Forenzika

Računalnu forenziku čine metode prikupljanja, analize i prezentacije dokaza koji se mogu naći na računalima, serverima i računalnim mrežama. Takvi dokazi mogu biti korisni u kaznenim postupcima i procesima pred sudovima, građanskim parnicama te postupcima unutar korporacija u okviru upravljanja ljudskim resursima, odnosno postupcima kod procesa zapošljavanja i otpuštanja zaposlenika.

Računalni sustavi sadržavaju značajne količine podataka koji se mogu iskoristiti kao dokazni materijal. Ukloniti takav dokaz je također daleko teže nego što se uobičajeno misli. Metodama računalne forenzike moguće je pronaći takav dokazni materijal te obrisane ili izgubljene podatke čak i u slučaju namjernog brisanja.

Pravila forenzike računalnih sustava

  1. Prvo i osnovno pravilo računalne forenzike je princip očuvanja – dokazi se ne smiju mijenjati niti na jedan način a originalni (izvorni) podaci i računalna oprema moraju biti očuvani po svaku cijenu. Naime, čak i uključivanje ili isključivanje računala može obrisati, uniÅ¡titi ili učiniti teže dostupnim dokaze koji su na navedenim sustavima sadržani. Stoga bi potragu za dokazima trebao vrÅ¡iti samo obučeni računalni forenzičar koji će dokumentirati postupke i metode, zaÅ¡tititi podatke i medije od prepisivanja, napraviti identične kopije, izvrÅ¡iti njihovu analizu i prirediti analizu prema pravilima struke i u skladu sa zakonskom legislativom, prilagoÄ‘enu krajnjem korisniku – naručitelju, policijskim istražiteljima, odvjetnicima strane koja je naručila analizu ili pak potencijalno suprotstavljenoj strani.
  2. Drugo pravilo računalne forenzike je identifikacija potencijalnog dokaznog materijala. Radi se o tvrdim diskovima, disketama, USB memorijama, Flash memorijskim karticama, datotečnim dnevnicima i svim ostalim kontejnerima fizičke ili nematerijalne prirode koji mogu sadržavati dokaze. Pritom je važno napomenuti kako sami mediji ili podaci ne predstavljaju dokaz, nego su potencijalni izvor dokaza.
  3. Treće pravilo računalne forenzike poziva da se materijal koji je nedvojbeno identificiran kao relevantan za istragu mora biti snimljen na rezervne medije, štampan ili na drugi način sačuvan od uništenja.
  4. Nadalje, pravilo interpretacije definira visoke standarde stručnosti pri interpretaciji dobijenih rezultata koji moraju biti u sukladnosti s metodama koje koriste sve strane potencijalno uključene u analizu slučaja, odnosno s legislativom koja definira predmetnu materiju. Pritom se osobita pažnja mora posvetiti korištenju alata za automatsko pretraživanje dokaznog materijala i pravilno interpretiranje njihovih izlaznih rezultata.
  5. Naposlijetku, univerzalno primjenjivo pravilo računalne forenzike je predstavljeno dokumentiranjem lanca pristupa nad medijima, podacima i dokumentima na računalnom sustavu. Forenzički analitičar računalnih sustava mora detaljno opisati računalne sustave i aplikativnu podršku koju je analizirao, forenzičke alate koji su korišteni, prirodu pronađenih dokaza, ali također i detaljno zabilježiti kronološki i taksativno tzv. vlasništvo nad informatičkom/računalnom imovinom te mogućnosti (opseg i vrijeme) pristupa. Time se čuva integritet dokaznog materijala.
  6. Na rad forenzičara računalnog sustava primjenjuju se doslovno sva pravila koja vrijede za primjenu znanstvene metode, uključujući korištenje priznatih i dokazivih metoda koje može reproducirati nezavisni forenzičar i pritom duplicirati, odnosno reproducirati rezultate, potvrđujući ih.

Forenzičar računalnih sustava u pravilu može pretraživati, analizirati, vraćati obrisane i podatke i manipulirati praktično svim datotekama sadržanim na računalnom sustavu, financijske izvještaje i podatke, bilance, dnevnike pristupa, tablične kalkulacije, baze podataka, poruke elektroničke pošte, te multimedijalne datoteke poput zvučnih datoteka i filmova. Nadalje, temeljem podataka o korištenju datoteka i aplikacija, može rekonstruirati način korištenja računala ili računalnog sustava, dokazati kada i kako je računalo korišteno, što je korisnik pretraživao na Internetu te povratiti značajnu količinu podataka o tome što je korisnik pisao ili čitao koristeći računalo, odnosno što je vidio na ekranu.

Forenzika komunikacijskih kanala, komunikacijske i mrežne opreme i telekomunikacijskih sustava današnjice nerazdvojna je tehnički i metodološki od forenzike računalnih sustava.

Rad stalnog sudskog vještaka informatike i telekomunikacija u fazi izrade vještačkog mišljenja i nalaza značajno se oslanja na sve metode forenzičara računalnih sustava.