ir latentiniai duomenys;
▬▬ parodymai, prašymai ir šaukimai į teismą;
▬▬ TCP/IP baziniai aspektai;
▬▬ vienakryptės funkcijos ir kontrolinės sumos;
▬▬ paieška pagal reikšminius žodžius;
▬▬ ataskaitų parengimas;
▬▬ atvaizdo kopijų kūrimas;
▬▬ failų „header“ laukų formatai;
▬▬ dokumentacija, įkalčių grandinės, įkalčių apdorojimo procesas;
▬▬ bendravimas su ginamąja puse;
▬▬ FAT 12/16/32 failinės sistemos;
▬▬ tarpų analizė failinėje sistemoje, operatyviojoje atmintyje ir nepaskirstyta erdvė;
▬▬ NTFS failinė sistema;
▬▬ kompaktinių diskų analizė;
▬▬ skirtingų įvykio registracijos įrašų interpretavimas;
▬▬ interneto naudojimo istorijos interpretavimas ir HTTP koncepcija;
▬▬ rankinis ir automatinis duomenų atstatymas;
▬▬ „MS Office“ ir PDF failų metaduomenys;
▬▬ šifravimo ir slaptažodžio apsaugos mechanizmų vengimas;
▬▬ kompiuterio aparatinė įranga;
▬▬ privatumo aspektai;
▬▬ įkalčių taikymo taisyklės;
▬▬ „Windows“ kaupiklio failai;
▬▬ „Windows“ registrai;
▬▬ „Windows“ sukeitimų failai;
▬▬ darbas techniniu liudininku;
▬▬ draudimas ir atsakomybė;
▬▬ virusai ir KPK.
Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje, tik JAV
piliečiai arba turintys teisę gyventi JAV.
ną. Pasiruošimas egzaminui vyksta savarankiškai arba kursuose, kurie nėra privalomi.
Testą sudaro teoriniai klausimai ir praktiniai uždaviniai. Praktinio uždavinio atlikimo
metu galima naudotis bet kokia informacija, išskyrus kitų laikančių egzaminą pagalbą.
Testą gali laikyti asmenys, turintys ne mažiau kaip 2 metų NEE tyrimo srities praktinę
patirtį. Kandidatai turi pateikti pažymą iš JAV Federalinio tyrimo biuro dėl teistumo
nebuvimo. Resertifikacijai reikalaujama kas 2 metus išklausyti ne trumpesnį nei 80
valandų NEE tyrimų arba saugos kursą ir kas 4 metus kartoti testavimo procesą.
125
„PCI Forensic Investigator“
PFI (angl. PCI Forensic Investigator) programa yra vykdoma „Payment Card
Industry (PCI) Security Standards Council“ organizacijos, kuriančios saugumo standar-
tus bankiniam sektoriui. Pagrindinis dėmesys yra skiriamas bankinių kortelių numerių
apsaugai ir su jų vagystėmis susijusių nusikaltimų tyrimams. Taip pat akcentuojamos
atsako į tokio tipo incidentus procedūros. Programoje gali dalyvauti darbuotojai tik
tų kompanijų, kurioms suteikta teisė vykdyti atitikimo „PCI Data Security Standard“
(PCI DSS) standarto reikalavimams auditą (PCI QSA). Kompanija taip pat turi turėti
nusikaltimų tyrimų finansiniame sektoriuje patirties.
Reikėtų pabrėžti, kad nepaisant to, kad šiame vadovėlyje buvo stengtasi parengti
beveik visų kursų pagrindines temas, jo negalima naudoti kaip pasiruošimo sertifika-
cijai medžiaga, kadangi kiekviena sertifikavimo programa turi savo specifikas ir NEE
tyrimo interpretacijų, kurių buvo stengiamasi išvengti. Taip pat reikėtų paminėti, kad
tyrėjui rekomenduojama turėti ir ne su NEE tyrimais susijusius sertifikatus, įrodančius
jų kvalifikaciją, pvz., tinklų ir operacinių sistemų administravimo srities.
1. Kokie, Jūsų manymu, yra pagrindiniai vidinio organizacijos NEE tyrėjo ir

teisėsaugos institucijoje dirbančio tyrėjo skirtumai kvalifikacijos požiūriu?
2. Kodėl teisėsaugos pareigūnai, tiriantys NEE nusikaltimą, gali vengti teikti
informaciją apie tyrimo eigą net vidiniam organizacijos tyrėjui?
3. Kokia yra profesinio sertifikavimo esmė? Kokias NEE tyrimo srities sertifi-
kavimo programas galėtumėte išvardyti?
126
16.
NUSIKALTIMŲ TYRIMAS: ATVEJŲ ANALIZĖ
Šio trumpo skyrelio tikslas yra supažindinti vadovėlio skaitytojus su keliais
įvairaus pobūdžio nusikaltimais, kurių tyrimui buvo panaudoti NEE tyrimo metodai.
Detalios tyrimo ataskaitos beveik nėra publikuojamos, tačiau ir iš viešai paskelbtų duo-
menų galima susidaryti įspūdį, kaip buvo atliekamas tyrimas bei kokie įkalčiai turėjo
lemiamą reikšmę.
16.1. NEE plačiąja prasme tyrimo atvejų analizė
Serijinio žudiko demaskavimas
Serijinis žudikas Dennis Lynn Rader nužudė 10 žmonių Wichita miestelio apylin-
kėse (Kanzasas, JAV) laikotarpiu nuo 1974 iki 1991 m. Buvo baigęs aukštąjį mokslą, dirbo
įvairius darbus, tarnavo kariuomenėje, buvo vedęs, turėjo vaikų, ėjo Liuteronų bažnyčios
vietinės bendruomenės pirmininko pareigas. Laiškus, adresuotus policijai ir žiniasklaidos
priemonėms, pasirašydavo BTK Killer (angl. Bind, Torture, Kill) slapyvardžiu. Laiškuose
jis detaliai aprašydavo įvykdytus nusikaltimus ir jų aplinkybes.
Policijai labai ilgai nepavyko susekti žudiko – nustatė tik apytikslę jo gyvenamąją
vietą. Kaip kai kurie serijiniai žudikai, Dennis pasąmonėje norėjo atomazgos, tačiau ne-
norėjo tiesiog pasiduoti, o siuntė policijai vis kitokias užuominas. 2004-aisiais jis atsiuntė
policijai klausimą, ar jie galėsią jį susekti, jei jis atsiųstų FDD diskelį su nusikaltimų ap-
rašymais. Policija per žiniasklaidos priemones atsakė, kad taip. Netrukus Dennis išsiuntė
lankstųjį diskelį į vietinę televizijos stotį.
Diskelio NEE tyrimas atskleidė („MS Word“ metaduomenų analizė), kad tikėtina,
jog dokumento autorius yra žmogus vardu Dennis, o programa yra registruota Liutero-
nų bažnyčios parapijos vardu. Tai ir apytikslės gyvenamos vietos žinojimas leido policijai
areštuoti žudiką. Tyrimo išvadas patvirtino DNR analizė (http://en.wikipedia.org/wiki/Den-
nis_Rader#Arrest).
Priekabiavimo atvejo ir identiteto vagystės tyrimas
Vyriškis, vardu Suhas Katti (Tamilų valstija, Indija), buvo areštuotas už prieka-
biavimą prie moters, kurią norėjo vesti, tačiau ji ištekėjo už kito vyro. Po kurio laiko
ji išsiskyrė, o Suhas Katti vėl pradėjo siekti tos moters palankumo. Gavęs pakartotinį
neigiamą atsakymą, jis ėmėsi psichologinio smurto internetu. Moters vardu „Yahoo!
Groups“ jis paskelbė skelbimą, žeminantį jos reputaciją. Moters vardu jis atidarė el.
127
pašto paskyrą, kurią nurodė skelbime, o gaunamus laiškus persiųsdavo į tikrą aukos
paštą. Skelbimas lėmė tai, kad auka sulaukė daugybės nepadorių pasiūlymų ir kreipėsi
į teismą.
Policija sugebėjo atsekti siųstų elektroninių laiškų siuntimo kelią ir areštuoti
įtariamąjį. Gynybos advokatai bandė teigti, kad laiškai buvo inicijuoti aukos buvusio
vyro, o ne įtariamojo. Taip pat akcentavo, kad ne visi įkalčiai buvo surinkti laikantis
teisinių reikalavimų. Tačiau teismas buvo palankus kaltintojų pusei, atsižvelgdamas į
tai, kad įkalčių analizės duomenis atitiko ir liudininkų parodymai (http://www.cyber-
lawclinic.org/casestudy.asp).
Įkalčių, surinktų viešojoje erdvėje, panaudojimas nužudymui įrodyti
Jaunas nusikaltėlis nušovė San Oleandro (Oklandas, JAV) aukštosios mokyklos

futbolo žaidėją. Oklando policija nustatė gatvės, kurioje gyveno įtariamasis, pavadini-
mą. Policija taip pat turėjo vaizdo įrašus iš įvykio vietos.
Įtariamasis buvo identifikuotas, ieškant visų gatvės gyventojų nuotraukų inter-
nete ir lyginant jas su vaizdu iš įvykio vietos. Įtariamojo nuotrauka buvo rasta portalo
„MySpace“ puslapyje, kuriame įtariamasis priklausė gangsterių interesų grupei. Patei-
kus įrodymus, įtariamasis Dwayne Stancill pripažino savo kaltę. Nusikaltėlis nenurodė
jokių aiškių nusikaltimo motyvų (http://www.cyberlawsindia.net/cases.html).
16.2. NEE siaurąja prasme tyrimo atvejų analizė
DoS atakų tyrimas
Programišius Michael Calce (taip pat žinomas kaip MafiaBoy) iš Kvebeko pro-
vincijos (Kanada) 2000 metais įvykdė DoS ataką prieš „Yahoo“ paieškos sistemą, dėl
šios priežasties sistema neveikė beveik valandą. Per savaitę jis taip pat paralyžiavo
Buy.com, Ebay.com, CNN.com, Amazon.com ir Dell.com portalų veiklą, tačiau ne apie
visus incidentus buvo pranešta spaudoje. Pagrindinis jo siekis buvo įgauti pripažinimą
programišių grupuotėje TNT.
Policijai pavyko demaskuoti nusikaltėlį, stebint programišių kontroliuojamus
IRC kanalus: viename iš jų Michael Calce gyrėsi įvykdęs ataką, apie kurią nebuvo
plačiai žinoma. Gynyba bandė įrodyti, kad atakų pasekmės buvo netyčinės, tačiau Mi-
chael prisipažinimai IRC kanale leido pagrįsti, kad tai buvo tyčinis veiksmas (http://
en.wikipedia.org/wiki/Mike_Calce).
Analogiškai, analizuojat IRC kanalų įrašus, buvo įrodyta ir programišiaus Den-
nis M. Moran kaltė, vykdžiusio DDoS atakas prieš daugybę populiarių tinklo portalų
(http://en.wikipedia.org/wiki/Dennis_Moran_%28computer_criminal%29).
128
Įsilaužimo faktų nustatymas
Nahshon Even-Chaim (taip pat žinomas kaip Phoenix) – pirmasis Australijo-

je (Melburne) areštuotas programišius (priklausė programišių grupei „The Realm“).
Savo atakų šaltiniais pasirinkdavo valstybinius ir gynybinius objektus. Buvo įsilaužęs
į Melburno Mokslinio ir pramoninio tyrimo centro sistemas, Kalifornijos universiteto
(Berkeley) sistemas, NASA ir kitų organizacijų sistemas.
Nusikaltimo tyrimo pagrindu tapo informatoriaus suteikti duomenys, tačiau kal-
tei įrodyti reikėjo faktinių duomenų. Įkalčiams surinkti Melburno policija stebėjo įta-
riamojo telefoninius pokalbius ir perimdavo visus iš jo modemo siunčiamus duomenų
paketus, kurie vėliau buvo panaudoti įrodymui, kad iš jo kompiuterio buvo siunčiami
kenkėjiški programiniai paketai (http://en.wikipedia.org/wiki/Nahshon_Even-Chaim).
Kitas programišius, amerikietis Jerome Heckenkamp, buvo pastebėtas „Qual-
comm“ sistemų administratoriaus, kai atakavo kompanijos sistemas, esančias jos de-
militarizuotoje (angl. De Militarized Zone arba DMZ) zonoje. Kartu su Federalinio
tyrimo biuro specialistais nustatė į aukos sistemą atkeliaujančių tinklo paketų kelią
(analizuojant hop‘us). Analizė atvedė į vieno universiteto bendrabutį, kuriame nusi-
kaltėlis studijavo. Universiteto administratoriai reagavo nelabai korektiškai, nes patys
įsilaužė į įtariamojo kompiuterį, traktuodami tai kaip prevencinę priemonę prieš ga-
limus incidentus. Vėliau nusikaltėlis bandė tuo pagrįsti savo gynybą, teigdamas, jog
buvo pažeistas jo privatumas, tačiau teismas argumentavo, jog negali kalbėti apie pri-
vatumą, kadangi jis naudojosi ne savo privačia, o universiteto infrastruktūra (http://
en.wikipedia.org/wiki/Jerome_Heckenkamp).
1. Suraskite internete naujienų apie paskutiniais metais įvykdytus nusikalti-

mus, kuriems atskleisti buvo panaudoti NEE tyrimo metodai? Aptarkite su
kolegomis ir dėstytoju tyrimo eigą, galimas tyrimo klaidas ir gynybos advo-
katų taikytas metodikas.
2. Kokius atvejus iš Lietuvos teismų praktikos galite prisiminti, kai buvo na-
grinėjamos bylos NEE plačiąja ar siaurąja prasme?
Praktiniai darbai
1. Susiskirstykite į grupes po 2–3 žmones. Dėstytojui pateikus modelines si-

tuacijas (studijuojant savarankiškai galima pasinaudoti adresu http://www.
asianlaws.org/library/cyber-laws/real-world-cyber-crime-cases.pdf aprašy-
129
tomis situacijomis), kuriose trumpai aprašomos tariamojo nusikaltimo įvyk-
dymo aplinkybės, suformuokite tyrimo strategiją, joje apibrėždami:
a) galimas įkalčių paieškos vietas;
b) kokių įkalčių ir duomenų tikimasi surasti;
c) kokius įrankius naudosite ir kokia tvarka.
2. Rekomenduojama iš pradžių savarankiškai, o paskui kartu su dėstytoju, at-
likti CCE sertifikavimo kurso pavyzdinę užduotį, kurią galima rasti adresu
https://www.isfce.com/sample-pe.htm.
130
SANTRUMPOS
CCE – angl. Certified Computer Examiner
CCFE – angl. Certified Computer Forensics Examiner
CEH – angl. Ethical Hacking and Countermeasure
CHFI – angl. Computer Hacking Forensic Investigator
CPU – angl. Central Processing Unit
CRC – angl. Cyclic Redundancy Check
CSFA – angl. CyberSecurity Forensic Analyst
CSIRT – angl. Computer Security Incident Response Team
DDoS – angl. Distributed Denial of Service Attack
DMZ – angl. De Militarized Zone
DNS – angl. Domain Name System
DoS – angl. Denial of Service Attack
EBPO – Ekonominio bendradarbiavimo ir plėtros organizacija
FRP – angl. First Response Procedures
GLBA – angl. Gramm-Leach-Bliley Act
HIPAA – angl. Health Information Portability and Accountability Act
IDS – angl. Intrusion Detection System
ISP – angl. Internet Service Provider
IT – informacinės technologijos
KPK – kenksmingas programinis kodas
MACB – angl. Modification, Access, Creation, Birth
NEE – nusikaltimai elektroninėje erdvėje
OS – operacinė sistema
P2P – angl. Peer-2-Peer
PCI DSS – angl. Payment Card Industry Data Security Standard
PFI – angl. PCI Forensic Investigator
RAM – angl. Random Access Memory
SCADA – angl. Supervisory Control and Data Acquisition
SIM systems – angl. Security Incident Management Systems
131
TERMINŲ ŽODYNĖLIS
De-facing (angl.) – atakos tipas, nukreiptas prieš interneto svetainę, kai neteisėtai pa-
keičiamas svetainės turinys.
Elektroniniai arba skaitmeniniai įkalčiai – bet kokia kompiuterių sistemomis perduo-
dama arba saugoma informacija, kuri patvirtina tyrimo metu suformuluotą hipotezę ir
pagal poreikį bei tenkinant tam tikras sąlygas gali būti panaudota teismo proceso metu.
Įkalčių grandinė – veiksmų seka, pagal kurią galima kontroliuoti įkalčio buvimo vietą
bet kuriuo momentu nuo išėmimo iki pateikimo į teismo salę.
Įkalčių išėmimas – procesų visuma, užtikrinanti įkalčių identifikavimą ir apsaugą nuo
modifikavimo įvykio vietoje, jų paėmimą, pakavimą ir transportavimą iki tyrimo labo-
ratorijos.
Incidentas – bet koks įvykis, kuris nėra standartinio paslaugos funkcionavimo dalis,
sukeliantis arba galintis sukelti paslaugos teikimo nutraukimą arba sąlygoti paslaugos
kokybės teikimo sumažėjimą.
Informacinis karas – veiksmų visuma, siekiant apsaugoti savas informacines sistemas
nuo neteisėto panaudojimo, duomenų iškraipymo arba visiško sunaikinimo, tuo pačiu
siekiant informacinio pranašumo pasinaudojant, iškraipant arba sunaikinant oponento
informacines sistemas.
NEE tyrimas – kompiuterinių įkalčių išsaugojimas, identifikavimas, išgryninimas, ver-
tinimas ir dokumentavimas.
Phishing (angl.) – atakos būdas, kai iš vartotojo bandoma išvilioti jo privačius duome-
nis (dažniausiai prisijungimo), siūlant jam juos suvesti į nusikaltėlio sistemą, imituo-
jančią legalios sistemos išvaizdą ir funkcionavimą.
SPAM (angl.) – nepageidaujamo turinio reklama, platinama elektroniniu paštu.
132
LIETUVIŲ–ANGLŲ TERMINŲ ŽODYNAS
Atminties būsenos kopija – Snapshot
Branduolys – Kernel
Elektroninis karas – Electronic warfare
Failai kaupikliai / eilės failai– Spool failai
Failų metaduomenys – Inode
„Gyvos“ arba neišjungtos kompiuterių sistemos – Live computer systems
Įkalčių grandinė – chain of evidence / chain of custody
Įkalčių išėmimas – Evidence seizure
Incidentų sulaikymas – Incident handling
Incidentų valdymas – Incident management
Interneto paslaugų tiekėjas – Internet Service Provider
Įsilaužimo įrankis – Exploit
Kenksmingas programinis kodas – Malware
Kibernetinė apgaulė ir vagystė – Cyber-deceptions and thefts
Kibernetinis karas – Cyber warfare
Kibernetinis peržengimas – Cyber-trespass
Kibernetinis smurtas – Cyber-violence
Klaidingas pranešimas – False-positive
Kopija-atvaizdas – Bit-to-bit copy / Image copy
Laikinas failas – Temp file
Laiko antspaudas – Time-stamp
„Mirusios“ arba išjungtos kompiuterių sistemos – Mortal computer systems
Neatstatomas trynimas – Wiping
Nusikaltimai elektroninėje erdvėje – Computer crime / cyber crime
Peržiūra pasibaigus incidentui – Post mortem review
Piktnaudžiavimas kompiuteriu – Computer abuse
Pirminio atsako procedūros – First Response Procedures
Programišius – Hacker
133
Psichologinis karas – Psychological warfare
Saldainiukai – Cookies
Scenos užšaldymas – Freezing the scene
Skaičiavimo debesyse technologijos – Cloud computing
Skaitmeninės erdvės tyrimo procesas – Digital forensics
Skaitmeniniai įkalčiai – Digital evidence
Sukeitimų failas – Swap file
Tiesioginio bendravimo programos – Instant messaging programs
Tinklinis karas – Net warfare
Žemo lygio formatavimas – Low level format
Žymės – Bookmarks
134
REKOMENDUOJAMA LITERATŪRA
Žemiau pateikiama literatūra, kuri gali būti rekomenduojama nuodugnesniam
kiekvieno skyriaus savarankiškoms studijoms. Studentams siūloma neapsiriboti vien
rekomenduojama literatūra, bet analizuoti ir kitus naudotos literatūros sąraše pateiktus
šaltinius, stebėti naujas publikacijas NEE tyrimo tema.
1. NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE

Sieber, U. 1998. Legal Aspects of Computer-Related Crimes in Information So-
ciety. Comcrime study.
2. NEE TEISINIAI ASPEKTAI
Sauliūnas, D. (Red.) 2004. Informacinių technologijų teisė. Vilnius: NVO teisės
institutas. 544 p.
Kiškis, M.; Petrauskas, R.; Rotomskis, I.; Štitilis, D. 2006. Teisės informatika ir
informatikos teisė. Vilnius: Mykolo Romerio universiteto leidybos centras. 267 p.
3. TYRIMŲ POREIKIS, TYRIMŲ TIPAI
Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T. 2007.
Cyber Crime Investigations. Syngress Publishing. 432 p.
4. PIRMINĖ REAKCIJA Į NEE
Shinder, D. L.; Tittel, E. 2002. Scene of the Cybercrime: Computer Forensics
Handbook. Syngress Publishing. 749 p.
5. NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA
Marcela, A. J.; Greenfield, R. S. 2002. Cyber Forensics. A Field Manual for Collec-
ting and Preserving Evidence of Computer Crimes. Auerbach Publications. 346 p.
6. ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS
Brown, C. 2006. Computer Evidence Collection and Preservation. Hingham
(USA): Charles River Media.
7. ĮKALČIŲ IŠĖMIMO PROCESAS
8. ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI
Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier Inc. 594 p.
135
9. SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS
Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone, J.;
Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress Pu-
blishing. 960 p.
10. ĮKALČIŲ RINKIMAS VIEŠOJOJE ERDVĖJE
Wall, D. 2001. Cybercrimes and the Internet. London: Routledge, London.
11. NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI
12. ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS
Marcela, A. J.; Greenfield, R. S. 2002. Cyber Forensics. A Field Manual for
Collecting and Preserving Evidence of Computer Crimes. Auerbach Publicati-
ons. 346 p.
13. ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI
14. TYRIMO ATASKAITOS PARENGIMAS
Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T. 2007.
Cyber Crime Investigations. Syngress Publishing. 432 p.
15. PROFESINĖ KARJERA
Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone, J.;
Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress Pu-
blishing. 960 p.
136
NAUDOTA LITERATŪRA
1. Ashcroft, J.; General, A. 2001. Electronic Crime Scene Investigation: A
Guide for First Responders. U. S. Department of Justice. 93 p.
2. Brown, C. 2006. Computer Evidence Collection and Preservation. Hing-
ham (USA): Charles River Media.
3. Carrier, B. 2005. File System Forensic Analysis. Boston: Addison-Wesley
Professional.
4. Carrier, B. D.; Grand, J. 2003. A Hardware-Based Memory Acquisition Pro-
cedure for Digital Investigations. Digital Investigation Journal, Issue 1(1).
5. Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier
Inc. 594 p.
6. Kaspersen, H. W. K. 2009. Cybercrime and Internet Jurisdiction, Discus-
sion paper (draft), version 5 March 2009, prepared in the framework of
the Project on Cybercrime of the Council of Europe [interaktyvus]. <http://
www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/
Reports-Presentations/2079repInternetJurisdictionrik1a%20_Mar09.pdf>
(žiūrėta 2011-08-08)
7. Kiškis, M.; Petrauskas, R.; Rotomskis, I.; Štitilis, D. 2006. Teisės informa-
tika ir informatikos teisė. Vilnius: Mykolo Romerio universiteto leidybos
centras. 267 p.
8. Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone,
J.; Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress
Publishing. 960 p.
9. Konvencija dėl elektroninių nusikaltimų, 2011 [interaktyvus] <http://www3.
lrs.lt/> (žiūrėta 2011-08-01).
10. Kumetaitis, K.; Goranin, N. 2007. Informacinio karo ir informacinio sau-
gumo sąryšio analizė, 10-osios Lietuvos jaunųjų mokslininkų konferencijos
medžiaga „Mokslas – Lietuvos ateitis“: 540–544.
11. Lietuvos Respublikos baudžiamasis kodeksas [interaktyvus]. 2000. Vals-
tybės žinios, 2000-10-25, Nr. 89-2741 Aktuali redakcija nuo 2011-03-31.
<http://www3.lrs.lt/> (žiūrėta 2011-08-08).
12. Lietuvos Respublikos konstitucija [interaktyvus]. 1992. Valstybės žinios,
1992-11-30, Nr. 33-1014 < http://www3.lrs.lt/home/Konstitucija/Konstitu-
cija.htm> (žiūrėta 2011-08-08).
13. LST ISO 2382-1: 1996. Informacijos technologija. Terminai ir apibrėžimai.
1-oji dalis. Pagrindiniai terminai. Lietuvos standartizacijos departamentas.
1996, p. 33.
14. ISO/IEC 20000-1:2011 IT Service Management System (SMS) Standard.
2011. International Organization for Standartization.
137
15. Marcela, A. J.; Greenfield, R. S. 2002. Cyber Forensics. A Field Manual for
Collecting and Preserving Evidence of Computer Crimes. Auerbach Publi-
cations. 346 p.
16. Middleton, B. 2001. Cyber Crime Investigator’s Field Guide. Auerbach Pu-
blications. 330 p.
17. Parker, D. 1976. Crime by Computer. NY: Charles Scribner’s Sons.
18. Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T.
2007. Cyber Crime Investigations. Syngress Publishing. 432 p.
19. Sauliūnas, D. (Red.) 2004. Informacinių technologijų teisė. Vilnius: NVO
teisės institutas. 544 p.
20. Sauliūnas, D. 2010. Legislation on Cybercrime in Lithuania: Development
and Legal Gaps in Comparison with the Convention on Cybercrime, Ju-
risprudencija, Vol. 4 (122): 203–219.
21. Shinder, D. L.; Tittel, E. 2002. Scene of the Cybercrime: Computer Forensi-
cs Handbook. Syngress Publishing. 749 p.
22. Shipley, T. G.; Reeve, H. R. 2006. Collecting Evidence from a Running
Computer. The National Consortium for Justice Information and Statistics.
23. Sieber, U. 1998. Legal Aspects of Computer-Related Crimes in Information
Society. Comcrime study.
24. Taylor, R. W; Caeti, T. J.; Loper, K.; Fritsch, E. J.; Liederbach, J. R. 2005.
Digital Crime and Digital Terrorism. Prentice Hall. 416 p.
25. Wall, D. 2001. Cybercrimes and the Internet. London: Routledge, London.
26. Соколов, A.; Степанюк, О. 2002. Защита от компьютерного
терроризма. БХВ-Петербург. 496 p.
Rekomendavo VGTU Fundamentaliųjų mokslų fakulteto studijų komitetas
VILNIAUS GEDIMINO TECHNIKOS UNIVERSITETAS
Nikolaj Goranin, Dalius Mažeika
Nusikaltimai elektroninėje erdvėje ir jų tyrimo metodikos
Mokomoji knyga
Redagavo J. Valikonė
Maketavo L. Mončius
2011-11-30. 8,75 sp. l.

Išleido leidykla UAB „TEV“, Akademijos g. 4, 08412 Vilnius
Gamino leidykla UAB „TEV“, Akademijos g. 4, 08412 Vilnius

Nusikaltimai Elektronineje Erdveje Ir Ju Tyrimo Metodikos PDF

Uploaded by

Copyright:

Available Formats

You might also like

Nusikaltimai Elektronineje Erdveje Ir Ju Tyrimo Metodikos PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nusikaltimai Elektronineje Erdveje Ir Ju Tyrimo Metodikos PDF

Uploaded by

Copyright:

Available Formats

Nikolaj Goranin

Projektas „Aukštojo mokslo I ir II pakopų informatikos ir informatikos inžinerijos krypčių

4.1 lentelė. Skirtingų CSIRT grupių tipų lyginamoji analizė.......................................35

4.1 pav. Reagavimo į incidentus etapai........................................................................35

1.1. Nusikaltimų elektroninėje erdvėje apibrėžimas ir jų tipai

1.2. Informacinis karas

1.3. Kontroliniai klausimai

1. Pateikite bent tris NEE apibrėžimus.

2.1. Teisinė nusikaltimų elektroninėje erdvėje samprata

Nors jau keletą dešimtmečių susiduriama su nusikaltimais elektroninėje erdvėje,

Elektroninio nusikaltimo apibrėžimas Lietuvos teisiniuose dokumentuose

Nusikaltimai elektroninėje erdvėje pripažįstami kaip neteisėta veika ir Lietu-

2.2. Elektroninių nusikaltimų kategorijos

Prof. U. Sieber savo ataskaitoje „Legal Aspects of Computer-Related Crimes

2.3. Tarptautiniai teisės aktai ir Konvencija dėl elektroninių

Šiuolaikinės visuomenės gyvenimas neatsiejamas nuo kompiuterinės ir progra-

Vienas iš svarbiausių tarptautinių norminių dokumentų, skirtų nusikaltimams

Konvencijos dėl elektroninių nusikaltimų nuostatų apžvalga

Konvenciją dėl elektroninių nusikaltimų sudaro preambulė ir trys skyriai:

Lietuvos BK prieš Konvenciją dėl elektroninių nusikaltimų

Nusikaltimai elektroninėje erdvėje, nors ir vėliau nei pažangiose vakarų šalyse,

Elektroninių nusikaltimų kriminalizavimas po konvencijos ratifikavimo

Ratifikavus Konvenciją dėl elektroninių nusikaltimų, įstatymų leidėjai atliko

2.5. Kontroliniai klausimai

1. Kokie tarptautiniai ir Lietuvos teisiniai dokumentai reglamentuoja elektro-

3.1. Formalusis ir neformalusis metodai

3.2. „Gyvų“ ir „negyvų“ sistemų tyrimo metodai

3.3. Kontroliniai klausimai

1. Kokias formaliojo NEE tyrimo būdo pasirinkimo priežastis galite išvardyti?

4.1. Reagavimas į incidentus, jų sulaikymas bei incidentų valdymo

Reagavimo į incidentus, incidentų pasekmių sumažinimo ir incidentų valdymo

Kiekviena organizacija privalo pasirinkti, kokią reagavimo į incidentus politiką

4.1 lentelė. Skirtingų CSIRT grupių tipų lyginamoji analizė

4.1 pav. Reagavimo į incidentus etapai (Kleiman et al. 2007)

Norint sėkmingai reaguoti į incidentus, būtina jiems tinkamai iš anksto pasi-

CSIRT grupės formavimas

Informavimas apie incidentą

Informacijos saugos specialisto pareiga yra informuoti vadovybę apie informa-

Įkalčių išsaugojimas ir incidento sulaikymas

NEE tyrėjas naudojasi trapiu ir nestabiliu turiniu (atidaryti susijungimai, opera-

Pristatymo metu perduodama visą incidento metu surinktą informaciją kartu su

Peržiūra pasibaigus incidentui

4.3. Incidentų tipai

Vienas iš didžiausių atsako į incidentus procesų iššūkių yra būtinybė reaguoti į

Atsisakymo aptarnauti ataka

Atsisakymo aptarnauti atakos (angl. Denial-of-service (DoS)) tikslas yra neleisti

Kenksmingas programinis kodas

Prie netinkamo naudojimo priskiriami veiksmai, kai kompiuterio vartotojas jį

4.4. Kontroliniai klausimai ir praktiniai darbai

1. Kuo skiriasi reagavimas į incidentus, incidentų sulaikymas ir incidentų val-

Susiskirstykite į grupes po 6–8 žmones (esant mažoms akademinėms grupėms,

5.1. Bendrieji NEE tyrimo principai ir etapai

Kai įvykis yra perkvalifikuojamas į incidentą, organizacija susiduria su būtinybe

5.2. Klausimai tyrėjui ir užsakovui tyrimo eigoje

Klausimai, pateikiami užsakovui įvykio vietoje

5.3. Kontroliniai klausimai

1. Įvardykite pagrindinius NEE tyrimo principus. Apginkite kiekvieno iš prin-

6.2. Įkalčių kategorijos ir šaltiniai