Professional Documents
Culture Documents
Nusikaltimai Elektronineje Erdveje Ir Ju Tyrimo Metodikos PDF
Nusikaltimai Elektronineje Erdveje Ir Ju Tyrimo Metodikos PDF
Nusikaltimai Elektronineje Erdveje Ir Ju Tyrimo Metodikos PDF
Dalius Mažeika
Nusikaltimai
elektroninėje erDvėje
ir jų tyriMo MetoDikos
Nikolaj Goranin
Dalius Mažeika
NUSIKALTIMAI
ELEKTRONINĖJE ERDVĖJE IR
JŲ TYRIMO METODIKOS
MOKOMOJI KNYGA
© N. Goranin,
D. Mažeika, 2011
© KTU Informatikos fakultetas, 2011
© VGTU Fundamentaliųjų mokslų fakultetas, 2011
© UAB TEV, 2011
ISBN 978-609-433-055-1
TURINYS
ĮVADAS.........................................................................................................................7
1. NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE....................................................9
1.1. Nusikaltimų elektroninėje erdvėje apibrėžimas ir jų tipai.................................9
1.2. Informacinis karas............................................................................................11
1.3. Savikontrolės klausimai...................................................................................14
2. NEE TEISINIAI ASPEKTAI...................................................................................15
2.1. Teisinė nusikaltimų elektroninėje erdvėje samprata........................................15
2.2. Elektroninių nusikaltimų kategorijos...............................................................17
2.3. Tarptautiniai teisės aktai ir Konvencija dėl elektroninių nusikaltimų..............18
2.4. Nusikaltimų elektroninėje erdvėje reglamentavimas Lietuvoje......................23
2.5. Savikontrolės klausimai...................................................................................27
3. POREIKIS TYRIMAMS IR JŲ TIPAI....................................................................29
3.1. Formalus ir neformalus metodai......................................................................30
3.2. „Gyvų“ ir „negyvų“ sistemų tyrimo metodai...................................................31
3.3. Savikontrolės klausimai...................................................................................33
4. PIRMINĖ REAKCIJA Į NEE..................................................................................34
4.1. Reagavimas į incidentus, jų sulaikymas bei incidentų valdymo apibrėžimas.34
4.2. Reagavimo į incidentus etapai.........................................................................35
4.3. Incidentų tipai..................................................................................................42
4.4. Savikontrolės klausimai ir praktiniai darbai....................................................43
5. NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA.....................................................45
5.1. Bendri NEE tyrimo principai ir etapai.............................................................45
5.2. Klausimai tyrėjui ir užsakovui tyrimo eigoje...................................................46
5.3. Savikontrolės klausimai...................................................................................49
6. ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS................................................50
6.1. Įkalčių savybės.................................................................................................51
6.2. Įkalčių kategorijos ir šaltiniai...........................................................................52
6.3. Savikontrolės klausimai...................................................................................55
7. ĮKALČIŲ IŠĖMIMO PROCESAS.........................................................................56
7.1. Įkalčių išėmimo proceso etapai........................................................................56
7.2. Alternatyvūs įkalčių išėmimo metodai.............................................................59
7.3. Savikontrolės klausimai...................................................................................60
8. ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI.........................................................61
8.2. Nestabilių įkalčių surinkimas...........................................................................61
8.2. Stabilių įkalčių surinkimas...............................................................................69
8.3. Įrankai ir priemonės NEE įkalčių paieškai kompiuterių tinkle........................77
8.4. Savikontrolės klausimai ir praktiniai darbai....................................................81
3
9. SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS.............................................................83
9.1. Saugomų duomenų naikinimo būdai...............................................................83
9.2. Sunaikintų ir sugadintų duomenų atstatymas..................................................87
9.3. Savikontrolės klausimai ir praktiniai darbai....................................................89
10. ĮKALČIŲ RINKIMAS VIEŠOJE ERDVĖJE.......................................................90
10.1. Įkalčių paiešką interneto svetainėse...............................................................90
10.2. Įkalčių paieška kitose įtariamajam neprieinamose sistemose........................92
10.3. Savikontrolės klausimai.................................................................................93
11. NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI....94
11.1. NEE tyrimo Windows OS ypatumai..............................................................94
11.2. NEE tyrimo Linux OS ypatumai....................................................................96
11.3. Savikontrolės klausimai.................................................................................98
12. ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS.......................................................99
12.1. Įkalčių vientisumo išsaugojimo metodai.......................................................99
12.2. Įkalčių grandinė...........................................................................................103
12.3. Savikontrolės klausimai ir praktiniai darbai................................................103
13. ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI...................................................105
13.1. Įkalčių analizės būdai...................................................................................105
13.2. Įkalčių analizės įrankiai...............................................................................107
13.3. Savikontrolės klausimai ir praktiniai darbai................................................113
14. TYRIMO ATASKAITOS PARENGIMAS..........................................................114
14.1. Tyrimo ataskaitų tipai...................................................................................114
14.2. Reikalavimai tyrimų ataskaitai....................................................................115
14.3. Ataskaitos struktūra......................................................................................117
14.4. Savikontrolės klausimai...............................................................................118
15. PROFESINĖ KARJERA.....................................................................................119
15.1. Rolės ir pareigos tyrimo metu......................................................................119
15.2. NEE tyrėjo profesinė etika...........................................................................121
15.3. Sertifikacija..................................................................................................122
15.4. Savikontrolės klausimai...............................................................................126
16. NUSIKALTIMŲ TYRIMAS: ATVEJŲ ANALIZĖ............................................127
16.1. NEE plačiąja prasme tyrimo atvejų analizė.................................................127
16.2. NEE siaurąja prasme tyrimo atvejų analizė.................................................128
16.3. Savikontrolės klausimai ir praktiniai darbai................................................129
SANTRUMPOS.........................................................................................................131
TERMINŲ ŽODYNĖLIS..........................................................................................132
LIETUVIŲ-ANGLŲ TERMINŲ ŽODYNAS..........................................................133
REKOMENDUOJAMA LITERATŪRA...................................................................135
NAUDOTA LITERATŪRA.......................................................................................137
4
LENTELIŲ SĄRAŠAS
5
PAVEIKSLĖLIŲ SĄRAŠAS
6
ĮVADAS
Platus kompiuterinių ir tinklo technologijų paplitimas šiuolaikinėje visuomenėje
XX a. pabaigoje ir XXI a. pradžioje lėmė tai, kad kompiuteriai vis dažniau tampa ne
tik teisėtos veiklos, bet ir nusikaltimo įrankiais – ir vykdomo vien elektroninėje erdvėje
(įsilaužimai į sistemas, duomenų vagystės, draudžiamo turinio platinimas, autorinių
teisių pažeidimai ir t. t.), ir klasikinių nusikaltimų pagalbine priemone (pvz., informa-
cijos apie žudymo įrankius paieškai, informacijos mainama tarp teroristinių grupuočių,
nusikaltimų planavimui bei kt.). Šios tendencijos savo ruožtu lemia tai, jog vis dažniau
tiriant nusikaltimą bei nagrinėjant bylą teisme tenka aiškintis kompiuterinėje erdvėje
paliktus pėdsakus arba remtis vien tik jais. Bendriausiuoju atveju nusikaltimų elektro-
ninėje erdvėje tyrimų procesą galima apibrėžti kaip įkalčių identifikavimą, surinkimą,
išsaugojimą, analizę bei analizės išvadų parengimą. Šiuo metu ši informacijos saugos
užtikrinimo tematika negali būti ignoruojama, kadangi organizacija, nepasiruošusi at-
sakyti į tokio tipo nusikaltimus, rizikuoja patirti finansinių nuostolių, neužtikrinti rei-
kiamo nusikaltimų tyrimo proceso ir taip pačiai tapti teisinio persekiojimo objektu už
tyrimo proceso pažeidimą.
Nusikaltimų elektroninėje erdvėje pėdsakų nagrinėjimas iškelia daugelį iššūkių
teisėsaugos organams bei organizacijų padaliniams, atsakingiems už informacijos sau-
gos užtikrinimą. Kaip pagrindinius galima įvardyti šiuos: nagrinėjamų objektų specifi-
kos suvokimas (pėdsakai skirtingose operacinėse sistemose, viešoje erdvėje (pvz., soci-
aliniuose tinkluose, komentaruose naujienų portaluose), tinklo įrenginiuose, mobiliuo-
siuose prietaisuose ir kt.) bei gebėjimas juos tinkamai nagrinėti; įstatymų, reglamentuo-
jančių bendruosius nusikaltimų tyrimo procesus, greitai besikeičiančius bei kuriamus
teisinius dokumentus elektroninei erdvei reglamentuoti, išmanymas; gebėjimas vertinti
skirtingas rizikas (pvz., kas turės didesnės neigiamos įtakos kompanijai – teisėsaugos
organų įtraukimas į tyrimą ir informacijos, kad organizacijos informacijos saugos siste-
ma buvo pažeista, paviešinimas ar tyrimo vykdymas savo jėgomis bei nuostolių kom-
pensavimas). Išvardyti iššūkiai lėmė tai, jog sparčiai evoliucionavo nusikaltimų elek-
troninėje erdvėje tyrimo įrankiai ir metodikos, kurie lėmė vis didėjančius reikalavimus
besiformuojančiam profesionalių nusikaltimų elektroninėje erdvėje tyrėjų sluoksniui.
Tačiau ir nusikaltėliai tapo atsargesni, jiems tapo žinoma, jog jų veiksmai gali būti
sekami, o palikti pėdsakai – panaudoti teisme. Paskutinės tendencijos rodo, jog nusi-
kaltėliai, anksčiau ignoravę šią grėsmę arba apie ją tiesiog nežinoję, imasi priemonių,
siekdami apsunkinti nusikaltimų tyrėjų darbą: taiko duomenų šifravimo metodikas,
naudoja automatizuotas įkalčių naikinimo priemones bei vengia tiesiogiai naudoti savo
kompiuterius nusikaltimams vykdyti.
Šios mokomosios knygos tikslas – supažindinti „Nusikaltimų elektroninėje er-
dvėje ir jų tyrimo metodikų“ studijų dalyko klausytojus su pagrindiniais nusikaltimų
elektroninėje erdvėje tipais, jų apibrėžimo bei tyrimo teisiniais aspektais, baziniais ty-
rimo procesais bei įrankiais, suteikti praktinių žinių nagrinėjant konkrečius pavyzdžius,
nurodyti galimas šios srities karjeros galimybes. Rengiant šią mokomąją knygą buvo
7
stengiamasi neapsiriboti vien techniniais aspektais, kurie sparčiai kinta bei lemia greitą
knygos medžiagos senėjimą, bet ir pateikti fundamentalius tyrimo aspektus, kurie ga-
lėtų būti naudojami kaip bazinė sistema tiriant nusikaltimus ar priimant sprendimus.
Autoriai tikisi, kad ši mokomoji knyga taip pat bus naudinga ir kitų analogiškų kursų
arba bendrųjų informacijos saugos kursų klausytojams, teisininkams, nagrinėjantiems
nusikaltimus elektroninėje erdvėje, teisėsaugos organų atstovams bei visiems, besido-
minantiems informacijos saugos tematika. Vadovėlis yra vienas iš pirmųjų bandymų
aprašyti nagrinėjamą sritį lietuvių kalba, todėl autoriai atsiprašo už galimas klaidas ir
netikslumus bei bus dėkingi už konstruktyvią kritiką ir pasiūlymus.
Vadovėlio rengimą finansavo Lietuvos Respublikos švietimo ir mokslo ministe-
rija bei Europos Sąjungos struktūriniai fondai.
8
1.
NUSIKALTIMAI ELEKTRONINĖJE ERDVĖJE
Siekiant numatyti gynybos priemones, pirmiausia reikia įvardyti grėsmes, jas
apibrėžti, kitaip tariant – žinoti savo priešą. Todėl šio skyrelio tikslas yra apibrėžti
nusikaltimų elektroninėje erdvėje (NEE, angl. computer crime) sąvoką, siekiant įvesti
vienodą sampratą apie šį reiškinį. Žinodamas nusikaltimo apibrėžimą, tyrėjas gali jį
klasifikuoti ir imtis reikiamų tyrimo metodų.
NEE tyrimo raida evoliucionavo atskirai nuo klasikinių nusikaltimų (plėšimų,
prievartavimo, žudymo ir t. t.) tyrimų, juos vykdė specializuotos tyrėjų grupės, turin-
čios kompiuterių tinklų, operacinių sistemų ir taikomųjų programų sričių žinių. Tai
lėmė savotišką šios srities mistifikaciją visuomenėje ir nesupratimą, kad iš esmės NEE
– tik dar viena nusikaltimų atmaina. Todėl dažnai pasirodydavo pranešimų, kad pro-
gramišiai (angl. hackers) išvengdavo bausmės vien todėl, kad nebuvo įstatymiškai api-
brėžti NEE nusikaltimai, tyrėjams trūko kompetencijos arba teismas negalėjo įvertinti
surinktų įkalčių tinkamumo.
NEE praėjo ilgą evoliuciją nuo vandalizmo bei gebėjimų demonstravimo (XX
a. 7–9deš.) iki juodosios rinkos (nuo XX a. 9-ojo deš. iki dabar), kurioje prieinamos
konkurentų puslapių nulaužimo ir blokavimo (de-facing, DDoS tipo atakos), pramo-
ninio šnipinėjimo bei sabotažo, nepageidaujamo turinio reklamos (SPAM) paslaugos,
išplėtoti sukčiavimo (pvz., phishing) ir draudžiamo turinio platinimo mechanizmai bei
daugelis kitų. Platus kompiuterinių technologijų prieinamumas bei galimybė išlikti
nepastebėtam vykdant sąlyginai didelio masto diversijas, sudarė patrauklias sąlygas
naudoti kompiuterinius puolimus teroristinėms grupuotėms bei atskirų šalių specia-
liosioms tarnyboms. Jau realybe tapo informacinis karas, kurio formuluojama dar tik
sąvoka, bet neabejotinai turės būti atskirai vertinamas, įteisinamas ir tyrinėjamas.
NEE sąvoka šiuo metu apima įvairius nusikaltimus, tokius kaip informacijos
vagystė, draudžiamos informacijos (pvz., vaikų pornografijos) platinimas, asmeninės
informacijos vagystės, kompiuterinių resursų blokavimas, autorinių teisių pažeidimas
bei daugelis kitų, tačiau bendriausiu atveju NEE gali būti suskirstyti į dvi grupes:
▬▬ NEE siaurąja prasme, arba nusikaltimai, tiesiogiai darantys įtaką kompiuterinei
sistemai arba joje esantiems duomenims, kitaip tariant, pati kompiuterinė siste-
ma yra nusikaltimo tikslas;
▬▬ NEE plačiąja prasme apibrėžiami kaip bet kokie nusikaltimai, kuriems įvykdyti
vienaip ar kitaip buvo panaudotos kompiuterinės technologijos, o nusikaltimo
faktui įrodyti turi būti taikomos specifinės NEE tyrimo priemonės.
9
Nereikia pamiršti, kad kompiuterinės technologijos tapo prieinamos nusikaltė-
liams bei teroristinėms grupuotėms, kurios naudoja kompiuterių sistemas kaip informa-
cijos rinkimo, veiksmų planavimo ir duomenų mainų įrankį. Būtent šituo apibrėžimu,
kuriuo naudojasi JAV Federalinis tyrimų biuras, ir bus vėliau vadovaujamasi šiame va-
dovėlyje, atsižvelgiant į jo universalumą (apimamos ne vien kompiuterinės, bet ir greti-
mos technologijos, tokios kaip mobilieji įrenginiai) bei platumą. Tačiau šiame skyriuje
supažindinsime ir su kitų autorių siūlomais apibrėžimais, kad būtų matyti apibrėžimų
raida bei NEE kategorijos, kurias kaip svarbesnes išskiria autoriai.
Vienas iš pirmųjų apibrėžti NEE 1976 metais bandė Donn Parker (Parker 1976),
kuris pasiūlė naudoti piktnaudžiavimo kompiuteriu terminą (angl. computer abuse),
kuris reiškė „bet kokį incidentą, apimantį tyčinį veiksmą, susijusį su kompiuteriais,
kurio metu auka patyrė / galėjo patirti nuostolių arba nusikaltėlis turėjo naudos“. De-
talizuojant šį aukšto lygio apibrėžimą Donas Parkeris išskyrė tokias piktnaudžiavimo
kompiuteriu kategorijas:
▬▬ kompiuteris arba jame esantys duomenys yra neteisėto veiksmo objektas;
▬▬ kompiuteris sukuria unikalią aplinką arba vertybių formą;
▬▬ kompiuteris yra veiksmo įrankis arba instrumentas;
▬▬ kompiuteris naudojamas kaip šantažo arba grasinimo priemonė.
Aprašytos kategorijos yra pakankamai plačios, todėl iki šiol nėra praradusios
savo aktualumo nuo 1976 metų.
Vėliau tyrinėtojai bandė tikslinti šį apibrėžimą bei teikti savo pasiūlymus. Pa-
vyzdžiui, Majid Yar teigia, kad bendriniai terminai kompiuterinis nusikaltimas arba
kibernetinis nusikaltimas yra neteisingi ir būtina bent atskirti nusikaltimus, kuriuose
kompiuteris naudojamas kaip pagalbinė priemonė (angl. computer-assisted crimes), t.
y. egzistavusius iki kompiuterių atsiradimo, bet įgavusių naujų formų kibernetinėje er-
dvėje (sukčiavimas, seksualinis priekabiavimas, neapykantos kurstymas, pornografija),
nuo į kompiuterius orientuotų nusikaltimų (angl. computer focused crimes), kurie susi-
formavo kartu su kompiuterių atsiradimu ( programišių veikla, kenksmingo programi-
nio kodo (KPK) atakos, saitynų (Web) puslapių modifikavimas). Autorius taip pat siūlo
detalesnę NEE kategorizaciją:
▬▬ kibernetinis peržengimas (angl. cyber-trespass) – žmonių arba organizacijų nuo-
savybės ribų peržengimas, sukeliant tam tikrų nuostolių (programišių veikla,
defacement, KPK atakos);
▬▬ kibernetinė apgaulė ir vagystė (angl. cyber-deceptions and thefts) – veiksmai ki-
bernetinėje erdvėje, kai vagiamos arba apgaulės būdų įgijamos finansinės (pvz.,
bankinių kortelių numeriai) arba intelektinės (pvz., piratavimas) vertybės;
▬▬ kibernetinė pornografija (angl. cyberpornography) – veiksmai, kurie peržengia
nustatytas padorumo ribas;
▬▬ kibernetinis smurtas (angl. cyber-violence) – psichologinis smurtas arba neapy-
kantos kurstymas naudojant kompiuterines priemones.
Marjorie Britz teigia, kad kompiuterinis nusikaltimas, tai bet koks neteisėtas
veiksmas, atliktas kompiuteriu, o su kompiuteriu susijęs nusikaltimas yra bet koks
10
neteisėtas veiksmas, kurio metu kompiuteris neatliko pagrindinio vaidmens. Galima
matyti, kad šitie du apibrėžimai iš dalies yra vienodi ir nėra labai griežti, kas būdinga
daugeliui NEE apibrėžčių.
Douglas Thomas ir Brian Loader apibrėžia kibernetinį nusikaltimą kaip kom-
piuteriu atliekamus veiksmus, kurie yra nelegalūs arba neteisėti, atliekami globaliuose
elektroniniuose tinkluose.
Robert Taylor (Taylor et al. 2005) pabrėžia, kad kompiuterinio nusikaltimo api-
brėžimas yra sudėtingas uždavinys bei siūlo išplėsti D. Parker klasifikaciją, skirstant
NEE į tokias kategorijas:
▬▬ kompiuteris kaip tikslas – atakos tikslas yra pažeisti teisėtų vartotojų prieigą prie
sistemų ir duomenų;
▬▬ kompiuteris kaip nusikaltimo instrumentas – kompiuteris naudojamas nusikals-
tamos veiklos tikslui pasiekti, pvz., duomenų vagystei;
▬▬ kompiuteris kaip nusikaltimo vykdymo antraeilis įrankis – kompiuteris nėra nu-
sikaltimo pagrindas, tačiau palengvina jo vykdymą, pvz., pinigams plauti arba
pornografijai platinti;
▬▬ kompiuteriai, susiję su kompiuterių paplitimu – šita kategorija apima nusikalti-
mus prieš kompiuterių ir IT industriją, tokius kaip intelektinės nuosavybės va-
gystė ir programinės įrangos piratavimas.
Europos Komisijos dokumentuose kompiuterinis nusikaltimas apibrėžiamas
kaip bet koks neteisėtas veiksmas, apimantis kompiuterį, jų sistemą arba programinę
įrangą. (teisinis NEE apibrėžimas detaliau nagrinėjamas 2 skyriuje).
Kaip matome iš pateiktų apibrėžimų, jie nėra visuomet vienareikšmiai, dažnai
išskiriamos autoriaus nuomone svarbiausios kategorijos, yra panašūs arba nėra „iškal-
būs“ (pvz., prie kategorijos kompiuteriai, susiję su kompiuteriu paplitimu galima be
papildomo išaiškinimo priskirti bet kokį NEE). Tai, be abejo, parodo, jog supratimas
apie NEE dar nėra iki galo susiformavęs, egzistuoja poreikis detalesniam problemos
nagrinėjimui bei NEE klasifikavimui. Dėl šios priežasties toliau šioje knygoje yra var-
tojamas tik bendrinis NEE terminas, neskiriant jo pagal prigimtį ar charakteristiką.
Apibrėžimą taip pat apsunkina skirtingų šalių teisiniai nesutapimai, kas laikoma
nusikaltimu (pvz., dėl skirtingo pilnametystės apibrėžimo tai, kas vienoje šalyje laiko-
ma vaikų pornografija, kitoje gali būti įvertinta kaip teisėto turinio produkcija; teisės
aktų, reglamentuojančių intelektinės nuosavybės klausimus, nebuvimas gali lemti, kad
nusikaltėlis negali būti patrauktas baudžiamojon atsakomybėn už piratinės programi-
nės įrangos platinimą). Įvairūs sunkumai bei teisiniai aspektai plačiau nagrinėjami 2
skyriuje.
Kaip gan specifinis NEE gali būti nagrinėjamas informacinis karas visokiausio-
mis jo atmainomis: ir taikomas teroristinių grupuočių, ir šalių specialiųjų tarnybų kitų
šalių atžvilgiu (parengta pagal Kumetaitis ir Goranin 2007).
11
Informacinis karas – reiškinys, atsiradęs plačiai paplitus masinėms visuome-
nės informavimo priemonėms. Paskutiniu metu vis svarbesnės tampa IT technologijos
(ypač internetas). Informacinėms technologijoms vis labiau besiskverbiant į naujausias
karines technologijas bei visuomenės gyvenimą ir žmonijai tampant vis labiau priklau-
somai nuo šių sistemų, iškyla naujos grėsmės dėl sistemų nepakankamo saugumo ir
atsparumo tinklinėms atakoms ir kenksmingam programiniam kodui. Šis sistemų ne-
atsparumas taip pat suteikia naujų galimybių siekiant pakenkti savo priešininkams ir
konkurentams.
Šiuo metu apytikriai 90–95 proc. visų karinių komunikacijų perduodamos ko-
mercinėmis linijomis. Karinės pajėgos yra labai priklausomos nuo šių linijų, labai daž-
nai šiais tinklais yra siunčiama koduota slapta informacija. Priešiškoms grupėms galbūt
ir nepavyktų perimti ir iššifruoti perduodamų signalų, tačiau jos gali nuslopinti civili-
nes komunikacijos linijas, tuo pačiu palikdamos kariuomenę be komunikacijų, įveliant
sumaišties bei neorganizuotumo joje.
Beveik visos valstybės, tai pat ir Jungtinės Amerikos Valstijos, daugumą savoms
sistemoms skirtų mikroschemų perka iš kitų šalių įmonių, su kuriomis potencialiai atei-
tyje yra įmanomas ir karinis konfliktas. Tokios mikroschemos valdo pačią moderniau-
sią karinę techniką ir pačius galingiausius ginklus, todėl iškyla labai didelė grėsmė,
kad tos mikroschemos kritiniu momentu gali suveikti ne taip, kaip tikimasi, ar net visai
nesuveikti. Tiekimas iš sąjunginių šalių taip pat negali garantuoti patikimumo.
Pati moderniausia karinė technika, tokia kaip B-2 bombonešis, F-22 ir F-35 nai-
kintuvai, buvo suprojektuoti naudojant kompiuterinę techniką ir visa informacija apie
šiuos projektus yra saugoma tam tikruose kompiuteriuose ar darbo stotyse, sujungtose
tam tikrais kompiuterių tinklais. Tai yra labai patogu norint pasidalinti informacija su
kitomis gamyklomis apie jau sukurtas detales, kurias galima panaudoti ir kitose kons-
trukcijose, tačiau tuo pačiu atsiranda galimybė prieiti prie šios informacijos asmenims,
kuriems neturėtų būti leista tai daryti. Be to išlieka galimybė tokį tinklą sutrikdyti ir
padaryti didelių nuostolių karinę techniką gaminančioms kompanijoms, ypač atsižvel-
giant į tai, jog karinės įrangos gamyba užsiima komercinės kompanijos, taikančios skir-
tingus informacijos saugos standartus.
Šiuolaikiniai protingieji ginklai savo taikinį sugeba susirasti patys pagal gautą
taip vadinamąjį duomenų komponentą, kuris nurodo, kokio taikinio reikia ieškoti: ar tai
būtų intensyvus infraraudonųjų spindulių šaltinis (lėktuvo ar tanko išmetamojo vamz-
džio spinduliuojama šiluma), ar tam tikros taikinio koordinatės. Pakeitus tokį duomenų
elementą arba jį visai ištrynus, net ir pats protingiausias ginklas tampa visiškai „kvailu“
ir nevaldomu.
Persų įlankos karai akivaizdžiai parodė, jog stoti į atvirą karinį konfliktą su išsi-
vysčiusiomis pasaulio valstybėmis nėra perspektyvu. Kur kas patrauklesnė alternatyva
yra asimetrinių metodų, prie kurių priskiriamas ir informacinis karas, taikymas.
Informacinis karas pritraukia vis daugiau dėmesio dėl dviejų esminių priežasčių.
Pirmoji – kompiuterių sistemų puolimas yra kur kas paprastesnis, lengvesnis, pigesnis
ir, svarbiausia, mažiau rizikingas nei sabotažas, nužudymas, įkaitų ėmimas bei lėktuvų
12
grobimas. Todėl informacinis karas gali tapti prioritetine strategija, ypač taikos periodu.
Antroji priežastis – informacinis karas yra ne tik galima grėsmė, bet ir galimybė. Nau-
jos karo strategijos remiasi informacinėmis technologijomis (pvz., tinklocentrinis karo
modelis). Informacinės technologijos – išsivysčiusių šalių stiprioji pusė, todėl karinės
pajėgos gali kuo puikiausiai pasinaudoti IT suteikiamomis galimybėmis ir sustiprinti
gynybines sistemas prieš priešiškas atakas. Todėl informacinį karą galima apibrėžti
taip: informacinis karas – veiksmų visuma, siekiant apsaugoti savas informacines sis-
temas nuo neteisėto panaudojimo, duomenų iškraipymo arba visiško sunaikinimo, tuo
pačiu siekiant informacinio pranašumo pasinaudojant, iškraipant arba sunaikinant opo-
nento informacines sistemas.
Informacinio karo tipai ir strategijos:
▬▬ C2 karas (angl. Command and control warfare), kurio pagrindinė idėja – atkirsti
priešininko karinių pajėgų „galvą“ nuo viso „kūno“ – paremta karinių komunikaci-
nių tinklų nutraukimu arba perduodamos informacijos iškraipymu.
▬▬ Elektroninis karas (angl. electronic warfare), kurį sudaro trys pagrindinės dalys:
―― elektroninės atakos – elektromagnetinio spektro panaudojimas, siekiant
pakenkti, suklaidinti ar visai sunaikinti priešo elektronines sistemas (pvz.,
elektromagnetinis impulsas, trikdžiai ir t. t.);
―― elektroninės apsaugos – visos įmanomos priemonės, siekiant apsaugoti savo ir
sąjungininkų elektroniką nuo priešininko elektroninės atakos;
―― elektroninis palaikymas – pasyvus elektromagnetinio spektro panaudojimas,
siekiant išžvalgyti priešininko pozicijas, surasti potencialius taikinius.
▬▬ Psichologinis karas (angl. Psychological warfare) naudojamas psichologiškai
paveikti priešininką, priešiškos valstybės visuomenę ar atskirus individualius
asmenis, naudojant politinį spaudimą, dezinformaciją, propagandą ar psicholo-
ginio teroro priemones.
▬▬ Programišių karas (angl. Hacker warfare) – informacinio karo rūšis, kai pavie-
niai individai atakuoja sistemas ir bando į jas įsilaužti.
▬▬ Kibernetinis karas (angl. Cyber warfare) – gerai organizuotų tinklo įsilaužėlių
grupuočių atakos prieš informacines sistemas, siekiant į jas įsilaužti, perimti ar
sunaikinti ten esančią informaciją arba sutrikdyti visą sistemą.
▬▬ Tinklinis karas (angl. Net warfare) – informacinio karo strategija, apimanti itin
plataus mąsto tinklo įsilaužėlių atakas prieš informacines sistemas, pasižyminti
tuo, kad yra beveik nepastebima ir yra nepaprastai sudėtinga nuo tokios atakos
apsisaugoti (nukenksminti visus atakuojančius dėl labai didelio jų kiekio).
▬▬ Ekonominis informacinis karas (angl. Economic information warfare) –infor-
macinio karo tipas, kai siekiama perimti informaciją ar pakenkti savo konkuren-
tams, siekiant pranašumo rinkoje, arba siekiama žlugdyti priešiškos valstybės
ekonomiką.
Informacinio karo pagrindinės savybės:
▬▬ Mažos išlaidos. Lyginant su klasikiniu karu, informacinis karas reikalauja daug
kartų mažesnių išlaidų – nereikia investuoti milijardinių lėšų į nepaprastai bran-
13
giai kainuojančią karinę techniką.
▬▬ Atstumas informaciniame kare tapo visai nebereikšmingas, informaciniame kare
išnyksta ir valstybių sienos, nes pasiekti bet kokią informacinę sistemą, prijungtą
prie interneto, galima iš bet kurio pasaulio krašto, turint kompiuterį, interneto
prievadą ir reikiamų žinių.
▬▬ Informacinis karas yra pakankamai anonimiškas. Gerai įgudusius tinklo įsilau-
žėlius praktiškai neįmanoma sugauti ir identifikuoti.
▬▬ Pakankamai didelis informacinių sistemų pažeidžiamumas.
Šiame vadovėlyje nenagrinėjamos specifinės informacinio karo įvykių tyrimų
metodikos. Dauguma jų techniškai nesiskiria nuo smulkių NEE tyrimų, tačiau pasižy-
mi ypatingai dideliu darbų mastu, sudėtingumu, daugybe politinių niuansų, kurie yra
už šios knygos ribų.
14
2.
NEE TEISINIAI ASPEKTAI
Nusikaltimai elektroninėje erdvėje – sąlyginai nauja sritis daugelio šalių teisi-
nėje praktikoje. Šių tipų nusikaltimų terminai nėra galutinai nusistovėję teisėsaugoje,
o galiojantys įstatymai yra nuolat tobulinami. IT specialistas, būdamas elektroninio
nusikaltimo liudininkas ar atlikdamas elektroninių nusikaltimų tyrimą, privalo veikti
nenusižengdamas galiojantiems įstatymams ir teisės aktams, todėl dažnai susiduria su
esminiais klausimais:
▬▬ ar nepažeidžiami įstatymai renkant ir tikrinant naudotojų duomenis, stebint nau-
dotojų veiksmus kompiuterių tinkle, analizuojant failų saugyklų turinį;
▬▬ ar naudojami tinkami, nenusižengiantys įstatymams incidento įrodymų rinkimo
metodai.
Specializuotos teisinės žinios yra būtinos kiekvienam IT administratoriui ar in-
formacijos saugos specialistui, vykdančiam kasdienę veiklą. Ypač svarbu būti susipa-
žinus su svarbiausiais šią sritį reglamentuojančiais teisiniais aktais: Europos Tarybos
konvencija dėl elektroninių nusikaltimų, Lietuvos Respublikos baudžiamojo kodekso
30 skyriumi, LR elektroninių ryšių įstatymu ir Europos žmogaus teisių ir pagrindinių
laisvių apsaugos konvencija. Žymiai palankiau vertinamas toks IT darbuotojas, kuris
sugeba ne tik užtikrinti tinkamą informacijos ir IT infrastruktūros saugą organizacijoje,
bet turi ir pakankamai teisinių žinių, todėl galinčio tinkamai elgtis įvykus elektroniniam
nusikaltimui.
Šiame skyriuje apžvelgsime Lietuvoje bei Europoje galiojančius teisės aktus ir
įstatymus, apibrėšime elektroninių nusikaltimų rūšis teisiniu aspektu, tokių nusikaltimų
daromą žalą, panagrinėsime bausmes, taikomas įvykdžius nusikaltimus elektroninėje
erdvėje.
15
mai plati ir siejama su skaitmenine informacija, duomenimis, internetu, programine
ir kompiuterine įranga. Teisiniu požiūriu elektroniniai nusikaltimai apima neteisėtus
veiksmus, susijusius su prieiga prie kompiuterinės sistemos ir joje esančio turinio, jo
keitimo ar modifikavimo bet kokia forma. Šio tipo nusikaltimas apima ir neteisėto ar
žalingo turinio skaitmeninės informacijos laikymą, platinimą ir naudojimą.
Elektroniniams nusikaltimams priskiriamos veikos, padarytos naudojant kom-
piuterius ar išmaniuosius elektroninius įrenginius, siekiant neteisėtai perimti, sugadin-
ti, sunaikinti pašalinti duomenis, sutrikdyti ar nutraukti informacinės sistemos darbą.
Kaip pažymi teisės specialistai, šiais laikais elektroniniai nusikaltimai jau neatsiejami
ir nuo interneto kaip terpės, kurioje vykdoma neteisėta veika.
Apibendrinant galima teigti, kad teisiniu požiūriu elektroniniams nusikaltimams
priskiriamos tokios neteisėtos veikos, kuriose kompiuterinė ar programinė įranga yra
nusikaltimo objektas arba įrankis, ir kitos neteisėtos veikos, susijusios su skaitmenine
informacija ir jos apdorojimu. Pavyzdžiui, kompiuteris ar kitas elektroninis įrenginys
gali būti ir nusikaltimo objektas, t. y. jis gali būti pavogtas ar piktybiškai sugadintas,
ir juo gali būti vykdoma DoS ataka, įsilaužimas į informacinę sistemą ar internetinį
portalą, ištrinami ar sugadinami naudotojų duomenys.
Reikėtų pažymėti, kad tokia elektroninio nusikaltimo samprata galioja daugelyje
šalių ir neprieštarauja Konvencijai dėl elektroninių nusikaltimų, kurioje nors ir nėra pa-
teiktas elektroninio nusikaltimo apibrėžimas, bet iš joje išdėstytų kriminalizuotų veikų,
apimančių tokio tipo nusikaltimus, galima daryti analogiškas išvadas.
16
atitiko Europos Tarybos rekomendacijas ir tiksliau apibrėžė nusikaltimų rūšis ir jiems
taikomas bausmes.
Nagrinėjant nusikaltimus elektroninėje erdvėje baudžiamosios teisės atžvilgiu,
elektroninis nusikaltimas suprantamas kaip bet koks baudžiamosios ar administracinės
teisės pažeidimas, kuriame kompiuterių sistema, duomenų perdavimo tinklai ar skai-
tmeninė informacija yra nusikaltimo objektas arba įrankis. 2004 m. Lietuvai ratifikavus
Budapešto Konvenciją dėl elektroninių nusikaltimų, elektroninio nusikaltimo terminas
buvo de jure įteisintas Lietuvos teisėsaugos dokumentuose, todėl tolesniuose skyriuose
šie nusikaltimai bus nagrinėjami konvencijoje patiektos sampratos kontekste.
Apibendrinant galima teigti, kad teisinėje praktikoje nėra universalios ir vie-
ningos elektroninio nusikaltimo sampratos dėl veikų skirtumo, siejamų su tokio tipo
nusikaltimais. Taip pat reikia pažymėti, kad daugelio šalių įstatymuose elektroniniai
nusikaltimai interpretuojami panašiai; tai leidžia teisėsaugos institucijoms užtikrinti
tarptautinį bendradarbiavimą, užkertant kelią nusikaltimams elektroninėje erdvėje.
17
terinių duomenų perdavimo į kompiuterinę sistemą perimtis; kompiuterinių duomenų
sugadinimas, sunaikinimas, apgadinimas, neteisėtas kompiuterinės sistemos darbo
trukdymas įvedant, perduodant, sugadinant ar sunaikinant kompiuterinius duomenis;
elektroninių įtaisų, kompiuterinių programų, prisijungimo kodų, slaptažodžių gamini-
mas, pardavimas, įsigijimas naudoti, įvežimąas platinimas aukščiau išvardintiems nu-
sikaltimams daryti. Su kompiuterių naudojimu susijusiems nusikaltimams priskiriami
kompiuterinės klastotės ir sukčiavimas, ketinant gauti neteisėtos ekonominės naudos
sau arba kitam asmeniui.
Turinio nusikaltimams priskiriamos tokios nusikalstamos veikos kaip pornogra-
finio turinio produkcijos, kurioje atvaizduotas vaikas, gaminimas, siūlymas, platinimas,
įsigijimas ir laikymas. Pažeidimai, susiję su autorių teisėmis ir gretutinėmis teisėmis,
apima literatūros ir meno kūrinių apsaugos pažeidimus, atlikėjų, fonogramų gamintojų
ir transliuojančiųjų organizacijų apsaugos pažeidimus.
18
kompiuteriais susijusių nusikaltimų prevencija bei latentiškumo mažinimas. Europos
Tarybos parengtos rekomendacija tikslas – suvienodinti Europos Sąjungos šalių teisi-
nes sistemas dėl su kompiuteriais siejamų nusikaltimų vertinimo ir užtikrinti tarptautinį
bendradarbiavimą. Rekomendacijoje pasiūlytas minimalus su kompiuteriais susijusių
nusikaltimų sąrašas:
▬▬ sukčiavimas, susijęs su kompiuteriais;
▬▬ klastojimas naudojant kompiuterį;
▬▬ kompiuterinių duomenų ir programų sunaikinimas arba sugadinimas;
▬▬ sabotažas naudojant kompiuterį, kompiuterinių duomenų ar kompiuterių progra-
mų įvedimas, ištrynimas, pakeitimas, paslėpimas ar kitoks įsikišimas į duomenų
apdorojimo procesą, siekiant sutrikdyti kompiuterio ar telekomunikacijų siste-
mos darbą;
▬▬ neteisėta prieiga prie kompiuterių sistemos;
▬▬ neteisėtas informacijos perėmimas kompiuterių sistemoje;
▬▬ neteisėtas apsaugotų kompiuterio programų dauginimas ir platinimas;
▬▬ neteisėtas kompiuterių lustų topografijų dauginimas ir platinimas.
Europos Tarybos valstybėms narėms pasiūlyta naudoti ir neprivalomų veikų,
traktuotinų kaip elektroniniai nusikaltimai, sąrašas, t. y. kompiuterių duomenų ir pro-
gramų pakeitimas, kompiuterinis šnipinėjimas, neteisėtas kompiuterio naudojimas, ne-
teisėtas apsaugotų programų naudojimas.
Kitas Europos Tarybos žingsnis, kovojant su nusikaltimais elektroninėje erdvė-
je, buvo 1995 m. išleista rekomendacija Nr. R (95) 13, susijusi su baudžiamojo proceso
teisės reglamentavimu nacionaliniu mastu. Valstybėms narėms rekomenduojama bau-
džiamojoje teisėje naudoti tokius procedūrinius principus:
▬▬ krata ir poėmis turi būti leistinos procedūros, tiriant elektroninius nusikaltimus;
▬▬ sekimo procedūros turi užtikrinti galimybę sekti telekomunikacinių srautų duo-
menis, tiriant nusikaltimus;
▬▬ bendradarbiavimas su teisėsaugos institucijomis yra privalomas asmenims ir
institucijoms pateikiant duomenis, reikalingus nusikaltimo tyrimui;
▬▬ elektroniniai įrodymai, jų procedūriniai ir techniniai išgavimo metodai turi būti
apibrėžti teisės aktuose ir vienodai galiojantys kaip ir kitos įrodymų formos;
▬▬ šifravimas tiriant nusikaltimus turi būti naudojimas tik būtinais atvejais, siekiant
nenusižengti įstatymams;
▬▬ tyrimas, statistika ir mokymai – turi būti įsteigti specialūs kompetentingi padali-
niai, tiriantys nusikaltimus elektroninėje erdvėje;
▬▬ tarptautinis bendradarbiavimas turi užtikrinti sklandų nusikaltimo tyrimą ir leis-
ti atlikti tokias procedūras kaip kratą ir poėmį kitoje valstybėje, nepažeidžiant
suverenumo principo.
19
Konvencija dėl elektroninių nusikaltimų
20
I skyriuje apibrėžiamos tokios sąvokos kaip kompiuterinė sistema, kompiuteri-
niai duomenys, paslaugų tiekėjai ir srauto duomenys, kurios vėliau naudojamos apibrė-
žiant nusikaltimo objektą, priemones, nusikaltimo tyrimo procedūras.
II skyrių sudaro trys skirsniai, t. y. materialioji baudžiamoji teisė, procesinė teisė
ir jurisdikcija. 1 skirsnį sudaro penkios dalys. Keturiose dalyse apibrėžiamos nusikals-
tamos veikos elektroninėje erdvėje, kurias įsipareigoja kriminalizuoti konvenciją pasi-
rašiusios šalys (šios veikos buvo aptartos ankstesniame vadovėlio skyriuje). Penktojoje
dalyje nustatoma atsakomybė už padarytas nusikalstamas veikas, įskaitant ir juridinio
asmens, bei rekomenduojama taikyti veiksmingas, proporcingas ir atgrasančias sankci-
jas, įskaitant laisvės atėmimą.
II skyriaus 2 skirsnis skirtas baudžiamojo proceso teisei. Juo siekiama suvieno-
dinti valstybių nacionalinių įstatymų proceso normas ir tokias procesines priemones
kaip krata ir poėmis pritaikyti elektroniniams nusikaltimams. Trijuose šiuose skirsniuo-
se išskiriamos tokios nuostatos dėl procesinių priemonių:
▬▬ operatyvus laikomųjų kompiuterinių duomenų išsaugojimas;
▬▬ laikomųjų kompiuterinių duomenų paieška ir poėmis;
▬▬ kompiuterinių duomenų surinkimas realiuoju laiku.
Operatyvus laikomųjų kompiuterinių duomenų išsaugojimas. Konvencijos 16
str. įpareigoja valstybes apibrėžti teisės aktus ir priemones, kurių gali prireikti
paskiriant kompetentingas institucijas nurodyti arba pasirūpinti operatyviu kon-
krečių kompiuterių duomenų, įskaitant ir duomenų srauto laikomų kompiuterių
sistemoje, išsaugojimu, ypač jei tie kompiuteriniai duomenys gali būti nesun-
kiai prarasti arba pakeisti. 17 str. įpareigoja užtikrinti, kad operatyvus srauto
duomenų išsaugojimas yra galimas ir kompetentingai šalies institucijai arba jos
paskirtam asmeniui būtų operatyviai atskleista pakankamai srauto duomenų, lei-
džiančių šaliai nustatyti paslaugos teikėjus ir tos informacijos perdavimo kelią.
18 str. apibrėžia nurodymus dėl duomenų pateikimo kompetentingai šalies insti-
tucijai. Poreikis operatyviai išsaugoti ir pateikti kompiuterių duomenis gali kilti
tais atvejais, kai per trumpą laiką duomenys gali būti ištrinti arba modifikuoti.
Pavyzdžiui, vykdant transakcijas duomenų bazės įrašai gali būti modifikuojami
arba trinami, rezervinės kopijos gali būti saugomos tik tam tikrą įmonės politi-
koje nustatytą laiką, po kurio jos yra trinamos. Įpareigojimas operatyviai išsau-
goti kompiuterinius duomenis svarbus ir tarptautiniu lygiu, nes gali užtikrinti
šalių bendradarbiavimą, tiriant elektroninius nusikaltimus.
Laikomųjų kompiuterinių duomenų paieška ir poėmis. Konvencijos 19 str. 1 dalis
įpareigoja priimti tokius teisės aktus ir kitas priemones, kurių gali prireikti, įga-
linant jos kompetentingas institucijas apieškoti ar panašiai ištirti kompiuterinę
sistemą arba jos dalį ir joje laikomus kompiuterinius duomenis, kompiuterinių
duomenų atmeniąją terpę, kurioje tos šalies teritorijoje gali būti laikomi kom-
piuteriniai duomenys. 2 dalyje nurodoma, kad šalis priima tokius teisės aktus
ir kitas priemones, kurių gali prireikti užtikrinti, kad jos institucijoms pagal šio
straipsnio 1 dalies a punktą apieškant ar panašiai tiriant konkrečią kompiuterinę
21
sistemą arba jos dalį ir turint priežasčių manyti, kad ieškomi duomenys laikomi
tos šalies teritorijoje esančioje kitoje kompiuterinėje sistemoje arba jos dalyje,
ir kad tokie duomenys yra teisėtai prieinami naudojant pirmąją sistemą, tokios
institucijos galėtų operatyviai išplėsti paiešką ar panašų tyrimą į kitą sistemą. 19
str. tikslas – užtikrinti, kad nebūtų diskriminuojama duomenų paieška ir poėmis
ne tik lokalioje sistemoje, bet esant reikalui galėtų būti atliekama ir kitoje, susi-
jusioje su nusikaltimu, kompiuterių sistemoje.
Kompiuterinių duomenų surinkimas realiuoju laiku. Konvencijos 19 str. 1 dalis
įpareigoja priimti tokius teisės aktus ir kitas priemones, kurių gali prireikti, įga-
linant jos kompetentingas institucijas:
▬▬ tos šalies teritorijoje surinkti arba techninėmis priemonėmis įrašyti;
▬▬ priversti paslaugos teikėją pagal jo technines galimybes:
―― tos šalies teritorijoje surinkti arba techninėmis priemonėmis įrašyti arba
―― bendradarbiauti su kompetentinga institucija ir padėti jai surinkti arba įrašyti
realiuoju laiku srauto duomenis, susijusius su konkrečia jos teritorijoje
perduodama informacija, naudojantis kompiuterine sistema.
20 str. įpareigoja atlikti tuos pačius veiksmus su realaus laiko turinio duomenis, su-
sijusiais su konkrečia informacija, perduodama naudojantis kompiuterine sistema.
Kaip matyti, konvencija įpareigoja nustatyti teisės aktus srauto ir turinio duomenims
rinkti. Abu šie duomenų tipai yra svarbūs, kadangi srauto duomenys užfiksuoja įvykį, o
turinio duomenys gali apibrėžti nusikaltimo objektą, pvz., pornografinį siunčiamų failų
turinį. Tačiau turinio duomenų rinkimas yra šiek tiek komplikuotas, nes atliekant šiuos
veiksmus neturi būti pažeidžiami asmens privatumo principai.
Konvencijos III skyrius skirtas tarptautinių bendradarbiavimo principų, ekstradi-
cijos, savitarpio pagalbos, savanoriško bendradarbiavimo, konfidencialumo ir informa-
cijos panaudojimo apribojimo principams nustatyti tiriant elektroninius nusikaltimus.
III skyriaus 1 dalyje šalys įpareigojamos kuo didesniu mastu bendradarbiauti
tarpusavyje, taikydamos atitinkamus tarptautinius dokumentus dėl tarptautinio ben-
dradarbiavimo baudžiamosiose bylose, susitarimus, pagrįstus vienodais ar abipusiais
teisės aktais.
2 dalyje nustatomi ekstradicijos principai tarp šalių, taip pat rekomenduojama
vadovautis Europos konvencija dėl ekstradicijos.
III skyriaus 3 dalyje nustatomi bendrieji savitarpio pagalbos principai, pagal ku-
riuos šalys įpareigojamos teikti didžiausią įmanomą pagalbą operatyviomis ryšio prie-
monėmis. Taip pat rekomenduojama, kad kiekviena šalis, kiek tai leidžia jos vidaus
teisė, be ankstesnio prašymo perduoti kitai šaliai informaciją, gautą per savo pačios
atliekamus tyrimus, jeigu ji mano, kad tokios informacijos atskleidimas padėtų ją ga-
vusiai šaliai pradėti arba atlikti tyrimą ar nagrinėti bylas dėl pagal šią konvenciją nusta-
tytų nusikaltimų. III skyriaus paskutinioji 4 dalis nustato savitarpio pagalbos prašymų
pateikimo tvarką, kai nėra taikytinų tarptautinių susitarimų.
22
2.4. Nusikaltimų elektroninėje erdvėje reglamentavimas Lietuvoje
23
Nežiūrint teigiamų 2000 m. BK savybių kovojant su nusikaltimais elektroninėje
erdvėje, buvo pastebėta ir nemažai trūkumų. Įstatymų leidėjas naudojo netikslią ter-
minologiją (nebuvo atskirtos sąvokos duomenys ir informacija), neįvertino kai kurių
galimų elektroninių nusikaltimų atvejų (pvz., įsibrovimas į kompiuterinę sistemą, bet
nepasisavinant ar nekeičiant informacijos, arba neteisėtas disponavimas licenzijuotų
programų kodais, „nulaužimo“ programomis, slaptažodžiais ir t. t), 196 str. ir 197 str.
iš dalies dubliavo vienas kitą, nes viename buvo kriminalizuojamas kompiuterinės in-
formacijos, o kitame – kompiuterinės programos sunaikinimas ar sugadinimas. Skir-
tumas tarp šių nusikaltimų subjektų yra neesminis, nes teisiniu požiūriu kompiuterinė
programa gali būti laikoma kaip kompiuterinės informacijos dalis. Taip pat kaip vienas
iš didesnių BK 30 skyriaus trūkumų išryškėjo praėjus vos keliems mėnesiams po BK
įsigaliojimo, kai po Konvencijos dėl elektroninių nusikaltimų ratifikavimo buvo nusta-
tyti BK neatitikimai šiai konvencijai.
24
Remiantis šiuo straipsniu, nusikalstama veika elektroniniams duomenims nusta-
toma juos sunaikinant, sugadinant, pašalinant arba pakeičiant. Sunaikinimas supran-
tamas kaip visiškas duomenų ištrynimas, pvz., failo, katalogo ar duomenų bazės įrašo
ištrynimas. Sugadinimas – tai toks poveikis duomenims, kai jų turinys tampa nesupran-
tamas naudotojui ar duomenis apdorojančiai sistemai, o duomenų atstatymas reikalauja
specialių informatikos žinių. Duomenų pašalinimu laikomas veiksmas, kai duomenys
perkeliami į kitą vietą, kitą kompiuterinę sistemą ar laikmeną. Duomenų pakeitimas
– tai duomenų turinio pakeitimas ar kitoks poveikis turiniui, modifikuojant originalą.
Už neteisėtą poveikį elektroniniams duomenims, kai tokia veika sukelia didelę žalą,
nustatoma maksimali bauda – laisvės atėmimas iki 6 metų. Šis straipsnis yra suderintas
su Konvencijos dėl elektroninių nusikaltimų 4 straipsniu „Poveikis duomenims“.
BK 197 straipsnio „Neteisėtas poveikis informacinei sistemai“ pirmoji dalis
nustato:
Tas, kas neteisėtai sutrikdė ar nutraukė informacinės sistemos darbą padaryda-
mas didelės žalos, baudžiamas bauda arba areštu, arba laisvės atėmimu iki ketverių
metų.
Informacinė sistema informatikoje suprantama kaip informacijos apdorojimo
sistemos ir organizacijos išteklių visuma, skirta informacijai apdoroti, formuoti, skleis-
ti. Kitaip tariant, tai struktūrizuotas procesų ir procedūrų rinkinys, kuriame yra kaupia-
mi ir apdorojami duomenys bei perduodami naudotojui. Todėl informacinės sistemos
sutrikdymas yra siejamas su duomenų apdorojimo proceso neteisingu veikimu arba
kaupiamų duomenų sugadinimu. Informacinės sistemos darbo nutraukimas supranta-
mas kaip sistemos neveiksnumas dėl sugadintų apdorojimo procedūrų ar pačių duome-
nų. Tačiau įvertinant tai, kad informacinė sistema yra tik vienas IT paslaugos tiekimo
lygmuo, kuriam būtina ir fizinė infrastruktūra, todėl informacinės sistemos sutrikdymas
ar darbo nutraukimas gali būti siejamas ir su kompiuterių tinklų, serverių, jų operacinių
sistemų, sistemų apsaugos priemonių sutrikdymu ar sugadinimu, kitaip tariant, kom-
piuterių sistemų ir tinklų sutrikdymu ar sugadinimu. Įstatymų leidėjas šiame straips-
nyje numato analogiškas bausmes kaip ir 196 str. Šis BK 197 str. yra suderintas su
Konvencijos dėl elektroninių nusikaltimų 5 straipsniu „Poveikis sistemai“.
Kaip jau buvo minėta, didžiausi pakeitimai buvo atlikti 198 str., t. y. ne tik mo-
difikuotas straipsnio turinys, bet jis papildytas dviem naujais postraipsniais, kurie kri-
minalizavo naujas nusikalstamas veikas.
BK 198 straipsnio „Neteisėtas elektroninių duomenų perėmimas ir panaudo-
jimas“ pirmoji dalis nustato:
Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė, pasisavino, paskleidė
ar kitaip panaudojo neviešus elektroninius duomenis, baudžiamas bauda arba laisvės
atėmimu iki ketverių metų.
Šis BK straipsnis skirtas apsaugoti fizinio ir juridinio asmens privatumą elektro-
ninėje erdvėje, todėl neteisėta veika su neviešais duomenimis yra baudžiama. Priklau-
somai nuo konteksto sąvoka nevieši elektroniniai duomenys gali būti suprantama skir-
25
tingai. Pavyzdžiui, privataus asmens elektroniniai laiškai, naršymas internete, atsisiun-
čiami failai, asmeniniai katalogai yra nevieši duomenys, jei jis to savo noru neviešina.
Organizacijoje nevieši duomenys gali būti siejami su įmonės veiklos ir finansiniais
duomenimis informacinėje sistemoje, el. komunikacija tarp verslo partnerių, techninė
dokumentacija, gamybos technologija ir t. t. Jei informacija paskleista tik uždarame
asmenų rate ir nesukėlė jokių neigiamų padarinių fiziniam ar juridiniam asmeniui, tuo-
met ši veika nelaikoma nusikalstama. Reikia manyti, kad straipsnyje numatytos veikos
gali būti baudžiamos tik tuo atveju, jei nusikaltimo sudėtyje yra tam tikrų nusikalstamų
padarinių. Šis straipsnis yra suderintas su Konvencijos dėl elektroninių nusikaltimų 3
straipsniu „Neteisėta perimtis“.
BK 198(1) straipsnio „Neteisėtas prisijungimas prie informacinės sistemos“
pirmoji dalis nustato:
Tas, kas neteisėtai prisijungė prie informacinės sistemos pažeisdamas informa-
cinės sistemos apsaugos priemones, baudžiamas viešaisiais darbais arba bauda, arba
areštu, arba laisvės atėmimu iki vienerių metų.
Šis straipsnio papildymas baudžiamajame kodekse buvo priimtas 2007 m. re-
miantis Konvencijos dėl elektroninių nusikaltimų 2 straipsniu „Neteisėta prieiga“, ir
kriminalizuoja sąmoningą ir neteisėtą prieigą prie visos informacinės sistemos arba jos
dalies. Šis straipsnis numato baudžiamąją atsakomybę už tokias veikas, kai pažeidžiant
(„nulaužiant“) apsaugos priemones prisijungiama prie informacinės sistemos ketinant
gauti ar pakeisti kompiuterinius duomenis arba pademonstruoti, kad nusikaltėlis pajė-
gus įveikti apsaugos priemones. Tokio nusikaltimo pavyzdys gali būti 2008 m. vasarą
įvykęs incidentas, kai buvo įsibrauta į vieną iš Lietuvoje esančio interneto paslaugų
tiekėjo fizinį žiniatinklio serverį ir visų joje buvusių žiniatinklio svetainių index.* failai
buvo pakeisti tinklalapiu su Sovietų Sąjungos simbolika.
BK 198(2) straipsnio „Neteisėtas disponavimas įrenginiais, programine įranga,
slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis“ pirmoji dalis nustato:
Tas, kas neteisėtai gamino, gabeno, pardavė ar kitaip platino įrenginius ar pro-
graminę įrangą, taip pat slaptažodžius, prisijungimo kodus ar kitokius panašius duo-
menis, tiesiogiai skirtus daryti nusikalstamas veikas, arba tuo pačiu tikslu juos įgijo ar
laikė, baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu
iki trejų metų.
Šis papildymas buvo priimtas 2007 m. remiantis Konvencijos dėl elektroninių
nusikaltimų 6 straipsniu „Netinkamas įtaisų naudojimas“. Straipsnis numato bausmes
už neteisėtą disponavimą įrengimų ar programinės įrangos, skirtos legalioms, licen-
ciniais raktais apsaugotoms programoms, kompiuterinėms sistemoms nulaužti ar ne-
teisėtai įsibrauti. Uždraudžiant tokių hakeriškų programų, slaptažodžių, prisijungimo
kodų platinimą, kovojama su juodąja internetine rinka, per kurią dažniausiai ir plinta
šie nusikaltimo įrankiai.
26
Kitų elektroninių nusikaltimų kriminalizavimas
Kompiuterinis sukčiavimas
Tai viena iš seniausiai žinomų nusikalstamų veikų elektroninėje erdvėje. Kon-
vencijos 7 ir 8 straipsniai rekomenduoja kovoti su kompiuteriniu sukčiavimu ir klasto-
tėmis. Ši veika Lietuvoje buvo kriminalizuota dar senajame 1961 m. BK 274 straipsny-
je. 2000 m. BK tokio straipsnio nebeliko, o kompiuterinis sukčiavimas yra baudžiamas
kaip ir bet kuri kita su sukčiavimu siejama veika pagal 182 str., kurio pirmojoje dalyje
nurodoma:
Tas, kas apgaule savo ar kitų naudai įgijo svetimą turtą ar turtinę teisę, išvengė
turtinės prievolės arba ją panaikino, baudžiamas viešaisiais darbais arba bauda, arba
laisvės apribojimu, arba areštu, arba laisvės atėmimu iki trejų metų.
Kaip matyti, straipsnyje nėra užsimenama apie su kompiuteriais siejamą sukčia-
vimą, todėl tam tikrais atvejais gali iškilti problemų pritaikant šį straipsnį nusikalstamai
veikai.
Vaikų pornografija
2000 m. BK 162 ir 309 straipsniuose numatoma baudžiamoji atsakomybė už
veikas, susijusias su vaikų pornografija. Šio tipo nusikalstamas veikas rekomenduoja-
ma kriminalizuoti pagal Konvencijos dėl elektroninių nusikaltimų 9 straipsnį „Nusi-
kaltimai, susiję su vaikų pornografija“. BK 162 str. numato baudžiamąją atsakomybę
už vaiko išnaudojimą pornografinei produkcijai gaminti ir pelnymosi iš tokios vaiko
veiklos. Pagal šį straipsnį atsakomybė kyla pornografinės produkcijos gamintojams,
dalyvavusiems šiame procese. BK 309 str. 2 dalis nustato baudžiamąją atsakomybę
tiems, kas įsigijo, laikė, demonstravo, reklamavo arba platino pornografinio turinio da-
lykus, kuriuose vaizduojamas vaikas arba asmuo, pateikiamas kaip vaikas. Kaip matyti,
baudžiamajame kodekse nėra palikta kokių nors spragų, leidžiančių asmenims išvengti
baudžiamosios atsakomybės už tokio pobūdžio nusikalstamą veiką. Už šiuos nusikalti-
mus numatoma atsakomybė tiek fiziniams, tiek ir juridiniams asmenims.
27
5. Ar atitinka 2000 m. LR baudžiamojo kodekso aktualioji redakcija Konven-
cijos dėl elektroninių nusikaltimų rekomendacijas?
6. Kokia baudžiamoji atsakomybė numatyta Lietuvoje už:
a) neteisėtą programinės įrangos platinimą ir atsisiuntimą P2P tinklais;
b) neteisėtą prisijungimo kodų prie finansinės informacinės sistemos išga-
vimą (phishing‘ą);
c) neteisėtą kompiuterio prievadų skenavimą?
28
3.
TYRIMŲ POREIKIS, TYRIMŲ TIPAI
Kaip jau buvo minėta, NEE tampa kasdienybe. Europos Sąjungos (ES) Tarybos
duomenimis, 85 proc. verslo organizacijų ir vyriausybinių institucijų patyrė vienokį
ar kitokį informacijos saugos incidentą (Kleiman et al. 2007). Augant NEE skaičiui
lygiagrečiai vystėsi jų tyrimo metodai, kurie jau tapo atskira kompiuterijos bei krimino-
logijos šaka – NEE tyrimų metodais (angl. Computer forensics). NEE tyrimo procesas
dažniausiai apibrėžiamas kaip „kompiuterinių įkalčių išsaugojimas, identifikavimas,
išgryninimas, vertinimas ir dokumentavimas“. NEE tyrimas apima teisės bei kompiute-
rių mokslų elementus, t. y. tyrėjas privalo būti pakankamai plataus spektro specialistas,
kad galėtų atlikti ir įkalčių paiešką techniškai sudėtingoje aplinkoje, ir imtis reikiamų
teisinių priemonių, jog surinkti įkalčiai būtų pripažinti tinkamais bei būtų išvengta tei-
sinio persekiojimo iš nusikaltėlio ar trečiųjų asmenų pusės, jei tyrimų metu būtų pa-
žeistos jų teisės.
Įkalčių rinkimo, išsaugojimo ir analizės procesas kartais vadinamas teismo kom-
piuterija (Middleton 2001) pagal analogiją su teismo medicina. Tuo pačiu pabrėžiama,
kad aprašytas procesas gali būti taikomas ne tik kompiuteriniams nusikaltimams išaiš-
kinti ir tinkamoms priemonėms parinkti (kaip dažniausiai šiuo metu elgiasi dauguma
informacinį saugumą siekiančių užtikrinti organizacijų), bet ir nusikaltėlio kaltei teis-
me įrodyti.
Kai kurie autoriai NEE tyrimo procesą apibrėžia kaip vieną iš skaitmeninės er-
dvės tyrimo proceso (angl. digital forensics) atmainų, kuris apima bet kokių įkalčių,
perduodamų bet kokiais elektroniniais prietaisais, rinkimą ir analizę (nebūtinai kom-
piuteriais, pvz., radijo ryšio linijomis).
Šiuo metu NEE tyrimas vis dar yra aktyviai tobulinamas ir plėtojamas, ne iki
galo yra suformuoti tyrimų metodai, kriterijai, kuriami nauji tyrimų metodai, o jų po-
reikis vis didėja. Galima teigti, kad tokios tendencijos turėtų išsilaikyti dar pakanka-
mai ilgai, atsižvelgiant į nuolat tobulėjančias technologijas bei nusikaltėlių taikomus
metodus, nenusistovėjusią teismų praktiką NEE atžvilgiu bei vis didėjantį tokio tipo
nusikaltimų skaičių bei poveikį.
NEE tyrimus tradiciškai priimta skirstyti į dvi pagrindines kategorijas: formalųjį
ir neformalųjį, priklausomai nuo to, ar surinktus įkalčius vėliau planuojama naudoti
teisme ar ne (detaliau apžvelgiami žemiau). Tačiau dominuoja nuomonė, jog pradedant
tyrimą visada geriau vadovautis formaliojo tyrimo metodais, nes sprendimas dėl bylos
perdavimo teismui gali būti priimtas ne tik tyrimo pradžioje, bet ir vėliau.
Dar viena naudojama NEE tyrimų klasifikacija remiasi nagrinėjamų kompiute-
rių sistemų būsena jų funkcionavimo įkalčių rinkimo metu: „gyvos“ arba neišjungtos
kompiuterių sistemos (angl. live) ir „mirusios“ arba išjungtos kompiuterių sistemos
(angl. post-mortal). Gan ilgai vyravo nuomonė, kad tik tinkamai išjungtų ir apsaugo-
tų sistemų nagrinėjimas turi teisę egzistuoti, ypač taikant formaliojo tyrimo metodus,
29
tačiau tobulėjančios technologijos ir poreikiai nagrinėjamų sistemų nepertraukiamo
funkcionavimo užtikrinimui bei nusikaltėlių taikomi apsaugos prieš išjungtų sistemų
nagrinėjimo metodai (pvz., pilnas disko šifravimas) skatina peržiūrėti tokią nuostatą.
Šios klasifikacijos ypatumai taip pat nagrinėjama detaliau.
Kai NEE tyrėjas gauna nurodymą iš vadovybės pradėti tyrimą, vienas iš pirmųjų
klausimų, kuris turi būti išspręstas, yra tyrimo būdo pasirinkimas. Kaip jau buvo mi-
nėta, formaliojo tyrimo metu surinktus įkalčius yra planuojama perduoti teismui nagri-
nėti, o neformaliojo atveju – ne. Nepriklausomai nuo to, koks metodas bus taikomas,
kartojami tie patys įkalčių rinkimo, identifikavimo, išgryninimo ir analizės etapai, ta-
čiau formaliojo tyrimo atveju yra keliami papildomi reikalavimai įkalčių vientisumui
užtikrinti, todėl tyrimas paprastai trunka ilgiau ir kainuoja brangiau.
Yra daugybė klausimų, į kuriuos kompanija turi atsakyti, priidama sprendimą
dėl tyrimo metodo pasirinkimo:
▬▬ Ar tyrimas reikalingas tik nusikaltimo priežasčiai nustatyti ir atsako priemonėms
parinkti, ar nusikaltimo kaltininkui surasti bei patraukti baudžiamojon atsako-
mybėn?
▬▬ Ar kompanija privalo (remiantis teisės aktais, sutartimis, tarptautinių standartų
reikalavimais ir kt.) vykdyti formalųjį tyrimo procesą, ar kompanija turi teisę
pasirinkti (pvz., nuspręsti kompensuoti nuostolius klientams)?
▬▬ Kokią žalą kompanija patyrė? Ar formaliojo tyrimo kaina nenusvers žalos dy-
džio?
▬▬ Kokia yra perspektyva, kad pateikus įkalčius teismui byla bus išnagrinėta kom-
panijai palankia linkme?
▬▬ Ar egzistuoja tikimybė, kad tiriant iš pirmo žvilgsnio nesudėtingą nusikaltimą,
atnešusį organizacijai nedidelį nuostolį, išaiškės didesni nusikaltimo mastai?
▬▬ Ar reputaciniai nuostoliai, kuriuos patirs organizacija, dėl to, jog viešai pripažins
savo sistemų pažeidžiamumą, neviršys potencialios formaliojo tyrimo naudos
(nusikaltėlio radimas, kompensacijų priteisimas ir t. t.)?
▬▬ Ar organizacija turi reikiamos teisinės ir techninės kompetencijos, kad galėtų
vykdyti formalųjį tyrimą?
Jei nei į vieną iš išvardytų klausimų nėra gautas teigiamas atsakymas, kompanija
turėtų rinktis neformaliojo tyrimo būdą, nors paskutiniu metu ekspertai laikosi nuomo-
nės, kad nepriklausomai nuo pradinio organizacijos sprendimo, organizacija turi vyk-
dyti tyrimą taip, lyg tai būtų formalusis tyrimas ir imtis reikiamų veiksmų įkalčių vien-
tisumui išsaugoti (įkalčių vientisumo išsaugojimo klausimai nagrinėjami 12 skyriuje).
Tokiais argumentais paremta praktika, jog dažnai sprendimas perduoti įkalčius
teismui yra priimamas jau tyrimo eigoje, kai paaiškėja didesni nei tikėtasi nusikaltimo
mąstai.Jei nuo pat pradžių formaliojo tyrimo metodai naudojami nebuvo, surinkti įkal-
čiai praranda savo vertę ir greičiausiai negalės būti panaudoti teisme. Taip pat formalio-
30
jo tyrimo metodai leidžia griežčiau kontroliuoti visus tyrimo etapus bei išvengti įkalčių
praradimo ir modifikavimo, net jei kreiptis į teismą nėra planuojama.
Ilgą laiką vienintelė pripažinta NEE tyrimo metodika buvo paremta „negyvų“
sistemų analize, t. y. sistema, kurioje potencialiai buvo palikti įkalčiai, turėjo būt izo-
liuota nuo kitų sistemų (pvz., ištraukiant tinklo kabelį), fiksuojama jos būsena tyrimo
pradžios metu (pvz., fiziškai išjungiamas maitinimo kabelis, kad sistemą išjungiant
klasikiniu būdu nebūtų sunaikinti įkalčiai), tada daroma failinės sistemos tiksli kopija
(angl. bit-to-bit), kopija pasirašoma skaitmeniniu parašu, kad tyrėjas galėtų atsekti
kopijos pakeitimą (įkalčių vientisumo išsaugojimo klausimai nagrinėjami 12 skyriuje)
ir tolesni analizės veiksmai atliekami tik su kopija (-omis). Toks tyrimų būdas leidžia
pasiekti tokius tyrimo tikslus:
▬▬ išvengiama kai kurių nusikaltėlių apsaugos priemonių, tokių kaip automatinis
įkalčių trynimas išjungiant sistemą įprasta tvarka;
▬▬ kompiuterių sistemos būsena yra nuolat kintančioje būsenoje (atliekami ope-
ratyviosios atminties ir disko skaitymo ir (arba) rašymo darbai, startuoja ir yra
stabdomi skirtingi servisai, kuriami laikini / pagalbiniai failai); dalis tarnybinės
informacijos tvarkingo sistemos išjungimo metu yra automatiškai šalinama pa-
čios operacinės sistemos (pvz., laikini failai), nors juose gali būti įkalčių (pvz.,
atminties išklojos (angl. memory dump) failuose galima rasti raktažodžius, ku-
riuos naudojo nusikaltėlis, ieškodamas draudžiamos informacijos internete); to-
dėl sistemos išjungimas leidžia išvengti tokių įkalčių praradimo;
▬▬ išvengiama kaltinimų iš nusikaltėlio pusės, kad įkalčiai (pvz., įvykio registraci-
jos įrašai) buvo modifikuoti / suklastoti tyrimo metu;
▬▬ sugadinus vieną kopiją, visuomet galima gauti analogišką iš originalo; o dirbant
su originalia laikmena jos praradimo / sugadinimo atveju tokios galimybės nėra.
Toks priėjimas yra daugeliu atvejų ir paprastesnis pačiam tyrėjui (kaip analogiją
galima paminėti veikiančio ir išjungto automobilio remontą), ir idėjiškai artimas bet
kokiam kriminalistiniam tyrimo metodui (užtenka prisiminti nusikaltimo vietoje renka-
mus įkalčius, kuriuos policininkai vėliau pakuoja į maišelius, kad nebūtų nutrinti pirštų
atspaudai arba ant jų nebūtų pašalinių atspaudų). Iš kitos pusės, tiesioginė analogija
nėra įmanoma. Juk ir tiriant, tarkime, nužudymą ar apiplėšimą, įvykio vieta dažniausiai
nėra izoliuojama visam tyrimo laikotarpiui, o daromi jos aprašymai, nuotraukos ir t. t.,
kurie vėliau naudojami kaip įkalTačiau kompiuterių pasaulis, kaip ir visas dabartinis
pasaulis, tendencingai sudėtingėja, ne visus jo reiškinius galima „sudėti į maišelį“. Vis
dažniau NEE tyrėjai susiduria su situacijomis, kai „negyvų“ sistemų nagrinėjimas gali
turėti daugiau neigiamos įtakos organizacijai nei pats nusikaltimas. Todėl „gyvų“ arba
funkcionuojančių sistemų analizė tampa vienintele, kad ir keliančia daugybę diskusi-
jų, alternatyva, nors jos vykdymo metu gali keistis nagrinėjamų failų laiko antspaudai
(angl. time-stamp), kontrolinės sumos ir registrų reikšmės. Galima spėti, kad ateityje
31
šio metodo taikymo dažnis didės. Norėtume atkreipti dėmesį į kelias priežastis, kurios
verčia atsigręžti į šį metodą bei daro „negyvų“ sistemų analizę neveiksminga. Pagrin-
dinėmis galima būtų pavadinti šias:
▬▬ Globali ekonomika ir paskirstytos sistemos. Tarptautinės korporacijos valdo di-
džiules paskirstytas kompiuterių sistemas, kurių valdymo modeliai labai skiriasi.
Esant dideliam sudėtingų sistemų skaičiui bei skirtingo žinių ir patirties lygio
aptarnaujančiam personalui, ypač padažnėja klaidingų pranešimų (angl. false-
positive) apie neva ataka paveiktus / kompromituotus kompiuterius, o tyrėjų ko-
manda dažniausiai turi ribotus žmonių ir laiko išteklius bei negali būti prieinama
visiems padaliniams tuo pačiu metu. Jei kiekvienas pranešimas bus traktuojamas
kaip potencialus NEE ir kaskart bus „plėšiamas“ tinklo kabelis, tai gali tiesiog
paralyžiuoti kompanijos darbą, atsižvelgiant į NEE tyrėjų grupės galimą reak-
cijos lygį, prarastus komunikacijos kanalus bei nuostolius dėl sistemų neveiki-
mo. Todėl bent pradiniu etapu tyrėjai turi turėti galimybę preliminariai įvertinti
pranešimo apie potencialų NEE svarbą atlikdami, pavyzdžiui, nuotolinę analizę.
Svarbus yra tinkamų instrukcijų incidentams klasifikuoti parengimas pagal tam
tikrus kriterijus, kas personalui leistų vietoje vertinti, kiek pavojingas yra inci-
dentas ir kokių veiksmų reikia imtis vienokiu ar kitokiu atveju.
▬▬ Poreikis nepertraukiamai veikiančioms sistemoms. Daugelis šiuolaikinio gyve-
nimo sferų tapo visiškai priklausomos nuo kompiuterių sistemų ir grįžimas į
„ikikompiuterinę erą“ faktiškai yra neįmanomas. Pavyzdžiais galėtų būti ban-
kinis sektorius, kurio transakcijos kiekvieną sekundę sudaro milžiniškas sumas,
telekomunikacijos sektorius, pramoninių procesų valdymas. Tokių sistemų iš-
jungimas tyrimui gali turėti nenumatomų pasekmių ir gerokai viršyti NEE pase-
kmes (pvz., didžiuliais nuostoliais ir veiklos paralyžiavimu banko ir telekomuni-
kacijos atveju ir technogenine katastrofa, jei būtų sustabdytos, tarkime, atominės
elektrinės valdymo sistemos). Šiuo atveju labai sunku įvertinti, koks tyrimo me-
todas („gyvų“ ar „mirusių“ sistemų) turėtų būti taikomas, o galutinį sprendimą,
įvertinusi visas rizikas, turi priimti kompanijos vadovybė.
▬▬ Auganti duomenų saugojimo laikmenų talpa. Kaip buvo minėta, išjungtų kom-
piuterių formalusis analizės metodas reikalauja, kad būtų daroma tiksli analizuo-
jamos laikmenos kopija. Tai buvo įmanoma, kai diskinė vieta analizuojamuose
kompiuteriuose/serveriuose buvo matuojama gigabaitais. Tačiau, didėjant lai-
kmenų talpoms, pereinant prie duomenų masyvų bei taikant virtualizacijos ir
skaičiavimo debesyse technologijas (angl. Cloud computing), toks reikalavimas
tampa sunkiai įgyvendinamas. Sunku įsivaizduoti, kad nagrinėjant vienos duo-
menų masyve (kurio dydis jau šiuo metu gali siekti šimtus terabaitų) aptarnau-
jamos sistemos pažeidimą bus stabdomas masyvo darbas, tuo pačiu paveikiant
ir visų kitų naudojančių jo resursus sistemų funkcionavimą, bei perkamas analo-
giško dydžio masyvas tiksliai kopijai kurti.
▬▬ PilnoVisiško disko šifravimo technologijos. Šios technologijos, pirmiausia, su-
kurtos duomenų apsaugai nešiojamose laikmenose (nešiojamuose kompiute-
32
riuose, atmintinės kortelėse ir t. t.) tapo plačiai naudojamos ir nusikaltėlių, kurie
bando paslėpti savo veiksmus tyrimo atveju nuo teisėsaugos organų. Jei kom-
piuteris, kuriame yra įdiegta pilna disko šifravimo sistema, paimamas analizei
išjungtas, o nusikaltėlio taikomas slaptažodis yra ganėtinai sunkus ir laužimui
naudojama grubi jėga, tai labai tikėtina, kad disko analizė bus bevertė, nes ty-
rėjas matys tik beprasmę simbolių seką. „Gyvos“ sistemos analizė, kai sistema
automatiškai dekoduoja kietojo disko ir operatyviosios atminties turinį, leidžia
tyrėjui susipažinti su saugomu turiniu, padaryti operatyviosios atminties kopiją
ir ekstraguoti šifravimo raktą tam atvejui, jei vėliau kompiuterį reikėtų išjungti.
Be abejo, čia paminėtos tik kelios pagrindinės „gyvų“ sistemų analizės pusės, o
pats metodas yra savotiškas kompromisas tarp reikalavimo išsiaiškinti nusikaltimą ir
nepažeisti įkalčių vientisumo. Taip pat negalima neatkreipti dėmesio į tai, kad „gyvi“
metodai kelia labai daug teisinių klausimų, tačiau tai tik dar kartą parodo teisinės bazės
atsilikimą nuo šiuolaikinių realijų NEE apibrėžimo ir tyrimo srityje.
33
4.
PIRMINĖ REAKCIJA Į NEE
Dauguma kompiuterinio saugumo specialistų pripažįsta, kad didžioji dalis kom-
piuterinių nusikaltimų, kuriuose kompiuterių sistema yra nusikaltimo tikslas, lieka
nenustatyti (Marcela ir Greenfield 2002). Kai nėra žinoma, kad įvyko įsilaužimas ar
kitoks veiksmas, nukreiptas prieš kompiuterį, vėliau būna sunku, o kartais net neįmano-
ma, nustatyti, jog sistemos saugumas buvo pažeistas. Todėl svarbu pastebėti vykstančio
NEE požymius.
Dažniausiai organizacijos veikloje reakcija į NEE nėra išskiriama į atskirą gru-
pę, o tampa platesnės kategorijos – incidentų – dalimi. Kalbant apie incidento sąvoką,
galima paminėti, kad ir ITIL, ir ISO 20000 incidentą traktuoja gan panašiai. Jis apibrė-
žiamas kaip „bet koks įvykis, kuris nėra standartinio paslaugos funkcionavimo dalis,
kuris sukelia arba gali sukelti paslaugos teikimo nutraukimą arba sąlygoti paslaugos
kokybės teikimo sumažėjimą.“ Neabejotina, kad bet koks NEE, net neturintis tiesiogi-
nio tikslo pakenkti paslaugai, o, tarkime, duomenims pavogti iš organizacijos, anksčiau
ar vėliau neigiamai atsilieps organizacijos veiklai.
Reakcijos į incidentus planavimas ir incidentų valdymas plačiau nagrinėjamas
VGTU „Informacijos saugos vadybos“ kurse, o šiame skyriuje pateikiami tik pagrindi-
niai reagavimo į incidentus žingsniai, akcentuojant tuos, kurie būtini NEE tyrimui, bei
apibrėžiant pagrindinius incidentų tipus, kurie vienareikšmiškai priskiriami ne NEE, o
techninių sutrikimų kategorijai.
34
4.2. Reagavimo į incidentus etapai
Nepriklausomai nuo to, koks modelis (vidinė ar trečiųjų šalių komanda) taiko-
mas nagrinėjant incidentą, veiksmų etapai yra analogiški (4.1 pav.).
Pasiruošimas
Aptarsime šiuos bei kitus svarbius etapus, tokius kaip pasiruošimą incidentams,
rizikos analizę, grupės formavimą ir mokymus.
Pasiruošimas
4.2 pav.4.2
Įkalčių paieškos
pav. Įkalčių kontrolinio
paieškos sąrašo sąrašo
kontrolinio grafiniu pavidalu
grafiniu pavyzdys
pavidalu (Ashcroft
pavyzdys ir General
(Ashcroft 2001)2001)
ir General
Galbūt daugeliui informacijos saugumo specialistų toks vaizdavimo būdas ir detalumas gali
Galbūt daugeliui informacijos saugumo specialistų toks vaizdavimo būdas ir de-
atrodyti juokingas ir perteklinis, tačiau taip užsitikrinama, kad nei viena vieta, kurioje potencialiai gali
talumas gali atrodyti
būti įkalčių, nebus juokingas ir perteklinis,
pražiopsota. tačiau taip
Pilną dokumento užsitikrinama,
versiją galima rastikadinternete
nei vienaadresu
vieta,www.ncjrs.gov/pdffiles1/nij/187736.pdf
kurioje potencialiai gali būti įkalčių, nebuspaiešką
arba atliekant pražiopsota. Pilną dokumento
pagal pavadinimo ver-
raktinius žodžius.
Rizikos analizė
36
Atsakas į incidentus yra incidento valdymo proceso dalis, kurio sprendimai savo ruožtu yra
paremti rizikos analizės išvadomis. Rizikos analizės procesas plačiau nagrinėjamas kituose kursuose
(pvz., „Informacijos saugos vadyba“).
Pagrindinis rizikos analizės tikslas yra klasifikuoti egzistuojančias rizikas pagal tam tikrus
siją galima rasti internete adresu www.ncjrs.gov/pdffiles1/nij/187736.pdf arba atliekant
paiešką pagal pavadinimo raktinius žodžius.
Rizikos analizė
Atsakas į incidentus yra incidento valdymo proceso dalis, kurio sprendimai savo
ruožtu yra paremti rizikos analizės išvadomis. Rizikos analizės procesas plačiau nagri-
nėjamas kituose kursuose (pvz., „Informacijos saugos vadyba“).
Pagrindinis rizikos analizės tikslas yra klasifikuoti egzistuojančias rizikas pagal
tam tikrus kriterijus (dažniausiai pagal pasireiškimo tikimybę ir poveikio lygį organi-
zacijai) į tam tikras kategorijas (pvz., žema, vidutinė, didelė), taip suteikiant pagrindą
sprendimams priimti incidento valdymo (pvz., į kokius incidentus reaguoti nedelsiant,
o kurių nagrinėjimas gali būti atidėtas tam tikram laikui) ir kitose informacijos saugos
valdymo srityse.
Incidento sprendimas gali pareikalauti skirtingo lygio žinių: nuo verslo sprendi-
mo priėmimo ir teisinio vertinimo iki tinklo konfigūravimo bei mokėjimo daryti kom-
promituotų sistemų diskų atvaizdus, juos analizuoti. Nei vienas žmogus neturi pakan-
kamai kompetencijos ir įgaliojimų vienas savarankiškai atlikti visus šiuo veiksmus.
Būtent todėl atsiranda poreikis CSIRT grupei suformuoti. Pageidautina, kad CSIRT
grupės narių, kurie turės atsakyti į incidentus, kompetencija skirtųsi. Dažniausiai išski-
riamos tokios grupės narių pareigos:
▬▬ Vadovaujantysis tyrėjas. Valdo visos grupės veiksmus. Turi užtikrinti, kad at-
sako į incidentą procesai vyktų sklandžiai, greitai ir efektyviai. Į jo pareigas
taip pat įeina įtariamųjų ir liudininkų apklausa. Be to, vadovaujantysis tyrėjas
dažniausiai būna įtrauktas į atsako į incidentus plano (angl. incident response
plan) kūrimą.
▬▬ Informacijos saugos specialisto pagrindinė pareiga yra suteikti grupei techninių
žinių, reikalingų atsakyti į incidentą ir vykdyti tyrimą, pvz., jis turi nustatyti
žingsnius, kurie neleistų incidentui plisti, taip pat įvertinti, kokie veiksniai gali
sutrikdyti tyrimą (pvz., įtariamojo kompiuterio kietojo disko šifravimas). Jis taip
pat turi teikti informaciją apie sistemos konfigūraciją ir dokumentuoti incidento
įvykio vietą.
▬▬ Verslo / vadovybės atstovas (-ai). Jų pagrindinė pareiga yra įvertinti incidento
verslo pasekmes ir priimti jų kompetenciją atitinkančius sprendimus: kokius re-
sursus skirti tyrimui ir pasekmėms sumažinti; koks tyrimo tipas bus atliekamas;
ar apie incidentą bus informuojama žiniasklaida ir kt.
▬▬ Teisininkas turi užtikrinti, kad atsako į incidentą ir tyrimo procesai nepažeidžia
jokių teisinių reikalavimų.
▬▬ Techniniai specialistai. Dažniausiai kiekvienu konkrečiu atveju į komisijos dar-
bą įtraukiamas skirtingas specialistų skaičius. Jų pareiga padaryti sistemų kopi-
37
jas-atvaizdus, teikti komisijai specifinę informaciją apie sistemų konfigūraciją,
atlikti kitus techninius darbus, reikalaujančius specifinės kvalifikacijos.
▬▬ Personalo skyriaus atstovai įtraukiami į grupės sudėtį tam, kad būtų užtikrintas
organizacijos reikalavimų vykdymas tarp personalo incidento vykdymo metu,
taip pat riboja prieigą prie tiriamų ir kitų resursų įtariamiesiems. Personalo atsto-
vai turi ypač glaudžiai bendradarbiauti su teisės skyriaus atstovais.
Mokymai
Bet kokie paruošiamieji darbai turės mažai prasmės, jei organizacijoje nebus
vykdomi mokymai, imituojantys atsako į incidentus procesą. Pagrindiniai tokių moky-
mų tikslai yra šie:
▬▬ Plano patikrinimas. Ar tikrai plane numatyti visi reikalingi etapai? Ar numatyti
veiksmai yra adekvatūs incidentui? Ar visi numatyti ištekliai yra išskirti?
▬▬ Komunikacijos kanalų patikrinimas. Ar užtenka numatytų komunikacijos ka-
nalų? Ar jie veikia įvykus incidentui? Kokius rezervinius ryšio kanalus reikia
numatyti?
▬▬ Grupės narių reakcijos patikrinimas. Kaip grupės nariai reaguoja į pranešimą
apie incidentą? Ar reakcijos laikas atitinka nustatytas normas? Ar nariai vado-
vaujasi parengtomis instrukcijomis? Ar tinkamai organizuotas narių funkcijų
dubliavimas?
Tenka pripažinti, kad dalis organizacijų ignoruoja mokymų etapą, apsiriboda-
mos vien tik planų parengimu. Tai pateisinama laiko ir pinigų stoka, o jei mokymai yra
organizuojami, jie dažnai būna formalūs. Būtent pinigų skyrimas planų rengimams be
mokymų gali būti pripažintas tiesioginiu pinigų švaistymu. Įvykus realiam incidentui
paaiškėja, kad surinkti CSIRT narių neįmanoma, numatyti resursai nepasiekiami arba
veikia ne taip, kaip buvo numatyta, prarandama brangaus laiko. Tik mokymai (dėl ku-
rių formos turi apsispręsti organizacija) gali atskleisti silpnąsias proceso vietas bei jas
pašalinti iki tikro incidento atsiradimo. Pagrindiniai punktai, kuriuos organizacija turi
numatyti, planuojant mokymus, yra šie:
▬▬ mokymų periodiškumas;
▬▬ išteklių skyrimas mokymams (žmogiškųjų, laiko, techninių, finansinių bei kitų);
▬▬ mokymo prioriteto ir svarbos išaiškinimas visiems mokymų dalyviams;
▬▬ tinkamas mokymų planavimas ir eigos dokumentavimas;
▬▬ mokymo rezultatų analizė.
Incidento nustatymas
Nėra vienintelio būdo, kaip identifikuoti incidentą. Tai gali būti ir atsitiktinis
įvykis, ir incidentų identifikavimo procedūrų taikymo pasekmė. Būtina užtikrinti, kad
darbuotojas, pastebėjęs incidentą, žinotų savo atsakomybę dėl būtinybės informuoti
apie incidentą bei informavimo apie incidentus tvarką (Kam? Kokiu greičiu? Kokius
incidento parametrus reikia pranešti?). Gan dažnai incidentai identifikuojami gavus
38
skundą, atliekant įrenginių ir sistemų (ugniasienių, maršrutizatorių, duomenų bazių
valdymo sistemų, įsiskverbimo detektavimo sistemų (IDS)) įvykių registracijos įrašų
peržiūrą. Paskutiniu metu vis plačiau taikomos SIM sistemos (angl. Security Incident
Management), kurios agreguoja įvykių registracijos įrašus iš skirtingų šaltinių ir ieško
juose neatitikimo ar įsiskverbimo šablonų, atvaizduoja įsiskverbimo vykdymo eigą.
Nepaisant labai didelės kainos, jie gali būti traktuojami kaip viena iš efektyviausių prie-
monių incidentui aptikti. Informacija apie incidentą gali ateiti ir netiesiogiai iš įvairių
našumo stebėjimo įrenginių, kurie signalizuoja apie pakitusį paslaugos teikimo lygį.
Esant įtarimui dėl incidento, atliekamas jo pirminis tyrimas, kurio pagrindinis
tikslas – įsitikinti, kad incidentas tikrai įvyko. Tai yra būtina siekiant taupyti resursus ir
neinicijuoti pilno tyrimo, jei įtarimai dėl incidento nepasiteisina.Kita vertus, atsiranda
prieštaravimas įkalčių būsenos išsaugojimui, jei įtarimai pasiteisintų. Todėl būtina im-
tis priemonių tokiai tikimybeisumažinti. Preliminarų tyrimą sudaro tokie etapai:
▬▬ Skundo ir (ar) informacijos peržiūra. Patikrinama, ar tikrai buvo sutrikimas ar
neleidžiamas veiksmas, kad tai nėra klaidingas pranešimas („false-positive“
tipo).
▬▬ Žalos įvertinimas. Siekiama įvertinti, kiek kritiškas incidentas buvo arba gali
būti organizacijai. Vertinime turėtų dalyvauti ir technikos specialistai, ir verslo
atstovai.
▬▬ Liudininkų apklausa. Siekiama surinkti kuo daugiau informacijos iš skirtingų
šaltinių.
▬▬ Įvykių registracijos įrašų analizė. Siekiama surasti dokumentinių incidento pa-
tvirtinimų.
▬▬ Tyrimo reikalavimų nustatymas. Nustatomas tyrimo tipas, terminai. Esant stam-
biam arba rezonansiniam incidentui, sprendimą greičiausiai turės priimti aukš-
čiausia organizacijos vadovybė.
Pasitvirtinus įtarimams dėl incidento, NEE tyrimas pereina į informavimo apie
incidentą etapą. Žemiau pateikiamas pavyzdinis veiksmų scenarijus, leidžiantis nusta-
tyti „Windows“ (2000/XP šeimos) operacinės sistemos saugumo pažeidimą (Marcela
ir Greenfield 2002):
▬▬ Peržiūrėti keistus arba nežinomus vartotojų vardus ir grupes.
▬▬ Peržiūrėti, ar visi vartotojai teisėtai priklauso priskirtoms grupėms.
▬▬ Peržiūrėti keistos arba neįprastos bet kokio tipo veiklos žymes žurnalinėse rin-
kmenose.
▬▬ Peržiūrėti visų vartotojų teises.
▬▬ Patikrinti, ar nėra vykdoma neautorizuota programinė įranga („Windows Regis-
try“, „System Services“, „Startup“ katalogai).
▬▬ Patikrinti, ar nebuvo pakeistos sisteminių vykdomųjų rinkmenų versijos.
▬▬ Patikrinti, ar kompiuteris neklauso nestandartinių tinko prieigų, naudojant ko-
mandą „netstat – an“.
Taip pat pateiksime keletą rekomendacijų, pagal kurias galima identifikuoti
kenksmingą programinį kodą arba įsilaužimą.
39
Identifikuojant įtartinus procesus būtina atkreipti dėmesį į procesų vardus ir pra-
džios laiką; proceso statusą; vartotoją, kuris vykdo procesą; proceso naudojamus ište-
klius (CPU, RAM, kietasis diskas ir t. t.); teises, suteiktas procesui; proceso naudojamą
aparatinę įrangą; proceso atidarytas rinkmenas.
Analizuojant operacinės sistemos arba tinklo žurnalines rinkmenas reikia išsi-
aiškinti, kokie procesai naudoja daugiausiai resursų; kokie procesai prasideda neįprastu
laiku; kurie iš jų netikėtai nutraukia savo darbą; kurie vartotojai, anksčiau buvę neak-
tyvūs, staiga pradėjo intensyvią veiklą; kurios paslaugos, buvusios užblokuotos, staiga
pradėjo veikti; kurie kompiuteriai formuoja anomaliai didelį tinklo srautą; procesus
su tais pačiais vardais, imituojančius leidžiamus procesus; neįprastai didelį procesų
skaičių.
40
užšaldymu“ (angl. freezing the scene). Techniniai šio etapo aspektai nagrinėjami 12
skyriuje.
Lygiagrečiai turi būti vykdomi incidento sulaikymo darbai, t. y. veiksmai, nelei-
džiantys incidentui paveikti didesniam sistemų kiekiui tinkle. Prie incidento sulaikymo
darbų gali būti priskirtas pažeistos sistemos išjungimas iš tinklo arba jos prieigos prie
kitų sistemų apribojimas kitais metodais. Kalbant apie incidento sulaikymą, organiza-
cijos gali taikyti skirtingą priėjimą, t. y. tai gali būti ir CSIRT pareiga, ir atskiros grupės
funkcija. Bet kokiu atveju, incidentas turi būti sustabdytas ir imtasi priemonių, kad jis
nepasikartotų ateityje.
Analizės fazė
Analizės metu įvykio vieta yra aprašoma ir (arba) dokumentuojama įranga, ku-
rioje potencialiai gali būti įkalčių, perduodama NEE tyrimo kvalifikaciją turintiems
specialistams, kurie atlieka analizės darbus. NEE tyrimo metodų, kaip ir kompiuterinių
nusikaltimų, įvairovė – didelė, pvz., rinkmenų analizė, ištrintos ar užkoduotos infor-
macijos atkūrimas, vizuali įrangos apžiūra ar įtariamųjų ir liudininkų apklausos, asme-
ninių atakuotojo savybių įvertinimas ir tikslų nustatymas. Detaliau šio etapo veiksmai
nagrinėjami 13 skyriuje.
Pristatymas
Peržiūra pasibaigus incidentui (angl. post mortem review) yra atliekama tam,
kad pasibaigus tyrimui ir gavus tyrimo išvadas būtų imtasi veiksmų incidento atsako
procesui gerinti kitą kartą. Tipinės proceso tobulinimo vietos yra:
▬▬ Atsako į incidentus planas. Tobulinami tie plano punktai, kurie pasirodė esą ne-
pakankamai efektyvūs arba visai nesuveikė incidento metu.
▬▬ Informacijos skleidimo politika. Jei informacija apie incidentą buvo nutekinta
tyrimo metu, reikia išsiaiškinti, kas ir kokiais būdais tai padarė, ateityje griežtinti
kontrolę.
▬▬ Informavimo apie incidentą politika. Ar darbuotojas, kuris atskleidė incidentą,
tinkamai vykdė informavimo procedūras?
41
▬▬ Įvykių registracijos įrašų politika. Ar tikrai visa reikiama informacija buvo rasta
įvykių registracijos įrašuose? Ar galiojanti įvykių registracijos įrašų politika rei-
kalauja saugoti būtinus tyrimui duomenis?
▬▬ Kiti saugos tobulinimo klausimai. Bet kokie taikomi informacijos saugos meto-
dai, tyrimo metu išaiškėję kaip nepakankami.
Plano peržiūra
Pasibaigus incidentui, peržiūros etapo rezultatai turi tapti pagrindu planui atnau-
jinti. Vertinti reikia ne tik plano veiksmingumą konkretaus įvykusio incidento atveju,
bet bandyti modeliuoti, ar planas būtų toks pat efektyvus, jei incidentas būtų kitokio
tipo.
Tai viena iš dažniausių incidentų atmainų, kai kompiuterių sistemos yra pažei-
džiamos kenksmingo programinio kodo (KPK, angl. malware). Tai bendrinis terminas,
apimantis kompiuterių virusus, kirminus, bot’us ir kitą kodą, sukurtą su tikslu pakenkti
teisėtam vartotojui. Priklausomai nuo KPK tipo ir funkcionalumo, incidentas organi-
zacijai gali turėti ir nykstamai mažas pasekmes, ir visiškai sutrikdyti jos darbą, todėl
42
nepaisant šio incidento dažnumo ir psichologinio susitaikymo su juo, kiekvienas toks
įvykis turi būti detaliai nagrinėjamas.
Pagrindinė užduotis kovojant su tokio incidento tipu yra tolimesnio KPK plitimo
sistemose sulaikymas.
Neteisėtas naudojimas
Šis incidentų tipas yra pats tipiškiausias, kai kalbama apie NEE siaurąja prasme.
Esant tokiai situacijai, vidinis ar išorinis nusikaltėlis gauna prieigą prie resurso, į kurio
teises jis neturėtų turėti. Taip pat reikia pabrėžti, kad tai yra jo sąmoningų veiksmų
pasekmė.
Esant tokiam incidento tipui, CSIRT komanda turi koncentruotis ties tolimesnių
nusikaltėlio veiksmų blokavimu ir įkalčių išsaugojimu. Būtent esant šiam incidento
tipui greičiausiai gali būti priimtas sprendimas kreiptis į teisėsaugos organus.
Netinkamas naudojimas
Kontroliniai klausimai
43
Praktiniai darbai
44
5.
NEE TYRIMŲ PRINCIPAI IR TYRIMO EIGA
Vykdydamas NEE tyrimą tyrėjas atlieka tam tikrą žingsnių ir procedūrų seką.
Pirmiausia, identifikuojamas nusikaltimas. Vėliau surenkami įkalčiai ir formuojama
įrodymų grandinė (angl. chain of custody). Tyrėjas šias procedūras turi vykdyti kiek
įmanoma tiksliau bei laikytis tam tikrų tyrimo principų. Po to, kai įkalčiai būna išanali-
zuoti, tyrėjas turi elgtis kaip liudininkas ekspertas bei mokėti pristatyti įkalčius teisme.
Tyrėjas tampa kibernetinių nusikaltimų persekiojimo mechanizmo dalimi.
Šiame skyriuje trumpai apžvelgiami pagrindiniai NEE tyrimų principai ir etapai.
Svarbiausi tyrimo etapai detalizuojami kituose skyriuose.
45
5. Tyrėjas išanalizuoja įkalčius nusikaltimui įrodyti ir paruošia negalutinę ty-
rimo ataskaitą.
6. Tyrėjas perduoda užsakovui ataskaitą, o klientas įvertina, ar sieks iš nusikal-
tėlio kompensacijos teismo tvarka.
7. Tyrėjas sunaikina bet kokius saugomus konfidencialius arba jautrius kliento
duomenis, kurie neturi tiesioginės įtakos tyrimui.
Vykdydamas tyrimą, tyrėjas turi stengtis vadovautis tokiais principais, kurie lei-
džia maksimaliai padidinti bylos sėkmę teisme:
▬▬ Analizuoti originalius įkalčius kiek įmanoma mažiau. Stengtis pagal galimybę
analizuoti įkalčių dublikatus.
▬▬ Nemodifikuoti įkalčių. Jeigu tai nėra įmanoma – dokumentuoti bet kokius, net
pačius nereikšmingiausius įkalčių keitimus.
▬▬ Formuoti pagrįstas nusikaltimo įrodymo grandines, atsargiai ir atsakingai elgtis su
įkalčiais. Formuoti tik tas išvadas, kurios tiesiogiai pagrįstos surinktais įkalčiais.
▬▬ Jausti atsakomybę už atliekamą darbą bei suprasti, kad klaidingai suformuluotos
bei pateiktos išvados gali lemti teismo klaidą, suluošinti žmonių likimą arba
neigiamai atsiliepti pačiam tyrėjui teisinio persekiojimo forma.
▬▬ Naudoti tyrimo metu surinktus duomenis tik tyrimo tikslais, neperduoti jų tre-
čiosioms šalims, nenaudoti šantažui ar asmeninei naudai.
Reikėtų pabrėžti, kad įvairių vadovėlių ir mokymo kursų, skirtų NEE tematikai,
autoriai skirtingai vadina ir interpretuoja NEE tyrimo etapus, t. y. gali skirtis etapų
pavadinimai, tiems patiems etapams gali būti priskiriami skirtingi uždaviniai (pvz.,
įkalčių apsaugojimas nuo modifikavimo gali būti priskirtas ir įkalčių rinkimo, ir atskirai
fazei). Tai parodo, kad pats procesas dar nėra visiškai susistemintas ir dar nėra tvarkos,
kuri tenkintų visus autorius. Todėl šiame vadovėlyje autoriai neakcentuoja konkrečių
etapų pavadinimų, o labiau vardija veiksmus, kurie yra būdingi atliekant tyrimą.
Kita vertus, įvardyti tyrimo principai yra ganėtinai nusistovėję, ypač kalbant
apie jų etinę ir atsakomybės dalį. Taip pat, nepaisant aiškiai matomos tendencijos anali-
zuoti „gyvas“ sistemas, vis dar aktualus išlieka įkalčių dublikavimo ir nemodifikavimo
principas.
Bet kokį tyrimą ar detektyvinį romaną, atmetus tam tikrus meninius ir psicholo-
ginius vaizdavimo aspektus, galima pateikti kaip tam tikrą seką klausimų, į kuriuos turi
atsakyti tyrėjas ir (arba) detektyvas, siekdamas išsiaiškinti nusikaltimą. Tuos klausimus
tyrėjas formuluoja sau, tyrimo užsakovui, įtariamajam, liudininkams. Jis turi išsiaiš-
kinti, su kokio nusikaltimo tipu jis turi reikalų, kokie yra nusikaltimo motyvai, kaip
jis buvo įvykdytas bei kaip gali būti įrodytas. Tinkamai suformuluoti klausimai yra
pagrindas sėkmingam tyrimui, nes leidžia nustatyti visą logišką įvykių seką.
Šiame poskyryje yra pateikiami (Middleton 2001) siūlomos metodikos pagrindu
parengti klausimai, kurie skirtingais tyrimo etapais gali būti traktuojami kaip tyrėjo
kontroliniai sąrašai.
46
Klausimai, pateikiami užsakovui pirmojo kontakto metu
Pageidautina, kad į šiuos klausimus tyrėjas gautų atsakymus iškart arba dar iki
atvykdamas į tyrimo vietą. Išankstinis atsakymas yra pageidaujamas, kadangi tyrėjas
gali geriau pasiruošti darbui įvykio vietoje bei pateikti pirmines FRP rekomendacijas.
1. Apie kokį nusikaltimo tipą kalbama? Nusikaltimo tipo apibrėžimas leidžia
tyrėjui atlikti konsultacijas su konkrečios srities specialistais. Sąrašas api-
ma, bet neapsiriboja, tokia informacija:
a) puslapio turinio keitimas;
b) asmeninių duomenų vagystė;
c) intelektinės nuosavybės vagystė / pramoninis šnipinėjimas;
d) nužudymas / vagystė / kitas kriminalinis įvykis;
e) sabotažas / diversija;
f) kompiuterinės sistemos panaudojimas kaip tarpinės grandies atakai
vykdyti;
g) verslo informacijos vagystė / nutekinimas;
h) gynybos sistemų pažeidimas.
2. Ar kompanijoje naudojama IDS? Kas yra IDS tiekėjas?
3. Kas pirmasis pastebėjo nusikaltimą? Kada apie jį buvo pranešta?
4. Ar nusikaltėlis vis dar vykdo savo veiksmus? Ar gali įtarti, kad jo veiksmai
yra susekti?
5. Ar yra įtariamieji? Ar tai organizacijos darbuotojai?
6. Ar apie incidentą informuotos teisėsaugos institucijos? Jei taip, kokių veiks-
mų jie jau ėmėsi?
7. Ar gali būti užtikrintas nuotolinis priėjimas prie sistemos arba pažeistos sis-
temos kopijos?
8. Kokio tipo įranga (aparatinė ir programinė) yra naudojama? Kokie yra spe-
cifiniai jos nustatymai (pvz., failinės sistemos tipas)?
9. Ar sistemose su įkalčiais yra išorinių laikmenų skaitymo įrenginių (CD /
DVD-ROM)?
10. Ar pažeista sistema yra padidinto saugumo zonoje? Kas atsakingas už leidi-
mo išdavimą tyrėjui prieigai?
11. Kokie duomenys potencialiai saugomi nagrinėjamoje sistemoje?
12. Kokios talpos kietieji diskai nagrinėjamose sistemose?
13. Kas legaliai turėjo prieigos teises prie nagrinėjamos sistemos? Kas turėjo
prieigą prie sistemos anksčiau arba buvo įtrauktas į sistemo kūrimą, diegimą
ir palaikymą?
14. Sąrašas užsakovo atstovų, su kuriais reikės susitikti vizito metu.
15. Ar įvykio vieta yra fiziškai apsaugota?
16. Kokiu periodiškumu naikinamos pasenusios sistemų atsarginės kopijos? Ar
įvykus incidentui šis procesas buvo sustabdytas?
47
17. Kokia yra taikoma įvykių registracijos įrašų saugojimo ir analizės politika?
Ar išsaugoti įvykių registracijos įrašai potencialiu nusikaltimo įvykdymo
laikotarpiu?
18. Kas žino apie įvykį?
19. Koks yra priimtas sprendimas nusikaltimo tyrimo požiūriu? Ar bus kreiptasi
į teismą?
Reikia pabrėžti, kad čia yra pateikiami tik pavyzdiniai klausimai. Kiekvienu kon-
krečiu atveju gali būti formuluojami papildomi klausimai, o dalies iš jų – visiškai atsi-
sakoma. Gauti atsakymai taip pat gali tapti pagrindu naujiems klausimams formuluoti.
1. Kokiu laiku įvyko incidentas?
2. Kokie pakeitimai įvykio vietoje buvo padaryti?
3. Ar žmonės, buvę įvykio vietoje, turėjo ten būti pagal savo pareigas / darbo
grafiką?
4. Kas buvo paskutinis, naudojęsis sistema?
5. Kas iš darbuotojų mėgsta ateiti į darbą labai anksti arba pasilikti po darbo /
savaitgaliais?
6. Kiek ilgai įtariamieji dirba organizacijoje?
7. Kas buvo matyti kompiuterio ekrane įvykio metu?
8. Kokios yra įtariamųjų elgesio ypatybės? Su kuo iš kitų darbuotojų jie
bendrauja?
9. Ar paskutiniu metu organizacijoje buvo keistų arba netipinių įvykių, kurie
nebuvo klasifikuoti kaip incidentai?
10. Ar įtariamieji palaiko ryšius su kitomis kompanijomis / šalimis?
11. Ar yra įvykio vietos vaizdo / garso įrašų?
12. Ar naudojami bendriniai vartotojų vardai / slaptažodžiai?
13. Ar kompanija turi finansinių ar kitokių problemų?
14. Ar niekas iš darbuotojų nepiknaudžiavo neįprastomis išlaidomis / pirkimais
paskutiniu metu?
15. Kam iš darbuotojų buvo taikomos administracinės priemonės arba užsime-
nama apie atleidimą; išreiškiamas nepasitenkinimas darbo rezultatais?
16. Kas iš darbuotojų turėjo finansinių sunkumų?
17. Ar yra organizacijoje laikinų arba nepilną darbo dieną dirbančių darbuotojų?
18. Kas buvo atleistas iš organizacijos paskutiniu metu? Ar atleidimas buvo
konfliktiškas?
19. Kada paskutinį kartą buvo atliekami sistemos atnaujinimai / diegiamos nau-
jos programos? Kas atliko šiuos veiksmus?
20. Ar įmanomą gauti tinklų topologijos diagramą?
Visi šiame skyriuje pateikti klausimai yra adaptuoti atvejui, kai tyrimo užsako-
vas yra organizacija, o potencialus nusikaltėlis yra organizacijos viduje ir (arba) po-
tencialiai su ja susijęs, kadangi beveik 60–70 proc. visų nusikaltimų atliekami pačios
48
organizacijos darbuotojų. Tačiau šis klausimynas gali būti nesunkiai adaptuotas ir tuo
atveju, jei vykdomas kriminalinio nusikaltimo tyrimas arba nusikaltėlis yra už organi-
zacijos ribų.
49
6.
ELEKTRONINIŲ ĮKALČIŲ TIPAI IR SAVYBĖS
Elektroniniais arba skaitmeniniais įkalčiais gali būti traktuojama bet kokia
kompiuterių sistemomis perduodama arba saugoma informacija, kuri patvirtina tyri-
mo metu suformuluotą hipotezę ir, pagal poreikį bei tenkinant tam tikras sąlygas, gali
būti panaudota teismo proceso metu. Ar įkaltis gali būti naudojamas teismo procese
priklauso nuo to, ar teisėtai jis buvo gautas ir kiek atitinka kitiems įkalčiams keliamus
reikalavimus.
Paskutiniu dešimtmečiu elektroninių įkalčių taikymas teismo procesuose tapo
gan dažnu reiškiniu, o skaitmeninės nuotraukos, įvykių registracijos įrašai, elektroni-
nių dokumentų kopijos, susirašinėjimo pokalbių programose kopijos – pilnateise bylų
dalimi. Precedentinės teisės valstybėse, tokiose kaip JAV, dalis teismų traktuoja elek-
troninius įkalčius analogiškai tradiciniams dokumentams, kiti – pabrėžia jų prigimties
skirtumą.
Dažnai elektroninių įkalčių atmetimo priežastimi būna įkalčių gavimas be teis-
mo leidimo. Daugumoje teisinių sistemų keliamas reikalavimas, kad įrenginiai, iš ku-
rių nuskaitomi elektroniniai įkalčiai, būtų areštuojami prieš pradedant vykdyti tyrimą.
NEE tyrime tai gali sukelti tam tikrų sunkumų.
Tyrėjai, vykdydami NEE tyrimą, turi vertinti du įkalčių tinkamumo kriterijus:
▬▬ autentiškumą – arba įkalčio atsiradimo šaltinį;
▬▬ patikimumą – kiek šaltinis yra patikimas ir (arba) nešališkas bei apsaugotas nuo
galimų pažeidimų.
Duomenų objektas arba kompiuterinis įrenginys gali tapti įkalčiu, kai jo naudo-
jimą tokia tvarka reglamentuoja įstatymas (Marcela ir Greenfield 2002). JAV Federali-
nis tyrimų biuras išskiria tokius įkalčių tipus, kurie gali būti naudojami atliekant NEE
tyrimą:
▬▬ Duomenų objektai. Galimi informacijos šaltiniai su tam tikra tikimybine verte,
susieti su fiziniais objektais. Gali pasitaikyti įvairių formatų duomenų objektų.
▬▬ Skaitmeniniai įkalčiai (angl. digital evidence). Tam tikros tikimybinės vertės in-
formacija, saugoma arba perduodama skaitmeniniu formatu.
▬▬ Fiziniai objektai. Įrenginiai, kuriuose duomenų objektai arba informacija yra
saugomi arba per kuriuos duomenų objektai yra perduodami.
▬▬ Originalūs skaitmeniniai įkalčiai. Fiziniai objektai ir su jais susiję duomenų
objektai konfiskacijos metu.
▬▬ Skaitmeninių įkalčių dublikatai. Tiksli skaitmeninė visų duomenų objektų, sau-
gomų originaliame fiziniame objekte, kopija.
Įkalčiai dar gali būti skirstomi pagal jų vėlesnio pritaikymo tikslą:
▬▬ įkalčiai, renkami tolesniam teisminiam persekiojimui;
▬▬ įkalčiai, kurių tikslas – tiesiog nustatyti NEE faktą bei išsiaiškinti priežastis, jo
neperduodant teismui.
Paskutiniu atveju taikomos ne tokios griežtos rinkimo ir analizės procedūros.
50
6.1. Įkalčių savybės
Jei žvelgtume į fizinį elektroninių įkalčių lygį, tai turėtume naudotis elektro-
magnetiniais impulsais laiduose bei diskiniuose kaupikliuose, radijo signalais ir t. t.
Tačiau užsitikrindami priėjimą prie duomenų NEE tyrėjai naudojasi kompiuterių siste-
mų suteikiama duomenų vaizdavimo sistema, perteikiančia fiziniu pavidalu saugomus
duomenis žmogui suprantama forma (pvz., žmogus retai tiesiogiai analizuoja kietojo
disko bitus ar sektorius, o naudojasi katalogais ir failais). Tai reiškia, kad tyrėjai retai
tiesiogiai mato duomenis, o naudoja tam tikrą jų atvaizdavimą. Tačiau reikia turėti
omenyje, kad kiekvienas abstrakcijos lygis gali įvesti tam tikrų klaidų arba informaci-
jos praradimų. Dar vienas abstrakcijos lygis – specializuoti NEE tyrimo įrankiai, kurie,
kaip ir bet kokia programinė įranga, gali turėti klaidų – tiek techninių, tiek atsiradusių
dėl netinkamos probleminės srities suvokimo. Viena iš didžiausių pasitaikančių įrankių
problemų – netinkamas failinių sistemų interpretavimas. Abstrakcijos lygių įvedimas
iš tyrėjų reikalauja taikyti kelis įrankius bei vertinti, kad gauti rezultatai yra analogiški.
Tiriant ypatingai svarbius atvejus, būtina atlikti ir tiesioginę fizinio lygio analizę, kad
būtų išvengta galimų duomenų iškraipymo. Kita vertus, skirtingų abstrakcijos lygių
nagrinėjimas gali suteikti papildomos svarbios informacijos.
Kita išskirtine elektroninių įkalčių savybe gali būti pripažinta jų dinamika, kuri
taip pat įveda nemažai netikslumų vykdant tyrimą. Įkalčių dinamika – tai bet koks
veiksnys, kuris keičia įkalčio turinį, dislokaciją arba jį sunaikina, nepriklausomai nuo
to, ar poveikis yra tyčinis ar netyčinis. Žemiau įvardyti keli iš galimų įkalčių dinamikos
pavyzdžių:
▬▬ Sistemų administratorius. Stengdamasis padėti tyrimui atlieka veiksmus su na-
grinėjama sistema, modifikuodamas įkalčius.
▬▬ NEE tyrėjas. Keičia įkalčius netyčia arba neturėdamas kitos išeities, kaip ištirti
nusikaltimą.
▬▬ Įtariamasis. Pašalina įkalčius iš kietojo disko, jei prieiga laiku neužblokuojama.
▬▬ Kompiuterio netyčinis panaudojimas. Kompiuteris su įkalčiais netyčia panaudo-
jamas kažkokiam veiksmui, nesusijusiam su NEE tyrimu, atlikti.
▬▬ Liudininkas. Sistemų administratorius, mažindamas incidento pasekmes, ištrina
nusikaltėlio sukurtas vartotojo paskyras.
▬▬ Gamtos / laiko veiksniai.
Įkalčių dinamika sukuria tyrimo ir teisinių iššūkių, apsunkina tikslios tyrimo
eigos atstatymą ir labiausiai kenkia įkalčių autentiškumo ir patikimumo savybėms. Taip
pat, jei tyrėjas nežino, kokie įkalčių pasikeitimai buvo įvykę, tai gali tapti surinktų įkal-
čių kritikos pagrindu teisme arba lemti klaidingų išvadų formulavimą.
Prie elektroninių įkalčių savybių galima priskirti ir tai, jog teismuose jos yra
dažnai atakuojamos nusikaltėlio gynimo pusės dėl jų tariamai lengvo modifikavimo.
Tačiau 2002 m. JAV Aukščiausiasis teismas nustatė, kad „faktas savaime, jog yra ga-
limybė modifikuoti kompiuteryje esančius duomenis yra nepakankamas tam, kad įkal-
čiai būtų pripažinti nepatikimais“ (http://ftp.resource.org/courts.gov/c/F2/858/858.
F2d.1427.87-3085.html). Siekiant išvengti tokių atakų, autoritetingas žurnalas „Ame-
51
rican Law Reports“ (4th, 8, 2b) rekomenduoja, kad renkant įkalčius bei juos ruošiant
teismo procesui būtų:
▬▬ patvirtintas kompiuterinės įrangos patikimumas;
▬▬ aprašyta, kokiu būdu buvo paveikti duomenys;
▬▬ aprašyta, kokių priemonių buvo imtasi, kad būtų išvengta duomenų modifikavi-
mo ir praradimo;
▬▬ patvirtintas programų, naudojamų įkalčių analizei, patikimumas.
Dar vienas taikomas atakos būdas prieš elektroninius įkalčius yra jų traktavimas
kaip parodymus, paremtus kitų žodžiais. Šios atakos gali būti paneigtos tokiais argu-
mentais:
▬▬ Parodymai, paremti kitų žodžiais, yra apibrėžiami būtent kaip žmogaus parody-
mai, o kompiuterių sistemos sugeneruoti pranešimai šiai kategorijai nepriklauso.
▬▬ Parodymai, paremti kitų žodžiais, turi tam tikrų išimčių (pvz., verslo įrašų išim-
tis, viešųjų įrašų išimtis pagal JAV teisinę bazę), prie kurių tam tikrais atvejais
gali būti priskirti ir elektroniniai įkalčiai.
Dauguma pateiktų teisinių elektroninių įkalčių savybių remiasi JAV patirtimi ir,
be abejo, atspindi šitos šalies specifiką. Kita vertus, būtent JAV yra sukaupta didžiausia
NEE tyrimo srities patirtis ir tikėtina, kad padažnėjus NEE tyrimo atvejų ES šalyse, bus
susidurta su panašiais sunkumais.
Viena iš elektroninių įkalčių savybių yra ta, kad kaip ir bet kuris kitas elektroni-
nis objektas, jis, skirtingai nuo realaus pasaulio objektų, yra nesunkiai kopijuojamas,
t. y. lengva padaryti identišką failą, ir beveik neįmanoma – identišką piršto atspaudą.
Norint išsiaiškinti, kiek viena elektroninių duomenų kopija skiriasi nuo kitos, įvedama
esminio skirtumo sąvoka, t. y. turi būti nustatyti tokie lyginamų duomenų parametrai,
kurie leidžia juos vienareikšmiškai atskirti. Tokiais kriterijais gali būti laiko žymė, skir-
tingas įrašymas fiziniame lygyje ir kiti.
Kaip jau buvo minėta, elektroniniai įkalčiai – tai duomenų objektai, kurie vėliau
vienaip ar kitaip panaudojami NEE tyrimo metu. Duomenų objektai (failai, duomenų
bazės, kiti objektai) yra saugomi skirtingose kompiuterių sistemų vietose ir gali būti
analizuojami NEE tyrimo metu, siekiant nustatyti vykdytus veiksmus (pvz., prisijungi-
mų prie sistemų faktus), įtariamojo motyvus (pvz., kokiose saituose, kokios informa-
cijos ieškojo) ir t. t. NEE tyrimo požiūriu, kuriam įdomu, kur galima ieškoti įkalčių,
duomenų objektai gali būti suskirstyti į keturias kategorijas (Ashcroft ir General 2001),
pateiktas 6.1 lentelėje.
52
6.1 lentelė. Elektroninių įkalčių kategorijos
Elektroninių įkalčių kategorija Į kategoriją patenkantys duomenų objektai
Vartotojų sukurti objektai – įprasto formato duomenų Adresų knygos.
objektai, kurie gali būti nesunkiai išanalizuoti tyrimo El. pašto pranešimai.
metu. Garso / vaizdo / grafiniai failai.
Dokumentai ir užrašai / skaičiuoklių failai.
Kalendoriai.
Duomenų bazės.
Išsaugotos nuorodos.
Vartotojų sukurti ir apsaugoti objektai – duomenų Suspausti failai.
objektai, kuriems dėl vienų ar kitų priežasčių jų Nekorektiškai pavadinti failai.
kūrėjas pritaikė apsaugos priemones. Taikomas Šifruoti failai.
apsaugos tipas gali vienaip ar kitaip apsunkinti įkalčių Slaptažodžiais apsaugoti failai.
identifikavimą ir analizę. Paslėpti failai.
Steganografijos metodų taikymas.
Kompiuterių sistemų sukurti objektai – objektai, Atsarginės kopijos.
atsiradę kompiuterių sistemose kaip jų funkcionavimo Įvykių registracijos įrašai.
pasekmė. Dažniausiai gali suteikti pakankamai daug Konfigūraciniai failai.
naudingos informacijos tyrimui. Eilės (angl. spool) failai įrenginiuose.
Sukeitimų (angl. swap) failai.
„Saldainiukai“ (angl. Cookies).
Sisteminiai failai.
Laikinieji (angl. temp) failai.
Kiti duomenų objektai – objektai, kurie paprastai Sugadinti klasteriai.
nėra prieinami naudojant įprastas OS suteikiamas Ištrinti failai.
priemones, atsiradę dėl netinkamo sistemų Laisva vieta diske (kurioje anksčiau potencialiai buvo
funkcionavimo, tačiau galintys turėti svarbių įkalčių. svarbūs duomenys).
Paslėpti disko skaidiniai (angl. partitions).
Failinės sistemos metaduomenys.
Sisteminės sritys.
Nepriskirta vieta diske.
Objektas, kuris generuoja arba turi įtakos įkalčiui, gali būti pavadintas jo šal-
tiniu. Įkalčiai gali būti susieti su jų šaltiniais daugybe ryšių, nurodančių jų tarpusavio
santykius. Žemiau pateikiami keli galimi ryšių tipai:
▬▬ Gamybinis ryšys. Šaltinis pagamino įkaltį, t. y. galima vienareikšmiškai atsekti,
kad konkretus įrenginys buvo panaudotas vienokio ar kitokio įkalčio gamybai.
Tai gali būti svarbu, jei, pvz., žinoma, kad įrenginys tikrai priklauso įtariamajam.
Tokį ryšį užtikrinančiais įkalčiais gali būti į duomenis įrašomi įrangos serijiniai
numeriai (pagrindinės plokštės, CPU ir kt.).
▬▬ Segmentavimo ryšys. Šaltinis padalintas į dalis, o dalys yra išsklaidytos. Jei tyri-
mo metu įvykio vietoje yra randama viena dalis, pagal ją galima nustatyti gali-
mus šaltinio ir įkalčio ryšius.
▬▬ Keitimo ryšys. Šaltinis keičia arba modifikuoja įkaltį, pvz., įsilaužėlio naudojamas
įsilaužimo įrankis (angl. exploit) palieka žymes laužomoje programoje.
▬▬ Vietos ryšys. Nustatymas, iš kurios vietos atkeliavo duomenys, galintys tapti
įkalčiais, gali turėti didžiulės reikšmės NEE tyrimui. Tai ypač svarbus uždavi-
nys, kai tiriama ne izoliuota, o tinklinė kompiuterių sistema. Tokio uždavinio
sprendimo pavyzdžiu gali tapti atakuojančiojo IP adreso nustatymas, įsitikinant,
kad IP adresas nebuvo modifikuotas ir kad nustatytas IP adresas nepriklauso tar-
pinei stočiai, kuri yra naudojama nusikaltėlio pėdsakams paslėpti.
53
Kita dažnai naudojama elektroninių įkalčių klasifikacija remiasi jų skirstymu
pagal įrenginio tipą, kuriame jie saugomi arba generuojami. Ši klasifikacija patogi tuo,
kad ji gali būti naudojama kaip kontrolinis sąrašas tyrimo metu nustatant, kokių įkalčių
kokiame įrenginyje galima ieškoti. 6.2 lentelėje pateikiamas šaltinių ir juose tikėtinų
įkalčių sąrašas, parengtas pagal (Ashcroft ir General 2001).
Į šį sąrašą nebuvo įtraukti kompiuteriniai įrenginiai, kurie gali būti įdomūs tik
kaip fiziniai įkalčiai, tokie kaip tinklo kabeliai, kompiuterių pelės, monitoriai ir kiti,
kurie patys savaime neturi skaitmeninės informacijos. Fizinių įkalčių analizės metodai
yra nagrinėjami klasikiniuose kriminologijos vadovėliuose.
54
Vienas svarbus niuansas, kurį būtina paminėti kalbant apie NEE tyrimus, yra tas,
kad tyrimo metu nereikia apsiriboti vien tik kompiuterio duomenų analize. Įtariamasis,
žinodamas apie potencialų persekiojimą, gali stengtis pašalinti jame esančius įkalčius.
Tačiau gali pamiršti arba nesugebėti tinkamai pašalinti įkalčius iš kitų 6.2 lentelėje mi-
nimų įrenginių. Juose surinktų įkalčių gali visiškai pakakti kaltei įrodyti.
55
7.
ĮKALČIŲ IŠĖMIMO PROCESAS
Šioje knygoje naudojamas terminas įkalčių išėmimas (angl. seizure) yra apibrė-
žiamas kaip procesų visuma, užtikrinanti įkalčių identifikavimą ir apsaugą nuo modifi-
kavimo įvykio vietoje, jų paėmimą, pakavimą ir transportavimą iki tyrimo laboratori-
jos. Kiti autoriai šiam procesui aprašyti naudoja dar ir tokius terminus kaip konfiskacija
ir areštas. Šioje knygoje šitų terminų yra atsisakoma, siekiant išvengti dviprasmybių,
kadangi terminas konfiskacija dažniausiai traktuojamas kaip baudžiamoji priemonė, o
areštas – kardomoji ir baudžiamoji priemonė, o fiziniai įkalčiai, kuriuose vėliau ieš-
koma elektroninių įkalčių, gali priklausyti ir nusikaltėliui (vėliau gali būti konfiskuoti
arba apribota teisė jais disponuoti), ir nukentėjusiai pusei.
Asmeninių kompiuterių paplitimas kasdieninėje veikloje reikšmingai pakeitė
jų kaip įkalčių rolę tirant nusikaltimus. Anksčiau kompiuteris dažniausiai galėjo tapti
įkalčiu tik jei buvo naudojamas kaip atakos priemonė prieš kitą kompiuterių sistemą
arba tapdavo tokios atakos auka. Dabar kompiuteris gali būti įkalčiu arba informacijos
šaltiniu beveik bet kokio tipo byloje: neleistinos informacijos platinimo, psichologinio
smurto, teroristinės veiklos organizavimo ir t. t., kadangi nusikaltėliai irgi plačiai nau-
doja kompiuterius kaip darbo organizavimo ir komunikacijos priemones. Vis dažniau
kompiuteriai turi būti išimami įvykio vietoje ir analizuojami tyrimo metu, o tai lemia
padidėjusį NEE tyrėjų darbo krūvį.
Tais laikais, kai kompiuterių analizė tyrimui buvo gan retas dalykas, įkalčių iš-
ėmimo veiksmus kiekvieną kartą galėjo spėti atlikti kvalifikuoti NEE tyrimo specia-
listai, tačiau dabar toks įkalčių išėmimo būdas laikytinas nepraktišku arba net neįma-
nomu, o išėmimo procesą dažniausiai atlieka žemesnę kvalifikaciją turintys žmonės,
kurie mažai supranta apie kompiuterius ir NEE tyrimo metodus. Dėl išėmimo procesą
vykdančio personalo kvalifikacijos pasikeitimo atsirado poreikis įkalčių išėmimo pro-
cesui aprašyti ir detalioms instrukcijoms parengti.
56
fizinei įvykio vietos apsaugai užtikrinti, kad įkalčių išdėstymas nebūtų pakeistas. Tada
pradedamas įvertinimas, kiek ir kaip elektroniniai įkalčiai gali būti įtraukti į tiriamą
nusikaltimą. Tyrėjas, dirbantis įvykio vietoje, taip pat turi imtis priemonių, kad nebūtų
pažeisti elektroniniuose įrenginiuose saugomi duomenys: įsitikinti, kad įrenginiuose
nėra sumontuoti spąstai, galintys pažeisti įrenginį jį perkeliant arba ardant; izoliuoti
įrenginius nuo tinklo. Vėliau pereinama prie išorinių duomenų laikmenų (CD, DVD,
USB raktų ir t. t.) išėmimo. Išėmimo procesas numato, kad visi įkalčiai yra paženklina-
mi (įskaitant laidus ir jų tarpusavio sujungimus), įvykio vieta nuodugniai fotografuoja-
ma. Išimti fiziniai elektroniniai įkalčiai pristatomi į tyrimo laboratoriją, priklausančią
policijai, kitai teisėsaugos struktūrai, teikiančiai elektroninių įkalčių tyrimo paslaugas
kitoms organizacijoms, arba organizacijos / kompanijos vidinę laboratoriją, jei atlieka-
policijai,maskitai
tik teisėsaugos struktūrai,
vidinis incidento tyrimas.teikiančiai elektroninių
Laboratorijoje įkalčių
išimtuose tyrimo ieškoma
įkalčiuose paslaugas kitoms
objektų
organizacijoms, arba organizacijos / kompanijos vidinę laboratoriją, jei atliekamas tik vidinis incidento
duomenų, kurie gali turėti naudos nusikaltimo tyrimui. Jei tokie objektai randami, jie
tyrimas. Laboratorijoje išimtuose įkalčiuose ieškoma objektų duomenų, kurie gali turėti naudos Comment [n
įtraukiami
nusikaltimo tyrimui.į Jei
tyrimo
tokie ataskaitą ir kopijos
objektai randami, jiepavidalu
įtraukiamiperduodami tyrėjams
į tyrimo ataskaitą arba teismui.
ir kopijos pavidalu keitimas visišk
Turi likti ”duom
perduodamiPagrindiniai įkalčių
tyrėjams arba išėmimo
teismui. procesoįkalčių
Pagrindiniai etapaiišėmimo
pavaizduoti
proceso7.1etapai
pav. pavaizduoti 7.1 pav.
57
įkalčių kiekis (nuo vieno iki kelių kompiuterių). Jei susiduriama su pažeista sistema, kurią sudaro bent
keliasdešimt kompiuterių ir tūkstančiai diskų ar kitų laikmenų, tai visų kompiuterių ir laikmenų
išėmimas tampa problematiškas, o patį žingsnį siūloma suskaidyti į tris smulkesnius (parodyta 7.2
pav.), kurie leidžia atrinkti tik tuos įrenginius bei laikmenas, kuriose didžiausia tikimybė surasti
dominančius įkalčius.
58
• Atrinktų duomenų laikmenų išėmimas. Šis žingsnis iš esmės nesiskiria nuo
įkalčių išėmimo, kai tai daroma visos įrangos išėmimo metu. Pagrindinis
šio žingsnio akcentas – ypatingas dėmesys visų veiksmų dokumentavimui.
Reikia atkreipti dėmesį, kad skirtingos laboratorijos ar tyrimus vykdančios agen-
tūros gali turėti savo specifinių reikalavimų įkalčių išėmimo ir transportavimo procesui.
Aprašytasis įkalčių išėmimo scenarijus yra, be abejo, pritaikytas „negyvų“ siste-
mų analizės metodikai. Vis didėjantis poreikis „gyvų“ sistemų analizei įvykio vietoje,
kuris buvo aprašytas auksčiau šioje knygoje, vienareikšmiškai lems, kad didžioji ana-
lizės dalis turės būti atliekama įvykio vietoje, o ne laboratorijoje. Aiškiai suformuluotų
reikalavimų įkalčių analizei įvykio vietoje NEE tyrimams skirtoje literatūroje beveik
nėra, o šios srities tyrimai koncentruojami tik ties techninėmis tokių įkalčių analizės
metodikomis. Galima tikėtis, kad susidarius kritinei masei reikiamų tyrimų metodikų,
jos bus susistemintos ir pateiktos metodinės jų taikymo rekomendacijos.
Įkalčių išėmimo metu tyrėjas gali susidurti su situacija, kai išvežamoje įrangoje
be potencialių įkalčių gali būti įtariamojo asmeninės informacijos, kuri tiesiogiai nėra
susijusi su tiriamu nusikaltimu, arba kitų asmens duomenų (pvz., jei be įtariamojo kom-
piuteriu naudojosi ir kiti jo šeimos nariai).
Šiuo atveju taikomas bendras principas, kad duomenys, neturintys tiesioginio
ryšio su tiriamu nusikaltimu, nepriklausomai kas būtų jų šeimininkas (įtariamasis ar
trečiasis asmuo), turi būti saugomi pagal galiojančius asmens duomenų apsaugą re-
glamentuojančius reikalavimus, jie negali būti viešinami teisme. Ypač daug problemų
tyrėjams gali kilti dėl trečiųjų asmenų asmeninių duomenų gavimo, nes galima tikė-
tis teisminių ieškinių dėl privatumo pažeidimo. Atsižvelgiant į daugelio šalių teisinių
sistemų nebrandumą, NEE tyrimo ir teisminio persekiojimo srityje negali būti vieno
atsakymo, kaip turėtų elgtis NEE tyrėjai tokiu atveju ir kokius įkalčių išėmimo metodus
taikyti, tačiau rizika turėtų būti įvertinta prieš pradedant išėmimo procesą.
Kaip jau buvo minėta dominuojantis šiuo metu įkalčių išėmimo metodas reika-
lauja duomenų objektų laikmenų išvežimo iš įvykio vietojos į specializuotas laborato-
rijas. Toks metodas yra brangus (įkalčių pakavimasir (arba) paruošimas persiuntimui,
saugumo užtikrinimas transportuojant, transporto išlaidos) bei reikalaujantis daug lai-
ko, o galutiniame etape vis vien tenka nagrinėti duomenų objektus. Todėl paskutiniu
metu, kol kas ypač neformalių tyrimų metu, matoma aiški tendencija išimti ne fizinius
objektus, o jų tik tyrimui svarbius duomenis, kurie identifikuojami įvykio vietoje. Ypač
toks metodas gali pasiteisinti, kai tyrimą užsako kompanija, nukentėjusi nuo išorinio
įsilaužimo. Tokiu atveju kompanijos techninis personalas gali padėti tyrėjui greitai
59
identifikuoti svarbius įkalčius. Pavyzdžiui, siūlomas toks duomenų objektų išėmimo
procesas:
1. Atvykęs į įvykio vietą tyrėjas susisiekia su kompromituotos sistemos admi-
nistratoriumi arba kitu techniniu personalu, galinčiu ir norinčiu padėti iden-
tifikuojant duomenų objektus bei juos kopijuojant.
2. Jei kompanija negali suteikti techninio eksperto, jis samdomas iš trečiosios
šalies ir padeda identifikuoti orderyje nurodytus failus ir kitus duomenų
objektus. Už pačių identifikuotų duomenų objektų išsaugojimą atsakomybė
tenka tyrėjui.
3. Jei atskirų failų ar duomenų objektų išėmimas dėl techninių priežasčių yra
neįmanomas, sukurti laikmenos tikslią (atvaizdo) atsarginę kopiją.
4. Jei ir atvaizdo kūrimas yra neįmanomas, išimamas fizinis įkaltis ir pristato-
mas į specializuotą laboratoriją, turinčią specializuotą duomenų atstatymo
įrangą.
Pagrindiniu tokio metodo privalumu galima įvardyti tai, kad taupomas analizę
atliekančios laboratorijos laikas duomenų objektams identifikuoti.
Kai kuriais atvejais, tik išgirdusios apie galimą kompiuterių sistemų įtraukimą
į tyrimo procesą, teisėsaugos institucijos atsisako inicijuoti nusikaltimų tyrimų bylas,
motyvuodamos tai kompetencijos arba resursų nebuvimu. Tačiau dažnas nusikaltimo
atvejis, tiesiogiai nesusijęs su kompiuterių sistemų pažeidimu (pvz., priekabiavimas,
grasinimai el. paštu ir kiti), gali būti įrodytas naudojantis vien tradiciniais kriminolo-
gijos metodais.
Taip pat reikia įvertinti tai, kad didėjant kompiuterių naudojimui visi detektyvo
darbą atliekantys darbuotojai turėtų stengtis įgyti bent minimalių NEE tyrimo srities
žinių, kadangi specializuotos NEE tyrimo laboratorijos, turinčios ribotą aukštos kvali-
fikacijos specialistų skaičių, nesugebės apdoroti visų ateinančių užklausų.
60
8.
ĮKALČIŲ RINKIMO BŪDAI IR ĮRANKIAI
Įvykus elektroniniam nusikaltimui, iš įvairių elektroninių laikmenų pradedama
rinkti informacija ir duomenys, kurie vėliau gali būti pateikiami teisme kaip nusikaltimo
įrodymai. Tradiciškai nusikaltimo tyrimas pradedamas padarant veikiančio kompiute-
rio operatyviosios atminties atvaizdo kopiją, siekiant išsaugoti nestabilius duomenis,
po to konfiskuojamas pats kompiuteris bei informacijos saugojimo laikmenos, kuriose
gali būti rasta nusikaltimo įkalčių, pavyzdžiui, rezervinės duomenų kopijos, kompakti-
nės ir DVD plokštelės, atminukai (angl. flash memory). Kitame etape surenkami tinklo
įrenginių, autentifikacijos ir autorizacijos serverių įvykių registracijos žurnalai.
Remiantis elektroninių nusikaltimų tyrimų gerąja praktika, rekomenduojama
jokiais būdais nekeisti informacijos originalioje, iš nusikaltimo vietos paimtoje, lai-
kmenoje, bet dirbti su jų kopijomis, todėl, pavyzdžiui, konfiskavus kompiuterį būtinai
daroma kietojo disko bitų lygmens kopija. Toliau, panaudojant informacijos atstatymo
ir paieškos priemones, atliekama informacijos analizė ir ieškoma nusikaltimo įrodymų.
Tam tikslui naudojami įvairūs programiniai įrankiai arba aparatūrinės priemonės, ku-
rios automatizuoja ir palengvina techninį tyrėjo darbą, pavyzdžiui, atlikti šešioliktainio
kodo analizę. Šiame knygos skyriuje plačiau panagrinėsime programinę įrangą ir įran-
kius, skirtus elektroniniams nusikaltimams tirti.
61
Informacija, saugoma operatyviojoje atmintyje, gali būti greitai keičiama arba
prarasta išjungus kompiuterį, todėl tyrėjui svarbu turėti veikiančios sistemos atminties
atvaizdo kopiją dar prieš konfiskuojant kompiuterį. Pagrindiniai reikalavimai, kelia-
mi operatyviosios atminties atvaizdą darančiam įrankiui – gebėjimas nuskaityti visą
informaciją iš atminties jos nepakeičiant ir žinomu formatu įrašyti į kitą laikmeną, pa-
vyzdžiui, išorinį kietąjį diską, CD, DVD ir t. t., kurioje informacijos saugojimo būdas
nepriklauso nuo elektros šaltinio.
Kompiuterio operacinė sistema paprastai pateikia tam tikrą būdą, kaip prieiti
prie operatyviosios atminties duomenų. „Unix“ operacinėse sistemose tam tikslui skirti
įrenginių failai /dev/mem ir /dev/kmem. Pirmasis failas siejamas su fizine operatyviąja
atmintimi, o antrasis – su virtualiąja atmintimi. Naudojant „Unix“ komandą dd gali-
ma nuskaityti informaciją, esančią atmintyje, ir ją perkelti į kitą laikmeną. Pavyzdžiui,
norint padaryti operatyviosios atminties atvaizdą į failą mem.bin, naudojama tokia dd
komandos sintaksė:
dd if=/dev/mem of=/home/forensics/mem.bin bs=1024
62
Suformavus atminties atvaizdą ir jį nukopijavus į saugią išorinę laikmeną, gali-
ma pradėti jį analizuoti, ieškant nusikaltimo įkalčių. Nors komanda dd atminties atvaiz-
dą sukuria binariniu pavidalu, jame visgi dažniausiai būna ir ASCII teksto fragmentų,
pavyzdžiui, slaptažodžiai. Teksto eilutes galima filtruoti ir išvesti į ekraną, panaudojant
komandą strings. Pavyzdžiui:
strings /home/forensics/mem.bin
Comment [P
lietuviškas term
8.1 pav.
8.1 „SecondLook“
pav. įrankio
„SecondLook“ langas,
įrankio vaizduojantis
langas, aptiktą
vaizduojantis backdoors
aptiktą objektą,
backdoors paliktą
objektą, popo
paliktą įsilaužimo
įsilaužimo būtų galima ang
palikti skliaustu
Comment [n
“užpakalinės du
„SecondLook“ palaiko x86 architektūros 32/64bit „Linux“ operacines sistemas, kuriose labia keistai ska
naudojamos 2.6.x „Linux“ branduolio versijos. Pavydžiui: „Debian GNU/Linux 4 – 6“, „Red Hat palikite anglišką
Enterprise Linux 4 – 6“, „Ubuntu 4.10 - 11.04“ ir kitos „Linux“ operacinės sistemos.
Kai kurie kompiuterinės įrangos gamintojai, pavyzdžiui, „Oracle“, SUN, serverių užkrovimo
63 galima prieš užkraunant operacinę sistemą atlikti
luste naudoja programinę įrangą „OpenBoot“, kuria
jos branduolio derinimą ir padaryti operatyviosios atminties atvaizdą bei jį nukopijuoti į pasirinktą
laikmeną. „OpenBoot“ programa pasiekiama spaudžiant du klavišus: L1->A arba STOP->A. Tuo metu
operacinė sistema suspenduojama ir naudotojui patiekiamas „OpenBoot“ pultas. Taigi, jei kompiuteris
buvo atakuojamas, galima sustabdyti operacinę sistemą ir pasidaryti atminties atvaizdo kopiją. Tam
„SecondLook“ palaiko x86 architektūros 32/64bit „Linux“ operacines sistemas,
kuriose naudojamos 2.6.x „Linux“ branduolio versijos. Pavydžiui: „Debian GNU/Li-
nux 4 – 6“, „Red Hat Enterprise Linux 4 – 6“, „Ubuntu 4.10 - 11.04“ ir kitos „Linux“
operacinės sistemos.
Kai kurie kompiuterinės įrangos gamintojai, pavyzdžiui, „Oracle“, SUN, ser-
verių užkrovimo luste naudoja programinę įrangą „OpenBoot“, kuria galima prieš už-
kraunant operacinę sistemą atlikti jos branduolio derinimą ir padaryti operatyviosios
atminties atvaizdą bei jį nukopijuoti į pasirinktą laikmeną. „OpenBoot“ programa pa-
siekiama spaudžiant du klavišus: L1->A arba STOP->A. Tuo metu operacinė sistema
suspenduojama ir naudotojui patiekiamas „OpenBoot“ pultas. Taigi, jei kompiuteris
buvo atakuojamas, galima sustabdyti operacinę sistemą ir pasidaryti atminties atvaizdo
kopiją. Tam naudojama sync komanda. Po to, kai padaromas atminties atvaizdas, kom-
piuteris perkraunamas ir, panaudojus komandą savecore, galima nukopijuoti atvaizdo
failą į reikiamą failų sistemą ar išorinę laikmeną.
Norint gauti informacijos apie veikiančios sistemos branduolį ir procesus, gali-
ma analizuoti informaciją, prieinamą per pseudofailinę sistemą, esančią /proc katalo-
ge. Konkreti katalogo struktūra ir jame esantys failai priklauso nuo „Unix“ versijos ar
„Linux“ operacinei sistemai, bet principiniai dalykai yra bendri. Šiame kataloge saugo-
mi failai, kurie teikia informaciją apie visus atmintyje esančius procesus. Pavyzdžiui,
failas /proc/kcore yra tiesiogiai susijęs su visa fizine atmintimi (panašiai kaip /dev/
mem). Šio failo dydis atitinka kompiuterio operatyviosios atminties dydį su nedideliu
pertekliumi. Analizuojant /proc katalogo failus, galima rasti informacijos apie kom-
piuterio aparatūrinę dalį: procesorių (/proc/cpuinfo), atmintį (/proc/meminfo), failų
sistemas (/proc/filesystems), branduolio modulius (/proc/modules), sistemos būseną
(/proc/stat) ir t. t. Kiekvieną paleistą procesą šiame kataloge atitinka antrinis katalogas,
kurio pavadinimas sutampa su proceso ID. Visų failų turinį galima peržiūrėti naudojant
komandą cat, o panaudojus komandą hexdump galima išvedamą informaciją pateikti
ir šešioliktainėje sistemoje. Pavyzdžiui:
dd if=/proc/filesystems | hexdump -C | less Sukurtų failų sistemų peržiūra
dd if=/proc/meminfo | hexdump -C | less Atminties būsena
dd if=/proc/interrupts | hexdump -C | less Pertraukčių lentelė
dd if=/proc/kallsyms | hexdump -C | less Branduolio išeksportuotų
simbolių apibrėžimai
64
Šis įrankis yra programų paketo „Sysinternals Suite“ (www.sysinternals.com arba tech-
net.microsoft.com) dalis, kuriuo galima spręsti problemas, susijusias su operatyviąja
atmintimi, procesais, diskais ir tinklų sprendimu. Programų paketo autorius – Mark
Russinovich, sukūręs beveik 70 skirtingų įrankių, kurių dalis gali būti naudojami tiek
kasdieniame sistemų administratoriaus darbe, tiek elektroninių nusikaltimų tyrėjo.
Įrankiai gali būti paleidžiami ne tik juos parsisiuntus į lokalųjį kompiuterį, bet ir tie-
siai iš svetainės http://live.sysinternals.com, taip išvengiant informacijos modifikavimo
kompiuterio diske. Paleidus „LiveKD“ įrankį, atminties atvaizdas sukuriamas pasinau-
dojus komanda
dump –f c:\tmp\memory.dmp
65
bus perkrautas kompiuteris ir sukurtas atminties atvaizdo failas. „Windows“ operacinės
sistemos aktyvių procesų analizei galima naudoti „Sysinternals“ paketo įrankį auto-
runs.exe. Juo galima matyti ir proceso metaduomenis, pavyzdžiui, kūrėją, analizuoti
procesų medį, operacinės sistemos startavimo metu paleidžiamų procesų sąrašą ir kitą
naudingą informaciją (8.3 pav.).
67
Šiame faile teoriškai galėtų būti saugomi duomenys, kurie buvo atmintyje prieš
išjungiant kompiuterį. Čia gali būti tokia informacija kaip nekoduoti slaptažodžiai, rak-
tai, susirašinėjimo žinutės ir t. t. Tačiau sudėtingiausia vieta atliekant tyrimą – perskai-
tyti šio failo turinį. Vienas iš variantų – naudoti įrankį strings.exe iš jau minėto paketo
„Systinternals“. Nors šis įrankis ir nufiltruoja binarinius kodus, tačiau pateikiamas teks-
tas yra nestruktūrizuotas ir sunkiai analizuojamas. Kitas pagefile.sys failo analizės bū-
das – tai iš anksto žinomos eilutės paieška, pavyzdžiui, ieškomas URL prefiksas http://
arba www. Apibendrinant galima teigti, kad nėra vienos taisyklės, kaip ieškoti įkalčių
pagefile.sys faile. Kiekvienas paieškos atvejis turi būti analizuojamas individualiai.
Dar vienas būdas, kaip išsaugoti operatyviosios atminties atvaizdą faile, tai „už-
migdyti“ kompiuterį (angl. hibernate). Prieš „užmiegant“, operatyviosios atminties
turinys kopijuojamas į hiberfil.sys failą. Kompiuteriui „prisikeliant“, skaitoma infor-
macija iš minėto failo ir atstatoma sistemos būsena, buvusi prieš „užmiegant“. Norint
perskaityti hiberfil.sys failą galima naudoti kompanijos „Sandman“ komercinį paketą
„Windows Memory Toolkit“ (www.moonsols.com/windows-memory-toolkit). Šiuo
paketu taip pat galima analizuoti „Windows“ griūties išklojos (angl. crash dump) failus
bei VMware atminties būsenos kopijas (angl. snapshot).
68
Ekrane matoma komandos išvedama informacija su atmintyje paleistais procesais:
Searching for processes in memory dump --100%
Enumerating process structures.
Sorting processes by PID
Checking for processes hidden by detachment from process
link-list or processes no longer active
Searching for all threads.
MemParser v1.3 Chris Betz, (c) 2005
Process List:
Proc# PPID PID InProcList Name: Threads:
0 0 0 Yes Idle
1 5 8 Yes System
2 9 120 Yes Evil_Notepad.EXE
3 110 134 Yes CSRSS.EXE
69
8.6 pav. „Encase Forensic“ programos langas
70
8.7 pav. „ProDiscover Forensics“ programos langas
8.7 pav. „ProDiscover Forensics“ programos langas
„Unix“ operacinėse sistemose disko atvaizdą galima suformuoti naudojant komandą dd. Ji jau
„Unix“ operacinėse sistemose disko atvaizdą galima suformuoti naudojant ko-
buvo minėta ankstesniame skyriuje. Pateiksime pavyzdį, kaip padaryti kietojo disko atvaizdą „Linux“
mandą dd. Jisistemoje.
operacinėje jau buvoTarkime,
minėta kadankstesniame
LVM („Logicalskyriuje.
VolumePateiksime
Managment“)pavyzdį, kaip padaryti
nenaudojamas. Darbui
reikalingas išorinis diskas ar kita laikmena, kurioje bus išsaugotas atvaizdas
kietojo disko atvaizdą „Linux“ operacinėje sistemoje. Tarkime, kad LVM („Logical bei kompaktinė plokštelė
su „Linux“ operacine sistema. Paprastai tokios plokštelės vadinamos „Linux LiveCD“, o jų sąrašas
Volume Managment“)
pateiktas nenaudojamas.
www.livecdlist.com. Galima naudotiDarbui reikalingas
praktiškai bet kurią išorinis diskaskad
versiją, svarbu, ar kita
joje laikme-
veiktų
na,komandos
kurioje gzip,
bus dd
išsaugotas
ir swapoff. atvaizdas bei kompaktinė
Taigi, užkrauname kompiuterį iš plokštelė
kompaktinėssu „Linux“
plokštelės, operacine
prijungiame Comment [P24]: Ar ši
laikmena tikrai montuojama
išorinę laikmeną,
sistema. Paprastaikurioje
tokiosbusplokštelės
saugomas vadinamos
atvaizdas, kataloge /mnt,
„Linux išjungiameo virtualios
LiveCD“, jų sąrašas atminties
pateik- kompiuterio? Gal tiktų žodi
sektorių ir kuriame atvaizdą. Šiuos žingsnius atitinka tokios komandos: prijungiame?
tas www.livecdlist.com. Galima naudoti praktiškai bet kurią versiją, svarbu, kad joje Comment [n25]: Tai yr
veiktų swapoff -agzip, dd ir swapoff. Taigi, užkrauname kompiuterį iš kompaktinės
sudo komandos angliško žodžio “mount” ve
kuris reiškia ne fizinį, o log
sudo dd if=/dev/hda | gzip > /mnt/hdd_image.dd.gz
plokštelės, prijungiame išorinę laikmeną, kurioje bus saugomas atvaizdas, kataloge / pajungimą. Sutinku naudoti
prijungiame.
mnt, išjungiame
Atvaizdui atstatyti virtualios atminties
į kitą diską vykdomos sektorių
tokios ir kuriame atvaizdą. Šiuos žingsnius ati-
komandos:
tinka tokios
sudo komandos:
swapoff -a
sudo gzip -dc /mnt/hdd_image.dd.gz | dd of=/dev/hda
sudo swapoff -a
sudo dd if=/dev/hda | gzip > /mnt/hdd_image.dd.gz
71
„Windows“ operacinės sistemos įrankiai
72
8.8 pav.
8.8 pav. FTK paketo „Imager“ FTK paketo
programos „Imager“ programos langas
langas
Toliau
Toliau panagrinėsime
panagrinėsime tipinius
tipinius atvejus,
atvejus, į kuriuos
į kuriuos reikiareikia atkreipti
atkreipti dėmesįdėmesį atliekant
atliekant tyrimą su
„Windows“
tyrimą suoperacine
„Windows“sistema. Parodysime,
operacine sistema. kokiais įrankiais
Parodysime, galima
kokiais surinkti
įrankiais įkalčius
galima tokiose
surinkti
situacijose.
įkalčius tokiose situacijose.
NorintNorint sužinoti
sužinoti naudotojo
naudotojo veiksmų
veiksmų istoriją,
istoriją, informacijos
informacijos reikiareikia ieškoti
ieškoti įvykių
įvykių žurnale.
žurnale.kad
Numatyta, Numatyta,
„Windows kad XP/2003“
„Windows įvykių
XP/2003“ įvykių registracijos
registracijos žurnalo failaižurnalo failai sau-
saugomi kataloge Commen
terminą “p
c:\windows\system32\config. Ten rasime tris pagrindinius
gomi kataloge c:\windows\system32\config. žurnalinius
Ten rasime AppEvent.evt,
failus, t. y.žurnalinius
tris pagrindinius nusistovėj
SecEvent.evt, SysEvent.evt.
failus, t. y. AppEvent.evt, SecEvent.evt, SysEvent.evt. Tačiau naujesnėse „Windows“ pvz.,
Tačiau naujesnėse „Windows“ versijose „Microsoft“ programos, Commen
„Microsoft Office 2007“ ir „Internet Explorer 7/8“, susikuria papildomus žurnalinius failus dviem žod
versijose „Microsoft“ programos, pvz., „Microsoft Office 2007“ ir „Internet Explorer
Osession.evt ir Internet.evt. Taip pat reikia nepamiršti, kad savo atskirus žurnalus veda tokios
7/8“, susikuria
programos kaip DNSpapildomus žurnalinius
serveris, domeno failus Osession.evt
kontroleris. Įvykių žurnalus ir Internet.evt.
galima peržiūrėtiTaipnaudojant
pat
reikia nepamiršti,
„Microsoft Managementkad savo atskirus
Console Event“ žurnalus veda tokios
įskiepį „Viewer“ programos
arba išsikviestikaip
iš DNS serveris,
komandinės eilutės
domeno kontroleris. Įvykių žurnalus
c:\windows\system32\eventvwr.exe. galima
Kiekvienas peržiūrėti
įvykis turi savonaudojant
EventID,„Microsoft Manage-
pagal kurį galima sužinoti
problemos priežastisEvent“
ment Console ir trumpą aprašymą.
įskiepį „Viewer“Tam arbapatogu naudotis
išsikviesti nemokama eilutės
iš komandinės „Microsoft“
c:\win-įvykių
duomenų baze (www.eventid.net).
dows\system32\eventvwr.exe. Kiekvienas įvykis turi savo EventID, pagal kurį gali-
ma sužinoti problemos priežastis ir trumpą aprašymą. Tam patogu naudotis nemokama
Ryšio„Microsoft“
failai įvykių duomenų baze (www.eventid.net).
Ryšio failai yra nuorodos į kitą failą ar katalogą. Ryšio failo pavadinime naudojamas plėtinys
.lnk. Naudotojas juos kuria, norėdamas greitai patekti į katalogą ar atidaryti failą, kurį jis dažnai
naudoja arba jam jis yra svarbus. Todėl ryšio failai gali būti naudingi ir nurodyti tyrėjui įkalčių
68
73
Ryšio failai
Ryšio failai yra nuorodos į kitą failą ar katalogą. Ryšio failo pavadinime nau-
dojamas plėtinys .lnk. Naudotojas juos kuria, norėdamas greitai patekti į katalogą ar
atidaryti failą, kurį jis dažnai naudoja arba jam jis yra svarbus. Todėl ryšio failai gali
būti naudingi ir nurodyti tyrėjui įkalčių paieškos vietą. Ryšio faile taip pat išsaugomos
laiko žymės (data ir laikas), kada tikrasis failas buvo sukurtas, paskutinį kartą atida-
rytas ar modifikuotas. Ryšio failus peržiūrėti galima su nemokamu įrankiu „Windows
File Analyzer“ (http://www.mitec.cz/wfa.html).
„Windows“ operacinių sistemų failai turi tris laiko ir datos žymes: sukūrimo,
paskutinio modifikavimo (perrašymo) ir paskutinio atidarymo (naudojimo). NTFS ir
FAT failinėse sistemose esančių failų laiko ir datos žymės skiriasi. Failo metaduome-
nyse minėtos žymės yra išsaugomos skirtingose vietose, NTFS laiko ir datos žymės
saugomos UTC pavidalu, o FAT – lokalios laiko juostos pavidalu. Dar vienas skirtumas
– NTFS laikas matuojamas 100 nanosekundžių periodu nuo 1601-01-01, o FAT faili-
nėje sistemoje laiko periodas yra 10 milisekundžių ir skaičiuojamas nuo 1980-01-01.
Failo įrašymo laikas FAT sistemoje skaičiuojamas kas 2 sekundes, o failo paskutinio
atidarymo laikas skaičiuojamas dienomis. Be to, reikia žinoti, kad pakeitus registro
įrašo HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSys-
tem\NtfsDisablelastAccessUptime reikšmę į 1, „Windows XP“ nebekeis paskutinio
prieigos laiko ir datos reikšmių. Toks yra numatytasis „Windows Vista“ nustatymas.
Programų instaliavimas
74
numatyta, kad jos saugomos kataloge c:\Program Files. Kitos vietos, kuriose gali būti
instaliuojama programa, yra šios:
c:\Documents and Settings\<user folder>\Application Data (Windows XP)
c:\Documents and Settings\<user folder>\Local Settings\Application Data
(Windows XP)
c:\Users\<user folder>\AppData (Windows Vista and 7)
c:\ProgramData (Windows Vista and 7)
Skyriaus pradžioje jau buvo minėta komanda dd, kuri naudojama tiek kietojo
disko, tiek ir operatyviosios atminties atvaizdams sukurti. Ši komanda tapo standartu
de facto darant kopijas „Unix“ operacinėse sistemose. Ši komanda naudojama speci-
alizuotuose įrankiuose, tokiuose kaip dcfldd ir ddrescue. dcfldd suteikia papildomų
galimybių, tokių kaip siunčiamų duomenų kodavimas realiu laiku, disko valymas pagal
tyrėjo nurodytą šabloną ir t. t. (žr. ankstesnį skyrių), o naudojant ddrescue galima kurti
kietojo disko atvaizdą, kuriame sugadinta failų struktūra ar yra fizinių klaidų.
Jei kopijuojant pasitaiko skaitymo klaidų, bandoma iš karto jas taisyti. Šis įran-
kis sukurtas kaip GNU projekto dalis, todėl naudojamas nemokamai. Žemiau pateiktas
ddrescue pavyzdys, kuriame raktas max-retries nurodo, kad bus 3 kartus bandoma
nuskaityti klaidingą įrašą:
ddrescue --direct --max-retries=3 /dev/sda /home/forensics/disk.image/
logfile.txt
75
Failų ir failų sistemų analizė
Atliekant tyrimus su „Unix“ failų sistema reikia atkreipti dėmesį į failų laiko
ir datos žymes. „Unix“ operacinės sistemos naudojama iki 4 laiko žymių, t. y. modi-
fikavimo, pakeitimo, prieigos ir ištrynimo žymės. Laiko ir datos žymė saugoma failo
metaduomenyse. Tam naudojamas 32 bitų laukas, kuriame fiksuojamas laikas sekundė-
mis, prabėgusiomis nuo 1970 m. sausio 1 d. vidurnakčio. Laikas saugomas UTC laiko
juostoje, todėl norint sužinoti tikrąjį laiką reikia žinoti, kokia laiko juosta nustatyta
kompiuteryje. Laiko juostos nustatymai apibrėžti faile /etc/localtime.
Atliekant failų analizę reikia atkreipti dėmesį ir į failų teises, nes pagal teisių
priskyrimą vartotojui galima nustatyti, ar jis galėjo atlikti tam tikrus veiksmus: modifi-
kuoti ar ištrinti failą, užmontuoti failų sistemą ir t. t. Kokios failų sistemos ir kokiuose
kataloguose užmontuojamos, galima sužinoti perskaičius failą /etc/fstab. Ši informa-
cija yra svarbi, nes užmontuojant failų sistemas iš nutolusių serverių dalis duomenų
saugomi ne lokaliame diske, o tai reiškia, jog būtina pasidaryti ir nutolusių duomenų
kopijas.
Norint atstatyti ištrintus failus, geriausia patikrinti ištrintų failų metaduomenis
(angl. inode) metaduomenų lentelėje. Nors metaduomenyse nesaugomi failų pavadi-
nimai, tačiau lieka tokia informacija kaip datos, teisės, failo vieta. Mažesnių failų me-
taduomenyse yra saugomi netgi atskiri duomenų blokai. Ištrintiems failams atstatyti
galima naudoti „The Sleuth Kit“ (TSK), www.sleuthkit.org rinkinio fls komandą:
fls -f linux-ext2 -r -p -d ext2-atstatytas.dd
r/- * 0: file2.jpg
r/- * 0: handle.pdf
r/- * 0: .file3.txt
Kaip matyti, atstatant failus neatkuriamos laiko ir datos žymės, nes neaišku, su
kokio failo metaduomenimis jie susiję. Naudojant kitą to paties paketo komandą ils,
galima detaliau analizuoti susijusius metaduomenis:
ils -f linux-ext2 ext2-atstatytas.dd
Gautuose rezultatuose galima surasti ryšius tarp metaduomenų ir failų bei tokiu
būdu atstatyti duomenis.
Norint sužinoti, kokie failai ar tinklo prievadai sistemoje yra atidaryti, verta nau-
doti įrankį lsof. Šis įrankis taip pat padeda identifikuoti ryšį tarp proceso ir prievado.
lsof įrankis yra įtrauktas į daugelį „Linux“ distribucijų, todėl jo nereikia atskirai insta-
liuoti. Komandos naudojimo pavyzdys, kurią įvykdžius sužinomi visi atvirieji interneto
lizdai:
lsof −i +M
76
„Unix“ įvykių registracijos žurnalas
Norint vartotojų įvykių žurnalą skaityti per grafinę sąsają, galima pasinaudoti
jau minėtu „EnCase“ įrankiu.
Sisteminiams įvykiams registruoti „Unix“ operacinėse sistemose naudojamas
žurnalas syslog. Čia saugoma informacija apie kritinius ir paprastuosius įvykius, at-
sirandančius veikiant sisteminiams ir taikomiesiems procesams. Įvykių įrašą sudaro
du laukai: proceso pavadinimas ir įvykio sunkumo lygis. Numatyta, kad „Linux“ ope-
racinėse sistemose įvykių žurnalas saugomas faile /var/log/messages, nors kai kurie
procesai, pvz., „Apache“, gali turėti ir savo atskirus žurnalo katalogus, pvz., /var/log/
httpd. Žurnalas gali būti saugomas ne tik lokaliajame diske, bet ir siunčiamas į nutolusį
kompiuterį, pvz., duomenų centro konsoliduotą įvykių žurnalų serverį. Įvykių registra-
vimo žurnalo nustatymai atliekami faile /etc/syslog.conf (pavadinimas gali keistis pri-
klausomai nuo „Linux“ versijos). Žurnalo failas yra tekstinis, todėl failo analizę galima
atlikti grep, tail, more ir kitomis „Unix“ komandomis. Pavyzdžiui:
tail -f /var/log/messages
arba
grep string /var/log/messages | more
77
„Wireshark“ – tai vienas iš žinomiausių, atvirojo kodo paketų, skirtų tinklo
protokolų analizei (www.wireshark.org). Juo galima perimti ir interaktyviai analizuoti
tinklo srautą, analizuoti TPC/IP ir Ethernet paketus (8.9 pav.). „Wireshark“ turi grafinę
sąsają ir gali būti instaliuojamas tiek „Windows“, tiek „Unix“ operacinėse sistemose.
Paketas turi integruotas rūšiavimo ir filtravimo galimybes. Tinklo analizė vykdoma
per nurodytas tinklo sąsajas, įskaitant ir bevielio tinklo arba iš failo. „Wireshark“ – tai
tarptautinis savanorių projektas, vykdomas nuo 1998 m. ir tinklo protokolų analizatorių
laikomas kaip standard de facto. Žemiau pateikiamos pagrindinės „Wireshark“ paketo
savybės:
▬▬ Įvairių tinklo tipų palaikymas, įskaitant Ethernet, IEEE 802.11, PPP, „loopback“.
USB srauto skaitymas.
▬▬ Įvairių protokolų palaikymas, todėl galima analizuoti inkapsuliuotus duomenis
skirtingų protokolų atžvilgiu.
▬▬ „VoIP“ palaikymas. Jei garsas koduojamas vienu iš paketo palaikomų kodavimo
technologijų, galimas pokalbio klausymas.
▬▬ Skaitymas ir (arba) rašymas skirtingais failų formatais: „tcpdump“ („libpcap“),
„Pcap NG“, „Catapult DCT2000“, „Cisco Secure IDS iplog“, „Microsoft Ne-
twork Monitor“, „Network General Sniffer“, „Sniffer Pro“, „NetXray“, „Net-
work Instruments Observer“, „NetScreen snoop“, „Novell LANalyzer“, „RAD-
COM WAN/LAN Analyzer“, „Shomiti/Finisar Surveyor“, „Tektronix K12xx“,
„Visual Networks Visual UpTime“, „WildPackets EtherPeek/TokenPeek/Airo-
Peek“ ir kitais.
▬▬ Įvairių protokolų dešifravimas, įskaitant „Ipsec“, ISAKMP, „Kerberos“, SNM-
Pv3, SSL/TLS, WEP, WPA/WPA2.
▬▬ Rezultatų eksportas XML, „PostScript“, CSV formatais.
„Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libpcap biblioteką.
Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui perimti ir ekrane pavaizduoti
TCP/IP ir kitų tinklo paketų (ICMP ir UDP) 78 turinį. Šis paketas gali būti naudojamas ir kaip tinklo
infrastruktūros analizatorius, kuris nustato, ar visi reikalingi maršrutai veikia teisingai, ir esant reikalui
leidžia izoliuoti problemą. „Tcpdump“ gali pateikti nešifruotus paketuose esančius duomenis,
pavyzdžiui, prisijungimo vardus, slaptažodžius ir t. t. Paketams filtruoti vartotojas gali naudoti
„Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libp-
cap biblioteką. Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui
perimti ir ekrane pavaizduoti TCP/IP ir kitų tinklo paketų (ICMP ir UDP) turinį. Šis
paketas gali būti naudojamas ir kaip tinklo infrastruktūros analizatorius, kuris nustato,
ar visi reikalingi maršrutai veikia teisingai, ir esant reikalui leidžia izoliuoti problemą.
„Tcpdump“ gali pateikti nešifruotus paketuose esančius duomenis, pavyzdžiui, prisi-
jungimo vardus, slaptažodžius ir t. t. Paketams filtruoti vartotojas gali naudoti „Ber-
keley Packet Filter“ tipo filtrus, leidžiančius parodyti tik reikalingą informaciją. „Tcp-
dump“ veikia „Unix“ operacinėse sistemose. Šio analizatoriaus įvykių žurnalo analizei
naudojamas kitas atvirojo kodo įrankis tcptrace. Komandos pavyzdys, kai surenkami
ir išvedami visi IP paketai, siunčiami tarp kompiuterių pavadinimais pirmas ir antras:
tcpdump ip host pirmas and antras
Tinklo stebėjimas – tai vienas iš elektroninių nusikaltimų tyrimo metodų. Jis api-
brėžiamas kaip gebėjimas kaupti ir analizuoti duomenis apie tinklo srautus. Egzistuoja
du pagrindiniai stebėjimo principai: aktyvusis ir pasyvusis. Aktyvieji metodai dažniau-
siai naudojami kokybinėms tinklo charakteristikoms nustatyti, pavyzdžiui, vėlinimui,
pralaidumui, anomalijoms aptikti. Tačiau matavimo metu siunčiami šalutiniai duome-
nys patys trikdo normalų tinklo darbą ir gali būti anomalijų priežastimi. Šio metodo
privalumas tas, kad nereikalinga specializuota techninė įranga, o programinė įranga yra
nesudėtinga. Pasyvieji metodai tinklo srautų stebėjimui naudoja specializuotą techni-
nę įrangą. Tokią funkciją gali atlikti srautus persiunčiantis maršrutizatorius arba prie
tinklo prijungtas klausymosi įrenginys, perduodamus srautus nukreipiantis į stebėjimo
stotį. Panagrinėkime keletą aktyviųjų tinklo stebėjimo įrankių.
„Nmap“ (Network Mapper) – tai atvirojo kodo įrankis (www.nmap.org), skirtas
kompiuterio saugumui patikrinti, identifikuojant tinklo sujungimus, atviruosius prie-
vadus. Naudojant „Nmap“ galima atlikti tinklo įrenginių inventorizaciją ir auditavimą
skenuojant tinklą. „Nman“ siunčia specialius paketus į tiriamą įrenginį ir analizuoja at-
saką. Siunčiant paketus yra įvertinamos tinklo charakteristikos, tokios taip uždelsimas,
fluktuacijos, tinklo apkrovimas. Įrankiu nustatoma analizuojamo kompiuterio opera-
cinė sistema, veikiantys servisai, ar yra ugniasienė. „Nmap“ veikia tiek „Windows“,
tiek ir „Unix“ operacinėse sistemose. Įrankis turi grafinę sąsają, vadinamą „Zenmap“.
„Nmap“ įrankio skenavimo rezultatai gali būti išsaugoti 4 skirtingais formatais teksti-
niame faile, kurį galima analizuoti awk, sed, grep ir kitais įrankiais.
„Netcat“ – tai dar vienas atvirojo kodo įrankis (nc110.sourceforge.net), skir-
tas sukurti TCP arba UDP sujungimą tarp dviejų įrenginių, siekiant skaityti ir (arba)
rašyti duomenis. Sujungimai gali būti padaromi tarp bet kurių prievadų lokalioje ir
nutolusioje mašinoje. Šis įrankis gali būti naudojamas kaip priemonė sudaryti patikimą
79
sujungimą tarp dviejų kompiuterių, kuriuo gali naudotis kitos programos ar servisai.
Šiuo įrankiu galima atlikti ir prievadų skenavimą, suformuoti siunčiamos informacijos
atvaizdą (angl. hex dump).
„Windows“ operacinėje sistemoje tinklo srautų analizei galima naudoti „Win-
dows Support Tools“ rinkinio įrankius (technet.microsoft.com). Daugeliu šių įrankių
galima atlikti tinklo diagnostiką, monitoringą ir analizę. Komandiniu režimu veikiantis
įrankis, kuriuo galima stebėti tinklo paketus ir įrašyti juos į žurnalo failą, yra netcap.
exe. Šis įrankis perima tinklo paketus tiesiai iš tinklo srauto ir nukreipia jį analizei.
Kiekvienas perimtas paketas turi tokią informaciją: siuntėjo, gavėjo adresus, protokolo
pavadinimą, klaidų tikrinimo žymę ir kitus duomenis. Pavyzdys, kuriame kompiuterio
tinklo prievadai stebimi 3 minutes ir visa informacija surašoma į c:\temp katalogą.
netcap /c:c:/ temp /l:00:03:00
Tinklo aktyviam stebėjimui taip pat tinka ir gerai žinomi įrankiai: ping, trace-
route, iperf, netperf ir kiti.
Dalis informacijos, siejamos su tinkliniais ryšiais, saugoma kompiuterio ope-
ratyviojoje atmintyje, pavyzdžiui, tinklinės sesijos, aktyvūs susijungimai, dinaminiai
IP adresai, kaukės, DNS adresai, ARP lentelė, maršrutizavimo lentelė ir kita informa-
cija, kuri dingsta išjungus arba perkraunant kompiuterį. Todėl, atliekant nusikaltimo
tyrimą, reikia būtinai išsaugoti šią veikiančios sistemos informaciją. Tai galima atlikti
komandomis: netstat (veikia „Windows“ ir „Unix“ operacinėse sistemose) ir nbtstat
(„Windows OS“), kurios parodo TCP/IP (NetBIOS) protokolo statistiką ir aktyvius tin-
klinius susijungimus. Naudojant arp komandą, galima sužinoti, kokie IP adresai yra
arp lentelės buferyje. Iš komandų ipconfig („Windows OS“) ar ifconfig („Unix OS“)
sužinosite tinklo sąsajų konfigūraciją ir būsenas. Pageidautina šias komandas leisti iš
atskiro kompaktinio disko ar kitos išorinės laikmenos tam, kad nereikėtų paleisti jokios
papildomos bibliotekos ar programos iš inspektuojamo kompiuterio kietojo disko ir
nebūtų pakeičiama jokia informacija arba duomenys.
Tinklo maršrutizatorių žurnalas „NetFlow“. Tinklo maršrutizatorių žurnalai
dažnai suteikia neįkainuojamos informacijos atliekant nusikaltimo tyrimą. Didieji tin-
klo įrangos gamintojai „Cisco“, „Juniper“, „Extreme Networks“ pildo įvykių žurnalus
naudodami duomenų struktūrą, vadinamą „NetFlow“. Žurnalų analizė priskiriama prie
pasyviųjų tinklo stebėjimo priemonių, nes ji nekeičia tinklo parametrų bei neįveda jo-
kių papildomų stebėjimo komponentų. „NetFlow“ srautas – tai vienkrypčių iš siuntėjo
gavėjui siunčiamų paketų aibė. Srautą identifikuoja raktiniai paketo laukai: siuntėjo ir
gavėjo IP adresai, siuntėjo ir gavėjo prievado numeriai, paketų skaičius sraute, prii-
mančios sąsajos SNMP indeksas. Iš viso pakete yra 20 laukų. „NetFlow“ srautas suku-
riamas, kai maršrutizatorius aptinka pirmąjį paketą. Tie paketai, kurių raktiniai laukai
sutampa, bus priskirti tam pačiam srautui. Jei nesutampa nors vienas raktinis laukas,
paketas priskiriamas naujam srautui. Maksimali „NetFlow“ įrašo trukmė – 30 minučių.
Jei ši riba viršijama, kuriamas naujas įrašas. Analizuojant „NetFlow“ žurnalo įrašus,
galima nustatyti nusikaltėlio kompiuterio IP adresą, protokolą ir tinklo prievadą, per
80
kurį nusikaltėlis įsibrovė, datą ir laiką, kada buvo įvykdytas nusikaltimas, bei persiųstą
duomenų kiekį.
„NetFlow“ žurnalo analizei reikia naudoti specializuotus įrankius, nes paprastai
žurnale saugomi didžiuliai įrašų kiekiai, kuriuos analizuoti be specialių įrankių sudėtin-
ga. Šiuo metu rinkoje yra nemažai tiek komercinių, tiek ir atvirojo kodo įrankių, skirtų
„NetFlow“ analizei. Štai keletas iš jų: „NfSen“ (http://nfsen.sourceforge.net), „Flow
tools“ (www.splintered.net/sw/flow-tools), „SiLK“ (tools.netsa.cert.org/silk), „Orion
NetFlow Traffic Analyzer“ (NTA) (www.solarwinds.com/products/orion/nta). Plačiau
aptarsime „NfSen“ įrankį.
„Nfsen“ – tai atvirojo kodo paketas, skirtas „NetFlows“ paketams analizuoti,
filtruoti, statistiniams rodikliams skaičiuoti. Paketas yra parašytas kaip grafinė sąsaja
įrankiui nfdump. Papildomai ji apdoroja duomenis užsibrėžtu laiko intervalu, kaupia
istorinius duomenis, pagal nurodytas sąlygas siunčia perspėjimus, leidžia programuoti
ir įdiegti įskiepius.
Kontroliniai klausimai
81
Praktiniai darbai
82
9.
SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS
Failai ar kiti duomenų objektai, potencialiai turintys svarbios informacijos NEE
tyrimui, gali būti sunaikinti atsitiktinai (netyčinis klavišų paspaudimas, netinkamas
programinės ar aparatinės įrangos funkcionavimas), tyčia (naikinant nusikaltimo pėd-
sakus), kaip standartinio operacinės sistemos ar programinės įrangos veikimo pasekmė
(trinant laikinus failus) arba kaip nusikaltimo pasekmė (kai nusikaltimo tikslas buvo
duomenų sunaikinimas, KPK veikimo pasekmė ir t. t.). Gali skirtis ir duomenų prara-
dimo lygis (nuo kelių įrašų faile iki ištiso skaidinio kietajame diske), ir tokių duomenų
atstatymo sudėtingumas.
Sunaikintų įkalčių atstatymas gali turėti lemiamos įtakos NEE tyrimo sėkmei,
kadangi juose galima tikėtis rasti duomenų, kurie buvo pašalinti iš failų, matomų įpras-
tinėmis OS priemonėmis, arba niekad neegzistavusių tokiu pavidalu. Iš esmės sunai-
kintų įkalčių atstatymas nesiskiria nuo įprasto duomenų atstatymo, kai sunaikinti duo-
menys atstatomi dėl kitų priežasčių (neatsargūs vartotojų veiksmai), o pats procesas
susiveda į specializuotų įrankių taikymą. Šiame skyriuje trumpai aprašomi duomenų
naikinimo būdai, siekiant suteikti žinių apie jų veikimo bei duomenų atstatymo mecha-
nizmus. Taip pat pateikiami įvairių duomenų atstatymo įrankių sąrašai.
83
kaip savotiškas DOS operacinės šeimos reliktas, kurioje tai buvo pagrindinis failų try-
nimo būdas, taip pat kaip galimybė automatizuoti administracinius veiksmus *.BAT
tipo skriptų priemonėmis. Komandos nesuteikia administratoriui galimybių daugiau
nei grafinė vartotojo aplinka.
9.2 pav. Kontekstinis failų trynimo meniu „Windows“ šeimos operacinėje sistemoje
9.2 Kontekstinis
pav. Kontekstinis
9.2Trinant
pav. failų trynimo meniu „Windows“ šeimos operacinėje
sistemoje sistemoje
failus perfailų trynimo
kontekstinį meniu „Windows“
meniu, ištrintas šeimos
failas operacinėje
patenka „Windows“ OS į šiukšliadėžę
(angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadinimai gali skirtis
84 failas patenka „Windows“ OS į šiukšliadėžę
Trinant failus per kontekstinį meniu, ištrintas
(angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadinimai gali skirtis
78
Trinant failus per kontekstinį meniu, ištrintas failas patenka „Windows“ OS į
šiukšliadėžę (angl. Recycle Bin) arba jos analogą „Linux“ operacinėje šeimoje (pavadi-
nimai gali skirtis priklausomai nuo naudojamos grafinės aplinkos), iš kurios, vartotojui
priklausomai nuo naudojamos grafinės aplinkos), iš kurios, vartotojui panorus, gali būti atstatyti (9.3
pav.).panorus, gali būti atstatyti (9.3 pav.).
9.3 Pav.išIštrintų
9.3 pav. Ištrintų failų atstatymas failų atstatymas iš šiukšliadėžės
šiukšliadėžės
Į operacinės
Į operacinės sistemossistemos šiukšliadėžę
šiukšliadėžę taip pattaippatenka
pat patenka
failai, failai, kurie
kurie yra yra pažymimi
pažymimi ir ištrinami
spaudžiant Del klavišą
ir ištrinami spaudžiantklaviatūroje. O failai,
Del klavišą ištrinti naudojant
klaviatūroje. Shiftir naudojant
O failai, ištrinti Del klavišųShiftir
kombinaciją,
Del į
šiukšliadėžę
klavišųnepatenka.
kombinaciją,Taipįpat į ją nepatenka
šiukšliadėžę failai, esantys
nepatenka. Taip trynimo
pat į ją metu išorinėse
nepatenka laikmenose
failai, esantys(USB
raktuose, diskeliuose
trynimo ir t. t.). laikmenose (USB raktuose, diskeliuose ir t. t.).
metu išorinėse
Nepriklausomai nuo čia aprašyto failo trynimo būdo, diske informacija yra modifikuojama tik
failų sistemos Nepriklausomai
lentelėje (FAT, nuo MFT,čia aprašyto
EXT, failo trynimo
„ReiserFS“ būdo,
ir kt.), kur diske informacija
pažymima, kad atitinkama yravieta
mo-diske
difikuojama tik failų sistemos lentelėje (FAT, MFT, EXT, „ReiserFS“
yra neužimta, o failo duomenys lieka fiziškai toje pačioje vietoje, kur ir buvo, kol nėra perrašomiir kt.), kur pa-kitais
žymima, kad atitinkama vieta diske yra neužimta, o failo duomenys lieka
duomenimis, t. y. atsiranda galimybė, naudojant specializuotus įrankius, tuos duomenis atstatyti. fiziškai toje
pačioje vietoje, kur ir buvo, kol nėra perrašomi kitais duomenimis, t. y. atsiranda gali-
mybė, naudojant specializuotus įrankius, tuos duomenis atstatyti.
Failų perkėlimas
Neatstatomas failų trynimas (angl. wipe) skirtas būtent tam atvejui, kai kompiu-
Neatstatomas failų trynimas
terio vartotojas nori būti tikras, kad ištrinti failai nebus atstatyti. Metodas paremtas tuo,
kad atliekantfailų
Neatstatomas trynimą ne tik
trynimas pašalinamas
(angl. įrašas
wipe) skirtas failų
būtent tamlentelėje, bet kompiuterio
atvejui, kai ir į fizinę duomenų
vartotojas
nori būti įrašymo vietą
tikras, kad įrašomi
ištrinti failaiatsitiktiniai duomenys.
nebus atstatyti. Metodas Tiesa, naudojant
paremtas ypatingai
tuo, kad atliekantjautrią
trynimąir bran-
ne tik
pašalinamas įrašas failų galima
gią aparatūrą, lentelėje, bet ir į fizinę
nustatyti duomenų
likutinį įrašymo iš
įmagnetinimą, vietą įrašomi
kurio atsitiktiniai
atstatyti prieš taiduomenys.
įrašytus
Tiesa, naudojant
duomenis. ypatingai
Todėl jautrią ir brangią aparatūrą,
rekomenduojama duomenų galima nustatyti
trynimo likutinįprocesą
ir rašymo įmagnetinimą,
kartotiiškelis
kurio
atstatyti prieš tai įrašytus duomenis. Todėl rekomenduojama duomenų trynimo ir rašymo procesą
kartus, kad neliktų jokių likutinio įmagnetinimo žymių. Rekomenduojamas rašymų ir
kartoti kelis kartus, kad neliktų jokių likutinio įmagnetinimo žymių. Rekomenduojamas rašymų ir
trynimų–skaičius
trynimų skaičius ne mažiau – ne
kaipmažiau
7 kartaikaip
(9.47pav.).
kartai (9.4 pav.).
9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja
9.4 pav. „MiniTool Drive Wipe“ neatstatomo failų trynimo įrankio sąsaja
Disko skaidinių trynimas ar modifikavimas taip pat gali pažeisti saugomus duo-
menis arba apsunkinti prieigą prie jų. Realiai, kaip ir taikant įprastus failų trynimo
metodus, duomenys iš disko nėra prarandami, net jei apie tai vartotojui pateikiami
įspėjamieji pranešimai, o modifikuojami įkrovos sektoriai, perrašomos failų lentelės.
Taip pat nepažeidžiamas fizinio duomenų saugojimas ir formatavimas, atliekamas
operacinės sistemos priemonėmis. Vienintelis programinis disko modifikavimo būdas,
vienareikšmiškai sunaikinantis visus jame esančius duomenis, yra žemo lygio forma-
tavimas (angl. low level format), kuris šiuo metu dažnai kompiuterių vartotojams net
nėra prieinamas.
NEE tyrimo metu sunaikintų įkalčių atstatymas yra gan dažnas uždavinys. Tyrė-
jas, be abejo, gali pasinaudoti operacinių sistemų suteikiamų įrankių duomenų atstaty-
mo galimybėmis, pvz., jau minėta šiukšliadėže arba bandyti ją atstatyti, jei ji sugadinta.
Tačiau operacinių sistemų suteikiamos galimybės yra gan ribotos ir tinka ne-
bent tuo atveju, jei nagrinėjama nepatyrusio arba žioplo nusikaltėlio sistema. Priešingu
atveju gali padėti specializuoti duomenų atstatymo įrankiai. Atsižvelgiant į platų tokių
įrankių spektrą, greitai besikeičiantį jų dizainą ir funkcionalumą bei ribotą vadovėlio
apimtį, autoriai nesiekia pateikti detalaus aprašymo, kaip naudotis kiekvienu iš jų. Tai
rekomenduojama atlikti savarankiškai arba per pratybas. Žemiau pateiktoje 9.1 lente-
lėje įvardijamos pagrindinės duomenų atstatymo įrankių kategorijos ir į jas patenkanti
programinė įranga.
87
9.1 lentelė. Sunaikintų duomenų atstatymo įrankiai
Įrankių kategorija ir jos apibūdinimas Įrankiai
Ištrintų failų atstatymo įrankiai – naudojami, kai • „Undelete“
trinant failą buvo pašalinta tik informacija apie jį • „Active@ Data Recovery Software“
failų lentelėje, o failo duomenys nebuvo perrašyti. • „R-Undelete“
Gali skirtis palaikomų laikmenų ir failinių sistemų • „Easy-Undelete“
atžvilgiu. • „WinUndelete“
• „Restoration“
• „Mycroft V3“
• „Recover My Files“
• „eData Unerase“
• „Recover4all Professional“
• „File Scavenger“
• „VirtualLab“
• „File Recover“
• „Badcopy Pro“
• „Zero Assumption Recovery“
• „SUPERFileRecover“
• „DiskInternals Uneraser and NTFS Recovery“
• „PC Inspector File Inspector“
• „Search and Recover“
• „O&O Unerase“
• „Filesaver“
• „Stellar Phoenix“
• „Restorer 2000“
• „R-Linux“
• „PC ParaChute“
Duomenų atstatymas iš CD / DVD diskų – taikomas, • „CDRoller“
jei atstatomi ištrinti duomenys iš daugkartinių diskų • „IsoBuster“
arba diskai turi įbrėžimų ar kitų pažeidimų. • „CD Data Rescue“
• „InDisk Recovery“
„MS Office“ dokumentų atstatymo įrankiai taikomi, • „OfficeFIX“
kai „MS Office“ priemonėmis sukurti failai yra • „Repair My Excel“
pažeisti. • „Repair My Word“
Suspaustų failų atstatymo įrankiai – dėl duomenų • „Zip Repair“
suspaudimo archyvų failai yra ypač jautrūs • „RAR Repair“
sugadinimui. Gali skirtis palaikomų suspaudimo • „WinZIP fix“
algoritmų skaičiumi. • „Zip2Fix“
Paveikslėlių atstatymas – atstato pažeistus • „eIMAGE Recovery“
paveikslėlius. • „Canon RAW File Recovery Software“
• „ImageRecall“
• „RecoverPlus Pro“
• „Nero Assumption Digital Image Recovery“
• „DiskInternals Flash Recovery“
• „PC Inspector Smart Recovery“
Ištrintų disko skaidinių atstatymas – naudojamas, kai • „Active@ Partition Recovery“
keliamas tikslas – atstatyti visą sugadintą ar ištrintą • „Active@ Disk Image“
disko skaidinį, o ne atskirus failus laikmenoje. • „DiskInternals Partition Recovery“
• „GetDataBack“
• „NTFS Deleted Partition Recovery“
• „Handy Recovery“
• „Acronis Recovery Expert“
• „TestDisk“
• „Scaven“
• „Recover It All!“
• „Partition Table Doctor“
88
Paskutiniu metu populiarėja įvairūs nemokamos programinės įrangos pagrindu
surinkti paketai, paruošti kaip diegimo nereikalaujanti operacinė sistema, paleidžiama
iš optinio disko arba USB rakto. Pelnytą populiarumą užsitarnavo „Hirens Boot CD“
ir „BackTrack“ įrankiai, naudojami dažno sistemų administratoriaus, informacijos sau-
gos specialisto ar NEE tyrėjo. Juose taip pat galima rasti paruoštų darbui ir duomenų
atstatymo įrankių, kurių sąrašas nuolat atnaujinamas.
Reikėtų pabrėžti, kad pateiktas programinės įrangos sąrašas nėra pilnas. Konkre-
taus įrankio pasirinkimas priklauso nuo NEE tyrėjo sprendžiamų uždavinių, naudojimo
patirties, turimo biudžeto ir asmeninių pomėgių. Taip pat, atsižvelgiant į patikimumo
reikalavimą įkalčiams, tyrimo metu dažniausiai negalima apsiriboti vienu įrankiu – ten-
ka taikyti jų kombinacijas bei lyginti gautus rezultatus.
Kontroliniai klausimai
1. Kodėl yra įmanoma atstatyti ištrintą failą, net jei jis pašalintas iš šiukšliadė-
žės, jei jam ištrinti buvo naudojami standartiniai trynimo metodai?
2. Koks yra neatstatomo disko trynimo principas?
3. Kuo gali būti naudinga NEE tyrimo metu perkeltų failų analizė?
Praktiniai darbai
89
10.
ĮKALČIŲ RINKIMAS VIEŠOJOJE ERDVĖJE
Kompiuterio vartotojo, taip pat ir nusikaltėlio veiksmai, retai apsiriboja vien
tik jo asmeninio kompiuterio ribomis. Kompiuterių tinklams ir internetui skverbiantis
į kasdienį gyvenimą, vis plačiau yra išnaudojami nutolusių sistemų (paslaugų serve-
rių, interneto svetainių ir t. t.) resursai. Vykdant tyrimą nutolusiose sistemose palikti
pėdsakai gali turėti lemiamos įtakos tyrimo sėkmei, tačiau dažnai yra už tyrėjo ana-
lizės galimybių ribų (nėra galimybės išimti sistemos analizei; sistema yra kitos šalies
jurisdikcijoje, o teisinės pagalbos sutartis nėra pasirašyta). Įtariamojo palikti įkalčiai
gali būti matomi ir viešai (pvz., įrašai palikti socialinių tinklų svetainėse), ir matomi
tik riboto skaičiaus specialistų bei pateikiami tyrimui pagal užklausą (pvz., interneto
paslaugų tiekėjų sistemose esantys įvykių registracijos įrašai). Jei įtariamasis ėmėsi pa-
kankamų priemonių apsaugai nuo potencialaus tyrimo savo kompiuteryje (pvz., visiško
šifravimo, įkalčių sunaikinimo saugiais metodais), tai tik viešojoje erdvėje likę įkalčiai
gali būti panaudoti kaltei įrodyti.
Šiame skyriuje viešoji erdvė suprantama plačiąja prasme, kaip bet kokios kom-
piuterių sistemos ar duomenys, tiesiogiai nesantys įvykio vietoje ir kurių nėra gali-
mybės išimti formaliam tyrimui. Patogumo dėlei įkalčių rinkimas viešoje erdvėje yra
išskaidytas į dvi kategorijas: paiešką interneto svetainėse ir paiešką kitose įtariamajam
neprieinamose sistemose. Be abejo, dėl ne visai formalių tokio tipo įkalčių gavimo
būdų atsiranda daugybė niuansų, susijusių su įkalčių pripažinimu teismo proceso metu,
o pagrindiniu uždaviniu juos renkant tampa visų įkalčių rinkimo žingsnių dokumenta-
cija ir susiejimas su laiko žymėmis. Pavyzdžiui, jei daroma interneto tinklapio, kuriame
yra įtariamąjį demaskuojantys komentarai, kopija ir (arba) nuotrauka, tai būtinai turi
būti nurodoma, kokiu laiku buvo fiksuojama svetainės būsena, kadangi interneto sve-
tainės pasižymi dinamika ir po kurio laiko ji gali atrodyti visai kitaip.
90
Kita vertus, internete esančios informacijos analizė leidžia tyrėjui surinkti per
trumpą laiką labai daug naudingos informacijos, tokios kaip įtariamojo nuotrauka,
draugų ratas, kontaktai, paskutinių apsilankymų tinkle datos, pažiūros ir pasakymai,
pomėgiai ir interesai. Didelė dalis nusikaltėlių, neturinčių specifinių kompiuterijos ži-
nių , net nesusimąsto, kiek daug naudingos informacijos jie patys pateikia tyrėjams.
10.1 lentelėje pateikiami skirtingi viešai prieinami resursai, kuriuose galima ras-
ti vienokių ar kitokių tyrimui naudingų duomenų.
91
Kaip matyti lentelėje, daugiausia informacijos tyrėjui gali suteikti socialiniuose
tinkluose esanti informacija. Taip pat reikia pabrėžti, kad galimi įkalčių panaudojimai
tyrimo procese neapsiriboja įvardytais lentelėje. Kiekvienu konkrečiu atveju surinkta
informacija gali būti panaudota priklausomai nuo tyrėjo kvalifikacijos ir sprendžiamo
uždavinio.
Kita viešojoje erdvėje skleidžiamos asmeninės informacijos pusė yra ta, kad ja
neteisėtai arba ne visai korektiškai gali pasinaudoti nusikaltėliai arba tretieji asmenys.
Taip pat ir dalis darbdavių pripažįsta, jog tikrina kandidatų į darbą asmenines svetaines
ir puslapius socialiniuose tinkluose, o nusikaltėliai gali panaudoti viešai prieinamus
duomenis žmogaus identiteto vagystei (pvz., sužinoti asmens duomenis ir jo vardu pa-
imti kreditą) arba įsilaužimui į asmens valdomas sistemas (pvz., dalis sistemų, tokių
kaip el. pašto, gali priminti slaptažodį, jei teisingai atsakoma į slaptą klausimą, daž-
niausiai paremtą asmenine informacija, kuri, savo ruožtu, matoma nusikaltėliui aukos
svetainėje). Tokiu atveju pati socialinio tinklo sistema gali tapti tyrimo objektu, siekiant
išsiaiškinti, kada ir kas galėjo įvykdyti asmeninių duomenų peržiūrą / vagystę.
92
▬▬ lėtas trečiosios šalies reagavimas arba įkalčių teikimo vilkinimas, galintis sąly-
goti jų praradimą anksčiau, nei įkalčiai yra pateikti;
▬▬ tyrimo vilkinimas iš trečiosios šalies pusės, siekiant apsaugoti savo klientų pri-
vatumą;
▬▬ techninės problemos, susijusios su didžiuliais trečiosios šalies apdorojamais
duomenų kiekiais;
▬▬ įkalčių praradimas arba netinkamas apdorojimas;
▬▬ problemos įrodant, kad sujungimai ar kiti veiksmai tinkle buvo inicijuoti įtaria-
mojo, o ne, pavyzdžiui, jo kompiuteryje įdiegtu kenksmingu programiniu kodu.
Tikėtina, kad griežtinant įstatymus ir gilinant tarptautinį NEE tyrimo srities ben-
dradarbiavimą, ateityje daugelį šitų problemų bus galima išspręsti.
93
11.
NEE TYRIMO SKIRTINGOSE OPERACINĖSE
SISTEMOSE YPATUMAI
Kompiuterių sistemose NEE tyrėjas gali susidurti su pačiomis įvairiausiomis
operacinėmis sistemomis, pradedant atgyvenančiomis DOS ir baigiant SCADA (angl.
supervisory control and data acquisition). Naudojamų operacinių sistemų ypač padau-
gėjo plačiai paplitus išmaniesiems telefonams ir kitiems mobiliems įrenginiams, kai
rinkoje pasirodė naujų operacinių sistemų gamintojų, tokių kaip „Google“ („Android“
platforma), „Nokia“ („Symbian“ OS), „Samsung“ („Bada“ OS) ir kitų, produkcija.
Pastebima mobilių OS perkėlimo tendencija į stacionariuosius kompiuterius. Tačiau
pagrindinį vaidmenį rinkoje vis dar išlaiko „Microsoft“ korporacija su „Windows“ ope-
racinių sistemų šeima, „Apple“ ir atvirojo kodo pagrindu kuriamos „Unix“ tipo ope-
racinės sistemos (įvairios „Linux“ versijos). Lietuvoje labiausiai paplito „Microsoft“
ir atvirojo kodo produktai, o „Apple“ operacinės sistemos didesnę rinkos dalį užima
JAV. Šiame skyriuje yra akcentuojami NEE tyrimo aspektai „Windows“ ir „Linux“ tipo
operacinėse sistemose.
Bendrieji tyrimo metodai ir žingsniai nepriklauso nuo konkrečios operacinės sis-
temos, tačiau gali skirtis tam tikri techniniai įkalčių identifikavimo ir analizės niuansai,
kuriuos lemia operacinės sistemos architektūriniai sprendimai.
94
11.1 lentelė. „Windows“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu
Duomenų objektas Tyrimui naudinga informacija
1 2
Failas boot.ini versijose Windows NT / Įdiegtų operacinių sistemų versijoms nustatyti ir joms surišti su
2000 / XP / 2k3 / Vista / 7 kietojo disko skaidiniais.
Vidiniai NTFS failai (jei diegimui $MFT – įvairios funkcijos, tokios kaip saugomų objektų sąrašas.
naudojama NTFS failinė sistema) $MFTMirr – naudojamas sistemos atstatymui po avarijos
užtikrinti.
$LogFile – naudojamas sistemos atstatymui po avarijos
užtikrinti.
$Volume – saugoma informacija apie formatuotą disko tūrį
(angl. volume).
$AttrDef – nurodo atributus, palaikomus formatuoto disko tūrio.
$Bitmap – stebimas klasterių išnaudojimas disko tūryje.
$Boot – nurodo į disko įkrovos sektorių.
$BadClus – stebi blogų klasterių buvimo vietas diske.
$Secure – saugo saugumo atributus.
Registrai Prisijungimų prie sistemos nustatymai.
Įvykių registracijos įrašų valdymo nustatymai.
Sistemos konfigūraciniai nustatymai.
NTUSER.DAT Vartotojo sukūrimo laikas.
Paskutinio sistemos išjungimo laikas.
Failai:
AppEvent.evt, SecEvent.evt, SysEvent.
evt, Osession.evt, Internet.evt
Arba katalogas
c:\windows\system32\
winevt\logs
Nuorodų failai (*.lnk) Gali išlikti, net jei ištrinti failai, kuriuos jie nurodė. Gali būti kaip
įrodymas, kad tam tikri failai sistemoje atsirado ne be vartotojo
žinios, nes jis buvo sukūręs jų nuorodą.
Thumbs.db, thumbcache_32.db, Faile saugomi paveiksliukų išankstinės peržiūros (angl. preview)
thumbcache_96.db, thumbcache_256.db, atvaizdai. Failas sukuriamas, jei įjungiamas „Thumbnails“
thumbcache_1024.db režimas. Iš failo, jei jis išliko, galima sužinoti apie kataloge
saugotų paveikslėlių turinį, net jei patys paveiksliukai buvo
sunaikinti.
c:\windows\ Spausdintuvo eilės failo informacija.
system32\spool\printers
*.SHD
*.SPL
Recycler, Recycled, $Recycle.Bin Šiukšliadėžės informacija. Gali būti panaudota, jei pati
šiukšliadėžė yra sugadinta ir neatsidaro standartinėmis
priemonėmis.
Pagefile.sys Naudojami atminties atvaizdo analizei, atmintyje vykdomai
Hiberfil.sys dvejetainio kodo analizei, šifravimo slaptažodžių paieškai.
95
11.1 lentelės tęsinys
1 2
Atstatymo taškai ir „šešėlinės“ kopijos Sistemos būsenos nustatymas tam tikru laiku (priklauso nuo
(angl. Rektore points ir Shadow copies) atstatymo taškų kūrimo dažnio).
SYSTEM\<ControlSet###>\
Control\BackupRestore
SOFTWARE\Microsoft\
Windows NT\CurrentVersion\
SystemRestore
C:\Documents and Settings\<username>\ Vartotojo naršymo istorija, atsisiųsti laikini failai, lankytų
Cookies interneto svetainių „saldainiukai“. Pastaba: tinka, jei vartotojas
naudojasi integruota „Internet Explorer“ naršykle, priešingu
C:\Users\<username>\AppData\ atveju reikia nagrinėti konkrečios naršyklės realizaciją.
Roaming\Microsoft\
Windows\Cookies
C:\Documents and
Settings\<username>\
Local Settings\History
\History.IE
„Linux“ – tai atvirojo kodo operacinės sistemos branduolio (angl. kernel) pa-
vadinimas. Dažnai taip sutrumpintai vadinama ir bendrai visa „Unix“ tipo operacinė
sistema, naudojanti „Linux“ branduolį kartu su sisteminėmis programomis bei biblio-
tekomis. „Linux“ OS šeimos populiarumą lėmė jų kaina (nemokama), platus įrankių ir
programinių paketų pasirinkimas, stabilumas ir galimybė pritaikyti operacinę sistemą
savo poreikiams. 11.2 lentelėje pateikti specifiniai „Linux“ OS objektai ir galimi jų
panaudojimai NEE tyrimui.
96
11.2 lentelė. „Linux“ OS duomenų objektai ir jų panaudojimas NEE tyrimo metu
Duomenų objektas Tyrimui naudinga informacija
/boot Naudojamo OS branduolio versija, sukompiliuoti ir naudojami
branduolio moduliai.
/etc Šiame kataloge gali būti rasta didžioji dalis operacinės sistemos
konfigūracinių nustatymų. Tyrimo metu reikėtų ieškoti nukrypimų nuo
tipinių nustatymų.
/etc/passwd Informacija apie sistemoje registruotus vartotojus, jų ID.
/var/spool/cron Informacija apie sistemoje reguliariai atliekamus veiksmus. Gali būti
/etc/crontab naudinga, jei tam tikro veiksmo reguliarumą sukonfigūravo nusikaltėlis.
lastlog Vartotojų prisijungimo (laiko, iš kur jungtasi ir t. t.) informacija.
/var/run/utmp
/etc/syslog.conf Įvykių registracijos įrašų nustatymai, taip pat įvairūs įvykių registracijos
/var/log įrašai.
.bash_history Vartotojo vykdytos komandos.
.history
.sh_history
.recently-used.xbel (Gnome) Įvairių programų paskutiniai atidaryti failai.
.recently-used.xbel (GIMP)
.wireshark/recent (Wireshark)
…
/var/spool/cups Spausdintuvo nustatymai ir jo eilės failo informacija.
/etc/printcap
known_hosts Nuotolinės mašinos, prie kurių buvo jungtasi iš analizuojamos mašinos
per SSH protokolą.
.mozilla/firefox Interneto naršyklės „Mozilla Firefox“ (šiuo metu populiariausia „Linux“
OS) naršymo istorija.
Cookies.sqlite
Downloads.sqlite
Formhistory.sqlite
Places.sqlite
sessionstore.js
_CACHE_MAP_;_CACHE_001_;
_CACHE_002_; _CACHE_003_
11.2 lentelėje pateikti duomenys gali neženkliai skirtis priklausomai nuo „Li-
nux“ distribucijos, naudojamos versijos. Taip pat reikia atkreipti dėmesį, kad „Linux“
operacinėje sistemoje skirtingi vartotojai gali naudotis daugybe įrankių, kurie nėra ap-
rašyti šioje lentelėje, tačiau gali suteikti naudingos informacijos tyrimui.
Kaip matome iš pateiktų lentelių (11.1, 11.2), kiekviena operacinė sistema in-
formacijos ir konfigūracinių nustatymų saugojimui naudoja savitą struktūrą ir architek-
tūrą, todėl NEE tyrėjas, siekdamas tyrimo metu nepražiopsoti svarbių įkalčių arba jų
netyčia nesunaikinti, turi gerai susipažinti su analizuojamos operacinės sistemos archi-
tektūra ir veikimo principais.
97
11.3. Kontroliniai klausimai
98
12.
ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS
Viena iš svarbiausių rekomendacijų, kuria būtina vadovautis renkant įkalčius, ne-
priklausomai, ar tai būtų asmeninis kompiuteris, serveris ar tinklo sistema, yra duome-
nų vientisumo (angl. integrity) išsaugojimas. Tai reiškia griežtų procedūrų, leidžiančių
neužteršti tiriamų duomenų bei formuojančių teisinius reikalavimus vykdančią įkalčių
grandinę, vykdymą. Reikia turėti omenyje, kad net neturint tikslo tyrimo pradžioje per-
duoti bylą teismui, vientisumo išsaugojimas turi būti užtikrintas, atsižvelgiant į tokio
scenarijaus perspektyvą ateityje. Net jei byla niekada nebus perduota teismui, patys
įtariamieji, pasinaudodami spragomis tyrėjo veiksmuose, galės vėliau iškelti prieš jį
bylą, tarkime, už privatumo pažeidimą ar duomenų sunaikinimą. Todėl tinkamai išsau-
goti įkalčiai gali tapti ne tik įtariamojo kaltės įrodymo priemone, bet ir tyrėjo gynybos
argumentu.
Duomenų ar aparatūros, naudojamos kaip įkalčiai, išsaugojimas, apima įvairias
procedūras, kurios apsaugo įkalčius nuo žalos ir užtikrina, kad įkalčių būsena nepakinta
arba pakinta nereikšmingai nuo to momento, kai įkalčiai yra išimami. Jei duomenys ar
jų dalis yra prarandami, pakeičiami arba pažeidžiami, jie negali būti panaudoti teisme.
Dar blogiau, metodų rinkimo patikimumas, kai dalis duomenų prarasta ar sugadinta,
gali teisme pažeisti pasitikėjimą kitais surinktais įkalčiais ir sugriauti visą bylą.
Šiame skyriuje apžvelgiami esminiai veiksmai ir procedūros, kurias turi taiky-
ti NEE tyrėjas visuose tyrimo etapuose, siekdamas neprarasti įkalčių bei išsaugoti jų
vientisumą. Vientisumo sąvoka šiame vadovėlyje yra suprantama kaip negalėjimas mo-
difikuoti saugomus duomenis neturint tam reikiamų teisių, taip pat negalėjimas modifi-
kuoti duomenų, nepaliekant tų veiksmų pėdsakų.
Įkalčių vientisumas turi būti užtikrintas visų NEE tyrimo etapų metu. Įkalčių
išsaugojimo procesas prasideda nuo momento, kai atsiranda įtarimas dėl nusikaltimo
įvykdymo, ir tęsiasi tol, kol tyrimas pasibaigia. Net pasibaigus teismo procesui, įkalčiai
turi išlikti saugūs ir nemodifikuoti tam atvejui, jei būtų pateiktas apeliacinis skundas.
Pavyzdžiui, policija turi saugoti surinktus įkalčius daugybę metų net įsiteisėjus teis-
mo sprendimui, o nusikaltėliui – atlikus bausmę. Analogiškai, jei , pvz., buvo atleistas
darbuotojas ir tyrimą vykdė organizacijos vidinis tyrimų skyrius, jis irgi bus priverstas
saugoti įkalčius daugelį metų, siekiant apsisaugoti nuo teisminio persekiojimo dėl ne-
motyvuoto atleidimo.
Įkalčių saugojimo terminas dažniausiai priklauso nuo šalyje galiojančios teisi-
nės sistemos, apibrėžiančios senaties terminus kiekvienam nusikaltimo tipui. Siekiant
nustatyti įkalčių saugojimo terminus, kiekvieną kartą rekomenduojama konsultuotis su
teisininkais.
99
Įkalčių fizinės apsaugos įvykio vietoje užtikrinimas
100
12.1 lentelės tęsinys
1 2
Tinklo nustatymai – galimoms klaidoms ar ipconfig („Windows“); ifconfig („Unix“).
pažeidimams konfigūracijoje nustatyti.
Operatyviosios atminties kopijavimas (dump) dd („Unix“); trečiųjų šalių įrankiai, tokie kaip WinHEX
– atmintyje saugotų duomenų analizei, („Windows“).
tarnybinės informacijos analizei.
Monitoriaus rodomos informacijos fiksavimas Fotoaparatas, turintis unikalų identifikatorių bei galintis
– anomalijoms, paleistoms programoms, fiksuoti laiko žymę. Kadangi šiuolaikinės operacinės
stebimai informacijai fiksuoti. sistemos sugeba „ištempti“ vaizdą per kelis monitorius, reikia
nufotografuoti visų monitorių rodomą vaizdą, įsitikinti, kad
visi jie yra įjungti.
Apsaugojus labiausiai pažeidžiamus duomenis įjungti. yra pereinama prie stabilių duo-
menų, t. y. tokių, kurie išlieka ir išjungus elektros tiekimą, išsaugojimo (informacija
kietajame
Stabilių diske, atmintuko
įkalčių vientisumo tipo atmintyje ir kt.). Tačiau dirbant net ir su tokio tipo
išsaugojimas
įranga reikia imtis saugumo priemonių. Egzistuoja dvi nuomonės, kaip turi būti ap-
Apsaugojus
doroti stabiliejilabiausiai
įkalčiai,pažeidžiamus duomenis įyra
jei tyrėjo atvykimo pereinama
įvykio vietą prie
metustabilių duomenų,
įtartina sistemat. yra
y. tokių,
kurieįjungta.
išlieka irVieni
išjungus
specialistai ragina daryti tikslią disko kopiją neišjungiant kompiuterio ir tipo
elektros tiekimą, išsaugojimo (informacija kietajame diske, atmintuko
atmintyje ir kt.). Tačiau dirbant net ir su tokio tipo įranga reikia imtis saugumo priemonių. Egzistuoja
tokiu būdu išsaugoti dalį informacijos, kuri galėtų būti prarasta sistemą išjungiant. Šis
dvi nuomonės, kaip turi būti apdoroti stabilieji įkalčiai, jei tyrėjo atvykimo į įvykio vietą metu įtartina
metodas
sistema yra vienintelis
yra įjungta. įmanomas,
Vieni specialistai jei daryti
ragina sistema apsaugota
tikslią „full disk
disko kopiją encryption“
neišjungiant tipo ir
kompiuterio
apsauga, tačiau yra dažnai kritikuojamas dėl savo potencialaus poveikio įkalčiams.
tokiu būdu išsaugoti dalį informacijos, kuri galėtų būti prarasta sistemą išjungiant. Šis metodas yra Kiti
specialistai
vienintelis raginajeiišjungti
įmanomas, sistemakompiuterį atjungiant
apsaugota „full tinklo kabelį,
disk encryption“ tipoo apsauga,
ne naudojant
tačiauopera-
yra dažnai
kritikuojamas dėl savo
cinės sistemos potencialaus
siūlomą išjungimopoveikio
kelią,įkalčiams.
nes tokiuKitibūduspecialistai
išvengiama ragina išjungti
galimų kompiuterį
duomenų
atjungiant tinklo tvarkingai
praradimo kabelį, o neišjungiant,
naudojant iroperacinės sistemos
vėliau sukurti diskosiūlomą
tiksliąišjungimo kelią, nesspecia-
kopiją naudojant tokiu būdu
išvengiama galimų duomenų praradimo tvarkingai išjungiant, ir vėliau sukurti disko tikslią kopiją
lizuotą aparatinę (12.1 pav.) arba programinę įrangą, tokią kaip „Norton Ghost“ (12.2
naudojant specializuotą aparatinę (12.1 pav.) arba programinę įrangą, tokią kaip „Norton Ghost“ (12.2
pav.) pav.) arbaanalogišką.
arba kitą kitą analogišką.
101
12.1 pav. Portatyvinis diskų kopijavimo įrenginys
12.2 pav.
12.2 pav. „Norton Ghost“ vartotojo „Norton Ghost“ vartotojo sąsaja
sąsaja
Kai padaroma tiksli laikmenos kopija, būtina įrodyti, kad ji visiškai atitinka ori-
ginalo duomenis. Dažniausiai tai daroma pasirinktu metodu suskaičiuojant originalo
ir kopijos duomenų kontrolinę sumą, remiantis CRC (angl. cyclic redundancy check)
arba vienakrypčių funkcijų algoritmais. Dauguma NEE tyrimams skirtų dublikavimo
įrankių turi tokią funkciją.
Tyrėjas turi būti tikras, kad laikmena, į kurią bus įrašoma tiksli kopija, yra sterili
(angl. forensically sterile), t. y. joje nėra jokių kitų duomenų, KPK arba defektų. Tai lei-
džia išvengti duomenų dubliavimosi ir praradimo. Sterilumo reikalavimas taip pat ga-
lioja, kai papildomos kopijos yra daromos ir perduodamos kitoms tyrimą vykdančioms
šalims. Rekomenduojama pagal galimybę kiekvieną kartą rašyti duomenis į absoliučiai
naują laikmeną, prieš tai įsitikinus, kad joje nėra gamykloje įrašytų duomenų.
Bet kada, kai išimti įkalčiai (kompiuterinė įranga) nėra analizuojami, jie turi būti
tinkamai apsaugotoje aplinkoje, tokioje kaip seifas arba ribotos prieigos kambarys, ne-
priklausomai, ar tai yra teisėsaugos institucijų, ar kompanijos tyrimo grupės vykdomas
tyrimas. Tokioms patalpoms ar saugykloms turi būti vedamas į jas patenkančių asmenų
registracijos žurnalas, analogiškas vedamam įvykio vietoje. Bet koks įkalčių įnešimas ar
išnešimas turi būti registruojamas ir patvirtintas atitinkamus įgaliojimus turinčių asmenų.
102
Taip pat, jei padarytos duomenų kopijos yra išsaugotos serveryje, turi būti užti-
krinta to serverio prieigos kontrolė. Taigi bendriausias taikomas principas turėtų būti
toks – prieiga prie įkalčių turi būti užtikrinta tik ribotam, tam motyvuotą ir teisėtą pa-
grindą turintiems žmonėms.
Kontroliniai klausimai
1. Kaip galima apriboti fizinę prieigą prie įvykio vietos, jei patalpų rakinimas
arba kitos prevencinės patekimo priemonės nėra įmanomos?
2. Kokia tvarka rekomenduojama atlikti nestabilių įkalčių išsaugojimą? Ko-
kiais įrankiais galima surinkti nestabilius įkalčius?
3. Suformuluokite sterilumo apibrėžimą NEE tyrimo prasme. Kodėl sterilu-
mas yra svarbus ir kaip gali būti pasiektas?
4. Kaip gali būti įrodyta, kad NEE tyrimo metu padaryta disko kopija atitinka
originalą?
5. Kokia yra įkalčių grandinės sąvokos prasmė ir kuo ji svarbi teismo procesui?
103
Praktiniai darbai
104
13.
ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI
Įkalčių analizė yra sunkus ir daug laiko reikalaujantis procesas. Analizės pro-
cesas numato daug metodų – pradedant labai paprastais, tokiais kaip reikšminių žo-
džių paieška įtartinose rinkmenose, ir baigiant sudėtingais, pavyzdžiui, kompiuterio
operatyviojoje atmintyje iki išjungimo saugotos informacijos atkūrimu pagal likutinį
įmagnetinimą. Šiame skyriuje aprašyti keli bendrieji įkalčių analizės metodai ir laisvai
platinami bei komerciniai įrankiai.
Pagrindinė įkalčių analizės etapo užduotis yra surasti visoje įvykio vietoje su-
rinktoje informacijoje duomenis, kurie gali patvirtinti arba paneigti tyrimo hipotezę ir
atstatyti įvykio eigą. Didėjantys informacijos kiekiai ir laikmenų talpos daro praktiškai
nepritaikomais rankinius analizės metodus, o tyrėjai vis dažniau naudojasi automati-
zuotais metodais. Žemiau aprašomi įvairūs įkalčių analizės būdai, galintys padėti su-
rasti išimtuose fiziniuose įkalčiuose arba jų dublikatuose tyrimui reikšmingų duomenų.
▬▬ Įkalčių paieška pagal reikšminius žodžius. Tai vienas iš plačiausiai taikomų ana-
lizės metodų. Šiuo metu saugomos kietuosiuose diskuose informacijos apimtys
yra labai didelės ir atlikti visos informacijos vizualinę analizę tampa nebeįma-
noma, todėl pasitelkiama specializuota programinė įranga, ieškanti reikšminių
žodžių ne tik rinkmenų pavadinimuose, bet ir rinkmenų viduje. Taip pat reikš-
minių žodžių gali būti ieškoma ir atkurtuose failuose.
▬▬ Įvykių registracijos įrašų analizė ir koreliacija. Vienas iš svarbiausių taikomų
analizės būdų. Pagrindinis metodo privalumas prieš bendrą paiešką pagal reikš-
minius žodžius yra tas, kad skirtingai nuo paieškos skirtingo formato failuose ar
duomenyse, įvykių registracijos įrašai yra griežtai struktūrizuoti, į juos beveik
visada yra įrašoma informacija apie įvykio laiką ir įvykio šaltinį. Įvykių regis-
tracijos įrašuose dažnai naudojama įvykių rangavimo sistema, todėl atsiranda
galimybė rūšiuoti įvykius pagal jų kategoriją ir didžiausią dėmesį skirti aukštą
pavojingumo reitingą turintiems įrašams, o ne gaišti laiką analizuojant informa-
cinį „triukšmą“. Jei organizacijoje yra taikomas centralizuotas įvykių registra-
cijos įrašų saugojimas ir yra pakankamos įvykių registracijos įrašų apsaugos
nuo modifikavimo, jie tampa dar svarbesni tyrimui, nes leidžia būti tikriems dėl
įvykių laikų. Įvykių registracijos įrašų koreliavimo įrankiais galima susieti skir-
tingose sistemose vykusius įvykius pagal laiko žymes, o taikant šį ir kitus duo-
menų gavybos metodus – nustatyti, kaip sistemos buvo susietos įvykio metu bei
kaip vystėsi incidentas.
105
▬▬ Sukeitimų rinkmenos arba disko skaidmenos analizė. Sukeitimų (angl. swap) rin-
kmeną („Windows“ OS) arba disko skaidmeną („Unix“ sistemos) operacinė siste-
ma naudoja, kai pritrūksta operatyviosios atminties: seniausiai RAM (operatyvio-
joje atmintyje) saugomi informacijos blokai įrašomi į sukeitimų rinkmeną, turint
galimybę juos atstatyti. Sukeitimų rinkmenos analizė naudinga nusikaltimams
tirti, nes jame gali būti išsaugotas operatyviosios atminties atvaizdas, t. y. atlie-
kant sukeitimų rinkmenos analizę galima atstatyti kompiuterio vartotojo veiks-
mus, net jei visa kita informacija yra ištrinta iš kietojo disko. Didžiausias metodo
iššūkis tas, kad informacija yra nestruktūrizuota, dažnai neišsami ir prieinama
binariniu formatu, todėl analizei reikalinga specializuota programinė įranga. Su-
keitimų rinkmenos analizė naudinga tada, jei analizuojamas kompiuteris buvo
konfiskuotas nusikaltėliui nespėjus jo perkrauti ir aktyvuoti sukeitimų valymo
programų arba tinkamai išjungus kompiuterį, nustačius įsilaužimą.
▬▬ Kontaktų analizė. Kontaktų analize galima nustatyti įtariamojo bendravimo ratą,
tačiau ji turi būti atliekama nepažeidžiant privatumo įstatymų. Turi būti tiriami
analizuojamo kompiuterio kietajame diske esantys elektroniniai laiškai, susira-
šinėjimo per pokalbių programas (IRC, ICQ, Skype ir kt.) žurnalinės rinkmenos,
interneto skambučių išklotinė ir t. t. Naudojant kontaktų analizę galima nustatyti
bendravimo temas, išsiaiškinti nusikaltėlio tikslus ir jį dominančią informaci-
ją arba įrodyti nusikalstamos veiklos organizavimą, išsiaiškinti organizacijos
struktūrą. Jei reikiamos informacijos nepavyksta rasti įtariamojo kompiuteryje,
ji gali būti aptikta komunikacijai naudotų tarnybinių stočių įrašuose arba kitų
asmenų, su kuriais įtariamasis keitėsi informacija, kompiuteriuose.
▬▬ Grafinės ir vaizdinės informacijos analizė. Peržiūrint fotografuotus ir vaizdo įra-
šus galima nustatyti asmenis, su kuriais buvo bendraujama, gali būti užfiksuoti
nusikaltimo įvykiai (pvz., nusikaltėlis pats fiksavo įvykio vietą) ar patys įrašai gali
būti nusikaltimo įrodymu (pvz., tiriant vaikų pornografijos platinimo atvejus).
▬▬ Atminties atvaizdo (angl. dump) analizė. Jei yra galimybė gauti kompiuterio at-
minties atvaizdą, tai naudojant specializuotus įrankius galima gauti informacijos
apie veikiančius ir paslėptus procesus, kviečiamas bibliotekas, perimti slaptažo-
džius, kuriais užšifruoti duomenys diske ir t. t.
▬▬ Žiniatinklio naršyklės podėlio (angl. cache) analizė. Šiuo metodu galima nusta-
tyti, kokia informacija buvo renkama, nusikaltėlio tikslus ir charakterį, naršymo
internete įpročius ir daug kitos pagalbinės informacijos, pvz., nustačius, kokiose
interneto puslapiuose nusikaltėlis lankėsi, galima išsiaiškinti, kokios priemonės
buvo naudojamos įsilaužimui įvykdyti.
▬▬ Spausdintuvo kaupiklio analizė. Spausdintuvo kaupiklyje arba eilės faile (angl.
spooler), t. y. faktiškai specialiai spausdinti paruoštose rinkmenose, taip pat ir
sukeitimų rinkmenoje, gali netyčia užsilikti svarbių įkalčių.
▬▬ Tinklo srauto analizė. Galima sužinoti apie atidarytus sujungimus tinklo lygiu,
naudojamus duomenų protokolus, perimti nešifruotu pavidalu perduodamus
slaptažodžius (pvz., FTP, SMTP), analizuoti siunčiamų paketų turinį.
▬▬ Failų keitimo istorijos analizė. Pagrįsta dažniausiai analizuojamų failų hash
reikšmių arba laiko žymių analize. Leidžia nustatyti, ar failas buvo modifikuotas
ir (arba) modifikavimo laiką.
106
Galima pastebėti, kad daugumos analizės metodų pagrindą sudaro duomenų
paieška pagal tam tikrus kriterijus (raktiniai žodžiai, įvykio rangas, laiko intervalas,
tam tikra vaizdinė informacija ir t. t.). Neabejotinai, didesnės reikšmės ateityje turės
šiuo metu labai brangios įvykių žurnalo įrašų koreliacijos technologijos ir kitos duo-
menų gavybos technologijos, kuriomis nustatomi įprastiniais metodais nematomi ryšiai
tarp atskirų surinktų duomenų blokų.
NEE tyrėjui šiuo metu retai kada tenka tiesiogiai peržiūrėti įvykio vietoje su-
13.2.rinktą
Įkalčių analizės
informaciją įrankiai
– rankinė paieška truktų pernelyg ilgai ir sąlygotų žemą tyrėjo pro-
duktyvumą. Pagrindiniu tyrėjo darbo įrankiu tampa specializuotos analizės programos
arba net integruotieji paketai, skirti įvairiems analizės uždaviniams spręsti. Šiame pos-
NEE tyrėjui šiuo metu retai kada tenka tiesiogiai peržiūrėti įvykio vietoje surinktą informaciją –
kyryje,
rankinė atsižvelgiant
paieška į vadovėlio
truktų pernelyg tikslinę auditoriją,
ilgai ir sąlygotų žemą tyrėjotrumpai supažindinama
produktyvumą. Pagrindiniusu tyrėjo
keliaisdarbo
nemokamais
įrankiu arba pagal
tampa specializuotos GPL licenciją
analizės programosplatinamais įkalčių analizės
arba net integruotieji paketai,įrankių rinkiniais.
skirti įvairiems analizės
Taip pat pristatomi
uždaviniams populiariausi
spręsti. Šiame poskyryje,komerciniai produktai,
atsižvelgiant skirti įkalčių
į vadovėlio tikslinęanalizei.
auditoriją, trumpai
supažindinama su keliais nemokamais arba pagal GPL licenciją platinamais įkalčių analizės įrankių
rinkiniais. Taip pat pristatomi populiariausi komerciniai produktai, skirti įkalčių analizei.
Komerciniai įrankiai
„Forensic Toolkit®“ (FTK®) irgi yra priskiriamas plačios paskirties NEE tyrimo įrankių
107
kategorijai. Galima analizuoti operacinių sistemų registrus, atlikti paiešką pagal reikšminius žodžius
(13.2 pav.).
„Forensic Toolkit®“ (FTK®) irgi yra priskiriamas plačios paskirties NEE tyri-
mo įrankių kategorijai. Galima analizuoti operacinių sistemų registrus, atlikti paiešką
pagal reikšminius žodžius (13.2 pav.).
102
„SANS SIFT Workstation“ – SANS institute distribucijos pagrindu sukurta
„Ubuntu Linux“ virtuali mašina, kurioje yra įdiegti skirtingi NEE tyrimo proceso užti-
krinimo įrankiai (neminimi įrankiai, nesusiję su įkalčių analize):
▬▬ „The Sleuth Kit“ (failinės sistemos analizė);
▬▬ „log2timeline“ (įvykių registracijos įrašų susiejimo su laiko juosta įrankis);
▬▬ „Foremost/Scalpel“ (failų analizė);
▬▬ „Wireshark“ (gali būti naudojamas tinklo paketų analizei);
▬▬ „Vinetto“ (thumbs.db failo analizė);
▬▬ „Pasco“ („Internet(failųExplorer“
analizė); naršyklės naršymo istorijos analizė);
▬▬
• „Foremost/Scalpel“
„Rifiuti“ (Recycle Bin analizė);
▬▬
• „Wireshark“ (gali būti naudojamas tinklo paketų analizei);
„Volatility
• „Vinetto“ Framework“
(thumbs.db (atminties analizė);
failo analizė);
▬▬
• „Pasco“„PyFLAG“
(„Internet(GUI Log/Disk
Explorer“ analizė).
naršyklės naršymo istorijos analizė);
• „Rifiuti“ (Recycle
Rinkinys Bin analizė);
suderinamas su „Expert Witness Format“ (E01), „Advanced Forensic
„Volatility
•Format“ (AFF)Framework“
ir raw (dd) (atminties
įkalčiųanalizė);
formatais. Kaip pagrindinį rinkinio privalumą ga-
„PyFLAG“
•lima (GUI Log/Disk analizė).
įvardyti jo virtualizaciją, kuri tampa labai populiari ir leidžia efektyviai išnaudoti
kompiuterių sistemų resursus.
Rinkinys suderinamas su „Expert Witness Format“ (E01), „Advanced Forensic Format“ (AFF) ir raw
„PTK Forensics“
(dd) įkalčių formatais. Kaip pagrindinį (PTK) platforma
rinkinio yragalima
privalumą kuriama „DFLabs
įvardyti Inc“ kompanijos
jo virtualizaciją, kuri tampa
„The Sleuth Kit“ įrankio pagrindu su papildomais analitiniais
labai populiari ir leidžia efektyviai išnaudoti kompiuterių sistemų resursus. moduliais. Platformai
įdiegti turi būti paruošta LAMP tipo (angl. Linux, Apache, MySQL, Perl/PHP/Python)
„PTK Forensics“
sistema, (PTK)
vartotojui platforma
suteikiama yra kuriama
patogi „DFLabsprieinama
grafinė aplinka, Inc“ kompanijos „The Sleuth
per naršyklę. Kit“
Dėl kli-
įrankio pagrindu su papildomais analitiniais moduliais. Platformai įdiegti turi būti paruošta
ento serverio architektūros realizacijos (13.3 pav.) vienu metu aplinka gali naudotis LAMP tipo
(angl. Linux, Apache, MySQL, Perl/PHP/Python) sistema, vartotojui suteikiama patogi grafinė aplinka,
keli tyrėjai.
prieinama per naršyklę. Dėl kliento serverio architektūros realizacijos (13.3 pav.) vienu metu aplinka
Indeksavimo mechanizmas
Indeksavimo yra naudojamas
mechanizmas preliminariai
yra naudojamas duomenų duomenų
preliminariai analizei iranalizei
vėlesnėms
ir
paieškoms pagreitinti. Naudojant modulinę architektūrą galima lengvai plėsti
vėlesnėms paieškoms pagreitinti. Naudojant modulinę architektūrą galima lengvai analitinių modulių
skaičių. Profesinė platformos
plėsti analitinių versijaskaičių.
modulių gali būtiProfesinė
pateikiama kaip virtuali
platformos arba aparatinė
versija sistema.
gali būti pateikiama kaip
Sistemoje automatiškai fiksuojami visi tyrėjų atlikti veiksmai (13.4 pav.), todėl galima
virtuali arba aparatinė sistema.
automatiškai fiksuoti ir galimus įkalčių pakeitimus, o vėliau juos įtraukti automatiškai generuojant
ataskaitą. Taip, jei tyrėjas neturi prieigos teisių prie PTK sistemos administravimo, išvengiama interesų
konflikto ir užkertamas kelias tyrėjų sukčiavimui,109 nes bet kokie jų veiksmai užfiksuojami jiems
nepavaldžioje sistemoje.
Sistemoje automatiškai fiksuojami visi tyrėjų atlikti veiksmai (13.4 pav.), todėl
galima automatiškai fiksuoti ir galimus įkalčių pakeitimus, o vėliau juos įtraukti auto-
matiškai generuojant ataskaitą. Taip, jei tyrėjas neturi prieigos teisių prie PTK sistemos
administravimo, išvengiama interesų konflikto ir užkertamas kelias tyrėjų sukčiavimui,
nes bet kokie jų veiksmai užfiksuojami jiems nepavaldžioje sistemoje.
Šiuo
Šiuometu
metu platformos suteikiamą
platformos analitinįanalitinį
suteikiamą funkcionalumą sudaro:
funkcionalumą sudaro:
▬▬ • Failų analizė: peržiūra „Ascii“, „Ascii String“, „Hexdump“ ir „Image preview“
Failų analizė: peržiūra „Ascii“, „Ascii String“, „Hexdump“
formatais; paieška pagal raktinius žodžius (indeksuota ir neideksuota); ir „Image
paieškapreview“
tam tikru
formatais; paieška pagal
laiko intervalu; raktiniusiržodžius
filtrai (tekstinis (indeksuota
kelių kriterijų ir neideksuota);
kombinuotasis); nesutapimųpaieška
failuose
nustatymas.
tam tikru 13.5 pav. filtrai
laiko intervalu; pateikiami kombinuotojo
(tekstinis ir kelių filtro (failųkombinuotasis);
kriterijų tipas ir laiko intervalo)
nesu-
taikymo rezultatai.
tapimų failuose nustatymas. 13.5 pav. pateikiami kombinuotojo filtro (failų tipas
ir laiko intervalo) taikymo rezultatai.
110
104
▬▬ MACB (angl. Modification, Access, Creation, Birth) vizualizacija. MACB vizu-
alizacijos įrankiu galima nustatyti objektų kūrimo ir modifikavimo tendencijas
informacinėje sistemoje. Taip, pavyzdžiui, 13.6 pav. matyti, kad nagrinėjamu
laikotarpiu buvo trys šuoliai, kurių metu sistema buvo naudojama ypač aktyviai.
Todėl galima manyti,
laikotarpiu kadšuoliai,
buvo trys aktyvumas buvo
kurių metu sąlygotas
sistema kažkokios
buvo naudojama ypačneteisėtos vei-
aktyviai. Todėl
galima manyti, kad aktyvumas buvo sąlygotas kažkokios neteisėtos veiklos, ir tyrėjas
klos, ir tyrėjas gali skirti pagrindinį dėmesį būtent
gali skirti pagrindinį dėmesį būtent tiems periodams.
tiems periodams.
▬▬ Raktinių
• Raktinių žodžių paieška. Galimi paieškos variantai:
žodžių paieška. Galimi paieškos variantai:
o paieška „Extended“ tipo disko skaidmenose;
―― paieška „Extended“
o paieška FAT tipo diskosistemoje;
failinėje skaidmenose;
―― paieška FAT o paieška
failinėjeNTFS failinėje sistemoje;
sistemoje;
o paieška EXT3FS failinėje sistemoje;
―― paieška NTFSo „FAT failinėje sistemoje;
Daylight“ testas;
―― paieška EXT3FS
o „FAT failinėje
Undeleted“sistemoje;
testas;
o „NTFS
―― „FAT Daylight“ Undeleted“ testas;
testas;
o paieška „JPEG header“ failuose.
―― „FAT Undeleted“ testas;
―― „NTFS Undeleted“atminties
• Operatyviosios testas; analizė. Naudojant operatyviosios atminties atvaizdo platformą
galima:
―― paieška „JPEG header“ failuose.
▬▬ Operatyviosios
o nustatyti veikiančius / veikusius procesus;
atminties
o peržiūrėti analizė.
atidarytus tinkloNaudojant operatyviosios atminties atvaizdo
„soketus“ / sujungimus; Comment [P41]: Reik
lietuviško atitikmens
platformą galima:
o peržiūrėti užkrautas DLL bibliotekas ir jų ryšius su procesais;
Comment [n42]: Yra t
o peržiūrėti visų procesų atidarytus failus ir registro įrašus;
―― nustatyti veikiančius / veikusiusadresuojamą
o peržiūrėti procesoriaus procesus;atmintį; “prievadas”. Bet lygiai taip
siūlomą versti ir terminą “
―― peržiūrėtioatidarytus tinklo „soketus“
peržiūrėti operacinės / sujungimus;
sistemos naudojamus modulius; Dėl to gali būti dviprasmy
kadangi iš techninės pusės
―― peržiūrėtioužkrautas
susieti fizinius
DLLir bibliotekas
virtualius atminties
ir jų adresus;
ryšius su procesais; skirtingi dalykai. Siūlau ra
o ištraukti iš atminties vykdomąjį kodą; prievadus (angl. socket).
―― peržiūrėtiovisų procesų
atlikti paieškąatidarytus failus
pagal raktinius ir registro
žodžius įrašus;
(13.7 pav.).
―― peržiūrėti procesoriaus adresuojamą atmintį;
―― peržiūrėti operacinės sistemos naudojamus modulius;
―― susieti fizinius ir virtualius atminties adresus;
105
―― ištraukti iš atminties vykdomąjį kodą;
―― atlikti paiešką pagal raktinius žodžius (13.7 pav.).
111
13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius
13.7 pav. Paieškos rezultatai atmintyje pagal raktinius žodžius
• Disko ar kitos laikmenos įrašų peržiūra žemu lygmeniu.
▬▬ Disko
• Žymių
ar13.7sistema.
pav.
kitos Suteikiamarezultatai
Paieškos
laikmenos galimybė pažymėti
įrašų atmintyje
peržiūra (angl.
žemu bookmark)
pagal įkalčius.
raktinius
lygmeniu. žodžius
▬ ▬ Žymių
Atskirassistema. Suteikiama
įrankių rinkinys, galimybė
skirtas NEE įkalčių pažymėti
analizei, yra(angl.
• Disko ar kitos laikmenos įrašų peržiūra žemu lygmeniu.
bookmark)
integruotasis įkalčius.
ir „Linux“ distribucijos
Atskirasskirtas
„BackTrack“, įrankių rinkinys,
etinio skirtas
įsilaužimo NEEir įkalčių
imitavimo analizei,
NEE tyrimo yra integruotasis
uždaviniams ir „Li-
spręsti. Distribucija
Žymių„LiveCD“
•platinama sistema.forma,
Suteikiama galimybė
todėl gali pažymėti
būti naudojama (angl. bookmark)
ir „gyvų“ įkalčius.
sistemų analizei. Šiuo metu rinkinį
nux“ distribucijos „BackTrack“, skirtas etinio įsilaužimo imitavimo ir NEE tyrimo už-
sudaro:
daviniams
Atskiras spręsti.
• įrankių
„Autopsy“ Distribucija
rinkinys,
įrankis –skirtasplatinama
galima NEE „LiveCD“
atliktiįkalčių
„gyvų“ analizei,
ir „negyvų“ forma, todėl
yrasistemų
integruotasis galijose
analizę, irbūti naudojama
„Linux“
sudarant distribucijos
failų
ir „gyvų“ skirtas
„BackTrack“, sistemųetinio
sąrašus, analizei.
peržiūrėti Šiuo metu
failo
įsilaužimoturinį, rinkinįirsudaro:
rūšiuoti
imitavimo failus NEE tyrimo uždaviniams spręsti. atlikti
pagal tipą, stebėti failų keitimo istoriją, Distribucija
▬▬
platinama „LiveCD“ paiešką pagal reikšminius žodžius, analizuoti failų metaduomenis (13.8 pav.), analizuoti
„Autopsy“ forma,
duomenisįrankis
todėl gali
diskuose–irgalima
būtigrafinių
naudojama
nagrinėtiatlikti „gyvų“ ir ir„gyvų“
failų tarnybinę„negyvų“ sistemų analizei.
sistemų
informaciją.
Šiuojose
analizę, metusu-rinkinį
sudaro: darant failų sąrašus, peržiūrėti failo turinį, rūšiuoti failus pagal tipą, stebėti failų
• „Autopsy“ įrankis –atlikti
keitimo istoriją, galima atlikti pagal
paiešką „gyvų“reikšminius
ir „negyvų“ žodžius,
sistemų analizę,
analizuoti josefailų
sudarant
me- failų
sąrašus, peržiūrėti failo turinį, rūšiuoti failus pagal tipą, stebėti failų keitimo istoriją, atlikti
taduomenis (13.8 pav.), analizuoti duomenis diskuose ir nagrinėti grafinių failų
paiešką pagal reikšminius žodžius, analizuoti failų metaduomenis (13.8 pav.), analizuoti
tarnybinędiskuose
duomenis informaciją.
ir nagrinėti grafinių failų tarnybinę informaciją.
106
106
112
▬▬ „Scalpel“ – tai greitas failų analizatorius, kuris apdoroja failų header ir footer
informaciją.
▬▬ „Memdump“ – įrankis, galintis apdoroti ir operatyviosios atminties, ir PCI sude-
rinamų įrenginių atmintį.
Taip pat galima paminėti tokius nemokamus NEE įkalčių analizės įrankius ar jų
rinkinius, kaip „The Coroner’s Toolkit“ (įrankis, pritaikytas „Unix“ tipo sistemų ana-
lizei), „The Sleuth Kit“ (plačios paskirties įrankių rinkinys), „Categoriser 4 Pictures“
(grafinės informacijos analizės ir kategorizavimo įrankis), „OSForensics“ (įrankis,
skirtas failų, vaizdų, elektroninio pašto ir naršyklių naudojimo istorijos analizei).
Kontroliniai klausimai
1. Kokius NEE įkalčių analizės būdus galėtumėte įvardyti? Kokie yra šių me-
todų ypatumai?
2. Kokių reikšminių žodžių NEE tyrėjas gali ieškoti:
a) analizuodamas failinę sistemą;
b) analizuodamas atminties atvaizdą;
c) kuo gali būti motyvuoti ieškomų reikšminių žodžių skirtumai?
3. Kokią informaciją NEE tyrėjui gali suteikti interneto naršyklės naudojimo
istorijos analizė?
4. Kokius komercinius ir nemokamus NEE įkalčių analizės įrankius galite
įvardyti?
5. Kuo NEE tyrėjui gali būti naudinga MACB vizualizacija?
Praktiniai darbai
113
14.
TYRIMO ATASKAITOS PARENGIMAS
Tyrimo ataskaitos parengimas atlikus įkalčių analizę yra labai svarbus tyrimo
etapas. Dokumentas yra parengiamas su tikslu pristatyti analizės išvadas suinteresuo-
tiems asmenims. Jei išvados negali būti suformuluotos, niekas negalės įvertinti tyrimo
rezultatų ir priimti reikiamų sprendimų.
Labai dažnai ataskaitai parengti ir atitinkamai kvalifikacijai suteikti nėra skiria-
ma pakankamai dėmesio. Gerai struktūrizuotos ir logiškai išdėstytos ataskaitos paren-
gimas padidina tikimybę, kad nusikaltėlis bus nubaustas, o surinkti įrodymai – pripa-
žinti tinkamais. Vykdant formalųjį kriminalinį tyrimą, ataskaita taip pat tampa privalo-
ma rezultatų pristatymo forma teismui. Ataskaita – pagrindinis atlikto darbo rezultatas,
todėl jai turi būti taikomi aukščiausi kokybės reikalavimai.
Pagrindinė tyrimo užduotis yra faktų ir įkalčių dokumentavimas. Labai dažnai
ataskaita yra pristatoma žmonėms, neturintiems specializuotų žinių, todėl dėstymo kal-
ba ir faktų pateikimas turi būti paprastas ir suprantamas. Vaizdumo dėlei ataskaita gali
būti papildoma išvadas detalizuojančiomis diagramomis ar iliustracijomis. Rekomen-
duojama, kad tyrėjo kvalifikacijai patvirtinti prie ataskaitos būtų prisegtas jo gyvenimo
aprašymas (CV) ir anksčiau vykdytų tyrimų sąrašas.
Pirmasis uždavinys, kurį turi išspręsti tyrėjas, rengiantis ataskaitą, yra ataskaitos
tikslo ir tikslinės auditorijos nustatymas. Ataskaita tūri būti rengiama ir struktūrizuota,
kad ją galėtų suprasti specifinių kompiuterijos žinių neturintys specialistai (teisėjai,
verslo atstovai, advokatai ir t. t.). Bendriausiu atveju ataskaitos yra skirstomos pagal
pateikimo formą:
▬▬ žodinės;
▬▬ rašytinės;
ir formalumą:
▬▬ formalios;
▬▬ neformalios.
Kai formali ataskaita yra pristatoma žodine forma, jos tikslinė auditorija daž-
niausiai yra direktorių taryba, kiti vadovai arba teismas. Tokiais atvejais dažniausiai
būna numatytas pristatymo formatas ir griežtas laiko limitas. Gali tekti ruošti ne tik
savo kalbą, bet ir numatyti galimus auditorijos klausimus (advokatų, prokurorų, verslo
atstovų) bei paruošti jiems aiškius ir argumentuotus atsakymus. Kartais tokie klausimai
gali būti pateikti tyrėjui iš anksto, pristatymo rengimo metu.
114
Neformalios žodinės ataskaitos forma dažniausiai nebūna griežtai apibrėžta, o
pati ataskaita pristatoma vienam arba keliems asmenims, dažniausiai prokurorui arba
advokatui. Tokios ataskaitos pagrindinė užduotis yra pateikti preliminarias išvadas. Pa-
grindinė šio ataskaitos tipo rizika yra galimas informacijos nutekėjimas trečiosioms ša-
lims, todėl būtina imtis priemonių tokiam scenarijui išvengti (informacijos pateikimas
tik tiems asmenims, kuriems priklauso ją turėti pagal pareigas; informacijos neteikimas
esant įtarimams; konfidencialumo sutarčių pasirašymas).
Neformali rašytinė ataskaita yra rengiama siekiant pristatyti tarpines ar prelimi-
narias tyrimo išvadas, kai nėra galimybės jas pateikti žodžiu arba prašomas būtent toks
rezultatų pateikimas. Ataskaitai iškyla tos pačios rizikos kaip ir žodinės neformalios
ataskaitos atveju. Neformali rašytinė ataskaita gali būti naudojama ir tada, kai būtina
dokumentuoti tyrimo rezultatus, tačiau jos nesiruošiama atiduoti teismui, t. y. užsako-
vas yra organizacija, atliekanti vidinį tyrimą. Neformali ataskaita yra traktuojama kaip
labai svarbus tyrimo dokumentas, atspindintis tyrimo eigą, todėl negali būti naikinamas
be atskiro užsakovo ar prokuroro nurodymo, nes tokie veiksmai gali būti prilyginti
įkalčių sunaikinimui.
Formali rašytinė ataskaita dažniausiai pateikiama su priesaika. Šiam ataskaitos
tipui keliami ypač griežti reikalavimai, turi būti naudojamos ištobulintos formuluo-
tės, gramatika, punktuacija ir stilius. Dažniausiai naudojamas informacijos perteikimas
kalbant pirmuoju asmeniu. Formalios ataskaitos naikinimas yra apibrėžiamas įstatymo
nustatyta tvarka.
Atsižvelgiant į tyrimų ataskaitų svarbą, yra suformuoti tam tikri ataskaitų ren-
gimo reikalavimai ir rekomendacijos . Dalis iš jų yra privalomojo pobūdžio, o kita
dalis – rekomendacinio. Skirtingose šalyse gali būti taikomi šiek tiek kitokie ataskaitų
rengimo reikalavimai. Bendrojo pobūdžio reikalavimai, tokie kaip gramatikos klaidų
nebuvimas, poskyryje nėra detalizuojami.
▬▬ Tyrimo tikslo ir ataskaitos išvadų atitikimas. Ataskaita turi būti konkreti, o išva-
dos turi nurodyti, kiek ir kaip pavyko pasiekti tyrimo tikslo. Tikslas dažniausiai
apibrėžiamas pačioje tyrimo pradžioje tyrimo užsakovo. Ataskaitoje neturi būti
informacijos, tiesiogiai nesusijusios su tiriamu įvykiu. Siekiant konkretaus tikslo
pagreitinamas tyrimo procesas ir sumažinamos išlaidos. Ataskaita turi pateikti
atsakymus į klausimus: „Kas?“, „Kaip?“, „Kada?“, „Kur?“ ir „Kodėl?“, arba
nurodyti, į kokius klausimus nepavyko gauti atsakymo.
▬▬ Ataskaitos nuoseklumas ir logiškumas. Ataskaita turi atspindėti tyrimo eigą, turi
būti išvengta mėtymosi iš vieno etapo į kitą. Turi būti apibrėžti tyrimo tikslai, ap-
rašyta tyrimo eiga, pristatyti analizės rezultatai, tyrimo išvados ir rekomendaci-
jos. Priimami sprendimai turi būti paremti prieš tai įvykdytų veiksmų rezultatais.
Ataskaitos nuoseklumas gali būti pasiektas taikant ataskaitos ir jos struktūros
planavimą prieš pradedant ją rengti.
115
▬▬ Aiški ataskaitos struktūra. Kiekviename ataskaitos paragrafe turi būti pateikia-
ma tik viena ataskaitos mintis. Skyrių ir skyrelių pavadinimai turi atspindėti tuo-
se skyriuose dėstomą medžiagą. Esant didelei ataskaitai po skyriaus pavadinimo
gali būti skyriaus santrauka. Lentelės ir grafikai turi būti sunumeruoti ir pavadin-
ti. Grafikuose turi būti nurodyti naudojami matavimo vienetai. Ataskaitoje turi
būti tokios dalys:
―― santrauka – ataskaitos esmė ir esminiai tyrimo momentai, išvados;
―― turinys;
―― pagrindinė ataskaitos dalis;
―― išvados ir, pagal poreikį, rekomendacijos;
―― naudotų šaltinių sąrašas;
―― terminų ir santrumpų žodynas;
―― padėkos (jei taikoma);
―― priedai (pagal poreikį).
▬▬ Tyrimo medžiagos pilnumas. Ataskaitoje turi būti aprašyti:
―― metodai, įranga ir procedūros, taikytos vykdant tyrimą; panaudotai įrangai turi
būti pateiktos licencijos, įrodančios teisę šia įranga naudotis;
―― kada, kur ir kokie įkalčiai buvo surinkti;
―― surinkti duomenys;
―― bet kokie veiksmai, galėję modifikuoti duomenis, duomenys, dėl kurių yra
abejojama, taip pat priemonės, kurių buvo imtasi vientisumui užtikrinti ir
klaidoms sumažinti;
―― problemos ir kliūtys, su kuriomis buvo susidurta tyrimo metu.
▬▬ Orientaciją į tikslinę auditoriją. Dėl to, kad ataskaita yra skiriama verslo ar teisi-
nes žinias turintiems užsakovams, ji turi būti aiški ir suprantama ne tik NEE ty-
rimo specialistams. Kaip vienas iš būdų gali būti taikomas aiškinamasis terminų
žodynas ir santrumpų sąrašas, specifinių terminų ir žargono vengimas.
▬▬ Nešališkumas pateikiant duomenis. Ataskaitoje tūri būti vengiama vertinimų,
nesusijusių su tyrimo tikslu, epitetų ir emocijų.
▬▬ Išvadų pagrindimas. Kiekviena pateikiama ataskaitos išvada turi būti argumen-
tuota ir pagrįsta nustatytais faktais ir įkalčiais. Negalima remtis prielaidomis,
gandais arba spėjimais.
Paprastai rekomenduojama, kad NEE tyrėjas susikurtų ir naudotųsi paruoštu
ataskaitos šablonu, kuriame numatyti visi būtini skyriai, parašyta įžanginė ir bendro
pobūdžio informacija. Toks šablonas gali būti naudojamas kaip kontrolinis sąrašas ir
tuo pačiu taupyti laiką rengiant ataskaitas – kiekvieną kartą modifikuojami tik pasikeitę
duomenys, negaištamas laikas struktūrai sukurti ir nėra praleidžiami svarbūs punktai.
116
14.3. Ataskaitos struktūra
117
14.4. Kontroliniai klausimai
118
15.
PROFESINĖ KARJERA
Išaugęs NEE tyrimų poreikis ir vis didėjantys reikalavimai, keliami tyrėjų kva-
lifikacijai, lėmė tai, jog pradėjo formuotis tam tikras NEE tyrėjų, žinančių, kaip atlikti
įkalčių išėmimą, apsaugoti nestabilius įkalčius bei atlikti jų analizę, sluoksnis. Iš pra-
džių tokių tyrėjų pagrindą sudarė buvę kriminalinių nusikaltimų tyrėjai, turintys tam
tikrų kompiuterijos žinių ir išmanantys patį tyrimo procesą. Vis didėjantis kompiuterių
sistemų sudėtingumas bei pradėtos taikyti nusikaltėlių apsisaugojimo priemonės pri-
traukė į šią sritį jau gilių kompiuterių sistemų žinių turinčių specialistų, kuriems teko
mokytis teisinių tyrimų aspektų.
Nors NEE tyrėjo pareigos, profesinės karjeros galimybės ir poreikiai kvalifika-
cijai vis dar nėra galutinai susiformavę, šiame skyriuje apžvelgiami pagrindiniai NEE
tyrėjo profesinės karjeros aspektai, taip pat ir įvairių organizacijų siūlomos sertifikavi-
mo galimybės.
Rolės ir pareigos NEE tyrimo metu gali būti suskirstytos priklausomai nuo to,
kokiam organizacijos tipui tyrėjas priklauso. Poskyryje nenagrinėjamas techninės kva-
lifikacijos lygio klausimas, kadangi daroma prielaida, kad nepriklausomai nuo organi-
zacijos tipo kvalifikacija turi būti pakankama tyrimui vykdyti.
Organizacijos įdarbina vidinius auditorius (arba samdo tam tikslui trečiųjų šalių
organizacijas) ir suteikia atitinkamas galias bei priemones, norėdami:
▬▬ greitai reaguoti į organizacijoje kylančius incidentus, juos tirti;
▬▬ stebėti įtarimus keliančių darbuotojų veiksmus;
▬▬ bendradarbiauti su teisėsaugos institucijomis, jei tyrimas pereina į formaliojo
tyrimo fazę.
Pagrindinės kompetencijos, kurių reikia vidinio auditoriaus darbą atliekančiam
auditoriui:
▬▬ Darbuotojų teisių į privatumą supratimas, vykdant tyrimą arba prevencinį veiks-
mų stebėjimą. Skirtingos teisinės sistemos skirtingai supranta, kiek gali būti pa-
žeistas darbuotojų privatumas tyrimo ir stebėjimo metu. JAV beveik 75 proc.
organizacijų vykdo visų savo darbuotojų veiksmų stebėjimą, net jei nekyla įta-
rimo, kad darbuotojas ketina atlikti neteisėtus veiksmus. Vienas iš pagrindinių
tokio masinio stebėjimo tikslų – darbo efektyvumo vertinimas, t. y. stebėjimas,
119
ar darbuotojas darbo vietoje neatlieka pašalinių veiksmų, nesusijusių su darbu,
o pašalinių veiksmų aptikimas gali būti nuobaudų taikymo ar atleidimo priežas-
timi. Nors JAV įstatymai ir konstitucija garantuoja teisę į privatumą, susifor-
mavusi teismų praktika daro išimtį būtent kompanijoms, traktuojant darbdavio
resursus kaip ne darbuotojo privačią erdvę. Nepaisant to, tyrėjas turi suprasti
galimas perteklinio stebėjimo rizikas. Europos Sąjungos teisės aktuose minima,
kad stebėjimas yra leidžiamas tik įtariant nusikalstamą veiklą, stebėjimas darbo
efektyvumui nustatyti yra draudžiamas, darbuotojas turi teisę į privatumą net
besinaudodamas darbdavio resursais.
▬▬ Bendravimo niuansų su teisėsaugos institucijomis supratimas. Neminint būtinų
žinių, tokių kaip mokėjimą pranešti teisėsaugos institucijoms apie įvykusį nusi-
kaltimą, bendrų ir saugių komunikacijos kanalų žinojimą bei gebėjimą atstovauti
organizacijos interesams teisme techniniais klausimais, NEE tyrėjas turi suprasti
tam tikras teisėsaugos institucijų bendravimo subtilybes. Dauguma iš jų, tokių
kaip informacijos apie tyrimo eigą nesuteikimas arba ribotos informacijos sutei-
kimas, tyčinis klaidinimas apie tyrimo eigą ir t. t., gali būti paaiškintos tuo, kad
teisėsaugos atstovai, pradėdami tyrimą, visus darbuotojus, taip pat ir vidinį ty-
rėją, traktuoja kaip potencialius įtariamuosius, o išsamesnę informaciją pradeda
teikti tik tada, kai įtarimai nebetaikomi.
▬▬ Mokėjimas pateikti pagrindžiančią informaciją. Kadangi NEE tyrėjas yra žmo-
gus, vienas iš geriausiai suprantančių organizacijos kompiuterių sistemų veiki-
mą po techninio personalo (tinklų ir sistemų administratorių, inžinierių ir kt.),
kurie dažniausiai retai įtraukiami į tyrimo eigą dėl potencialaus įtarimo (didžioji
dauguma duomenų vagysčių įvykdoma organizacijos darbuotojų, o ne išorinių
programišių), būtent tyrėjo pareiga yra perteikti teisėsaugos institucijoms infor-
maciją apie organizacijos sistemas, įdiegtas stebėjimo sistemas, renkamus įvy-
kių registracijos įrašus ir t. t.
120
▬▬ Žiniasklaidos vengimas. Organizacijos vengia viešumo tais atvejais, kai jose
įvyksta incidentai, sąlygoti ir jų darbuotojų (pvz., darbuotojas darbo vietoje nau-
dodamas kompiuterį vykdė nelegalią veiklą), ir trečiųjų šalių (pvz., nuotoliniai
įsilaužimai su duomenų vagyste), kadangi atsiranda reputacijos praradimo rizi-
ka. NEE tyrėjams rekomenduotina, galbūt netaikant rezonansinių nusikaltimų
atvejams, neperduoti žiniasklaidai jokių duomenų, kurie gali turėti neigiamos
įtakos organizacijai, jei būtų paskelbti.
▬▬ Privataus ir valstybinio sektoriaus skirtumų suvokimas. Darbo organizavimo
schemos, taikomas dokumentų valdymas, duomenų mainai, sprendimo priėmi-
mo greičiai ir t. t. gali ženkliai skirtis. Taip pat daug gali priklausyti nuo organi-
zacijos dydžio ir turimų išteklių.
Kitoms NEE tyrimo proceso šalims gali būti priskirti advokatai ir prokurorai,
kurie atitinkamai bando įrodyti arba įtariamojo nekaltumą, arba kaltę. Nors jų veiksmų
pagrindą turėtų sudaryti teisinės žinios, tačiau, siekdami kokybiškai atlikti savo darbą,
jie turi išmanyti ir techninius kompiuterių sistemų veikimo aspektus bei reikalavimus
NEE tyrimo procesui, kad galėtų formuoti gynybos ar kaltinimo strategiją. Kadangi
ši knyga yra orientuota į tyrimo procesą, gynimo ir kaltinimo proceso aspektai joje
nenagrinėjami.
NEE tyrėjo etika gali būti suprantama kaip tam tikras rekomendacijų ir drau-
dimų sąrašas, kuriuo NEE tyrėjas, nepriklausomai nuo to, valstybinėje ar privačioje
organizacijoje jis dirba, turi vadovautis, atlikdamas tyrimus. Etinių normų vykdymas
suteikia tyrėjui pasitikėjimo savo veiksmų teisingumu ir korektiškumu, taip pat išven-
giama potencialių kaltinimų. Pagrindiniai NEE tyrimo etiniai principai, minimi skirtin-
gų autorių:
▬▬ Atlikti darbą atsakingai, siekiant išsiaiškinti objektyvias nusikaltimo aplinkybes.
▬▬ Vykdyti tyrimą tik tuo atveju, jei turima pakankamai žinių konkrečiam tyrimui
vykdyti.
▬▬ Etinių principų laikymasis turi būti pastovus, o ne priklausyti nuo aplinkybių,
išorinio spaudimo ir t. t.
▬▬ Vykdant tyrimą organizacijoje, būtina atsižvelgti į tos kompanijos etikos kodek-
są, kad būtų išvengta jo pažeidimo.
▬▬ Negalima daryti išvadų apie tiriamą nusikaltimą iš kitų potencialiai kompromi-
tuojančių duomenų, rastų tyrimo metu.
▬▬ Reikia vengti juokų, patyčių ar nekorektiškų komentarų apie tyrimo metu suras-
tus duomenis.
121
▬▬ Būtinas atsiribojimas nuo emocinės įvykio pusės, objektyvumo išlaikymas bei
vadovavimasis įstatymais bei instrukcijomis.
▬▬ Tyrimo eigos konfidencialumo išlaikymas. Informacija neturi būti platinama ne
tik įtariamiesiems, bet ir nukentėjusiesiems, liudininkams, bendradarbiams, ku-
rie neatlieka konkrečiai šito NEE tyrimo, draugams ir giminėms. Informacija
tur būti suteikiama tik tiems, kas turi į ją teisę ir kam ji reikalinga pareigoms
vykdyti.
▬▬ Vengti interesų konflikto, t. y. nesiimti tyrimų, į kuriuos potencialiai gali būti
įtraukti draugai, giminės ir t. t.
▬▬ Nenaudoti gautos informacijos asmeniniais tikslais, šantažui ar kitokiai neteisė-
tai veiklai.
▬▬ Nuolat kelti savo profesinę kvalifikaciją.
▬▬ Pranešti žiniasklaidai informaciją apie tyrimą, tik jei tam yra gautas atitinkamas
leidimas ir neviršijant pranešimo spaudai ribų.
Atvejais, kurie nėra aprašyti šiame sąraše, tyrėjui reikia vadovautis teisine baze
ir bendraisiais moralės bei etikos principais.
15.3. Sertifikacija
122
jo kaltės įrodymams identifikuoti, naudojamiems metodams ir technikai atpažinti. Šios
žinios ir įgūdžiai padeda surinkti kompiuterinio įsibrovėlio kaltės įrodymus, būtinus
patraukti asmenį teisinėn atsakomybėn. Pagrindinės kurso temos:
▬▬ NEE ir jų tyrimas šiuolaikiniame pasaulyje;
▬▬ sistemos, diskai ir laikmenos;
▬▬ NEE tyrimo procesas;
▬▬ duomenų gavimas, dublikavimas ir ištrintų duomenų atstatymas;
▬▬ „Windows“, „Linux“ ir „Machintosh“ įkrovos procesas;
▬▬ tyrimai „Windows“ ir „Linux“ terpėje;
▬▬ steganografija ir programinės įrangos nulaužimo technikos;
▬▬ atakos ir nusikaltimai, vykdomi kompiuteriu;
▬▬ tinklo srauto ir įvykių registracijos įrašų analizė;
▬▬ maršrutizatorių ir tinklo įrangos analizė;
▬▬ atakų bevielėje erdvėje tyrimas;
▬▬ portatyvinių įrenginių analizė;
▬▬ NEE tyrimo įrankiai;
▬▬ tyrimas naudojat „EnCase“ įrankius;
▬▬ atsakas į incidentus;
▬▬ tyrimų tipai.
Tikslinė auditorija – policijos ir kiti teisėsaugos pareigūnai, šalies gynybos mi-
nisterijos atstovai, el. verslo saugumo specialistai, sistemų administratoriai, NEE srities
teisininkai, draudimo kompanijų atstovai, kuriems tai gali būti naudinga nustatant suk-
čiavimo atvejus, IT vadovai.
Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems EC0 312-
49 egzaminą (testą). Egzaminui galima ruoštis savarankiškai arba akredituotuose mo-
kymo centruose. Sertifikatas galioja 3 metus, po kurių turi būti pakartotinai laikomas
egzaminas. Prieš egzamino laikymą rekomenduojama turėti CEH (angl. Ethical Hac-
king and Countermeasure) sertifikatą.
CCE (angl. Certified Computer Examiner) yra vien tik NEE tyrimo srityje be-
sispecializuojančios kompanijos „International Society of Forensic Computer Exami-
ners“ sertifikavimo programa. Ji gali būti laikoma kaip viena iš sudėtingiausių. Sertifi-
kato siekiantis kandidatas turi išmanyti:
▬▬ NEE tyrimo etinius klausimus;
▬▬ NEE tyrimo teisinius klausimus;
▬▬ programinės įrangos licencijavimo klausimus;
▬▬ kompiuterinės įrangos veikimo principus;
▬▬ kompiuterių tinklų veikimo principus;
▬▬ operacinių sistemų veikimo principus;
▬▬ įkalčių išėmimo procesą;
▬▬ NEE tyrimo procesą;
123
▬▬ failinių sistemų ypatumus;
▬▬ laikmenų veikimo principus;
▬▬ informacijos vienetus ir adresaciją;
▬▬ sterilumo užtikrinimo klausimus;
▬▬ apie specializuotus įkrovos diskus;
▬▬ kitus naudingus įgūdžius;
▬▬ pratybas.
Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje; neribojama.
Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems egzami-
ną. Egzaminą leidžiama laikyti akredituotuose mokymo centruose CCE kursą išklau-
siusiems klausytojams arba specialistams, savarankiškai besiruošusiems egzaminui ir
turintiems ne mažesnę nei 18 mėnesių NEE tyrimo darbo patirtį arba vykdantiems NEE
srities tyrimus, jei ta patirtis yra pripažinta tinkama sertifikavimo komisijos. Kandidatai
negali būti teisti ir turi vadovautis CCE etikos kodeksu. Egzaminas susideda iš dviejų
dalių: testo (norint išlaikyti reikia teisingai atsakyti ne mažiau kaip 70 proc. klausimų)
ir praktinės dalies, kurią gali laikyti tik sėkmingai išlaikę testą. Praktinio testo metu
kiekvienas kandidatas gauna individualias užduotis ir yra kuruojamas jam paskirto va-
dovo. Sertifikacija atliekama kas 2 metus.
124
praktinių darbų atlikimą per nustatytą laiko intervalą ir ataskaitos parengimą. Testo
uždaviniai formuluojami iš tokių sričių:
▬▬ operaciniai, archyviniai ir latentiniai duomenys;
▬▬ parodymai, prašymai ir šaukimai į teismą;
▬▬ TCP/IP baziniai aspektai;
▬▬ vienakryptės funkcijos ir kontrolinės sumos;
▬▬ paieška pagal reikšminius žodžius;
▬▬ ataskaitų parengimas;
▬▬ atvaizdo kopijų kūrimas;
▬▬ failų „header“ laukų formatai;
▬▬ dokumentacija, įkalčių grandinės, įkalčių apdorojimo procesas;
▬▬ bendravimas su ginamąja puse;
▬▬ FAT 12/16/32 failinės sistemos;
▬▬ tarpų analizė failinėje sistemoje, operatyviojoje atmintyje ir nepaskirstyta erdvė;
▬▬ NTFS failinė sistema;
▬▬ kompaktinių diskų analizė;
▬▬ skirtingų įvykio registracijos įrašų interpretavimas;
▬▬ interneto naudojimo istorijos interpretavimas ir HTTP koncepcija;
▬▬ rankinis ir automatinis duomenų atstatymas;
▬▬ „MS Office“ ir PDF failų metaduomenys;
▬▬ šifravimo ir slaptažodžio apsaugos mechanizmų vengimas;
▬▬ kompiuterio aparatinė įranga;
▬▬ privatumo aspektai;
▬▬ įkalčių taikymo taisyklės;
▬▬ „Windows“ kaupiklio failai;
▬▬ „Windows“ registrai;
▬▬ „Windows“ sukeitimų failai;
▬▬ darbas techniniu liudininku;
▬▬ draudimas ir atsakomybė;
▬▬ virusai ir KPK.
Tikslinė auditorija – visi, dirbantys NEE tyrimo, IT ir IT saugos srityje, tik JAV
piliečiai arba turintys teisę gyventi JAV.
Sertifikavimo tvarka: sertifikatas išduodamas sėkmingai išlaikiusiems egzami-
ną. Pasiruošimas egzaminui vyksta savarankiškai arba kursuose, kurie nėra privalomi.
Testą sudaro teoriniai klausimai ir praktiniai uždaviniai. Praktinio uždavinio atlikimo
metu galima naudotis bet kokia informacija, išskyrus kitų laikančių egzaminą pagalbą.
Testą gali laikyti asmenys, turintys ne mažiau kaip 2 metų NEE tyrimo srities praktinę
patirtį. Kandidatai turi pateikti pažymą iš JAV Federalinio tyrimo biuro dėl teistumo
nebuvimo. Resertifikacijai reikalaujama kas 2 metus išklausyti ne trumpesnį nei 80
valandų NEE tyrimų arba saugos kursą ir kas 4 metus kartoti testavimo procesą.
125
„PCI Forensic Investigator“
PFI (angl. PCI Forensic Investigator) programa yra vykdoma „Payment Card
Industry (PCI) Security Standards Council“ organizacijos, kuriančios saugumo standar-
tus bankiniam sektoriui. Pagrindinis dėmesys yra skiriamas bankinių kortelių numerių
apsaugai ir su jų vagystėmis susijusių nusikaltimų tyrimams. Taip pat akcentuojamos
atsako į tokio tipo incidentus procedūros. Programoje gali dalyvauti darbuotojai tik
tų kompanijų, kurioms suteikta teisė vykdyti atitikimo „PCI Data Security Standard“
(PCI DSS) standarto reikalavimams auditą (PCI QSA). Kompanija taip pat turi turėti
nusikaltimų tyrimų finansiniame sektoriuje patirties.
Reikėtų pabrėžti, kad nepaisant to, kad šiame vadovėlyje buvo stengtasi parengti
beveik visų kursų pagrindines temas, jo negalima naudoti kaip pasiruošimo sertifika-
cijai medžiaga, kadangi kiekviena sertifikavimo programa turi savo specifikas ir NEE
tyrimo interpretacijų, kurių buvo stengiamasi išvengti. Taip pat reikėtų paminėti, kad
tyrėjui rekomenduojama turėti ir ne su NEE tyrimais susijusius sertifikatus, įrodančius
jų kvalifikaciją, pvz., tinklų ir operacinių sistemų administravimo srities.
126
16.
NUSIKALTIMŲ TYRIMAS: ATVEJŲ ANALIZĖ
Šio trumpo skyrelio tikslas yra supažindinti vadovėlio skaitytojus su keliais
įvairaus pobūdžio nusikaltimais, kurių tyrimui buvo panaudoti NEE tyrimo metodai.
Detalios tyrimo ataskaitos beveik nėra publikuojamos, tačiau ir iš viešai paskelbtų duo-
menų galima susidaryti įspūdį, kaip buvo atliekamas tyrimas bei kokie įkalčiai turėjo
lemiamą reikšmę.
Serijinis žudikas Dennis Lynn Rader nužudė 10 žmonių Wichita miestelio apylin-
kėse (Kanzasas, JAV) laikotarpiu nuo 1974 iki 1991 m. Buvo baigęs aukštąjį mokslą, dirbo
įvairius darbus, tarnavo kariuomenėje, buvo vedęs, turėjo vaikų, ėjo Liuteronų bažnyčios
vietinės bendruomenės pirmininko pareigas. Laiškus, adresuotus policijai ir žiniasklaidos
priemonėms, pasirašydavo BTK Killer (angl. Bind, Torture, Kill) slapyvardžiu. Laiškuose
jis detaliai aprašydavo įvykdytus nusikaltimus ir jų aplinkybes.
Policijai labai ilgai nepavyko susekti žudiko – nustatė tik apytikslę jo gyvenamąją
vietą. Kaip kai kurie serijiniai žudikai, Dennis pasąmonėje norėjo atomazgos, tačiau ne-
norėjo tiesiog pasiduoti, o siuntė policijai vis kitokias užuominas. 2004-aisiais jis atsiuntė
policijai klausimą, ar jie galėsią jį susekti, jei jis atsiųstų FDD diskelį su nusikaltimų ap-
rašymais. Policija per žiniasklaidos priemones atsakė, kad taip. Netrukus Dennis išsiuntė
lankstųjį diskelį į vietinę televizijos stotį.
Diskelio NEE tyrimas atskleidė („MS Word“ metaduomenų analizė), kad tikėtina,
jog dokumento autorius yra žmogus vardu Dennis, o programa yra registruota Liutero-
nų bažnyčios parapijos vardu. Tai ir apytikslės gyvenamos vietos žinojimas leido policijai
areštuoti žudiką. Tyrimo išvadas patvirtino DNR analizė (http://en.wikipedia.org/wiki/Den-
nis_Rader#Arrest).
Vyriškis, vardu Suhas Katti (Tamilų valstija, Indija), buvo areštuotas už prieka-
biavimą prie moters, kurią norėjo vesti, tačiau ji ištekėjo už kito vyro. Po kurio laiko
ji išsiskyrė, o Suhas Katti vėl pradėjo siekti tos moters palankumo. Gavęs pakartotinį
neigiamą atsakymą, jis ėmėsi psichologinio smurto internetu. Moters vardu „Yahoo!
Groups“ jis paskelbė skelbimą, žeminantį jos reputaciją. Moters vardu jis atidarė el.
127
pašto paskyrą, kurią nurodė skelbime, o gaunamus laiškus persiųsdavo į tikrą aukos
paštą. Skelbimas lėmė tai, kad auka sulaukė daugybės nepadorių pasiūlymų ir kreipėsi
į teismą.
Policija sugebėjo atsekti siųstų elektroninių laiškų siuntimo kelią ir areštuoti
įtariamąjį. Gynybos advokatai bandė teigti, kad laiškai buvo inicijuoti aukos buvusio
vyro, o ne įtariamojo. Taip pat akcentavo, kad ne visi įkalčiai buvo surinkti laikantis
teisinių reikalavimų. Tačiau teismas buvo palankus kaltintojų pusei, atsižvelgdamas į
tai, kad įkalčių analizės duomenis atitiko ir liudininkų parodymai (http://www.cyber-
lawclinic.org/casestudy.asp).
Programišius Michael Calce (taip pat žinomas kaip MafiaBoy) iš Kvebeko pro-
vincijos (Kanada) 2000 metais įvykdė DoS ataką prieš „Yahoo“ paieškos sistemą, dėl
šios priežasties sistema neveikė beveik valandą. Per savaitę jis taip pat paralyžiavo
Buy.com, Ebay.com, CNN.com, Amazon.com ir Dell.com portalų veiklą, tačiau ne apie
visus incidentus buvo pranešta spaudoje. Pagrindinis jo siekis buvo įgauti pripažinimą
programišių grupuotėje TNT.
Policijai pavyko demaskuoti nusikaltėlį, stebint programišių kontroliuojamus
IRC kanalus: viename iš jų Michael Calce gyrėsi įvykdęs ataką, apie kurią nebuvo
plačiai žinoma. Gynyba bandė įrodyti, kad atakų pasekmės buvo netyčinės, tačiau Mi-
chael prisipažinimai IRC kanale leido pagrįsti, kad tai buvo tyčinis veiksmas (http://
en.wikipedia.org/wiki/Mike_Calce).
Analogiškai, analizuojat IRC kanalų įrašus, buvo įrodyta ir programišiaus Den-
nis M. Moran kaltė, vykdžiusio DDoS atakas prieš daugybę populiarių tinklo portalų
(http://en.wikipedia.org/wiki/Dennis_Moran_%28computer_criminal%29).
128
Įsilaužimo faktų nustatymas
Kontroliniai klausimai
Praktiniai darbai
129
tomis situacijomis), kuriose trumpai aprašomos tariamojo nusikaltimo įvyk-
dymo aplinkybės, suformuokite tyrimo strategiją, joje apibrėždami:
a) galimas įkalčių paieškos vietas;
b) kokių įkalčių ir duomenų tikimasi surasti;
c) kokius įrankius naudosite ir kokia tvarka.
2. Rekomenduojama iš pradžių savarankiškai, o paskui kartu su dėstytoju, at-
likti CCE sertifikavimo kurso pavyzdinę užduotį, kurią galima rasti adresu
https://www.isfce.com/sample-pe.htm.
130
SANTRUMPOS
CCE – angl. Certified Computer Examiner
CCFE – angl. Certified Computer Forensics Examiner
CEH – angl. Ethical Hacking and Countermeasure
CHFI – angl. Computer Hacking Forensic Investigator
CPU – angl. Central Processing Unit
CRC – angl. Cyclic Redundancy Check
CSFA – angl. CyberSecurity Forensic Analyst
CSIRT – angl. Computer Security Incident Response Team
DDoS – angl. Distributed Denial of Service Attack
DMZ – angl. De Militarized Zone
DNS – angl. Domain Name System
DoS – angl. Denial of Service Attack
EBPO – Ekonominio bendradarbiavimo ir plėtros organizacija
FRP – angl. First Response Procedures
GLBA – angl. Gramm-Leach-Bliley Act
HIPAA – angl. Health Information Portability and Accountability Act
IDS – angl. Intrusion Detection System
ISP – angl. Internet Service Provider
IT – informacinės technologijos
KPK – kenksmingas programinis kodas
MACB – angl. Modification, Access, Creation, Birth
NEE – nusikaltimai elektroninėje erdvėje
OS – operacinė sistema
P2P – angl. Peer-2-Peer
PCI DSS – angl. Payment Card Industry Data Security Standard
PFI – angl. PCI Forensic Investigator
RAM – angl. Random Access Memory
SCADA – angl. Supervisory Control and Data Acquisition
SIM systems – angl. Security Incident Management Systems
131
TERMINŲ ŽODYNĖLIS
De-facing (angl.) – atakos tipas, nukreiptas prieš interneto svetainę, kai neteisėtai pa-
keičiamas svetainės turinys.
Elektroniniai arba skaitmeniniai įkalčiai – bet kokia kompiuterių sistemomis perduo-
dama arba saugoma informacija, kuri patvirtina tyrimo metu suformuluotą hipotezę ir
pagal poreikį bei tenkinant tam tikras sąlygas gali būti panaudota teismo proceso metu.
Įkalčių grandinė – veiksmų seka, pagal kurią galima kontroliuoti įkalčio buvimo vietą
bet kuriuo momentu nuo išėmimo iki pateikimo į teismo salę.
Įkalčių išėmimas – procesų visuma, užtikrinanti įkalčių identifikavimą ir apsaugą nuo
modifikavimo įvykio vietoje, jų paėmimą, pakavimą ir transportavimą iki tyrimo labo-
ratorijos.
Incidentas – bet koks įvykis, kuris nėra standartinio paslaugos funkcionavimo dalis,
sukeliantis arba galintis sukelti paslaugos teikimo nutraukimą arba sąlygoti paslaugos
kokybės teikimo sumažėjimą.
Informacinis karas – veiksmų visuma, siekiant apsaugoti savas informacines sistemas
nuo neteisėto panaudojimo, duomenų iškraipymo arba visiško sunaikinimo, tuo pačiu
siekiant informacinio pranašumo pasinaudojant, iškraipant arba sunaikinant oponento
informacines sistemas.
NEE tyrimas – kompiuterinių įkalčių išsaugojimas, identifikavimas, išgryninimas, ver-
tinimas ir dokumentavimas.
Phishing (angl.) – atakos būdas, kai iš vartotojo bandoma išvilioti jo privačius duome-
nis (dažniausiai prisijungimo), siūlant jam juos suvesti į nusikaltėlio sistemą, imituo-
jančią legalios sistemos išvaizdą ir funkcionavimą.
SPAM (angl.) – nepageidaujamo turinio reklama, platinama elektroniniu paštu.
132
LIETUVIŲ–ANGLŲ TERMINŲ ŽODYNAS
Atminties būsenos kopija – Snapshot
Branduolys – Kernel
Elektroninis karas – Electronic warfare
Failai kaupikliai / eilės failai– Spool failai
Failų metaduomenys – Inode
„Gyvos“ arba neišjungtos kompiuterių sistemos – Live computer systems
Įkalčių grandinė – chain of evidence / chain of custody
Įkalčių išėmimas – Evidence seizure
Incidentų sulaikymas – Incident handling
Incidentų valdymas – Incident management
Interneto paslaugų tiekėjas – Internet Service Provider
Įsilaužimo įrankis – Exploit
Kenksmingas programinis kodas – Malware
Kibernetinė apgaulė ir vagystė – Cyber-deceptions and thefts
Kibernetinis karas – Cyber warfare
Kibernetinis peržengimas – Cyber-trespass
Kibernetinis smurtas – Cyber-violence
Klaidingas pranešimas – False-positive
Kopija-atvaizdas – Bit-to-bit copy / Image copy
Laikinas failas – Temp file
Laiko antspaudas – Time-stamp
„Mirusios“ arba išjungtos kompiuterių sistemos – Mortal computer systems
Neatstatomas trynimas – Wiping
Nusikaltimai elektroninėje erdvėje – Computer crime / cyber crime
Peržiūra pasibaigus incidentui – Post mortem review
Piktnaudžiavimas kompiuteriu – Computer abuse
Pirminio atsako procedūros – First Response Procedures
Programišius – Hacker
133
Psichologinis karas – Psychological warfare
Saldainiukai – Cookies
Scenos užšaldymas – Freezing the scene
Skaičiavimo debesyse technologijos – Cloud computing
Skaitmeninės erdvės tyrimo procesas – Digital forensics
Skaitmeniniai įkalčiai – Digital evidence
Sukeitimų failas – Swap file
Tiesioginio bendravimo programos – Instant messaging programs
Tinklinis karas – Net warfare
Žemo lygio formatavimas – Low level format
Žymės – Bookmarks
134
REKOMENDUOJAMA LITERATŪRA
Žemiau pateikiama literatūra, kuri gali būti rekomenduojama nuodugnesniam
kiekvieno skyriaus savarankiškoms studijoms. Studentams siūloma neapsiriboti vien
rekomenduojama literatūra, bet analizuoti ir kitus naudotos literatūros sąraše pateiktus
šaltinius, stebėti naujas publikacijas NEE tyrimo tema.
135
9. SUNAIKINTŲ ĮKALČIŲ ATSTATYMAS
Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone, J.;
Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress Pu-
blishing. 960 p.
10. ĮKALČIŲ RINKIMAS VIEŠOJOJE ERDVĖJE
Wall, D. 2001. Cybercrimes and the Internet. London: Routledge, London.
11. NEE TYRIMO SKIRTINGOSE OPERACINĖSE SISTEMOSE YPATUMAI
Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier Inc. 594 p.
12. ĮKALČIŲ VIENTISUMO IŠSAUGOJIMAS
Brown, C. 2006. Computer Evidence Collection and Preservation. Hingham
(USA): Charles River Media.
Marcela, A. J.; Greenfield, R. S. 2002. Cyber Forensics. A Field Manual for
Collecting and Preserving Evidence of Computer Crimes. Auerbach Publicati-
ons. 346 p.
13. ĮKALČIŲ ANALIZĖS BŪDAI IR ĮRANKIAI
Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier Inc. 594 p.
14. TYRIMO ATASKAITOS PARENGIMAS
Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T. 2007.
Cyber Crime Investigations. Syngress Publishing. 432 p.
15. PROFESINĖ KARJERA
Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone, J.;
Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress Pu-
blishing. 960 p.
136
NAUDOTA LITERATŪRA
1. Ashcroft, J.; General, A. 2001. Electronic Crime Scene Investigation: A
Guide for First Responders. U. S. Department of Justice. 93 p.
2. Brown, C. 2006. Computer Evidence Collection and Preservation. Hing-
ham (USA): Charles River Media.
3. Carrier, B. 2005. File System Forensic Analysis. Boston: Addison-Wesley
Professional.
4. Carrier, B. D.; Grand, J. 2003. A Hardware-Based Memory Acquisition Pro-
cedure for Digital Investigations. Digital Investigation Journal, Issue 1(1).
5. Casey, E. 2010. Handbook of Digital Forensics and Investigation. Elsevier
Inc. 594 p.
6. Kaspersen, H. W. K. 2009. Cybercrime and Internet Jurisdiction, Discus-
sion paper (draft), version 5 March 2009, prepared in the framework of
the Project on Cybercrime of the Council of Europe [interaktyvus]. <http://
www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/
Reports-Presentations/2079repInternetJurisdictionrik1a%20_Mar09.pdf>
(žiūrėta 2011-08-08)
7. Kiškis, M.; Petrauskas, R.; Rotomskis, I.; Štitilis, D. 2006. Teisės informa-
tika ir informatikos teisė. Vilnius: Mykolo Romerio universiteto leidybos
centras. 267 p.
8. Kleiman, D.; Cardwell, K.; Clinton, T.; Cross, M.; Gregg, M.; Varsalone,
J.; Wright, C. 2007. The Official CHFI Exam 312-49 Study Guide. Syngress
Publishing. 960 p.
9. Konvencija dėl elektroninių nusikaltimų, 2011 [interaktyvus] <http://www3.
lrs.lt/> (žiūrėta 2011-08-01).
10. Kumetaitis, K.; Goranin, N. 2007. Informacinio karo ir informacinio sau-
gumo sąryšio analizė, 10-osios Lietuvos jaunųjų mokslininkų konferencijos
medžiaga „Mokslas – Lietuvos ateitis“: 540–544.
11. Lietuvos Respublikos baudžiamasis kodeksas [interaktyvus]. 2000. Vals-
tybės žinios, 2000-10-25, Nr. 89-2741 Aktuali redakcija nuo 2011-03-31.
<http://www3.lrs.lt/> (žiūrėta 2011-08-08).
12. Lietuvos Respublikos konstitucija [interaktyvus]. 1992. Valstybės žinios,
1992-11-30, Nr. 33-1014 < http://www3.lrs.lt/home/Konstitucija/Konstitu-
cija.htm> (žiūrėta 2011-08-08).
13. LST ISO 2382-1: 1996. Informacijos technologija. Terminai ir apibrėžimai.
1-oji dalis. Pagrindiniai terminai. Lietuvos standartizacijos departamentas.
1996, p. 33.
14. ISO/IEC 20000-1:2011 IT Service Management System (SMS) Standard.
2011. International Organization for Standartization.
137
15. Marcela, A. J.; Greenfield, R. S. 2002. Cyber Forensics. A Field Manual for
Collecting and Preserving Evidence of Computer Crimes. Auerbach Publi-
cations. 346 p.
16. Middleton, B. 2001. Cyber Crime Investigator’s Field Guide. Auerbach Pu-
blications. 330 p.
17. Parker, D. 1976. Crime by Computer. NY: Charles Scribner’s Sons.
18. Reyes, A.; O’Shea, K.; Steele, J.; Hansen, J. R.; Jean, C. B. R.; Ralph, T.
2007. Cyber Crime Investigations. Syngress Publishing. 432 p.
19. Sauliūnas, D. (Red.) 2004. Informacinių technologijų teisė. Vilnius: NVO
teisės institutas. 544 p.
20. Sauliūnas, D. 2010. Legislation on Cybercrime in Lithuania: Development
and Legal Gaps in Comparison with the Convention on Cybercrime, Ju-
risprudencija, Vol. 4 (122): 203–219.
21. Shinder, D. L.; Tittel, E. 2002. Scene of the Cybercrime: Computer Forensi-
cs Handbook. Syngress Publishing. 749 p.
22. Shipley, T. G.; Reeve, H. R. 2006. Collecting Evidence from a Running
Computer. The National Consortium for Justice Information and Statistics.
23. Sieber, U. 1998. Legal Aspects of Computer-Related Crimes in Information
Society. Comcrime study.
24. Taylor, R. W; Caeti, T. J.; Loper, K.; Fritsch, E. J.; Liederbach, J. R. 2005.
Digital Crime and Digital Terrorism. Prentice Hall. 416 p.
25. Wall, D. 2001. Cybercrimes and the Internet. London: Routledge, London.
26. Соколов, A.; Степанюк, О. 2002. Защита от компьютерного
терроризма. БХВ-Петербург. 496 p.
Mokomoji knyga
Redagavo J. Valikonė
Maketavo L. Mončius